AbcLinuxu:/ Zprávičky / Bezpečnost open source software je mýtus,

Štítky: bezpečnost, software

Bezpečnost open source software je mýtus,

Bezpečnost open source software je mýtus, tvrdí John Viega v článku Open Source Security: Still a Myth na O'Reilly ONLamp.com.

17.9.2004 17:54 | Robert Krátký | Zajímavý článek

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

18.9.2004 09:37 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše ???

Odpovědět | Sbalit | Link | Blokovat | Admin

Zdravim

Jak muze zrovna O´Reilly vydat takovou kravinu. Je fakt ze na rootovi i tady neustale ctu ze ta ta ta knihovna umoznuje DoS nebo vykonani kodu, ale verim ze v dobe kdyz ja ctu ten prispevek tak uz existuje opravena verze a nejpozdeji do par dnu bude v current stromu (cookeru, cojavim jeste). Porovnavejte s nekolik let staryma dirama ve woknech ktere jsou doted neopravene.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

18.9.2004 10:32 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: ???

Článek se nezabývá rychlostí oprav bezpečnostních chyb, ale metodami vývoje software, aby v něm předně pokud možno žádné nebyly. A v tomto ohledu těžko říci, kdo má toho másla na hlavě větší hroudu...

18.9.2004 11:50 egg | skóre: 20 | Praha
Rozbalit Rozbalit vše Máslo na hlavě

No nevím. Jak tuhle proběhl leak win zdrojáků, kamarád během pár minut napsal prográmek, který je projel a systematicky hledal, kde se signed int používá jako offset. Jen touhle jednoduchou cestou našel několik poměrně závažných děr (např.). Přijde mi, že pokud je source otevřený, dá se vyvarovat přinejmenším podobných školáckých chyb. Okamžitě by se na ně přišlo, protože víc hlav vždycky víc ví.

Proč led klouže? --Aldebaran bulletin

18.9.2004 12:00 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Máslo na hlavě

Chm, tohle snad platí pro projekty jako openssh či apache. Ale vezmeš-li náhodný program z FM, myslíš, že tam ty školácké chyby nejsou?

20.9.2004 12:57 Stanislav Brabec | skóre: 45 | Praha
Rozbalit Rozbalit vše Re: Máslo na hlavě

Budete se divit, ale lidem stojí za to hledat bezpečnostní díry dokonce i v hrách, jako je nethack. A pak se vydává security update, neboť takový "nethacker" získá přístup ke skupině games, a tedy i k high scores.

Najít bezpečnostní chybu znamená získat jistý kredit, který lze zpeněžit třeba při hledání místa nebo zakázky. Najít chybu ve zdrojáku ssh nebo apache není jen tak (ten už četly stovky lidí), a tak spousta začínajících bezpečnostních expertů získává své body jinde.

18.9.2004 23:59 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše a co takhle OpenBSD?

Odpovědět | Sbalit | Link | Blokovat | Admin

By mě zajímalo, jestli už autor článku "Open Source Security: Still a Myth" někdy viděl na stránkách "closed source" programů prohlášení které má OpenBSD "Only one remote hole in the default install, in more than 8 years!" ;-)

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

19.9.2004 10:58 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Předpokládám, že na všech svých počítačích máš default install OpenBSD. Lidi, co se snaží vyvracet tvrzení ,většina X je Y` výkřiky ,existuje X, které není Y!`, miluju.

19.9.2004 21:16 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Ne, na svých počítačích (plus minus 200 kusů) nemám OpenBSD, ale Linux(y) (MDK, SUSE pro + SUSE entenprise, Slackware) a Windows(od 95 po XP + serverové), takže vím, jak to s bezpečností "closed source" i "open source" produktů vypadá v praxi.

A příště než budete nerudně reagovat, tak si přečtěte na co reagujete, nikde nic netvrdím, že většina X je Y, ani že existuje X které není Y, ale že neznám proprietární software který by používal stejný argument jako OpenBSD (jestli o nějákém víte, hoďte sem link, rád se poučím). Dále pak je na toto téma (bezpečnost OS) velký článek v CHIPu 9/04 i se srovnávacím testem (Windows XP pro - SUSE 9.1 pro - MacOS 10.3.3) a ten je oproti všeobecným tvrzením autora v článku konkrétní, srovnává konkrétní produkty. A v defaultní instalaci z toho vychází proprietární software velmi špatně (Windows), a velmi dobře (Mac OS) a SUSE je uprostřed - teprve po nahrání updatů a patchů se situace vyrovná na stejnou úroveň.

