abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 20:44 | IT novinky

Mezinárodní konsorcium W3C (World Wide Web Consortium) vydalo verzi 1.0 základní specifikace WebAssembly a po HTML, CSS a JavaScriptu prohlásilo WebAssembly za čtvrtý oficiální jazyk pro web.

Ladislav Hagara | Komentářů: 1
dnes 13:33 | Komunita

Hlasování o obrázku v okně O Inkscapu 1.0 pokračuje druhým kolem. Ze 124 obrázků postoupilo do finálního hlasování 5 s nejvíce hlasy. Výsledek hlasování bude zveřejněn po jeho ukončení, tj. po 15. prosinci.

Ladislav Hagara | Komentářů: 1
dnes 02:11 | IT novinky

Společnost Purism představila mobilní telefon Librem 5 USA. Jedná se o telefon Librem 5 vyráběný v USA. Předobjednat jej lze za 1 999 dolarů. Librem 5 lze předobjednat za 699 dolarů.

Ladislav Hagara | Komentářů: 35
včera 22:22 | Nová verze

Příspěvek na blogu organizace Electronic Frontier Foundation (EFF) informuje, že Certbot, tj. oficiální klient certifikační autority Let’s Encrypt, dospěl do nové stabilní verze 1.0. Oficiálně tak byla ukončena beta fáze jeho vývoje. Certbot byl představen v květnu 2016.

Ladislav Hagara | Komentářů: 1
včera 15:55 | Zajímavý software

Mozilla vydala novou verzi 0.6 svobodného softwaru DeepSpeech pro převod řeči na text. Přehled novinek v příspěvku na blogu Mozilla Hacks.

Ladislav Hagara | Komentářů: 4
4.12. 17:33 | Zajímavý projekt

Dnes měl na YouTube premiéru krátký sci-fi film SKYWATCH. Colin Levy na něm strávil téměř 6 let. Pro vytvoření 3D grafiky byl vybrán Blender. Film byl z části financován z kampaně na Kickstarteru.

Ladislav Hagara | Komentářů: 3
4.12. 05:55 | Zajímavý software

Netflix uvolnil framework pro datovou vědu Metaflow jako open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 44
3.12. 21:33 | Nová verze

Byla vydána nová verze 4.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Opravena byla také řada bezpečnostních chyb.

Ladislav Hagara | Komentářů: 3
3.12. 19:22 | Nová verze

Po více než roce od vydání verze 5 byla vydána nová verze 5.1 linuxové distribuce elementary OS (Wikipedie) vycházející z Ubuntu. Kódové jméno této nejnovější verze je Hera. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 8
3.12. 18:55 | Nová verze

Byla vydána verze 3.0 webového aplikačního frameworku napsaného v Pythonu Django (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Jaké hodinky nosíte (nejčastěji)?
 (23%)
 (6%)
 (17%)
 (54%)
Celkem 505 hlasů
 Komentářů: 135, poslední dnes 20:54
Rozcestník

Občas není od věci vyslovit něco, za co se upaluje nebo ukamenovává. Nic není totiž tak jednoduché, aby byla pravda vždy jediná a na první pohled zřejmá.


NAVRCHOLU.cz
Aktuální zápisy

www.AutoDoc.Cz

Heartbleed Bug: demonstrace výhod svobodného softwaru

10.4.2014 21:04 | Přečteno: 3059× | Ze života | Výběrový blog

Závažná chyba v OpenSSL, označovaná jako Heartbleed Bug, ukazuje názorně, proč je důležité mít software – a pro ten bezpečnostní to platí dvojnásob – svobodný, s otevřenými zdrojovými kódy.

Internetovým světem otřásá „aféra“ velmi vážné bezpečnostní chyby, která byla nalezena v knihovně OpenSSL verzí řady 1.0.1. Podle svého výskytu v rozšíření Heartbeat dostala chyba název Heartbleed Bug. Těžko říct, kolik serverů bylo chybou postiženo (mnohde se stále ještě používá starší verze OpenSSL řady 0.9.8, jinde je zase například GnuTLS...). Faktem je, že je to velký průšvih a mohlo dojít k úniku soukromých klíčů i některých dalších dat.

Že je potřeba na to co nejrychleji reagovat a dát servery do pořádku, je jasná věc. Dokonce se vyskytují i názory, a podle mě docela oprávněné, že objev chyby výrazně posílí obecné zabezpečení serverů, protože teprve teď se mnozí správci „probudí“ a začnou brát bezpečnost vážně. Každopádně hysterie není na místě – mnoho uživatelů stále používá nešifrovanou komunikaci i pro posílání citlivých informací a množství reálných úniků je v porovnání s tím poměrně nízké.

Je otázkou, jak se tam chyba dostala. Příznivci konspiračních teorií za tím mohou vidět například NSA, případně jiné tajné služby (včetně ruských!). I když lze samozřejmě dohledat, kdo vložil příslušný kus kódu do zdrojáků, do hlavy mu nikdo neuvidí a tedy ani nezjistí skutečnou motivaci, pokud nějaká byla nešlo jen o pouhé opomenutí.

V souvislosti s touto událostí se hned vyrojily názory, že tím končí iluze o bezpečnosti svobodného softwaru. Že dostupnost zdrojových kódů neznamená, že si chyby někdo všimne, i když se tam každý může podívat. Jenže ono to celé stojí přesně opačně – teď se právě ukázalo, že otevřené zdrojové kódy a další svobody mají u softwaru velký smysl.

