PuTTY 0.62

Szerszám

Simon Tatham a napokban bejelentette a PuTTY 0.62-es kiadását. Ebben a karbantartási kiadásban egyebek mellett javítottak egy, a 0.59-es, 0.60-as és 0.61-es verzióban is jelen levő biztonsági problémát. Mégpedig azt, hogy SSH-2 keyboard-interactive bejelentkezés használata után a PuTTY memóriájában megőrződött a jelszó mindaddig, amíg a PuTTY futott. Ez problémás, mert így más processzek kiolvasva a PuTTY memóriáját kinyerhették a jelszót, továbbá a jelszavak kiíródtak a swap területre, illetve a crash dump-okba is. A bejelentés elolvasható itt.

( dblaci | 2011. 12. 12., h – 21:27 )

Remélem ebben már utf-8 a default. :D

( Csab | 2011. 12. 12., h – 22:47 )

A security egy bonyolult kérdés. A főnököm mániája volt, hogy minden legyen secure SSL. Mondtam, hogy vagy az egész csapat részt vesz egy security tanfolyamon és mindenki érti, vagy ne foglalkozzunk vele. Az SSL kommunikációt, amit írtak, 10 perc alatt feltörtem.

Elmagyaráztam, hogy a csapat eddigi munkája cleartexttel egyenlő, mert csak az nem tudja feltörni, aki nem akarja. Mélyen él benne, hogy az SSL biztonságos, meg hogy comm.setSecure(true) szintű algoritmusokkal védeni lehet mindent.

Az SSL biztonságos, de ha fingjuk sincs, hogy mi a tökszárnak kell a tanúsítvány és a shared secret titkosítatlan TCP-n megy, akkor rohadt felesleges. Napokat tölt el a csapat, hogy egy bonyolultabb cleartextet találjon ki.

Ha nem lenne confidental, viccmagazinba raknám az egészet. Lenne min röhögni...

Az USA törvényei minden olyan titkosítást tiltanak, amit 7 napnál tovább tart feltörtni.

Persze én lennék a legboldogabb, ha 100.000 gép 7 nap alatt törné fel a kommunikációnkat, de ettől azért még messze vagyunk.

Jelenleg azon küzdök, hogy a privát kulcs kikerüljön a repóból a forrásfájlok mellől.

Erről van szó. Ha fingod nincs az egész security-ről, akkor bármilyen erős algoritmusból képes vagy másodpercek tört része alatt cleartextet csinálni. Nem elég mintákat megnézni a neten, hogy mások hogyan csinálják, hanem meg is kell érteni, hogy mi történik.

Az EAR Export Compliance-t nem venném ennyire félvállról. Van, hogy a teherautóról kell visszafordítani egy adott terméket, mert a raktárból kiadás után 10 perccel került tiltólistára az adott cég/ország/cím/név(!).

http://www.bis.doc.gov/encryption/question2.htm <-- az itt megadottak felső határok B (relaxed) besorolású országokba.
64bit szimmetrikus/768bit aszimetrikus kulcs felett pedig mindenképp előzetesen kell engedélyeztetni a kivitelt a BIS-nél.

de, kepzeld, hallottam. ettol fuggetlenul a trollkodas helyett toljatok mar be mindketten azt a torvenyt, ami leirja, hogy X nap alatt ha nem torheto fel, akkor nem hasznalhato/exportalhato/etc.

nem erdekelnek a bitek jelen kontextusban, nem erdekel a mellebeszeles amit malloc kollega levagott lent, linkeljetek a torvenyt, vagy GTFO

Nézd, a főnökség amíg a Nokiában dolgoztam kiszedette velünk a WAP szerverből az erős titkosítású algoritmusokat az USA törvényeire hivatkozva.

Elképzelhető, hogy szórakozásból készíttettek velünk külön szervert az USA piacra, de az is lehet, hogy tényleg van ilyen törvény.
Mi kiszedtük, hittünk a főnököknek. Ha nagyon érdekel a téma, magad utánanézhetsz, hogy létezik-e ilyen törvény vagy nem.

Amint linkeled, hogy adóztatni kell Magyarországon a chips-eket, én is linkelni fogom a 7 napos törvényt.

