Ho ho ho ho

Sigurni Linux.... HAHAHAHAHAH

Elem, prevedeno na srpski - tvoji kljucevi, generisani tim verzijama OPENSSL-a mogu biti kriptografski analizirani sa mnogo manje truda, i potencijalno mogu biti provaljeni u vrlo kratkom roku ako razbijac zna da iskoristi propust u generatoru slucajnih brojeva, kao sto je ovaj.

Potencijalna steta moze biti lokalizovana u slucaju komunikacija koje su snifovane i imaju forward-secrecy, a one koje nemaju... mogu biti razbijene i kljuc moze biti koriscen i dalje za razbijanje novih komunikacija :) Online kupovine, digitalni potpisi - you name it.

Divota.

Pa siguran je - nije savrsen, niti je iko reko da je savrsen. Sigurno ima jos mnogo bug-ova kako u kernelu tako i u third party softveru, tipa openssl ...
Mislim, to je logicno... a s obzirom da je kod vidljiv svima, veca je shansa da ce neko da pronadje isti propust i da se odredjeni dio koda ispravi sto je prije moguce, ili da se zloupotrebi dok jos niko nije svjestan da isti problem postoji. l;)

Kad mi kao ljudi budemo savrseni, tad ce i kod biti savrsen l;)
Do tad - cekamo bugove OS-a koji nije nas izbor, i onda ismijavamo isti... gdje stignemo.

Pa dokle vise ova mantra kako je navodno otvoreni kod sigurniji jer ima "vecu sansu" da bude popravljen ako ima propust?

Eto, ovaj katastrofalni Debian SSL bu je bio tu godinu ipo dana - pa ga niko nije video za tih godinu ipo dana, cak ni originalni OpenSSL developeri nisu odgovorili na svojoj mailing listi na pitanje da li je taj "fix" pametan... I sad neko treba da bude siguran u takav "quality management"?!?!?

Interesantno, da je postojao automatizovani unit-test u kome bi se merila korelacija RNG-a - ona bi vrlo verovatno digla uzbunu zbog naglog skoka korelacije u odnosu na prosli build... Naravno, unit-testovi nisu nesto sto je deo "bazaar" razvoja, pa se eto te stvari vracaju kao bumerang.

Mene niko nece uveriti da je takav nacin "kontrole kvaliteta" (vidi ko kad stigne. "fixuje" ko kad stigne) bolji od industrijskog unit-testiranja, placenog code-review-a koga rade ljudi kojima je to placeni posao i detaljnih QA testova koje radi, opet, tim obucen i placen za QA.

Fino je to u teoriji. ;-) Vala, pre bih se drzao sistema gde manje ljudi radi na tome, a koji su placeni i formalno kvalifikovani za taj posao.

Dimkeeeeeeeee prekini da trujes s tom pricoooom...... govoris NEISTINEEEEEE

Godinu i po dana camilo cekajuci, otkriveno i zakrpljeno za 3 dana? Pa mislim da to nije nista naspram ovog Win bug-a, koji je btw extremno kritican, a i da ne spominjem da im je trebalo cirka 5-6 godina da ga detektuju i jos nekoliko meseci da oprave: http://secunia.com/advisories/18255/ . Kao sto rece neko: najbolji su brkovi od Vedoki krema, i developeri koji su placeni za testiranje i QA, lol!

Ne mogu da verujem da neko ko je iole upoznat sa linuxom kaze nesto slicno ovome:


Kao da je tako jednostavno izasao fix i stvar sredjena :)
Nekim ljudima ne vredi pojasnjavati sta ovaj "bug" vuce sa sobom.
Get real

Ma nema veze, mislim da ljudi na vecini mesta koja drze do sebe i koji odlucuju o IT infrastrukturi imaju 3 ciste, zato Win. Server i drzi skoro 70% server trzista - izgleda ne padaju na "advocacy" vec umeju da neke stvari logicki analiziraju i donesu zakljucke.

Vidim, Sir_Oliver vadi neke Windows bugove iz naftalina (patchovano 2006-te godine, ej jbt - danas je 2008) i poredi ih sa Debian rupetinom koja je uspela da kompromituje sve SSL/SSH kljuceve i sertifikate kreirane na Debian i Ubuntu masinama od 2006 do 2008... Mislim, ukljucis malo mozak i uporedis takve stvari, pa se zapitas "a sta ovaj prica... da li on to zna" :)

Bojim se da od kada je Microsoft poceo da koristi SDL metodologiju, da ces malo teze da nalazis na kriticne Windows bugove (a kamo li bugove koji su katastrofalni po sigurnost sadrzaja generisanim na OS-u kao sto je ovaj Debian bug) - a analiza ovog Debian buga je pokazala toliko nedostataka FLOSS modela, bar u Debianu - da je to tragikomicno...