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

19.9.2004 22:47 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

teprve po nahrání updatů a patchů se situace vyrovná na stejnou úroveň.

... a má smysl začít něco srovnávat ;-)

(ten článek v CHIPu jsem nečetl, takže to berte jenom jako takový výkřik)

20.9.2004 01:04 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Článek v CHIPu jsem nečetl, a proto nevím, co s čím srovnává. Nebudu komentovat samu bezpečnost Mac OS X, protože v tomto směru nejsem kompetentní.

Nicméně co komentovat mohu, a čeho sis snad také všiml, jsou reakce Apple, když už se nějaký problém objeví. Když se před pár měsíci objevily v Jaguarovi, vypadalo to chvíli, že jediná možnost opravy je upgrade na Panthera (což nebylo zadarmo). Sice se to nakonec vyjasnilo, ale také se u toho vyjasnilo, že u Apple zřejmě komunikuje s veřejností jen marketing, a zatímco Unixoví dodavatelé, Linuxové distributoři i MS mají pro takové situace zaběhané postupy a distribuční kanály, Apple s nimi asi moc nepočítá, chová se chaoticky a mate uživatele. Což je to poslední, co v tu chvíli potřebují.

Ale vcelku by měl ale zajímalo, jak tu bezpečnost hodnotili, že jim vůbec něco vyšlo. V podstatě vidím tyto možnosti:

1. Audit. V případě testu v časopise je to možnost pouze hypotetická.

2. Různá povšechná hodnocení. Otevřené porty, bežící služby, modularita a dodržování principu nejmenších práv, defaultní politika účtů a práv uživatelů, sandboxing a virtualizace, komplikace exploitů typu NX, randomizace adres, etc., distribuce záplat, řešení zálohování, logování, security levels a bezpečnostní politiky vůbec, integrace firewallů, IDS, antivirů, etc., vzdálená správa, ... a jánevímco. To může být zajímavé čtení, ale problém je, jak to všechno kvantifikovat, přiřadit tomu váhy a udělat z toho jednoznačný závěr.

3. Počty veřejně známých chyb. To jsem ještě neviděl udělané tak, aby to dávalo smysl a nesrovnávalo neporovnatelné; kdo má trochu soudnosti, tohle nedělá. Předně je zapotřebí normalizovat závažnosti, které si každý vendor udává po svém. Potom je zapotřebí chyby normalizovat na počet lidí, které v daném kusu software chyby hledají -- zatímco u tradičních *nixů je jich hodně z tradice a u MS Windows proto, že jsou nejsnadnějším cílem, u MaC OS X se může snadno nacházet málo chyb proto, že se nehledají zdaleka tak intensivně. Dále je zapotřebí srovnávat plně opatchované systémy nebo systémy stejně staré od vydání (normalizovaně na počet lidí hledajících chyby) -- a nejlépe při splnění obojího -- protože počet nalezených chyb je funkcí relativního i absolutního času. Dále je zapotřebí chyby normalizovat na komponenty, které se vyskytují ve všech systémech -- takový TCP/IP stack mají sice všechny systémy, ale v tom už obvykle zase tak moc chyb nebývá, a srovnávat chyby HTTP serveru z jednoho systému s chybami wordprocessoru z druhého a instant messengeru z třetího nemá žádný smysl; mají-li systémy jiné komponenty, slouží zřejmě jiným účelům, mají jinou inherentní zabezpečitelnost a liší se množství i charakter útoků vůči nim podnikaných.

4. Počty 0wned systémů (normalizované na celkové počty a množství lidí a botů, kteří se o to snaží). To by mě zajímalo, jak zjistili.

5. Střední doba přežití neopatchovaného systému na síti. To je v praxi velmi zajímavé číslo (např. MS Windows nepřežijí dost dlouho ani na to, abys je záplatoval), ale opět neříká nic o bezpečnosti systému bez normalizací, které už nebudu znovu vyjmenovávat.

Tak jedině, že by v CHIPu vymysleli něco revolučního, co jsem tu nejmenoval.

20.9.2004 01:46 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

1) jednu část testu jim dělal QUALYS (ceny za jeho profesionální testy se pohybují v pěticiferných $ číslech a jeho zákazníkem je i vláda USA, měsíčně vypracuje kolem milionu bezpečnostních analýz), testovali se všechny relevantní bezpečnostní atributy počítače v oblasti on-line a internetové bezpečnosti (a to právě tím pěticiferným testem :-)

2) dále u všech OS (SUSE 9.1 pro, WinXP pro, Mac OS 10.3.3) sledovala a testovala bezpečnost na internetu (firewall, antivirová ochrana, instalace automatických updatů, zabezpečení prohlížeče atd...), bezpečnost v počítači (zabezpečení uživatelských kont, zašifrování hesel, zašifrování souborového systému, zálohování, atd...)

je toho sedm stran

BTW na Qualysu je i freescan zdarma https://freescan.qualys.com/

Find Network Security Holes -- Fast! Test your network and get TOTAL SECURITY now. Our FREE scan of your network will identify urgent risks -- and provide you with one-click validated fixes. .... můžete si ho zkusit ;-)

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

20.9.2004 08:36 jm
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Coze? Tu hruzu, co vysla v Chipu delal Qualys jo? Asi nejaka jejich uklizecka ve volnem case mozna. :-D

20.9.2004 08:42 jm
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Bod 3 je spravne. A tady je ten velkej LOL - http://upload.vadamo.cz/win.jpg

Kvalitu testu posoudi soudny ctenar sam.

20.9.2004 12:38 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

možná by bylo lepší hodit sem obrázky všech sedmi stran pro ty co nemají ten CHIP aby si mohli udělat obrázek, to co jste tam dal je jen desetina jedné stránky a to navíc bez textu

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

20.9.2004 13:40 jm
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

To bych mel asi docela problem s porusenim autorskych prav. A ona i ta jedna tabulka je dost vyraznym indikatorem "kvality" cele recenze (viz take prispevek Davida Jeze nize).

20.9.2004 15:09 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

LOL! Tu tabulku chci mít viset na zdi!

20.9.2004 15:13 jm
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Napis vydavateli, treba ti ji poskytne v nejakem vektorovem formatu a muzes si ji zvetsit do nadzivotni velikosti. :-D

20.9.2004 13:32 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Srovnava tam docela pakarny, proste nejaky widlak se podival na nejaky server kolik ma jeho system ,,chyb`` a z toho usuzoval bezpecnost systemu. Hrusky s jablkama. Pak hlasaji takove nadherne FUDy, jakoze widle s SP2 (mimochodem dnes je i v SP2 der jak v ementalu...) jsou absolutne bezpecne, zatimco v SuSE zustavaji ,,diry`` jakoze je povoleny ping. Z toho muzes dobre usoudit jak problematice autori rozumi a jak k ni pristupovali.

Co se tyce te dementni vety openbsd fanaticke bandy: Uz to meli davno stahnout, sami maji tuny masla na hlavickach. Zrovna openbsd banda je prikladem toho, jak nema vypadat spolecnost ktera vytvari soft: chlubi se tim, jaky je to vrchol bezpecnosti (pritom je to shi^H^H^Hhruza jako cokoliv jineho) a kdyz jim (prekvapive...) nekdo najde chybu tak si ji opravi v CVS na svem pisecku a ticho po pesine. Takze v te historii 8 let meli nekolik dosti zavaznych chyb, ale odmitaji si to pripustit. Proste se schovavaji za svoji vez z voloviny. Smutne je, ze vytvari i openssl a openssh a chovaji se porad stejne. Takze treba zavazne chyby v openssl opravi jen v CVS a novou verzi ven nevyhodi. Ze se pak balickove openssl neda pouzivat je vubec nezajima. Ono se staci jen podivat na lidi kolem openbsd, dyt jsou to stejni fanatici jako neologism (nebudu jmenovat...) :-) . Takze jako priklad bych je rozhodne nedaval...
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

20.9.2004 14:52 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Srovnava tam docela pakarny, proste nejaky widlak se podival na nejaky server kolik ma jeho system ,,chyb`` a z toho usuzoval bezpecnost systemu. ......... jinými slovy QUALYS jsou widláci co tomu nerozumí ergo blbci? Četl jste ten článek? Jestli jo, tak víte, že ty zůstávající díry jsou hodnoceny jako nebezpečnost stupeň 1 tedy nízká a taky že tam o SP2 (o SP vůbec) nebyla řeč.

