Разработчики популярного свободного IRC-сервера UnrealIRCd (http://www.unrealircd.com) опубликовали уведомление (http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt), в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку.
Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией.
Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более...URL: http://seclists.org/fulldisclosure/2010/Jun/277
Новость: https://www.opennet.ru/opennews/art.shtml?num=26945
> В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставкуЧем от этого защититься? Кто-нибудь знает подробные статьи о контроле содержимого сервера? Надёжен ли простой скрипт с проверкой контрольной суммы файлов в каталоге?
цифровые подписи. больше ничем. ну или публикацией хеша.
подписи к сожалению тоже весьма уязвимы, на вскидку их можно тупо подменить, или скажем вносить зловред между подписываниями, или даже во время. Скажем даже если подписывается каждое изменение в репозитории, то как гарантировать чистоту этого изменения, это уже вопрос безопасности каждой рабочей станции каждого разработчика.
А приватный ключ вы где возьмете для подмены подписей? Ессно он должен храниться отдельно и не даваться в лапы кому попало.А что до между подписываниями - ну, нормальные проекты как бы публично вывешивают логи и диффы коммитов. Анреал правда развивается хило и потому чтецов кода - не густо. Тем более что как я понимаю подменили ТОЛЬКО архив (во всяком случае не вижу сообщений о взломе системы контроля версий). Вот такое бы подписи пролечили на раз как раз. А левые коммиты в систему контроля версий как бы заметны.
Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным и будут подписывать обновления им. Или взломают так же как Apache Foundation.
В общем очередной миф о мега защищенности опенсорса трещит по швам. И вроде исходники доступны всем для аудита только никто не хочет этим заниматься.
угу. только ломали не RedHat, а Fedora.. А это всё таки разница(и какая!).
Но редхатовцы, тем не менее, не стали говорить что это промах "нанятого со стороны субподрядчика" как это делает МС, когда их ловят за руку, на темных делишках.А про миф.. На серьёзных проектах проводят аудиты, а этот IRCd никому и не впёрся. Вы же не будете судить по этому проекту обо всем опенсорсе?!
Помнится был вирусняк, к-ый троянил проекты Delphi... сколько откомпилированных exe'шников(от разных девелоперов по всему миру) ушло на машины юзеров, прежде чем подняли тревогу? тогда по вашей логике весь коммерч. софт - г.
>угу. только ломали не RedHat, а Fedora.. А это всё таки разница(и
>какая!).Освежу как я вам память пожалуй. Внимательно прочитайте вот эту статью http://www.theregister.co.uk/2008/08/22/red_hat_systems_hacked/
Ключевые факты вот в этой фразе:
Red Hat sponsors the Linux distribution. Fortunately Fedora packages weren't interfered with following the attack, but Red Hat Enterprise Linux packages were touched up by as yet unidentified miscreants.
Перевожу. Пакеты Fedora никто не менял злоумышленники распространяли через сеть обновлений троянские пакеты через сеть самого Redhat.
Впрочем разницы никакой ибо и то и другое опенсорс. Отмазки вроде бесплатное значит никто не несет ответственности в этом случае не помогают. Сломали платного вендора опенсорса. И рассказы о том что если исходник доступен то все ломанутся проверять его это детские сказки.
>А про миф.. На серьёзных проектах проводят аудиты, а этот IRCd никому
>и не впёрся. Вы же не будете судить по этому проекту
>обо всем опенсорсе?!А в Redhat аудита не проводили? Если проводили то как получилось что их поломали как детей? Или это не серьезный проект? получается что даже за деньги гарантии нет? Не говоря уже про религиозные молитвы опенсорсу.
А взлом проектов Apache Foundation ни о чем вам не говорит? Или это тоже не серьезный проект?
IRCd это всего лишь очередной случай так что пора завязывать с мифотворчеством о тотальном превосходстве опенсорса хоть платного хоть бесплатного.
>Помнится был вирусняк, к-ый троянил проекты Delphi... сколько откомпилированных exe'шников(от разных девелоперов
>по всему миру) ушло на машины юзеров, прежде чем подняли тревогу?
>тогда по вашей логике весь коммерч. софт - г.По моей логике все просто. Ни платный ни опенсорсный софт ничего не гарантирует своей моделью разработки. Все эти случаи показывают только одно. Там где нет нормальной модели обеспечения безопасности такие инциденты будут происходить постоянно. У Microsoft есть SDL который не позволяет случиться подобным проблемам. Что есть из аналогичного у опенсорсных вендоров?
А ничего что исходный код не пострадал? Взломали какое-то банальное зеркало файлов.
> А в Redhat аудита не проводили? Если проводили то как получилось что их поломали как детей? Или это не серьезный проект? получается что даже за деньги гарантии нет? Не говоря уже про религиозные молитвы опенсорсу.читайте лучше первоисточник ;) http://rhn.redhat.com/errata/RHSA-2008-0855.html.
Там черным по белому написано, что если не юзал сторонние бинарники(не от Red Hat) - можешь не волноваться.
"we remain highly confident that
our systems and processes prevented the intrusion from compromising RHN or
the content distributed via RHN and accordingly believe that customers who
keep their systems updated using Red Hat Network are not at risk."> Ни платный ни опенсорсный софт ничего не
>гарантирует своей моделью разработки. Все эти случаи показывают только одно. Там
>где нет нормальной модели обеспечения безопасности такие инциденты будут происходить постоянно.
>У Microsoft есть SDL который не позволяет случиться подобным проблемам. Что
>есть из аналогичного у опенсорсных вендоров?см. выше ;)
>Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным
>и будут подписывать обновления им.А у федоры вроде ж не упирали, они из предосторожности сменили IIRC? Унесут вместе с публичным?! Простите, публичный на то и публичный что раздается всем желающим. А вот приватный должен лежать отдельно и никому в лапы не даваться. И вроде как у федоровцев его не унесли (во всяком случае доказательств обратного я не видел) но смогли подпихнуть левый пакет на подпись оным ключом.
уязвимы, но дают большую защиту от случаев получения контроля над ftp сервером
это да, возможно народ считает что вероятность и последствия злоконтроля ftp меньше телодвижений/эффекта подписывания, хотя онож вроде 100% автоматизируется, не помешало бы.
> Чем от этого защититься?Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить Squid
Тогда можно подменить данные в кэше squid или сам squid заменить на модифицированный, который отдает что надо.
>Тогда можно подменить данные в кэше squidТогда Сквид обнаружит не совпадение и обновит кэш.
> или сам squid заменить на модифицированный, который отдает что надо.
А так же glibc, ядро, заменить в сетевухе фирмварь с трояном.
цвс-репа не пострадала.
а в тар после создания наверное никто (кроме взломщика) и не заглядывал - зачем? вот и резалт.
Пробовал раздавать торренты, лежащие на DVD-R... Спать невозможно! Всё время лазер бешенно перемещается.
> Пробовал раздавать торренты, лежащие на DVD-R...
> Спать невозможно! Всё время лазер бешенно перемещается.У торрента, во время его работы, образуется по сути своя ФС.
Так что RANDOM READ обеспечен. :)А вот если похакать libtorrent на предмет порядка раздачи частей, т.е. чтоб запрошенный 1001-й кусок файла
не отдавался до тех пор, пока кто-то не запросит 1000, ну естественно при условии, что от 1 до 999 уже запрашивали.
>У торрента, во время его работы, образуется по сути своя ФС.Обычное биение файла на блоки и битовая карта.
>Так что RANDOM READ обеспечен. :)
Ну, допустим, не совсем рандом. Почти все мало-мальски вменяемые либы пытаются делать префетч прикидывая что придется слать дальше вон тем пирам которым мы шлем. Правда, при достаточном числе торентов диск будет все-равно дергаться мама не горюй и на сидюке это содержать мазохизм. Алсо, сидючно-дивидючня хня имеет одну "маленькую" проблему. Операции чтения не только медленные, но и не очень надежные. Поэтому ... да, а ты не задумывался сколько софта корректно реагирует на такую фигню как read error? Если во времена доса с его дискетами кто-то еще обрабатывал ошибки чтения то с появлением хдд которые почти всегда читаются нормально... ну ты я думаю понял что эта дорожка ведет к красивым колоритным глюкам, не факт что менее страшным чем хакеры. Потому что если ты отгрузишь 100500 юзерам битый файл - мозг тебе поимеют не хуже :)
>А вот если похакать libtorrent на предмет порядка раздачи частей, т.е. чтоб
>запрошенный 1001-й кусок файла не отдавался до тех пор, пока кто-то не запросит 1000,Протокол битторента не создавался для последовательной отдачи файлов. И при твоем подходе он просто сломается. Если все клиенты так будут делать, скорость стаи в целом - упадет в полную Ж имхо и получится емуле номер два. Потому что все будут ... бесполезно ждать. Вместо того чтобы файлы слать. Вот так вот, да. Более того - торрент не создавался с учетом высокой нагрузки на одного пира. Его принцип - миллион комаров поднимают в воздух слона! Если приперлось миллион пиров - так пусть они себе и раздают файл.