- Patchovanje tudjeg koda, bez trunke razumevanja sta taj kod radi (to je ta cuvena OSS "solidarnost" na delu ;-)
- Pitanje autora "patcha" na oficijelnoj mailing listi jako vaznog sigurnosnog projekta (OpenSSL) sta misli o "patch-u" (lol) bez odgovora
- Samoinicijalni patch, tumaceci nedostatak odgovora na pitanje "cutanje je odobravanje" :)
- Nedostatak bilo kakvog ozbiljnog testiranja random-number generatora posle "patcha", iako je RNG esencijalni deo kriptografskog algoritma
- Godinu ipo dana nesigurnih kljuceva i sigurnosnih SSL sertifikata, bez da iko proveri RNG u Debianu

= Priceless, ali bukvalno :)

Porediti to sa placenim razvojem softvera, koji je ozbiljan - kao sto je SDL (Vista / Server 2008) je... onako, funny, uzevsi u obzir ovu situaciju gore, stvarno se covek zapita na kojim pecurkama su neki ljudi ;-)

Nadjite vi, gospodo, Windows bug koji je ucinio kompromitovanim kriptografske kljuceve i sertifikate u toku 1.5 godina - pa se javite... bice zanimljivo :)

Molim te ti pojasni. :)

Jel nesto slicno ovome....:)

http://www.theregister.co.uk/2007/11/23/win_xp_random_bug/

Lol, bugcina se vuce jos od win2000...hehe, a ne planiraju da je zakrpe do SP3 sto je ove godine....***ote, 8 godina minimum.

Dimke, mani se ti malo kool aid-a..:)

Haha, prvo - dokle cete vi da pominjete obsolete OS-eve? Mislim, jos malo pa cemo pricati i o nekom bugu u NT 3.1 kako je izgleda krenulo :)

Btw, to je taj "bag" koji sam pomenuo na Debian temi - nikad nije izasao van tog naucnog rada (na stranu sto je njegova potencijalna steta bila daleko manja), dok za Debian postoje ready-made alatke koje su implementacija propusta i "empoweruju" svakog wannabe h4x0ra da provaljuje kljuceve :)

Sta reci...

Sorry, Win XP je jos uvek najrasprostranjeniji win na trzistu, tesko da se moze nazvati obsolete...;)

nice try though...:)

Bez kompletnih tehničkih detalja o propustu i naročito o uslovima i opsegu u kome se može predvideti izlaz generatora slučajnih brojeva, ne treba počinjati rasprave tipa "čiji je veći". Ovo iz razloga što je svaki softverski RNG predvidiv pod određenim okolnostima. Ako je nekome potrebna zaista ozbiljna bezbednost, ne treba ni da razmišlja o softverskim RNG i treba da koristi neki od, da tako kažem, "pravih" generatora (šum iz etra, fotonski generatori, merači radijacije).

To nije toliko ni bitno u ovom slucaju vec sam proces izdavanja zakrpe koji win zealoti ismejavaju kad je linux u pitanju a sami su busni ko sito.

Ovo je prilicno ozbiljan bug i kad nekome treba 8 godina da ga zakrpi sve bajke o "profesionalcima", "placenom razvoju softvera" i slicne gluposti se svode na rubriku u zutoj stampi tipa koja pevaljka ima vece silikone.
Ista korisnost informacija..:)

Jeste, da... Hajde da vidimo ;-)

- Ovo je teoretski bug, gde nije uopste doslo do prakticne implementacije koja se odnosi na neki sigurnosni sistem, recimo SSL - dok je na Ubuntu u pitanju bug sa prakticnom implementacijom i dokazanom opasnoscu

- Za njegovu prakticnu implementaciju je neophodno imati fizicki pristup sistemu kako bi se saznalo vise o izvor entropy-poola

- WinXP svakako nigde nije koriscen kao serverski sistem, tako da tesko da neko uopste generise SSL sertifikate i komercijalno bitne kljuceve na njemu, cak i da je bug imlpementiran, a nije - pa je smesno pricati o poredjenju opasnosti.

- WinXP nije OS koji je pisan sa SDL metodologijom koju sam pomenuo kao daleko sigurniju, Microsoft je na SDL presao posle XP-a

Tako da Axez & Co mogu samo da nastave da troluju i da porede teoretske naucne radove u obsolete OS-evima sa prakticno implementiranom rupcagom na trenutno shipovanom Debian-u.

Jeste, da... isto je to :)



Prilicno je ozbiljan naucni rad - bug je nesto sto je exploitabilno u praksi, Axez... kao recimo Debian rupa ;-)

Ili recimo Bug u Windowsu 98 koji nikada nije popravljen, a gde si ulazio u sistem pritiskom na dugme cancel kada je tražio šifru... A, da... Mi blatimo samo non-windows rešenja.

:)

Windows 98 je kvazi-multiuser sistem, gde su se korisnički profili koristili isključivo kao način za čuvanje podešavanja (mreža, teme, StartUp, start menu, etc). To Cancel nikada nije ni bio bag, već način da uđeš u Default profil. Ionako si sa bilo kog profila mogao da čitaš bilo koje podatke. FAT32 keva ;).

A ukoliko si baš toliko paranoičan - naravno da je postojao način. Ne sećam se tačno, ali negde u policy editoru postojalo je podešavanje: "Must be validated". A isto to i importovanjem Reg ključa (lepo piše u Helpu):

[HKEY_LOCAL_MACHINE\Network\Logon]
"MustBeValidated" = dword:00000001

Pa imas i placene developere... RedHat izmedju ostalih, placa svoje developere i mnogo njihovog koda ide u orginalne pakete po defaultu.

Druga stvar, bug je zesce debilan.. t.j. onaj ko je cacko po kodu je zesci debil.. znaci ladno je lik komentariso dio koda da bi valgrind prestao da izbacuje neke warninge. Naravno, neosporno je da je to neoprostivo i da se takve stvari ne bi trebalo desavati, ali je isto tako debilno osudjivati citav open sors na osnovu buga koji se ... nalazi il sta.. veoma rijetko, tacnije, ja nisam ni cuo za ovakve slucajeve ranije.

Jedina poslijedica koju je ovaj slucaj izazv'o je nasladjivanje i agresiju MS tabora prema open sorsu.