Chyba sice přebývala ve zdrojových kódech více než dva roky. Na druhou stranu ale reálné nasazení tak dlouhé nebylo. Po vydání upstreamové verze trvá vždy nějaký čas, než se verze dostane do distribucí. U těch konzervativnějších, jako je například Debian, to může trvat i několik let. Další poměrně dlouhý čas trvá, než se nové verze distribucí ve větší míře objeví na serverech. Tím se podstatně zkracuje průměrná doba, po kterou byly servery v ohrožení a současně i doba, během které šla chyba objevit. Tady bohužel zapracoval jeden specifický faktor, a to tlak na přechod na TLS 1.2 kvůli zranitelnosti ve verzi 1.0 (která je „by design“ v protokolu, nezávisí na implementaci); tento tlak způsobil rychlejší přechod na novou verzi než v jiných případech.

Chyba nakonec objevena byla, a to hned ze dvou míst nezávisle na sobě. I když nejsou k dispozici podrobné informace o tom, jak byla chyba zjištěna, zkoumání zdrojových kódů k tomu mohlo významně přispět. Ano, podobně si mohl počínat i případný záškodník, který si mohl informace o chybě nechat pro sebe a tiše stahovat citlivá data ze serverů. Pokud by zdrojové kódy nebyly k dispozici, záškodník by měl pozici těžší, současně by to ale měli těžší i ti, kdo špatné úmysly nemají a chtějí ověřovat úroveň zabezpečení.

Dále, pokud by byla chyba vložena do knihovny úmyslně (vysloveně s cílem ji zneužívat), její odhalení ve svobodném softwaru by bylo díky dostupnosti zdrojových kódů snazší a tedy efekt pro záškodníka nižší. Pokud třeba určitá tajná služba chce mít možnost získávat soukromé klíče, může je vložit do proprietárního softwaru mnohem snáze (protože k určitému kusu kódu má vždy přístup jen velmi omezený počet lidí) a při dobrém návrhu zcela minimalizovat možnost odhalení zvenčí.

A teď to nejdůležitější. Představte si, že bude podobná chyba odhalena zítra ve Windows XP (což sice není serverový systém, ale můžeme se bavit v obecnější rovině, ne o specifických chybách; co se týká serverových Windows, tak u verze 2003 skončí rozšířená podpora příští rok). Bude vymalováno. Microsoft to neopraví (leda by byl pod ohromným politickým tlakem) a nikdo jiný to udělat nemůže – nemá jak, zdrojové kódy jsou uzavřené. Tady je přesně ten klíčový rozdíl. V praxi to totiž bude ještě o mnoho horší protože podpora starých verzí proprietárního softwaru bývá obvykle kratší – navíc může dodavatel zkrachovat bez náhrady (nikdo vývoj nepřevezme) a je také hotovo.

Proto je úplně mimo mísu tvrdit, že „jsou otevřené zdrojáky k ničemu“. Nejsou. Poučením naopak je – a to rozhodně ne poprvé – že lze možností poskytovaných svobodným softwarem využívat podstatně více, než jak se zatím děje. Že dostupnost zdrojových kódů není jen formalita, ale reálná výhoda, které lze využít ku prospěchu věci. A také, že ať by se našla sebehorší chyba, vždycky ji někdo může opravit – tuto výhodu software s uzavřenými zdrojovými kódy prostě a jednoduše neposkytne a nemůže poskytnout.

       

Hodnocení: 95 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

10.4.2014 21:13
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
... že tím končí iluze o bezpečnosti svobodného softwaru...

Proč by měly iluze končit až teď ? Mnozí takové iluze neměli nikdy! A stejně to tam udělal někdo schválně.
Luk avatar 10.4.2014 21:21 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Proč by měly iluze končit až teď ?
Protože se toho chytli bulvární novináři a pořádně to nafoukli - jako že jsou postiženy dvě třetiny serverů a citlivá data, zejména hesla uživatelů, už vesele běhají po světě.
Mnozí takové iluze neměli nikdy!
To neměli. Třeba se jim lépe žije s vědomím, že se o ně Microsoft společně s NSA vzorně starají a vidí jim až do žaludku :-D
A stejně to tam udělal někdo schválně.

Těžko říct. Na jednu stranu nemá cenu všude vidět nějaké úmysly, ale zrovna tohle je příklad chyby, která má "ty správné" parametry k tomu, aby ji mohly tajné služby nebo někdo podobný využít ke své potřebě, aniž by si toho někdo všiml.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Jendа avatar 10.4.2014 22:24 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
To neměli. Třeba se jim lépe žije s vědomím, že se o ně Microsoft společně s NSA vzorně starají a vidí jim až do žaludku :-D
Mně se s tímhle vědomím dobře nežije, ale myslím, že nemám nejmenší možnost s tím cokoli udělat (kromě odstěhování se do amazonského pralesa). Jestli máš nějaký nápad, sem s ním. Samozřejmě dodržuju běžné návyky jako GPGčkované maily, browser pod omezeným uživatelem nebo šifrovaný disk, ale k čemu mi to je, když a) je spousta backdoorů v tom OSS, b) je spousta chyb v OSS, c) je spousta backdoorů v hardware, d) není alternativa ke Google Search, e) skoro nikdo, s kým komunikuju, takové zabezpečení nemá?
Reverse-engineer? I can barely forward-engineer!
pavlix avatar 10.4.2014 22:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Měl jsem něco podobného v hlavě, ale takto bych to sepsat neuměl. Navíc nejsem ten správný vážený pán ;).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Luk avatar 10.4.2014 22:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Navíc nejsem ten správný vážený pán ;)
Myslíš, že já jsem? :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
pavlix avatar 10.4.2014 22:17 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
:D
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 10.4.2014 22:18 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Jsem někdy natolik upřímný, že tím lezu lidem na nervy. A na netu, kde diskuzím věnuju jen zlomek času je to vidět o to víc.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Max avatar 11.4.2014 06:55 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ano :)
Zdar Max
Měl jsem sen ... :(
Jendа avatar 10.4.2014 22:19 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Dále, pokud by byla chyba vložena do knihovny úmyslně (vysloveně s cílem ji zneužívat), její odhalení ve svobodném softwaru by bylo díky dostupnosti zdrojových kódů snazší a tedy efekt pro záškodníka nižší. Pokud třeba určitá tajná služba chce mít možnost získávat soukromé klíče, může je vložit do proprietárního softwaru mnohem snáze (protože k určitému kusu kódu má vždy přístup jen velmi omezený počet lidí) a při dobrém návrhu zcela minimalizovat možnost odhalení zvenčí.
Pro mě jako pro Pepu z Čečenska je teda jednodušší vložit backdoor do OSS - stačí napsat třeba nějaký dostatečně rozsáhlý driver nebo implementovat nějakou složitou funkci (třeba Heartbeat) a „omylem“ tam zapomenout nějaké přetečení. A když to bude tak hezky, jako tady (proměnná s délkou bufferu se několikrát přehazuje a kóduje do dvoubajtové struktury a zpátky), tak to může vydržet pár let.
Reverse-engineer? I can barely forward-engineer!
Luk avatar 10.4.2014 22:42 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Úplně stejně lze vložit i do proprietárního SW. Co třeba můj generátor hesel? Jednoduché klikátko, zadarmo ... ale zdrojáky chybí. Je tam backdoor, není tam backdoor...? Ano, je to v Javě a tudíž snadno dekompilovatelné, ale obecně... :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Jendа avatar 10.4.2014 22:45 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
To bych musel napsat úžasný program, který bude používat spousta lidí. To dá docela dost práce a nemusí se povést. Na druhou stranu když pošlu driver do kernelu nebo Heartbeat do openssl, tak mám najednou miliardu uživatelů.
Reverse-engineer? I can barely forward-engineer!
Luk avatar 10.4.2014 23:24 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Tak si to schválně zkus, jestli ti to tam přijmou :-D

