Venus AUEB Forum

Μεγάλη ανησυχία έχει προκαλέσει η αποκάλυψη κενού ασφαλείας στο λειτουργικό σύστημα Linux. Μάλιστα, η «τρύπα» αυτή είναι ανοιχτή τα τελευταία δύο χρόνια! Δύο γραμμές κώδικα ήταν αρκετές για να καταρρίψουν τον μύθο του ασφαλούς λειτουργικού αφήνοντας εκτεθειμένα τις βασισμένες σε Debian και Ubuntu διανομές Linux, αρκετές εφαρμογές και εκατομμύρια συνδεδεμένους στο internet υπολογιστές.
Το λάθος του κώδικα επηρέασε τα κλειδιά ασφαλείας που παράγονται για την ασφαλή μεταφορά δεδομένων από τον ένα υπολογιστή στον άλλο.

Για να θεωρηθεί ένα κλειδί ασφαλές, πρέπει να έχει «μέγεθος» 128 bit, ώστε να χρειάζονται αρκετά χρόνια για να μπορέσει κάποιος άλλος υπολογιστής να ανακαλύψει ή καλύτερα, να μαντέψει, τον πιθανό συνδυασμό του κλειδιού.

Ο λανθασμένος όμως κώδικας μείωνε το μέγεθος από τα 128bit στα 15bit αφήνοντας έτσι έκθετη την ασφάλεια των δεδομένων σε όποιον καταλάβαινε την αδυναμία του συστήματος.

Το λάθος δεν ήταν εμφανές γιατί ενώ από την μία είχε διατηρηθεί το φαινομενικό μέγεθος των κλειδιών, ώστε να φαίνονται κανονικά και θεωρητικά ασφαλή, από την άλλη είχε μειωθεί δραματικά η ποικιλία αυτών. Έτσι αντί για 2 εις την 128 κλειδιά, δημιουργούνταν μόνο 2 εις την Πέμπτη δηλαδή 32768 κλειδιά.

Το σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα.
Φαίνεται ότι πρέπει να αλλάξει η μεθοδολογία που ακολουθείται στα ζητήματα ασφαλείας, ώστε να είμαστε σίγουροι πως δεν θα δημιουργηθεί ασυνεννοησία στις ομάδες προγραμματιστών, όπως εδώ, οπού η ομάδα του Debian θα έπρεπε να ενημερώσει τους προγραμματιστές του OpenSSL για να να διορθώσουν το δικό τους bug και όχι να αναλάβουν την πρωτοβουλία να το διορθώσουν αυτοί, κάνοντας έτσι ακόμα χειρότερα τα πράγματα.

Erevodifwntas wrote:"θέλω να νιώθω την ασφάλεια της M$"

Erevodifwntas wrote: "θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

Erevodifwntas wrote:Πρέπει να το πάρουμε απόφαση. Δεν υπάρχουν ασφαλή λειτουργικά. Όλα έχουν τα προβλήματά τους. Απλά υπάρχουν λειτουργικά που μας ταιριάζουν και καλύπτουν τις ανάγκες μας (και βάζω μέσα και τις ψυχολογικές -"θέλω να νιώθω την ασφάλεια της M$", "θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

Μεγάλη ανησυχία έχει προκαλέσει η αποκάλυψη κενού ασφαλείας στο λειτουργικό σύστημα Linux. Μάλιστα, η «τρύπα» αυτή είναι ανοιχτή τα τελευταία δύο χρόνια! Δύο γραμμές κώδικα ήταν αρκετές για να καταρρίψουν τον μύθο του ασφαλούς λειτουργικού αφήνοντας εκτεθειμένα τις βασισμένες σε Debian και Ubuntu διανομές Linux, αρκετές εφαρμογές και εκατομμύρια συνδεδεμένους στο internet υπολογιστές.

Το σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα

ο σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα

Secure Sockets Layer (SSL) has become an industry standard for enabling applications for secure communication sessions over an unprotected network (such as the Internet).

Πρέπει να το πάρουμε απόφαση. Δεν υπάρχουν ασφαλή λειτουργικά. Όλα έχουν τα προβλήματά τους. Απλά υπάρχουν λειτουργικά που μας ταιριάζουν και καλύπτουν τις ανάγκες μας (και βάζω μέσα και τις ψυχολογικές -"θέλω να νιώθω την ασφάλεια της M$", "θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

Ασφαλή λειτουργικά είναι μόνο κάτι τρελά στρατιωτικά, τα οποία μπορούν να κάνουν κάτι λίγα πραγματάκια και ακόμα για τη μεταφορά τους απαιτούνται ειδικά κιβώτια

Για τους πολίτες υπάρχει και το OpenBSD βέβαια και αυτό από ανθρώπους γράφτηκε

Έτσι είναι, by (almost) all means (για την ακρίβεια, "με τη διαθέσιμη τεχνολογία δεν μπορούν να κατασκευαστούν ασφαλή λειτουργικά συστήματα").

Silver wrote: Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.
Ελπίζω το πάθημα να γίνει μάθημα!

Silver wrote:Γνώμη μου ότι το πρόβλημα άργησε να εντωπιστεί γιατί πόσοι είναι αυτοί που χρησιμοποιούν linux;
Λογικό είναι τα προβλήματα στα windows να βρίσκονται πιο γρήγορα αφού windows χρησιμοποιούν 100 φορές περισσότεροι άνθρωποι από ότι linux. Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.

Ελπίζω το πάθημα να γίνει μάθημα!

Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.

Και αυτό που είναι αξιοσημείωτο είναι οτι από τη στιγμή που το bug εντοπίστηκε χρειάστηκαν πολύ λιγότερες από 24 ώρες για να γίνει παγκοσμίως γνωστό και αυτό και ο τρόπος αντιμετώπισής του(δε χρειάστηκε να περάσουν 2+ χρόνια μέχρι το επόμενο service pack), γεγονός που δείχχνει τη δύναμη του OSS και την υπεροχή του απέναντι στο κλειστού κώδικα λογισμικό.

ultimate_aektzis wrote:Τα οποια bugs της ms περνανε λιγο-πολυ στα ψιλα

[εντελώς οφφ]Ποιος ψήνεται να φτιάξουμε κανένα tutorial για νέους χρήστες linux και να το δημοσιεύσουμε εδώ στο venus;Όπως έκανε ο cyberpython?Έτσι ώστε να ωθήσουμε ακόμα περισσότερα μέλη του venus να βάλουν κάποια έκδοση linux γιατί με windows δεν πας μπροστά...[/εντελώς οφφ]

γιατί με windows δεν πας μπροστά...

The Bug
On May 13th, 2008 the Debian project announced that Luciano Bello found an interesting vulnerability in the OpenSSL package they were distributing. The bug in question was caused by the removal of the following line of code from md_rand.c

Code: Select all

MD_Update(&m,buf,j);
	[ .. ]
	MD_Update(&m,buf,j); /* purify complains */

These lines were removed because they caused the Valgrind and Purify tools to produce warnings about the use of uninitialized data in any code that was linked to OpenSSL. You can see one such report to the OpenSSL team here. Removing this code has the side effect of crippling the seeding process for the OpenSSL PRNG. Instead of mixing in random data for the initial seed, the only "random" value that was used was the current process ID. On the Linux platform, the default maximum process ID is 32,768, resulting in a very small number of seed values being used for all PRNG operations.