PuTTY 0.62

 ( trey | 2011. december 12., hétfő - 15:33 )

Simon Tatham a napokban bejelentette a PuTTY 0.62-es kiadását. Ebben a karbantartási kiadásban egyebek mellett javítottak egy, a 0.59-es, 0.60-as és 0.61-es verzióban is jelen levő biztonsági problémát. Mégpedig azt, hogy SSH-2 keyboard-interactive bejelentkezés használata után a PuTTY memóriájában megőrződött a jelszó mindaddig, amíg a PuTTY futott. Ez problémás, mert így más processzek kiolvasva a PuTTY memóriáját kinyerhették a jelszót, továbbá a jelszavak kiíródtak a swap területre, illetve a crash dump-okba is. A bejelentés elolvasható itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Remélem ebben már utf-8 a default. :D

A security egy bonyolult kérdés. A főnököm mániája volt, hogy minden legyen secure SSL. Mondtam, hogy vagy az egész csapat részt vesz egy security tanfolyamon és mindenki érti, vagy ne foglalkozzunk vele. Az SSL kommunikációt, amit írtak, 10 perc alatt feltörtem.

Elmagyaráztam, hogy a csapat eddigi munkája cleartexttel egyenlő, mert csak az nem tudja feltörni, aki nem akarja. Mélyen él benne, hogy az SSL biztonságos, meg hogy comm.setSecure(true) szintű algoritmusokkal védeni lehet mindent.

Az SSL biztonságos, de ha fingjuk sincs, hogy mi a tökszárnak kell a tanúsítvány és a shared secret titkosítatlan TCP-n megy, akkor rohadt felesleges. Napokat tölt el a csapat, hogy egy bonyolultabb cleartextet találjon ki.

Ha nem lenne confidental, viccmagazinba raknám az egészet. Lenne min röhögni...

> Az SSL biztonságos,
A biztonság csak egy illúzió.. az meg hogy az SSL biztonságos elég erős túlzás.:)

Miert, az NSA-nal dolgozol? ;-)

Egyebkent meg a biztonsag relativ fogalom. A cleartext-hez kepest az SSL peldaul a biztonsag netovabbja ott, ahol eddig cleartext-ben gondolkodtak.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Az USA törvényei minden olyan titkosítást tiltanak, amit 7 napnál tovább tart feltörtni.

Persze én lennék a legboldogabb, ha 100.000 gép 7 nap alatt törné fel a kommunikációnkat, de ettől azért még messze vagyunk.

Jelenleg azon küzdök, hogy a privát kulcs kikerüljön a repóból a forrásfájlok mellől.

Erről van szó. Ha fingod nincs az egész security-ről, akkor bármilyen erős algoritmusból képes vagy másodpercek tört része alatt cleartextet csinálni. Nem elég mintákat megnézni a neten, hogy mások hogyan csinálják, hanem meg is kell érteni, hogy mi történik.

ne beszelj butasagokat, nincs ilyen torveny, Mr. Malloc.

Az EAR Export Compliance-t nem venném ennyire félvállról. Van, hogy a teherautóról kell visszafordítani egy adott terméket, mert a raktárból kiadás után 10 perccel került tiltólistára az adott cég/ország/cím/név(!).

http://www.bis.doc.gov/encryption/question2.htm <-- az itt megadottak felső határok B (relaxed) besorolású országokba.
64bit szimmetrikus/768bit aszimetrikus kulcs felett pedig mindenképp előzetesen kell engedélyeztetni a kivitelt a BIS-nél.

ez _export_. ez a szo ha megnezed, nem szerepel fent.

masreszt nem azt irja, hogy "X napnal tovabb tart feltorni". legyszives ilyen szabalyozast mutass ;)

az nem az en dolgom :)

bar ha neked a 64 bites szimmetrikus kulcs industrial grade, akkor reszvetem :)

Ja, ertem mi a bajod. Nem hallottal meg a Wassenaari egyezmenyrol.

de, kepzeld, hallottam. ettol fuggetlenul a trollkodas helyett toljatok mar be mindketten azt a torvenyt, ami leirja, hogy X nap alatt ha nem torheto fel, akkor nem hasznalhato/exportalhato/etc.

nem erdekelnek a bitek jelen kontextusban, nem erdekel a mellebeszeles amit malloc kollega levagott lent, linkeljetek a torvenyt, vagy GTFO

Nézd, a főnökség amíg a Nokiában dolgoztam kiszedette velünk a WAP szerverből az erős titkosítású algoritmusokat az USA törvényeire hivatkozva.

