Αναστάτωση στην κοινότητα ανοιχτού λογισμικού

[maria_]

Μεγάλη ανησυχία έχει προκαλέσει η αποκάλυψη κενού ασφαλείας στο λειτουργικό σύστημα Linux. Μάλιστα, η «τρύπα» αυτή είναι ανοιχτή τα τελευταία δύο χρόνια! Δύο γραμμές κώδικα ήταν αρκετές για να καταρρίψουν τον μύθο του ασφαλούς λειτουργικού αφήνοντας εκτεθειμένα τις βασισμένες σε Debian και Ubuntu διανομές Linux, αρκετές εφαρμογές και εκατομμύρια συνδεδεμένους στο internet υπολογιστές.
Το λάθος του κώδικα επηρέασε τα κλειδιά ασφαλείας που παράγονται για την ασφαλή μεταφορά δεδομένων από τον ένα υπολογιστή στον άλλο.

Για να θεωρηθεί ένα κλειδί ασφαλές, πρέπει να έχει «μέγεθος» 128 bit, ώστε να χρειάζονται αρκετά χρόνια για να μπορέσει κάποιος άλλος υπολογιστής να ανακαλύψει ή καλύτερα, να μαντέψει, τον πιθανό συνδυασμό του κλειδιού.

Ο λανθασμένος όμως κώδικας μείωνε το μέγεθος από τα 128bit στα 15bit αφήνοντας έτσι έκθετη την ασφάλεια των δεδομένων σε όποιον καταλάβαινε την αδυναμία του συστήματος.

Το λάθος δεν ήταν εμφανές γιατί ενώ από την μία είχε διατηρηθεί το φαινομενικό μέγεθος των κλειδιών, ώστε να φαίνονται κανονικά και θεωρητικά ασφαλή, από την άλλη είχε μειωθεί δραματικά η ποικιλία αυτών. Έτσι αντί για 2 εις την 128 κλειδιά, δημιουργούνταν μόνο 2 εις την Πέμπτη δηλαδή 32768 κλειδιά.

Το σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα.
Φαίνεται ότι πρέπει να αλλάξει η μεθοδολογία που ακολουθείται στα ζητήματα ασφαλείας, ώστε να είμαστε σίγουροι πως δεν θα δημιουργηθεί ασυνεννοησία στις ομάδες προγραμματιστών, όπως εδώ, οπού η ομάδα του Debian θα έπρεπε να ενημερώσει τους προγραμματιστές του OpenSSL για να να διορθώσουν το δικό τους bug και όχι να αναλάβουν την πρωτοβουλία να το διορθώσουν αυτοί, κάνοντας έτσι ακόμα χειρότερα τα πράγματα.

Portal

[mikem4600]

Κι ένα κόμικ

[tsilochr]

έχει γίνει ένας πανικός με το εν λόγω κενό. Δεν μπορείτε να φανταστείτε για πόσα μηχανάκια χρειάστεικε να γίνει regenerate το κλειδί.

[Erevodifwntas]

Πρέπει να το πάρουμε απόφαση. Δεν υπάρχουν ασφαλή λειτουργικά. Όλα έχουν τα προβλήματά τους. Απλά υπάρχουν λειτουργικά που μας ταιριάζουν και καλύπτουν τις ανάγκες μας (και βάζω μέσα και τις ψυχολογικές -"θέλω να νιώθω την ασφάλεια της M$", "θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

[PaP]

Ασφαλή λειτουργικά είναι μόνο κάτι τρελά στρατιωτικά, τα οποία μπορούν να κάνουν κάτι λίγα πραγματάκια και ακόμα για τη μεταφορά τους απαιτούνται ειδικά κιβώτια

Για τους πολίτες υπάρχει και το OpenBSD βέβαια και αυτό από ανθρώπους γράφτηκε

[tsilochr]

Για το τζερτζελέ (κατόπιν παραγγελίας του Erevodifwntas)

"θέλω να νιώθω την ασφάλεια της M$"

Σα να ακούω woochoo κοπελίτσα -> "θέλω να νιώθω ασφάλεια στη σχέση μου"

"θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

Η απελευθυρωμένη και σύγχρονη γυναίκα -> "θέλω να νιώθω ελευθερία στη σχέση μου"

Το ερώτημα: Εσείς τι εραστές είστε?

[djsolid]

Εγώ θέλω να νιώθω ελεύθερα ασφαλής γι αυτό είμαι fan του Virtualization

edit : Μην κάνουμε και διαφημιση...

[redlabel]

Πρέπει να το πάρουμε απόφαση. Δεν υπάρχουν ασφαλή λειτουργικά. Όλα έχουν τα προβλήματά τους. Απλά υπάρχουν λειτουργικά που μας ταιριάζουν και καλύπτουν τις ανάγκες μας (και βάζω μέσα και τις ψυχολογικές -"θέλω να νιώθω την ασφάλεια της M$", "θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

Έτσι είναι, by (almost) all means (για την ακρίβεια, "με τη διαθέσιμη τεχνολογία δεν μπορούν να κατασκευαστούν ασφαλή λειτουργικά συστήματα").

Δ. Γκρ.

ΥΓ. Το αν "χρειαζόμαστε" ασφαλή Λ.Σ. είναι μια άλλη - ενδιαφέρουσα - συζήτηση...

[rose]

Μεγάλη ανησυχία έχει προκαλέσει η αποκάλυψη κενού ασφαλείας στο λειτουργικό σύστημα Linux. Μάλιστα, η «τρύπα» αυτή είναι ανοιχτή τα τελευταία δύο χρόνια! Δύο γραμμές κώδικα ήταν αρκετές για να καταρρίψουν τον μύθο του ασφαλούς λειτουργικού αφήνοντας εκτεθειμένα τις βασισμένες σε Debian και Ubuntu διανομές Linux, αρκετές εφαρμογές και εκατομμύρια συνδεδεμένους στο internet υπολογιστές.

...και κάπου αλλου....

Το σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα

Απαράδεκτο άρθρο.

[cyberpython]

ο σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα

Αααα...... Γι' αυτό κανένα εμπορικό λειτουργικό σύστημα δε χρειάστηκε ποτέ ούτε ένα patch(ή όπως αλλιώς προτιμούν να το ονομάσουν) μετά την επίσημη κυκλοφορία του..... Επειδή ο κώδικας ήταν ελεγμένος με απίστευτη σχολαστικότητα και οι developers που είχαν πρόσβαση ήταν περισσότεροι από αυτούς που μπορούν να δουν και να "πειράξουν" τον κώδικα ενός open-source προγράμματος.... (Ειλικρινά, δε ξέρω αν πρέπει να γελάσω ή να κλάψω αφού αυτός που τα έγραψε ή εντελώς καθυστερημένος είναι ή δε ντρέπεται να φωνάζει οτι τον πληρώνουν για να γράφει....)

[rose]

Το θέμα εχει να κάνει με πρόβλημα στο OpenSSL

Secure Sockets Layer (SSL) has become an industry standard for enabling applications for secure communication sessions over an unprotected network (such as the Internet).

Σχόλια απο μέλη του forum:

Πρέπει να το πάρουμε απόφαση. Δεν υπάρχουν ασφαλή λειτουργικά. Όλα έχουν τα προβλήματά τους. Απλά υπάρχουν λειτουργικά που μας ταιριάζουν και καλύπτουν τις ανάγκες μας (και βάζω μέσα και τις ψυχολογικές -"θέλω να νιώθω την ασφάλεια της M$", "θέλω να νιώθω την ελευθερία του Open Source" κ.α.).

Ασφαλή λειτουργικά είναι μόνο κάτι τρελά στρατιωτικά, τα οποία μπορούν να κάνουν κάτι λίγα πραγματάκια και ακόμα για τη μεταφορά τους απαιτούνται ειδικά κιβώτια

Για τους πολίτες υπάρχει και το OpenBSD βέβαια και αυτό από ανθρώπους γράφτηκε

Έτσι είναι, by (almost) all means (για την ακρίβεια, "με τη διαθέσιμη τεχνολογία δεν μπορούν να κατασκευαστούν ασφαλή λειτουργικά συστήματα").

Τελικά standards,networking,applications,UI ολα τα βαφτίζουμε λειτουργικά;Τεχνικά δεν διαχωρίζονται;

[Erevodifwntas]

Αν πάρεις την αυστηρή ορολογία όλα αυτά διαχωρίζονται. Ωστόσο στις μέρες μας τα λειτουργικά συστήματα δεν είναι μόνο "ο ενδιάμεσος των εφαρμογών με το υλικό" αλλά και ένα σωρό άλλα. Να το πω διαφορετικά, αν σου κολλήσει το desktop των Windows, το λειτουργικό δε θα κατηγορήσεις? Δε θα φταίει αυτό άμεσα (τη δουλειά του -επικοινωνία εφαρμογών με το υλικό- την έκανε μια χαρά). Ωστόσο πρακτικά έχουμε χαλαρώσει τον όρο Λειτουργικό σύστημα για να περιέχει κι ένα σωρό άλλα πράγματα.

(απλά για να βάλω λίγο λάδι) αν το πρόβλημα το είχαν τα windows θα είχαμε ήδη γεμίσει 3-4 σελίδες άνετα

[Silver]

Γνώμη μου ότι το πρόβλημα άργησε να εντωπιστεί γιατί πόσοι είναι αυτοί που χρησιμοποιούν linux;
Λογικό είναι τα προβλήματα στα windows να βρίσκονται πιο γρήγορα αφού windows χρησιμοποιούν 100 φορές περισσότεροι άνθρωποι από ότι linux. Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.

Ελπίζω το πάθημα να γίνει μάθημα!

[gasparosoft]

Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.
Ελπίζω το πάθημα να γίνει μάθημα!

Αν βγάλεις αυτούς που δεν ξέρουν ίσως να είναι περισσότεροι αυτοί που χρησιμοποιούν μια διανομή linux.Το πάθημα σίγουρα θα γίνει μάθημα στην κοινότητα.Ρωτώ όμως γιατί το παθήμα της microsoft δεν γίνεται ποτέ μάθημα;

[cyberpython]

Γνώμη μου ότι το πρόβλημα άργησε να εντωπιστεί γιατί πόσοι είναι αυτοί που χρησιμοποιούν linux;
Λογικό είναι τα προβλήματα στα windows να βρίσκονται πιο γρήγορα αφού windows χρησιμοποιούν 100 φορές περισσότεροι άνθρωποι από ότι linux. Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.

Ελπίζω το πάθημα να γίνει μάθημα!

Το πρόβλημα άργησε να εντοπιστεί επειδή είναι λίγοι αυτοί που ασχολήθηκαν με τον κώδικα στο SSH του Debian. Οι developers που ασχολούνται με το Linux (και σαν πυρήνα αλλά και με τις εφαρμογές, γραφικά περιβάλλοντα κλπ.) είναι πολλοί περισσότεροι από τους υπαλλήλους Sun, MS και άλλων εταιρειών μαζί... Αν δε, υπολογίσουμε και τους Linux server administrators... Και αυτό που είναι αξιοσημείωτο είναι οτι από τη στιγμή που το bug εντοπίστηκε χρειάστηκαν πολύ λιγότερες από 24 ώρες για να γίνει παγκοσμίως γνωστό και αυτό και ο τρόπος αντιμετώπισής του(δε χρειάστηκε να περάσουν 2+ χρόνια μέχρι το επόμενο service pack), γεγονός που δείχχνει τη δύναμη του OSS και την υπεροχή του απέναντι στο κλειστού κώδικα λογισμικό.

[ultimate_aektzis]

Βαλτος ειναι ο αρθογραφος ,ανετα.Τα οποια bugs της ms περνανε λιγο-πολυ στα ψιλα ενω ενα σοβαρο bug που βρεθηκε εχει κανει τοσο ντορο και το πιο πιθανο ειναι να μν την πατησε κανεις γτ αν την ειχε πατησει θα ειχε λυθει.Φαινεται οτι ορισμενοι το χαρηκαν πιο πολυ και απο τη ms....

Ακόμα και να βγάλεις αυτούς που δεν έχουν ιδέα οι χρήστες των windows είναι συντριπτικά πολλοί περισσότεροι.

Μν τρελαθουμε κιολας.Ποσους χρηστες που εχουν win επειδη το θελουν και οχι επειδη τους το επιβαλλει η δουλεια πχ visual studio ξερουν τα μισα απο αυτα που ξερει ενας μετριως ψαγμενος λινουξας??

Και αυτό που είναι αξιοσημείωτο είναι οτι από τη στιγμή που το bug εντοπίστηκε χρειάστηκαν πολύ λιγότερες από 24 ώρες για να γίνει παγκοσμίως γνωστό και αυτό και ο τρόπος αντιμετώπισής του(δε χρειάστηκε να περάσουν 2+ χρόνια μέχρι το επόμενο service pack), γεγονός που δείχχνει τη δύναμη του OSS και την υπεροχή του απέναντι στο κλειστού κώδικα λογισμικό.

+++++++++++++++++++++++

[gasparosoft]

[εντελώς οφφ]Ποιος ψήνεται να φτιάξουμε κανένα tutorial για νέους χρήστες linux και να το δημοσιεύσουμε εδώ στο venus;Όπως έκανε ο cyberpython?Έτσι ώστε να ωθήσουμε ακόμα περισσότερα μέλη του venus να βάλουν κάποια έκδοση linux γιατί με windows δεν πας μπροστά...[/εντελώς οφφ]

[redlabel]

...επίσης, πιστεύω ότι είναι αξιοσημείωτο να δείχνουμε αυτοσυγκράτηση όταν αξιολογούμε οποιοδήποτε προϊόν λογισμικού, να αποφεύγουμε απόλυτες διαπιστώσεις και άδικες γενικεύσεις και να λαμβάνουμε σοβαρά υπόψη τις ειδικές συνθήκες στις οποίες αναπτύσσεται και εξελίσσεται κάθε τέτοιο προϊόν.

Δ. Γκρ.

[cyberpython]

Τα οποια bugs της ms περνανε λιγο-πολυ στα ψιλα

Μην τα βάζουμε μόνο με τη MS, γενικά τα προβλήματα λογισμικού κλειστού κώδικα είναι πιο δύσκολο να εντοπιστούν και να αντιμετωπιστούν (ποιός ξέρει πόσα από αυτά δεν ανακαλύφθηκαν ποτέ και ούτε πρόκειται....)

[rose]

[εντελώς οφφ]Ποιος ψήνεται να φτιάξουμε κανένα tutorial για νέους χρήστες linux και να το δημοσιεύσουμε εδώ στο venus;Όπως έκανε ο cyberpython?Έτσι ώστε να ωθήσουμε ακόμα περισσότερα μέλη του venus να βάλουν κάποια έκδοση linux γιατί με windows δεν πας μπροστά...[/εντελώς οφφ]

Ρε παιδιά οταν μιλάμε για open source και τα ρέστα , γιατι κολλάτε τοσο στο Linux?Αν θέλετε την γνώμη μου το πραγματικό value στο open source ειναι τα
open source libs ,frameworks κτλ,ρίξτε μια ματιά εδω:http://venus.cslab.aueb.gr/forum/viewto ... f=8&t=5302 και έπεται συνέχεια...

[The Punisher]

γιατί με windows δεν πας μπροστά...

πολύ μεγάλη αυτή η συζήτηση, που, όπως έχει αποδειχθεί αρκετές φορές, δεν καταλήγει πουθενά. προσωπικά θεωρώ ότι το λειτουργικό ούτε σου στέκεται εμπόδιο, ούτε είναι η χρυσή κότα. Το "δεν πας μπροστά" λοιπόν είναι λίγο άτοπο.

[tsilochr]

για τους developers

The Bug
On May 13th, 2008 the Debian project announced that Luciano Bello found an interesting vulnerability in the OpenSSL package they were distributing. The bug in question was caused by the removal of the following line of code from md_rand.c

Code: Select all

MD_Update(&m,buf,j);
	[ .. ]
	MD_Update(&m,buf,j); /* purify complains */

These lines were removed because they caused the Valgrind and Purify tools to produce warnings about the use of uninitialized data in any code that was linked to OpenSSL. You can see one such report to the OpenSSL team here. Removing this code has the side effect of crippling the seeding process for the OpenSSL PRNG. Instead of mixing in random data for the initial seed, the only "random" value that was used was the current process ID. On the Linux platform, the default maximum process ID is 32,768, resulting in a very small number of seed values being used for all PRNG operations.

Κοινώς, για να δώσει ένα πραγματικά τυχαίο σπόρο στη rand ο προγραμματιστής έπαιρνε δεδομένα από μη αρχικοποιημένα κελιά της μνήμης, δλδ έπαιρνε τα σκουπίδια που είχε στη μνήμη εκείνη την ώρα. Όταν μετέφεραν το κώδικα για το deb πακέτο, τα εργαλεία που κοιτούν την ποιότητα του κώδικα έβγαλαν ότι η μνήμη δεν είναι αρχικοποιημένη, οπότε την αρχικοποίησαν με αποτέλεσμα ο σπόρος να μην είναι τόσο τυχαίος αλλά στατικός.

το άρθρο: http://metasploit.com/users/hdm/tools/debian-openssl/