Myslím, že si málokdo troufne tam svým jménem commitnout nějaký neprověřený kus kódu. Fakt teď nezávidím člověku, který tam dal ten Heartbleed. Bude asi hodně rád, pokud bude za rok ještě naživu.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Jendа avatar 11.4.2014 00:39 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Tak si to schválně zkus, jestli ti to tam přijmou :-D
Je to v plánu.
Myslím, že si málokdo troufne tam svým jménem commitnout nějaký neprověřený kus kódu.
Kamarád posílá patche z freemailu a pod falešným jménem. Zatím ale nic tak velkého a síťového, aby se do toho dal hezky ukrýt backdoor.
Reverse-engineer? I can barely forward-engineer!
Salamek avatar 11.4.2014 12:43 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Je to v plánu.

Planujes prepsat OpenSSL tak aby to nevypadalo jako jeden velkej bordel ? :-)

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
Luk avatar 11.4.2014 18:54 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Jinak to, jestli může někdo neprověřený něco vložit do upstreamového kódu, samozřejmě není věcí licence, nýbrž politiky tvůrce toho softwaru. Jsou lidé a firmy, u kterých člověk neuspěje se žádným patchem, sebelepším. Dávají tam jen své věci, ze zaslaných patchů se jen inspirují.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
11.4.2014 10:35 R
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Driver do kernelu poslat mozes. Ak bude na nejaky HW, pre ktory driver este nie je a kod bude pekny, tak mas slusnu sancu na zaclenenie (vyskusane).

Lenze kod driveru bude pouzivat len ten, kto ma dany HW. Kvoli backdooru asi nebudes vyrabat a predavat HW.
Jendа avatar 11.4.2014 10:42 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Lenze kod driveru bude pouzivat len ten, kto ma dany HW. Kvoli backdooru asi nebudes vyrabat a predavat HW.
Ke mně teda přišel kamarád, strčil mi do počítače USB devkit, který nafakoval (od fake, ne fuck) USB ID nějakého divného zařízení, poslal nějaký magic a udělalo to kernel panic (pak jsem upgradoval na poslední kernel abych to mohl ohlásit a tam už to bylo opravené). To zařízení nebylo fyzicky potřeba.
Reverse-engineer? I can barely forward-engineer!
11.4.2014 16:24 R
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ale stale potrebujes fyzicke zariadenie pripojit - a nie lubovolne zariadenie z obchodu, ale upravene, resp. specialne vyrobene.
11.4.2014 08:34 Filip Jirsák
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ono se to „open“ může vztahovat ke čtení i k zápisu. Vy řešíte případ, kdy je snadné do OSS protlačit svůj kód. Ale open-source klidně může znamenat jen to, že jsou zdrojové kódy dostupné pro čtení (případné lokální záplatování), ale dostat kód do upstreamu může být komplikované nebo mnohokrát kontrolované.

Zrovna u OpenSSL by člověk čekal, že tam každý, kdo jde náhodou kolem, svůj kód neprotlačí – a že přijímaný kód bude procházet revizemi ručními i automatickými. Doufám, že po tomhle průšvihu to nebude jen očekávání, ale stane se to skutečností.
11.4.2014 16:17 host
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Pozdě, pozdě.
10.4.2014 22:45 Andrea Pirlo
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
tahle agitka je uplne zbytecna, neni treba zkoumat, zda je OS zbytecne, to je jako nosit drivi do lesa, uhli do Newcastle nebo doktorske tituly do Plzne.

Uplne jedno kde se v posledni dobe clovek nachazi, vsude tam je jen jedno tema. Ta bezpecnostni chyba se pretrasa v tramvaji, na univerzitach, v domovech duchodcu, na kurzech jogy pro tehotne, na fotbalovych stadionech a dokonce na te meziplanetarni stanici pry kosmonaute zkontrolovali aktualni verze openSSL. A uplne vsichni maji neuveritelnou radost, ze mame to bezvadne open source. Pan Zeman si s pracovniky kancelare prezidenta pritukl na oslavu open source sklenkou nealkoholicke becherovky a prohlasil rok 2014 za rok Linuxu na desktopu.
11.4.2014 00:31 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
DNFT
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
11.4.2014 01:46 odin
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
protože podpora starých verzí proprietárního softwaru bývá obvykle kratší
Ale ale... jake distro ma prosim podporu 13 let? ;-)

Jinak s clankem souhlasim, dekuji za nej.
Luk avatar 11.4.2014 03:21 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ale ale... jake distro ma prosim podporu 13 let?

