Açık Kaynağın Yararları

0
Soulblighter
Soulblighter
20 Şubat 2004 , 1 dakika okuma süresi
Geçen hafta çalınan Windows 2000 kaynak kodlarını inceleyen iyi niyetli :) bir yazılımcı, IE 5 gözatıcısında açık tespit etti.

Bu açık kullanılarak, bitmap dosyası ile (ne alakaysa, klasik M$ açığı) kullanıcının bilgisayarında aşırı yüklenme meydana getirilebiliyor. Açığı bulan yazılımcı, haberi www.securitytracker.com adresinde duyurdu.
Bakalım daha ne açıklar çıkacak. Açık kaynağın faydası da burada bir kez daha ortaya çıkmış oldu. Acaba M$ kendi bu açığı bulur muydu? Bulsa söyler miydi? Yoksa başkası bulana kadar sesini çıkarmaz mıydı?

Diğer bir tartışılacak konu ise Bitmap dosyası ile nasıl bilgisayara yüklenme yapılır? Veya nasıl oluyorda IE'deki bilmem ne hatası, başkasının, bilgisayarınızı ele geçirmesine neden oluyor?

Bence M$ yazılımlarındaki en büyük sorun tasarım hatası. Bunlar, kod yazım hatası ile olacak şeyler değil. M$ programları sanki acelece yazılmış gibi bir izlenime kapılıyorum. Sanki birşeyler eksik düşünülüyor. Özellikle güvenlik konusunda...
Güvenlik
10
Linkedin Facebook Twitter Google plus

Görüşler

mentat
0
mentat
buffer overflow'lar konusunda uzman falan sayilmam ancak bana pek tasarimla alakasi yokmus gibi geliyor. sanki ya sen ya da ben assagidaki linki guzelce okumaliyiz. (ben okumaya basladim bile)

The Tao of Windows Buffer Overflow [www.cultdeadcow.com]
Soulblighter
0
Soulblighter
Merhaba,

Ben sadece bu olay için tasarım hatası demedim. Genel olarak yapılan hatalar çoğunlukla tasarım hatası oluyor dedim :) SecurityFocus.com adresini sürekli takip ediyorum orada da bir çok hata için "Design Error" ibaresini kullanıyorlar. Yani sorun bir kodu yanlış yazmak değil. Düşünce hatası yapılıyor... Micro$oft bunu çok sık yapıyor...

Ben bunu demek istemiştim :)
FZ
0
FZ
http://www.kuro5hin.org/story/2004/2/15/71552/7795
oktay
0
oktay
"bitmap dosyası ile (ne alakaysa"

Bitmap dosyası olmasının pek bir esprisi yok. Adam örnek olarak onu kullanmış anladığım kadarıyla. Önemli olan o bitmap içine buffer overflow açığını ateşleyecek karakterler dizisini yerlesŧirmiş olması.

Bu arada Microsoft niye tantana ettiğinizi anlamıyor. 4 sene önceki kodda bulunan bu açığı Internet Explorer 6 Service Pack 1 ile geçtiğimiz günlerde zaten yamamışlar (!). PR sayfalarındaki basın açıklaması böyle diyor.

Oktay
redline99
0
redline99
Yoksa M$ gizliden gizliye virus şirketleriyle el elemi yazılım üretiyor? Yoksa bu bile çok masum bir düşüncemi kim bilir? ;)
Img 5856
0
conan
Windows 2000'de bulunan bu hata acik kodun guzelligini gostermez. En azindan acik kodun guzelligini gosteren milyon tane programin yaninda bu hic bir seydir, cunku haberin yazan Soulblighter'in da belirttigi gibi Windows 2000 acik kaynak kodlu bir program degildir, kodun sergilenmesi calinmasindan kaynaklanmaktadir. Dolayisiyla yazinin basligi ve icerigi arasindaki baglanti hosuma gitmedi. Linux kernel'inin acik kodlu olmasinin yararlarini anlatan bir yaziya bu baslik sanirim cok daha uygun giderdi.

