Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Jakby tak co dziesiąta duża firma, która używa OpenSSL się zrzuciła, to pewnie zamiennik dla OpenSSL powstałby bardzo szybko. Najlepiej, jakby powstała obok implementacji w C (ale tak, z możliwością korzystania z zabezpieczeń języka C w OpenBSD/grsecurity) też w jakimś bezpieczniejszym języku programowania, w świecie open source chyba Python byłby odpowiedni bo ma otwartą i jednocześnie, co ważne, dobrą implementację (a nie tak jak z Javą, w której język jest niby bezpieczny, ale otwarta implementacja dziurawa jak sito). Nie wiem, może [url=http://www.rust-lang.org/]język Rust od Mozilli[/url] też byłby dobry, ale on jest jeszcze nieukończony.
Offline
[quote=mati75]To samo z kernelem jest: http://lkml.iu.edu/hypermail/linux/kernel/1404.1/03040.html[/quote]
Z Kernelem? do jajka dodają ciągle nowe sterowniki, ale ciągle też trwa czyszczenie staroci, i stopniowa unifikacja sterowników.
Przy tej okazji w kernelu mogę rożne patologiczne rzeczy łatwiej zrozumieć, jeśli brać pod uwagę listę obsługiwanego sprzętu, i to, że stoi na nim praktycznie cały system.
Biblioteka OpenSSL czy Firefox, to są rzeczy do wykonywania jednej lub kilku(nastu?) czynności wyglądają dosyć banalnie w porównaniu z takim potworem, jak kernel Linux.
Sala kinowa na wielkim okręcie transatlantyku, to nie to samo, co cały okręt na 3000 pasażerów.
Także czasem myślę, że Mozilla po prostu przesadza z objętością FF i TB.
Natomiast utrzymanie takiego projektu, jak kernel, z jego wszystkimi sterownikami i funkcjami, to zawsze będzie wyzwanie z innej bajki, niż jakikolwiek program działający w przestrzeni użytkownika.
Ostatnio edytowany przez Jacekalex (2014-04-16 12:07:03)
Offline
Chromium - znam, i to nieźle, podobnie jak OO/Libreoffice.
Niedawno radosna nowina - Libreoffice potrzebuje do kompilacji tylko 6GB tmp, a nie 20GB, jak kiedyś OOffice. :D
Offline
[quote=uzytkownikubunt]Najlepiej, jakby powstała obok implementacji w C (ale tak, z możliwością korzystania z zabezpieczeń języka C w OpenBSD/grsecurity) też w jakimś bezpieczniejszym języku programowania, w świecie open source chyba Python byłby odpowiedni[/quote]
myślę że byłoby ciężko z wydajnościa. Swoją droga to ciekawe jak wygląda to własne zarządzanie pamięcią skoro najniżej dla aplikacji co kernel udostępnia to chyba malloc i calloc. Może napisali na to jakąś nakładke. Jak dla mnie biorąc pod uwagę istnienie różnych służb i wagę projektu wygląda to conajmniej podejrzanie....
Offline
Czy w związku z zaistniałą sytuacją powinno się zmienić wszystkie hasła?
Offline
[quote=tajwan]Czy w związku z zaistniałą sytuacją powinno się zmienić wszystkie hasła?[/quote]
Do wszystkiego, gdzie się logujesz po ssl, raczej wskazane, włącznie z Gadu, Jabberem i pocztą.
Offline
W ciagu 7 dni (tak od ok. 13 kwietnia do 20) deweloperzy OpenBSD podczas oczyszczania kodu OpenSSL deweloperzy OpenBSD do swojego repozytorium kodu dokonali 250 commitów. W tej chwili wiadomo już oficjalnie, że chca stworzyć własny fork OpenSSL nazwany LibreSSL.
http://it-beta.slashdot.org/story/14/04/22/1240247/not-just-a-cleanup-any-more-libressl-project-announced
http://www.zdnet.com/openbsd-forks-prunes-fixes-openssl-7000028613/
http://www.libressl.org/
Jako, że wydanie OpenBSD 5.5 jest już niedługo, to LibreSSL będzie właczone dopiero do OpenBSD 5.6. Fork dostanie obsługę innych systemów w późniejszym terminie, jeśli uda się zebrać odpowiednie zasoby.