Elképzelhető, hogy szórakozásból készíttettek velünk külön szervert az USA piacra, de az is lehet, hogy tényleg van ilyen törvény.
Mi kiszedtük, hittünk a főnököknek. Ha nagyon érdekel a téma, magad utánanézhetsz, hogy létezik-e ilyen törvény vagy nem.

Idézet:
Az USA törvényei minden olyan titkosítást tiltanak, amit 7 napnál tovább tart feltörtni.

ezt irtad. irtam, hogy linkeld a torvenyt, azota meg csak mellebeszelsz.

Amint linkeled, hogy adóztatni kell Magyarországon a chips-eket, én is linkelni fogom a 7 napos törvényt.

- Magyarországon nem kell adóztatni a chips-eket
- az USA-ban meg nincs megtiltva, hogy olyan titkosítást használj, amit 7 napnál tovább tart feltörni

Viszont ha bemész a boltba, többet fizetsz a chipsért, mint Szlovákiában, meg a Nokia szerverből is eltűntek az erős titkosítások, amik feltörése több, mint 7 nap.

Nincs ilyen formában törvény, ahogy Magyarországon sincs chips adó...

mar megint terel a malloc szakerto ur :((

mar megint terel a javahuszar ur :((

szerinted ha te megölsz valakit, akkor nem ítélnek el, ha arra hivatkozol, hogy te nem öltél, hanem csak "elvetted az életét"?

halmozottan serult vagy, vagy mi? mast mar nem nagyon tudok elkepzelni. allitott valamit, mondtam, tamassza ala, azota csak a tereles megy.

Nem fejlődött ki a szövegértésed? Vagy a nick-eket nem tudod egymástól megkülönböztetni?

Én mikor említettem ezt az x napos feltörőst? Erre válaszolj!

Én azért linkeltem az idevágó törvényt, ami azért érdekes, mert ha a cucc csak megjárja a jueszéjt (amit eléggé nehéz elkerülni manapság), már export engedélyt kell kérni. Tudom, .uk és angolok a fejlesztők, de amint valaki mirrorozza (pl softpedia) vagy akárcsak gmailen elküldi magának, szopóág van. a fejlesztőknek. Kevesebbért is utasítottak már vissza vízumot, s ez a legjobb ami történhet.

Érted? Ha nem, akkor GTFO a fasz "linkeljtorvenytlinkeljtorvenytlinkeljtorvenyt" mantráddal együtt, vissza a logopédushoz.

Majd nézz utána mit csinál a logopédus, aztán gyere vissza osztani az észt :)
--
HUPbeszolas FF extension

bejottel Csabbal vedeni a munderbecsuletet, es mindenfele teljesen mas temaba terelni a szalat, ez megint erdektelen szamomra. leszarom h mit gondolsz az exportrol (mellesleg naponta talalkozom az idevago torvenyekkel, thank you very much), _nem ez volt a tema_.

A Chips adó sem úgy van megfogalmazva, hogy mindenki fizessen, aki chipset zabál. Népegészségügyi termékdíj a neve.

Az USA nem azért találta ki ezeket a szabályokat, hogy szórakoztasson minket. Nincs olyan titkosítás a listán, amit 5000 év lenne feltörni.
Kiszámolták, hogy az egyes algoritmusokat brute force mennyi idő alatt lehet feltörni, utána meghozták a törvényeket.

Az, hogy történetesen nem a "chips zabálásáról" van a törvény, hanem a sótartalomról, már mellékes.

Idézet:
Napokat tölt el a csapat, hogy egy bonyolultabb cleartextet találjon ki.

:DDDDDDDDDD nap kommentje

Beloluk ki is nezem :-)
--
cythoon

kikbol? erdekel a hatterinfo :))

Engem is nagyon érdekelne ez a háttérinfo.