- Magyarországon nem kell adóztatni a chips-eket
- az USA-ban meg nincs megtiltva, hogy olyan titkosítást használj, amit 7 napnál tovább tart feltörni

Viszont ha bemész a boltba, többet fizetsz a chipsért, mint Szlovákiában, meg a Nokia szerverből is eltűntek az erős titkosítások, amik feltörése több, mint 7 nap.

Nincs ilyen formában törvény, ahogy Magyarországon sincs chips adó...

Nem fejlődött ki a szövegértésed? Vagy a nick-eket nem tudod egymástól megkülönböztetni?

Én mikor említettem ezt az x napos feltörőst? Erre válaszolj!

Én azért linkeltem az idevágó törvényt, ami azért érdekes, mert ha a cucc csak megjárja a jueszéjt (amit eléggé nehéz elkerülni manapság), már export engedélyt kell kérni. Tudom, .uk és angolok a fejlesztők, de amint valaki mirrorozza (pl softpedia) vagy akárcsak gmailen elküldi magának, szopóág van. a fejlesztőknek. Kevesebbért is utasítottak már vissza vízumot, s ez a legjobb ami történhet.

Érted? Ha nem, akkor GTFO a fasz "linkeljtorvenytlinkeljtorvenytlinkeljtorvenyt" mantráddal együtt, vissza a logopédushoz.

A Chips adó sem úgy van megfogalmazva, hogy mindenki fizessen, aki chipset zabál. Népegészségügyi termékdíj a neve.

Az USA nem azért találta ki ezeket a szabályokat, hogy szórakoztasson minket. Nincs olyan titkosítás a listán, amit 5000 év lenne feltörni.
Kiszámolták, hogy az egyes algoritmusokat brute force mennyi idő alatt lehet feltörni, utána meghozták a törvényeket.

Az, hogy történetesen nem a "chips zabálásáról" van a törvény, hanem a sótartalomról, már mellékes.

Már hiányzott ez a link.

Vannak emberek, akik nem bírnak egyről a kettőre átjutni. Az említett hozzászólás áprilisi. Gondolom 90 éves koromban is ha a HUP-ra írok valamit, akkor megerőlteted az agysejtjeidet és elküldöd ezt a linket.

Meg kellene tanulni napirendre térni bizonyos témák fölött.

Én nem tudom, hogy te ki vagy mn3monic. Nem érdekel, ha valamit éppen rosszul tudsz, vagy netántán hülyeséget írsz le. Elfelejtem, nem foglalkozom vele, kisebb dolgom is nagyobb annál, minthogy számontartsam a hülyeségeidet.

Bocs a kérdésért, de mindenkiről visszamenőleg 10 évre tudod, hogy mikor éppen milyen baromságot írt le? Hány évet kell még itt eltöltenem, hogy ne linkelgessétek vissza a 2011 áprilisi hozzászólásomat?

Pszichológiailag nagyon nehéz ezt a fajta viselkedésmódot megérteni. Mi akadályoz téged abban, hogy napirendre térj a probléma felett? Mi a fenét érdekel téged az, hogy ki az a Csab és milyen marhaságot írt le 2011 áprilisában? Minek foglalkozol velem, minek linkelsz hülyeségeket, amiknek történetesen semmi köze a témához?

Bebe, én már fenn vagyok. Egy erős, kialakult világszemlélet mindig segít, hogy kifinomult troll legyél. És akkor a csodálóid összegyűjtik és megőrzik a mondókáidat. ^^

"Trolling softly" ez legyen mindig a szemed előtt. És az mindkét félnek jól esz. ^^

--
GPLv3-as hozzászólás.

Jó, oké, akkor linkelj mást.

A hupmeme is csak 3 hozzászólást tartalmaz tőlem (egyenlőre):

Csab:
- és a C (hash, array, realloc, etc)
- Érdekes, de legutóbb felraktam egy Amiga emulátort és kipróbáltam néhány Amiga játékot. Nekem nem tűnt nagyságrendi ugrásnak a C64-hez képest.
- A gyártóknak kötelessége az exploit-ot bezárni.

Ez azért egyáltalán nem kirívó. Még szerencse, hogy összegyűjtötték!

Hát, mivel a putty-ot utálom, exceeddel felmászok egy céges szerverre, elindítok egy KDE sessiont és rajta a konsole-t.

