Portál AbcLinuxu, 8. května 2025 23:04
Občanské sdružení Iuridicum Remedium, které od roku 2005 uděluje Ceny Velkého bratra, vyhlásilo 16. ledna výsledky za rok 2013. Jedinou pozitivní cenu (kategorie Ocenění za ochranu soukromí) získal projekt sdružení CZ.NIC – Turris. Zdůvodnění poroty je k dispozici zde.
Tiskni
Sdílej:
Mel jsem pocit, ze se mluvi o bezpecnostnich nastavenich, o tom adaptivnim firewallu.no ... citoval jsem ze sekce "Distribuovaný adaptivní firewall", takže nějak nechápu, co touto poznámkou chtěl básník říci
Jinak system aktualizaci ma dnes temer kazdy OS, Windows, Linux, Android, .... Ale je jasne, ze pokud ho bude mit Turris, tak je to spatne.no tak třeba nůž se dá taky použít nejen ke krájení chleba, ale i k vraždě ... nicméně já jsem zde nehodnodnotil, co je dobré či zlé, já jsem jen prokázal lživost tvrzení "Nic o automatickych updatech nikde nepadlo.", a teď mi laskavě vlez na hrb
18.1.2014 19:42
Nikola Ciprich | skóre: 23
| blog: NiX_blog
| Palkovice
18.1.2014 21:35
egg | skóre: 20
| Praha
19.1.2014 02:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
- pokud ano, resp. nepoužil by to třeba proto, že ani žádnou domácí síť nemá, a zároveň to není myšleno tak, že by se tak choval, kdyby ji měl, pak jednak logicky je zcela k ničemu to takto říkat (bez toho, aby se čtenář dozvěděl to zdůvodnění, v čem je rozdíl, proč nepoužít), a jednak empiricky, v češtině se to takto nepoužívá, nýbrž chápe se taková formulace jako ta varianta "kdybych měl běžnou domácí síť"
19.1.2014 16:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
pro spoustu BFU, kteří používají nejlépe nějaké windows XP+
Nikola Ciprich nemá v síti nezabezpečená Windows XPchápu jako "zásadní rozdíl", a tedy výše čti: myslíš, že mezi běžným pracím práškem, ehm, tedy domácí sítí, a domácí sítí, co má kolega, je tak zásadní rozdíl, jako jsi použil v příkladu? - pokud ano ... čemu na tom nerozumíš?
19.1.2014 18:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
19.1.2014 21:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
pak jednak logicky je zcela k ničemu to takto říkat (bez toho, aby se čtenář dozvěděl to zdůvodnění, v čem je rozdíl, proč nepoužít)protože se čtenář dozvěděl, že rozdíl je v nepřítomnosti Windows XP (a nejspíš také BFU správce).
Není splněna podmínka ... protože se čtenář dozvěděl, že rozdíl je v nepřítomnosti Windows XPaha, takhle to vidíš ... ale i kdybychom připustili, že to implicitní vyjádření je dost zřejmé, aby to každému došlo, stále nám schází dost podstatná část informace - lze z toho dovodit, že je to vhodné pro síť s XP, ovšem schází nám vysvětlení, proč by to pro sítě bez XP vhodné nebylo (když se podívám do logů, jak se mi furt někdo dobouchává na sshačko, a po apachi požaduje nesmyslné adresy různých php exploitů, tak by mi vůbec nevadilo, kdyby se to stoplo už někde dřív než na serveru ...)
(a nejspíš také BFU správce).to už si ovšem chudák čtenář musí domýšlet až přespříliš
Přesně tak... řekl bych jen "haters gonna hate"hm, hlavněže ty jsi přímo studnicí poznání, co se týče odpovědi na to, co kolega říká, že by ho zajímalo, a vůbec celkově odpovídáš věcně, a v žádném případě nám tu nepředvádíš "haters gonna hate" vůči lidem, co si dovolí mít jiný názor
19.1.2014 12:15
xkucf03 | skóre: 49
| blog: xkucf03
Nemám problém s tím, že se za registraci domén vybírají jakési regulační poplatky, ani jejich výše mi nevadí. Přebytky z toho přirozeně vyplývají, protože provoz nestojí tolik. Je jen otázka, kam je směřovat. Podle mého existuje smysluplnější využití pro ty peníze. Psal jsem to už kdysi na Rootu:
- podpora IPv6 v GUI (NetworkManager – na tom dělá RedHat, můžete jim pomoci, nevím, jak je na tom Wicd a další podobné nástroje, jistě je co zlepšovat)
- doplnit podporu IPv6 do nějaké aplikace – IM, VoIP, cokoli dalšího
- nemusí to být jen IPv6 věci – můžete vylepšovat nástroje typu curl, wget, lynx, links, socat, netcat atd.
