The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от opennews on 13-Июн-10, 11:40 
Разработчики популярного свободного IRC-сервера UnrealIRCd (http://www.unrealircd.com)  опубликовали уведомление (http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt), в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку.


Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией.


Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более...

URL: http://seclists.org/fulldisclosure/2010/Jun/277
Новость: http://www.opennet.ru/opennews/art.shtml?num=26945

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от Zenitur email on 13-Июн-10, 11:40 
> В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку

Чем от этого защититься? Кто-нибудь знает подробные статьи о контроле содержимого сервера? Надёжен ли простой скрипт с проверкой контрольной суммы файлов в каталоге?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +2 +/
Сообщение от mma on 13-Июн-10, 11:51 
цифровые подписи. больше ничем. ну или публикацией хеша.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от thirteensmay on 13-Июн-10, 14:45 
подписи к сожалению тоже весьма уязвимы, на вскидку их можно тупо подменить, или скажем вносить зловред между подписываниями, или даже во время. Скажем даже если подписывается каждое изменение в репозитории, то как гарантировать чистоту этого изменения, это уже вопрос безопасности каждой рабочей станции каждого разработчика.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 13-Июн-10, 16:24 
А приватный ключ вы где возьмете для подмены подписей? Ессно он должен храниться отдельно и не даваться в лапы кому попало.

А что до между подписываниями - ну, нормальные проекты как бы публично вывешивают логи и диффы коммитов. Анреал правда развивается хило и потому чтецов кода - не густо. Тем более что как я понимаю подменили ТОЛЬКО архив (во всяком случае не вижу сообщений о взломе системы контроля версий). Вот такое бы подписи пролечили на раз как раз. А левые коммиты в систему контроля версий как бы заметны.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  –3 +/
Сообщение от Василий (??) on 13-Июн-10, 23:00 
Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным и будут подписывать обновления им. Или взломают так же как Apache Foundation.


В общем очередной миф о мега защищенности опенсорса трещит по швам. И вроде исходники доступны всем для аудита только никто не хочет этим заниматься.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

63. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от aaim on 14-Июн-10, 14:45 
угу. только ломали не RedHat, а Fedora.. А это всё таки разница(и какая!).
Но редхатовцы, тем не менее, не стали говорить что это промах "нанятого со стороны субподрядчика" как это делает МС, когда их ловят за руку, на темных делишках.

А про миф.. На серьёзных проектах проводят аудиты, а этот IRCd никому и не впёрся. Вы же не будете судить по этому проекту обо всем опенсорсе?!
Помнится был вирусняк, к-ый троянил проекты Delphi... сколько откомпилированных exe'шников(от разных девелоперов по всему миру) ушло на машины юзеров, прежде чем подняли тревогу? тогда по вашей логике весь коммерч. софт - г.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

66. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Василий (??) on 14-Июн-10, 16:12 
>угу. только ломали не RedHat, а Fedora.. А это всё таки разница(и
>какая!).

Освежу как я вам память пожалуй. Внимательно прочитайте вот эту статью http://www.theregister.co.uk/2008/08/22/red_hat_systems_hacked/

Ключевые факты вот в этой фразе:

Red Hat sponsors the Linux distribution. Fortunately Fedora packages weren't interfered with following the attack, but Red Hat Enterprise Linux packages were touched up by as yet unidentified miscreants.

Перевожу. Пакеты Fedora никто не менял злоумышленники распространяли через сеть обновлений троянские пакеты через сеть самого Redhat.

Впрочем разницы никакой ибо и то и другое опенсорс. Отмазки вроде бесплатное значит никто не несет ответственности в этом случае не помогают. Сломали платного вендора опенсорса. И рассказы о том что если исходник доступен то все ломанутся проверять его это детские сказки.

>А про миф.. На серьёзных проектах проводят аудиты, а этот IRCd никому
>и не впёрся. Вы же не будете судить по этому проекту
>обо всем опенсорсе?!

А в Redhat аудита не проводили? Если проводили то как получилось что их поломали как детей? Или это не серьезный проект? получается что даже за деньги гарантии нет? Не говоря уже про религиозные молитвы опенсорсу.

А взлом проектов Apache Foundation ни о чем вам не говорит? Или это тоже не серьезный проект?

IRCd это всего лишь очередной случай так что пора завязывать с мифотворчеством о тотальном превосходстве опенсорса хоть платного хоть бесплатного.

>Помнится был вирусняк, к-ый троянил проекты Delphi... сколько откомпилированных exe'шников(от разных девелоперов
>по всему миру) ушло на машины юзеров, прежде чем подняли тревогу?
>тогда по вашей логике весь коммерч. софт - г.

По моей логике все просто. Ни платный ни опенсорсный софт ничего не гарантирует своей моделью разработки. Все эти случаи показывают только одно. Там где нет нормальной модели обеспечения безопасности такие инциденты будут происходить постоянно. У Microsoft есть SDL который не позволяет случиться подобным проблемам. Что есть из аналогичного у опенсорсных вендоров?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

67. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Аноним (??) on 14-Июн-10, 17:10 
А ничего что исходный код не пострадал? Взломали какое-то банальное зеркало файлов.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

104. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от aaim on 15-Июн-10, 00:22 
> А в Redhat аудита не проводили? Если проводили то как получилось что их поломали как детей? Или это не серьезный проект? получается что даже за деньги гарантии нет? Не говоря уже про религиозные молитвы опенсорсу.

читайте лучше первоисточник ;) http://rhn.redhat.com/errata/RHSA-2008-0855.html.
Там черным по белому написано, что если не юзал сторонние бинарники(не от Red Hat) - можешь не волноваться.
"we remain highly confident that
our systems and processes prevented the intrusion from compromising RHN or
the content distributed via RHN and accordingly believe that customers who
keep their systems updated using Red Hat Network are not at risk."

> Ни платный ни опенсорсный софт ничего не
>гарантирует своей моделью разработки. Все эти случаи показывают только одно. Там
>где нет нормальной модели обеспечения безопасности такие инциденты будут происходить постоянно.
>У Microsoft есть SDL который не позволяет случиться подобным проблемам. Что
>есть из аналогичного у опенсорсных вендоров?

см. выше ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

114. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 12:36 
>Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным
>и будут подписывать обновления им.

А у федоры вроде ж не упирали, они из предосторожности сменили IIRC? Унесут вместе с публичным?! Простите, публичный на то и публичный что раздается всем желающим. А вот приватный должен лежать отдельно и никому в лапы не даваться. И вроде как у федоровцев его не унесли (во всяком случае доказательств обратного я не видел) но смогли подпихнуть левый пакет на подпись оным ключом.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Аноним (??) on 13-Июн-10, 16:43 
уязвимы, но дают большую защиту от случаев получения контроля над ftp сервером
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от thirteensmay on 13-Июн-10, 20:29 
это да, возможно народ считает что вероятность и последствия злоконтроля ftp меньше телодвижений/эффекта подписывания, хотя онож вроде 100% автоматизируется, не помешало бы.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 13-Июн-10, 14:54 
> Чем от этого защититься?

Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить Squid


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от F on 13-Июн-10, 15:25 
Тогда можно подменить данные в кэше squid или сам squid заменить на модифицированный, который отдает что надо.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 13-Июн-10, 21:46 
>Тогда можно подменить данные в кэше squid

Тогда Сквид обнаружит не совпадение и обновит кэш.

> или сам squid заменить на модифицированный, который отдает что надо.

А так же glibc, ядро, заменить в сетевухе фирмварь с трояном.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 13-Июн-10, 16:42 
цвс-репа не пострадала.
а в тар после создания наверное никто (кроме взломщика) и не заглядывал - зачем? вот и резалт.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Zenitur email on 13-Июн-10, 21:32 
Пробовал раздавать торренты, лежащие на DVD-R... Спать невозможно! Всё время лазер бешенно перемещается.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от pavlinux (ok) on 13-Июн-10, 21:55 
> Пробовал раздавать торренты, лежащие на DVD-R...
> Спать невозможно! Всё время лазер бешенно перемещается.

У торрента, во время его работы, образуется по сути своя ФС.
Так что RANDOM READ обеспечен. :)

А вот если похакать libtorrent на предмет порядка раздачи частей, т.е. чтоб запрошенный 1001-й кусок файла
не отдавался до тех пор, пока кто-то не запросит 1000, ну естественно при условии, что от 1 до 999 уже запрашивали.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

118. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 15:35 
>У торрента, во время его работы, образуется по сути своя ФС.

Обычное биение файла на блоки и битовая карта.

>Так что RANDOM READ обеспечен. :)

Ну, допустим, не совсем рандом. Почти все мало-мальски вменяемые либы пытаются делать префетч прикидывая что придется слать дальше вон тем пирам которым мы шлем. Правда, при достаточном числе торентов диск будет все-равно дергаться мама не горюй и на сидюке это содержать мазохизм. Алсо, сидючно-дивидючня хня имеет одну "маленькую" проблему. Операции чтения не только медленные, но и не очень надежные. Поэтому ... да, а ты не задумывался сколько софта корректно реагирует на такую фигню как read error? Если во времена доса с его дискетами кто-то еще обрабатывал ошибки чтения то с появлением хдд которые почти всегда читаются нормально... ну ты я думаю понял что эта дорожка ведет к красивым колоритным глюкам, не факт что менее страшным чем хакеры. Потому что если ты отгрузишь 100500 юзерам битый файл - мозг тебе поимеют не хуже :)

>А вот если похакать libtorrent на предмет порядка раздачи частей, т.е. чтоб
>запрошенный 1001-й кусок файла  не отдавался до тех пор, пока кто-то не запросит 1000,

Протокол битторента не создавался для последовательной отдачи файлов. И при твоем подходе он просто сломается. Если все клиенты так будут делать, скорость стаи в целом - упадет в полную Ж имхо и получится емуле номер два. Потому что все будут ... бесполезно ждать. Вместо того чтобы файлы слать. Вот так вот, да. Более того - торрент не создавался с учетом высокой нагрузки на одного пира. Его принцип - миллион комаров поднимают в воздух слона! Если приперлось миллион пиров - так пусть они себе и раздают файл.