Ostatnio edytowany przez uzytkownikubunt (2014-04-22 15:12:20)
Offline
[quote=uzytkownikubunt]http://www.libressl.org/[/quote]
czcionka ♥
Dopisek: stopka :D
This page scientifically designed to annoy web hipsters. Donate now to stop the Comic Sans and Blink Tags[/quote]
Ostatnio edytowany przez azhag (2014-04-22 18:41:43)
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
Linux Foundation natomiast rozpocznie projekt "Core Infrastructure Initiative", który ma właśnie poprawiać bezpieczeństwo otwartoźródłowego oprogramowania, na którym opiera się Internet. Pierwszym celem jest OpenSSL. Inicjatywę na razie finansuja Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace i VMware. Wszystkie te firmy zobowiazały się, że przez co najmniej najbliższe 3 lata będa płacić $100 000 rocznie czyli co najmniej sumka wynosi w ciagu 3 lat 3,9 miliona dolarów.
Szkoda tylko deweloperów OpenBSD, którzy staraja się wszystko tworzyć z najlepszymi standardami bezpieczeństwa, a pewnie teraz ich projekt LibreSSL jednak zostanie przytłamszony. Jakoś watpię, by Core Infrastructure Initiative znajac bezkompromisowość deweloperów OpenBSD w kwestiach bezpieczeństwa.
Offline
Za 3,9 mln dolarów przeportują LibreSSl na nowy OpenSSL. ;)
Zobaczymy, czy Devom OpenBSD skapnie z tej kasy choćby miska ryżu...
:P
Offline
Znając deweloperów OpenBSD to pewnie powyłączaliby szyfry np. RC4 o którym dawno wiadomo, że jest słaby i powinno się go zaprzestać używać, ale... jest używany, bo jest używany.
Offline
http://www.openbsd.org/papers/bsdcan14-libressl/
https://www.youtube.com/watch?v=GnBbhXBDmwU
Prezentacja o OpenSSL i LibreSSL. Dla mnie ciekawe było pytanie na końcu o kod implementujący algorytmy kryptograficzne. Deweloperzy na początku zastrzegli, że oni są programistami i nie jest w ich kompetencji audytować kod implementujący szyfrowanie. Jeden z nich odpowiedział jednak, że pisali go specjaliści od kryptografii i pod względem jakości kodu wygląda jakby był dobrej jakości. Powiedziane również zostało, że zdecydowana większość kodu OpenSSL/LibreSSL to kod dotyczący protokołów, a nie implementacji algorytmów szyfrujących. Kod dotycząc stricte algorytmów szyfrujących to mała część kodu OpenSSL/LibreSSL.
Trzeba jednak dodać, że w wielu miejscach kodu OpenSSL, w których nie są implementowane algorytmy szyfrujące a jedynie wykonywane, znaleziono obejście problemu niewystarczającej ilości entropii w ten sposób, że jako źródło części entropii stosowany był zapisany w programie na stałe ciąg znaków... Powiedziane również wyraźnie zostało, że w LibreSSL to system ma zapewnić dobre źródło entropii i nie będą obchodzić problemu przez sztuczki w userspace.
