Citat:
Dejan Lozanovic: Jel imas mozda neki link da potvrdis tu cinjenicu, ajmo ovako svaki programer pravi greske prilikom kodiranja i tu mislim da nema dileme, znaci ako jedan progarmer radi na closed source ili open source aplikaciji on ce isti broj bugoav napraviti u jednom programu bez obzira pod kojom licencom je izbacio taj program.
Ustvari je trebalo pisati
potencijalno exploitabilnih bugova i u tom kontekstu ta odokativna procjena stoji 100%. Tko ne vjeruje neka malo šara po bugtraq listama.
Citat:
Ono sto su razlike open source programe mogu da vide i ostali ljudi i da pogledaju ispod haube kako program radi pa samim tim i da nadju greske koje je programer napravio
Opet fama o milijunima programera koji auditaju tuđi kod.
Kako to da svako malo se nađe neki opskurni bug koji nitko nije primjetio 5-6 godina i čija bi eksploatacija bila virutalno nemoguća da nije dostupan izvorni kod? (kao npr. ovaj nedavni uselib()).
Citat:
, e sada osoba koja je nasla bug moze da ...
c) iskoristi bug tako sto ce napisati exploit
Što se obično i radi. Čak i nakon što je bug otkriven. To što je patch napisan to
nužno ne znači da je problem riješen, jer kao što rekoh 100 puta, problem je riješen kad
svaki korisnik zakrpi
svaki ranjivi program.
Savršen primjer su DCOM RPC i LSASS exploiti za koje su crvi napisani
nakon što je MS objavio patch. Dakle, problem je u inertnosti korisnika.
Citat:
Kako vise ljudi to moze slobodno da gleda samim tim i varijanta da ce se desiti a) ili b) su daleko vece
Oh really. Po toj teoriji 0day ne bi smjeli ni postojati. A postoje. Puno njih.
Citat:
sa druge strane kod closed source aplikacija da bi gledao neciji program prinudjen si da ga disaembliras, a onaj ko se baci na takav poduhvat sigurno mu nije u interesu da radi b) varijantu dok je a) nemoguce.
Pod b) rade MS-ove security konzultatnske firme i partneri, i svatko tko želi prijaviti bug može popuniti online forumular i poslati ga, a za pod a) vjerovao ili ne, postoje i 3rd party patchevi za rupe u win.
Kakav divan primjer kognitivne disonancije, psiholozi bi bili zadivljeni...
Citat:
Odakle ti ta statistika o broju bagova?
Rekoh, odokativno, jer open source projekti puno više teže broju exploitabilnih bugova zbog toga što ih je više ljudi u stanju tražiti. Nije bitno koliko koja platforma ima bugova, ionako su vjerojatno tu negdje, poanta je da je
100 puta lakše naći bug u open source programu.
Recimo ovi
baš otkriveni problemi sa fd_set strukturom, pogle listu ranjivih programa:
Code:
Affected:
gnugk 2.2.0 (confirmed, fixed by vendor)
gnugk is OpenH323 Gatekeeper - The GNU Gatekeeper
http://www.gnugk.org/
jabber 1.4.1 (tested, confirmed)
jabber is "the Linux of instant messaging" -- an open,
secure, ad-free alternative to consumer IM services
like AIM, ICQ, MSN, and Yahoo
http://www.jabber.org/
bnc 2.8.4 (tested, confirmed, DoS only)
BNC is an IRC (Internet Relay Chat) proxying server
http://www.gotbnc.com
socks5 1.0r1 (untested)
socks5 is SOCKS v5 application layer gateway and clients
socks5 is unsupported, contact your package distributor
citadel 6.27 (untested)
Citadel is flexible, powerful, community-oriented groupware
http://uncensored.citadel.org/citadel/
dante 1.1 (tested, confirmed)
Dante is a circuit-level firewall/proxy (socks implemented)
http://www.inet.no/dante/
rinetd 0.62 (untested)
rinetd is a simple TCP port redirector
is unsupported, contact your package distributor
bld 0.3 (limited, untested)
bld is a blacklisting daemon
http://www.online.redhate.org/bld/
3proxy 0.4 (limited, tested, fixed by vendor)
3Proxy is a really tiny cross-platform (Win32&Unix) proxy
servers set
http://www.security.nnov.ru/soft/3proxy
Kako ih naći još. Pa grep-aš...
BTW Na win ovo ne radi :>
Lakoća traženja bugova i naprednost exploitanja na *nix su samo potvrda inheretno nesigurne arhitekture i tradicije korištenja type-unsafe jezika (C),
Citat:
Čitao sam i o istraživanjima sa sasvim suprotnim ishodom.
Daj link.
Citat:
osim da je to potpuno normalna stvar. Ne, to je propust projektanata, i oni teže eliminisanju takvih stvari.
Htio sam ti samo reći da ništa nije nemoguće. Pa i premostiti NTFS sigurnosne mehanizme.
Citat:
Ti znači porediš diferencijalni račun sa dvoklikom! To dakle važi i za teoriju relativnosti (opštu i specijalnu) i Mendeljejevljev periodni sistem itd. Sve je to banalno!? Znaš li ti koliko je moralo da bude uloženo truda da bi se došlo do toga da bi ti neke od tih stvari mogao da učiš u školi servirane na tacni?
To je ili
a) previše banalno
b) previše općenito
da bi se moglo patentirati. To što netko sutra patentira teoriju relativnosti to ne znači da on ima pravo na sudu tražiti lovu za svaki znanstveni rad koji je koristi. Naravno da takve stvari neće proći.
Opet, to ne znači da ako ja uložim puno $ u istraživanje neke tehnologije da nemam pravo patenta na nju na neko ograničeno vremensko razdoblje.
Citat:
...kvaliteta procesa testiranja...
Pričaj nam kako se testiraju open source programi...korisnici sami šalju programerima liste bugova..ccc. Smiješno.