Откриха огромна дупка в отворения код...

Теми, ориентирани и свързани с Unix (Linux, FreeBSD и други).

Откриха огромна дупка в отворения код...

Покажи връзката към това мнениеот PaoloGEMINIakaOZIRIS » 28.05.2008г. в 15:23ч.

Проблемът е заложен още през май 2006 година, когато работещите по проект за сигурност са допуснали тежка грешка.


Благодарение на критиката, която отнесе за операционна система Windows, софтуерният гигант Microsoft отбелязва значителен напредък в областта на сигурността на своите продукти. И макар Vista да е критикувана за различни неща, то трябва да се признае, че тя е много по-сигурна от Windows XP, писа dailytech.com в статия със заглавие "NEW! Huge Hole in Open Source Software Found, Leaves Millions Vulnerable".

Изображение


Наскоро хакерска конференция разкри колко уязвими са системите, използващи Mac OS X, което се дължи на бавното темпо, с което се пускат пачове за тях. На събитието Mac машината е била похитена за само 10 минути, докато тези с Linux и Windows оцеляли през целия ден.

Наскоро хакерска конференция разкри колко уязвими са системите, използващи Mac OS X, което се дължи на бавното темпо, с което се пускат пачове за тях. На събитието Mac машината е била похитена за само 10 минути, докато тези с Linux и Windows оцеляли през целия ден.

Сега обаче страшен пробив в сигурността е открит в основния код, използван в различни Linux програми. Проблемът е заложен още през май 2006 година, когато работещите по проект за сигурност с отворен код допуснали изключително тежка и неосъзната грешка.

Един елементарен пропуск е намалил ентропията в генерираните програмни ключове, създавани от библиотеката OpenSSL. Защо това е важно? Генерирането на ключове се използва от програмата за дистанционен достъп SSH, от IPsec VPN, Apache Web сървър, сигурни имейл клиенти и др.

Само две реда код са създали изключително сериозни дупки в сигурността на четири различни операционни системи с отворен код, 25 приложения и милиони свързани с Мрежата компютърни системи. Уязвимостта бе обявена публично на 13 май, след като е съществувала цели две години.

Вече е пуснат пач, но той не може да направи нищо, за да поправи щетите, настъпили в компрометираните системи. Още по-лошо, оказва се, че чрез инсталацията на компрометирани ключове на други системи е много вероятно някои от системите, които дори не използват кода, също да са компрометирани.

В една мрежа всеки може да види трафика, което е лоша новина за този, който споделя лична или секретна информация. Използвайки ключове обаче, данните могат да бъдат криптирани и след това декриптирани от другата страна в приятелския компютър чрез употребата на подходящи ключ. Имайки предвид, че “ключът за сигурност” е обикновено 128 бита, което е равно на 2 на степен 128 комбинации, то възможността за разбиване на ключа само с “груба сила” е нереална.

Въпреки това, системата се разпада, ако компютърът може да произвежда само малки групи от ключове, независимо какъв е размерът на големия ключ. При нормален потребител ключът изглежда наред, има подходящ размер и данните биват криптирани и изпращани. Но при засегнатия потребител, хакерите могат да използват атаки с груба сила, за да познаят ключа и да отварят широка врата в сигурността. Точно това е резултатът от новооткритата грешка.

Грешката намалява броя на ключовете, които Linux може да генерира, от 2 на степен 128 на приблизително 2 на степен 15. Досега тя не е била открита, защото ключовете все още са били по 128 бита, а за човешкото око това изглеждало случайно. Ако системата постоянно е произвеждала един ключ, проблемът щял да бъде уловен, но вместо това, тя произвеждала разнообразие от ключове, но много по-малко по обем разнообразие. Броят на ключовете, които системата може да генерира, варира в зависимост от процесора, размера на ключа и вида му, но всички ключове, използващи грешния код, са сериозно намалени като брой от възможни вариации.

Поправянето на проблема с ключовете не е толкова просто. Тъй като ключовете са генерирани в актуалните файлове в компютъра, самото пачване на системата няма да промени тези файлове. Нужно е всеки ключ да бъде заменен, което представлява труден и дълъг процес. Допълнителните ключове трябва да бъдат сертифицирани и разпространени, което отнеме още повече време, а може да възникнат и грешки.

Debian, Linux вариантът, който се използва най-много от специалистите по сигурност, както и Ubuntu, най-използваната от потребителите дистрибуция на Linux, са сред засегнатите от проблема програми. Нещо повече, Windows сървърите може да са компрометирани, ако използват ключове, генерирани в Linux системи.

Ироничното в случая е, че грешката е възникнала от автоматичния инструмент Valgrind, който има за цел да намалява програмните грешки, водещи до уязвимости в сигурността.

Експертите от www.linux-bg.org коментираха в сайта си, че не става дума за "страшен пробив в сигурността”, открит в основния код, използван в различни Linux програми по света, а само за OpenSSL пакета за Debian дистрибуцията и нейните деривати, като Ubuntu например.

“Ако не използвате OpenSSL или програми, които използват възможностите на OpenSSL за генериране на SSH ключове, OpenVPN, DNSSEC ключове или ключове за използването им при създаване на X.509 сертификати, то няма за какво да се притеснявате. Ако обаче използвате и обновявате съвестно вашата Debian или Debian базирана дистрибуция, трябва да знаете, че този пропуск е отстранен”, консултира linux-bg.org.

Проблемът накратко се състои в това, че ключовете, които са създадени, са много лесни за отгатване - нещо, на което криптографията разчита да не е така, и ги прави на практика неизползваеми, посочват още българските Linux експерти.

Източник: technews.bg / 25.05.2008г.
Apple Mac (2007) with OS X : 10.6.8
Apple AirPort Express 802.11n Wi-Fi
How Addicted to APPLE Are You?
Apple iPod 5G Classic - 30GB / firmware 1.3 / Black
Apple iPhone 4 - 16GB / iOS 7.1.2 / Black (unlocked)
...An APPLE a day, keeps WINDOWS away !!!

NB!!! : People, Hard DRUGS & HOUSE-music SUCKs;)
Аватар
PaoloGEMINIakaOZIRIS
 
Съобщения: 602
Години: 16
Регистриран: 23.12.2007г. в 15:18ч.
Град: Plovdiv/Bulgaria
Пол: Мъжки
В момента: 512-ти атомен реактор на непостроената АЕЦ Белене

Re: Откриха огромна дупка в отворения код...

Покажи връзката към това мнениеот apsis » 28.05.2008г. в 16:01ч.

Никога не съм вярвал Windows да е на върха на класацията за най-сигурна операционна система....
Все пак обаче, въпреки, че използвам OpenSSL на Debian сървър, не се притеснявам защото през Apache трудно ще ме пробият а за SSH-а съм се подсигурил с няколко кратки реда в Iptables, което всеки може да направи.
Все пак, Linux винаги, ще е достатъчно лесен и и гъвкав достатъчно, за да можеш да си уверен в сигурността на данните си :)
Изображение

Изображение
Аватар
apsis
Поддръжка
Поддръжка
 
Съобщения: 147
Години: 30
Регистриран: 9.11.2007г. в 16:34ч.
Град: Русе

Re: Откриха огромна дупка в отворения код...

Покажи връзката към това мнениеот stylius » 28.05.2008г. в 16:50ч.

Голям праз, открили критична дупка в Linux. През месец ги откриват за Windows, вече дори на никой не му прави впечатление.
Изображение
Изображение
Изображение
Аватар
stylius
 
Съобщения: 853
Регистриран: 10.02.2006г. в 12:09ч.

Re: Откриха огромна дупка в отворения код...

Покажи връзката към това мнениеот root » 28.05.2008г. в 17:21ч.

Сега много е интересно. Хем има проблем, хем и го няма.

Обяснявам. Навремето софтуер за проверка на отворени кодове при проверката на един файл показал някакво предупреждение. И програмиста взел че ги закоментарил тези редове с предупреждението - така че повече предупреждения е нямало. НО! Тези редове са за генерирането на двойката ключове публичен/частен.

Сега - какъв е проблема ключовете от 2^128 са били ограничени само до 2^15 което не е кой знае какъв проблем. Проблема е само че стават по-лесно уязвими и е в състояние да се реализира атака тип "човек-по-средата" (Man-in-the-middle) когато някой въоръжен с инструментариум намиращ се по средата на комуникационната линия да прихване и ДЕКОДИРА (!!!) сесията.

НО! На теория е лесно, но практиката е доста трудна. Отделно уязвимостта е само на Debian и неговите събратя. Т.е. останалите дистрибуции не са уязвими.

За жалост - използвам САМО Debian. Някой иска ли да ме хакне?
mobilio - професионални мобилни приложения
Аватар
root
Елитен потребител
Елитен потребител
 
Съобщения: 2642
Регистриран: 25.07.2004г. в 23:04ч.
Град: 1d10tl@nd
Пол: Мъжки

Re: Откриха огромна дупка в отворения код...

Покажи връзката към това мнениеот PaoloGEMINIakaOZIRIS » 29.05.2008г. в 01:37ч.

Да разбира се, Че кой не иска да те хакне ей така за спорта... :LOL: дедо Руут-ере! :innocent:

:P

П.П. Евала бат' Петлешев, ей такива коментари искам да виждам от теб... дълги и изЧерпателни, а не с по два-три реда, както обикновенно правиш. ;)
Apple Mac (2007) with OS X : 10.6.8
Apple AirPort Express 802.11n Wi-Fi
How Addicted to APPLE Are You?
Apple iPod 5G Classic - 30GB / firmware 1.3 / Black
Apple iPhone 4 - 16GB / iOS 7.1.2 / Black (unlocked)
...An APPLE a day, keeps WINDOWS away !!!

NB!!! : People, Hard DRUGS & HOUSE-music SUCKs;)
Аватар
PaoloGEMINIakaOZIRIS
 
Съобщения: 602
Години: 16
Регистриран: 23.12.2007г. в 15:18ч.
Град: Plovdiv/Bulgaria
Пол: Мъжки
В момента: 512-ти атомен реактор на непостроената АЕЦ Белене


Назад към Unix

Активни потребители

Потребители разглеждащи този подфорум: 0 регистрирани и 1 гост