onur

Görüşler

2
onur

Göründüğü kadarıyla SHA1 çakışması bunun yanında devede kulak bir güvenlik açığı oldu. Tüm interneti "MITM" üzerine inşa edip bunun üzerine iş kuran ve tek politikası "bize güvenin" olan Cloudflare sayesinde artık kullandığınız hiçbir şifre veya SSL oturumu güvende değil.

Konu hakkındaki diğer tartışma başlıkları: reddit, hn.

Etkilenen sitelerin bir listesini github.com adresinde bulabilirsiniz.

Cloudflare'in cevabını da blog.cloudflare.com adresinde bulabilirsiniz.

1
auselen

Bu problem anlik olarak daha onemli ama, sha-1 uzun vadede daha problemli diye dusunuyorum.

1
FZ

Torvalds surada bir seyler yazmis buna dair: https://plus.google.com/+LinusTorvalds/posts/7tp2gYWQugL

1
auselen

Burada bir elestirisini gördum: https://news.ycombinator.com/item?id=13733812

Yani dunya cökmuyor da, git'i kaynak kod dagitimi vs icin kullanan yerler var. Bu tur sistemlere birseyler asilamak herhalde daha olasi olmustur.

1
csenol

https://news.ycombinator.com/item?id=13719250. Bu comment'de en basitinden anlatilmis/tartisilmis duruma

1
FZ

İnsan kafayı yer arkadaş!

1
FZ

Twitter'da biri sunu yazmisti: "C is a DSL to turn byte arrays into security advisories."

1
auselen

Yazik C'ye.

Saka bi tarafa Ragel ile de tanismis olduk boylece. Napmislar Null-terminator'u mi silmisler?

Problemi kendi yakalamamalari acayip bi problem. Bence en buyuk sorun o. Insan bir taraftan dusunuyor tabi, boyle kac vakka yasaniyor da, sadece bir iki tanesi boyle su yuzene vurulacak kadar savsaklaniyor.

1
FZ

Yukaridaki ekran goruntusunu aldigim yazi surada: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ "bizim Ragel'i kullanma seklimizde hata var," filan demisler. Uretilen C kodunu statik analize ne denli tabi tuttular, onu tam anlamayadim.

1
auselen

Gormustum yaziyi da, pek begenip okumamistim dogrusu. Simdi artik kasip okudum biraz daha. Daha once de ayni cumle midemi bulandirmisti simdi de tekrar dikkatimi cekti, insan muhendislik etigini sorguluyor:

"The engineers working on the new HTML parser had been so worried about bugs affecting our service that they had spent hours verifying that it did not contain security problems."

Evet yani muhendisler koda saatlerce bakinca is cozuluyor. Artik guvenebiliriz, cunku guvenlik acigi yokmus. Niye cunku saatlerce bakmislar :)

C'ye laf carpmaya gerek yok bizim tarafimizdan, hatayi yapan C degil. C uzerinden de boyle bi pointer sola attik bi saga attik onceden kornerden yemistik simdi defans oynuyoruz demek de suyu bulandirmaktan baska bir ise yaramiyor. Duzgun kod yazamayacagini kabul edip, daha guvenli sistemler kullanmayi tercih etmek ya da daha temiz katmanli calismanin nesi kotu? Dertleri buyuk ihtimalle performanstir, lakin bu rezilligede dusmek, insanlarin bilgilerini sacmak herhalde kazandiklari toplam performansa degmemistir. Gerci bunlarin yaptigi is cache degil mi? Yani o kod, topu topu bir kez calismiyor mu her sayfa icin, zamana bagimli olsa da?

Statik analizle birsey olur muydu bilmiyorum bu arada. C'de genelde öyle seyleri yakalamasi pratikte imkansiza yakin. Heartbleed'i hatirliyorsaniz, acik-kaynak kod, tum C kod analiz firmalarinin hava attigi zamanlar. Heartbleed cikti, hic biri yakayamiyordu. Ciktiktan sonra bir sablon koydular tabi, artik o tek problem yasanmaz herhalde. Geriye kaldi ∞-1.

1
FZ

"Part of the infosec team started fuzzing the generated code to look for other possible pointer overruns." -> Benim buradan anladigim simdiye dek o 'generated C code' kismina pek guvenlik sapkasi takip bakmamislar. "Calisiyor mu, calisiyor, hizli mi, hizli, e o halde isimiz gucumuz var, hayat devam ediyor" seklinde gitmisler gibi.

1
auselen

IBM kismini daha cok begendim ben, bildigim birseydi de bu sekilde adlandirildigini bilmiyordum.

"Research by IBM in the 1960s and 1970s showed that bugs tend to cluster in what became known as “error-prone modules”. Since we’d identified a nasty pointer overrun in the code generated by Ragel it was prudent to go hunting for other bugs."

Gerci yine ayni problem, kodun baska yerinde baska bir hata yine vardir. Oralara bakmiyorlardir, sanirim makalenin bir yerinde eski-yeni kod parcaciklari diyordu. Daha once kullanilmayan parcalar, aciga cikmayan sorunlar boyle durumlarda cikiyor.