Offline
Wczoraj zostały wydane informacje o kolejnych błędach w OpenSSL, ich lista jest dostępna tutaj: https://www.openssl.org/news/secadv_20140605.txt
Sposób ujawniania tych informacji napsuł krwi deweloperom OpenBSD. Informacje o błędach, które zostały publicznie ujawnione, napływały do zespołu OpenSSL już 1 maja. Obecnie wiadomo o ujawnianiu tyle:
Here is the timeline from my (OpenSSL) perspective for the recent CCS Injection (MITM) vulnerability as well as the other flaws being fixed today. ** SSL/TLS MITM vulnerability (CVE-2014-0224) 2014-04-22 (Date we were told the reporters shared the issue with JPCERT/CC) 2014-05-01 JPCERT/CC make first contact with OpenSSL security 2014-05-02 JPCERT/CC send detailed report and reproducer to OpenSSL security 2014-05-09 CERT/CC make first contact with OpenSSL security and send an updated report 2014-05-09 OpenSSL verify the issue and assign CVE-2014-0224 2014-05-12 JPCERT/CC contact OpenSSL with updated reproducer 2014-05-13 OpenSSL start communication directly to reporters to share updated patch and other technical details 2014-05-21 JPCERT/CC notify OpenSSL they have notified "vendors who have implemented OpenSSL in their products" under their framework agreement 2014-05-21 CERT/CC request permission to prenotify vendors of the issue 2014-05-21 OpenSSL work with two major infrastructure providers to test the fix and ensure the fix is sufficient 2014-06-02 CERT/CC notify their distribution list about the security update but with no details 2014-06-02 "OS distros" private vendor list is given headsup and ability to request the patches and draft advisory (0710). Told Red Hat (0710) Debian (0750) FreeBSD (0850), AltLinux (1050), Gentoo (1150), Canonical (1150), IBM (1700), Oracle (1700), SUSE (2014-06-03:0820), Amazon AMI (2014-06-03:1330), NetBSD/pkgsrc (2014-06-04:0710), Openwall (2014-06-04:0710) 2014-06-02 Red Hat find issue with patch (1400), updated patch sent to vendors 2014-06-02 Canonical find regression with patch (1700), Stephen produces updated patch, sent to vendors (1820) 2014-06-03 "ops-trust" (1015) and selected OpenSSL Foundation contracts (0820) are told a security update will be released on 2014-06-05 but with no details 2014-06-05 Security updates and advisory is released (1130) ** DTLS recursion flaw (CVE-2014-0221) 2014-05-09 Reporter contacts OpenSSL security 2014-05-09 OpenSSL contacts reporter with possible patch for verification 2014-05-16 Reporter confirmes patch 2014-05-18 OpenSSL tells reporter CVE name 2014-06-02 "OS distros" notification as above 2014-06-03 OpenSSL lets reporter know the release date 2014-06-05 Security updates and advisory is released ** DTLS invalid fragment vulnerability (CVE-2014-0195) 2014-04-23 HP ZDI contact OpenSSL security and pass on security report 2014-05-29 OpenSSL let ZDI know the release date 2014-06-02 "OS distros" notification as above 2014-06-05 Security updates and advisory is released ** Anonymous ECDH denial of service (CVE-2014-3470) 2014-05-28 Felix Gröbert and Ivan Fratrić at Google report to OpenSSL 2014-05-29 OpenSSL tell reporters CVE name and release date 2014-06-02 "OS distros" notification as above 2014-06-05 Security updates and advisory is released (All times UTC)
Deweloperzy wielu dystrybucji Gnu/Linuksa a także FreeBSD i NetBSD zostali powiadomieni ze stosownym uprzedzeniem. Wśród poinformowanych zabrakło przedstawicieli OpenBSD. Ludzie z OpenSSL bronią się, że Theo z OpenBSD nie był zarejestrowany na prywatnej liście mailingowej (która nie jest listą OpenSSLa) i dlatego nie znalazł się [url=http://oss-security.openwall.org/wiki/mailing-lists/distros]wśród poinformowanych[/url]. Deweloperzy z OpenBSD z kolei mówią, że ostatnio gdy dostali informacje o tej liście, pytali czy dostęp do niej oznacza szybszy dostęp do konkretnych informacji o błędach w oprogramowaniu i nie dostali w odpowiedzi takiego potwierdzenia. Zdecydowali więc, że nie będą się zapisywali do następnej listy mailingowej, która w dodatku według publicznie dostępnych informacji była eksperymentalną. W każdym bądź razie wszystkie dystrybucje z tej listy dostały informacje o tym, że 5 czerwca zostaną opublikowane publicznie informacje o błędach a oprócz tego z wyprzedzeniem dostali informacje o tym, w których miejscach znaleziono błędy by mogli opracować odpowiednie łaty.