Örömmel olvasnám a történeteket saját magamról és a kollégáimról.
Kérlek, meséljetek. Hadd legyen egy jó napunk!

Már hiányzott ez a link.

Vannak emberek, akik nem bírnak egyről a kettőre átjutni. Az említett hozzászólás áprilisi. Gondolom 90 éves koromban is ha a HUP-ra írok valamit, akkor megerőlteted az agysejtjeidet és elküldöd ezt a linket.

Meg kellene tanulni napirendre térni bizonyos témák fölött.

Én nem tudom, hogy te ki vagy mn3monic. Nem érdekel, ha valamit éppen rosszul tudsz, vagy netántán hülyeséget írsz le. Elfelejtem, nem foglalkozom vele, kisebb dolgom is nagyobb annál, minthogy számontartsam a hülyeségeidet.

Bocs a kérdésért, de mindenkiről visszamenőleg 10 évre tudod, hogy mikor éppen milyen baromságot írt le? Hány évet kell még itt eltöltenem, hogy ne linkelgessétek vissza a 2011 áprilisi hozzászólásomat?

Pszichológiailag nagyon nehéz ezt a fajta viselkedésmódot megérteni. Mi akadályoz téged abban, hogy napirendre térj a probléma felett? Mi a fenét érdekel téged az, hogy ki az a Csab és milyen marhaságot írt le 2011 áprilisában? Minek foglalkozol velem, minek linkelsz hülyeségeket, amiknek történetesen semmi köze a témához?

áh, van valami huptroll extension, amivel aktát vezethetsz másokról, valahol emlegették.

Erre gondolsz?

http://gabucino.gethostbyna.me/hupmeme/index.html

Alapvetően nem zavar, hogy az idóta hozzászólásokat összegyűjtik, de sajnos nem azért teszik, hogy jót röhögjenek rajta, hanem hogy legyen mivel buzerálni a másikat.

:)

lehet. Gabucinot se az intelligenciájáért szeretjük :-) Szeretjük egyáltalán?

> http://gabucino.gethostbyna.me/hupmeme/index.html
Szégyellem magam, hogy nem vagyok fenn. Ezentúl jobban igyekszem.

énisénis

Bebe, én már fenn vagyok. Egy erős, kialakult világszemlélet mindig segít, hogy kifinomult troll legyél. És akkor a csodálóid összegyűjtik és megőrzik a mondókáidat. ^^

"Trolling softly" ez legyen mindig a szemed előtt. És az mindkét félnek jól esz. ^^

--
GPLv3-as hozzászólás.

Azt mondtad linkeljünk, erre most nem tetszik? Akkot csak április utáni sztorik jöhetnek szóba? Hihetetlen :) Ja és gondolom azóta már rettenetesen értesz a c-hez is.
--
HUPbeszolas FF extension

Jó, oké, akkor linkelj mást.

A hupmeme is csak 3 hozzászólást tartalmaz tőlem (egyenlőre):

Csab:
- és a C (hash, array, realloc, etc)
- Érdekes, de legutóbb felraktam egy Amiga emulátort és kipróbáltam néhány Amiga játékot. Nekem nem tűnt nagyságrendi ugrásnak a C64-hez képest.
- A gyártóknak kötelessége az exploit-ot bezárni.

Ez azért egyáltalán nem kirívó. Még szerencse, hogy összegyűjtötték!

cool story bro

egyenlőre. Grat... :-)

(kevés helyesírási tévedés az, amire ugrok, de erre nagyon :-) ).

On: PuTTY-on kívül van használható ssh-telnet-miegymás kliens Windowsra?

Persze.
ssh cygwin vagy msys-en keresztül, terminálnak pedig console2.
--
HUPbeszolas FF extension

Kosz a console2-t.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Hogyne. Peldaul ZoC ami kb 100x jobb mint putty.
--
cythoon

Hát, mivel a putty-ot utálom, exceeddel felmászok egy céges szerverre, elindítok egy KDE sessiont és rajta a konsole-t.

Brutális megoldás, mert legalább 1 gigát megeszik a két gépen együtt, de számomra baromi kényelmes.

