|
Title: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: Larry_Flynt on May 28, 2008, 15:50:46 pm Μεγάλη ανησυχία έχει προκαλέσει η αποκάλυψη κενού ασφαλείας στο λειτουργικό σύστημα Linux. Μάλιστα, η «τρύπα» αυτή είναι ανοιχτή τα τελευταία δύο χρόνια!
Δύο γραμμές κώδικα ήταν αρκετές για να καταρρίψουν τον μύθο του ασφαλούς λειτουργικού αφήνοντας εκτεθειμένα τις βασισμένες σε Debian και Ubuntu διανομές Linux, αρκετές εφαρμογές και εκατομμύρια συνδεδεμένους στο internet υπολογιστές. Το λάθος του κώδικα επηρέασε τα κλειδιά ασφαλείας που παράγονται για την ασφαλή μεταφορά δεδομένων από τον ένα υπολογιστή στον άλλο. Για να θεωρηθεί ένα κλειδί ασφαλές, πρέπει να έχει «μέγεθος» 128 bit, ώστε να χρειάζονται αρκετά χρόνια για να μπορέσει κάποιος άλλος υπολογιστής να ανακαλύψει ή καλύτερα, να μαντέψει, τον πιθανό συνδυασμό του κλειδιού. Ο λανθασμένος όμως κώδικας μείωνε το μέγεθος από τα 128bit στα 15bit αφήνοντας έτσι έκθετη την ασφάλεια των δεδομένων σε όποιον καταλάβαινε την αδυναμία του συστήματος. Το λάθος δεν ήταν εμφανές γιατί ενώ από την μία είχε διατηρηθεί το φαινομενικό μέγεθος των κλειδιών, ώστε να φαίνονται κανονικά και θεωρητικά ασφαλή, από την άλλη είχε μειωθεί δραματικά η ποικιλία αυτών. Έτσι αντί για 2 εις την 128 κλειδιά, δημιουργούνταν μόνο 2 εις την Πέμπτη δηλαδή 32768 κλειδιά. Tο σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα. Φαίνεται ότι πρέπει να αλλάξει η μεθοδολογία που ακολουθείται στα ζητήματα ασφαλείας, ώστε να είμαστε σίγουροι πως δεν θα δημιουργηθεί ασυνεννοησία στις ομάδες προγραμματιστών, όπως εδώ, οπού η ομάδα του Debian θα έπρεπε να ενημερώσει τους προγραμματιστές του OpenSSL για να να διορθώσουν το δικό τους bug και όχι να αναλάβουν την πρωτοβουλία να το διορθώσουν αυτοί, κάνοντας έτσι ακόμα χειρότερα τα πράγματα. Πηγή: pcw.gr Title: deleted Post by: BOBoMASTORAS on May 28, 2008, 16:03:20 pm deleted
Title: Re: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: Larry_Flynt on May 28, 2008, 16:06:34 pm Προφανώς ο συντάκτης του άρθρου τα φουσκωσε λίγο ή είναι ψιλοφιλοMS.
Title: Re: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: pmousoul on May 28, 2008, 16:08:04 pm Αυτό έχει διορθωθεί εδώ και μερικές εβδομάδες... Το πρόβλημα αφορούσε προγραμματιστικό λάθος... Δηλ. κάποιος είδε τις γραμμές αυτές που έχουν σχέση με τα κλειδιά και τις θεώρησε bug και έκανε αλλαγές για να τις "διορθώσει"... αλλά ουσιαστικά δημιουργούσε σοβαρό πρόβλημα ασφαλείας στο λειτουργικό... Είναι περιττό να αναφερθεί ότι το πρόβλημα διορθώθηκε αμέσως μόλις έγινε αντιληπτό. Για παράδειγμα εγώ που έχω ubuntu έλαβα σε update την διόρθωση πριν από μερικές μέρες... Title: Re: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: Aurelius on May 28, 2008, 16:10:39 pm Bugs υπαρχουν σε ολα τα προγραμματα και σε ολα τα λειτουργικα. Μεχρι να το ανακαλυψει καποιος, ουσιαστικα δεν υπαρχει το bug(ειναι κατι σαν την ημιζωντανη γατα του Schroendinger). Οσο και να καθεσαι και να κοιτας κατι, οσο και να το ψαχνεις, οταν εχει τετοιο μεγεθος η πιθανοτητα να βρεις το bug απο μονο σου ειναι πολυ μικρη απο καποιο σημειο και μετα. Αυτο ειναι και το νοημα του open source programming και του open source γενικοτερα. Εκατομμυρια προγραμματιστες βρισκουν γρηγοροτερα λυσεις απο δεκαδες προγραμματιστες.