Już abstrahując od tej listy mailingowej osobno CERT/CC i OpenSSL Foundation miało poinformować odpowiednio 2 i 3 czerwca o tym, że 5 czerwca zostaną wydane informacje o błędach w OpenSSL, tym razem bez szczegółów pozwalających na opracowanie łatek. OpenBSD również nie zostało przez wcześniej wspomniane strony poinformowane.
Warto dodać, że ludzie zajmujący się LibreSSL np Otto Moerbeek zgłaszają błędy do zespołu OpenSSL...
***
Taka ciekawostka: Bład ujawniony w kwietniu o numerze #3317 w OpenSSL znaleziony został za pomocą Clang static analyzer.
*** Core Infrastructure Initiative prowadzone przez Linux Foundation ma opłacić projektowi OpenSSL dwóch deweloperów + audyt. Jestem jakoś sceptycznie nastawiony do tego audytu, bo skoro kod OpenSSL jest tak słabej jakości to pewnie znajdą 10 000 błędów, a i tak wszystkich nie wyłapią. Podobnie sceptycznie jestem nastawiony do wspierania projektu OpenSSL, bo ludzie którzy tam pracują chyba nie do końca znają się na pisaniu kodu. Wspomniany błąd #3317 wymagał do załatania jednej linijki kodu, a i tak został źle załatany. Skończyło się dobrym patchem, bo Miod Vallat (deweloper OpenBSD) znalazł błąd, a Otto Moerbee zgłosił do zespołu OpenSSL.
Deweloperzy LibreSSL napisali do zarządzających Core Infrastructure Initiative w sprawie ewentualnego wsparcia, ale nie otrzymali odpowiedzi.
Ostatnio edytowany przez uzytkownikubunt (2014-06-06 15:32:01)
Offline
Jeszcze trochę i się będą śmiać z tego openssl jak z windowsa albo już to robią. xD Tak właśnie kończy oprogramowanie, w które wszyscy wierzą, że jest bezpieczne ale nikt nawet nie pofatyguje się by to sprawdzić, a potem po latach wychodzą takie kfiatki. :]
Offline
http://www.kde.org/info/security/advisory-20140618-1.txt
https://lists.debian.org/debian-qt-kde/2014/06/msg00235.html
The POP3 kioslave used by kmail will accept invalid certificates without
presenting a dialog to the user due a bug that leads to an inability to
display the dialog combined with an error in the way the result is checked.
Offline
[url=http://www.phoronix.com/scan.php?page=news_item&px=MTcyNjM]Google Is Maintaining A "BoringSSL" Fork Of OpenSSL[/url]
Google przez długi okres czasu samo pisało łatki na OpenSSL na tyle ingerujące w oprogramowanie, że łamało to kompatybilność na poziomie API/ABI, dlatego nie zostały wysłane do włączenia do OpenSSL. W każdym bądź razie bazą było OpenSSL, a łatki były dodatkiem przystosowywanym do bazy. W tej chwili nie będą jednak już aż tak bardzo sztywno bazowali na OpenSSL tylko będą bardziej elastycznie podchodzić do portowania kodu z OpenSSL i LibreSSL i nakładać na to jeszcze swoje patche i taki projekt nazwali BoringSSL. Z drugiej strony nie chcą oni zastępować projektu OpenSSL.
Offline
Bob Beck (jedna z wazniejszych osob zajmujacych sie ssl w OpenBSD) poinformowal kilka dni temu o wydaniu LibreSSL 2.0-portable. Wydanie ma sie kompilowac na Linux, Solaris, Mac OSX i FreeBSD. To wstepne wydanie, wiec nie powinno byc stosowane w zastosowaniach produkcyjnych. Niestety znaleziona zostala tez mala podatnosc, ale ujawniajaca sie obecnie tylko, gdy proces sie forkuje i jednoczesnie ma ten sam PID co podczas ostatniego sprawdzania - w normalnych zastosowaniach sytuacja nierealstyczna. Zostalo to zalatane w libressl-2.0.2
http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/
Offline
[quote=Bob Beck]We have released LibreSSL 2.1.0 - which should be arriving in the
LIbreSSL directory of an OpenBSD mirror near you very soon.
This release continues on with further work from after OpenBSD 5.6
code freeze. Our intention is to finalize LibreSSL 2.1 with OpenBSD
5.7
As noted before, we welcome feedback from the broader community.