Eddig nem szóltak miatta, hogy ezt azért már mégse, de ha szólnak, akkor jönni fog a putty.

A putty billentyűzet kiosztásával volt bajom, bármelyik beállítással rossz volt, nem sikerült beállítanom a scrollt normálisra (5000 sor memória, kis terminál ablak), több tab egyszerre. Nálam legalább 9-10 terminál nyitva van egyszerre külön tabon, elég nagy káosz lenne mindez külön ablakokban.

Nem tudom, hogy az új putty támogatja-e mindezt, mert régóta nem használom.

screen.
Nálam tök jól működik a putty.

SecureCRT. Csak sajnos fizetos.

--
http://www.micros~1

"Az SSL (...) shared secret titkosítatlan TCP-n megy"

Hogya micsinal?

--
"You're NOT paranoid, we really are out to get you!"

Hát, először én sem értettem, hogy minek shared secret az SSL-re.

Végül kiderült, tanusítványok helyett használták. Mert ugye rájöttek, hogy egy portra tetszőleges ember kapcsolódhat SSL-lel, valahogy azért ellenőrizni kellett, hogy ki a delikvens. Ez úgy történt, hogy cleartext-ben megküldték TCP-n a shared secretet a kliensnek, amit minden kérésnél visszaküldött, a szerver így azonosította.

Jogos a kérdés, de minthogy confidential bullshitről van szó, ezért ennek szellemében kicsit átalakítva/fűszerezve írtam le a sztorit, de hellyel-közzel a történet erről szól, kis csúsztatással. Ha leírnám a komplett algoritmust, még beperelnének szabadalomsértésért.

:)))

Kapcsolodo info, hogy vegre van benne AES (?) titkositas, ami az openssh RSA kulcsok legujabb defaultja. Mindenkinek ajanlott a frissites, mert az elozo verzio sajnos nem kepes az uj RSA kulcsokat importalni, csak egy piros koros kis uzenetdobozzal dijazza a kitartoakat.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

"Ez problémás, mert így más processzek kiolvasva a PuTTY memóriáját kinyerhették a jelszót"

Szerintem igazából ez a problémás :(

Ott a pont... OS szintű processz memória védelem, legalább bizonyos lapokra, az meg smafu, mi?

Hát, ez a hiba nekem még nem tűnik olyan durvának.

- minimum rendszergazda szinten kell futnia a processznek, ha ki akarja olvasni a swap + procesz memóriákat
(legalábbis úgy gondolnám, hogy a guest/nobody user nem látja, hogy mit nyom a putty a swap-ra)
- core dump-ot sem tudja mindenki elolvasni, mert úgy emlékszem 600-val generálódik, persze ez veszélyesebb, mert más alkalmazás (ugyanazzal a user-rel) olvashatja. Viszont a putty-ot fagyasztani kell hozzá.

Ha viszont a támadás rendszergazda szintről jön, akkor ennél egyszerűbb módok is vannak, pl. keylogger.

Első ránézésre a jelszó kinyeréséhez minimum rendszergazda jogosultság kell, vagy fizikai hozzáférés a merevlemezhez a swap átvizsgálására.

Szerintem a KWallet a KDE esetén is a memóriában tárolja a password-öket, mert nem kéri be minden egyes kapcsolódáskor. Márpedig a cache-eléshez a jelszót valahol tárolni kell, ez pedig a memória.

Hallod, szerintem ne szolj hozza tobbet konyorgom....Te ismered amugy ezt a programot vagy csak belenyogsz a topicba minden fele baromsagot? Meg jo ,hogy ez alapvetoen egy windowos program es nem linux de semmi gond.De Te hozza erto vagy.
--
1 leszel vagy 0 élő vagy hulla!

Kérlek, ne kezdjük előről a hülyeséget. A putty fut linux alatt (sőt használják is), ezek után én is elmondhatám, hogy kérlek ne szólj bele, mert teljesen hülye vagy a témában...

(http://tartarus.org/~simon/putty-snapshots/putty.tar.gz)

Nem tudom, hogy valaha az életben meg fogom-e érni, hogy kijavítsanak ahol tévedek, nem pedig a "hú de barom vagy" hozzászólásokat lökjék magyarázatok nélkül.