Podpora 13 let je i ve světě proprietárního softwaru výjimka (původně to ani tolik být nemělo), obvykle je tato doba podstatně kratší. Třeba zrovna Microsoft má standardně 5 nebo 10 let (podle druhu softwaru), Adobe 5 nebo 7 let apod. To je ale jen detail, o to nejde. Jde o to, že jsem se tím vůbec nevyjadřoval k podpoře nějakého distra. Vtip je totiž v tom, že o pokud to distro nebude podporované, pořád je možnost zjištěnou chybu opravit ve zdrojáku, překompilovat a používat. Neřeším, kolik práce a peněz by to stálo a nakolik by se to někomu vyplatilo - ale prostě to jde. U softwaru s uzavřenými zdrojáky to nejde, pokud o to jeho dodavatel nemá zájem nebo nedostane dostatečné množství peněz. Pokud dodavatel navíc zkrachuje (což u Microsoftu nehrozí, ale u mnoha jiných firem ano) a vývoj příslušného SW nikdo nepřevezme, je hotovo úplně.

LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
pavlix avatar 11.4.2014 07:55 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Vedle v diskuzi je ukázka toho, že se to skutečně využívá. Dotyčný sice nejdříve nevěděl jak na to, ale výsledkem je skutečně provoz vlastnoručně kompilovaného balíku namísto balíku repozitáře, který již nepodporuje danou verzi OS.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
xkucf03 avatar 11.4.2014 11:01 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Vtip je totiž v tom, že o pokud to distro nebude podporované, pořád je možnost zjištěnou chybu opravit ve zdrojáku, překompilovat a používat.

+1, podporu ke svobodnému softwaru může poskytnout kdokoli a kdykoli, na rozdíl od proprietárního, kde toto může dělat jen původní autor a závisí to jen na jeho dobré/zlé vůli.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Max avatar 11.4.2014 06:59 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Měl jsem sen ... :(
11.4.2014 08:28 TM
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Podporu 13 let má minimálně aktuální RHEL, o něco méně má CentOS.
Jendа avatar 11.4.2014 10:38 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ale ale... jake distro ma prosim podporu 13 let?
Jaký proprietární OS má podporu 13 let?
Reverse-engineer? I can barely forward-engineer!
11.4.2014 14:52 pes
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
XP malo 12 rokov :-D
pavlix avatar 11.4.2014 15:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Nějak mi není jasné, proč se všichni ohání dlouhou dobou mezi vydáním XP a oznámeným opuštěním tohoto systému. Když odhlédnu od kvalitativní stránky, může mi někdo říct, kolik nejvíc byla oficiálně oznámená doba další podpory XP? Tedy doba od data příslibu další podpory do data kdy má být systém dle příslibu ještě podporován. Tedy něco, podle čeho se zákazník mohl kdy vůbec řídit.

Vždy jsem měl za to, že jediným důvodem, proč XP přežil tolik let byl neúspěch následné verze, ale rád se nechám poučit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
11.4.2014 16:20 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
IMHO důvodem že XP přežil tolik let je že většina normálních uživatelů (tím myslím ty pro které je OS jenom prostředek ike spouštění sw, nemyslím to něujak pejorativně ani vůči těm nenormálním:-)prostě neměla důvod přecházet na nějakou novější verzi, nic zásadního jim nenabízela.

Spousta lidí pořád jeden na starých kompech, nebo používá levně koupené vyřazené pc z firem, navíc hodně velkých firem teprve nedávno opustila XP a tím se mezi lidi dostalo spousta relativně nových počítačů s XP.

Vidím to např. u mých rodičů - to jak a k čemu jim používají pc je úplně nezávislé na OS a tak nemají důvod používat něco jiného než OS co koupili s pc.
11.4.2014 16:27 R
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Presne tak. Ide o to, ze tie Windows sa NEDAJU upgradovat kvoli HW narokom. Upgrade znamena kupit nove PC.
pavlix avatar 12.4.2014 06:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
IMHO důvodem že XP přežil tolik let je že většina normálních uživatelů (tím myslím ty pro které je OS jenom prostředek ike spouštění sw, nemyslím to něujak pejorativně ani vůči těm nenormálním:-)prostě neměla důvod přecházet na nějakou novější verzi, nic zásadního jim nenabízela.
Pak bych se rád zeptal, co tak závratného nabízely Windows XP oproti Windows 2000.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
xkucf03 avatar 12.4.2014 10:36 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru

V domácnostech snad 2000 téměř nebyly, ne? Lidi přecházeli hlavně z 95/98/ME. A co se týče firem: tam, kde si dodnes nechali XP, pochybuji, že přecházeli z 2000 na XP (spíš taky předtím měli 95/98/ME).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
pavlix avatar 13.4.2014 17:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
V domácnostech snad 2000 téměř nebyly, ne? Lidi přecházeli hlavně z 95/98/ME
V naší domácnosti stejně jako v dalších domácnostech, co jsem znal bylo v té době buď to nejnovější, co zrovna bylo nebo to, na čem běhaly dobře hry. Ale možné je, že Windows 2000 vyšly příliš krátce před XP než aby se stihly řádně uchytit.