>ну естественно при условии, что от 1 до 999 уже запрашивали.
Павлин, поставь HTTP сервант типа нжинкса, если тебе надо в 1 харю, с высокой нагрузкой, лить до упора с 1 компа. А идея торента - в том что нагрузка на 1 пира небольшая. Засрать 30Мбит канал вообще целая наука. Раздач где пиры готовы сожрать столько - не так уж много. Даже на бубунте сразу после релиза в силу постепенного перевеса сидеров над личерами 30 мбит вдуть в ремотеров получается не всегда. По ночам когда они спят - никому столько не надо. Как бы у мну роутер графики чертит, там доходчиво так все :)
>> Чем от этого защититься?
>
>Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить
>SquidМожно в принципе воткнуть в систему read only флеш. Сейчас уже 16 гб. Так что DVD-R уже не актуален.
А вообще логичнее просто регулярно аудит проводить.
а монтирование в ридонли фс в ядре уже забанили?хотя все что тут натролили - редкостный бред, достойный выпускников кащенко.
>а монтирование в ридонли фс в ядре уже забанили?Придет хаксор и перемаунтит в RW. И? Хотя если ФС = squashfs... тогда не перемаунтит :)
>хотя все что тут натролили - редкостный бред, достойный выпускников кащенко.
Д`Артаньян, где ваша шпага?!
для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха.
как любишь выражаться ты, есть 100500 способов показать совсем не то, что на них хранится.зы:
ничо если я остальной тролиг пригнорирую?
сэнкс.
>для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха.Такого это какого? Сетевые сервисы у мало-мальски вменяемых админов живут под обычным лузерским аккаунтом, который не способен на какой-то особый дестрой. Спасибо если без чрута и прочая вообще. Ну можно повесить спамбота/прокся как максимум, если повезет.
>как любишь выражаться ты, есть 100500 способов показать совсем не то, что
>на них хранится.С правами стандартного юзера и спасибо еще если не в чруте? Показать что-то левое?! Перемаунтить ФС? Только если юзер не апдейтит систему напрочь и там есть еще и дыра для подъема привилегий, так что операционка фэйланет свое прямые обязанности по дележке прав и защите юзеров друг от друга. А в исправной многопользовательской системе с этим слегонца болт, как бы. Да и есть вот у вас сквошфс допустим. Гигз так на много, например. Чтобы в него что-то дописать - его надо целиком слить, распаковать куда-то, там пропатчить, перекомпрессовать заново и влить образ одним чихом на место старого. Довольно нехилая пачка действий которая потребует задействования сторонних машин с приличным местом на диске + долго и сгенерится адская прорва траффа + врядли обойдется без побочных спецэффектов типа ребута. Только совсем дубовый и пофигистичный админ не заметит такую левую активность.
А если еще и учесть что нам при юзеже сплойта не особо то и известно где сервак стоит, какой куда у этого юзера доступ и прочая - строго говоря сплойтить что-то через эту дыру вообще довольно геморно. И работает бэкдор несколько глючно порой почему-то (честно говоря я не догоняю как умудряется глючить столь тривиальный код в реальном ирцд).
>зы:
>ничо если я остальной тролиг пригнорирую?Шпагу не забудьте, уважаемый Д`Артаньян :)
правильно сказал, у лузерских :D
если на твоем сервере любую фс может перемонтировать любой лузер, то им даже удачи желать не нужно.зы:
да пока шпага не требуется. а своей можешь махать, она мне как видишь не мешает. :D
>правильно сказал, у лузерских :DОни такие и должны быть у сетевых сервисов, иначе потом "в случае аварии" - от асфальта не отскребешься.
>если на твоем сервере любую фс может перемонтировать любой лузер, то им
>даже удачи желать не нужно.угу, и вообще - сетевые сервисы желательно изолировать как можно ядренее. Так, на случай аварии. Они с внешним миром взаимодействуют. Он заведомо непредсказуем и может быть враждебен. Если не хочется как авторы анреала полгода троянцев раздавать с своего сервака - приходится .
>зы: да пока шпага не требуется.
Ну тут обычно два вида вооружений - шпаги Д`Артаньяна и дубинки троллей :)
>а своей можешь махать, она мне как видишь не мешает. :D
Да у меня вроде нет комплекса Д`Артаньяна, вот насчет второго я как-то менее уверен :)
>Можно в принципе воткнуть в систему read only флеш.Можно и на винч. В какомнить squashs. Который тупо readonly, по определению. Чтобы его записать хацкеру придется или целиком пересобрать образ (ага, пусть сольет и пересоберет весь многогиговый образ, да еще чтобы вся эта ломовая активность не заметилась) или дописать поддержку read-write в сквош (удачи, ага).
>> В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку
>
>Чем от этого защититься? Кто-нибудь знает подробные статьи о контроле содержимого сервера?
>Надёжен ли простой скрипт с проверкой контрольной суммы файлов в каталоге?В репозитариях систем портирования ПО обычно хранится хеш сорца; при загрузке он проверяется. Соответственно, пользователи таких систем обычно защищены. Более того, копии дистрибутивных файлы тоже могут[1] храниться в рамках такой системы, обеспечивая доступ к чистой версии. Единственный очевидный минус — это портирование новой версии с запозданием, когда в систему портирования заносится уже «подкорректированный» файл.
[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.
>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.Дятлы, чего ещё сказать...
Даже нет желания проводить анализ и разбор полётов, почему это вышло, как их хакнули...
>>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.
>
>Дятлы, чего ещё сказать...
>Даже нет желания проводить анализ и разбор полётов, почему это вышло, как
>их хакнули...Нет систем, которые нельзя взломать, есть системы, которые взламывать слишком дорого (в широком смысле). :)
Больше интересно, сколько подобных инцидентов не предано огласке (в т.ч. среди open source проектов), и сколько вообще неизвестны. :) Боюсь только, что до тех пор, пока такие ситуации не станут массовыми (а они, боюсь, станут где-то в течение лет десяти), такую статистику не собрать даже приблизительно. :-\
>>>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.
>>
>>Дятлы, чего ещё сказать...
>>Даже нет желания проводить анализ и разбор полётов, почему это вышло, как
>>их хакнули...
>Нет систем, которые нельзя взломать, есть системы, которые взламывать слишком дорого (в
>широком смысле).Надо изучать не сколько это стоит, а кому это нужно. Там и искать.
Мухи там - где больше г...на.Вывод: нужон Центр Безопасности ОСС
В него перед релизом отдают дистрибутивные коды на подпись.
С клятвой на крови, и здоровьем всего рода и будущих поколений,
что преднамеренных закладок, бэкдоров, и т.п. разработчиками внедрено не было.Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource Software)
Который в свою очередь, должен сравнивать чексуммы в базе и в реале.Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
За нарушение - Black list разработчиков и весь проект.
>[оверквотинг удален]
>
>Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource
>Software)
>Который в свою очередь, должен сравнивать чексуммы в базе и в реале.
>
>
>Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
>
>
>За нарушение - Black list разработчиков и весь проект.Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…
> Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…Взлом центра -> подмена ключей -> замена исходников жертвы -> обнаружение взлома центра -> восстановление из бэкапа -> .......
Много за это время успеют скачать затрояненый дистриб?--------
Не,...... всё гораздо проще...
Сервак выдающий подписи живет в режиме полного READ-ONLY
Записи в базу вносятся операторами в полуавтоматическом режиме,
после подробного хандшейка:- Запрос на внесение в базу новой версии дистриба.
* Проверка записей авторов, подписей, открытого ключа.
* Разрешение о приёме исходников. Передача разового ключа шифрования.
- Шифрование и передача исходников.
* Генерация контрольных сумм.
* Запрос у мантэйнера дистриба, по зарегистрированному ранее адресу ключа шифрования.
- Передача ключа шифрования.
* Возврат ссылки на подпись в базе SCOSS.
- Размещение ссылки на сайте дистриба.----------------
Прое...ут ключи - в черный список, - за безответственное отношение к безопасности планеты!
Взломали сайт- в черный список - как чайнег недостойный звания OSS-программер.
PHP программеры уйдут в полный андеграунд :)
>> Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…
>
>Взлом центра -> подмена ключей -> замена исходников жертвы -> обнаружение взлома центра -> восстановление из бэкапа -> .......
>Много за это время успеют скачать затрояненый дистриб?Не-не-не. В центре ведь не исходники хранятся, а ключи. Поэтому взламывать надо центр + место хранения исходников. Да, задача более сложная, но лишь сложность возрастает по времени, причём линейно. Схема такая получается: взломали центр, вытащили закрытые ключи для подписи исходников, подменили исходники, подменили контрольную сумму в центре. В итоге чухнутся всё тогда же — когда кто-то сравнит контрольные суммы имеющихся файлов на разных системах.
В общем, было бы желание. :)
>[оверквотинг удален]
> - Запрос на внесение в базу новой версии дистриба.
> * Проверка записей авторов, подписей, открытого ключа.
> * Разрешение о приёме исходников. Передача разового ключа шифрования.
> - Шифрование и передача исходников.
> * Генерация контрольных сумм.
> * Запрос у мантэйнера дистриба, по зарегистрированному ранее адресу ключа
>шифрования.
> - Передача ключа шифрования.
> * Возврат ссылки на подпись в базе SCOSS.
> - Размещение ссылки на сайте дистриба.Хм. А не проще на шаге 4 шифровать и передавать уже подписанный автором исходник, не? Он верифицируется в центре и не надо гонять закрытый ключик.
>----------------
>Прое...ут ключи - в черный список, - за безответственное отношение к безопасности
>планеты!
>Взломали сайт- в черный список - как чайнег недостойный звания OSS-программер.
>
>
>
>PHP программеры уйдут в полный андеграунд :)*злобно улыбнулся и потёр ручки*
>Хм. А не прощеВ общем, схема мне самому понравилась. Естественно требуется детальная доработка.
И главное, заинтересовать самих программеров в том, что этом им надо.
Пусть даже этот проект это дипломная работа или резюме, а если резюме - тем более.
Сразу будет доверие в том, что человек относится с ответственностью к любым своим делам.
а для бинарных дистрибутивов надо чтоб была определена версия gcc и библиотек + сборочные параметры =-> в итоге хеш бинарника должен совпадать при сборке любым человеком с хешем в хранилище? :)
> а для бинарных дистрибутивов надо чтоб была определена версия gcc и библиотек + сборочные параметры, в итоге хеш бинарника должен совпадать при сборке любым человеком с хешем в хранилище? :)Реализуемо, но Гентушники взбунтуются. :)
А у гентушников и так троянец в репах вон :)
>[оверквотинг удален]
>
>Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource
>Software)
>Который в свою очередь, должен сравнивать чексуммы в базе и в реале.
>
>
>Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
>
>
>За нарушение - Black list разработчиков и весь проект.Не сработает. Разработчики никак не придут к согласию про формат пакетов deb или rpm или еще что-то кошернее. А вы к такому глобальному подчинению призываете. Прийдет Столман и объявит это все нарушением СВОБОДЫ. :)
> А вы к такому глобальному подчинению призываете.Причём тут подчинение.
Это будет иконка на сайте, но с линком на ЦУП где хранятся чексуммы.Впиндюрить у себя на сайте top mail или top100 рамблер мы можем,
а [ Checksum verifed by FOSS ] религия не позволит?
> Прийдет Столман и объявит это все нарушением СВОБОДЫ.Он родился через 9 дней после смерти Сталина. =-o
>В репозитариях систем портирования ПО обычно хранится хеш сорца; при загрузке он
>проверяется.Нет никаких проблем подменив файл заменить и его хэш. Вот если там цифровые подписи - проблемы могут быть, да. Потому как приватный ключ потребный для генерации валидной подписи как бы и не обязан быть доступен...
ищите по слову AIDE.
Вот явное преимущества open source - уязвимость может обнаружить любой. Не получится умолчать и тихой сапой выпустить патч через 400 дней.
ну да... с ноября прошлого года замалчивали. Почему все считают, что еси опенсорц то всенепременно должен быть ежедневный аудит кода, пакетов, архивов? Кому это надо? Да никому, а вот когда кто-то явно натыкаецо тогда начинают трубить во все трубы. Там уже год как троянец а его только нашли.. ну не 400 дней, но сравнимо.Серьезный аудит имхо только у двух вещей это ядро линукса и дистр опёнка.
Вообще-то должен бтыь ежедневный аудит, хотя бы автоматом сверка хэшей с эталононными значениями, или проверка подписей с уведомлением о результате. Это не только элементарные правила безопасности, это еще и правила хорошего тона и заботы о пользователях, ради которых продукт и живет.
Чего ради-то, им что, заняться нечем? Вы глупости говорите.
>Чего ради-то, им что, заняться нечем? Вы глупости говорите.Аудит кода - такая же часть разработки как и его написание. Если им, как Вы говорите, "заняться нечем", то это уже элементарная халатность и раздолбайство. Справедливости ради, от этого не защищен никто.
А они лично тебе обязаны аудит троводить да?Ты им денег не платил, тебе дали AS IS ... я конечно их не защищаю, дятлы - оне дятлы и есть :( Но будте реалистами - среднестатический васяпупкин не осилит\не захочет достаточных мер по защите. Сабжевый проект - именно такой.
Спаведливости ради - востребованные проекты - меры безопастности применяют. См. ведро, сквид, апач, постфикс, слоник - да тьма их! Но всё же - не ожидайте того же от "васяпупкин прожЭкт" ...
> автоматом сверка хэшей с эталононными значениямиНаверно, хэши подменили.
>Наверно, хэши подменили.при правильном подходе цифровые подписи подменить очень трудно, а коммиты в систему контроля версий просто надо публично вывешивать, чтобы все кому оно надо смогли гранулярно и понемногу видеть изменения.
Иногда даже не молчат, просто отказываются править, не смотря на обещанные сроки поддержки и т.п.
Microsoft отказалась устранять брешь в Office XP:"Во вторник в Microsoft сообщили, что уязвимость в процессе валидации модели компонентных объектов (COM) не может быть устранена."
Office XP закопать как ненужную промежуточную версию. Долгое время пользовался Office 2000 по причине его стабильности. Позже перекочевал на Office 2003 с сервис паками, когда он стал более или менее стабильным. Ну а сейчас, собственно, M$ Office 2003 только на работе. Дома он или не нужен совсем или его роль отлично исполняет OpenOffice.org, который к тому же работает на FreeBSD и Ubuntu, которые дома использую.
А кто-то платил своими, настоящими деньгами за "промежуточную версию" и верил m$-байкам о поддержке
По-моему, офис 2000 и XP - примерно одинаковы по степени глючности. Как минимум аутглюка.
«Microsoft Office XP не существует необходимой архитектуры для исправления валидации, что делает неосуществимым выпуск исправления для продуктов Microsoft Office XP, устраняющего эту уязвимость»Это явно показывает, через какое место там все спроектировано и реализовано. Постыдились бы они.
это точно.
данная цитата очень красноречиво говорит о качестве их системы контроля версий.
«В случае, если бы Microsoft взялась переписать Office XP таким образом, в результате могла бы возникнуть "несовместимость с другими приложениями, так что уже не будет уверенности, что продукты Microsoft Office будут работать надлежащим образом".»Винда - это такое сборище костылей и заплаток, тянущихся еще со времён win 3.11
Эти девять месяцев они потратили на тестирование и в результате кукиш, не выходит каменный цветок.
Уж очень m$-поделия косные, одеревеневшие, инновации на виндах почти не возможны
Разработчики ядра линукса так постоянно делают и ничего.
правда что ли?
>Разработчики ядра линукса так постоянно делают и ничего.Так это как? И собственно пруфлинки?
>>Разработчики ядра линукса так постоянно делают и ничего.
>
>Так это как? И собственно пруфлинки?По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем. К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на OpenNet обсуждались. Первая ссылка в гугле по фразе «ядро Linux замалчивание уязвимостей»: https://www.opennet.ru/opennews/art.shtml?num=20780 .
oбcуждались, помню.
вышло ядро, в нем ченджлог, в нем черным по белому - исправлена уязвимость там-то и там-то.
и тут анонимом прорвало - Замалчивают!!
на вопрос - ну написали же в чендже? или где они должны были это сделать? в коммсомольской правде? заказным письмом? телеграммой в спортлото? - и в ответ красноречивая тишина.зы:
если я вижу в своем коде ошибку (в том числе и по безопасности), то обычно тутже ее исправляю и пересылаю заказчику с комментариями.
при чем комментарий обычно гораздо больше тех 2-х строчек исправлений.
или мне нужно отправить им только коммент? а исправления в следующем квартале?
>По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем.Ну, во первых, не постоянно, а во вторых - даденный вами ниже пруфлинк - на единичный случай исправления не сильно крутой ошибки. Ну, если уж эстетствовать на вашем уровне - дык ваш любыиый sshd вывешенный в инет без костылей, соплей и скотча примотанных сисадмином легко кушает 30% проца благодаря многочисленным брутерским ботикам. Вам почему-то этот пример не понравился и вы начали втирать про задачи. Ну, знаете, у демона "ремотный управлятор" явно нет задачи "выжрать 30% CPU под себя".
>К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на
>OpenNet обсуждались.Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за наболевшее постоянно приводимому вами в пример sshd :P.И да, если програмеры линуксного ядра должны отвечать за каждый пук, очевидно, програмеры sshd должны тогда отвечать за жрач их демоном 30% проца под какой-то левак.
>>По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем.
>
>Ну, во первых, не постоянно, а во вторых - даденный вами ниже
>пруфлинк - на единичный случай исправления не сильно крутой ошибки. Ну,
>если уж эстетствовать на вашем уровне - дык ваш любыиый sshd
>вывешенный в инет без костылей, соплей и скотча примотанных сисадмином легко
>кушает 30% проца благодаря многочисленным брутерским ботикам. Вам почему-то этот пример
>не понравился и вы начали втирать про задачи. Ну, знаете, у
>демона "ремотный управлятор" явно нет задачи "выжрать 30% CPU под себя".Слили в одном треде, пытаетесь доказать тот же свой бред в другом? Здесь я ничего доказывать не буду, пожалуйте обратно в тот тред, где вы так до сих пор мне и не ответили.
>>К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на
>>OpenNet обсуждались.
>
>Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за
>наболевшее постоянно приводимому вами в пример sshd :P.Не понравилось, что вы явно не понимали, о чём говорите.
>И да, если програмеры
>линуксного ядра должны отвечать за каждый пук, очевидно, програмеры sshd должны
>тогда отвечать за жрач их демоном 30% проца под какой-то левак.Вы уязвимости и нормальную нагрузку не различаете уже, да? Это уже даже не user'ство, это, простите, натуральное ламерство. Впрочем, повторюсь, это тема для изначального треда. Ваше приплетание sshd здесь ни к селу, ни к городу.
>Слили в одном треде,Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется? Так держать, далеко пойдете с вашим легендарным качеством.
>пытаетесь доказать тот же свой бред в другом?
Всего лишь провожу аналогии. Двойные стандарты то не рулят, о чем бздуны постоянно забывают. Если все позакрывать фаером как вы советовали с sshd - так даже анрыл с трояном будет неуязвим, пожалуй. Если его порткноком огородить от левых товарисчей :)
>где вы так до сих пор мне и не ответили.
Да там срача сильно много, при том понимаю бы если по существу, а не просто обиженные визги и обсуждение оппонентов.
>>Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за
>>наболевшее постоянно приводимому вами в пример sshd :P.
>Не понравилось, что вы явно не понимали, о чём говорите.Зато я вполне понимаю о чем я говорю - о том что если демона просто и без всяких задних мыслей вывесить в интернет без соплей и скотча, он начнет некисло кушать проц за счет обслуживания "сетевого шума" из брутерских ботиков, хотя как бы никто никакого масс-обслуживания ботов вроде бы и не просил. При том это явно неподобающее для демона с претензией на секурность поведение, а вы начинаете отмазывать задницу разработчиков не предлагающих внятных мер, что дескать другие задачи, блаблабла. Ну не имеет права демон управления жрать в дефолтном состоянии 30% проца - нет у него задачи масс-обслуживания ботов. А отмазки бздунов меня крайне слабо колебут, когда обсираки разработчиков в дизайне демона и протокола предложено вытягивать мне злостным хенджобом над фаером. А, собственно, заложить в пртокол средства для усложнения автоматичиксого и интенсивного дергания тяжелых сущностей типа раскочегарки криптографии - не того?
>Вы уязвимости и нормальную нагрузку не различаете уже, да?
Для демона ремотного управления жрать 30% проца системы под себя - не есть нормальная нагрузка. И пахнет это тем что называется design flaw. По сути, ремотному атацкеру даден в руки вызов ремотных процедур дергающий весьма тяжелые сущности. И без постановки изощренных костылей атацкер может померяться ресурсами с сервером, дергая на нем тяжелые процедуры. И ессно у тыщи ботов ресурсов больше чем у одного серванта и их 30% загрузуи проца уж точно не напрягает - всяко не на своей же машине сракерствуют.
>Это уже даже не user'ство, это, простите, натуральное ламерство.
Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот так, когда оно им удобно. Круто, так держать.
>Впрочем, повторюсь, это тема для изначального треда. Ваше приплетание sshd
>здесь ни к селу, ни к городу.Кое-какая аналогия есть: сломать unrealircd с трояном запиханый за порткнок может только тот кто знает как постучаться правильно.
>>Слили в одном треде,
>
>Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется? Так держать, далеко
>пойдете с вашим легендарным качеством.Проблемы только у вас, судя по всему. По крайней мере вы единственный, кто страдает.
>>пытаетесь доказать тот же свой бред в другом?
>
>Всего лишь провожу аналогии. Двойные стандарты то не рулят, о чем бздуны
>постоянно забывают. Если все позакрывать фаером как вы советовали с sshd
>- так даже анрыл с трояном будет неуязвим, пожалуй.Бред, даже комментировать не хочу.
> Если его порткноком огородить от левых товарисчей :)
Про port knocking и прочий security by obscurity было говорено уже не раз. Вы так ни разу и не соизволили ни признать свой слив, ни ответить по существу.
>>где вы так до сих пор мне и не ответили.
>
>Да там срача сильно много, при том понимаю бы если по существу,
>а не просто обиженные визги и обсуждение оппонентов.Вам были приведены конкретные технические причины, почему sshd не может отъедать меньше ресурсов (ранний fork() — который делается в ВАШИХ интересах, например). Вы это проигнорировали. Вам было объяснено на пальцах, чем плох ваш любимый port knocking — это тоже было проигнорировано.
>>>Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за
>>>наболевшее постоянно приводимому вами в пример sshd :P.
>>Не понравилось, что вы явно не понимали, о чём говорите.
>
>Зато я вполне понимаю о чем я говорю - о том что
>если демона просто и без всяких задних мыслей вывесить в интернет
>без соплей и скотча, он начнет некисло кушать проц за счет
>обслуживания "сетевого шума" из брутерских ботиков, хотя как бы никто никакого
>масс-обслуживания ботов вроде бы и не просил.А причём тут масс-обслуживание? Это сервис, формально (а не в вашей голове) ничем от других не отличающийся. Он делает всё, чтобы защитить передаваемые через него данные и дать доступ только тем, кому позволено. Свои функции он выполняет. В приводимом вами в качестве примера «полезного» сервиса Apache, знаете ли, тоже не стоит задачи защищаться от ботов — это НЕ ЕГО СФЕРА ответственности.
> При том это явно
>неподобающее для демона с претензией на секурность поведение, а вы начинаете
>отмазывать задницу разработчиков не предлагающих внятных мер, что дескать другие задачи,
>блаблабла. Ну не имеет права демон управления жрать в дефолтном состоянии
>30% проца - нет у него задачи масс-обслуживания ботов.Он их и не обслуживает, а шлёт нафиг, как только поймёт, что они — боты. К сожалению, здесь безопасность протокола достигается определённой ценой с точки зрения траты ресурсов. Если вы предпочитаете побыстрее и пофиг на секурность, то просто OpenSSH — не для вас, вот и всё.
> А отмазки
>бздунов меня крайне слабо колебут, когда обсиракиКультура так и прёт. Сразу видно известного специалиста по безопасности, который, правда, ни разу в код охаиваемого им программного продукта не глядел…
> разработчиков в дизайне демона
>и протокола предложено вытягивать мне злостным хенджобом над фаером.… но при этом твёрдо знает, что внутри говно.
> А, собственно,
>заложить в пртокол средства для усложнения автоматичиксого и интенсивного дергания тяжелых
>сущностей типа раскочегарки криптографии - не того?Внимательно слушаем ваши предложения. Попутно ждём от вас рассказа о том, как сделать нешифрованную передачу конфиденциальных данных вроде логина-пароля надёжнее шифрованной.
>>Вы уязвимости и нормальную нагрузку не различаете уже, да?
>
>Для демона ремотного управления жрать 30% проца системы под себя - не
>есть нормальная нагрузка. И пахнет это тем что называется design flaw.Покажите как надо, вы же спец, вы же знаете.
>[оверквотинг удален]
>ресурсами с сервером, дергая на нем тяжелые процедуры. И ессно у
>тыщи ботов ресурсов больше чем у одного серванта и их 30%
>загрузуи проца уж точно не напрягает - всяко не на своей
>же машине сракерствуют.
>
>>Это уже даже не user'ство, это, простите, натуральное ламерство.
>
>Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует
>автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот
>так, когда оно им удобно. Круто, так держать.Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про фичи я молчу, пусть хотя бы шелл даёт.
>>Впрочем, повторюсь, это тема для изначального треда. Ваше приплетание sshd
>>здесь ни к селу, ни к городу.
>
>Кое-какая аналогия есть: сломать unrealircd с трояном запиханый за порткнок может только
>тот кто знает как постучаться правильно.То есть все его пользователи. Разумеется, ни один из них не будет пытаться сломать сервак. Гениально!
User294, вы сейчас лично меня сильно разочаровали. Обычно вы умнее и с вами можно вести серьёзный диалог. Сейчас вы попросту упёрлись в свой фанатизм. Противно.
>[оверквотинг удален]
>>же машине сракерствуют.
>>
>>>Это уже даже не user'ство, это, простите, натуральное ламерство.
>>
>>Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует
>>автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот
>>так, когда оно им удобно. Круто, так держать.
>
>Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про
>фичи я молчу, пусть хотя бы шелл даёт.А как вариант - прикрутить к протоколу начальный пароль (открытым текстом), предназначенный только лишь для получения доступа к процедуре полномасштабной, тяжёлой но безопасной аунтентификации для входа в систему. Конечно, если ботнет хочет досить именно этот конкретно взятый SSH, то это не поможет, но вот от подобного сетевого шума и расхода 30% CPU на криптографию спасёт.
>[оверквотинг удален]
>>>так, когда оно им удобно. Круто, так держать.
>>
>>Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про
>>фичи я молчу, пусть хотя бы шелл даёт.
>
>А как вариант - прикрутить к протоколу начальный пароль (открытым текстом), предназначенный
>только лишь для получения доступа к процедуре полномасштабной, тяжёлой но безопасной
>аунтентификации для входа в систему. Конечно, если ботнет хочет досить именно
>этот конкретно взятый SSH, то это не поможет, но вот от
>подобного сетевого шума и расхода 30% CPU на криптографию спасёт.Заодно замечу, что злосчастные 30% CPU я наблюдал только при снятии дампа по-живому, на далеко не самой быстрой машине. А вот сетевой шум я вообще не замечаю, даже на домашнем роутере (P-III, провайдер с более-менее честными 100 Мбит/с, прямая и обратная DNS-записи присутствуют, доменное имя и IP-адреса в инете засвечены, работает не первый год).
А сколько *лет* в AWARD BIOS жила бэкдорина AWARD_SW? Она кстати и сейчас в биосах подобного типа жива, только мастер-пароль наконец доперли менять и/или отключать.
Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели? Нет? Тогда в чем тогда смысл этого вашего мифического превосходства open source?
>Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели? Нет?
>Тогда в чем тогда смысл этого вашего мифического превосходства open source?Да ещё ладно смотреть, надо понимать, что там делается. Закладку можно размазать по коду в несколько десятков тысяч строк, среди функций типа hash_my_struct(), construct_msg() и parse_input().
>а ещё ладно смотреть, надо понимать, что там делается. Закладку можно размазать по коду в несколько десятков тысяч строк, среди функций типа hash_my_struct(), construct_msg() и parse_input().О том и речь. Утверждение о том, что в проектах open source все зашибись, потому что пользователь уверен, что в коде отсутствуют всякие закладки и бэкдоры, в корне является неверным и называется просто - МИФ.
> Утверждениепечально работать К.О. для наверное образованого человека...
зашибись потому, что закладки/бекдоры быть могут. но если они есть и софт интересен - то обязательно всплывут и будут исправлены. а следствия и неправильные посылы и выводы оставьте школьникам
>печально работать К.О. для наверное образованого человека...
>зашибись потому, что закладки/бекдоры быть могут. но если они есть и софт интересен - то обязательно всплывут и будут исправлены. а следствия и неправильные посылы и выводы оставьте школьникамВыше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.
У вас получится? Сколько людей вам известно, сделавших это? А сколько знакомых админов или просто продвинутых пользователей это делали?
Да и потом - хоть кто-то делает сравнение контрольных сумм бинарей в дистрах с бинарями, полученными при компиляции исходников, в которых вы эти закладки искать собираетесь?
Так в чем тогда превосходство open source над closed source?
допустим я учавствую (а я участвую) в нескольких проектах.
мне они просто интересны.
когда появляется что-то интересное (для меня), то первым что я делаю - это смотрю дифы (а если проект мне интересен, то я юзаю его из системы контроля версий и никак иначе).
если мне что-то не ясно или мне кажется, что вот так будет лучше, то правлю, отправляю комменты в список рассылки, связываюсь по почте с автором измененного куска кода (благо он в каждом дифе чуть ли не первой строчкой)теперь внимание, 2-а вопроса:
1. если я увижу закладку, то я промолчу? какой лично мне профит?
2. как вы думаете, остальные проекты не в такой же ситуации? ведь там не я, но такие же как я. во всеж опенсорсных проектах (подчеркну - во всех)
ну и 3 - про госсруктуры (не наши. нашим пока ничто не интересно) я вообще молчу.
да че ты ему обьясняешь? даже школьнику понятно, что если открытый проект кому-то нужен, то всё найдут и всё исправят и напишут об этом.
а этот - выше - простое трололо, а ты повелся :)
> Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.ЗАЧЕМ?
>> Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.
>
>ЗАЧЕМ?А вдруг там что то не так? Вдруг уязвимость? Или вы тоже полагаетесь на легион анонимных вымышленых экспертов по безопасности?
нет конечно.
он полагается на $200'000'000 вложенных пентагоном в безопасность висты.
>нет конечно.
>он полагается на $200'000'000 вложенных пентагоном в безопасность висты.я поражаюсь, скольким людям, оказывается, необходим для работы Ирк-сервер... :)
я-то по недомыслию всегда считал ирки троянами... а тут - вон оно как!
>я-то по недомыслию всегда считал ирки троянами...Может быть мсье готов предложить более вменяемый групчат? Почему-то за столько лет групчатов юзабельнее так никто и не родил толком.
>Может быть мсье готов предложить более вменяемый групчат? Почему-то за столько лет
>групчатов юзабельнее так никто и не родил толком.если уж совсем нужно - то жаббер. хотя я сомневаюсь что гропчаты вообще нужны по работе
>нет конечно.
>он полагается на $200'000'000 вложенных пентагоном в безопасность висты.Лучше полагаться на разработанный АНБ SELinux?
конечно.
он открыт. и всеми серьёзными специалистами в этой сфере уже давно проверен вдоль и поперёк.
>Вот явное преимущества open source - уязвимость может обнаружить любой. Не получится
>умолчать и тихой сапой выпустить патч через 400 дней.Супер. Трояная случайно обнаружили сами разработчики через 210 дней. Тем кого поломали уже все равно 210 или 400. Кстати расскажите нам об этих таинственных 400 днях. Желательно с пруфлинком. Очень интересно что вы имели в виду под этим красивым числом. Без пруфлинка можно контстатировать что это очередной треп.
И при чем тут любой у кого есть доступ к коду? Много специалистов безопасности готовы тратить свое время на анализ кода одного из тысяч опенсорс проектов? Рассказы про толпы пионеров которые прийдут просмотрят код и все поправят просьба тут не писать. Подобные сказки оставим детскому саду.
Надо изначально нормально организовывать меры безопасности проекта а не рассказывать сказики про неуязвимость опенсорса. А то получается защита из разряда неуловимого Джо. Его не могут поймать потому что никому не интересно его ловить.
А давайте не бухтеть? Я вот слегка копался в коде анрылы. Вот только так получилось что у меня почему-то вот не протрояненые копии как-то были. Чтобы трояненую поиметь - вообще пришлось самому заковыривать патч с трояном, который еще и заковыриваться не хотел. Пришлось в полуручном режиме впихивать.Почему так? Потому что обычно в сети крайне геморно сменить версию IRCD если она хоть немного не совместима со старой и проще бэкпортануть фикс дыры или крутой баги (if any) в существующую версию чем переставить сервера, вызвав расколбас всей IRC-сети. Потому что обычно сети гоняют IRCD с 100500 кастомных локальных патчей под реалии конкретной сети, особенности и грабли (некоторые вообще в итоге делают свой ирцд :D). А половина лабухов которые ставят анрыл впервые - ставят его из репов своей оси и т.п. например. В итоге думается за эти дни скачало анрылу в виде сорса распоследней версии не так уж и много народа. В общем то попытки проверки дыры показали что процент уязвимых анрылов как-то не очень оптимистичный. У части версии не те, а остальные толи все резко пообновлялись (что врядли), толи гайки по секурити на уровне оси подтянули нехило (oh really?), толи просто юзают версию без трояна. Как-то результаты опробования молотка на попавшихся под руку гвоздях не внушили особого оптимизма.
Открытый код дает возможность сообществу (или отдельным пользователям) обнаружить и защититься от враждебного кода. Но возможность - еще не сама защита и предполагает какие-то активные действия. Но... сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков. Т.е. фактически требуется прочесть весь код и осознать что делает тот или иной фрагмент кода. Когда-то мне довелось ваять веб-приложение для сомнительного заказчика. Сомнительность начала проявляться уже по ходу работы (иначе бы за нее не взялся). Посему, пришлось защищаться. Перед сдачей проекта (вместе со всеми исходниками) засунул в эти же самые исходники и в сдаваемую базу занятный фрагментик. Он привязывался и к разнице дат в записях таблиц базы данных. Таким образом определялось время эксплуатации данной инсталляции. Через два месяца эксплуатации одна из расчетных процедур начинала работать... своеобразно. с вероятностью в 25 процентов делала неверный расчет причем в ущерб владельцу сервиса. Далее несу этот код сдавать, и в самый конец прилагаю листочек в котором прописано то, что данное приложение содержит защитные вставки ограничивающие срок эквплуатации приложения, т.е. являтся полнофункциональной демо-версией. Сведения о расположении и содержании вставок и необходимых заменах обязуюсь передать при полном расчете с закачиком, а разработанную сверх заданя демо-версию оставляю ему после этого бесплатно.
Как в воду смотрел. Мужик начал крутить носом, то пытался изобразить теститрование не линии в 1 кбпс, то делал вид, что что-то неправильно понимает (говорили посредством английского)... Затем заявил, что заплатит толькое если я обязаюсь в течение пяти лет не разрабатывать ПОДОБНЫЕ приложения. На этом я его уже послал по русски нахуй и попросил присутствовавшего коллегу адекватно перевести на его французский. затем достал со дна стопки тот самый листочек и попросил разъяснить - что это значит. Порекомендовал подсчитать солько займет времени и средств самостоятельный поиск закладки и корректное ее изъятие. Сказал, что буду посматривать на состояние своего счета, когда увижу окончательный расчет незамедлительно перешлю обещанное. Помахал ручкой и ушел. Деньги поступили через неделю. Еще через пару недель заказчик передавал через знакомых сожаления о том, что мы неправильно друг друга поняли, и что он в принципе заинетерсован в дальнейшем сотрудничестве и прочее бла-бла. Наверное понравился русский мат :-).
> Наверное понравился русский мат :-).Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена дистрибутива ИРКи? :)
>Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена
>дистрибутива ИРКи? :)Отчего ж наболело? Это лишь пример. И давненько это было, году этак в 98.
А пример иллюстрирующий сказанное в самом начале:
"возможность - еще не сама защита и предполагает какие-то активные действия. Но... сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков."
Открытый код - еще не означает "безопасный код".
А в случае closed source сами разработчики поправить с приемлемыми трудозатратами не могут
Выше, про Office XP
>А в случае closed source сами разработчики поправить с приемлемыми трудозатратами не
>могутОни просто могут нормально разрабатывать и проверять свой код по одной из методик тестирования кода на основные критерии безопасности. Microsoft делает это вот так http://www.google.ru/url?sa=t&source=web&cd=2&ved=0CCEQFjAB&...
Перед тем как код попадет в производственную версию продукта он проходит обязательный аудит безопасности.
Как это делают опенсорс сообщества неизвестно. И делают ли вообще.
Ты лучше расскажи про их успехи в производстве секурного софта :)
Я уже ржу - жду от тебя подтверждений что с выходом висты или в7 вирусы остались в прошлом :)PS: Ога, попкорна - вагон! Начинай :)
как делает это мс видно и так.
касперский им очень благодарен за это,
>Перед тем как код попадет в производственную версию продукта он проходит обязательный
>аудит безопасности.Какие красивые слова. Только почему-то ишак по прежнему дыряв, вирусы по прежнему есть, а дыры почему-то часто сплошняком накрывают все NT, от винтукея до семерки. Алсо, надо сказать что винда без софта - малополезна. А вот тут извольте get the facts-ов откушать:
1) Юзеры качают софт откуда попало. И если в случае опенсорса троян в софте это вопиющее и исключение, то в случае проприетари и винды - это норма жизни. Половина сайтов просто раздает откровенные трояны, спайварь, адварь, инсталлеры с двойным дном и прочая. В итоге юзать винду без антиспайвари, антивируса и сурового фаера прото нереально.
2) В винде зачем-то куча сервисов висит от учетки SYSTEM. Поэтому ... да, поимение какогонить системного сервиса неизбежно дает вирью полный контроль над ОС с правами подлиннее чем у сисадмина (удачи коему потом в выпинывании этой заразы, ага).
3) Винде плевать на то насколько уязвимы 3rd party программы. И половине их авторов - тоже плевать, строго говоря.
4) Аналогично и насчет shared libs. В винде с управлением 3rd party shared libs-ами полный бардак. В итоге и по сей день у виндузятников можно найти софт работающий скажем с сетью и при том - с дырявой эксплойтабельной злибой. Это в пингвиназ все просто: заменил 1 шаред либу да еще и пакетным манагером и ВСЕ ее юзают. А в винде... ну вот так вот, да.
>>Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена
>>дистрибутива ИРКи? :)
>
>Отчего ж наболело? Это лишь пример. И давненько это было, году этак
>в 98.
>А пример иллюстрирующий сказанное в самом начале:
>"возможность - еще не сама защита и предполагает какие-то активные действия. Но...
>сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем
>со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков."Да ладно, wireshark или tcpdump запустит каждый чайнег, и увидит что трафик куда-то уходит...
ну и чем этот пост говорит?
1. что лично вы этой возможностью не пользуетесь.
2. если даже великий "ВЫ" ей не пользуетесь, то что можно говорить про этих "они".зы:
а ведь эти "они" совместным усилием и написали вон эту вот прогу. при том что лично они порой и не знакомы.
ззы:
на просмотр дифов из жита новой версии ядра у меня уходит минут 30-60. это не много.
не скажу что я сильно вникаю во все подсистемы, но в интересные для меня - всегда.
и это в ведре, а там меня активным разработчиком не назовешь. в отличии от нескольких других проектов.
>на просмотр дифов из жита новой версии ядра у меня уходит минут
>30-60. это не много.
>не скажу что я сильно вникаю во все подсистемы, но в интересные
>для меня - всегда.
>и это в ведре, а там меня активным разработчиком не назовешь. в
>отличии от нескольких других проектов.И вы мельком просмотрев интересный вам код можете найти в нем уязвимости? Очень в этом сомневаюсь.
1. то что меня интересует я смотрю далеко не мельком.
2. ну вы то в клозедсорсе вообще ниего не можете.
3. это выш выше пост про требование пруфа на 400 дней?
а 10 ЛЕТ незакрытая дыра в смб-протоколе - вам тоже не попадалась? сами пруф поищите или помочь?зы:
не стоит высказывать свои сомнения в компетентности собеседника априори. это глупо и не восспитанно.
поверьте, даже 30 минут в коде коротый знаешь вполне джостаточно, чтобы понять что он делает.
как хорошо он делает то что должен - это уже совсем другой разговор
>[оверквотинг удален]
>а 10 ЛЕТ незакрытая дыра в смб-протоколе - вам тоже не попадалась?
>сами пруф поищите или помочь?
>
>зы:
>не стоит высказывать свои сомнения в компетентности собеседника априори. это глупо и
>не восспитанно.
>поверьте, даже 30 минут в коде коротый знаешь вполне джостаточно, чтобы понять
>что он делает.
>как хорошо он делает то что должен - это уже совсем другой
>разговорДля сведения та самая пресловутая 10 летняя дыра о которой так любят говорить не эксплоитабельна по умолчанию. Для того чтобы она заработала нужно отключить smb message signing который включен по умолчанию. 99,99% клиентов никогда не отключают подпись пакетов SMB. Неожиданно правда?
Отсюда делаю вывод что вы тоже не в курсе того о чем говорите т.е просто пересказываете мифы. :)
Как видите я могу очень квалифицированно диагностировать Linux правду.
Так что насчет ссылки на 400 дневную уязвимость?
т.е. 10 лет усиленных проверок и такой результат - это нормально? :D
210 дней (или сколько там?) в левом архиве не из апстрима заштатной проги - кошмар!? :Dзы:
ожиданно-ожиданно.
отключить эту проверку проще чем в соседней комнате удаленно свет. намного проще.
>т.е. 10 лет усиленных проверок и такой результат - это нормально? :D
>
>210 дней (или сколько там?) в левом архиве не из апстрима заштатной
>проги - кошмар!? :D
>
>зы:
>ожиданно-ожиданно.
>отключить эту проверку проще чем в соседней комнате удаленно свет. намного проще.
>Да ладно заливать. Поучите теорию чтобы не позориться. Message Signing не возможно отключить удаленно. По умолчанию он включен и чтобы его выключить локальному админу нужно очень постараться.
Смысл исправлять такую уязвимость? Это даже не уязвимость. Для ее эксплуатации местный админ должен ох как постараться помочь злоумышленнику. Это все равно что самому стену навстречу атакующим долбить.
ну конечно! это же фича! и как я не догадался?! :D
ok (хоть любую локальную уязвимость можно использовать через другую, удаленную, например в ие). а вот с этим как? http://seclists.org/bugtraq/2010/Feb/108 цитата:
>Title: Windows SMB NTLM Authentication Weak Nonce Vulnerability
>Vulnerability information - Impact: An unauthenticated remote attacker without any kind of credentials can access the SMB service under the credentials of an authorized user... This vulnerability was verified by the authors on the following platforms: Windows NT4 SP1 Windows Server 2003 SP2 Windows XP SP3 Windows Vista x32 Windows 7 x32 RCтак сколько лет данной уязвимости со времен NT4 SP1? так чем вы говорите пользуется мс для проверки кода?:D
зы:
не скромный вопрос - вы (и чудик коментом ниже) умеете пользоваться гуглом?
попробуйте поискать вот так - windows+smb+vulnerability+10+year.
или вы только в бинге, а он про винду плохо не говорит? :D
17 лет
>Given that Windows NT 4 was relased in ~1996 this vulnerability has beenpresent for ~14 years. If it is confirmed this vulnerablity is also
present in older systems such as Windows NT 3.1, released in ~1993,
Windows NTLMv1 authentication mechanism could have been vulnerable for
~17+ years.
/
>17 лет
>>Given that Windows NT 4 was relased in ~1996 this vulnerability has been
>
>present for ~14 years. If it is confirmed this vulnerablity is also
>
>present in older systems such as Windows NT 3.1, released in ~1993,
>
>Windows NTLMv1 authentication mechanism could have been vulnerable for
>~17+ years.
>/Таки пруф линк или опять балаболим про мифические уязвимости? Такую кучу текста любой может напечатать. :)
Даже если предположить что вы говорите о чем то реальном то для тех кто с 1996 года не следит за развитием технологий и уже не в теме объясняю. NTLM v1 уже давно нигде не используется.
На досуге почитайте http://ruslan-karmanov.spaces.live.com/?_c11_BlogPart_BlogPa...
И попробуйте ответить на первый воспрос приведенный в ссылке. Цитирую для ленивых:
"В семействе ОС Windows есть 3 протокола аутентификации - LM, NTLM, NTLMv2. Новейшие ОС Windows 98 и Windows NT 4.0 используют протокол NTLMv2. Объясните, почему через номер в журнале "Хакер" описывают скорый апокалипсис, базируясь на уязвимостях в LM. Постарайтесь, чтобы ответ не был рекламой некрофилии."
Может мозг встанет на место и наконец узнаете о том что есть NTLM 2 который применяется начиная с Windows 98 и Windows NT 4.В сети не осталось Windows NT 3.1 и Windows NT 4. Даже Windows 98 уже сдана в утиль http://www.w3schools.com/browsers/browsers_os.asp
А вы все годы существования уязвимости считаете. Вот уж мифотворчество то махровое. Про то что у любого продукта есть окончание поддержки вы из своей пещеры тоже наверно не слышали. Или опять начнете выкручиваться что в Linux все не так и конечно же лучше чем у всех? :)
Так что знания у вас мало того что никудышние так еще и устарелые. Пойдите поучитесь на курсах что ли. Глядишь узнаете про NTLM 2 и kerberos в новых версиях Windows.
Может вас после этого страхи перед древними эксплоитами отпустят и вы перестанете людям головы чушью забивать.
В общем делаю вывод что вы снова слили. Интересно сколько вас там за анонимуса пишет.
>[оверквотинг удален]
>>~17+ years.
>>/
>
>Таки пруф линк или опять балаболим про мифические уязвимости? Такую кучу текста
>любой может напечатать. :)
>
>Даже если предположить что вы говорите о чем то реальном то для
>тех кто с 1996 года не следит за развитием технологий и
>уже не в теме объясняю. NTLM v1 уже давно нигде не
>используется.Если правильно помню, NTLMv1 не используется _по_умолчанию_, а вот _выключен_ он был только в Win2003 Server, кажись, а то и позднее. То есть по дефолту-то _нормальные_клиенты_ юзали NTLMv2, а вот нехорошие вполне могли прикинуться ветошью, умеющей только NTLMv1…
>[оверквотинг удален]
>>
>>Даже если предположить что вы говорите о чем то реальном то для
>>тех кто с 1996 года не следит за развитием технологий и
>>уже не в теме объясняю. NTLM v1 уже давно нигде не
>>используется.
>
>Если правильно помню, NTLMv1 не используется _по_умолчанию_, а вот _выключен_ он был
>только в Win2003 Server, кажись, а то и позднее. То есть
>по дефолту-то _нормальные_клиенты_ юзали NTLMv2, а вот нехорошие вполне могли прикинуться
>ветошью, умеющей только NTLMv1…По умолчанию в windows 2003 используется NTLM 2. Автоматического отката к более ранней версии NTLM 1 нет. Поэтому у многих возникали проблемы совместимости со старыми клиентами. http://support.microsoft.com/kb/555038
Так же стоит отметить что NLM 2 появился начиная с Windows NT 4 SP2.
По умолчанию взаимодействие идет в режиме message signing.
By default, security settings on domain controllers running Windows Server 2003 are configured to help prevent domain controller communications from being intercepted or tampered with by malicious users. For users to successfully negotiate communications with a domain controller that runs Windows Server 2003, these default security settings require that client computers use both server message block (SMB) signing and encryption or signing of secure channel traffic. Clients that run Windows NT 4.0 with SP2 or earlier installed and clients that run Windows 95 do not have SMB packet signing enabled and cannot authenticate to a Windows Server 2003 domain controller.
В общем с выходом NT 4 те экспоиты о которых тут браво трубит аноним не актуальны. Если посмотреть сюда http://en.wikipedia.org/wiki/Windows_NT_4.0 видим что SP2 для Win NT 4 вышел как раз 14 декабря 1996 года. Прошло уже 14 лет. Те самые которые аноним записал во время существования уязвимости.
Давно дело было, не правдали? Как у анонима сохранились столь устаревшие знания об окружающем мире диву даюсь. У Microsoft уже три поколения серверных и клиентских ОС без этой "уязвимости" вышло, а аноним все в специалиста по безопасности играет и людям ужасы рассказывает. :)
http://www.kb.cert.org/vuls/id/135940
>Microsoft Windows Vista and Server 2008 do not correctly parse SMB version 2 messages.This vulnerability could allow an attacker to execute arbitrary code. Solution. There is currently no solution to this problem. Until patches are available, users and administrators are encouraged to review the below workarounds.http://news.cnet.com/8301-27080_3-10397759-245.html
>Microsoft patching zero-day Windows 7 SMB holehttp://vil.nai.com/vil/content/v_vul51500.htm
>(MS10-020) Microsoft Windows SMB Client Message Size Vulnerability (980232)
>An unauthenticated remote code execution vulnerability exists in the way that Microsoft Server Message Block (SMB)... no user interaction is needed... Windows 7, Windows 7 x64, Windows Server 2008 RTM,список можно продолжать.
на фоне irc сервера и их левого архива выглядит эпично.
>[оверквотинг удален]
>>Vulnerability information - Impact: An unauthenticated remote attacker without any kind of credentials can access the SMB service under the credentials of an authorized user... This vulnerability was verified by the authors on the following platforms: Windows NT4 SP1 Windows Server 2003 SP2 Windows XP SP3 Windows Vista x32 Windows 7 x32 RC
>
>так сколько лет данной уязвимости со времен NT4 SP1? так чем вы
>говорите пользуется мс для проверки кода?:D
>зы:
>не скромный вопрос - вы (и чудик коментом ниже) умеете пользоваться гуглом?
>
>попробуйте поискать вот так - windows+smb+vulnerability+10+year.
>или вы только в бинге, а он про винду плохо не говорит?
>:DТаки в данном случае вы неправы, так как путаете две вещи: 1. Время между появлением уязвимости и её устранением; 2. Время между обнаружением уязвимости и её устранением. Про (1) говорить бессмысленно, так как, например, указанная дырка банально старее нынешнего ядра Linux. :) Вот (2) — да, должно быть минимальным, это непосредственно контролируемый фактор, и его растягивание есть прямое пренебрежение интересами клиентов.
таки я ничего не путаю. :D
1. вы точно уверены, что появление уязвимости и обнаружение уязвимости - это одно и тоже?
лично я уверен, что это ОЧЕНЬ разные понятия. (не говоря уже про упомянутую технологию и усиленную работу мс по поиску уязвимостей)
2. вы серьезно хотите чтобы я привел тут все ссылки на уязвимости смб/цифс?
ключ поиска я давал. к примеру, во второй ссылке временная мера отключения смб2 из-за критической уязвимости.
3. нe и уж тем более я не собираюсь участвовать в диалоге с хамовитым чудиком, рекламирующем карманова. и клавно где? сам вопрос - кто лучше пишет проги - пара энтузиастоа с ирк или самая крупная софтверная контора на планете? :D
моветон. занавес.
>таки я ничего не путаю. :D
>1. вы точно уверены, что появление уязвимости и обнаружение уязвимости - это
>одно и тоже?
>лично я уверен, что это ОЧЕНЬ разные понятия.Простите, вы читать где учились? Это я вас (или кто там из вас "аноним") ткнул в некорректность смешения этих понятий.
а вы?
или гениальной вышеупомянутой системе поиска требуется 17 лет и пару хакеров - только в таком режиме и работает?
тред пошел с того, что код никто не проверяет в отличии от офтопика. видимо ваши читательские способности ниже писательских ибо 17 лет "проверок и аудита" - отличный показатель.еще раз, для одаренных - вопрос стоял не сколько уходит времени на устранение (что отдельный разговор), а сколько дыра существует вообще.
и, кстати, не факт что она не эксплуатировалась.
>а вы?
>или гениальной вышеупомянутой системе поиска требуется 17 лет и пару хакеров -
>только в таком режиме и работает?А в BSD находили баги 25-летней давности. А в Linux таких нет по одной простой причине: Linux тогда ещё в проекте не было. :) Понимаете о чём я? Мерять давностью дырки — довольно глупо. Shit happens. Just happens.
>тред пошел с того, что код никто не проверяет в отличии от
>офтопика. видимо ваши читательские способности ниже писательских ибо 17 лет "проверок
>и аудита" - отличный показатель.См. выше. Я не защищаю винду как таковую, я говорю лишь о том, что приведённый вами аргумент некорректен. Некорректность доказательства не влечёт за собой некорректность тезиса, если вы помните. Так что можете не волноваться.
>еще раз, для одаренных - вопрос стоял не сколько уходит времени на
>устранение (что отдельный разговор), а сколько дыра существует вообще.
>и, кстати, не факт что она не эксплуатировалась.Не факт, что Шекспир действительно существовал, и что? :)
было утверждение, что проприетарная разработка намного лучше, поскольку баги отсеиваются на этапе подготовки.
вполне очевидно что это не так.
вот по этому вопросу ещё что-то не ясно?зы:
по вопросам существования Шекспира вы явно ошиблись адресом.
ззы:
в вопросах же одаренности я все-таки не ошибся. :D
это хорошо. не придётся извиняться.
>было утверждение, что проприетарная разработка намного лучше, поскольку баги отсеиваются на этапе
>подготовки.
>вполне очевидно что это не так.
>вот по этому вопросу ещё что-то не ясно?Я к этому утверждению не имею никакого отношения. Перечитайте тред.
>зы:
>по вопросам существования Шекспира вы явно ошиблись адресом.
>ззы:
>в вопросах же одаренности я все-таки не ошибся. :D
>это хорошо. не придётся извиняться.Угу. Всё равно вы это делать не умеете.
>еще раз, для одаренных - вопрос стоял не сколько уходит времени на
>устранение (что отдельный разговор), а сколько дыра существует вообще.
>и, кстати, не факт что она не эксплуатировалась.Про то, что МС пренебрегает тестированием - для меня очевидный факт.
В свое время получил во время разработки странный результат, проявлявшийся в падении RPCSS при отправке не совсем корректно сформированного пакета RPC. Немножко анализа показало, что существует дыра, и вполне вероятно, эксплоитабельна.
Отправил уведомление MS с описанием вероятной дыры. Получил сообщение автоответчика, и стал ждать "живого" ответа. Прошел месяц. Два. Я забил. И вспомнил уже позже - когда через год появился Blast, который эксплуатировал эту самую дыру в RPC.
>т.е. 10 лет усиленных проверок и такой результат - это нормально? :D
>
>210 дней (или сколько там?) в левом архиве не из апстрима заштатной
>проги - кошмар!? :D
>
>зы:
>ожиданно-ожиданно.
>отключить эту проверку проще чем в соседней комнате удаленно свет. намного проще.
>Ну так что ссылки будут на описание уязвимостей в 400 дней и 10 лет. Или можно считать что Linux экперты как обычно слили?
А почему Linux эксперты, кстати? Сорс для всех платформ, даже для винды. Давайте тогда и слив виндовых экспертов чтоли признаем для симметрии?А также макосевых и прочих :)
>И вы мельком просмотрев интересный вам код можете найти в нем уязвимости?Загрепать system в сорсах очевидно ракетная наука :).Хотя бэкдор сделан технично, не очень палится внешним видом, да.
Посмею высказать своё мнение по поводу приведённого выше обсуждения :-). По моему программы создают программисты, и именно от них зависит качество программы. Название программы, открыты ли её исходники, слабо влияет на качество программы. Появился Линус, появился и линкус, Линус и его коллеги продолжают поддерживать ядро, ядро живёт. По моему идеология свободных программ просто более справедлива, хотя тоже вызывает вопросы, например по вознаграждению труда программистов, она практически не влияет на качество программ разрабатываемых по ней.
А что качается безопасности универсальных систем, так она очень низкая, window xp вообще многими солидными фирмами признана как критически опасная, без добавочных средств такие системы не пригодны даже для работы с конфиденциальной информацией, не говоря уже про государственную тайну.
Очевидно, это одно из самых точных замечаний, из всего срача, написанного выше.
> Информация о наличии проблемной версии в
> репозиториях других дистрибутивов отсутствует,В SuSE такого даже нет...