>ну естественно при условии, что от 1 до 999 уже запрашивали.

Павлин, поставь HTTP сервант типа нжинкса, если тебе надо в 1 харю, с высокой нагрузкой, лить до упора с 1 компа. А идея торента - в том что нагрузка на 1 пира небольшая. Засрать 30Мбит канал вообще целая наука. Раздач где пиры готовы сожрать столько - не так уж много. Даже на бубунте сразу после релиза в силу постепенного перевеса сидеров над личерами 30 мбит вдуть в ремотеров получается не всегда. По ночам когда они спят - никому столько не надо. Как бы у мну роутер графики чертит, там доходчиво так все :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

76. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Михаил (??) on 14-Июн-10, 18:03 
>> Чем от этого защититься?
>
>Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить
>Squid

Можно в принципе воткнуть в систему read only флеш. Сейчас уже 16 гб. Так что DVD-R уже не актуален.

А вообще логичнее просто регулярно аудит проводить.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

95. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 14-Июн-10, 20:57 
а монтирование в ридонли фс в ядре уже забанили?

хотя все что тут натролили - редкостный бред, достойный выпускников кащенко.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

119. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 15:38 
>а монтирование в ридонли фс в ядре уже забанили?

Придет хаксор и перемаунтит в RW. И? Хотя если ФС = squashfs... тогда не перемаунтит :)

>хотя все что тут натролили - редкостный бред, достойный выпускников кащенко.

Д`Артаньян, где ваша шпага?!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

128. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 15-Июн-10, 19:13 
для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха.
как любишь выражаться ты, есть 100500 способов показать совсем не то, что на них хранится.

зы:
ничо если я остальной тролиг пригнорирую?
сэнкс.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

141. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 16-Июн-10, 14:28 
>для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха.

Такого это какого? Сетевые сервисы у мало-мальски вменяемых админов живут под обычным лузерским аккаунтом, который не способен на какой-то особый дестрой. Спасибо если без чрута и прочая вообще. Ну можно повесить спамбота/прокся как максимум, если повезет.

>как любишь выражаться ты, есть 100500 способов показать совсем не то, что
>на них хранится.

С правами стандартного юзера и спасибо еще если не в чруте? Показать что-то левое?! Перемаунтить ФС? Только если юзер не апдейтит систему напрочь и там есть еще и дыра для подъема привилегий, так что операционка фэйланет свое прямые обязанности по дележке прав и защите юзеров друг от друга. А в исправной многопользовательской системе с этим слегонца болт, как бы. Да и есть вот у вас сквошфс допустим. Гигз так на много, например. Чтобы в него что-то дописать - его надо целиком слить, распаковать куда-то, там пропатчить, перекомпрессовать заново и влить образ одним чихом на место старого. Довольно нехилая пачка действий которая потребует задействования сторонних машин с приличным местом на диске + долго и сгенерится адская прорва траффа + врядли обойдется без побочных спецэффектов типа ребута. Только совсем дубовый и пофигистичный админ не заметит такую левую активность.

А если еще и учесть что нам при юзеже сплойта не особо то и известно где сервак стоит, какой куда у этого юзера доступ и прочая - строго говоря сплойтить что-то через эту дыру вообще довольно геморно. И работает бэкдор несколько глючно порой почему-то (честно говоря я не догоняю как умудряется глючить столь тривиальный код в реальном ирцд).

>зы:
>ничо если я остальной тролиг пригнорирую?

Шпагу не забудьте, уважаемый Д`Артаньян :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

143. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 16-Июн-10, 20:11 
правильно сказал, у лузерских :D
если на твоем сервере любую фс может перемонтировать любой лузер, то им даже удачи желать не нужно.

зы:
да пока шпага не требуется. а своей можешь махать, она мне как видишь не мешает. :D

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

149. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 17-Июн-10, 19:29 
>правильно сказал, у лузерских :D

Они такие и должны быть у сетевых сервисов, иначе потом "в случае аварии" - от асфальта не отскребешься.

>если на твоем сервере любую фс может перемонтировать любой лузер, то им
>даже удачи желать не нужно.

угу, и вообще - сетевые сервисы желательно изолировать как можно ядренее. Так, на случай аварии. Они с внешним миром взаимодействуют. Он заведомо непредсказуем и может быть враждебен. Если не хочется как авторы анреала полгода троянцев раздавать с своего сервака - приходится .

>зы: да пока шпага не требуется.

Ну тут обычно два вида вооружений - шпаги Д`Артаньяна и дубинки троллей :)

>а своей можешь махать, она мне как видишь не мешает. :D

Да у меня вроде нет комплекса Д`Артаньяна, вот насчет второго я как-то менее уверен :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

121. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 15:46 
>Можно в принципе воткнуть в систему read only флеш.

Можно и на винч. В какомнить squashs. Который тупо readonly, по определению. Чтобы его записать хацкеру придется или целиком пересобрать образ (ага, пусть сольет и пересоберет весь многогиговый образ, да еще чтобы вся эта ломовая активность не заметилась) или дописать поддержку read-write в сквош (удачи, ага).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 13-Июн-10, 20:17 
>> В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку
>
>Чем от этого защититься? Кто-нибудь знает подробные статьи о контроле содержимого сервера?
>Надёжен ли простой скрипт с проверкой контрольной суммы файлов в каталоге?

В репозитариях систем портирования ПО обычно хранится хеш сорца; при загрузке он проверяется. Соответственно, пользователи таких систем обычно защищены. Более того, копии дистрибутивных файлы тоже могут[1] храниться в рамках такой системы, обеспечивая доступ к чистой версии. Единственный очевидный минус — это портирование новой версии с запозданием, когда в систему портирования заносится уже «подкорректированный» файл.

[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 13-Июн-10, 22:03 
>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.

Дятлы, чего ещё сказать...
Даже нет желания проводить анализ и разбор полётов, почему это вышло, как их хакнули...


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 13-Июн-10, 22:08 
>>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.
>
>Дятлы, чего ещё сказать...
>Даже нет желания проводить анализ и разбор полётов, почему это вышло, как
>их хакнули...

Нет систем, которые нельзя взломать, есть системы, которые взламывать слишком дорого (в широком смысле). :)

Больше интересно, сколько подобных инцидентов не предано огласке (в т.ч. среди open source проектов), и сколько вообще неизвестны. :) Боюсь только, что до тех пор, пока такие ситуации не станут массовыми (а они, боюсь, станут где-то в течение лет десяти), такую статистику не собрать даже приблизительно. :-\

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 13-Июн-10, 23:11 
>>>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.
>>
>>Дятлы, чего ещё сказать...
>>Даже нет желания проводить анализ и разбор полётов, почему это вышло, как
>>их хакнули...
>Нет систем, которые нельзя взломать, есть системы, которые взламывать слишком дорого (в
>широком смысле).

Надо изучать не сколько это стоит, а кому это нужно. Там и искать.
Мухи там - где больше г...на.

Вывод: нужон Центр Безопасности ОСС
В него перед релизом отдают дистрибутивные коды на подпись.
С клятвой на крови, и здоровьем всего рода и будущих поколений,
что преднамеренных закладок, бэкдоров, и т.п. разработчиками внедрено не было.

Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource Software)
Который в свою очередь, должен сравнивать чексуммы в базе и в реале.

Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.

За нарушение - Black list разработчиков и весь проект.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 13-Июн-10, 23:57 
>[оверквотинг удален]
>
>Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource
>Software)
>Который в свою очередь, должен сравнивать чексуммы в базе и в реале.
>
>
>Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
>
>
>За нарушение - Black list разработчиков и весь проект.

Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от pavlinux (ok) on 14-Июн-10, 00:56 
> Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…

Взлом центра -> подмена ключей -> замена исходников жертвы -> обнаружение взлома центра -> восстановление из бэкапа -> .......
Много за это время успеют скачать затрояненый дистриб?

--------

Не,...... всё гораздо проще...

Сервак выдающий подписи живет в режиме полного READ-ONLY
Записи в базу вносятся операторами в полуавтоматическом режиме,
после подробного хандшейка:

  - Запрос на внесение в базу новой версии дистриба.
  * Проверка записей авторов, подписей, открытого ключа.
  * Разрешение о приёме исходников. Передача разового ключа шифрования.
  - Шифрование и передача исходников.  
  * Генерация контрольных сумм.
  * Запрос у мантэйнера дистриба, по зарегистрированному ранее адресу ключа шифрования.
  - Передача ключа шифрования.    
  * Возврат ссылки на подпись в базе SCOSS.
  - Размещение ссылки на сайте дистриба.

----------------
Прое...ут ключи - в черный список, - за безответственное отношение к безопасности планеты!
Взломали сайт- в черный список -  как чайнег недостойный звания OSS-программер.


PHP программеры уйдут в полный андеграунд :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 14-Июн-10, 01:31 
>> Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…
>
>Взлом центра -> подмена ключей -> замена исходников жертвы -> обнаружение взлома центра -> восстановление из бэкапа -> .......
>Много за это время успеют скачать затрояненый дистриб?

Не-не-не. В центре ведь не исходники хранятся, а ключи. Поэтому взламывать надо центр + место хранения исходников. Да, задача более сложная, но лишь сложность возрастает по времени, причём линейно. Схема такая получается: взломали центр, вытащили закрытые ключи для подписи исходников, подменили исходники, подменили контрольную сумму в центре. В итоге чухнутся всё тогда же — когда кто-то сравнит контрольные суммы имеющихся файлов на разных системах.

В общем, было бы желание. :)

>[оверквотинг удален]
>  - Запрос на внесение в базу новой версии дистриба.
>  * Проверка записей авторов, подписей, открытого ключа.
>  * Разрешение о приёме исходников. Передача разового ключа шифрования.
>  - Шифрование и передача исходников.
>  * Генерация контрольных сумм.
>  * Запрос у мантэйнера дистриба, по зарегистрированному ранее адресу ключа
>шифрования.
>  - Передача ключа шифрования.
>  * Возврат ссылки на подпись в базе SCOSS.
>  - Размещение ссылки на сайте дистриба.

Хм. А не проще на шаге 4 шифровать и передавать уже подписанный автором исходник, не? Он верифицируется в центре и не надо гонять закрытый ключик.

>----------------
>Прое...ут ключи - в черный список, - за безответственное отношение к безопасности
>планеты!
>Взломали сайт- в черный список -  как чайнег недостойный звания OSS-программер.
>
>
>
>PHP программеры уйдут в полный андеграунд :)

*злобно улыбнулся и потёр ручки*

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 14-Июн-10, 01:46 
>Хм. А не проще

В общем, схема мне самому понравилась. Естественно требуется детальная доработка.
И главное, заинтересовать самих программеров в том, что этом им надо.
Пусть даже этот проект это дипломная работа или резюме, а если резюме - тем более.
Сразу будет доверие в том, что человек относится с ответственностью к любым своим делам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

94. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от JL2001 (ok) on 14-Июн-10, 20:48 
а для бинарных дистрибутивов надо чтоб была определена версия gcc и библиотек + сборочные параметры =-> в итоге хеш бинарника должен совпадать при сборке любым человеком с хешем в хранилище? :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

109. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 15-Июн-10, 00:59 
> а для бинарных дистрибутивов надо чтоб была определена версия gcc и библиотек + сборочные параметры, в итоге хеш бинарника должен совпадать при сборке любым человеком с хешем в хранилище? :)

Реализуемо, но Гентушники взбунтуются. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

122. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 15:48 
А у гентушников и так троянец в репах вон :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

77. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Михаил (??) on 14-Июн-10, 18:07 
>[оверквотинг удален]
>
>Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource
>Software)
>Который в свою очередь, должен сравнивать чексуммы в базе и в реале.
>
>
>Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
>
>
>За нарушение - Black list разработчиков и весь проект.

Не сработает. Разработчики никак не придут к согласию про формат пакетов deb или rpm или еще что-то кошернее. А вы к такому глобальному подчинению призываете. Прийдет Столман и объявит это все нарушением СВОБОДЫ. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

78. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 14-Июн-10, 18:38 
> А вы к такому глобальному подчинению призываете.

Причём тут подчинение.
Это будет иконка на сайте, но с линком на ЦУП где хранятся чексуммы.

Впиндюрить у себя на сайте top mail или top100 рамблер мы можем,
а [ Checksum verifed by FOSS ] религия не позволит?


> Прийдет Столман и объявит это все нарушением СВОБОДЫ.

Он родился через 9 дней после смерти Сталина. =-o
  

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

116. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 12:39 
>В репозитариях систем портирования ПО обычно хранится хеш сорца; при загрузке он
>проверяется.

Нет никаких проблем подменив файл заменить и его хэш. Вот если там цифровые подписи - проблемы могут быть, да. Потому как приватный ключ потребный для генерации валидной подписи как бы и не обязан быть доступен...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Gra2k (ok) on 14-Июн-10, 04:41 
ищите по слову AIDE.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +4 +/
Сообщение от joe (??) on 13-Июн-10, 11:47 
Вот явное преимущества open source - уязвимость может обнаружить любой. Не получится умолчать и тихой сапой выпустить патч через 400 дней.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от скай on 13-Июн-10, 11:51 
ну да... с ноября прошлого года замалчивали. Почему все считают, что еси опенсорц то всенепременно должен быть ежедневный аудит кода, пакетов, архивов? Кому это надо? Да никому, а вот когда кто-то явно натыкаецо тогда начинают трубить во все трубы. Там уже год как троянец а его только нашли.. ну не 400 дней, но сравнимо.

Серьезный аудит имхо только у двух вещей это ядро линукса и дистр опёнка.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +2 +/
Сообщение от Аноним (??) on 13-Июн-10, 12:07 
Вообще-то должен бтыь ежедневный аудит, хотя бы автоматом сверка хэшей с эталононными значениями, или проверка подписей с уведомлением о результате. Это не только элементарные правила безопасности, это еще и правила хорошего тона и заботы о пользователях, ради которых продукт и живет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от anonym on 13-Июн-10, 12:21 
Чего ради-то, им что, заняться нечем? Вы глупости говорите.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Аноним (??) on 14-Июн-10, 08:42 
>Чего ради-то, им что, заняться нечем? Вы глупости говорите.

Аудит кода - такая же часть разработки как и его написание. Если им, как Вы говорите, "заняться нечем", то это уже элементарная халатность и раздолбайство. Справедливости ради, от этого не защищен никто.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

90. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 14-Июн-10, 20:09 
А они лично тебе обязаны аудит троводить да?

Ты им денег не платил, тебе дали AS IS ... я конечно их не защищаю, дятлы - оне дятлы и есть :(   Но будте реалистами - среднестатический васяпупкин не осилит\не захочет достаточных мер по защите. Сабжевый проект - именно такой.
Спаведливости ради - востребованные проекты - меры безопастности применяют. См. ведро, сквид, апач, постфикс, слоник - да тьма их! Но всё же - не ожидайте того же от "васяпупкин прожЭкт" ...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  –1 +/
Сообщение от Zenitur email on 13-Июн-10, 13:54 
> автоматом сверка хэшей с эталононными значениями

Наверно, хэши подменили.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 13-Июн-10, 16:31 
>Наверно, хэши подменили.

при правильном подходе цифровые подписи подменить очень трудно, а коммиты в систему контроля версий просто надо публично вывешивать, чтобы все кому оно надо смогли гранулярно и понемногу видеть изменения.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +5 +/
Сообщение от аноним on 13-Июн-10, 13:33 
Иногда даже не молчат, просто отказываются править, не смотря на обещанные сроки поддержки и т.п.
Microsoft отказалась устранять брешь в Office XP:

"Во вторник в Microsoft сообщили, что уязвимость в процессе валидации модели компонентных объектов (COM) не может быть устранена."

http://www.astera.ru/news/?id=78082

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от FSA (ok) on 13-Июн-10, 14:11 
Office XP закопать как ненужную промежуточную версию. Долгое время пользовался Office 2000 по причине его стабильности. Позже перекочевал на Office 2003 с сервис паками, когда он стал более или менее стабильным. Ну а сейчас, собственно, M$ Office 2003 только на работе. Дома он или не нужен совсем или его роль отлично исполняет OpenOffice.org, который к тому же работает на FreeBSD и Ubuntu, которые дома использую.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 13-Июн-10, 14:47 
А кто-то платил своими, настоящими деньгами за "промежуточную версию" и верил m$-байкам о поддержке
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +2 +/
Сообщение от User294 (ok) on 13-Июн-10, 16:32 
По-моему, офис 2000 и XP - примерно одинаковы по степени глючности. Как минимум аутглюка.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +5 +/
Сообщение от Tav (ok) on 13-Июн-10, 15:28 
«Microsoft Office XP не существует необходимой архитектуры для исправления валидации, что делает неосуществимым выпуск исправления для продуктов Microsoft Office XP, устраняющего эту уязвимость»

Это явно показывает, через какое место там все спроектировано и реализовано. Постыдились бы они.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +2 +/
Сообщение от аноним on 13-Июн-10, 16:47 
это точно.
данная цитата очень красноречиво говорит о качестве их системы контроля версий.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от аноним on 13-Июн-10, 17:07 
«В случае, если бы Microsoft взялась переписать Office XP таким образом, в результате могла бы возникнуть "несовместимость с другими приложениями, так что уже не будет уверенности, что продукты Microsoft Office будут работать надлежащим образом".»

Винда - это такое сборище костылей и заплаток, тянущихся еще со времён win 3.11
Эти девять месяцев они потратили на тестирование и в результате кукиш, не выходит каменный цветок.
Уж очень m$-поделия косные, одеревеневшие, инновации на виндах почти не возможны

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  –4 +/
Сообщение от Konstantin (??) on 13-Июн-10, 16:28 
Разработчики ядра линукса так постоянно делают и ничего.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от аноним on 13-Июн-10, 16:49 
правда что ли?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от User294 (ok) on 13-Июн-10, 19:08 
>Разработчики ядра линукса так постоянно делают и ничего.