Gelelim olayin bir iki parmak basilmayan konularina. Diyelim ki birisi (mesela wine gelistiricileri) bu kaynak kodundan birseyler ogrenip kendi projesine katkida bulunmaya calisti. Bu gelistirici(ler)nin gorecegi son sey bilgisayarinin ekrani olacaktir bence, cunku Microsoft bu tip bir seyi acik kaynakli bir kodda farkederse zavalli proje gelistiricilerinin kicini aya kadar dava eder. Cocuklarini bile hapse atar vallahi. ;) Yani lutfen bu kodlarda ogrenilecek birsey varsa (sanmiyorum ama) kendi projelerinize uygulamayin!

Yine bu kodlarda bulunan aciklar windows sistemlere karsi kullanilirsa bu microsoft'un satis/reklam/pazarlama/gozboyama taktiklerini curutmez, aksine guclendirir! Iste size zaten kaynak kapali olunca daha saglamdir demistik gibilerinden soylevlere baslarlarsa yakinda hic sasirmayin. Calinan kodlarimizla size zarar veriyorlar, biz sizin guvenliginiz icin bu kodlari sakli tutuyoruz seklindeki masallarla daha cok M$ urunu satmaya calisacaklardir yakinda.

sundance
0
sundance
Valla biraderim ekleyecek pek bir şey bırakmamışsın, aklına sağlık diyorum ancak.

Burda çok önemli bir nokta var senin de ortaya koyduğun gibi, o da Free Software konusuna gönül vermiş insanlar olarak, çok kolay düşebileceğimiz bir hata var. O da sırf karşı çıkmış olmak için suyun tersine gidiyor durumunda kalmak.

Burada düşebileceğimiz en önemli hata bu, bu duruma düşmemek için de yapılması gereken, histerik bir şekilde `aha zaten bunlar da kötülüğün uşakları` yaklaşımına kapılmadan, yanlış/kötü/beceriksiz olan şeyleri ortaya koymak. Explorer herne kadar birçok yerde standart kabul edilse de birçok açıdan yetersiz ve hantal mı ? Bunu anlatalım. Veya bu kod ortaya çıktığında durup bir nedir durum diye bakalım, mesela Kuro5hin de yayınlanan yorum oldukça ilginçti, son dönem MS kodlarında oldukça düzgün ve disiplinli yaklaşımlar olduğunu, bu kodu çok başarılı bulduğunu anlatıyordu makaleyi yazan. Bunlar önemli veriler bence ve görmezden de gelinmemeli.

Öte yandan MS'un karşısında yeralan ve Linux'a kucak açan birçok büyük şirket var. Bunların MS karşısında mı, yoksa Linux yanında mı olduklarının tespitini yapmakta fayda var, zira bazıları Linux'u sonuna kadar destekliyorum ama kucağımda oturmaya devam ettiği sürece diyor olabilirler.

İşte bütün bunlar için Conan biraderimizin yaptığı gibi biraz satır aralarını okumak, biraz daha kafa çalıştırmak gerekiyor.
Soulblighter
0
Soulblighter
Herkese Selam,

Burada, M$'un "açık kaynağın bilgisayar korsanlarının işine yarar" savının doğru olmadığını, açık kaynak sistemlerin daha güvenli olacağını, çünkü Linux çekirdeğinde olduğu gibi, oluşabilecek güvenlik açıklarının daha çabuk tespit edilip düzeltilebileceğini vurguladım.

Burada kapalı kodun çalınmış, hibe edilmiş, gasp edilmiş olması önemli değil. Ben bunu tartışmıyorum. Kodun Windows 2000 kodu olması da beni ilgilendirmiyor. Photoshop'un kodu da olabilirdi. Benim vuırgulamak istediğim şey ilk paragrafta yazdığım olaydır.