Tekrardan dedigim gibi ben muhendislik etiginde problem oldugunu dusunuyorum. Yaptiklari isin ciddiyetine yakisir sekilde calismamislar.

1
FZ

Mühendislik etiği deyince aklıma şu iki yazı geliyor hep:

Ve sonra şirketlerin iç işleyişlerini düşünüyorum: tepedeki yöneticilerden yaptıkları planlarda güvenlik kontrolleri, analizleri, vs. için ne kadar bütçe ayırıyorlar? Yöneticilerin yöneticileri... Ne tür baskılar, ticari durumlar, vs.

Evet, bir kez skandal kafaya dank edince, kaça patladığı anlaşılınca geriye dönük olarak "neden filanca tedbirleri almadınız?" demek kolay oluyor, diğer yandan işler "yolunda giderken" biri çıkıp "filanca şeyleri kullanalım" dese muhtemelen "kar zara analizi" yapıp reddedecek epey birileri oluyordur tepede. Tabii o esnada bu tür bir "skandal" nurlu ufuklarda doğmamış güneş kategorisinde, kimsenin de bu zaten olmuş gibi maliyet hesapladığı yok demek ki.

Çözüm nedir, bilemiyorum. Kanunları değiştirmek? Tepedeki yöneticilerin kabus görmesine yetecek resmi düzenlemeleri, cezaları getirmek? Bunun yol açacağı bilinçlenme ve bunun tetikleyeceği daha iyi süreçler, daha düzgün araç kullanımları, vs.?

1
auselen

Cozum mu? Cozum Feynman!

https://youtu.be/4kpDg7MjHps?t=2m32s

1
FZ

"Geriye kaldi ∞ - 1."

1
FZ

Evet, Heartbleed ve statik analiz konusu epey gundeme gelmisti vakti zamaninda, 2014'te calistigim yere Coverity sunumu yapmaya gelen amcalari bu konuda sIkIstIrdIgImI hatirliyorum :)

Su adreste, yazar Frama-C ile Heartbleed hatasinin yakalanabilecegini iddia etmis: http://blog.regehr.org/archives/1125 ama hemen ardindan gelen yorum da ilginc: ""How much effort would be required to push OpenSSL through Frama-C? I don’t know, but wouldn’t plan on getting this done in a week or three."

Sonucta ana tema degismiyor tabii, islerin arap sacina donmesi cok kolay ve paranoyak yaklasmadikca basa cikilabilecek gibi degil.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

tongucyumruk

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını...

Greasemonkey Güvenlik Açığı

butch

Oldukça ilgi gören Firefox eklentilerinden biri olan Greasemonkey'in geliştiricileri tarafından yapılan açıklamaya göre, eklentide kullanıcıların bilgisayarlarında bulunan verilere erişim sağlayan önemli bir güvenlik açığı bulunuyor. Greasemonkey kullanıcılarının eklentiyi kaldırmaları şiddetle öneriliyor. Detaylar için eweek.com ve mozdev.org.

RFC 3514

urxalit

Netcraft´taki habere göre 1 Nisan 2003 tarihinde yayınlanan RFC 3514 ile ipv4 paketlerine bir güvenlik biti eklenecek ve bu bitin "good" veya "evil" olmasına göre güvenlik duvarları için paketleri droplamak çok kolay ve zahmetsiz olacak.

Eğer bu RFC hayata geçerse, ABD hükümeti (haberde doğrudan ABD hükümet kuruluşları için diyor) kullandığı güvenlik duvarlarını güncelleyip basitçe, kafasını bozan "terörist" ülkelerden gelen paketleri droplayabilir. Tabi Internet trafiğinin neredeyse %80´inin ABD´de aktığı düşünülürse o ülkeye de Interneti bloklamış olur..

İngilizcesi benden iyi olan arkadaşlar belki haberi çevirebilir.

Telsim GPRS üzerinden izinsiz giriş!

anonim

TELSIM üzerinden yaklaşık 6 aydır Internet´e bağlanıyorum. Geçen hafta bilgisayarıma ZoneAlarm kuruncuya kadar her şey normal gidiyordu. Ne zaman Internet´e bağlansam 5-10 dakika sonra ZoneAlarm

The firewall has blocked internet access to your computer(NetBIOS Name) from 81.6.65.39 (UDP Port 1025)

mesajı verir oldu. Sonunda IP sahibini aramaya karar verdim. Aşağıda IP sahibinin detaylı bilgisini gösteren adres yer alıyor.

http://arul.telenet-systems.com/cgi-bin/track.cgi?host=81.6.65.39

Garip değil mi?

NetCat, Telnet, Reverse Telnet ve türlü numaralar :)

sundance

Bu yazıda Unix'in efsanevi komutlarından belki de en gençlerinden birine sistem yöneticilerinin ve hackerların daim dostu NetCat'e basitçe değinmeyi amaçladım.

Her ne kadar basitçe değinecek olsam da networkle ilgilenenlerin işe yarar bir şeyler bulacağınıza inanıyorum bu yazıda. Özellikler Reverse Telnet birçok download meraklısının (ve evinden firewall'lu işyeri makinasına bağlanmak isteyen adamın) ilgisini çekecektir ;)