Προφανως το κενο ασφαλειας βρεθηκε με τον ενα ή τον αλλο τροπο και διορθωθηκε αμεσως. Αυτο εχει σημασια. Αν πιασουμε τα κενα που μπορει να εχει το καθε προγραμμα, ζητω που καηκαμε. Να πεταξουμε τα μηχανηματα μας. Title: Re: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: SolidSNK on May 28, 2008, 16:22:24 pm Μεγάλη ανησυχία έχει προκαλέσει η αποκάλυψη κενού ασφαλείας στο λειτουργικό σύστημα Linux. Μάλιστα, η «τρύπα» αυτή είναι ανοιχτή τα τελευταία δύο χρόνια! Δύο γραμμές κώδικα ήταν αρκετές για να καταρρίψουν τον μύθο του ασφαλούς λειτουργικού αφήνοντας εκτεθειμένα τις βασισμένες σε Debian και Ubuntu διανομές Linux, αρκετές εφαρμογές και εκατομμύρια συνδεδεμένους στο internet υπολογιστές. Το λάθος του κώδικα επηρέασε τα κλειδιά ασφαλείας που παράγονται για την ασφαλή μεταφορά δεδομένων από τον ένα υπολογιστή στον άλλο. Για να θεωρηθεί ένα κλειδί ασφαλές, πρέπει να έχει «μέγεθος» 128 bit, ώστε να χρειάζονται αρκετά χρόνια για να μπορέσει κάποιος άλλος υπολογιστής να ανακαλύψει ή καλύτερα, να μαντέψει, τον πιθανό συνδυασμό του κλειδιού. Ο λανθασμένος όμως κώδικας μείωνε το μέγεθος από τα 128bit στα 15bit αφήνοντας έτσι έκθετη την ασφάλεια των δεδομένων σε όποιον καταλάβαινε την αδυναμία του συστήματος. Το λάθος δεν ήταν εμφανές γιατί ενώ από την μία είχε διατηρηθεί το φαινομενικό μέγεθος των κλειδιών, ώστε να φαίνονται κανονικά και θεωρητικά ασφαλή, από την άλλη είχε μειωθεί δραματικά η ποικιλία αυτών. Έτσι αντί για 2 εις την 128 κλειδιά, δημιουργούνταν μόνο 2 εις την Πέμπτη δηλαδή 32768 κλειδιά. Tο σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα. Φαίνεται ότι πρέπει να αλλάξει η μεθοδολογία που ακολουθείται στα ζητήματα ασφαλείας, ώστε να είμαστε σίγουροι πως δεν θα δημιουργηθεί ασυνεννοησία στις ομάδες προγραμματιστών, όπως εδώ, οπού η ομάδα του Debian θα έπρεπε να ενημερώσει τους προγραμματιστές του OpenSSL για να να διορθώσουν το δικό τους bug και όχι να αναλάβουν την πρωτοβουλία να το διορθώσουν αυτοί, κάνοντας έτσι ακόμα χειρότερα τα πράγματα. Πηγή: pcw.gr ^puke^ ^puke^ για τα windows, to xploiter(explorer) k το activeX τπτ... Οκ δεν είναι όοοοοοοοολα που λέει βλακείες. Απλά δε ξέρει τι λέει. Όπως είπαν και οι παραπάνω το ρίσκο με το open source είναι πως ένας ικανός έχει τη δυνατότητα να το ψάξει κ να βρει τρύπες. Από την άλλη , αυτός ο ικανός μπορεί να είναι και καλούλης και απλά να την αναφέρει κ να τη διορθώσει, όπως είπε κ ο engine. Δεν είναι δλδ το θέμα ότι το open source είναι exploitable. Απλά ότι με τον ανοιχτό κώδικα είναι ναι μεν πιο εύκολο να βρεθούν τρύπες αλλά κ να διορθωθούν. Επιπλέον, κάνει λες και είναι η πρώτη τρύπα που βρέθηκε. Wow wow wow! Σιγά το νέο... κ λες και καταρρίφθηκε ο μύθος του ασφαλούς linux. Γενικά έχω την εντύπωση πως η 'ασφάλεια στο linux' που πετάνε στους νέους χρήστες, αναφέρεται στο στήσιμο του λειτουργικού και στην αλλαγμένη φιλοσοφία του, που το κάνει (στις πιο πολλές διανομές) αξιωματικά ανθεκτικότερο σε trojans, spyware κτλ κτλ. Τι να πεις... Title: Re: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: fugiFOX on May 28, 2008, 18:11:41 pm Αναστάτωση στην κοινότητα ανοιχτού λογισμικού
Πράγματι, ο Linus κατέβασε 2 ηρεμιστικά σήμερα... Title: Re: Αναστάτωση στην κοινότητα ανοιχτού λογισμικού Post by: chggr005 on May 28, 2008, 18:49:51 pm Για παράδειγμα εγώ που έχω ubuntu έλαβα σε update την διόρθωση πριν από μερικές μέρες... Κι εγώ! Και μάλιστα παραξενεύτηκα, διότι το OpenSSL είναι τόσο stable που σπάνια βγαίνουν updates... |