Brutális megoldás, mert legalább 1 gigát megeszik a két gépen együtt, de számomra baromi kényelmes.

Eddig nem szóltak miatta, hogy ezt azért már mégse, de ha szólnak, akkor jönni fog a putty.

A putty billentyűzet kiosztásával volt bajom, bármelyik beállítással rossz volt, nem sikerült beállítanom a scrollt normálisra (5000 sor memória, kis terminál ablak), több tab egyszerre. Nálam legalább 9-10 terminál nyitva van egyszerre külön tabon, elég nagy káosz lenne mindez külön ablakokban.

Nem tudom, hogy az új putty támogatja-e mindezt, mert régóta nem használom.

Hát, először én sem értettem, hogy minek shared secret az SSL-re.

Végül kiderült, tanusítványok helyett használták. Mert ugye rájöttek, hogy egy portra tetszőleges ember kapcsolódhat SSL-lel, valahogy azért ellenőrizni kellett, hogy ki a delikvens. Ez úgy történt, hogy cleartext-ben megküldték TCP-n a shared secretet a kliensnek, amit minden kérésnél visszaküldött, a szerver így azonosította.

Jogos a kérdés, de minthogy confidential bullshitről van szó, ezért ennek szellemében kicsit átalakítva/fűszerezve írtam le a sztorit, de hellyel-közzel a történet erről szól, kis csúsztatással. Ha leírnám a komplett algoritmust, még beperelnének szabadalomsértésért.

:)))

( hrgy84 | 2011. 12. 13., k – 01:07 )

Kapcsolodo info, hogy vegre van benne AES (?) titkositas, ami az openssh RSA kulcsok legujabb defaultja. Mindenkinek ajanlott a frissites, mert az elozo verzio sajnos nem kepes az uj RSA kulcsokat importalni, csak egy piros koros kis uzenetdobozzal dijazza a kitartoakat.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( manfreed (nem ellenőrzött) | 2011. 12. 13., k – 09:25 )

"Ez problémás, mert így más processzek kiolvasva a PuTTY memóriáját kinyerhették a jelszót"

Szerintem igazából ez a problémás :(

Hát, ez a hiba nekem még nem tűnik olyan durvának.

- minimum rendszergazda szinten kell futnia a processznek, ha ki akarja olvasni a swap + procesz memóriákat
(legalábbis úgy gondolnám, hogy a guest/nobody user nem látja, hogy mit nyom a putty a swap-ra)
- core dump-ot sem tudja mindenki elolvasni, mert úgy emlékszem 600-val generálódik, persze ez veszélyesebb, mert más alkalmazás (ugyanazzal a user-rel) olvashatja. Viszont a putty-ot fagyasztani kell hozzá.

Ha viszont a támadás rendszergazda szintről jön, akkor ennél egyszerűbb módok is vannak, pl. keylogger.

Első ránézésre a jelszó kinyeréséhez minimum rendszergazda jogosultság kell, vagy fizikai hozzáférés a merevlemezhez a swap átvizsgálására.

Szerintem a KWallet a KDE esetén is a memóriában tárolja a password-öket, mert nem kéri be minden egyes kapcsolódáskor. Márpedig a cache-eléshez a jelszót valahol tárolni kell, ez pedig a memória.

Kérlek, ne kezdjük előről a hülyeséget. A putty fut linux alatt (sőt használják is), ezek után én is elmondhatám, hogy kérlek ne szólj bele, mert teljesen hülye vagy a témában...

(http://tartarus.org/~simon/putty-snapshots/putty.tar.gz)

Nem tudom, hogy valaha az életben meg fogom-e érni, hogy kijavítsanak ahol tévedek, nem pedig a "hú de barom vagy" hozzászólásokat lökjék magyarázatok nélkül.

Putty szempontból nincs különbség Windows/Linux között.
- az NTFS kezeli a jogosultságokat, a 600 (csak a tulaj) ott is megy más módon (van core fájl Windows alatt is, legalábbis Visual Studio-n biztosan, de alapból nem generálja)
- a swap-ot, procesz memóriát Windows alatt sem olvashatja mindenki
...

Nem használok Putty-ot Linuxon.

