Názory k článku Chyba OpenSSL umožňuje číst chráněná data, ohrozila až dvě třetiny služeb
-
adx (neregistrovaný)
Principem chyby je nasledujici:
Do protokolu SSL pribyla moznost posilat tzv. heart beat packety. Obdoba pingu. Jedna strana posle druhe strane nejaka data a ocekava, ze ji ta druha posle ty sama data zpatky. To ma kde jaky protokol. Slouzi to k udrzeni spojeni ci overeni dostupnosti druhe strany, mereni rychlosti odpovedi atp.
V OpenSSL je mozne upravenymi vstupnimi parametry v prichozim beat packetu donutit server, aby do odpovedi neposlal co co dostal v pozadavku, ale nejaky jiny kus pameti co patri programu, ktery OpenSSL knihovnu pouziva. Sice jen 64kB, ale utocnik muze ovlivnovat kterou cast a nic mu nebrani vice dotazy precist co se mu kde zlibi.
TIpicky se muze jednat o privatni klice pro sifrovanou komunikaci. A temi se pak nekde vydavat za obet v nejakem utoku, pripadne si rozsifrovat libovolnou zachycenou komunikaci.
Nebo o cokoliv jineho zajimaveho co ma proces v pameti. Zalezi na konkretnim pouziti a architekture programu zda tam mohou byt nejake aplikacni veci i jinych uzivatelu nez je utocnik (hesla do www aplikace, "cisla kreditek" tak podobne).
-
Snow (neregistrovaný)
Co takhle do článku dát službu na ověření?
http://filippo.io/Heartbleed/ -
To uz jde bohuzel na triko tomu, kdo kod udrzuje.
V Opensource jsou proti sobe dva zajmy - implementace novych featur a bezpecnost a auditovani kodu. Ty dve veci se celkem vylucuji, protoze provereni kodu proste dlouho trva.
Je nesmysl si myslet, ze v closed source by se nic takoveho nestalo. Bud to tam je zaneseno primo vedome a nejedna se o "chybu" ale backdoor nebo se tam ta chyba objevi uplne neplanovane a proste se to stane.
Zasadni vyhoda opensource je ta, ze oprava je defakto v mziku hotova a kazdy si to muze overit, ze opravdu byla a nebylo jen zmeneno API (pokud predpokladame cileny backdoor)
Pak tady jsou projekty jako FreeBSD a OpenBSD, ktere tuto chybu maji opravenu uz 2 roky diky daleko lepsimu a stritknejsimu auditovani.
Mluvit o tom, ze closedsouce je bezpecnejsi je naprosta pitomost, kterou muze z pusy vypustit nekdo, kdo o tom nevi vubec nic.
-
Panzer (neregistrovaný)
Tos tím freebsd není pravda. Dnes mi přišel email z konference:
=============================================================================
FreeBSD-SA-14:06.openssl Security Advisory
The FreeBSD ProjectTopic: OpenSSL multiple vulnerabilities
Category: contrib
Module: openssl
Announced: 2014-04-08
Affects: All supported versions of FreeBSD.
Corrected: 2014-04-08 18:27:39 UTC (stable/10, 10.0-STABLE)
2014-04-08 18:27:46 UTC (releng/10.0, 10.0-RELEASE-p1)
2014-04-08 23:16:19 UTC (stable/9, 9.2-STABLE)
2014-04-08 23:16:05 UTC (releng/9.2, 9.2-RELEASE-p4)
2014-04-08 23:16:05 UTC (releng/9.1, 9.1-RELEASE-p11)
2014-04-08 23:16:19 UTC (stable/8, 8.4-STABLE)
2014-04-08 23:16:05 UTC (releng/8.4, 8.4-RELEASE-p8)
2014-04-08 23:16:05 UTC (releng/8.3, 8.3-RELEASE-p15)
CVE Name: CVE-2014-0076, CVE-2014-0160 -
marshall1727 (neregistrovaný)
https://www.openssl.org/news/secadv_20140407.txt
tady je odkaz.
-
ice (neregistrovaný)
To je zase demagogie ...
Stačí se podívat, kolik záplat vychází na produkty Microsoftu a podobných.
Pravděpodobnost na odhalení chyby je v closed source úplně stejná jako v open source.
U closed source je problém v tom, že pokud už dodavatele přestane zajímat jeho produkt, nebo třeba zkrachuje, pak už tu chybu nikdo neopraví.
Pokud je v open source, máte šanci, že ji opravíte sám nebo to udělá někdo jiný. A nemusí to být ani autor kódu.
Naopak si myslím, že otevřený zdrojový kód dává větší možnosti k auditům od velké komunity vývojářů a nejen od autorů.
Komunita může mít na některá řešení jiný pohled a často společně navrhnou nevhýhodnější řešení.
V žádném případě se nedá říci, že open source je méně bezpečný než closed source, ale ani naopak.
-
Kdyby ta chyba nebyla do OpenSSL zavlečena před dvěma roky, myslel bych si, že je to reakce na mediální humbuk kolem ukončení podpory Windows XP, kdy to z médií občas vypadalo, že všechny počítače s Windows XP druhý den explodují. Bezhlavá výměna všech hesel a všech klíčů je úplně stejný typ reakce, jako na ty Windows XP.
Na rozdíl od strašení koncem Windows XP ale tenhle humbuk bude mít reálný negativní bezpečnostní dopad, protože se útočníkům podaří při tom horlivém obměňování některá hesla nebo klíče opravdu získat. Ať už pomocí phishingu, odposlechem na nezazáplatovaných strojích, nebo tím, že administrátor bude honem honem vyměňovat klíče, aby byl v bezpečí, a udělá to špatně. -
Změna klíčů předpokládá, že útočník o chybě věděl dříve, než byla oficiálně zveřejněna, a že tuhle chybu nezneužil k útoku na něco pořádného, ale zrovna na můj server. Zvlášť když je útočník odkázán jen na to, co zrovna v paměti najde.
U internetového bankovnictví ta změna klíčů určitě potřebná je, u velkých poskytovatelů služeb (e-mail, cloud apod.) také. Ale u nějakého serveru pro pár lidí jsou podle mne mnohem větší rizika, než že zrovna tam tuhle chybu někdo zneužil. Samozřejmě ale také záleží na tom, jak dlouho byl server nezáplatovaný po objevení chyby. Souhlasím s tím, že je potřeba obezřetnost - tj. ne bezhlavě a špatně vyměnit klíče, ale rozmyslet to a udělat to dobře, i když třeba o něco později.
-
x (neregistrovaný)
Obavam se, ze toto je rize prakticka zkusenost. Opravdu jsem moc zvedav, jak bude firma utracet statisice a miliony za skoleni lidi v praci se systemem, ktery nikdy nevideli, protoze doma pouzivaji uplne neco jineho.
Toto je ted na desktopu pozice linuxu.
Jenze ve vsech ostatnich oblastech (mobily, televize, auta ....) ... je M$ zcela nezajimavym hracem. Narposto dokonale zaspal a v neustalem boji o desktop si jaksi nevsiml, ze ho ten prokletej tucnak naprosto drtive ... obesel.
Mimochodem, zrovna ted resim majitele firmy, ktery se divi, "proc mame pouzivat ty velke hnusne notebooky" (rada x200 od lenova ...) a ze chce pouzivat ty tenke co nic nevazi = arm s androidem/tuxem.
-
bullhead (neregistrovaný)
...pravda pravda ...jen z toho OpenSource to jde pro odborniky zjistit podstatne rychleji no:-)
...a ted uz cely svet vi, ze ani na OpenSSL uz nejsou lidi (tedy ITíci) co by to hlidali - tak asi tak
...nastesti cim dal vice lidi chape ze SW se dela pro penize, a ve volnem čase se ma hrat, tweetovat, facebookovat apod. (...ve tretim svete chodit do hospody a suxxat, ale Google Loon to změni i tam - např. novozelandske ovečky si již stěžují, viz. pilotní projekt).
:-)
B.
-
x (neregistrovaný)
To ze v opensource jsou chyby != ze je nebezpecny. Pokud chce nekdo zjistit co ze to ten opensource dela, tak mu v tom jaksi nic nebrani, muze si na to klidne nekoho najmout.
V uzavrenym SW jsoy chyby uplne stejne, ale prijde se na to az v okamziku, kdy tu chybu nekdo zacne masivne vyuzivat. A pak si tam dlouha leta smrdi zadni vratka ... proste proto, ze v ty binarce se da dost tezko zjistovat, ze tam jsou.
-
ivoszz (neregistrovaný)
Jste opravdu takový magor nebo se jen tak děláte?
Vy si opravdu myslíte, že OpenSSL, Linux nebo OpenStack dělá Franta ve volném čase?
Na tom všem je nejkrásnější to, že navzdory žvanilům jako jste vy proces globálního ovládnutí SW světa open sourcem už je tak rozjetý, že nejde zastavit. Skončí to tak, že všechny základní kameny budou open source a nad nimi budou postaveny uzavřené nadstavby. Kdo bude chtít, může investovat svůj čas a lidi a poskládá si to z těch kamenů sám, kdo ne, pořídí si hotovou skládačku. Některé základní kameny, jako třeba programovací jazyky a SDK jsou už nyní téměř 100% open source (jedním z posledních kdo pochopil že jinak nemá šanci byl právě MS). Další takovou oblastí jsou frameworky, ty hodně letité jsou ještě uzavřené, vše nové - ne starší než 5 let je open source.
Na postupu jsou databáze (vše nové je OS), cloud a takhle by se dalo vyjmenovávat ještě dlouho. To neznamená, že to vše bude zadarmo, základní věci zdarma, cokoliv složitějšího bude potřeba zaplatit. A výklenky (specializovaná řešení) budou hodně drahé - ty jsou hodně drahé mimochodem i dnes. Takže šance bude v SW na míru. Operační systém nebo kancelářský balík tam ale patřit rozhodně nebude. Nebude to dnes ani zítra, ale smráká se nad Redmontem.
-
Ivo (neregistrovaný)
Ptal jsem se na tento problém podpory mého správce hesel Sticky Password (www.stickypassword.com) a bylo mi sděleno, že pro klid duše bych si měl změnit hesla na svých účtech, které považuji za důležité. Co si o tom myslíte vy?
-
bullhead (neregistrovaný)
...nic takového jsem napsal:-) ...napsal jsem, že jsem nikdy nesouhlasil z názorem že OpenSource je mnohem bezpečnejší než ClosedSource protože se hlídají zdrojové kódy - a nemůžete rozporovat, že podporovatelé těchto pofiderních OpenSource SW toto už roky roztrubují ...ejhle ani základní OpenSource balíky už nikdo není schopen zkontrolovat (poslední byl snad TrueCrypt).
...alepoň to uspíši konec všech tě OpenSource a Linuxů apod. ..no ...ten se zabije sám jak to tak sleduji jak "roste" na Desktopech ...jojo v superpočítačích ještě chvíli zůstane:-)
B.
-
BoB (neregistrovaný)
Zaprvé - princip "security through obscurity" prostě nefunguje. Jde jen o malý kousek, který k bezpečnosti přidá, ale rozhodně ne jediný. V mnoha případech (ne vždy) je vyvážen právě onou podceňovanou "kontrolou mnoha očima".
Zadruhé - chyby v programech/knihovnách/systémech nejsou většinou hledány ručně a ve zdrojových kódech. Na toto jsou automaty, které prostě zkoušejí zadávat kdejaká data a koukají, jak se to chová.
A zatřetí - rozšíření OpenSource je o mnoho vyšší než si uvědomujete. Například naprostá většina chytrých mobilních telefonů (Android a iPhone) jsou nebo pocházejí ze OS světa. To jen jako příklad... -
bullhead (neregistrovaný)
Vždy se směju názorům (zvlášť Linuxové" komunity), jaké je OpenSource bezpečné.
...ANI NAHODOU
...a je to jednoduché - NIKDO dnes nemá čas aby dělal kontroly těch stovky tisíc (možná stovky milionů) řádků kódu:-)))
...NAOPAK
...chyby tam najdou ti, co chtějí, což by v ClosedSource nikdy nenastalo
=
OpenSource je MNOHEM nebezpečnější než ClosedSource
B.
ČLÁNKY DO MAILU