I QR kód může být nejednoznačný. Záleží na úhlu pohledu. Zkuste pootočit telefon. Pokud chce někdo zkoušet, Zachary Reese vytvořil webovou aplikaci. Zdrojové kódy jsou k dispozici na GitHubu [Hacker News].
Před 40 lety, v roce 1985, začala hráče počítačových her na tehdy 8bitových počítačích vytáčet protipirátská ochrana LENSLOK (Wikipedie). Hru jste mohli zkopírovat, bez LENSLOKu jste ji ale nemohli spustit. Při spouštění hry se na obrazovce zobrazil "rozsypaný čaj" a pro pokračování jej uživatel musel dekódovat, tj. musel se na něj podívat přes čočky LENSLOKu, přečíst dvě písmena a ty napsat na klávesnici.
Byla vydána alfa verze GNOME 48. S novým přehrávačem zvukových souborů Decibely. Vyzkoušet lze instalační ISO GNOME OS. Vydání GNOME 48 je plánováno na březen.
Společnost OpenAI představila Operator, tj. agenta, který k provádění úkolů (najdi a rezervuj ubytování, kup ingredience potřebné pro uvaření tohoto jídla, …) používá vlastní webový prohlížeč. K tomu využívá Computer-Using Agenta (CUA). Operator je zatím dostupný pouze pro uživatele ChatGPT Pro ve Spojených státech.
SoftBank, OpenAI, Oracle a MGX představili projekt Stargate, do kterého v příštích čtyřech letech investují 500 miliard dolarů. Cílem projektu je vybudovat ve Spojených státech novou infrastrukturu pro umělou inteligenci (AI).
Bun (Wikipedie), tj. běhové prostředí (runtime) a toolkit pro JavaScript a TypeScript, alternativa k Node.js a Deno, byl vydán ve verzi 1.2. Představení novinek také na YouTube. Bun je naprogramován v programovacím jazyce Zig.
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 10.0 (Mastodon). Forgejo je fork Gitei.
Byla vydána nová stabilní verze 7.1 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 132. Přehled novinek i s náhledy v příspěvku na blogu.
Vývojáři Debianu oznámili, že v březnu bude zahájeno zmrazování Debianu 13 s kódovým názvem Trixie. Současně bylo oznámeno, že kódový název Debianu 15 bude Duke. Debian 14 bude Forky.
Free Software Foundation (FSF, Nadace pro svobodný software) oslaví v říjnu 40 let od svého založení. Při této příležitosti proběhla soutěž o logo k této události. Dnes bylo vyhlášeno vítězné logo. Navrženo bylo v GIMPu.
NSA údajně věděla o závažné chybě Heartbleed v OpenSSL už od jejího zanesení do kódu a využívala ji k získávání hesel a dalších důvěrných informací. Ačkoliv má NSA primárně sloužit k obraně USA, dala raději přednost využití pro útok než ochraně vlastního obyvatelstva před špehováním jinými zeměmi.
Tiskni Sdílej:
Datum zveřejnění videa je 12. 2. 2014, což z něj dělá poměrně prorockou záležitost.Ono je klidně možné, že se alespoň jeden z těch dvou nálezců tou přednáškou inspiroval a začal se ve zdrojácích OpenSSL šťourat.
co brani NSA zaimplementovat jeste mazanejsi problem, ktery bude tak dumyslne skryt a patch bude tak dobre zduvodnen, ze komunita patch prijmeHmmm... podobnou otazku jsem kdysi kladl take - Jak moc duveryhodne jsou "duveryhodne" repositare? Co brani nekomu pridat se k vyvoji nejakeho projektu (distra, pluginy pro web brovser, atpd....) a pres balicky v repu jej kompromitovat? Je tak tezke udelat "oficialniho" trojskeho kone? Jasno v tom nemam doted, a nezbyva mi nez jen doufat, ze se o to nikdo nepokusil, nebo se to zatim nikomu nepovedlo....
Dohajzlu uz i s aktualizacema. Dam cokoliv za jeden stabilni nemenici se system.Žádný takový není. Každý systém, pokud nedělá jen něco naprosto triviálního (a ani u takového to neplatí 100%), obsahuje chyby a proto se musí aktualizovat.