Putty szempontból nincs különbség Windows/Linux között.
- az NTFS kezeli a jogosultságokat, a 600 (csak a tulaj) ott is megy más módon (van core fájl Windows alatt is, legalábbis Visual Studio-n biztosan, de alapból nem generálja)
- a swap-ot, procesz memóriát Windows alatt sem olvashatja mindenki
...

Az álmoskönyv szerint nem jó jel ha a kollégák azt mondják neked hogy:
"Öcsém te olyan hülye vagy hogy még Linux-on is PuTTY-ot használsz."

Nem használok Putty-ot Linuxon.

Egy másik topikban még bőszen emlegettem, hogy a Putty Windows-os program, aztán lehülyéztek. Utánanéztem és igazuk volt. Ebben a topikban már fejlődtem és bőszen emlegetem, hogy a Putty Linux és Windows-os program egyszerre, de most ezért hülyéznek le.

Kicsit olyan érzésem van, hogy lényegtelen amit leírok, lehülyézés lesz a vége.
:)))

Kezded érteni :)
--
HUPbeszolas FF extension

"új lehetsz errefelé..." :)

Ha már úgy döntöttél, hogy írsz, akkor örülj, mert ennyire nem rossz a helyzet. Van választási lehetőséged. Megválaszthatod, ki fog lehülyézni... :-)

Gondolkozz egy kicsit más OS-ben is, ahol minden rendszergazda módban futhat :)
Tudod kicsi ablakok . :)

Windows és Windows között is vannak különbségek.

Egy Windows-t leglább olyan szépen be lehet konfigurálni jogosultságok szempontjából, mint egy Linux-ot. A vállalati gépemen nem tudom lecserélni például a DLL-eket, meg semmit sem tudok felülírni.

Sajnos az alapértelmezett beállítás Windows-on az, hogy mindenkinek lehet mindent. Őrült nagy marhaság, de így van.

Mindenesetre a legtöbb cégnél rájöttek, hogy jobb, ha visszavesznek a jogosultságokból, ha nem akarnak naponta image-elni...

Melyek az a legtöbb cég? Elég ha kettőt mondasz.
--
HUPbeszolas FF extension

Eddig két munkahelyem volt (multi). Mindkét helyen tiltva volt alapból minden. Készítettek egy image-et és azt lehetett bütykölni.

Az első munkahelyemen "Local Administrator" jogot kellett kérnem, utána azt raktam a gépre, amit csak akartam.

A második munkahelyemen nincs "Local Administrator" jogom, viszont egy program installálja a szoftvereket helyettem. Szóval ha pl. "Total Commander" kellene, akkor nem az exe-re klikkelek, hanem egy szkriptre, az meg felrakja nekem.

Több munkahelyem nem volt, erről a kettőről tudok valamit mondani. Logikusan azt gondolnám, hogy semmi értelme mindenkinek minden jogot megadni és hogy a rendszergazdák nem engedik meg...

"minimum rendszergazda szinten kell futnia a processznek, ha ki akarja olvasni a swap + procesz memóriákat"

Nem kell.

--
"You're NOT paranoid, we really are out to get you!"

Félig igaza van. A swaphoz kell (márha a diszkre cachelt fájlra gondolt).

--
GPLv3-as hozzászólás.

Azt gondolnám, hogy egy normális operációs rendszeren A procesznek nincs joga B procesz privát memóriaterületét sem írni, sem olvasni (nem shared memory).
Legalábbis a védett mód kidolgozásánál ez egy alapkövetelmény volt.

Meglepődnék, ha a grep az ls memóriaterületét olvasni/írni tudná.

meglepődnék ha kiderülne, hogy nem egy médiahack vagy

+1 :)
--
cythoon

Meg lehet csinalni, bar nem script kiddie-knek valo.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

procfs (/proc -> eredetileg - es linuxon kivul mindenhol mashol - debugger API!), ptrace, ReadProcessMemory/WriteProcessMemory
csak, hogy par API-t emlitsek

--
NetBSD - Simplicity is prerequisite for reliability

Ebben igazad van. A gdb is kiolvassa egy másik procesz memóriáját. Valóban nem kell rendszergazdának lenni.