- nemusí to být jen nízkoúrovňové věci – může to být vylepšení webového prohlížeče, e-mailového klienta – jejich bugzilly jsou plné úkolů, které čekají na vyřešení
- GUI pro GPG nebo S/MIME šifrování, správu klíčů atd. (Kleopatra, Seahorse)
- svobodný firmware do modemů a routerů
- vylepšování Wiresharku, psaní dissectorů pro další protokoly
- pokud máte opravdu přebytek peněz, můžete dělat svobodný CASE nástroj (skutečně CASE, ne jen další malovátko grafů)
- další software typu desktopových prostředí, kancelářských balíků, grafických editorů
- nástroje pro správu webserveru, moduly do apache, nginxu
- přispějte do projektu FreedomBox nebo nabídněte podobné vlastní řešení
atd. atd. tohle bylo jen tak namátkou, zásobárna takových úkolů je prakticky nevyčerpatelná – stačí si něco vybrat a začít na tom dělat. Klidně poskytnu další návrhy nebo i něco ze svého TODO seznamu (tyto položky jsem schválně vynechal, aby někomu nepřišlo, že chci urvat peníze pro sebe).
Zapojte do projektů i studenty VŠ a SŠ – bude to pro ně fajn mezistupeň mezi akademickým cvičením a tvrdou komerční praxí.
I náhodný výběr z těchto (a podobných) úkolů považuji za dobré řešení. Kromě toho můžete udělat burzu nápadů, kam může každý přihlásit svůj záměr/projekt a majitelé domén pak budou hlasovat, kdo dostane jaký příspěvek – část peněz se předem vyčlení na provoz NICu + rezervu a zbytek se může takto rozdělit.
Otázka je, jestli by měl být počet hlasů podle domén, nebo na osobu – asi bych se přimlouval za nějaký koeficient: např. pět hlasů za osobu + jeden hlas za každou doménu a maximálně dvacet hlasů. Tím by se předešlo příliš velkému vlivu spekulantů a těch, kdo registrují domény za ostatní – ale i kdyby ne a bylo to 1 doména → 1 hlas, oni přispěli nejvíc, tak mají nejvíc hlasů.
Obecně bych to směřoval do replikovatelných trvalých hodnot (tzn. psaní softwaru, který může kdokoli použít nebo dál rozvíjet) než poskytování služeb (vyžadují neustálé peníze na provoz a jsou monopolní, vytvářejí závislost na poskytovateli).
Neni tohle jeden z cilu Turrisu?
- svobodný firmware do modemů a routerů
19.1.2014 15:10
xkucf03 | skóre: 49
| blog: xkucf03
Nějaký překryv tady v tom je (ten můj seznam návrhů je z roku 2012), ale otázka je, jak významný. Kolik řádků kódu takto vzniklo? Kolik z nich bude k užitku lidem s libovolným routerem podporovaným OpenWRT? Jaký je celkový rozpočet Turrisu?
19.1.2014 20:03
Rezza | skóre: 25
| blog: rezza
| Brno
19.1.2014 21:50
pavlix | skóre: 54
| blog: pavlix
Zdrojáky rozšíření k Turrisu by podle stránek Turrisu mely být k dispozici nejpozději ve chvíli jejich nasazení na koncová zařízení (což podle harmonogramu uvedeného tamtéž má být v únoru).Otázka, je, zda má pak smysl tomu říkat otevřený projekt, když k tomu nejsou dokonce ani veřejné zdrojáky. A osobně zdrojáky považuju za nutnou, nikoliv postačující, podmínku, abych o projektu říkal, že je otevřený.
Můj názor na udělenou cenu je ten, že jde o ocenění zajíce v pytli, právě proto, že zdrojové kódy v tuto chvíli nejsou k dispozici (nebo jsem je alespoň nenašel). K samotnému projektu mám zatím vztah - řekněme - neutrální...
20.1.2014 15:51
pavlix | skóre: 54
| blog: pavlix
18.1.2014 20:44
mca | skóre: 17
| blog: keep_walking
| Lévis, Québec City
Sir Humphrey Appleby:Otevrene tvrdi, ze nebudou parovat logy s accounts, na LAN nehrabnou a zajimaje jen WAN, na kterem budou zkoumat. Protoze se jedna o OpenSource, tak mas k dispozici vse a jiste je vhodne zminit, ze prispeli do OpenWRT. Cele to ma byt predevsim pro BFU - te socialne rakovine vetese, ktera svini net a ochotne hostuje vsechny mozne botnety, exploity atd. Sice na sebe vykecala vse uz davno, ale porad plati, ze cesta do pekla je vzdy dlazdena nejlepsimi umysly. Nektere aktivity NIC se mi libi, jine nelibi. Otazkou je, kolik z nich si to koupi, kdyz jim prece staci ten za $15. Na blogu NIC a Root se toho da najit dost. Urcite to bude velmi lakavy cil. Mit bych to doma nechtel a geograficky to ani neni mozne. Dnes smiruje vsechno a vsude, vize virtualne transparetniho obcana 21. stoleti je davno v realizaci. Zastavam nazor, ze je zbytecne se snazit chranit nekoho, koho chranit nelze a jen tim utrpi svoboda a soukromi ostatnich. Nebudu srovnavat nebo prirovnavat aktivity NIC k tem upocenym prasatum sikanujicich a porusujici vce, co lze, na vsech letistich, ale bojim se dne, kdy prijde nejaky stupidni politik a takovy urad = velkou trafiku vam tam poridi.
"Vzdy bychom meli tisku sami a otevrene rikat vse, co si mohou sami zjistit kdekoliv jinde"
19.1.2014 02:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pokud vím, tak to umí spustit libovolný kód z centrály individualizovaný pro danou instanci zařízeníTohle slyším/čtu prvně. Nebyl by nějaký odkaz s detaily?
19.1.2014 16:39
Jendа | skóre: 78
| blog: Jenda
| JO70FB
projekt Sleduji Sledujiciho (otevrene monitorovani chovani toho systemu)+1. Nasaďme honeypot
.
19.1.2014 19:58
Rezza | skóre: 25
| blog: rezza
| Brno
19.1.2014 16:38
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pro aktualizaci koncových zařízení plánujeme využít standardní mechanismus bezpečnostních aktualizací zařízení, který budeme využívat i pro další součásti systému.(viz výše) Dobrá námitka byla, že ostatní distribuce, Windows i embedded zařízení (mobily) to mají taky.
Dobrá námitka byla, že ostatní distribuce, Windows i embedded zařízení (mobily) to mají taky.a moje protinámitka, že stejnou věc lze užít různě, ti dost dobrá není?
19.1.2014 18:07
Jendа | skóre: 78
| blog: Jenda
| JO70FB
19.1.2014 21:29
Jendа | skóre: 78
| blog: Jenda
| JO70FB
takže už tady máme rozdíl v tom, oč má policie (...) jednodušší dostat do cíle škodlivý kód - nemusí čekat, až se uživatel rozhodne aktualizovat, prostě to tam server nacpe rovnouRozumný uživatel stahuje bezpečnostní záplaty alespoň jednou týdně, nebo má dokonce nastavený autoupdate.
druhou otázkou je právě ta "individualizace" - opět, distra to typicky nedělají ... pakliže nelze na serveru (a jeho mirrorech!) zajistit, aby se modifikovaný kód dostal právě jen k určenému uživateliČeské mirrory se typicky používají 1-2, navíc předpokládám, že by policie nešla za správcem mirroru, ale spíš za ISP cílového uživatele a přesměrovala si DNS/IP mirroru na svůj server.
přičemž nehodnotím, proč by zrovna zde diskutovaný "někdo" tak činit měl nebo neměl, pouze říkám, že takový argument je na nic, neb tisíce hospodyněk krájejících chleba nevylučují jednu krájející manželaProč podobné názory neprezentuješ pod každou zprávičkou o vydání aktualizované verze, resp. aktualizačního systému nějaké distribuce?
Rozumný uživatel stahuje bezpečnostní záplaty alespoň jednou týdně, nebo má dokonce nastavený autoupdate.to je možné, ale na principu věci to nic nemění
... a ještě ukradla distribuční podepisovací klíčedruhou otázkou je právě ta "individualizace" - opět, distra to typicky nedělají ... pakliže nelze na serveru (a jeho mirrorech!) zajistit, aby se modifikovaný kód dostal právě jen k určenému uživateliČeské mirrory se typicky používají 1-2, navíc předpokládám, že by policie nešla za správcem mirroru, ale spíš za ISP cílového uživatele a přesměrovala si DNS/IP mirroru na svůj server.
protože pod nimi nikdo neprezentuje pseudoargumenty typu "je to absolutně bezpečné, protože to dělají všichni", a tedy nemám vůči čemu se ohrazovat?přičemž nehodnotím, proč by zrovna zde diskutovaný "někdo" tak činit měl nebo neměl, pouze říkám, že takový argument je na nic, neb tisíce hospodyněk krájejících chleba nevylučují jednu krájející manželaProč podobné názory neprezentuješ pod každou zprávičkou o vydání aktualizované verze, resp. aktualizačního systému nějaké distribuce?
20.1.2014 09:51
egg | skóre: 20
| Praha
pseudoargumenty typu "je to absolutně bezpečné, protože to dělají všichni"Nic takového jsem tu nečetl.
20.1.2014 19:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
... a ještě ukradla distribuční podepisovací klíčeTo platí pro CZ.NIC stejně jako třeba pro ten RedHat, ne?
20.1.2014 23:27
Jendа | skóre: 78
| blog: Jenda
| JO70FB
20.1.2014 23:41
xkucf03 | skóre: 49
| blog: xkucf03
Třeba v tom, že balíčky se obvykle šíří přes nezávislá zrcadla, rsyncované HTTP servery, které by do toho musely být taky zapletené. A taky podepisování balíčků bude často probíhat mimo ČR. V tom je mj. výhoda decentralizace/distribuovanosti – je snazší levárnu odhalit, hůř se to utajuje.
21.1.2014 00:39
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Třeba v tom, že balíčky se obvykle šíří přes nezávislá zrcadla, rsyncované HTTP servery, které by do toho musely být taky zapletené.Jak už jsem psal, v ČR jsou většinou 1-2 používané mirrory. Navíc zkušenosti z jiných zemí ukazují, že tito lidé většinou nechodí za správcem mirroru, ale spíš si udělají MITM někde v klidu bokem.
A taky podepisování balíčků bude často probíhat mimo ČR.Fedore/RedHat, SUSE i Debian podepisují v ČR.
21.1.2014 02:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Fedore/RedHat, SUSE i Debian podepisují v ČR.Respektive - kdyby do českého RH/SUSE HQ nebo třeba Michalu Čihařovi přišel dopis, dostali by podepsaný balíček? Pokud ne, proč by totéž mělo uspět u CZ.NIC, nebo dokonce proč by to mělo uspět u „push“ aktualizací a ne u „pull“?
Fedore/RedHat, SUSE i Debian podepisují v ČR.
Nechci vám kazit ideu, ale pokud je mi známo, tak ke klíčům od Fedory nemá přístup nikdo z ČR. Od RHELu možná několik lidí ovládá tlačítko, ale mašina je za mořem ve svobodné zemi. Nabádat spoluobčana k trestnému činu v zahraničí zavání minimálně diplomatickou roztržkou.
za mořem ve svobodné zemi.Pobavils...
21.1.2014 10:46
xkucf03 | skóre: 49
| blog: xkucf03
USA jsou sice policejní stát, ale zase si nemyslím, že by chtěli svými kapacitami podporovat třeba boj proti květináčům v ČR nebo třeba nějakou vnitropolitickou špionáž v ČR nebo boj proti radikálům, kteří chtějí vylepovat posměšné plakáty o Zemanovi… tyhle věci je IMHO nezajímají a pokud by se tu angažovali, tak to bude s největší pravděpodobností průmyslová špionáž ve prospěch amerických firem, nebo snaha o získání státních zakázek v ČR, nebo odposlechy místních politiků a diplomatů, případně plošné „preventivní“ odposlechy všech/náhodných lidí… ale v takovém případě si zase nemyslím, že by se chtěli o získané informace dělit s místní policií nebo se od ní dokonce nechat úkolovat.
21.1.2014 18:49
Stanislav Brabec | skóre: 45
| Praha
21.1.2014 10:57
xkucf03 | skóre: 49
| blog: xkucf03
Navíc zkušenosti z jiných zemí ukazují, že tito lidé většinou nechodí za správcem mirroru, ale spíš si udělají MITM někde v klidu bokem.
Ono by nebylo úplně od věci používat pro stahování balíčků HTTPS1 – sice by to znamenalo vyšší zátěž CPU2, ale pro podstrčení balíčku by útočníkovi nestačilo mít jen přístup ke klíčům dané distribuce + podvrhnout DNS odpověď nebo přesměrovat provoz na úrovni IP protokolu, ale musel by ještě získat klíče distribučního serveru (zrcadla) nebo přístup na něj.
[1] resp. obecně šifrovaný protokol, třeba SSH – jméno a heslo by byly veřejně známé, bylo by povolené jen stahování souborů, žádný shell nebo přesměrování portů; a otisk klíče serveru by se šířil buď nezávislým kanálem, nebo by se alespoň kontrolovalo, zda je pořád stejný
[2] dokážete někdo odhadnout, kolik by to stálo?
21.1.2014 11:32
pavlix | skóre: 54
| blog: pavlix
21.1.2014 12:24
xkucf03 | skóre: 49
| blog: xkucf03
V tomto vlákně se diskutuje případ, kdy útočník chce podvrhnout balíček konkrétnímu klientovi (IP adrese). Kdyby ho podvrhl už na hlavním zrcadle, tak se stejný balíček dostane ke všem ostatním uživatelům – útok sice může být úspěšný, ale je velká šance, že bude (alespoň zpětně) odhalen a bude z toho aféra a bude se to vyšetřovat a přetřásat v médiích.
Vtip byl právě v tom, že útočník pošle balíček jen jedné konkrétní oběti a nikdo jiný se o tom nedozví.
Muselo by se to tedy udělat tak, že by druhý podpis přidával až ten koncový mirror, ze kterého stahuješ – a ty bys jako klient ověřoval, jestli je tento klíč pořád stejný (a ideálně by sis ho poprvé ověřil nějakou nezávislou cestou).
Jenže smysl šifrovaného kanálu není jen v zajištění integrity, ale i v důvěrnosti – proč by měl kdokoli po cestě vědět, jakou používám distribuci, jaké balíčky mám nainstalované, v jakých verzích, kdy jsem naposledy aktualizoval nebo kolik1 mám v síti počítačů? Nechci dělat Security through obscurity, jasně, že by ty systémy měly být navržené tak, aby byly odolné, i když útočník tyhle informace mít bude, ale proč mu to usnadňovat? Čím méně informací bude mít, tím méně budou jeho útoky cílené, bude muset střílet naslepo, zkoušet více exploitů než je nutné – a tím se zvyšuje pravděpodobnost, že jeho útok bude včas odhalen.
[1] pokud nemám vlastní mezipaměť na balíčky na nějaké své proxy, ale každý počítač si sám stahuje, co potřebuje
21.1.2014 15:24
pavlix | skóre: 54
| blog: pavlix
Muselo by se to tedy udělat tak, že by druhý podpis přidával až ten koncový mirror, ze kterého stahuješMáš šanci zdůvodnit, proč by se to tak muselo udělat.
Jenže smysl šifrovaného kanálu není jen v zajištění integrity, ale i v důvěrnosti – proč by měl kdokoli po cestě vědět, jakou používám distribuci,Na to by teoreticky HTTPS smysl měl, pokud tě vůbec něco takového trápí.
jaké balíčky mám nainstalované, v jakých verzích, kdy jsem naposledy aktualizoval nebo kolik1 mám v síti počítačů? Nechci dělat Security through obscurityTo, co popisuješ je jeden z nejtypičtějších případů security through obscurity. Nedělat security through obscurity by čistě technicky znamenalo nedělat ani toto. Na druhou stranu jak sám říkáš, proč té možnosti nevyužít, když je to prakticky zadarmo, proti tomu nic nemám.
21.1.2014 16:22
xkucf03 | skóre: 49
| blog: xkucf03
Máš šanci zdůvodnit, proč by se to tak muselo udělat.
Protože jinak by to nemělo smysl jako opatření proti tomu útoku, o kterém se tu bavíme.
Jestliže může útočník kompromitovat centrální server, kde se vytvářejí a podepisují balíčky, může stejně snadno kompromitovat i centrální mirror. Proto dává smysl, aby to druhé podepisování probíhalo až na koncovém mirroru, který není centrální – je jeden z mnoha. Tzn. pro útok na jednu osobu musíš kompromitovat jeden a pro útok na jinou osobu třeba zase jiný – tím roste šance na odhalení útoku. Další důležitá věc je, že tento mirror bude pravděpodobně provozovaný někým jiným než ty centrální servery – tudíž útočník musí přesvědčit ke spolupráci (nebo napadnout) dva subjekty místo jednoho, i při útoku na jeden cíl.
Dobré by bylo kontrolovat tu integritu jak end-to-end (tzn. uživatel si zkontroluje podpis od centrálního serveru, který balíček vytvořil), tak při každém kroku (každý článek řetězu kontroluje podpis svého nejbližšího mirroru, jestli se od minule nezměnil).
Pak by tam taky mohl být automatický obranný mechanismus – když nebude podpis tvého mirroru sedět, stáhne se balíček i z jiného (otisky jejich klíčů by se pravidelně stahovaly, takže víš, zda jim můžeš věřit) a porovná se jejich obsah – pokud je stejný, tak třeba jen správce tvého mirroru přeinstaloval server a zapomněl o tom ostatním říct, ale pokud se liší, jedná se pravděpodobně o útok, vyvolá se poplach a máš v rukou hned diff toho, co ti chtěl útočník podstrčit.
Přínos vidím v tomhle:
Jinak ale souhlasím, že za tímto účelem je lepší použít GPG podpisy (nebo něco na tom principu), protože je jednak stačí spočítat jednou a pak se už jen kopírují a jednak je to lépe zdokumentované (soubory zůstanou ležet na disku, zatímco síťovou komunikaci se preventivně ukládá málokdo).
Šifrovaný přenos (TLS/SSH) by mohl být jako volitelný doplněk pro ty, kdo nechtějí troubit do světa, které balíčky stahují a co používají.
To, co popisuješ je jeden z nejtypičtějších případů security through obscurity.
Za security through obscurity považuji přístup, který na tu obskurnost spoléhá, což není tento případ – systém by byl navržen jako bezpečný sám o sobě, udělá se maximum pro bezpečnost + se přidá něco jako druhý vodní příkop kolem hradu, který nás nic/moc nestojí, ale útočníkovi ztíží práci v případě chyby v primárním zabezpečení1 nebo zvýší šance na odhalení útoku.
[1] což není omluva pro ty chyby nebo motivace k tomu je dělat, ale chyba se může vyskytnout kdekoli, třeba i ne tak úplně naší vinou
21.1.2014 17:13
pavlix | skóre: 54
| blog: pavlix
21.1.2014 18:58
Stanislav Brabec | skóre: 45
| Praha
Až na to, že mnohem jednodušší vektor útoku je přesně obrácený: Vybranému subjektu nedoručit balík. Třeba bezpečnostní aktualizaci. Proti tomuto útoku žádné podpisy balíčků, serverů a mirrorů neochrání. Jedině podepsaná časová razítka.Přijde na to. Jedna z mála výhod yumího formátu repozitářů je to, že pozná chybějící balíček a metadata jsou podepsaná stejně jako samotné balíčky - tudíž náš MITM může tak leda zadržet všechny aktualizace, a to je při frekvenci fedořích aktualizací hned podezřelé
23.1.2014 17:04
Stanislav Brabec | skóre: 45
| Praha
23.1.2014 17:19
xkucf03 | skóre: 49
| blog: xkucf03
Tady by pomohlo úplně obyčejné TLS/SSH – GPG podpisy se dají posílat staré, ale komunikaci v šifrovaném protokolu nezopakuješ resp. přijde se na to.
23.1.2014 21:10
Stanislav Brabec | skóre: 45
| Praha
22.1.2014 17:28
pavlix | skóre: 54
| blog: pavlix
22.1.2014 17:37
xkucf03 | skóre: 49
| blog: xkucf03
Když už ale tahle situace nastane (bezpečnostní chyba + neaktualizovaný balík u oběti), tak ji útočník může zneužít hned – oddálení aktualizace toho zas tak moc nezíská. Jasně, mohl by si trochu připravit půdu, promyslet útok… ale nepovažuji to za natolik významné – když už může ovlivňovat činnost balíčkovacího systému, tak mi nebezpečnější přijde podstrčení vlastního balíčku (kterým se dá napadnou i jinak zcela bezpečný a aktualizovaný systém).
(bezpečnostní chyba + neaktualizovaný balík u oběti), tak ji útočník může zneužít hnedZa předpokladu známé chyby a využitelného existujícího (nebo napsatelného) 0day exploitu. Což je trochu neobvyklá situace. Buď bývá chyba sama o sobě nezneužitelná, nebo se ohlašuje až s aktualizací.
mi nebezpečnější přijde podstrčení vlastního balíčku (kterým se dá napadnou i jinak zcela bezpečný a aktualizovaný systém).Tady je fajn ten atomický formát metadat ala yum, kde je těžké takový balíček podstrčit někomu cíleně.
Za předpokladu známé chyby a využitelného existujícího (nebo napsatelného) 0day exploitu. Což je trochu neobvyklá situace. Buď bývá chyba sama o sobě nezneužitelná, nebo se ohlašuje až s aktualizací.ehm, a) chyba ohlášená != známá tomu, kdo by ji chtěl zneužít b) nebyla snad řeč o tom, že sice aktualizace může být vydána, ale systém ještě není updatovaný? (tedy jde jen o délku časového okna)
21.1.2014 22:39
xkucf03 | skóre: 49
| blog: xkucf03
Stále si ale myslím, že pokud tam budou dvě úrovně podpisu, tak by měly být dále od sebe (ne oba podpisy na centrálních serverech). Tzn.
centrální tvorba a podepisování balíků → centrální/hlavní mirror → další mirror a druhý podpis → proxy → uživatel
A to HTTPS se tak úplně nevylučuje – nemůže to být sice klasická HTTPS proxy (ta by musela jen předávat šifrované pakety a neviděla by dovnitř → nemohla kešovat), ale mohl by to být HTTPS server na nějaké vlastní doméně, který přijímá požadavky, obhospodařuje mezipaměť a co v ní nemá, na to se zeptá mirroru, opět po HTTPS. (v podstatě jako MITM útok, ale v tomto případě je to chtěné chování)
Stále si ale myslím, že pokud tam budou dvě úrovně podpisuDokud nejsou v různých nespolupracujících jurisdikcích, je to stále efektivně jedna bezcenná úroveň podpisu, protože kryptoanalýza úředním dopisem je holt silnější.
21.1.2014 23:38
xkucf03 | skóre: 49
| blog: xkucf03
I když bude jedna v USA a druhá v ČR, tak je to lepší než nic. Kromě toho můžou být zrcadla i v dalších zemích – jsou sice daleko, ale mohly by se z nich stahovat třeba jen kontrolní součty/podpisy pro ověření.
A vůbec by to mohlo být víc jako Torrent než jako kaskáda HTTP serverů/proxy/mirrorů
22.1.2014 17:30
pavlix | skóre: 54
| blog: pavlix
21.1.2014 15:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
[2] dokážete někdo odhadnout, kolik by to stálo?Na HTTPS je nejdražší handshake a protože balíčky se většinou stahují ve větší dávce, tak by to mělo být v pohodě.
[2] dokážete někdo odhadnout, kolik by to stálo?IIRC když Google začal vynucovat SSL na gmailu, tak říkali, že to na využití CPU nemělo moc velký vliv (něco jako +10%)
Ale já furt nechápu, jak se liší „pushněte na IP 127.335.21.47 tento kód“ a „až se IP 127.335.21.47 připojí, dejte jí tento balíček“.krom toho, že 127.335.21.47 se nepřipojí
tak v prvém případě jdeš za jedním subjektem, v druhém případě buď musíš jít za dvěma, anebo tomu druhému ukrást klíče, viz výše; navíc ten druhý obvykle nespadá do české jurisdikce, jak se tu řeší okolo
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