Так это как? И собственно пруфлинки?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 13-Июн-10, 22:15 
>>Разработчики ядра линукса так постоянно делают и ничего.
>
>Так это как? И собственно пруфлинки?

По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем. К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на OpenNet обсуждались. Первая ссылка в гугле по фразе «ядро Linux замалчивание уязвимостей»: http://www.opennet.ru/opennews/art.shtml?num=20780 .

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от аноним on 14-Июн-10, 12:42 
oбcуждались, помню.
вышло ядро, в нем ченджлог, в нем черным по белому - исправлена уязвимость там-то и там-то.
и тут анонимом прорвало - Замалчивают!!
на вопрос - ну написали же в чендже? или где они должны были это сделать? в коммсомольской правде? заказным письмом? телеграммой в спортлото? - и в ответ красноречивая тишина.

зы:
если я вижу в своем коде ошибку (в том числе и по безопасности), то обычно тутже ее исправляю и пересылаю заказчику с комментариями.
при чем комментарий обычно гораздо больше тех 2-х строчек исправлений.
или мне нужно отправить им только коммент? а исправления в следующем квартале?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

132. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 22:37 
>По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем.

Ну, во первых, не постоянно, а во вторых - даденный вами ниже пруфлинк - на единичный случай исправления не сильно крутой ошибки. Ну, если уж эстетствовать на вашем уровне - дык ваш любыиый sshd вывешенный в инет без костылей, соплей и скотча примотанных сисадмином легко кушает 30% проца благодаря многочисленным брутерским ботикам. Вам почему-то этот пример не понравился и вы начали втирать про задачи. Ну, знаете, у демона "ремотный управлятор" явно нет задачи "выжрать 30% CPU под себя".

>К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на
>OpenNet обсуждались.

Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за наболевшее постоянно приводимому вами в пример sshd :P.И да, если програмеры линуксного ядра должны отвечать за каждый пук, очевидно, програмеры sshd должны тогда отвечать за жрач их демоном 30% проца под какой-то левак.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

135. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Июн-10, 00:11 
>>По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем.
>
>Ну, во первых, не постоянно, а во вторых - даденный вами ниже
>пруфлинк - на единичный случай исправления не сильно крутой ошибки. Ну,
>если уж эстетствовать на вашем уровне - дык ваш любыиый sshd
>вывешенный в инет без костылей, соплей и скотча примотанных сисадмином легко
>кушает 30% проца благодаря многочисленным брутерским ботикам. Вам почему-то этот пример
>не понравился и вы начали втирать про задачи. Ну, знаете, у
>демона "ремотный управлятор" явно нет задачи "выжрать 30% CPU под себя".

Слили в одном треде, пытаетесь доказать тот же свой бред в другом? Здесь я ничего доказывать не буду, пожалуйте обратно в тот тред, где вы так до сих пор мне и не ответили.

>>К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на
>>OpenNet обсуждались.
>
>Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за
>наболевшее постоянно приводимому вами в пример sshd :P.

Не понравилось, что вы явно не понимали, о чём говорите.

>И да, если програмеры
>линуксного ядра должны отвечать за каждый пук, очевидно, програмеры sshd должны
>тогда отвечать за жрач их демоном 30% проца под какой-то левак.

Вы уязвимости и нормальную нагрузку не различаете уже, да? Это уже даже не user'ство, это, простите, натуральное ламерство. Впрочем, повторюсь, это тема для изначального треда. Ваше приплетание sshd здесь ни к селу, ни к городу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

147. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 17-Июн-10, 15:36 
>Слили в одном треде,

Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется? Так держать, далеко пойдете с вашим легендарным качеством.

>пытаетесь доказать тот же свой бред в другом?

Всего лишь провожу аналогии. Двойные стандарты то не рулят, о чем бздуны постоянно забывают. Если все позакрывать фаером как вы советовали с sshd - так даже анрыл с трояном будет неуязвим, пожалуй. Если его порткноком огородить от левых товарисчей :)

>где вы так до сих пор мне и не ответили.

Да там срача сильно много, при том понимаю бы если по существу, а не просто обиженные визги и обсуждение оппонентов.

>>Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за
>>наболевшее постоянно приводимому вами в пример sshd :P.
>Не понравилось, что вы явно не понимали, о чём говорите.

Зато я вполне понимаю о чем я говорю - о том что если демона просто и без всяких задних мыслей вывесить в интернет без соплей и скотча, он начнет некисло кушать проц за счет обслуживания "сетевого шума" из брутерских ботиков, хотя как бы никто никакого масс-обслуживания ботов вроде бы и не просил. При том это явно неподобающее для демона с претензией на секурность поведение, а вы начинаете отмазывать задницу разработчиков не предлагающих внятных мер, что дескать другие задачи, блаблабла. Ну не имеет права демон управления жрать в дефолтном состоянии 30% проца - нет у него задачи масс-обслуживания ботов. А отмазки бздунов меня крайне слабо колебут, когда обсираки разработчиков в дизайне демона и протокола предложено вытягивать мне злостным хенджобом над фаером. А, собственно, заложить в пртокол средства для усложнения автоматичиксого и интенсивного дергания тяжелых сущностей типа раскочегарки криптографии - не того?

>Вы уязвимости и нормальную нагрузку не различаете уже, да?

Для демона ремотного управления жрать 30% проца системы под себя - не есть нормальная нагрузка. И пахнет это тем что называется design flaw. По сути, ремотному атацкеру даден в руки вызов ремотных процедур дергающий весьма тяжелые сущности. И без постановки изощренных костылей атацкер может померяться ресурсами с сервером, дергая на нем тяжелые процедуры. И ессно у тыщи ботов ресурсов больше чем у одного серванта и их 30% загрузуи проца уж точно не напрягает - всяко не на своей же машине сракерствуют.

>Это уже даже не user'ство, это, простите, натуральное ламерство.

Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот так, когда оно им удобно. Круто, так держать.

>Впрочем, повторюсь, это тема для изначального треда. Ваше приплетание sshd
>здесь ни к селу, ни к городу.

Кое-какая аналогия есть: сломать unrealircd с трояном запиханый за порткнок может только тот кто знает как постучаться правильно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

148. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Июн-10, 18:26 
>>Слили в одном треде,
>
>Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется? Так держать, далеко
>пойдете с вашим легендарным качеством.

Проблемы только у вас, судя по всему. По крайней мере вы единственный, кто страдает.

>>пытаетесь доказать тот же свой бред в другом?
>
>Всего лишь провожу аналогии. Двойные стандарты то не рулят, о чем бздуны
>постоянно забывают. Если все позакрывать фаером как вы советовали с sshd
>- так даже анрыл с трояном будет неуязвим, пожалуй.

Бред, даже комментировать не хочу.

> Если его порткноком огородить от левых товарисчей :)

Про port knocking и прочий security by obscurity было говорено уже не раз. Вы так ни разу и не соизволили ни признать свой слив, ни ответить по существу.

>>где вы так до сих пор мне и не ответили.
>
>Да там срача сильно много, при том понимаю бы если по существу,
>а не просто обиженные визги и обсуждение оппонентов.

Вам были приведены конкретные технические причины, почему sshd не может отъедать меньше ресурсов (ранний fork() — который делается в ВАШИХ интересах, например). Вы это проигнорировали. Вам было объяснено на пальцах, чем плох ваш любимый port knocking — это тоже было проигнорировано.

>>>Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за
>>>наболевшее постоянно приводимому вами в пример sshd :P.
>>Не понравилось, что вы явно не понимали, о чём говорите.
>
>Зато я вполне понимаю о чем я говорю - о том что
>если демона просто и без всяких задних мыслей вывесить в интернет
>без соплей и скотча, он начнет некисло кушать проц за счет
>обслуживания "сетевого шума" из брутерских ботиков, хотя как бы никто никакого
>масс-обслуживания ботов вроде бы и не просил.

А причём тут масс-обслуживание? Это сервис, формально (а не в вашей голове) ничем от других не отличающийся. Он делает всё, чтобы защитить передаваемые через него данные и дать доступ только тем, кому позволено. Свои функции он выполняет. В приводимом вами в качестве примера «полезного» сервиса Apache, знаете ли, тоже не стоит задачи защищаться от ботов — это НЕ ЕГО СФЕРА ответственности.

> При том это явно
>неподобающее для демона с претензией на секурность поведение, а вы начинаете
>отмазывать задницу разработчиков не предлагающих внятных мер, что дескать другие задачи,
>блаблабла. Ну не имеет права демон управления жрать в дефолтном состоянии
>30% проца - нет у него задачи масс-обслуживания ботов.

Он их и не обслуживает, а шлёт нафиг, как только поймёт, что они — боты. К сожалению, здесь безопасность протокола достигается определённой ценой с точки зрения траты ресурсов. Если вы предпочитаете побыстрее и пофиг на секурность, то просто OpenSSH — не для вас, вот и всё.

> А отмазки
>бздунов меня крайне слабо колебут, когда обсираки

Культура так и прёт. Сразу видно известного специалиста по безопасности, который, правда, ни разу в код охаиваемого им программного продукта не глядел…

> разработчиков в дизайне демона
>и протокола предложено вытягивать мне злостным хенджобом над фаером.

… но при этом твёрдо знает, что внутри говно.

> А, собственно,
>заложить в пртокол средства для усложнения автоматичиксого и интенсивного дергания тяжелых
>сущностей типа раскочегарки криптографии - не того?

Внимательно слушаем ваши предложения. Попутно ждём от вас рассказа о том, как сделать нешифрованную передачу конфиденциальных данных вроде логина-пароля надёжнее шифрованной.

>>Вы уязвимости и нормальную нагрузку не различаете уже, да?
>
>Для демона ремотного управления жрать 30% проца системы под себя - не
>есть нормальная нагрузка. И пахнет это тем что называется design flaw.

Покажите как надо, вы же спец, вы же знаете.

>[оверквотинг удален]
>ресурсами с сервером, дергая на нем тяжелые процедуры. И ессно у
>тыщи ботов ресурсов больше чем у одного серванта и их 30%
>загрузуи проца уж точно не напрягает - всяко не на своей
>же машине сракерствуют.
>
>>Это уже даже не user'ство, это, простите, натуральное ламерство.
>
>Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует
>автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот
>так, когда оно им удобно. Круто, так держать.

Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про фичи я молчу, пусть хотя бы шелл даёт.

>>Впрочем, повторюсь, это тема для изначального треда. Ваше приплетание sshd
>>здесь ни к селу, ни к городу.
>
>Кое-какая аналогия есть: сломать unrealircd с трояном запиханый за порткнок может только
>тот кто знает как постучаться правильно.

То есть все его пользователи. Разумеется, ни один из них не будет пытаться сломать сервак. Гениально!

User294, вы сейчас лично меня сильно разочаровали. Обычно вы умнее и с вами можно вести серьёзный диалог. Сейчас вы попросту упёрлись в свой фанатизм. Противно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

151. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Arago on 18-Июн-10, 12:17 
>[оверквотинг удален]
>>же машине сракерствуют.
>>
>>>Это уже даже не user'ство, это, простите, натуральное ламерство.
>>
>>Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует
>>автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот
>>так, когда оно им удобно. Круто, так держать.
>
>Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про
>фичи я молчу, пусть хотя бы шелл даёт.

А как вариант - прикрутить к протоколу начальный пароль (открытым текстом), предназначенный только лишь для получения доступа к процедуре полномасштабной, тяжёлой но безопасной аунтентификации для входа в систему. Конечно, если ботнет хочет досить именно этот конкретно взятый SSH, то это не поможет, но вот от подобного сетевого шума и расхода 30% CPU на криптографию спасёт.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

152. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 18-Июн-10, 16:05 
>[оверквотинг удален]
>>>так, когда оно им удобно. Круто, так держать.
>>
>>Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про
>>фичи я молчу, пусть хотя бы шелл даёт.
>
>А как вариант - прикрутить к протоколу начальный пароль (открытым текстом), предназначенный
>только лишь для получения доступа к процедуре полномасштабной, тяжёлой но безопасной
>аунтентификации для входа в систему. Конечно, если ботнет хочет досить именно
>этот конкретно взятый SSH, то это не поможет, но вот от
>подобного сетевого шума и расхода 30% CPU на криптографию спасёт.

Заодно замечу, что злосчастные 30% CPU я наблюдал только при снятии дампа по-живому, на далеко не самой быстрой машине. А вот сетевой шум я вообще не замечаю, даже на домашнем роутере (P-III, провайдер с более-менее честными 100 Мбит/с, прямая и обратная DNS-записи присутствуют, доменное имя и IP-адреса в инете засвечены, работает не первый год).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от User294 (ok) on 13-Июн-10, 19:06 
А сколько *лет* в AWARD BIOS жила бэкдорина AWARD_SW? Она кстати и сейчас в биосах подобного типа жива, только мастер-пароль наконец доперли менять и/или отключать.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  –3 +/
Сообщение от Krazy on 13-Июн-10, 22:06 
Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели? Нет? Тогда в чем тогда смысл этого вашего мифического превосходства open source?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +2 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 13-Июн-10, 22:11 
>Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели? Нет?
>Тогда в чем тогда смысл этого вашего мифического превосходства open source?

Да ещё ладно смотреть, надо понимать, что там делается. Закладку можно размазать по коду в несколько десятков тысяч строк, среди функций типа hash_my_struct(), construct_msg() и parse_input().

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от Krazy on 14-Июн-10, 09:52 
>а ещё ладно смотреть, надо понимать, что там делается. Закладку можно размазать по коду в несколько десятков тысяч строк, среди функций типа hash_my_struct(), construct_msg() и parse_input().

О том и речь. Утверждение о том, что в проектах open source все зашибись, потому что пользователь уверен, что в коде отсутствуют всякие закладки и бэкдоры, в корне является неверным и называется просто - МИФ.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +2 +/
Сообщение от Dvorkin email(ok) on 14-Июн-10, 10:38 
> Утверждение

печально работать К.О. для наверное образованого человека...
зашибись потому, что закладки/бекдоры быть могут. но если они есть и софт интересен - то обязательно всплывут и будут исправлены. а следствия и неправильные посылы и выводы оставьте школьникам

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от Mad (??) on 14-Июн-10, 12:25 
>печально работать К.О. для наверное образованого человека...
>зашибись потому, что закладки/бекдоры быть могут. но если они есть и софт интересен - то обязательно всплывут и будут исправлены. а следствия и неправильные посылы и выводы оставьте школьникам

Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.

У вас получится? Сколько людей вам известно, сделавших это? А сколько знакомых админов или просто продвинутых пользователей это делали?

Да и потом - хоть кто-то делает сравнение контрольных сумм бинарей в дистрах с бинарями, полученными при компиляции исходников, в которых вы эти закладки искать собираетесь?

Так в чем тогда превосходство open source над closed source?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

58. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +1 +/
Сообщение от аноним on 14-Июн-10, 13:00 
допустим я учавствую (а я участвую) в нескольких проектах.
мне они просто интересны.
когда появляется что-то интересное (для меня), то первым что я делаю - это смотрю дифы (а если проект мне интересен, то я юзаю его из системы контроля версий и никак иначе).
если мне что-то не ясно или мне кажется, что вот так будет лучше, то правлю, отправляю комменты в список рассылки, связываюсь по почте с автором измененного куска кода (благо он в каждом дифе чуть ли не первой строчкой)

теперь внимание, 2-а вопроса:
1. если я увижу закладку, то я промолчу? какой лично мне профит?
2. как вы думаете, остальные проекты не в такой же ситуации? ведь там не я, но такие же как я. во всеж опенсорсных проектах (подчеркну -  во всех)
ну и 3 - про госсруктуры (не наши. нашим пока ничто не интересно) я вообще молчу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Dvorkin email(ok) on 14-Июн-10, 13:46 
да че ты ему обьясняешь? даже школьнику понятно, что если открытый проект кому-то нужен, то всё найдут и всё исправят и напишут об этом.
а этот - выше - простое трололо, а ты повелся :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

65. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Dvorkin email(ok) on 14-Июн-10, 15:45 
> Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.

ЗАЧЕМ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

73. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Михаил (??) on 14-Июн-10, 17:55 
>> Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.
>
>ЗАЧЕМ?

А вдруг там что то не так? Вдруг уязвимость? Или вы тоже полагаетесь на легион анонимных вымышленых экспертов по безопасности?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

81. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 14-Июн-10, 18:51 
нет конечно.
он полагается на $200'000'000 вложенных пентагоном в безопасность висты.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

89. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  –1 +/
Сообщение от Dvorkin email(ok) on 14-Июн-10, 20:06 
>нет конечно.
>он полагается на $200'000'000 вложенных пентагоном в безопасность висты.

я поражаюсь, скольким людям, оказывается, необходим для работы Ирк-сервер... :)
я-то по недомыслию всегда считал ирки троянами... а тут - вон оно как!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

133. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 22:42 
>я-то по недомыслию всегда считал ирки троянами...

Может быть мсье готов предложить более вменяемый групчат? Почему-то за столько лет групчатов юзабельнее так никто и не родил толком.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

139. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Dvorkin email(ok) on 16-Июн-10, 11:25 
>Может быть мсье готов предложить более вменяемый групчат? Почему-то за столько лет
>групчатов юзабельнее так никто и не родил толком.

если уж совсем нужно - то жаббер. хотя я сомневаюсь что гропчаты вообще нужны по работе

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

96. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Mad (??) on 14-Июн-10, 21:10 
>нет конечно.
>он полагается на $200'000'000 вложенных пентагоном в безопасность висты.

Лучше полагаться на разработанный АНБ SELinux?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

97. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от аноним on 14-Июн-10, 21:24 
конечно.
он открыт. и всеми серьёзными специалистами в этой сфере уже давно проверен вдоль и поперёк.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

68. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Василий (??) on 14-Июн-10, 17:25 
>Вот явное преимущества open source - уязвимость может обнаружить любой. Не получится
>умолчать и тихой сапой выпустить патч через 400 дней.

Супер. Трояная случайно обнаружили сами разработчики через 210 дней. Тем кого поломали уже все равно 210 или 400. Кстати расскажите нам об этих таинственных 400 днях. Желательно с пруфлинком. Очень интересно что вы имели в виду под этим красивым числом. Без пруфлинка  можно контстатировать что это очередной треп.

И при чем тут любой у кого есть доступ к коду? Много специалистов безопасности готовы тратить свое время на анализ кода одного из тысяч опенсорс проектов? Рассказы про толпы пионеров которые прийдут просмотрят код и все поправят просьба тут не писать. Подобные сказки оставим детскому саду.

Надо изначально нормально организовывать меры безопасности проекта а не рассказывать сказики про неуязвимость опенсорса. А то получается защита из разряда неуловимого Джо. Его не могут поймать потому что никому не интересно его ловить.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

124. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от User294 (ok) on 15-Июн-10, 17:05 
А давайте не бухтеть? Я вот слегка копался в коде анрылы. Вот только так получилось что у меня почему-то вот не протрояненые копии как-то были. Чтобы трояненую поиметь - вообще пришлось самому заковыривать патч с трояном, который еще и заковыриваться не хотел. Пришлось в полуручном режиме впихивать.

Почему так? Потому что обычно в сети крайне геморно сменить версию IRCD если она хоть немного не совместима со старой и проще бэкпортануть фикс дыры или крутой баги (if any) в существующую версию чем переставить сервера, вызвав расколбас всей IRC-сети. Потому что обычно сети гоняют IRCD с 100500 кастомных локальных патчей под реалии конкретной сети, особенности и грабли (некоторые вообще в итоге делают свой ирцд :D). А половина лабухов которые ставят анрыл впервые - ставят его из репов своей оси и т.п. например. В итоге думается за эти дни скачало анрылу в виде сорса распоследней версии не так уж и много народа. В общем то попытки проверки дыры показали что процент уязвимых анрылов как-то не очень оптимистичный. У части версии не те, а остальные толи все резко пообновлялись (что врядли), толи гайки по секурити на уровне оси подтянули нехило (oh really?), толи просто юзают версию без трояна. Как-то результаты опробования молотка на попавшихся под руку гвоздях не внушили особого оптимизма.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Открытость - это возможность защиты, но не защита."  +2 +/
Сообщение от AZ_from_Belarus (ok) on 13-Июн-10, 12:34 
Открытый код дает возможность сообществу (или отдельным пользователям) обнаружить и защититься от враждебного кода. Но возможность - еще не сама защита и предполагает какие-то активные действия. Но... сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков. Т.е. фактически требуется прочесть весь код и осознать что делает тот или иной фрагмент кода. Когда-то мне довелось ваять веб-приложение для сомнительного заказчика. Сомнительность начала проявляться уже по ходу работы (иначе бы за нее не взялся). Посему, пришлось защищаться. Перед сдачей проекта (вместе со всеми исходниками) засунул в эти же самые исходники и в сдаваемую базу занятный фрагментик. Он привязывался и к разнице дат в записях таблиц базы данных. Таким образом определялось время эксплуатации данной инсталляции. Через два месяца эксплуатации одна из расчетных процедур начинала работать... своеобразно. с вероятностью в 25 процентов делала неверный расчет причем в ущерб владельцу сервиса. Далее несу этот код сдавать, и в самый конец прилагаю листочек в котором прописано то, что данное приложение содержит защитные вставки ограничивающие срок эквплуатации приложения, т.е. являтся полнофункциональной демо-версией. Сведения о расположении и содержании вставок и необходимых заменах обязуюсь передать при полном расчете с закачиком, а разработанную сверх заданя демо-версию оставляю ему после этого бесплатно.
Как в воду смотрел. Мужик начал крутить носом, то пытался изобразить теститрование не линии в 1 кбпс, то делал вид, что что-то неправильно понимает (говорили посредством английского)... Затем заявил, что заплатит толькое если я обязаюсь в течение пяти лет не разрабатывать ПОДОБНЫЕ приложения. На этом я его уже послал по русски нахуй и попросил присутствовавшего коллегу адекватно перевести на его французский. затем достал со дна стопки тот самый листочек и попросил разъяснить - что это значит. Порекомендовал подсчитать солько займет времени и средств самостоятельный поиск закладки и корректное ее изъятие. Сказал, что буду посматривать на состояние своего счета, когда увижу окончательный расчет незамедлительно перешлю обещанное. Помахал ручкой и ушел. Деньги поступили через неделю. Еще через пару недель заказчик передавал через знакомых сожаления о том, что мы неправильно друг друга поняли, и что он в принципе заинетерсован в дальнейшем сотрудничестве и прочее бла-бла. Наверное понравился русский мат :-).
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от pavlinux (ok) on 13-Июн-10, 22:09 
> Наверное понравился русский мат :-).

Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена дистрибутива ИРКи? :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от AZ_from_Belarus (ok) on 13-Июн-10, 22:28 
>Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена
>дистрибутива ИРКи? :)

Отчего ж наболело? Это лишь пример. И давненько это было, году этак в 98.
А пример иллюстрирующий сказанное в самом начале:
"возможность - еще не сама защита и предполагает какие-то активные действия. Но... сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков."
Открытый код - еще не означает "безопасный код".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 13-Июн-10, 22:48 
А в случае closed source сами разработчики поправить с приемлемыми трудозатратами не могут
Выше, про Office XP
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

70. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от Михаил (??) on 14-Июн-10, 17:43 
>А в случае closed source сами разработчики поправить с приемлемыми трудозатратами не
>могут

Они просто могут нормально разрабатывать и проверять свой код по одной из методик тестирования кода на основные критерии безопасности. Microsoft делает это вот так http://www.google.ru/url?sa=t&source=web&cd=2&ved=0CCEQFjAB&...

Перед тем как код попадет в производственную версию продукта он проходит обязательный аудит безопасности.

Как это делают опенсорс сообщества неизвестно. И делают ли вообще.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

91. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 14-Июн-10, 20:23 
Ты лучше расскажи про их успехи в производстве секурного софта :)
Я уже ржу - жду от тебя подтверждений что с выходом висты или в7 вирусы остались в прошлом :)

PS: Ога, попкорна - вагон! Начинай :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

102. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 14-Июн-10, 23:05 
как делает это мс видно и так.
касперский им очень благодарен за это,
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

125. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от User294 (ok) on 15-Июн-10, 17:39 
>Перед тем как код попадет в производственную версию продукта он проходит обязательный
>аудит безопасности.

Какие красивые слова. Только почему-то ишак по прежнему дыряв, вирусы по прежнему есть, а дыры почему-то часто сплошняком накрывают все NT, от винтукея до семерки. Алсо, надо сказать что винда без софта - малополезна. А вот тут извольте get the facts-ов откушать:
1) Юзеры качают софт откуда попало. И если в случае опенсорса троян в софте это вопиющее и исключение, то в случае проприетари и винды - это норма жизни. Половина сайтов просто раздает откровенные трояны, спайварь, адварь, инсталлеры с двойным дном и прочая. В итоге юзать винду без антиспайвари, антивируса и сурового фаера прото нереально.
2) В винде зачем-то куча сервисов висит от учетки SYSTEM. Поэтому ... да, поимение какогонить системного сервиса неизбежно дает вирью полный контроль над ОС с правами подлиннее чем у сисадмина (удачи коему потом в выпинывании этой заразы, ага).
3) Винде плевать на то насколько уязвимы 3rd party программы. И половине их авторов - тоже плевать, строго говоря.
4) Аналогично и насчет shared libs. В винде с управлением 3rd party shared libs-ами полный бардак. В итоге и по сей день у виндузятников можно найти софт работающий скажем с сетью и при том - с дырявой эксплойтабельной злибой. Это в пингвиназ все просто: заменил 1 шаред либу да еще и пакетным манагером и ВСЕ ее юзают. А в винде... ну вот так вот, да.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "Открытость - это возможность защиты, но не защита."  +2 +/
Сообщение от pavlinux (ok) on 14-Июн-10, 02:17 
>>Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена
>>дистрибутива ИРКи? :)
>
>Отчего ж наболело? Это лишь пример. И давненько это было, году этак
>в 98.
>А пример иллюстрирующий сказанное в самом начале:
>"возможность - еще не сама защита и предполагает какие-то активные действия. Но...
>сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем
>со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков."

Да ладно, wireshark или tcpdump запустит каждый чайнег, и увидит что трафик куда-то уходит...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 14-Июн-10, 13:25 
ну и чем этот пост говорит?
1. что лично вы этой возможностью не пользуетесь.
2. если даже великий "ВЫ" ей не пользуетесь, то что можно говорить про этих "они".

зы:
а ведь эти "они" совместным усилием и написали вон эту вот прогу. при том что лично они порой и не знакомы.
ззы:
на просмотр дифов из жита новой версии ядра у меня уходит минут 30-60. это не много.
не скажу что я сильно вникаю во все подсистемы, но в интересные для меня - всегда.
и это в ведре, а там меня активным разработчиком не назовешь. в отличии от нескольких других проектов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

72. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от Михаил (??) on 14-Июн-10, 17:53 
>на просмотр дифов из жита новой версии ядра у меня уходит минут
>30-60. это не много.
>не скажу что я сильно вникаю во все подсистемы, но в интересные
>для меня - всегда.
>и это в ведре, а там меня активным разработчиком не назовешь. в
>отличии от нескольких других проектов.

И вы мельком просмотрев интересный вам код можете найти в нем уязвимости? Очень в этом сомневаюсь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

80. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 14-Июн-10, 18:45 
1. то что меня интересует я смотрю далеко не мельком.
2. ну вы то в клозедсорсе вообще ниего не можете.
3. это выш выше пост про требование пруфа на 400 дней?
а 10 ЛЕТ незакрытая дыра в смб-протоколе - вам тоже не попадалась? сами пруф поищите или помочь?

зы:
не стоит высказывать свои сомнения в компетентности собеседника априори. это глупо и не восспитанно.
поверьте, даже 30 минут в коде коротый знаешь вполне джостаточно, чтобы понять что он делает.
как хорошо он делает то что должен - это уже совсем другой разговор


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

83. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от Михаил (??) on 14-Июн-10, 19:12 
>[оверквотинг удален]
>а 10 ЛЕТ незакрытая дыра в смб-протоколе - вам тоже не попадалась?
>сами пруф поищите или помочь?
>
>зы:
>не стоит высказывать свои сомнения в компетентности собеседника априори. это глупо и
>не восспитанно.
>поверьте, даже 30 минут в коде коротый знаешь вполне джостаточно, чтобы понять
>что он делает.
>как хорошо он делает то что должен - это уже совсем другой
>разговор

Для сведения та самая пресловутая 10 летняя дыра о которой так любят говорить не эксплоитабельна по умолчанию. Для того чтобы она заработала нужно отключить smb message signing который включен по умолчанию. 99,99% клиентов никогда не отключают подпись пакетов SMB. Неожиданно правда?

Отсюда делаю вывод что вы тоже не в курсе того о чем говорите т.е просто пересказываете мифы. :)

Как видите я могу очень квалифицированно диагностировать Linux правду.

Так что насчет ссылки на 400 дневную уязвимость?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

93. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 14-Июн-10, 20:47 
т.е. 10 лет усиленных проверок и такой результат - это нормально? :D
210 дней (или сколько там?) в левом архиве не из апстрима заштатной проги - кошмар!? :D

зы:
ожиданно-ожиданно.
отключить эту проверку проще чем в соседней комнате удаленно свет. намного проще.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

98. "Открытость - это возможность защиты, но не защита."  –1 +/
Сообщение от Иван (??) on 14-Июн-10, 21:58 
>т.е. 10 лет усиленных проверок и такой результат - это нормально? :D
>
>210 дней (или сколько там?) в левом архиве не из апстрима заштатной
>проги - кошмар!? :D
>
>зы:
>ожиданно-ожиданно.
>отключить эту проверку проще чем в соседней комнате удаленно свет. намного проще.
>

Да ладно заливать. Поучите теорию чтобы не позориться. Message Signing не возможно отключить удаленно. По умолчанию он включен и чтобы его выключить локальному админу нужно очень постараться.

Смысл исправлять такую уязвимость? Это даже не уязвимость. Для ее эксплуатации местный админ должен ох как постараться помочь злоумышленнику. Это все равно что самому стену навстречу атакующим долбить.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

100. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 14-Июн-10, 22:59 
ну конечно! это же фича! и как я не догадался?! :D
ok (хоть любую локальную уязвимость можно использовать через другую, удаленную, например в ие). а вот с этим как? http://seclists.org/bugtraq/2010/Feb/108 цитата:
>Title: Windows SMB NTLM Authentication Weak Nonce Vulnerability
>Vulnerability information - Impact: An unauthenticated remote attacker without any kind of credentials can access the SMB service under the credentials of an authorized user... This vulnerability was verified by the authors on the following platforms: Windows NT4 SP1 Windows Server 2003 SP2 Windows XP SP3 Windows Vista x32 Windows 7 x32 RC

так сколько лет данной уязвимости со времен NT4 SP1? так чем вы говорите пользуется мс для проверки кода?:D
зы:
не скромный вопрос - вы (и чудик коментом ниже) умеете пользоваться гуглом?
попробуйте поискать вот так - windows+smb+vulnerability+10+year.
или вы только в бинге, а он про винду плохо не говорит? :D

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

103. "Открытость - это возможность защиты, но не защита."  –1 +/
Сообщение от аноним on 14-Июн-10, 23:39 
17 лет
>Given that Windows NT 4 was relased in ~1996 this vulnerability has been

present for ~14 years. If it is confirmed this vulnerablity is also
present in older systems such as Windows NT 3.1, released in ~1993,
Windows NTLMv1 authentication mechanism could have been vulnerable for
~17+ years.
/

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

106. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от Иван (??) on 15-Июн-10, 00:27 
>17 лет
>>Given that Windows NT 4 was relased in ~1996 this vulnerability has been
>
>present for ~14 years. If it is confirmed this vulnerablity is also
>
>present in older systems such as Windows NT 3.1, released in ~1993,
>
>Windows NTLMv1 authentication mechanism could have been vulnerable for
>~17+ years.
>/

Таки пруф линк или опять балаболим про мифические уязвимости? Такую кучу текста любой может напечатать. :)

Даже если предположить что вы говорите о чем то реальном то для тех кто с 1996 года не следит за развитием технологий и уже не в теме объясняю. NTLM v1 уже давно нигде не используется.

На досуге почитайте http://ruslan-karmanov.spaces.live.com/?_c11_BlogPart_BlogPa...

И попробуйте ответить на первый воспрос приведенный в ссылке. Цитирую для ленивых:

"В семействе ОС Windows есть 3 протокола аутентификации - LM, NTLM, NTLMv2. Новейшие ОС Windows 98 и Windows NT 4.0 используют протокол NTLMv2. Объясните, почему через номер в журнале "Хакер" описывают скорый апокалипсис, базируясь на уязвимостях в LM. Постарайтесь, чтобы ответ не был рекламой некрофилии."


Может мозг встанет на место и наконец узнаете о том что есть NTLM 2 который применяется начиная с Windows 98 и Windows NT 4.

В сети не осталось Windows NT 3.1 и Windows NT 4. Даже Windows 98 уже сдана в утиль  http://www.w3schools.com/browsers/browsers_os.asp

А вы все годы существования уязвимости считаете. Вот уж мифотворчество то махровое. Про то что у любого продукта есть окончание поддержки вы из своей пещеры тоже наверно не слышали. Или опять начнете выкручиваться что в Linux все не так и конечно же лучше чем у всех? :)

Так что знания у вас мало того что никудышние так еще и устарелые. Пойдите поучитесь на курсах что ли. Глядишь узнаете про NTLM 2 и kerberos в новых версиях Windows.

Может вас после этого страхи перед древними эксплоитами отпустят и вы перестанете людям головы чушью забивать.

В общем делаю вывод что вы снова слили. Интересно сколько вас там за анонимуса пишет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

107. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 15-Июн-10, 00:30 
>[оверквотинг удален]
>>~17+ years.
>>/
>
>Таки пруф линк или опять балаболим про мифические уязвимости? Такую кучу текста
>любой может напечатать. :)
>
>Даже если предположить что вы говорите о чем то реальном то для
>тех кто с 1996 года не следит за развитием технологий и
>уже не в теме объясняю. NTLM v1 уже давно нигде не
>используется.

Если правильно помню, NTLMv1 не используется _по_умолчанию_, а вот _выключен_ он был только в Win2003 Server, кажись, а то и позднее. То есть по дефолту-то _нормальные_клиенты_ юзали NTLMv2, а вот нехорошие вполне могли прикинуться ветошью, умеющей только NTLMv1…

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

108. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от Иван (??) on 15-Июн-10, 00:58 
>[оверквотинг удален]
>>
>>Даже если предположить что вы говорите о чем то реальном то для
>>тех кто с 1996 года не следит за развитием технологий и
>>уже не в теме объясняю. NTLM v1 уже давно нигде не
>>используется.
>
>Если правильно помню, NTLMv1 не используется _по_умолчанию_, а вот _выключен_ он был
>только в Win2003 Server, кажись, а то и позднее. То есть
>по дефолту-то _нормальные_клиенты_ юзали NTLMv2, а вот нехорошие вполне могли прикинуться
>ветошью, умеющей только NTLMv1…

По умолчанию в windows 2003 используется NTLM 2. Автоматического отката к более ранней версии NTLM 1 нет. Поэтому у многих возникали проблемы совместимости со старыми клиентами. http://support.microsoft.com/kb/555038

Так же стоит отметить что NLM 2 появился начиная с Windows NT 4 SP2.

По умолчанию взаимодействие идет в режиме message signing.

By default, security settings on domain controllers running Windows Server 2003 are configured to help prevent domain controller communications from being intercepted or tampered with by malicious users. For users to successfully negotiate communications with a domain controller that runs Windows Server 2003, these default security settings require that client computers use both server message block (SMB) signing and encryption or signing of secure channel traffic. Clients that run Windows NT 4.0 with SP2 or earlier installed and clients that run Windows 95 do not have SMB packet signing enabled and cannot authenticate to a Windows Server 2003 domain controller.

В общем с выходом NT 4 те экспоиты о которых тут браво трубит аноним не актуальны. Если посмотреть сюда http://en.wikipedia.org/wiki/Windows_NT_4.0 видим что SP2 для Win NT 4 вышел как раз 14 декабря 1996 года. Прошло уже 14 лет. Те самые которые аноним записал во время существования уязвимости.

