Sada je: 29 ožu 2024, 10:10.
Razne diskusije o Linuxu, neovisno o distribuciji.

Moderator/ica: Moderatori/ce

zanimljiv clanak o sigurnosnim aspektima otvorenog softwarea, kao primjer se koristi najpoznatiji debianov sigurnosni propust.

https://freedom-to-tinker.com/blog/krol ... enssl-bug/
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5678
Postovi: 5678
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Osobno, uzevši sve u obzir, mislim da je ovo sa debianom i prng-om slučajnost. Vrhunske gluposti se mogu dogoditi bilo kome, ali ..... u ovom trenu sam 101% uvjeren de je selinux prepun back doorova. Također, sa sigurnosne perspektive, činjenica da svatko može stavljati kod i da, očito, kod ne pregledava toliki broj ljudi koliko se misli, znači da je relativno lako ubaciti backdoor u neki program.

Osobno sam dulje vremena razmišljao o tome da napišem backdoor za neki program i pokušam ga ubaciti u repozitorije neke distre. Takav jedan eksperiment bi bio ekstremno zanimljiv.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10321
Moderator
Postovi: 10321
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 181 puta
Primio/la zahvalu: 313 puta
Spol: Y
OS: utuntu 19.10
ha ono, cinjenica je da to u debian nije toliko lako, prije nego uopce dobijes pravo uploada, a da netko ne pregledava to sto radis treba proci podosta vremena i cviljenja po mailing listama da te netko uopce pogleda..
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5678
Postovi: 5678
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Mislim da je ipak riječ o ljudskoj grešci koju nitko nije primjetio dvije godine.
Vjerojatno je i NSA upotrebljavala takav SSL sve te godine. I još ga uvijek upotrebljava :)

Evo što stručnjaci kažu o OpenSSL-u i bez tog bug-a
Unfortunately while OpenSSL is open source, it periodically coughs up vulnerabilities. Part of this is due to the fact that it's a patchwork nightmare originally developed by a programmer who thought it would be a fun way to learn Bignum division.* Part of it is because crypto is unbelievably complicated. Either way, there are very few people who really understand the whole codebase.

http://blog.cryptographyengineering.com ... n-nsa.html

Mislim da će kao posljedica otkrića Snowdena biti preispitivanje svih standarda i pisanje novih...
Avatar
Postovi: 1594
Postovi: 1594
Pridružen/a: 09 srp 2008, 09:49
Lokacija: Zagreb
Podijelio/la zahvalu: 3 puta
Primio/la zahvalu: 20 puta
Spol: M
OS: Debian
shrike je napisao/la:Osobno sam dulje vremena razmišljao o tome da napišem backdoor za neki program i pokušam ga ubaciti u repozitorije neke distre. Takav jedan eksperiment bi bio ekstremno zanimljiv.

:-D Pogotovo ako napraviš dinamički generirani kod backdoora, tako da ga praktički niti nema u sourceu za pregled.
Ima jedna dobra stara priča (iz 50-tih) o mijenjanju strojnog programa u hodu:
http://foldoc.org/The+Story+of+Mel
Avatar
Postovi: 1907
Postovi: 1907
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 342 puta
Spol: M
OS: Mint 10 LXDE itd...
najgore u svemu je sto bi shrikeova ideja, ako se dovoiljno potrudi, ipak upalila.

je, tesko je dobiti status dd-a, ali sjecam se price kako je pao dark market (jedan od najpoznatijih crackerskih foruma gdje su se otvoreno prodavale usluge tog tipa), FBI je postavio lika koji se tri ili pet (ne sjecam se vise) godina infiltrirao u ekipu, prco kao clan na forumu, pa je bio moderator, pa admin, pa su ih sve uhitili. :)
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5678
Postovi: 5678
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Količina truda koju mora uložiti da dođe do takve pozicije, ograničen je na jednu distribuciju i brojem ljudi koje može zaraziti jer ne koriste svi iste pakete niti updateju redovito odnosno napad nije ciljan nego ko popuši.
Totalni gubitak vremena a nagrada je da si postao javno poznati kreten i moguće kriminalac.
Zato se tako nešto nije nikada ni dogodilo.
A vjerujem da ni shrike nije prvi kojem je palo na pamet. Moguće je ali nema smisla...
Avatar
Postovi: 1594
Postovi: 1594
Pridružen/a: 09 srp 2008, 09:49
Lokacija: Zagreb
Podijelio/la zahvalu: 3 puta
Primio/la zahvalu: 20 puta
Spol: M
OS: Debian
ili možeš kontribuirati u neki paket na sourceforgeu koji će se kasnije tek staviti u repo distre. Paket mora biti neki koji je dio dosta distri, ali nije dovoljno interesantan da bi se gubilo previše vremena na to ili detaljno provjeravalo. Također, osobno sam uvjeren da netko ovo i jest napravio, ali se još ne zna u ne trebaš imati pravo ime, možeš dosta toga srediti anonimizirajućim tehnikama:)
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10321
Moderator
Postovi: 10321
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 181 puta
Primio/la zahvalu: 313 puta
Spol: Y
OS: utuntu 19.10
madone je napisao/la:Količina truda koju mora uložiti da dođe do takve pozicije, ograničen je na jednu distribuciju i brojem ljudi koje može zaraziti jer ne koriste svi iste pakete niti updateju redovito odnosno napad nije ciljan nego ko popuši.
Totalni gubitak vremena a nagrada je da si postao javno poznati kreten i moguće kriminalac.
Zato se tako nešto nije nikada ni dogodilo.
A vjerujem da ni shrike nije prvi kojem je palo na pamet. Moguće je ali nema smisla...


otkriveno je podosta security propusta u open sourceu, nesto se i vezalo za americke agencije..
smisla ima, uvijek imas spavaca kojeg mozes korisiti po potrebi.
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5678
Postovi: 5678
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Ljudi danas u svašta vjeruju, od reptila do razgovora s bogom..
Ja ne vjerujem u ovu tvoju tezu da je to tako lako i anonimno moguće, dok ne vidim dokaz :)
Avatar
Postovi: 1594
Postovi: 1594
Pridružen/a: 09 srp 2008, 09:49
Lokacija: Zagreb
Podijelio/la zahvalu: 3 puta
Primio/la zahvalu: 20 puta
Spol: M
OS: Debian

Na mreži
Trenutno korisnika/ca: / i 8 gostiju.