Csunyat mondok: irni is tudja. De mivel az kodszegmens, igy megint masrol beszelunk, mint amirol szo van. Pls, tenyleg olvass utana ennek, mielott reagalsz.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Jogos a kritika, köszönöm, bocsánat. Alapvetően a probléma az, hogy biztonságos programot mély rendszerismeret nélkül nem lehet írni.

Egy memóriában tárolt jelszóval is simán meg lehet szívni, de ezen kívül még van 1000 hasonló probléma.

Nyilván a főnök kiadja a feladatot, hogy SSL, a beosztott utána olvas két cikket és elkészíti a programot. A végeredmény meg cleartext.

Más részlegek kódját is láttam, hasonlóak. Az opensource nagy előnye, hogy látják és balhéznak, ha valami nem stimmel. Amit én látok az hamis biztonsági érzet a vállalaton belül. A legtöbb algoritmus törhető, profi számára semmit sem véd.

Lehet, hogy erre képzett szakembereket kellene megfizetni, mert az emberek 99%-a nem képes biztonságos kódot írni.

Az előző munkahelyemen sem voltak képesek rá. A titkosítási algoritmusoknál a randomot úgy számolták ki, hogy a 128 byte-ba beírták a time() értékét 32-szer. Miután a cég megfizetett egy szakértő gárdát, 1 óra múlva már feltörték a szervert. Megsaccolták, hogy mikor indulhatott...

A security az sajnos ilyen.

en ugy latom inkabb, hogy az alapveto problema az, hogy mely ismeret nelkul a levegobe osztod az eszt* :) de legalabb elismered, az plusz pont :)

*: security temaban ez duplan nehez dolog, foleg, ha olyanok is olvassak a postot, akik securityben dolgoznak. :-)

Azt kell, hogy mondjam, hogy a HUP-on mindenki követ el tévedéseket (csak olvass vissza a fórumon).

Jelenleg én vagyok az ügyeletes, akit percenként ki kell javítani, még akkor is, ha éppen igazam van.
Vannak, akik udvariasan kijavítanak, mások viszont bunkóznak reggeltől estig és primitív megjegyzéseket írnak.

Te magad eldöntheted, hogy melyik csoportba tartozol.

kar, hogy engem szemernyit sem izgat, hogy epp melyik csoportba sorolsz...

ugy latom te nem abban dolgozol :)

szemuveg, szemuveg! nem mondta meg az orvos?

A gdb a változók értékét is tudja olvasni, nem csak a kódszegmenst.

Jogos a ket pont. Akkor kijatszom az adu aszt: ahhoz, hogy a gdb egyaltalan mukodni tudjon, ugy kell forditani a progit, vagy adni kell neki debug symbolokat, mert kulonben nem tudja lekovetni a valtozasokat. Azt mar csak tippelem, hogy valami connectorfele is befordul ilyenkor a programba, hogy a gdb rendesen ra tudjon kapcsolodni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

connectorfele, jujj

--
NetBSD - Simplicity is prerequisite for reliability

Ez netto baromsag. A debug sym csak megkonnyiti a debuggolast, adott pointereket ember altal olvashato formaban tud kezelni, mas jelentoseguk nincs. A "connector" elmeleted meg ugy hulyeseg ahogy van.

---
pontscho / fresh!mindworkz

Ez kemény volt...
Nem, semmi connectorféle nincs. Legfeljebb debug info, de az más.

Persze megint más, ha beágyazott rendszerre írsz kódot, ott lehetnek huncutságok (architektúrafüggő). Évfolyamtárs pl. írt olyan Picoblaze debugger hardvert, amihez tényleg kellett a szoftver kódba írni valamit.

„connectorféle”… ezt egy darabig mondogatni fogom, valóban nagyon ütős, mint az adu ász! :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

OMFG b+, hagyjatok mar abba

--
"You're NOT paranoid, we really are out to get you!"

dehat KONNEKTOR VAN BENNE, nem erted?!?!

Subscribe