Давно дело было, не правдали? Как у анонима сохранились столь устаревшие знания об окружающем мире диву даюсь. У Microsoft уже три поколения серверных и клиентских ОС без этой "уязвимости" вышло, а аноним все в специалиста по безопасности играет и людям ужасы рассказывает. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

113. "Открытость - это возможность защиты, но не защита."  –1 +/
Сообщение от аноним on 15-Июн-10, 11:42 
http://www.kb.cert.org/vuls/id/135940
>Microsoft Windows Vista and Server 2008 do not correctly parse SMB version 2 messages.This vulnerability could allow an attacker to execute arbitrary code. Solution. There is currently no solution to this problem. Until patches are available, users and administrators are encouraged to review the below workarounds.

http://news.cnet.com/8301-27080_3-10397759-245.html
>Microsoft patching zero-day Windows 7 SMB hole

http://vil.nai.com/vil/content/v_vul51500.htm
>(MS10-020) Microsoft Windows SMB Client Message Size Vulnerability (980232)
>An unauthenticated remote code execution vulnerability exists in the way that Microsoft Server Message Block (SMB)... no user interaction is needed... Windows  7, Windows  7 x64, Windows Server 2008  RTM,

список можно продолжать.
на фоне irc сервера и их левого архива выглядит эпично.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

105. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 15-Июн-10, 00:23 
>[оверквотинг удален]
>>Vulnerability information - Impact: An unauthenticated remote attacker without any kind of credentials can access the SMB service under the credentials of an authorized user... This vulnerability was verified by the authors on the following platforms: Windows NT4 SP1 Windows Server 2003 SP2 Windows XP SP3 Windows Vista x32 Windows 7 x32 RC
>
>так сколько лет данной уязвимости со времен NT4 SP1? так чем вы
>говорите пользуется мс для проверки кода?:D
>зы:
>не скромный вопрос - вы (и чудик коментом ниже) умеете пользоваться гуглом?
>
>попробуйте поискать вот так - windows+smb+vulnerability+10+year.
>или вы только в бинге, а он про винду плохо не говорит?
>:D

Таки в данном случае вы неправы, так как путаете две вещи: 1. Время между появлением уязвимости и её устранением; 2. Время между обнаружением уязвимости и её устранением. Про (1) говорить бессмысленно, так как, например, указанная дырка банально старее нынешнего ядра Linux. :) Вот (2) — да, должно быть минимальным, это непосредственно контролируемый фактор, и его растягивание есть прямое пренебрежение интересами клиентов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

111. "Открытость - это возможность защиты, но не защита."  –1 +/
Сообщение от аноним on 15-Июн-10, 11:07 
таки я ничего не путаю. :D
1. вы точно уверены, что появление уязвимости и обнаружение уязвимости - это одно и тоже?
лично я уверен, что это ОЧЕНЬ разные понятия. (не говоря уже про упомянутую технологию и усиленную работу мс по поиску уязвимостей)
2. вы серьезно хотите чтобы я привел тут все ссылки на уязвимости смб/цифс?
ключ поиска я давал. к примеру, во второй ссылке временная мера отключения смб2 из-за критической уязвимости.
3. нe и уж тем более я не собираюсь участвовать в диалоге с хамовитым чудиком, рекламирующем карманова. и клавно где? сам вопрос - кто лучше пишет проги - пара энтузиастоа с ирк или самая крупная софтверная контора на планете? :D
моветон. занавес.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

120. "Открытость - это возможность защиты, но не защита."  –1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 15-Июн-10, 15:45 
>таки я ничего не путаю. :D
>1. вы точно уверены, что появление уязвимости и обнаружение уязвимости - это
>одно и тоже?
>лично я уверен, что это ОЧЕНЬ разные понятия.

Простите, вы читать где учились? Это я вас (или кто там из вас "аноним") ткнул в некорректность смешения этих понятий.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

123. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 15-Июн-10, 15:55 
а вы?
или гениальной вышеупомянутой системе поиска требуется 17 лет и пару хакеров - только в таком режиме и работает?
тред пошел с того, что код никто не проверяет в отличии от офтопика. видимо ваши читательские способности ниже писательских ибо 17 лет "проверок и аудита" - отличный показатель.

еще раз, для одаренных - вопрос стоял не сколько уходит времени на устранение (что отдельный разговор), а сколько дыра существует вообще.
и, кстати, не факт что она не эксплуатировалась.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

129. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 15-Июн-10, 21:02 
>а вы?
>или гениальной вышеупомянутой системе поиска требуется 17 лет и пару хакеров -
>только в таком режиме и работает?

А в BSD находили баги 25-летней давности. А в Linux таких нет по одной простой причине: Linux тогда ещё в проекте не было. :) Понимаете о чём я? Мерять давностью дырки — довольно глупо. Shit happens. Just happens.

>тред пошел с того, что код никто не проверяет в отличии от
>офтопика. видимо ваши читательские способности ниже писательских ибо 17 лет "проверок
>и аудита" - отличный показатель.

См. выше. Я не защищаю винду как таковую, я говорю лишь о том, что приведённый вами аргумент некорректен. Некорректность доказательства не влечёт за собой некорректность тезиса, если вы помните. Так что можете не волноваться.

>еще раз, для одаренных - вопрос стоял не сколько уходит времени на
>устранение (что отдельный разговор), а сколько дыра существует вообще.
>и, кстати, не факт что она не эксплуатировалась.

Не факт, что Шекспир действительно существовал, и что? :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

131. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от аноним on 15-Июн-10, 22:34 
было утверждение, что проприетарная разработка намного лучше, поскольку баги отсеиваются на этапе подготовки.
вполне очевидно что это не так.
вот по этому вопросу ещё что-то не ясно?

зы:
по вопросам существования Шекспира вы явно ошиблись адресом.
ззы:
в вопросах же одаренности я все-таки не ошибся. :D
это хорошо. не придётся извиняться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

134. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Июн-10, 00:02 
>было утверждение, что проприетарная разработка намного лучше, поскольку баги отсеиваются на этапе
>подготовки.
>вполне очевидно что это не так.
>вот по этому вопросу ещё что-то не ясно?

Я к этому утверждению не имею никакого отношения. Перечитайте тред.

>зы:
>по вопросам существования Шекспира вы явно ошиблись адресом.
>ззы:
>в вопросах же одаренности я все-таки не ошибся. :D
>это хорошо. не придётся извиняться.

Угу. Всё равно вы это делать не умеете.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

146. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от AlexAT (ok) on 17-Июн-10, 14:27 
>еще раз, для одаренных - вопрос стоял не сколько уходит времени на
>устранение (что отдельный разговор), а сколько дыра существует вообще.
>и, кстати, не факт что она не эксплуатировалась.

Про то, что МС пренебрегает тестированием - для меня очевидный факт.

В свое время получил во время разработки странный результат, проявлявшийся в падении RPCSS при отправке не совсем корректно сформированного пакета RPC. Немножко анализа показало, что существует дыра, и вполне вероятно, эксплоитабельна.

Отправил уведомление MS с описанием вероятной дыры. Получил сообщение автоответчика, и стал ждать "живого" ответа. Прошел месяц. Два. Я забил. И вспомнил уже позже - когда через год появился Blast, который эксплуатировал эту самую дыру в RPC.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

99. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от Иван (??) on 14-Июн-10, 22:14 
>т.е. 10 лет усиленных проверок и такой результат - это нормально? :D
>
>210 дней (или сколько там?) в левом архиве не из апстрима заштатной
>проги - кошмар!? :D
>
>зы:
>ожиданно-ожиданно.
>отключить эту проверку проще чем в соседней комнате удаленно свет. намного проще.
>

Ну так что ссылки будут на описание уязвимостей в 400 дней и 10 лет. Или можно считать что Linux экперты как обычно слили?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

127. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от User294 (ok) on 15-Июн-10, 17:41 
А почему Linux эксперты, кстати? Сорс для всех платформ, даже для винды. Давайте тогда и слив виндовых экспертов чтоли признаем для симметрии?А также макосевых и прочих :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

126. "Открытость - это возможность защиты, но не защита."  +/
Сообщение от User294 (ok) on 15-Июн-10, 17:40 
>И вы мельком просмотрев интересный вам код можете найти в нем уязвимости?

Загрепать system в сорсах очевидно ракетная наука :).Хотя бэкдор сделан технично, не очень палится внешним видом, да.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

130. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavel (??) on 15-Июн-10, 21:16 
Посмею высказать своё мнение по поводу приведённого выше обсуждения :-). По моему программы создают программисты, и именно от них зависит качество программы. Название программы, открыты ли её исходники, слабо влияет на качество программы. Появился Линус, появился и линкус, Линус и его коллеги продолжают поддерживать ядро, ядро живёт. По моему идеология свободных программ просто более справедлива, хотя тоже вызывает вопросы, например по вознаграждению труда программистов, она практически не влияет на качество программ разрабатываемых по ней.
А что качается безопасности универсальных систем, так она очень низкая, window xp вообще многими солидными фирмами признана как критически опасная, без добавочных средств такие системы не пригодны даже для работы с конфиденциальной информацией, не говоря уже про государственную тайну.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

142. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от Sugar email(ok) on 16-Июн-10, 18:10 
Очевидно, это одно из самых точных замечаний, из всего срача, написанного выше.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

150. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."  +/
Сообщение от pavlinux (ok) on 17-Июн-10, 23:18 
> Информация о наличии проблемной версии в
> репозиториях других дистрибутивов отсутствует,

В SuSE такого даже нет...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру