не в опенсорс об этом баге может быть вообще никогда не узнали бы или узнали бы спустя лет десять
А, собственно, кто сказал, что (в общем случае) это плохо? Ведь, если блюмберг нам не врет и АНБ действительно знало о heartbleed и успешно эксплуатировало ее в течении нескольких лет (http://www.theverge.com/2014/4/11/5605444/the-nsa-has-exploited-heartbleed-bug-for-years-bloomberg-reports), то сразу возникают настолько же неудобные для сторонников защищенности опенсорса, насколько и риторические вопросы: а откуда АНБ о ней узнало и насколько вероятно то, что такая же участь постигла бы какой-либо аналогичный продукт с закрытым исходным кодом?
Ну и обобщая: благодаря чему у АНБ не будет затруднений с получением 0-day для в т.ч. открытых проектов, которые им давеча официально разрешил использовать их верховный афроамериканский вождь (http://www.securitylab.ru/news/451522.php)? Есть желающие выступить на стороне опенсорса и обеспечить баланс светлых и темных сил, уводя из под носа АНБ все вкусные уязвимости? Или я не там спрашиваю и те пресловутые миллионы пар глаз сосредоточены где-то в другом месте, а не на форумах разработчиков?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>а откуда АНБ о ней узнало и насколько вероятно то, что такая же участь постигла бы какой-либо аналогичный продукт с закрытым исходным кодом?
Насколько я помню, уже довольно давно поднимался вопрос о возможности внедрения бэкдоров в опенсорс. И все красноглазики в один голос доказывали, что этого не может быть, потому что не может быть никогда.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ну и обобщая: благодаря чему у АНБ не будет затруднений с получением 0-day для в т.ч. открытых проектов, которые им давеча официально разрешил использовать их верховный афроамериканский вождь (http://www.securitylab.ru/news/451522.php)? Есть желающие выступить на стороне опенсорса и обеспечить баланс светлых и темных сил, уводя из под носа АНБ все вкусные уязвимости?
Да. Исходники Винды доступны для NSA. Ты думаешь, что они не знают про уязвимости там?
Здравствуйте, kleng, Вы писали:
C>>Да. Исходники Винды доступны для NSA. Ты думаешь, что они не знают про уязвимости там? K>Исходники OpenSSL доступны тому же NSA, а так же широчайшему кругу лиц различной степени злонамеренности.
Это значит, что дырки всплывут, скорее всего, через whitehat-компании.
Здравствуйте, kleng, Вы писали:
C>>Это значит, что дырки всплывут, скорее всего, через whitehat-компании. K>Когда-нибудь, после неопределенного периода использования by black hats.
Возможно. Но точно так же black hats могут найти дырки в бинарных компонентах или в стыреных закрытых исходниках. Причём у них будет намного меньше мотивации эти дырки раскрывать публично.
Здравствуйте, kleng, Вы писали:
C>>Возможно. Но точно так же black hats могут найти дырки в бинарных компонентах или в стыреных закрытых исходниках. K>Точно так же, как и white hats.
То есть?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV> сразу возникают настолько же неудобные для сторонников защищенности опенсорса,
я вас умоляю. откомпилируйте старого лиса новым компилятором. ошибки переполнения обнаруживаются как на стадии компиляци, так и в райнайте на стадии иницилизации (то есть при запуске). причем эти версии все еще используются в различных дистрах линуха. таким образом, мы точно знаем где дыра (компилятор пальцем показал) и знаем какие дистры какого лиса используют. так же нам известно, что далеко не все пользователи линуха в обязательном порядке скачивают самые свежие версии дистров и уж точно далеко не все обновляют лиса, а старые версии лиса вообще никак не обновляются.
самое интересное, что никто толком не знает кому бить яйца. разработчики лиса поддерживают _некоторые_ ветки старых версий, поскольку они все еще в строю, но делают это в состоянии гробового молчания. в принципе, можно сходить на репы и посмотреть на даты последних правок, что как бы намекает на. но официально старые версии не поддерживаются и вам рекомендуют пользоваться версиями первой (в крайнем случае второй) свежести. но как ими пользоваться, если на старом дистре для этого нужно обновлять 100500 библиотек и не факт, что ранее установленные пакеты не отвалятся и ничего не поломается?
если сходить на cvedetails, то можно обнаружить, что дыр в опенсурсе примерно столько же сколько и в закрытом софте. кстати, о закрытом софте. как вам нравится дыра в ms office с рекомендацией ms отключить поддержку rtf для предотвращения атаки на время пока ms работает над патчем? они бы еще сказали отправить всех в неоплачиваемый отпуск и не включать компьютер.
а как вам нравится атака на видеокамеры (arm, linux), которых добрые хакеры напрягли майнингом битконов, используя пароль по умолчанию, который далеко не все пользователи этих самых камер поменяли? это не проблема опенсурса, но жертвам атаки от этого не легче.
ЗЫ. сегодня получил от банка письмо. в письме говориться, что если у вас пропали деньги со счета, то их возместит страховая. до $100k вернут все, что было. а кто хранил больше $100k в одном банке... shit happens. впрочем, этим сейчас занимается FBI и US Secret Service, так что шансы на возврат средств, превышающих $100k, все-таки есть. но по имеющимся у меня данным, среднестатистические потери не превышают сотни баксов на рыло. банки подсуетились и все подозрительные транзакции на значительные суммы проводили только после звонка клиенту войсом.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А, собственно, кто сказал, что (в общем случае) это плохо? Ведь, если блюмберг нам не врет и АНБ действительно знало о heartbleed и успешно эксплуатировало ее в течении нескольких лет (http://www.theverge.com/2014/4/11/5605444/the-nsa-has-exploited-heartbleed-bug-for-years-bloomberg-reports), то сразу возникают настолько же неудобные для сторонников защищенности опенсорса, насколько и риторические вопросы: а откуда АНБ о ней узнало и насколько вероятно то, что такая же участь постигла бы какой-либо аналогичный продукт с закрытым исходным кодом?
Если вспомнить, какие люди работают в подобных структурах, то наоборот становится удивительным, что они нашли и эксплуатировали эту дырку в опенсурсе. Более логичное и естественное их поведение пригласить директора конторы некоего проприетарного софта к себе в контору (или самим в гости зайти) и попросить сделать для них бэкдуру в их софте.
Здравствуйте, Vzhyk, Вы писали:
V>Если вспомнить, какие люди работают в подобных структурах, то наоборот становится удивительным, что они нашли и эксплуатировали эту дырку в опенсурсе. Более логичное и естественное их поведение пригласить директора конторы некоего проприетарного софта к себе в контору (или самим в гости зайти) и попросить сделать для них бэкдуру в их софте.
Здравствуйте, a_g_99, Вы писали:
__>Вы штаты с белорусь перепутали.
Хочешь сказать, что в РБ земляне живут, а в штатах марсиане? Люди за земном шарике ну очень похожи, а если еще и деятельность одинаковая, то как "близнецы-братья".
Генерал российской армии будет больше похож на генерала американской армии, чем на российского программиста, тоже и к сотрудникам спецслужб относится.
Здравствуйте, Vzhyk, Вы писали:
V>Если вспомнить, какие люди работают в подобных структурах, то наоборот становится удивительным, что они нашли и эксплуатировали эту дырку в опенсурсе. Более логичное и естественное их поведение пригласить директора конторы некоего проприетарного софта к себе в контору (или самим в гости зайти) и попросить сделать для них бэкдуру в их софте.
не в опенсорс об этом баге может быть вообще никогда не узнали бы или узнали бы спустя лет десять
KV>А, собственно, кто сказал, что (в общем случае) это плохо?
Чтобы оценивать, надо знать как оценивать. Что такое хорошо и что такое плохо?
С точки зрения криптоанализа взломщик секрета может (и должен) знать все кроме секрета. В другом виде задача взлома не имеет смысла. Поэтому опенсорс чуть ближе к правильной постановке задачи, тем самым можно более точно оценить защищенность.
Кстати все эти конкурсы по взлому неизвестной закрытой программы, сервиса, трафика и тп выглядят как рекламная акция и не более.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вообще-то, у АНБ один из крупнейших исследовательских центров (http://www.nsa.gov/research/ia_research/index.shtml). В частности SELinux (привет использующим ядра с ним дистрибутивам linux, android 4.3+ и т.д.) является их разработкой (http://www.nsa.gov/research/selinux/). Да и активное участие АНБ в проекте NVD (https://nvd.nist.gov/) как бы намекает.
Молодцы они. Круты. Ну и ты сам привел факт, что они сами же и являются разработчиками одного из Линухов и грешно им не делать бэкдуры. Но, я писал немного о другом, о том, что никто им не может помешать предложить конторе самой сделать бэкдур в проприетарном софте для них.
Остался только один нюанс. В опенсурсном есть шанс, что кто-то когда-то засунет нос и поднимет скандал, а вот для проприетарного и такого шанса нет.
не в опенсорс об этом баге может быть вообще никогда не узнали бы или узнали бы спустя лет десять
KV>А, собственно, кто сказал, что (в общем случае) это плохо? Ведь, если блюмберг нам не врет и АНБ действительно знало о heartbleed и успешно эксплуатировало ее в течении нескольких лет (http://www.theverge.com/2014/4/11/5605444/the-nsa-has-exploited-heartbleed-bug-for-years-bloomberg-reports), то сразу возникают настолько же неудобные для сторонников защищенности опенсорса, насколько и риторические вопросы: а откуда АНБ о ней узнало и насколько вероятно то, что такая же участь постигла бы какой-либо аналогичный продукт с закрытым исходным кодом?
KV>Ну и обобщая: благодаря чему у АНБ не будет затруднений с получением 0-day для в т.ч. открытых проектов, которые им давеча официально разрешил использовать их верховный афроамериканский вождь (http://www.securitylab.ru/news/451522.php)? Есть желающие выступить на стороне опенсорса и обеспечить баланс светлых и темных сил, уводя из под носа АНБ все вкусные уязвимости? Или я не там спрашиваю и те пресловутые миллионы пар глаз сосредоточены где-то в другом месте, а не на форумах разработчиков?
АНБ само заинтересовано в секьюрной ОС для своих компьютеров. Или у них только коммерческий Юникс?
За всеми не уследишь. Следят выборочно за ключевыми персонами. Хорошо иметь лазейку в ОС такой персоны. Или проще воспользоваться магией и прочитать секрет прямо в мыслях подозреваемого?