Pokud jde o Windows ME, tak jsem znal jenom jednu domácnost, kde to bylo v provozu a tomu klukovi jsme se smáli.
pochybuji, že přecházeli z 2000 na XP (spíš taky předtím měli 95/98/ME).
Pokud se v těch firmách používaly počítače na něco jiného než jako náhrada psacího stroje, tak bych se docela divil, že by dali přednost 9x před NT. A nejsem si vědom toho, že by Windows 2000 byly nějak neúspěšné, spíš byly relativně brzo nahrazené velmi blízkými XP a tehdy to nebylo nikomu divné.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Luk avatar 13.4.2014 18:28 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Pokud se v těch firmách používaly počítače na něco jiného než jako náhrada psacího stroje, tak bych se docela divil, že by dali přednost 9x před NT.
V menších firmácha (a často i středních) se běžně používaly 95 a 98 namísto NT. Často to bylo v kombinaci s Novellem. Důvody byly různé, ale často byl problém s používanými aplikacemi, které na NT prostě neběžely (IMHO velká chyba vývojářů, protože dělat firemní aplikace jen pro 95/98 byla nebetyčná hloupost). Ale pro uživatele i správce to bylo utrpení, jen těch modrých obrazovek co tehdy bylo...
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Luk avatar 12.4.2014 11:22 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
AFAIK šlo hlavně o větší kompatibilitu starších her a některých dalších programů. Ze stejného důvodu se narychlo dělala verze ME, protože ve 2000 leccos nefungovalo. Takže to pak Microsoft otočil ve "výhodu úplně nového systému", který měl základ stejný jako 2000 a kromě poskytnutí kompatibilního prostředí tam dali i nový ksicht, který nastavili jako výchozí (s možností přepnout na ten původní).
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
pavlix avatar 13.4.2014 17:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
To zní docela rozumně.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
13.4.2014 21:34 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ale ty lidi nepřecházeli, prostě si koupili počítač kde byl OS (a´t už koupený nebo "odněkoho") a dokud jim to fungovalo tak neměli potřebu upgradovat na něco novějšího. kdyby jim fungovali kompy s Win 95 tak je budou furt používat.
pavlix avatar 13.4.2014 22:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Vzhledem k tomu, že nevím, o kterých lidech přesně se bavíme, tak nevím, co si mám z toho komentáře vzít. Já osobně vidím obrovskou propast mezi vzorkem uživatelů Windows, které potkávám dnes a které jsem potkával v roce 2000, takže se zdráhám aplikovat dnešní představy zpětně.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
14.4.2014 11:43 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Já měl za to že se bavíme o té obrovské množině domácích uživatelů pro které je počítač na stejné úrovni jako TV, prostě to používají a je jim naprosto jedno jaký je tam OS a většinou je nezajímá nějaký update OS.

Mají počítač a používají ho, ropzbije se , koupí nový a používají OS co tam je. je jim úplně jedno jestli tam je XP, 7, Vista nebo nějaký linux.
pavlix avatar 14.4.2014 11:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Já měl za to že se bavíme o té obrovské množině domácích uživatelů pro které je počítač na stejné úrovni jako TV
Jak už jsem psal výše, konec devadesátých let mi v tomto ohledu nepřijde s rokem 2014 srovnatelný.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
15.4.2014 10:57 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Mně to přijde mnohem horší než dříve:-)
=^..^= AmigaPower® avatar 15.4.2014 18:58 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Taky nechápu, proč by se mi lednička 4x denně potřebuje připojit na internet...???
Luk avatar 15.4.2014 19:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Protože potřebuje nabonzovat, kolik lahváčů jsi z ní kdy odebral :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
=^..^= AmigaPower® avatar 15.4.2014 19:50 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
:-D
=^..^= AmigaPower® avatar 15.4.2014 19:54 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
No ale hele, když bys jí odpojil a ona ti napsala "do 30 minut internet, nebo se rozmrazim", co bys dělal? :-D vzpoura strojů
Luk avatar 16.4.2014 00:03 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Asi bych použil metodu "Sídliště Luník" :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
=^..^= AmigaPower® avatar 16.4.2014 10:10 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
No a kde bys pak chladil kavár a šampus? :P
Luk avatar 16.4.2014 10:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Mám i lepší stroj (i když ne přesně tenhle) ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
=^..^= AmigaPower® avatar 16.4.2014 12:43 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Hmmmm Elekrolux, to bude jistě A+++, že? ;-) :-D
Luk avatar 16.4.2014 14:25 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Já nějaké ekoštítky neřeším. Prvotní je, aby zařízení plnilo funkci, kvůli které jsem si ho pořídil.