Tenhle opensource ma desne nevyhody (samozrejme krome rady vyhod). Kdejaky kreten pridela kdejakou hovadinu aby projevil aktivitu a svuj studentsky um, a dopadne to tak, ze clovek pak musi davat kupu rozbitych veci dohromady.To není problém open source, to je problém toho, kdo projekt spravuje. Když si tam nechá tyhle věci strčit, tak to podle toho vypadá. Stejná situace může nastat i u closed source, pokud si správce projektu nechá vnutit nějaké nesmysly, ať už vytvořené formou pluginu, nezávislého programu nebo třeba jen jako referenční implementace, kterou někdo zapracuje do hlavního kódu. Naopak open source může fungovat i stylem, že to spravuje jeden autor/tým/firma a nenechají si tam cpát cokoli zvenčí, drží si všechno pod vlastní kontrolou. Jinak systém lze rozbít i úplně nezávisle. Například některé ovladače hardwaru mohou napáchat ve fungujícím systému děsnou paseku. Vzpomínám kupříkladu na jeden ovladač televizní karty, který dokázal naprosto parádně rozstřelit fungující Windows (XP SP2; před SP2 problém nebyl a všechno fungovalo!). Během instalace spadl systém do modré obrazovky - po restartu už nejelo prakticky nic a kromě přeinstalace systému nebyl způsob, jak to opravit. To jen jako poznámka na okraj.
Dam cokoliv za jeden stabilni nemenici se system.Tak to si budeš muset koupit psací stroj...
Psací stroj má tunu race condition. Schválně zkus zmáčknout víc kláves najednou, nebo hodně rychle po sobě .Zkus stisknout několik kláves současně na klávesnici počítače a zjistíš, že race condition jaksi zůstala.
Na psacím stroji by současné zmáčnutí "ILM" způsobilo srážku těch kladívek s písmeny, což se pak občas musí ručně vrátit zpět.To lze interpretovat i tak, že psací stroj naopak race condition zabrání a předává kontrolu uživateli.
modprobe nadsázka
no leda, že by se nestrefil na jednu klávesuNejlepší je trefit se mezi klávesy
Hele, dostal jsem logáro. Píšou na něm:
✔ Arithmetic-oriented instruction set including integer, fixed and floating-point instructions
✔ Bignum and arbitrary-precision libraries available
✔ No hardware backdoors, fully transparent operation
✔ 100% EMP proof
✔ Solar powered, only little illumination necessary
Přístup mají všichni, ale přiznejte se, kolik z vás si ty kódy čte doma před spaním?V čem přesně tedy closed source pomůže?
Pravděpodobnost pravdivosti této zprávy není IMHO ani 50%Ještě jsi zapomněl na obligátní "Kdo nemá co skrývat, tak se nemá čeho bát."
Celou dobu to drží pod pokličkou a náááhodou to praskne 5 dní po objevení chyby.Samozřejmě. Po objevení chyby je totiž najednou jasné, co mám v záznamech ze svého honeypotu hledat - předtím to byly jenom nějaké divné nevalidní TLS pakety, teď už vím, co to znamená.
Two people familiar with the matter saidNěkdo z osud.cz, předpokládám?
Jak psali někde u OpenBSD, OpenSSL má nějaký vlastní alokátor.To zas někdo trpěl NIH syndromem, ne? Nebo má opravdu OpenSSL nějaké speciální nároky na alokaci paměti?
OpenSSL nějaké speciální nároky na alokaci paměti?Osobně bych třeba ukládal klíče do oddelené paměti a po free() bych je přepsal nulama. Je ale otázka zda to OpenSSL opravdu dělá .
Ještě lepší by bylo, kdyby neposkytoval API pro přístup ke klíčům, ale jen pro použití klíčeTo jsme se špatně pochopili. Tím API pro přístup nebylo myšleno konkrétně API pro získávání celých klíčů, ale obecně APi pro práci s těmi klíči dle konkrétních možností a potřeb. SoftHSM je jeden z konkrétních projektů, které můžou s tímto pomoci a který při troše snahy může znamenat, že aplikace půjde používat i s pravým HSM.
mlock()
-nout, aby se nevyswapovala na disk. A to už se s malloc()
-em dělá těžko.
To máš pravdu, něco takového například dělá Botan a teď koukám, že v OpenSSL na to mají buffer, ale myslimže ten jejich alloc/free s tímhle nesouvisí...OpenSSL nějaké speciální nároky na alokaci paměti?Osobně bych třeba ukládal klíče do oddelené paměti a po free() bych je přepsal nulama. Je ale otázka zda to OpenSSL opravdu dělá .
a po free() bych je přepsal nulama.M_PERTURB Donedávna som o tom tiež netušil. A hanbím sa za to.
Si myslím, že by na to stačil valgrind, ale asi by to jen tak neodhalil, při to útoku ano, ale jinak asi ne (tak moc jsme to nezkoumal).
Nejedná se o vlastní alokátor, podle mmého zběžného zkoumání, jen je to obalené pro debugování, ani jakékoliv přepisování paměti to nezařizuje (což samozřejmě může dělat patřičná fce předem na správném místě).
OPENSSL_malloc −> CRYPTO_malloc −> malloc_ex_func −> default_malloc_ex −> malloc_func −> malloc(OPENSSL_malloc_locked jde v stejném_locked řetězci.)
include/openssl/crypto.h
#define OPENSSL_malloc(num) CRYPTO_malloc((int)num,__FILE__,__LINE__)
crypto/mem.c
void *CRYPTO_malloc(int num, const char *file, int line){ ... ret = malloc_locked_ex_func(num,file,line); ... retun ret; } /*a jsme u malloc*/ static void *(*malloc_func)(size_t) = malloc; static void *default_malloc_ex(size_t num, const char *file, int line) { return malloc_func(num); } static void *(*malloc_ex_func)(size_t, const char *file, int line)---- Dále
include/openssl/crypto.h:
#define CRYPTO_malloc_init() CRYPTO_set_mem_functions(\ malloc, realloc, free) include/openssl/crypto.h int CRYPTO_set_mem_functions(void *(*m)(size_t), void *(*r)(void *, size_t),void (*f)(void *)){ ... malloc_func=m; malloc_ex_func=default_malloc_ex; realloc_func=r; realloc_ex_func=default_realloc_ex; free_func=f; ....takže pokud se to někde specificky nepřestavovalo (je tam něco jako
IMPLEMENT_DYNAMIC_BIND_FN
co se tam někde používá a to používá CRYPTO_set_mem_functions
, ale jestli jsem to pochopil, tak jsou to zas jen další obálky v případě free dělají další opičárny navíc - snad čistění paměti), opírá se to o std fce, tedy valgrind to zjistí…
What Ted is saying may sound like a joke... So years ago we added exploit mitigations counter measures to libc malloc and mmap, so that a variety of bugs can be exposed. Such memory accesses will cause an immediate crash, or even a core dump, then the bug can be analyed, and fixed forever. Some other debugging toolkits get them too. To a large extent these come with almost no performance cost. But around that time OpenSSL adds a wrapper around malloc & free so that the library will cache memory on it's own, and not free it to the protective malloc. You can find the comment in their sources ... #ifndef OPENSSL_NO_BUF_FREELISTS /* On some platforms, malloc() performance is bad enough that you can't just OH, because SOME platforms have slow performance, it means even if you build protective technology into malloc() and free(), it will be ineffective. On ALL PLATFORMS, because that option is the default, and Ted's tests show you can't turn it off because they haven't tested without it in ages. So then a bug shows up which leaks the content of memory mishandled by that layer. If the memoory had been properly returned via free, it would likely have been handed to munmap, and triggered a daemon crash instead of leaking your keys. (zdroj)
oni ty bloky cachují tím jejich alokátorem a nevrací je zpět.To je divne, ze si to resi posvem, protoze takto se defaultne chova vetsina alokatoru.
We've been compiling -DOPENSSL_NO_BUF_FREELISTS forever. Our only complaint is that the BUF is
misspelled :)
Theo can be obnoxious. This should not be news to most folks.
/r$
SSL_CTX_new
které používá OPENSSL_malloc
, a v SSL_CTX_free
se (bohužel až na úplném konci) paměť uvolní pomocí OPENSSL_free
, nicméně nechce se mi v tom babrat bo těch fcí tohoto typu je tam roj, tam se ztratí i NSAServer - v tomto ohledu se mi kód vůbec nelíbí, by to chtělo vysekat a udělat OpenSSLLite :).
Potencionálně mohl vědět kdokoliv - to je to důležité - basta.
Obvykle se tímto směrem nevyjadřuji, ale ve světle některých vyjádření či akcí: „druhá věta není rozhodně nezaujatá a faktická“.
banky u nas jedou zrejme na WindowsechBanky obvykle nejedou na Windowsech (myslím skutečné systémy včetně internetbankingu; něco jiného jsou informativní weby, které mohou jet na čemkoliv - např. ČSOB jede na Widlích .NET, KB má něco javového, FIO má Apache asi na Linuxu...). Asi nejrozšířenější platformou, aspoň u nás, je AS/400 se systémem OS/400 (ve znění těch desetkrát přejmenovaných nových verzí, jako iSeries, Power atd.), software je v RPG (čím dál méně) a v Javě. Nic microsoftího bych tam moc neočekával a OpenSSL taky asi ne.
OpenSSL taky asi ne.A fakt myslíš, že tam před tím nemají nějakou load-balancing proxy?
Možnosti útokuCo jsem já viděl, tak docházelo k možnosti číslo 3 - natěžím ze všeho co půjde a pak to budu někdy v budoucnu analyzovat a třeba na něco kápnu. Někdo si vybíral servery zadáním
inurl:https
do google a sjížděním všech stále nepatchnutých, někteří vzali seznam českých domén, nmapem si je vyfiltrovali a pak těžili co se kde dalo (a pořád ještě dá).
Mimochodem:
Kdo získá přístup k počítačovému systému nebo k nosiči informací a
a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací,
...
bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
Pak jsou tam ještě vyšší sazby (hlavně s rostoucí škodou nebo prospěchem), až do 8 let. Samozřejmě, kde není žalobce, není soudce. Ale to jen jako upozornění pro ty, kdo by to chtěli zkoušet. Někdo by mohl nalíčit honeypot a pár blbečků by se určitě chytilo.
Pak jsou tam ještě vyšší sazby (hlavně s rostoucí škodou nebo prospěchem), až do 8 let. Samozřejmě, kde není žalobce, není soudce. Ale to jen jako upozornění pro ty, kdo by to chtěli zkoušet. Někdo by mohl nalíčit honeypot a pár blbečků by se určitě chytilo.Já mám svědomí čisté, zkoušel jsem to jen z výzkumných důvodů, abych si udělal představu, jak na tom jsem (tzn žádný mass dump a jeho analýza, kromě vlastních strojů). Na druhou stranu jsem na pár IRC kanálech, kde nikoho nezajímalo jak to funguje, hlavně že to funguje. Což je to, co mě na celé té chybě upřimně děsí, ta triviálnost použití.
Ted je otazkou kolik je v openssl dalsich der o kterych zatim nikdo nevi.
Nahodne?!? objeveni bugu na verejnosti taky muze mit i jine pozadi...jako napriklad, ze cinani nebo rusove(nebo nekdo dalsi)ho take objevili a zacali ve vetsim pouzivat.
Takze to muze byt strategicky ustup o maly krucek...vsak za ty roky a investovane penize uz maji urcite nekolik dalsich "heartbugu" nejen v openssl.
Co je na celem tomto cirkusu ovsem nejzajimavejsi je fakt, že tak dulezity kus sw, ktery je vepchan vsude mozne, neni pod vetsim dohledem zainteresovanych stran, coz se ted asi zmeni. Skoro to vypada, jako by pomyslna vetsina usnula na vavrinech a predpokladala, ze kdyz je to opensource, tak si kod urcite prohlidla spousta lidi co tomu rozumi a urcite to bude v poradku a bezpecne.
Ted uz jen cekam, kdy se objevi dalsi stavnata chutovka...co treba ten znamy bezpecnostni projekt NSA... SElinux, ktery je v zakladu distribuovan v nemalo stezejnich distribucich jako je redhat. Kolik lidi vlastne skutecne rozumi tomu slozitemu kodu, kterym SElinux je? Mala chybicka na par radcich tuhle, nejaky bug tamhle a ejhle...samy tvurci na mailing listu priznavaji, ze nejmenovana drobna chybicka mohla zpusobit vaznej bezpecnostni problem.
Nekteri linux ultras se smeji windowsakum, ze kolik zadnich vratek tam MS udelalo pro zvedavce ze zpravodajskych sluzeb. A ted jim na jejich PC bezi linuxove jadro prospikovane kodem od NSA.
Urcite jsem jen zbytecne paranoidni, protoze zijeme v krasnem, svobodnem svete, kde se vsichni miluji navzajem.
ps: podle zakonu usa senatu, musi vsechny sw firmy vytvarejici sw na pude usa, poskytnout tamejsim sluzbam pristup, vytvorenim zadnich vratek, do vlastniho sw. Ptal se nekdo redhatu a dalsich firem sidlicich v usa jestli uz byli pozadani o vytvoreni techto der?
Tak ja chapu, ze blogy jsou uz nejakou dobu pod nadvladou anti USA jadra.Co si pod tím máme my nezúčastnění představit?
a fakt si někdo myslí, že by tohoto nevyužila JAKÁKOLI jiná agentura?To máš asi pravdu, tu chybu je tak jednoduché zneužít, že by toho byla schopna i ta naše BSE nebo jak se jmenuje...