Egy másik topikban még bőszen emlegettem, hogy a Putty Windows-os program, aztán lehülyéztek. Utánanéztem és igazuk volt. Ebben a topikban már fejlődtem és bőszen emlegetem, hogy a Putty Linux és Windows-os program egyszerre, de most ezért hülyéznek le.

Kicsit olyan érzésem van, hogy lényegtelen amit leírok, lehülyézés lesz a vége.
:)))

Windows és Windows között is vannak különbségek.

Egy Windows-t leglább olyan szépen be lehet konfigurálni jogosultságok szempontjából, mint egy Linux-ot. A vállalati gépemen nem tudom lecserélni például a DLL-eket, meg semmit sem tudok felülírni.

Sajnos az alapértelmezett beállítás Windows-on az, hogy mindenkinek lehet mindent. Őrült nagy marhaság, de így van.

Mindenesetre a legtöbb cégnél rájöttek, hogy jobb, ha visszavesznek a jogosultságokból, ha nem akarnak naponta image-elni...

Eddig két munkahelyem volt (multi). Mindkét helyen tiltva volt alapból minden. Készítettek egy image-et és azt lehetett bütykölni.

Az első munkahelyemen "Local Administrator" jogot kellett kérnem, utána azt raktam a gépre, amit csak akartam.

A második munkahelyemen nincs "Local Administrator" jogom, viszont egy program installálja a szoftvereket helyettem. Szóval ha pl. "Total Commander" kellene, akkor nem az exe-re klikkelek, hanem egy szkriptre, az meg felrakja nekem.

Több munkahelyem nem volt, erről a kettőről tudok valamit mondani. Logikusan azt gondolnám, hogy semmi értelme mindenkinek minden jogot megadni és hogy a rendszergazdák nem engedik meg...

Azt gondolnám, hogy egy normális operációs rendszeren A procesznek nincs joga B procesz privát memóriaterületét sem írni, sem olvasni (nem shared memory).
Legalábbis a védett mód kidolgozásánál ez egy alapkövetelmény volt.

Meglepődnék, ha a grep az ls memóriaterületét olvasni/írni tudná.

Jogos a kritika, köszönöm, bocsánat. Alapvetően a probléma az, hogy biztonságos programot mély rendszerismeret nélkül nem lehet írni.

Egy memóriában tárolt jelszóval is simán meg lehet szívni, de ezen kívül még van 1000 hasonló probléma.

Nyilván a főnök kiadja a feladatot, hogy SSL, a beosztott utána olvas két cikket és elkészíti a programot. A végeredmény meg cleartext.

Más részlegek kódját is láttam, hasonlóak. Az opensource nagy előnye, hogy látják és balhéznak, ha valami nem stimmel. Amit én látok az hamis biztonsági érzet a vállalaton belül. A legtöbb algoritmus törhető, profi számára semmit sem véd.

Lehet, hogy erre képzett szakembereket kellene megfizetni, mert az emberek 99%-a nem képes biztonságos kódot írni.

Az előző munkahelyemen sem voltak képesek rá. A titkosítási algoritmusoknál a randomot úgy számolták ki, hogy a 128 byte-ba beírták a time() értékét 32-szer. Miután a cég megfizetett egy szakértő gárdát, 1 óra múlva már feltörték a szervert. Megsaccolták, hogy mikor indulhatott...

A security az sajnos ilyen.

Azt kell, hogy mondjam, hogy a HUP-on mindenki követ el tévedéseket (csak olvass vissza a fórumon).

Jelenleg én vagyok az ügyeletes, akit percenként ki kell javítani, még akkor is, ha éppen igazam van.
Vannak, akik udvariasan kijavítanak, mások viszont bunkóznak reggeltől estig és primitív megjegyzéseket írnak.

Te magad eldöntheted, hogy melyik csoportba tartozol.

Jogos a ket pont. Akkor kijatszom az adu aszt: ahhoz, hogy a gdb egyaltalan mukodni tudjon, ugy kell forditani a progit, vagy adni kell neki debug symbolokat, mert kulonben nem tudja lekovetni a valtozasokat. Azt mar csak tippelem, hogy valami connectorfele is befordul ilyenkor a programba, hogy a gdb rendesen ra tudjon kapcsolodni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal