LINUX.ORG.RU

Re: Троян в поставке OpenSSH

>>>> qrot (*) (2002-08-02 16:32:04.266)

я бы еще хотел спросит в догон, а сколько народу вообще читают исходники???
ответ - 0.0001%

anonymous ()

Re: Троян в поставке OpenSSH

2Ogr

>It does not matter how they found the trojan. >Even MD5 has nothing to do with source availability.

Exactly. The point was that you haven't read the article and made a claim that it illustrated your theory of uselessnes of having the source code in security matters.

> Just imagine for a second that a hacker replaced the checksum. >Nobody will ever noticed the trojan existance >The source availability actually was the reason the trojan made in >the package in the first place.

That's an interesting point. It all boils to to the trust you put into corporate/free software. With the advent of the Operation TIPS (http://www.citizencorps.gov/tips.html) and the PATRIOT Act (http://www.eff.org/Privacy/Surveillance/Terrorism_militias/20011031_eff_usa_p...) I can imagine corporate entity striking a deal with the US goverment and actually adding a backdoor in their software. The one you'll not be able to fix at all.

While the above is still just a possiblity which has not occured yet, there are actual cases of trojans in the commercial software. I suppose you heard about the Audiogalaxy forwarding all your web forms input in your browser to one of their servers (http://www.wired.com/news/technology/0,1282,49960,00.html).

Having the source at least gives an opportunity for the knowledgeble people to fix the problem and not depend on sometimes slow corporate production cycle. Indeed, the software has to have an active maintainer be it an individual or a corporation in order to address all possible issues. Having the code adds extra security. Fortunately, both conditions hold true for many OSS projects. Fortunately, there are commercial companies that fix security problems fast. >So? Remember there is a big difference between letting know about a >flaw and explain how to exploit that flaw.

You have to demostrate the exploit in order to show your claims are not bogus. Otherwise you, for example, get fake "security annoucements" like "there's a gaping root hole in Apache, everyone shut it down!". And then Apache team says "Well, we know nothing about the hole" and you are left wondering if the hole is actually there.

>But again these two cases are completely unrelated and I stumble to >understand why you ever mentioned it.

Because HP did nothing to fix the hole even when knew they about it prior to the publication of the exploit. Had the source code been available there would have been a possibilty of fixing the error much earlier. Btw, HP realized the ridiculosness of the situation today, dropped the DMCA threats and promised to publish the fix in 48 hours (http://news.com.com/2100-1023-947740.html)

2All

Sorry for using English.

anonymous ()

Re: Троян в поставке OpenSSH

> While the above is still just a possiblity which has not occured yet, there are actual
> cases of trojans in the commercial software. I suppose you heard about the Audiogalaxy
> forwarding all your web forms input in your browser to one of their servers
> (http://www.wired.com/news/technology/0,1282,49960,00.html).

Точно! Другая история, сразу всплывающая в уме, --- backdoor в InterBase, который сразу нашли после открытия исходников!

anonymous ()

Re: Троян в поставке OpenSSH

> сколько народу вообще читают исходники???

Очень много, более того, существуют целые группы, зарабатывающие аудитом исходного кода открытых проектов (и результаты их деятельности также открыты, ибо скрывать их нет смысла). Плюс огромное число программистов, просто пользующихся данными продуктами или `дергающих' из них код для своих проектов. Лично я постоянно читаю исходники, просто потому, что часто имею желание добавить к готовому инструменту нужную мне функцию.

> ответ - 0.0001%

Ответ неверный. Не суди всех по себе. Если ты сам ходишь пешком, то это не означает, чтто в мире не существует автомобилей.

anonymous ()

Re: Троян в поставке OpenSSH

> Чего нельзя сказать о Windows, на которую хочешь-не хочешь, а приходится ставить неподписанные бинарники, например, с новыми драйверами.

Ну да, а NVidia уже открыла исходники для своих драйверов?

Да и в чем проблема с RPM - скомпилировал пакет (пусть даже GPL), исходников не выложил - хочеш ставь, не хочешь не ставь. В случае чего - виноваты хакеры.

anonymous ()

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-02 18:05:49.004): кто, какие группы программистов осуществляют аудиторскую проверку ядра линукса, фряхи, других опенсорс ОС, gcc, OpenSSH, OpenSSL и прочего добра? почему эти группы (если они существуют) пропустили этот троян, недавние ошибки в PHP, ошибку в zlib?

qrot ()

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-02 17:14:46.07): "The point was that you haven't read the article and made a claim that it illustrated your theory of uselessnes of having the source code in security matters"
Еще раз повторю: трояна заметили не потому что кто-то смотрел в исходники. Даже если ты прав, то трояна заметили из-за того что сравнили md5, т.е. не заглядывая в исходник, и если бы там был зараженный бинарник, то его md5 то же была бы нарушена, т.е. наличии исходного текста, ни как не повлияло на нахождения этого трояна. Мало того зараженным был только исходный код, а бинарник был нормальный.
"I can imagine corporate entity striking a deal with the US goverment and actually adding a backdoor in their software. The one you'll not be able to fix at all"
И знаешь где эта контора будет после этого? В суде выплачивать деньги по class-action suit. Не надо видеть чертей в каждом углу. Тем более что если замаскировать бэкдор ты его не в жизнь не найдешь.
"Having the source at least gives an opportunity for the knowledgeble people to fix the problem "
Вот только самые рьяные искатели дыр не среди тех кто фиксят проблемы, а среди тех кто ими пользуются, и давая им исходники ты по сути дела открываешь дверь в свой компьютер всем желающим.
"You have to demostrate the exploit in order to show your claims are not bogus"
Ага и продемонстрировать его можно представителям компании стребывав с них waiver. А если они не хотят это фиксить, то можно просто говорить на каждом углу об этой ошибке и они не чего с тобой сделать не смогут, только если поятщут тебя в суд, но и там суд может тебя обяхать доказать что ошибка существует и в результате они сядут в лужу.
""there's a gaping root hole in Apache, everyone shut it down!"."
Ты можешь сказать где дыра, но не показать как её использовать.
"Because HP did nothing to fix the hole even when knew they about it prior to the publication of the exploit"
Ну и что? Это только показывает как эта комапния заботится о покупателях, демонстрировать дыру и подвергать опасности других людей у тебя нет ни какого права. Представь, что кто-то нашел пробелму в серии дверных закмков и так случилось, что один из этих замков у тебя стоит. Человек сообщил об этой дыре производителю, но производитель не откликнулся, а потом этот же человек рассказал как его можно вхломать, и на следующий день к тебе забрались воры воспользовавшись этой проблемой и вынесли все из дома. Я так понимаю ты будешь только поддерживать действия того глашатая...
2anonymous (*) (2002-08-02 17:47:48.161): "backdoor в InterBase, который сразу нашли после открытия исходников"
Ага сразу. ШЕСТЬ МЕСЯЦЕВ УШЛО НА НАХОЖДЕНИЕ ПАРОЛЯ НАПИСАННОГО ОТКРЫТМ ТЕКСТОМ. Еще раз повторою ШЕСТЬ МЕСЯЦЕВ. А если бы это была бы зашифрованная дыра? Ушло бы и шесть лет. Чему дыры в ядрах 2.2 и иштв живших годами тому подверждение.

Ogr ()

Re: Троян в поставке OpenSSH

2Огр

>Еще раз повторю: трояна заметили не потому что кто-то смотрел в исходники. >Даже если ты прав, то трояна заметили из-за того что сравнили md5, т.е. >не заглядывая в исходник, и если бы там был зараженный бинарник, то его >md5 то же была бы нарушена, т.е. наличии исходного текста, ни как не >повлияло на нахождения этого трояна. Мало того зараженным был только >исходный код, а бинарник был нормальный.

Повторюсь: трояна _убрали_ за 6 часов благодаря наличию исходников. Согласен, ституация забавна тем, что благодаря наличию исходников троян появился. В случае с Аудиогалакси (о котором ты предпочёл забыть) такая бытрая реакция была бы невозможна в принципе. Моё утверждение заключается в том, что наличие исходников -- это не панацея от всех проблем компьтерной безопасности, а хорошее подспорье в быстром реагировании на обнаруженную произвольным способом дыру.

>И знаешь где эта контора будет после этого? В суде выплачивать деньги по >class-action suit. Не надо видеть чертей в каждом углу.

Ссылки мои посмотри. Там речь о легальном прослушивашивании телефонных линий без судебного ордера итд. Эти документы -- демонстрация недавних тенденций. Но бог с ним.

Про Аудиогалакси ты, конечно, благополучно забыл. Там их не засудили, т.к. все благополучно соглашались на всю эту дрянь, нажимая ОК под огромной EULA.

>Тем более что >если замаскировать бэкдор ты его не в жизнь не найдешь.

До сих пор находили много разной хитро замаскированной дряни. С наличием исходников от неё, по меньшей мере, можно избавиться. Исходники -- в помощь.

>Вот только самые рьяные искатели дыр не среди тех кто фиксят проблемы, а >среди тех кто ими пользуются,

Это ты взял с потолка и доказать не сможешь. Я могу столь же обоснованно заявить, что всегда найдётся хакер, предпочтущий славу открывателя дыры на багтраке.

>Ты можешь сказать где дыра, но не показать как её использовать.

Возникает проблема фиктивных дыр и завсимости от скорости реакции производителя твоего программного обеспечения. НР тому примером.

>Ну и что? Это только показывает как эта комапния заботится о покупателях, >демонстрировать дыру и подвергать опасности других людей у тебя нет ни >какого права.

Не подвергать, а оповестить об. Демонстрация механизма работы -- доказательство того, что дыра действительно есть. Зачем это надо -- см. выше.

>Представь, что кто-то нашел пробелму в серии дверных закмков и так >случилось, что один из этих замков у тебя стоит. Человек сообщил об этой >дыре производителю, но производитель не откликнулся, а потом этот же >человек рассказал как его можно вхломать, и на следующий день к тебе >забрались воры воспользовавшись этой проблемой и вынесли все из дома.

Некорректная аналогия, т.к. в копьютерном случае к каждому 'замку' приставлен 'страж'-сисадмин.

anonymous ()

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-02 22:07:29.548): "Повторюсь: трояна _убрали_ за 6 часов благодаря наличию исходников"
Не было бы исходников не было бы это трояна. Ы? :))
" В случае с Аудиогалакси (о котором ты предпочёл забыть) такая бытрая реакция была бы невозможна в принципе"
Мало того я считаю что пользователи аудиогалакси получили то что заслуживали, если сам воруешь, то не расчитывай что тебе тоже кто-нибудь не облопошит.
"Ссылки мои посмотри. Там речь о легальном прослушивашивании телефонных линий без судебного ордера итд."
Вместо ссылок на EFF, ты бы прочитал бы сам этот акт и увидел, что записыватб разговоры они могут только при наличии оредера, но при этом не нужно получать ордер на каждый прослушиваемый девайс. Мало того если они попытаются в суде привести доказательства в случае если ордера вообще не было, им самим же и не поздоровится. А что говорить, когда тот же EFF устроил вой на тему, что fbi может посещать public places в ходе расследования, а то раньше доходило до смешного, человек вывесит что-то на вебсайте, а fbi даже не имело право взглянуть что на это сайте показывают.
"Там их не засудили, т.к. все благополучно соглашались на всю эту дрянь, нажимая ОК под огромной EULA."
А ты не пользуйся если не нравится.
"До сих пор находили много разной хитро замаскированной дряни"
Пока что находили открытые пароли и дырки случайно оставленные дырки в линуксе. А вот замаскированной херни что-то не слышно.
"Некорректная аналогия, т.к. в копьютерном случае к каждому 'замку' приставлен 'страж'-сисадмин"
Аналогия корректа, т.к. к аждой двери приставлен хозяин этой двери. Другое дело что такая аналоггия показывает на сколько глупо выглядит позиция тех кто желает всем рассказать про дыру.

Ogr ()

Re: Троян в поставке OpenSSH

>Не было бы исходников не было бы это трояна. Ы? :))

Audiogalaxy? Тот же Interbase? Появиться трояны могут везде. Быстро избавляться от них можно имея исходники.

>Мало того я считаю что пользователи аудиогалакси получили то что >заслуживали, если сам воруешь, то не расчитывай что тебе тоже кто-нибудь >не облопошит.

Ты уходишь в сторону. Важен прецедент.

>Вместо ссылок на EFF, ты бы прочитал бы сам этот акт и увидел, что ... >вебсайте, а fbi даже не имело право взглянуть что на это сайте показывают.

ОК, погляжу.

>А ты не пользуйся если не нравится.

Конечно. Это был пример того, как можно троянов помещать совершенно легально и в итоге избежать суда.

>Пока что находили открытые пароли и дырки случайно оставленные дырки в >линуксе. А вот замаскированной херни что-то не слышно.

ОК

>Аналогия корректа, т.к. к аждой двери приставлен хозяин этой двери. Другое >дело что такая аналоггия показывает на сколько глупо выглядит позиция тех >кто желает всем рассказать про дыру.

Сисадмин -- это не 'хозяин' (==пользователь), а 'сторож' и 'замковых дел мастер' в одном флаконе, приствленный к конкретному замку на полную ставку. Специалист против взлома, единственное назначение которого -- зашищать 'замок'. Который отслеживает все новые методы взлома, поскольку ему за это деньги платят. Если он этого не делает -- умалчивания о дырах не помогут.

anonymous ()
Ответ на: Re: Троян в поставке OpenSSH от Ogr

Re: Re: Троян в поставке OpenSSH

to Ogr & All
>Аналогия корректа, т.к. к аждой двери приставлен хозяин этой двери. >Другое дело что такая аналоггия показывает на сколько глупо выглядит >позиция тех кто желает всем рассказать про дыру.

Т.е. ты хочешь сказать, что если вдруг обнаружили доселе неизвестную болезнь (например СПИД V2.0), выяснили, что зараженный этой болезнью человек через 3(5,10) лет умирает на 99%, лекарства нет, то и говорить об этом вслух не надо? Сотворить втихаря лекарство, в удачном случае - сказать - "Вот, сделали антидот - стоит $$$ - хочешь жить - покупай", в неудачном - "А мы ничего не знали". Согласен, если СЛАБЫЙ человек об этом узнает, то опустит руки, сопьется, покончит с собой etc ... Но для сильных - это только стимул - победить и остаться в живых. А то, что так быстро нашли и исправили - закрытому софту учиться надо, а не молчать в тряпочку.
P.S. Может аналогия и не совсем подходит, но:
- Нас предупреждали о том, что есть опасные области знания.
- Незнание более опасно, даже во благо.
Фраза из н/ф романа.

sco-killer ()

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-02 23:10:57.446): "Audiogalaxy? Тот же Interbase? Появиться трояны могут везде. Быстро избавляться от них можно имея исходники"
Ага. Вот только вполне может оказатся, что хацкеры обнаружили эту дыру в Интербэйзе на следующий же день что привело пользователей интербэйза к неоправданному риску.
"Ты уходишь в сторону. Важен прецедент."
Прецедент важен в общении с нормальными компаниями, а вот когда речь идет о ворах, это все равно что назвать всех людей убийцами на основании того что есть люди которые этим занимаются. Я же в конце концов не говорю, что весь gnu в закладках на основании этого инцедента.
"Это был пример того, как можно троянов помещать совершенно легально и в итоге избежать суда."
Конечно, ведь это ИХ продукт и они в ПРАВЕ ставит условия по его использованию, самое главное чтоб условия они ставили up front.
"Сисадмин -- это не 'хозяин' (==пользователь),"
Кто-то такой сисадин? Это человек который следит за тем что компьютер раюотал, а если сломался починить или заменить. Точно так же и с замком, просто хозяин и пользователь здесь в одном лице.
2sco-killer: "Т.е. ты хочешь сказать, что если вдруг обнаружили доселе неизвестную болезнь (например СПИД V2.0), выяснили, что зараженный этой болезнью человек через 3(5,10) лет умирает на 99%, лекарства нет, то и говорить об этом вслух не надо?"
Надо обязательно говорить и объяснять как защитится. Но вот тех кто будет еще и рассказывать как и где взять вирус и как его получше подсадить кому-нибудь надо самих им заразить.
Я не призываю замалчивать о наличии дыр, а даже на оборот об этом надо кричать. Но вот рассказывать как их можно использовать нельзя.

Ogr ()

Re: Троян в поставке OpenSSH

А по моему данное происшествие к Open/Closed Source отношение не имеет никакого. Троян был занесён извне, он не был намеренной частью проекта, как в случае с InterBase, например. Просто кто-то проник внутрь и изменил данные. Эта схема может сработать где угодно, куда можно проникнуть. Помнится, с Microsoft тоже случилось нечто подобное. Разница была лишь в большей закрытости информации о подробностях. Вот об этих подробностях и хотелось бы узнать получше. Каким образом было совершено проникновение? Существует ли такая возможность до сих пор?

anonymous ()

Re: Троян в поставке OpenSSH

Огр ты словоблудливый идиот. Если бы не было исходников, что бы сделал злоумышленник взломавший хостинг? Понятно, что он бы внес искаженные бинарники. (надеюсь тупому огру не нужно объяснять как хакер получил бы сорцы проекта в этом случае?)

В итоге с офицального сайта потекли бы зраженные бинарники, которые установили бы к себе тысячи человек. Однако же в нашем случае бдительный пользователи обнаружив странную ошибку всего за 6 часов локализовали проблему благодарая ОТКРЫТЫМ ИСХОДНИКАМ!

Как бы поступила МС в этой ситуации? Молча бы сделал новый абдейт, молча бы выложила на сервера, а тысячи человек остались бы в полном неведении...

Нам плюгавый огришка регулярно проталкивает одну мысль. Если впаривать людям дерьмо под красивой оберткой, если не разрешать им заглядывать в черный ящик, то бизнес оказывается жутко выгодный. Те опенсорс компании которые пытались нагреться на волне впаривая хуюню -разорились и разоряются. Это потому что каждый может посмотреть и свои глазами увидеть что платить не за что.

Только гегемон МС продолжает из года в год продавать один и тот же код, с одними и теми же багами кажджый раз засовывая это в красивую упаковку.

Только народ не обманешь, умные люди всегда знали что не существует безглючного софта, их волнует качество поддержки. Тот факт, что известный побирушка из редмонда обсасывает с таким смаком явную положительную черту опен-сорс - скорость устранения ошибок, говорит о том что савсем дела плохи в М$. Не могут найти реальных серезных недостатков и пытаются превратить в них достоинства. ------------

Еще раз, для дебилов. Взлом хостинга не является проблемой команды разработчиков. Может быть виноваты менеджеры, может быть недостаток финанисрования, но это уже словоблудие!

А вот скорость устранения вторжения показывает устойчивость опенсорс к вторжениям и характеризует квалификацию его специалистов.

anonymous ()

Re: Троян в поставке OpenSSH

2Огр

>Вот только вполне может оказатся, что хацкеры обнаружили эту дыру в >Интербэйзе на следующий же день что привело пользователей интербэйза к >неоправданному риску.

Ты шутишь что ли? Пользователи подвергалсь 'неоправданному риску' и без выкладывания исходников, потому что кто-то хрен знает кто, с неизвестными замыслами знал об этой дыре. Только _после_ выкладывания исходников дыру с горем пополам нашли. Иначе так и подвергались бы несчастные пользователи 'неоправданному риску' по сей день.

>Прецедент важен в общении с нормальными компаниями, а вот когда речь идет >о ворах, это все равно что назвать всех людей убийцами на основании того >что есть люди которые этим занимаются.

1. Ты либо бредишь либо подтасовываешь факты. Ты удобно забыл об Интербэйз сразу же после упомининия её в предыдущем параграфе.

2. Это ты и твои друзья распространители FUD всех конфессий прибегают к огульному очернению на основе еденичных фактов. Я же привёл пример легального внедрения трояна closed source компанией чтобы показать возмжность появления backdoor в программном обеспечении любого типа, будь то OSS или CSS. Преимущество OSS в делах копьтерной безопасности проявляется когда нужно быстро исправить найденную ошибку/дыру.

>Я же в конце концов не говорю, что весь gnu в закладках на основании этого >инцедента.

Говорил бы, если б в угол не загнали. Всем известна твоя спопособность распространять FUD.

>Конечно, ведь это ИХ продукт и они в ПРАВЕ ставит условия по его >использованию, самое главное чтоб условия они ставили up front.

Я об этом всю дорогу и толкую. Всё у них легально. Да только вот ты о чём ? Уж не оправдываешь ли ты их теперь морально?

>Кто-то такой сисадин? Это человек который следит за тем что компьютер >раюотал, а если сломался починить или заменить. Точно так же и с замком, >просто хозяин и пользователь здесь в одном лице.

Неверно. Безотносительно того, публикуется ли код эксплойта при объявлении об ошибке или нет, сисадмину совершенно небходимо сразу же принять профилактические меры -- отключить демон, в котором обнаружена дыра, установить новую версию программы итд. Это важно, поскольку даже если эксплойт не опубликован, всегда может найтись злонамеренный хакер, который и без эксплойта допёр, как ипользовать дыру. И хакер с такими продвинутыми способностями сушествует по меньшей мере один -- ведь кто-то же дыру нашёл! Таким образом, любому сисадмину, стояшему денег, которые ему платят, опубликованные эксполойты не страшны. Сисадмин -- это человек, следящий чтоб компьютер никогда не переставал функционировать в первую очередь, а не просто техник, чинящий его после поломки. Говоря языком твоей недалёкой аналогии, сисадмин -- это сторож и специалист по безопасности замков.

anonymous ()

Re: Троян в поставке OpenSSH

На самом деле _никто_ не может утверждать, что закрытое ПО свободно от закладок. Ибо это недоказуемо. Борланд в случае с InterBase просто схватили за руку. Причем это не `воры', по выражению Огра, а солидная уважаемая компания, продукты которой очень популярны и широко распространены. Кто даст гарантию, что во всевозможных C Builder'ах и Delphi'ях нет закладок? А InterBase --- это ведь не Delphi, это база, спортированная на множество платформ и широко используемая. Там может хранится очень важная и конфиденциальная информация. Кто даст гарантию, что нет закладок в Oracle? В MS SQL? В IIS? В Exchange? Кода нет и убедиться ни в чем нельзя. Причем все известные до сих пор случаи закладок (сделанных производителем ПО, я не беру в расчет этот случай с OpenBSD, поскольку на их месте мог оказаться каждый) относятся только к закрытому софту. В OpenSource пока никого не уличили в злонамеренном коде.

anonymous ()

Re: Троян в поставке OpenSSH

народ ну и что? разве это не доказывает, что лучше иметь открытые исходники?
нашли, исправил и причем оперативно и кстати никто не тащил в суд(на примере офтопик)

огру :
по поводу дыр что ты можешь рассказать про NETWATCHER?

l-xoid ★★★★★ ()

Re: Троян в поставке OpenSSH

Даже если пользоваться аналогией с дверными замками, то опубликование информации о том, как вскрыть тот или иной замок вовсе не означает, что через час все мои соседи побегут мою квартиру обносить. Замковый `хакер' и так знает, как замки вскрывать, а нормальный человек ни при каких обстоятельствах ломать замок не будет. Да, собственно, каждый и так знает, как это делать: достаточно топора или фомки. А недавно в новостях сообщали, как железную дверь вырвали, привязав ее тросом к лифту. Ну и что? Народ бросился двери друг другу ломать? Единственный, кто пострадает от открытия такой информации --- производитель недоброкачественных замков, ибо все будут знать: их замки булавкой вскрываются. И, кстати говоря, `исходники' любого замка абсолютно открыты для всех и каждый может взять отвертку и пассатижи и оценить степень защищенности своего замка. Было бы забавно, если производитель запрещал разбирать свои изделия. Так что аналогия про замки льет воду на мельницу OpenSource!

anonymous ()

Re: Троян в поставке OpenSSH

> В OpenSource пока никого не уличили в злонамеренном коде.

А sendmail не OpenSource?

poison_reverse ()

Re: Троян в поставке OpenSSH

>А вот это как нам Огр прокомментирует?

Да никак он это прокомментировать не может, обосрался он как всегда. В лучшем случае сейчас опять начнет лепить гнилые отмазки и пытаться выгораживать микрософт.

anonymous ()

Re: Троян в поставке OpenSSH

2qrot: И что?

anonymous ()

Re: Троян в поставке OpenSSH

anonymous (*) (2002-08-05 18:45:08.621)
типа не троян.

qrot ()

Re: Троян в поставке OpenSSH

Типа backdoor.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.