Sundance kardeşimin dediği gibi satırları dikkatli okumakta ve anlamakta fayda var. :)
Img 5856
0
conan
benim yorumumda senin soylediklerine karsi hic birsey yok ;) Lutfen kisisel alma. Sevgiler
Soulblighter
0
Soulblighter
Yazdıklarımın farklı şekilde algılanıp, acımasızca eleştirildiğimi düşündüm. :) Kusura bakma...

Sevgi, Saygı, Linux
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Microsoft Office Kullanıcıları, Dikkat!
FZ
6 Ocak 2003, 1 dakika okuma süresi

W97M.Killboot virüsü Master Boot Record'a yazıyor.

Antivirüs firması Symantec, Microsoft Word kullanıcılarını hedefleyen yeni bir virüs konusunda kamuoyunu uyardı.

Söz konusu virüs bilgisayardaki harddisklerin Master Boot Record (MBR) bölümünü bozuyor (ve böylece de bilgisayarın açılmasını engelliyor).

W97M.Killboot olarak isimlendirilen virüs mevcut Word belgesine bulaştığı gibi bu belge kapatılır kapatılmaz Normal.dot isimli şablona da bulaşıyor. Yani kapatılan her belge virüsü taşımaya başlıyor.

100.000 $ isteyen
anonim
16 Nisan 2002, 1 dakika okuma süresi

$100.000`lık Hacking Yarışması.Korea Digital Works`un düzenlediği yarışma`da firmanın güvenlik programı olan WOKS tarafından korunan servera ilk erişim hakkı kazanan ve ismini sitenin index`ine yazan Hacker`a tam $100.000 ödül verilecek.

NSA Bizi Yiyor Mu?
experience
10 Şubat 2006, 1 dakika okuma süresi

NSA'yı biliyoruz, söylenene gore hepimizi, her şeyimizi dinliyor bu keratalar.

Washington Post'ta 27 Ocak'ta yayımlanmış bir haber denk geldi. Habere burdan ulaşabilirsiniz.

Haberin özeti: Bush, NSA'yı ziyaret etmiş. Buraya kadar normal ama bu haberden ben NSA'nın pek de alengirli kulengirli sistemler kullanmadığına kanaat getirdim (bizi yiyor olmasınlar sakın?)

İşte size bir Linux virüsü..
skoylu
13 Mart 2002, 1 dakika okuma süresi

Almanya'dan bir arkadaş, ekte bir virüs yollamış. Basit bir ELF/x86 virüsü. Görünürde tek yaptığı, x86 ELF binary'lerine bulaşmak. Bu daha önceki kodlara benzemiyor, yani eski bir virüs değil.
Korunmak için virüs temizleyici filan almanız gerekmiyor. Sistemi root olarak kullanmayın ve executable dosyalarınıza kullanıcı için yazma hakkı vermeyin yeterli. Zaten hep yaptığımız da bu değil mi? Standart dağıtımlar tüm executable dosyaları böyle kuruyor. Size kalan sistemi root olarak kullanmamak sadece...
Bu arada virüsü inceliyorum derken sildim :( Yenisi elime geçince dileyenlere bir örnek yollarım..

Türk Telekom´u da hack´lediler
anonim
2 Haziran 2001, 1 dakika okuma süresi

www.ttrehber.gov.tr Digital-Angels tarafından hacklendi.
Digital-angels grubu, www.ttrehber.gov.tr`nin yerine konulan sayfada web adreslerini yazmışlar, ki bu da dikkatsizlik olarak algılanabilir, belki whois bilgisinden geçerli bir isim çıkmaz ama ödeme şeklinden kredi kartı yada banka havalesi araştırması sonucu o arkadaşları yakında mahkemede görebiliriz.

www.ttrehber.gov.tr`nin değişmiş halinin görüntüsü için:
http://users.vr9.com/digitalangels/telekom.jpg

Editörün notu: www.ttrehber.gov.tr adresi, saldırıdan kısa süre sonra kurtarıldı, bizim farkedebildiğimiz, site sadece birkaç saat kadar kapalı kaldı.