Enjoy,
-Bob[/quote]
12 października 2014
Offline
Programista Werner Koch zajmujący się utrzymywaniem narzędzie GnuPG również tak jak projekt OpenSSL miał problemy finansowe z powodu bardzo niskich dochodów. Ostatnio trochę kasy się zebrało z dotacji, Core Infrastructure Initiative, Facebook i Stripe tez mają się dorzucić, więc będzie kasa na dalsze utrzymywanie kodu. Niestety z powodu tego, że przez spory odcinek czasu programista był jeden i do tego niedopłacony to kod teraz ma być w nie najlepszym stanie.
http://arstechnica.com/security/2015/02/once-starving-gnupg-crypto-project-gets-a-windfall-but-can-it-be-saved/
Z drugiej strony GPG nie jest oprogramowaniem, które by implementowało tak złożone protokoły jak SSL i TLS, więc nie powinno być aż tak tragicznie z tym jak po artykule w arstechnica można by pomyśleć.
W każdym razie kasa jest na drugiego programistę, więc sobie poradzą. Wersja nowoczesna (2.1) jest z tego co widzę tylko w experimental, ale chyba się nią niedługo zainteresuję, bo jest w niej obsługa krzywych eliptycznych i więcej ciekawych funkcji skrótu (SHA pochodzą od NSA...), a teraz pewnie będzie kwitła :D
Dodane: Jednak nie ma funkcji skrótu ciekawszych w gpg2 nawet w experimentalu na razie, chociaż libgcrypt obsługuje.
Ostatnio edytowany przez uzytkownikubunt (2015-02-07 22:08:49)
Offline
http://zaufanatrzeciastrona.pl/post/generowaliscie-ostatnio-klucze-na-freebsd/
Właśnie ogłoszono, że generator liczb losowych we FreeBSD był przez ostatnie 4 miesiące nieprawidłowo zaimplementowany. Skutkiem tego może być niski poziom losowości wszystkich generowanych w tym czasie kluczy SSH, SSL itp. Zalecana jest aktualizacja jądra do wersji r278907 oraz ponowne utworzenie kluczy.
Czyżby kolejny przypadkowy błąd mający związek akurat z liczbami losowymi? :)[/quote]
Offline
http://zaufanatrzeciastrona.pl/post/5-milionow-serwerow-podatnych-na-freak-nowy-atak-na-protokol-ssl/
https://www.openssl.org/news/secadv_20150108.txt
OpenSSL pozwala wynegocjować stare szyfrowanie RSA z 512 bitami. Atakujący może, jeśli zarówno serwer jak i klient obsługują/akceptują to szyfrowanie, tak wpłynąć na proces negocjacji, że zostanie ten rodzaj użyty do szyfrowania. Można je złamać na serwerach amazonu w 7 godzin za 100 dolarów.
Raz złamany klucz służy do odszyfrowania każdej komunikacji z serwerem do jego restartu.
Nawet nsa.gov jest/było podatne. Ktoś sobie nawet złamał ich klucz i podmienił sobie stronę:
[img]http://zaufanatrzeciastrona.pl/wp-content/uploads/2015/03/nsa.jpg[/img]
Ostatnio edytowany przez uzytkownikubunt (2015-03-04 16:50:14)
Offline
Logjam, atak na TLS z algorytmem Diffie-Hellman, który wykorzystuje słabe, 512 bitowe klucze.
Z tekstu wynika, że obecnie tylko Internet Explorer jest poprawiony. Inna przeglądarki mają być poprawione na dniach.
http://arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web-and-mail-servers/
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00097 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.218.245.179' WHERE u.id=1 |
0.00060 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.218.245.179', 1732681389) |
0.00041 | SELECT * FROM punbb_online WHERE logged<1732681089 |
0.00061 | SELECT topic_id FROM punbb_posts WHERE id=269280 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=25583 ORDER BY posted |
0.00083 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25583 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.01066 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25583 ORDER BY p.id LIMIT 75,25 |
0.00074 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25583 |
Total query time: 0.01508 s |