Nedávno jsem si pořídil novou lednici do kanceláře. Docela jsem se zděsil, když jsem tam viděl všude štítky varující před vysokou hořlavostí. Lednice je totiž plná pentanu, jak v chladicím okruhu, tak i v izolaci. Všude pentan. Takže možná to nedělá ozónovou díru, zato to může snadno způsobit požár. Fakt skvělé...
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
=^..^= AmigaPower® avatar 16.4.2014 21:54 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
co je špatně na tom pentagramu? tam nepíšou, že by bouchal?
kotyz avatar 19.4.2014 22:14 kotyz | skóre: 25 | blog: kotyzblog | Radnice
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Zapálíš si cigáro u otevřený lednice a ona ti vybouchne do ksichtu. To je důvod dát jí jen 4 hvězdičky z 5 v hodnocení zákazníka.
Mul-ti-pass! | Hrdý člen KERNEL ULTRAS. | Furry/Brony/Otaku | Nemám čas ztrácet čas. | In 'pacman -Syu' we trust!
19.4.2014 22:23 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
tam nepíšou, že by bouchal?
Já nevím, všiml sis toho označení "Extrémně hořlavý F+" ? :-D
Luk avatar 19.4.2014 22:47 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Já jsem taky vůbec nemluvil o bouchání. Nechápu, kde to AmigaPower sebral.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Jendа avatar 11.4.2014 18:03 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Reverse-engineer? I can barely forward-engineer!
11.4.2014 08:33 chachar87 | skóre: 4 | blog: chacharovo
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Pekne sepsano. Ja kdyz se to nekomu snazim vysvetlit, tak po chvili nerozumim ani sam sobe. Ted muzu odkazovat na Vas.
Kdyz nejde o zivot, tak jde o hovno...
Rezza avatar 11.4.2014 09:40 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
No a tu hlavni vyhodu jsi tam zapomnel napsat - ze ve chvili, kdy se objevil patch, tak spousta tech, kteri o bezpecnost nejakym zpusobem dbaji, uz meli vlastni buildy a bezeli na opravene verzi. Samozrejme pri tom zase trpely procesy a jde pak nasekat dalsich spoustu problemu, ale to je zivot :).
=^..^= AmigaPower® avatar 11.4.2014 11:38 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Co to je vůbec to OpenSSL?
Bedňa avatar 11.4.2014 21:47 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Kravina čo ťa drží v naivnej dôvere bezpečnosti na webe. Zrovna pracujem na technológií čo má túto situáciu zlepšiť, tak svet zas bude bohatší o kus prasácky napísaného slobodného kódu :)
KERNEL ULTRAS video channel >>>
=^..^= AmigaPower® avatar 11.4.2014 21:58 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Já nemam naivní důvěru v bezpečnost na webu, já už se na to vysral, stejně o mně všichni ti co to chtěj vědět a věnovali tomu kapku mozkový kapacity a dvě minuty svího času, dávno vědi úplně všechno... :-D
Bedňa avatar 11.4.2014 22:22 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
S bugmi OpenSSL je to trochu horšie že ti môžu aj uškodiť, lopnúť video čo si si s tvojou natočil a čo ešte horšie môžu ti zmazať :) Čo sa týka komunikačných technológií, neviem prečo je všetko tak jeblo napísané, že keď chceš v tom hocičo rozumnejšie vytvoriť tak je to ťažké a preto všetko okolo je hrozne sprasené.

A keď sa spýtaš ako použiteľne zašifrovať súbor a poslať ho cez šifrované spojenie všetci ťa pošlú do prdele keď OpenSSL je bezpečné že? Niekedy mám pocit že ma niekto sleduje :) Pretože práve šifrovaný prenos riešim už skoro dva týždne.
KERNEL ULTRAS video channel >>>
xkucf03 avatar 11.4.2014 22:28 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru

Zašifruješ pomocí GnuPG, pomocí SSH si uděláš tunel a nad ním přeneseš data po SMTPS (SSL/TLS).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Bedňa avatar 11.4.2014 22:35 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Presne takto jednoducho som si to predstavoval, ale pretože to primárne plánujem pre súbory väčšie ako 1GB (rádovo GB) sú s tým problémy.
KERNEL ULTRAS video channel >>>
Luk avatar 12.4.2014 00:03 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Problémy s tím celkem nejsou, akorát to docela žere výkon ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Bedňa avatar 13.4.2014 00:10 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Keby žere, ale zožere všetok :) Teraz si predstav to nasadiť na vyťažený server, nemožné.
KERNEL ULTRAS video channel >>>
Luk avatar 13.4.2014 14:03 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Když je rezerva, tak to nesežere všechno, narazí to na limity jinde (disk, síť). V tomto testu se zvedla zátěž CPU o 50 %, bez významných dopadů na rychlost. Ovšem pokud toho výkonu CPU není nazbyt, tak to narazí tady. V tomto ohledu mám vyzkoušeno třeba ukládání na disk (standardní SATA, 7200 ot/min.), šifrování AES 256 přes dm-crypt (LUKS), dvoujádrový Atom střední kategorie (typ už přesně nevím), Samba, gigabitová síť - tam se rychlost zastavila někde okolo 30 MB/s a jedno jádro CPU jelo na 100 %. Rychlost bez šifrování přitom byla cca dvojnásobná a zátěž vytíženějšího jádra nepřekročila 25 %.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Bedňa avatar 11.4.2014 22:32 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Inak pôvodne som to začal ako súčasť projektu KU, ale zmenil som to, zarobím na tom obrovské prachy a odletíme niekde do Karibiku, tak si v Prahe nič moc neplánuj :)
KERNEL ULTRAS video channel >>>
xxxs avatar 12.4.2014 10:48 xxxs | skóre: 18 | blog: vetvicky
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
tiez si myslim, ze ta budu vaporizovat az v tretej vlne. bedna pojde v druhej a ked bude vyskakovat, tak sa zmesti do jednotky.
Bystroushaak avatar 11.4.2014 12:41 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Každopádně hysterie není na místě – mnoho uživatelů stále používá nešifrovanou komunikaci i pro posílání citlivých informací a množství reálných úniků je v porovnání s tím poměrně nízké.
Tohle je na pěst. Ne to že to nafoukli, ale to že to tak brutálně podceňuješ. V současnosti je situace asi taková, jako že operátorům pořád ještě nedochází, co se přesně stalo, ale atomový reaktor už hoří, pěkně si čoudí a chrlí do ovzduší tuny věcí, které chrlit nikdy neměl.

Na vlastní oči jsem viděl, jak všichni kdo dokázali spustit script okamžitě po zveřejnění začali masivně dumpovat data z čehokoliv, co se nechalo. A že se toho nechalo opravdu hodně. Kam se na tohle hrabou vánoce, script kiddiez z toho měli (a mají) doslova erekci. Do večera už ve velkém jely systémy, které pořizovaly seznamy domén a rovnou na ně pouštěly mass dump.

Oblíbená zábava je teď z toho těžit data, protože hádej co ti asi tak grepne
$ strings soubor | grep pass | grep username | grep -v "("
Chvilka napětí.. username_or_email=jmeno&password=heslicko&keep_logged_in=true&wst= a ano, jedná se o (zcenzurovanou) ukázku z praxe.

