3 éves Linux SCTP IPv6 IPsec biztonsági hiba: NSA kedveli ezt

 ( Hunger | 2013. szeptember 14., szombat - 9:32 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az SCTP nem hibbibol kerult bele a linux kernelbe, hanem a tavkozlesi multik dolgozoi irtak meg (Carrier Grade Linux).
Tobb hiba van benne, mint a kernel tobbi reszeben egyuttveve.
Ugy indultak, hogy kuldtek egy 1.5millio soros patch-et es pampogtak, hogy azonnal keruljon bele a linux kernelbe.

Ugyhogy ez pont rossz pelda. Ugyanis a nagy cegek szar munkajara pelda, nem a hobbistakera.
--
Live free, or I f'ing kill you.

Szarkazmusra gyurjal meg picit. Ha eltekintünk attól, hogy a Linux kb. 90%-at cégek írják, meg mindig ott van, hogy a "hobbistak" se bagoztak ra 3 evig. Mindezt úgy, hogy bejelentett hiba volt.

Ezek után gondolkozz el, hogy mennyire megalapozott es életszerű az a feltételezés, hogy az open source rendszerek törvényszerűen, termeszetukbol fakadóan biztonsagosabbak, merthogy több ember nézi at a kódot.

Megmondom: semennyire. A nagy lofaszt nézik at. Ez a bug se code audit eredménye, hanem wireshark-os szagolgatase, amit természetesen bármelyik nyílt vagy zárt rendszeren megtehetsz. Cserébe a black hat sokkal egyszerűbben keresgelhet sechole-okat. Fair trade :)

Ne zavarjon az elmélkedésben, hogy a hiba megvan, tehát valaki mégis átnézte a kódot, csak senki sem foglalkozik a javításával.
Azért az nem ugyanaz, mint a "blackhat" társulat kivételével senki sem tud róla!


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Mar leírtam, de akkor a gynegebbek kedvéért leírom meg egyszer: senki nem nézett semmilyen kodot, wiresharkban totyoresztek. Olvasd mar el, mielőtt beleokoskodsz.

Ha jól sejtem, azt közben szerkesztetted bele, mialatt én írtam. :D
De mindegy. Még akár igazad is lehet.
Gondolom ez igaz az összes, általad jelzett hibájára is.
Bocs, azt anr említette, hogy teli van hibákkal.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

? leszarom az SCTP-t, a mondanivaló nem ez volt.

hopp egy átugrott sor

hopp, egy lefosott fejű Hunger. :D


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Szellemi fölényeddel nem véletlen, hogy így "lenézel".

Nézd, hogy pszichésen sérült vagy, arról nem én tehetek.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

"nézem"

Hm. Szóval megint elhagyott a fiúbarátnőd? Már értelek. :D


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

szellemi fölényeddel át"látsz" rajtam

Biztosan megcsaltad a kecskével.
Jelezném, az is Btk tétel! :D


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Közvetlenül az arab írás Btk tétel mellett "látható"? ;)

Tényleg nem tanítottak jogot nektek? Fura... pedig úgy tudtam, az IT-hez kapcsolódó témákat azért fel szoktak venni a tananyagba. Jó, a kecskéről nem tudtad, hogy törvénysértés, azt megértem: a szokás hatalma, vonzottak hozzá a hormonok.
De hogy azt sem tudod, hogy amit azzal az arab szöveggel műveltél, az jogsértés... :D


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

biztos másfelé "nézelődtem" akkoriban

OMG... koszonjuk, majd ertesitjuk!

attól még, hogy van egy ilyen incidens, a "security through obscurity" miért lenne jobb ennél?

Ki írta, hogy jobb lenne ennél? Főleg, hogy Linus egyben "security through obscurity" híve is. ;)

Lássuk csak, tesztelni ugyanúgy lehet, cserébe a black hat nem túrkálat a szennyben, hmm, nem is tudom.

L0O0OL

a kurva eletbe, ez odakur :)

--
Vége a dalnak, háború lesz...

OMG, evvel-avval, sok-sok hozzaerto, az.... Ez veletlenul nem anr site-ja? :D

Szerk: jahogy PtY az elkoveto. Ez mindent megmagyaraz!

Mint a mellekelt abra mutatja, az sem jelent biztonsagot hogy a zart forrasu termek gyartoja azt mondja "becs szo nincs benne backboor" es oda adja a forrast. ES eveken keresztul szolgaltatja a backdoor-okat illetve benne hagyja es csak kesobb javitja.

Amde a nyilt forras ereje pont az hogy - na nem kis pista hobby fejleszto - de egy eleg nagy szervezet epithet ra sajat termeket, atnezheti auditalhatja es utana felhasznalhatja azt. CSAK ez nyujthat eleg biztonsagot. Ugy mint a francia kormany most v korabban a kinaiak. Remelem elobb utobb a tobbiek is rajonnek h nem mas orszag zart - es kontroll alatt tartott - termekeit kell hasznalni mert az hatalmas biztonsagi kockazat.

Zsenialis, ahogy elmagyarazod, hogy valami mukodik - egy olyan topikban, ahol az bizonyosodik be, hogy nem mukodik :)

Ismerős a feltételes mód kifejezés? (nyelvtan óra, ált. iskola ;) )


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Ismeros a mondas a nagyanyamrol meg az aramszedorol?

En azt gondolom h eddig nem nagyon vettek komolyan a nyilt forrast, de most valami - talan - elkezdodott. Hamar a francia kormany sajat telefont terveznek hasznalni nyilt forrasra alapozva biztonsagi okokra hivatkozva.

A francia kormany talalta ki a HADOPI-t is, most ok komolyan mervadoak szerinted? Ennyi erovel hivatkozhatnal a magyar kormanyra meg a "nyitott forraskod"-jara is (rofl), legalabb annyira lenne komolyan veheto. Ha mondanak valamit, foleg technikai temaban, jellemzoen az ellentete igaz.

Microsoft termekeknel is "atnezheti auditalhatja" a forrast "egy eleg nagy szervezet", ha "CSAK ez nyujthat eleg biztonsagot".

Csak mi a biztosíték rá, hogy valóban az van a binárisokban, aminek a forrását átadták? (ha már paranoia)
Lehet, hogy rosszul emlékszem, de mintha csak a kód átnézésére adnának lehetőséget, hogy magad építsd fel belőle a binárisokat, arra nem. De javítsatok ki, ha rosszul tudom!

ui: bocs, most látom csak, hogy kinek válaszolok. Na mindegy... amúgy sem neki szól.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Csak mi a biztosíték rá, hogy valóban az van a binárisokban, aminek a forrását átadták? (ha már paranoia)

Semmi. Ahogy open source eseten is.

Ezt vedd át mégegyszer! ;)
_HA_ van egy auditált forrásod, akkor open source esetén megteheted, hogy abból fordítasz. Így többé-kevésbé biztosítani lehet, hogy kevés backdoor marad benne.
Feltéve, hogy megbízol az auditorokban és a fordítást végzőkben és... szóval a lánc valamennyi emberében.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Nem, a forrasbol forditas jellemzoen nem megengedheto, uzemeltetesi, karbantartasi, tamogatasi, deployment szempontbol teljesen elfogadhatatlan. Ezek utan aruld el meg azt is, hogy ugyan mi garantalja neked, hogy az elerheto binaris az elerheto forraskodbol jott letre? A publikalo/auditor majd bociszemekkel becsszavat adja? "Felteve, ha". Igen, ha feltesszuk. Te viszont az elobb meg biztositekot akartal, most meg mar feltetelezes is eleg? Pont az a betores lenyege, hogy az ilyen hulye feltetelezeseket kihasznaljak. Hagyjal mar a kettos merceddel.

Azért ezt beszéld meg a gentoo-t élesben használókkal is! ;)
Nem arról pofázok, hogy amíg van egy binárisod, meg egy állítólagos forráskódod, addig baszhatod, míg ha az auditált forrásból elő tudod állítani a használt binárisokat, akkor egy fokkal nagyobb biztonságban vagy?
Akkor már "csak" az auditorban és abban kell megbíznod, aki a fordítást végzi.
Auditálást láttál már élőben vagy csak hallottál valakiről, aki már látott valakit, akinek egy ismerősénél végeztek auditot?
(hihetetlen, hogy milyen sötét tudsz lenni... én max. felületes vagyok, nálad viszont ez valami születési rendellenesség lehet)


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

"Azért ezt beszéld meg a gentoo-t élesben használókkal is! ;)"

Mind a harommal? A tobbi hoborgesedre nem ohajtok reagalni. Vegeztess inkabb auditot PtY-vel, aztan minden jo lesz. Majd o gyorsba okosba atnez neked 15 millio sornyi kernel kodot (a userspace-be bele se megyek), aztan kurvara nagyon biztonsagban leszel. Balfasz.

Az aláírásod ("balfasz") különösen tetszik. Hihetetlen a sötétséged és az agresszivitásod párosa. :D
(mielőtt tovább böfögsz, keress meg valakit, aki kód auditálással foglalkozik, mert így elég röhejes vagy!)


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

1. Nem "aláírás" volt, neked szólt.
2. Különösen megmosolyogtató az agresszióról/sötétségről papolásod, miután ugyanebben a topikban már túlvagy a buzizáson és a kecskebaszózáson is.
3. A trollfiltert te is megnyerted, nettó időpazarlás minden rád vesztegetett szó.

Pedig aláírásként épp jó lett volna.
Olyan sötét vagy, hogy "világít a szádban a Negro". :D
Azt meg külön megköszönöm, ha a továbbiakban nem kell a fasságaiddal foglalkoznom.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Fordíthatsz saját binárist is, ahogy tettem én is még Windows 2003 idején, pedig nem vagyok kormányzat.

De ha már paranoia... A fordító binárisát ki auditálja, amivel fordítod a forrást? ;)

Es a hardvert amin forditod ? :)

---
pontscho / fresh!mindworkz

HZ-nál az is open source, ne viccelj ;)

illeve azt a kamerát, amely mögötted van, amikor fordítod

És az auditort? :)

Ezt beszéld meg az auditorokkal.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

hamar elfogytál

Egy idő után megunom. Annyira nem szórakoztató egy magadfajta szociopata sem. :D


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

ahahah, mondja a kecskebaszózós

Pl. vele? :D


No rainbow, no sugar

:D
Azért én láttam normálisat is. ;)


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)