Z toho muzes dobre usoudit jak problematice autori rozumi a jak k ni pristupovali. .... takže autoři testu (QUALYS) tomu nerozumí a k problematice přistupují špatně?

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

20.9.2004 15:04 jm
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Ano. Pokud nekdo vyhodnoti skutecnost, ze pocitac odpovida na ping (ICMP echo reply) jako bezpecnostni diru, tak tomu nerozumi. Vy jste zamestnancem te firmy nebo jak to mam chapat? Jinak me nejaky Qualys vubec nezajima, pokud nekdo napise hovadinu, tak to hovadinou zustane, i kdyby autorem byl treba Santa Klaus.

P.S. O SP/SP2 tam nebyla rec? Hmm a jak teda na tech Windows XP dosahli nuly bezpecnostnich der? (BTW chyby jsou i v SP2). :-D

20.9.2004 15:29 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Vy jste zamestnancem te firmy nebo jak to mam chapat? ne nejsem.

taky se zeptám - vy jste expert na bezpečnost a bezpečnostní testy?

SP/SP2 tam nebyla rec? Hmm a jak teda na tech Windows XP dosahli nuly bezpecnostnich der? slyšel jste někdy o automatických opravách? Stáhnete si z webu co potřebujete. Opravy vycházejí častěji než SP a navíc v SP jsou věci které nepotřebujete a nebo nechcete (DRM např), takhle (manuálním výběrem oprav) si nainstalujete jen to co chcete a potřebujete , je to stejné jako on-line aktualizace třeba v Mandraku, nebo SUSE

Ale nemá cenu se hádat, asi máte pravdu, a rozumite problematice. Já tomu nerozumím a QUALYS (podle vás) taky ne (asi tu firmu a její testy znáte).

A v podstatě je mi to jedno, ja pouzivam Linux (protoze chci) i Widle (protoze musim), zabezpečený mám jedno i druhý takže je mi tohle dohadovani šumák.

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

21.9.2004 14:07 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Pokud se chces bavit o kvalitach testu - co osobne podle me totalne degraduje cely clanek:

Kdyz uz jsi zminil hodnocene stupne bezpecnosti, tak prestoze v SuSE Linuxu zadne poradne chyby nebyly (jak rikas hodnocene stupnem jedna... blahblah...), presto v testu nakonec vysel jako docela nebezpecny - narozdil od widli, ktere byly bez chyby - to bych se neodvazoval tvrdit ani po litru vodky.
Naprosto opomenuli zminit zakladni fakt: widle si clovek nenainstaluje. Pro instalaci budto potrebuje druhe widle a napchat na nich na instalacni cedo vsechny SP a urobit si instalacni cedo pro bezpecny system, nebo se smirit s tunou blasteru a sasseru a jim podobnych, ktere chytne behem prvni dementni aktivace celeho tohoto debilniho softu (ktera je tam navic pekne zbytecna). Jo jasne, nebo potrebuje pocitac s Linuxem aby mu delal firewall. A to uz jsme u same podstaty veci - ze clovek nakonec zjisti, ze ty widle stejne nepotrebuje... V pripade linuxu cely bordel zmineny v tomto bodu odpada. Dost vyznamne plus pro Linux a minus pro widle
Zavaznost chyb (uz jsem se zminil) - opravdu opomenuli zminit, ze drtiva vetsina chyb ktere jso ve widlich maji docela fatalni nasledky a jsou dost nebezpecne i zvenci, narozdil od chyb v Linuxovych distribucich ktere precejen nebyvaji tak casto takto fatalni.
Je sice krasne ze m$ nejak reaguje na chyby, ale jak rychle a jak kvalitne? Vyblijou nejaky patch ktery si clovek ani nemuze stahnout z ftpka a hromadne nalit na vsechny stanice. Nehlede na to ze musi cekat na to, az nejaky m$ vyzvraci nejaky patch, ktery ho donuti zprznit system tunou dalsiho brajglu ktery ani nepotrebuje. OS svet zde ma jednoznacne navrch, chybu si muzes kratkym patchem backportovanym do te verze, kterou pouzivas klidne sam a rychleji. To je velka vyhoda.
Dalsi problem - potencialni nebezpecnost. Precejen ve widlich je za celou dobu existence tolik chyb, ze z principu nemuzou byt bezpecne. Jisteze i Linuxovych distribucich existuji notorycky derave softy ala nebudu jmenovat... nicmene neni problem za ne najit nahradu, sestavit si bezpecne distro. System je komplet na ocich tune vyvojaru takze nehrozi ani zadne legracky ve forme dialeru a spyware a jinych hruz ktere jsou ve widlich na kazdem rohu. Prosimte dyt ty widle se ani nedaji pouzivat na netu, neveril bych jim ani pozdrav kdyz do nich nevidim a porad neco bonzujou na vsechny strany...

Sice nerikam, ze widle jsou uplne na dve veci (i kdyz si to nemyslim ale vim... ackoliv proti sadomasu nemam nic, tak provozovat na widlich neco, co by melo alespon chvilku vydrzet bezpecne je hm... spise samovrazda), precijen system je bezpecny tak jak je bezpecny jeho admin. Ale perly ktere padly v chipu (napr. absolutne bezpecne widle s SP2, coz dnes vyzniva znacne komicy) jsou fakt perly...
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

21.9.2004 21:33 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: a co takhle OpenBSD?

Pokud se chces bavit o kvalitach testu ...... nechci s bavit o ničem, bezpečnost Linuxu i Widlí závisí na tom kdo je jejich uživatel.

narozdil od widli, ktere byly bez chyby - to bych se neodvazoval tvrdit ani po litru vodky to ale nikdo netvrdil, ani já, ani test, nemluvilo se o tom, že jsou bez chyby, ale že jsou ZABEZPEČENÉ proti vnějším a vnitřním útokům a to není problém, updaty, patche, dobrý antivirus, firewall, fyzická ochrana PC, šifrování dat atd... , nevidím v tom problém - vy ano? A to stejné platí pro Linux. A naopak - neopatchovaný, neupdatovaný Linux je stejně průstřelný jako Widle.

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

20.9.2004 08:06 Filip Jirsák
Rozbalit Rozbalit vše komentář patchů

Odpovědět | Sbalit | Link | Blokovat | Admin

Zrovna jsem narazil na jeden opomíjený rozdíl v bezpečnosti OSS a proprietárního softwaru. OSS mívá záplaty většinou popsané a dělají skutečně jen to, co se tam píše. Teď potřebuji zaktualizovat jednu konkrétní knihovnu ve Windows NT - od programátora vím, že je to jedna z 20 doporučených záplat z windowsupdate. O výměně této knihovny však v popiscích žádná zmínka, všechny záplaty, které se týkaly souvisejících částí OS jsou nainstalovány a knihovna zatím není zaktualizována. Takže postupně instaluji další záplaty a zjišťuji, kdy se ta knihovna zaktualizuje. MS klidně opraví chybu v rámci jiné záplaty a nikde se o tom člověk nedozví.

20.9.2004 09:25 Michal Vymazal | skóre: 21
Rozbalit Rozbalit vše Ale ten clanek nevyzniva negativne pro Open Source

Odpovědět | Sbalit | Link | Blokovat | Admin

Ten anglicky psany clanek ale nevyzniva negativne pro Open Source. Je to jen takove zamysleni. Cetli jste ho vsichni az do konce?

20.9.2004 09:58 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Ale ten clanek nevyzniva negativne pro Open Source

Jasně že četl. Ten článek je lidově řečeno o tom, že vytvořit a otestovat bezpečný software není žádná sranda, opensource-neopensource. Pokud jde o autorův optimismus ohledně automatických nástrojů, tak tedy nevím, nevím.

Založit nové vlákno • Nahoru