Nejlepší na tom je, že se o tom nejspíš ani nedozvíš. Jak to, že tě vypumpovali, tak to že data kohokoliv, kdo se v ten den zalogoval přes web jsou dostupná třetí straně. Ale nejen hesla. Tečou přes to emaily u webmailů a v podstatě všechno, na co si vzpomeneš.

Je to největší security chyba, kterou jsem za 10 let, co se pohybuji na internetu viděl. Jednak rozsahem, ale taky triviálností použití a tím, co z toho vyrazíš. Protože jestli si někdo myslel, že v paměti je jen bordel, tak bych ho rád ubezpečil, že je tam triviálně grepovatelné všechno, od hesel k databázi, po HTTP komunikaci uživatelů.

Že rozšiřuji mediální hysterii? Já o tom ani nikde nečetl, dostal jsem rovnou odkaz na popis bugu a script, ať si taky užiju.

Pokud mi nevěříte, vemte ten python script (ze kterého po odstranění pár řádek lezou čistě binární data, co hrdlo ráčí), najděte si web kde to ještě jde a podívejte se mu do paměti. Praktická ukázka člověku trochu změní pohled na věc.

Prdel bude taky ještě příštích pár let, až vymizí servery a zbudou jen embeded zařízení, které nikdo updatovat nebude, protože se to dělá pěkně blbě a co je komu po nějakém routeru.
Jendа avatar 11.4.2014 12:56 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Je to největší security chyba, kterou jsem za 10 let, co se pohybuji na internetu viděl.
OT: Proč v okamžiku, kdy byla objevena chyba „32 tisíc klíčů“, nedošlo k hromadnému ownování debianích serverů, nebo o tom alespoň nevím?
Reverse-engineer? I can barely forward-engineer!
Bystroushaak avatar 11.4.2014 13:05 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Protože nebyl k dispozici click & hack script, který by to udělal. Schopnější si to nasyslili pro sebe a nikomu o tom vyprávět nebudou, protože proč taky.
Petr Tomášek avatar 11.4.2014 18:11 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Chyba v OpenSSL: zkontrolujte si, zda je váš klíč bezpečný
Auuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu... :-)
multicult.fm | monokultura je zlo | welcome refugees!
11.4.2014 23:10 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
xxx avatar 11.4.2014 20:19 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Tak jasne, script kiddies sfarmili hesla uzivatelu, kteri se pripojovali k nejake sluzbe. Mozna nejaka dalsi data. Klicova otazka je, jak dlouho musel utok nezet abys treba s p=0.95 mohl vyloucit, ze doslo k odcizeni priv. klice.

Podstatny je imho mnohem vic, ze se z tech leaknutejch dat dalo tezko dostat neco uzitecnyho, k ziskani roota, nebo alespon normalniho uzivatele, na cilovem stroji. Z hlediska admina tady byly mnohem neprijemnejsi chyby, jako slavne vylepseni rnd generatoru.

Takze souhlasim s autorem blogu. Leknuti hesel uzivatelu je neprijemne, ale jsou i horsi veci.
Please rise for the Futurama theme song.
11.4.2014 20:55 alan
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
+1
Bystroushaak avatar 11.4.2014 22:33 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Klicova otazka je, jak dlouho musel utok nezet abys treba s p=0.95 mohl vyloucit, ze doslo k odcizeni priv. klice.
Budu to parsovat tak, jako by otázka zněla:
jak dlouho to musí běžet, abys měl jistotu, že útočník získal privátní klíč
Jelikož dostáváš zpět náhodné části paměti, tak se na to nedá nijak snadno odpovědět. V ideálním případě to chytne hned na první request, v neideálním jich bude muset udělat nekonečno a stejně to nedostane. V praxi ti imho stačí nabrat cosi jako dvojnásobek velikosti RAM.

Pokud dá 5 požadavků za vteřinu (což dá v pohodě), tak potřebuje cca 3 vteřiny na stažení jednoho megabajtu. To je necelá hodina na stažení jednoho gigabajtu. Zbytek si dopočítej sám, podle velikosti RAM.

Problém je, že je to hledání jehly v kupce sena. Případný útočník nebude chtít pitomý certifikát, který si každý vyměnil, hned jak se to trochu rozneslo, mnohem radši si vezme části databáze s uživateli, HTTP komunikaci, hesla do databáze a prostě všechno, co v paměti najde a bude to vypadat aspoň trochu přitažlivě. To všechno předtím, než se vůbec začne problémem zabývat do hloubky a sestaví si části paměti k sobě a začne z toho tahat emaily, PHP scripty, zadané sudo heslo a další věci, které nejsou tak jednoduše grepovatelné, ale v paměti se vyskytují s relativně vysokou pravděpodobností.

Všichni se pořád bojí o certifikáty a nějak pomíjejí, že to je ze všeho ta nejnudnější věc, která může zajímat leda ty, kdo se do toho počítače chtějí dostat i příště. Těch určitě nebude málo, ale většina se na nějaký proaktivní útok vykašle a bude těžit z nasyslených dat, protože to nepředstavuje žádné riziko a kdo ví, co se tam všechno najde. No a kdo ví co tam bude, třeba z toho budou mít wikileaks radost.
12.4.2014 16:07 R
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ako sa do pamati procesu httpd dostane sudo heslo?
Luk avatar 12.4.2014 16:17 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Co třeba přes webovou konzoli k serveru, kterou dnes nabízí skoro každý poskytovatel VPS?
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
12.4.2014 11:23 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Jen tak BTW... pokud si furt ještě myslíte, že ty privátní klíče nejde získat: CloudFlare Heartbleed Challenge
So far, two people have independently solved the Heartbleed Challenge.

The first was submitted at 4:22:01PST by Fedor Indutny (@indutny). He sent at least 2.5 million requests over the span of the challenge, this was approximately 30% of all the requests we saw. The second was submitted at 5:12:19PST by Ilkka Mattila of NCSC-FI using around 100 thousand requests.

We confirmed that both of these individuals have the private key and that it was obtained through Heartbleed exploits.
Bystroushaak avatar 13.4.2014 11:59 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Related: How I obtained the private key for www.cloudflarechallenge.com
So there you have it. I submitted my proof to Cloudflare about 7 hours ago, so I effectively spent a whole day on it. I wasn't the first to get it, probably not even the 10th. And I did need some guidance (thanks Brandon!) But overall, I am pleased. The next step would be to integrate this into hb-test.py, or ideally just re-write the whole damn thing top-to-bottom in C.
xkucf03 avatar 13.4.2014 12:10 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
or ideally just re-write the whole damn thing top-to-bottom in C

Aby v tom udělal podobnou chybu a šlo útočit na počítač útočníka?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Bystroushaak avatar 13.4.2014 12:31 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Protože je to python newfag. Když se podíváš na ten jeho zdroják, tak je to hned jasné:
def main ():
    n = int (sys.argv[2], 16)
    keysize = n.bit_length() / 16
    with open (sys.argv[1], "rb") as f:
        chunk = f.read (16384)
        while chunk:
            for offset in xrange (0, len (chunk) - keysize):
                p = long (''.join (["%02x" % ord (chunk[x]) for x in xrange (offset + keysize - 1, offset - 1, -1)]).strip(), 16)
                if gmpy.is_prime (p) and p != n and n % p == 0:
                    e = 65537
                    q = n / p
                    phi = (p - 1) * (q - 1)
                    d = gmpy.invert (e, phi)
                    dp = d % (p - 1)
                    dq = d % (q - 1)
                    qinv = gmpy.invert (q, p)
                    seq = Sequence()
                    for x in [0, n, e, d, p, q, dp, dq, qinv]:
                        seq.setComponentByPosition (len (seq), Integer (x))
                    print "\n\n-----BEGIN RSA PRIVATE KEY-----\n%s-----END RSA PRIVATE KEY-----\n\n" % base64.encodestring(encoder.encode (seq))
                    sys.exit (0)
            chunk = f.read (16384)
        print "private key not found :("

if __name__ == '__main__':
    main()
(I'm sorry if this code offends any python aficionados, but I do not write in python very often.)
12.4.2014 10:36 Senior Database Programmer
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Blbosť, vznešené kecy o open source ale v praxi je to tak že admini Microsoft Windows serverov sa teraz smejú, ich servery sú bezpečné. Microsoft nepoužíva trápny open source OpenSSL ale vlastný uzavretý kvalitný SChannel ktorý je bez chýb. V prúseru sú iba tí, ktorí si na svojom Windows servery miesto IIS nainštalovali Apache s OpenSSL (blbci).
xkucf03 avatar 12.4.2014 10:39 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
admini Microsoft Windows serverov sa teraz smejú, ich servery sú bezpečné
Smát se můžou, ale bude to spíš sladká nevědomost nebo vědomá ignorance.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
12.4.2014 10:40 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
admini Microsoft Windows serverov sa teraz smejú, ich servery sú bezpečné
Ano, za to, že tam není žádná chyba nebo backdoor bych určitě dal ruku do ohně. :-D :-)
vlastný uzavretý kvalitný SChannel ktorý je bez chýb
Ano, např. MS10-049 - A vulnerability has been discovered in Microsoft SChannel which could allow an attacker to take complete control of a vulnerable system.

Vy jste ale blbec, co?
Luk avatar 12.4.2014 11:28 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Ano, např. MS10-049 - A vulnerability has been discovered in Microsoft SChannel which could allow an attacker to take complete control of a vulnerable system.
Tahle chyba, která umožňuje útočníkovi převzít kompletní kontrolu nad daným strojem (což je podstatně horší, než když může "jen" číst šifrovaná data), tam navíc zřejmě prodlévala celých 9 let, než byla objevena.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
12.4.2014 18:14 ukulel
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
No, nevím. U šéfa je na Widlích nějaké Kério, prý to má být kalendář, a ten pythonovský skript z toho heartbeatem doluje v pohodě na portech imaps, pos3s, https i tls smtp. A chlapík, co se o to Kério stará vůbec netuší, co kde má klikat, aby tomu zabránil. Šéf to vypnout nechce, protože přes to řídí své podšéfy...
Luk avatar 12.4.2014 18:54 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
A chlapík, co se o to Kério stará vůbec netuší, co kde má klikat, aby tomu zabránil.
Ono je to tááááák složité... :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
12.4.2014 19:04 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Jenže woe na tyhle verze eště nevyšel crack! :-D :-D :-D
12.4.2014 21:13 ukulel
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Mně je fuk, jak je to složité - já žádné widlous nikde nemám; dal jsem sem příspěvek proto, aby si někdo nemyslel, že se widlí ten problém netýká. Že si někdo může odposlouchat jak šéf porcuje státní peníze mezi své kumpány, to je mi taky fuk.

Jen jsem popsal skutečnou situaci na skutečných widlích a skutečného běžného správce. Který se navíc spravováním widlí profesionálně živí dvacet let. Včera, poté co jsem mu řekl, by s tím něco udělal se v tom šéfovi asi tak hodinu vrtal a pak mi zavolal, ať to zase zkontroluji, že tam teda něco naklikal. Porty byly otevřené a leakovaly data pořád. Aktuální příklad z praxe.
12.4.2014 19:20 jadd | skóre: 34 | blog: Greenhorn
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru
Jen pro ty co to bude někdy zajímat v budoucnu http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/
Bystroushaak avatar 12.4.2014 19:22 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Heartbleed Bug: demonstrace výhod svobodného softwaru

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.