Açık Kaynağın Yararları

0
Soulblighter
Geçen hafta çalınan Windows 2000 kaynak kodlarını inceleyen iyi niyetli :) bir yazılımcı, IE 5 gözatıcısında açık tespit etti.

Bu açık kullanılarak, bitmap dosyası ile (ne alakaysa, klasik M$ açığı) kullanıcının bilgisayarında aşırı yüklenme meydana getirilebiliyor. Açığı bulan yazılımcı, haberi www.securitytracker.com adresinde duyurdu.
Bakalım daha ne açıklar çıkacak. Açık kaynağın faydası da burada bir kez daha ortaya çıkmış oldu. Acaba M$ kendi bu açığı bulur muydu? Bulsa söyler miydi? Yoksa başkası bulana kadar sesini çıkarmaz mıydı?

Diğer bir tartışılacak konu ise Bitmap dosyası ile nasıl bilgisayara yüklenme yapılır? Veya nasıl oluyorda IE'deki bilmem ne hatası, başkasının, bilgisayarınızı ele geçirmesine neden oluyor?

Bence M$ yazılımlarındaki en büyük sorun tasarım hatası. Bunlar, kod yazım hatası ile olacak şeyler değil. M$ programları sanki acelece yazılmış gibi bir izlenime kapılıyorum. Sanki birşeyler eksik düşünülüyor. Özellikle güvenlik konusunda...

Görüşler

0
mentat
buffer overflow'lar konusunda uzman falan sayilmam ancak bana pek tasarimla alakasi yokmus gibi geliyor. sanki ya sen ya da ben assagidaki linki guzelce okumaliyiz. (ben okumaya basladim bile)

The Tao of Windows Buffer Overflow [www.cultdeadcow.com]
0
Soulblighter
Merhaba,

Ben sadece bu olay için tasarım hatası demedim. Genel olarak yapılan hatalar çoğunlukla tasarım hatası oluyor dedim :) SecurityFocus.com adresini sürekli takip ediyorum orada da bir çok hata için "Design Error" ibaresini kullanıyorlar. Yani sorun bir kodu yanlış yazmak değil. Düşünce hatası yapılıyor... Micro$oft bunu çok sık yapıyor...

Ben bunu demek istemiştim :)
0
FZ
http://www.kuro5hin.org/story/2004/2/15/71552/7795
0
oktay
"bitmap dosyası ile (ne alakaysa"

Bitmap dosyası olmasının pek bir esprisi yok. Adam örnek olarak onu kullanmış anladığım kadarıyla. Önemli olan o bitmap içine buffer overflow açığını ateşleyecek karakterler dizisini yerlesŧirmiş olması.

Bu arada Microsoft niye tantana ettiğinizi anlamıyor. 4 sene önceki kodda bulunan bu açığı Internet Explorer 6 Service Pack 1 ile geçtiğimiz günlerde zaten yamamışlar (!). PR sayfalarındaki basın açıklaması böyle diyor.

Oktay
0
redline99
Yoksa M$ gizliden gizliye virus şirketleriyle el elemi yazılım üretiyor? Yoksa bu bile çok masum bir düşüncemi kim bilir? ;)
0
conan
Windows 2000'de bulunan bu hata acik kodun guzelligini gostermez. En azindan acik kodun guzelligini gosteren milyon tane programin yaninda bu hic bir seydir, cunku haberin yazan Soulblighter'in da belirttigi gibi Windows 2000 acik kaynak kodlu bir program degildir, kodun sergilenmesi calinmasindan kaynaklanmaktadir. Dolayisiyla yazinin basligi ve icerigi arasindaki baglanti hosuma gitmedi. Linux kernel'inin acik kodlu olmasinin yararlarini anlatan bir yaziya bu baslik sanirim cok daha uygun giderdi.

Gelelim olayin bir iki parmak basilmayan konularina. Diyelim ki birisi (mesela wine gelistiricileri) bu kaynak kodundan birseyler ogrenip kendi projesine katkida bulunmaya calisti. Bu gelistirici(ler)nin gorecegi son sey bilgisayarinin ekrani olacaktir bence, cunku Microsoft bu tip bir seyi acik kaynakli bir kodda farkederse zavalli proje gelistiricilerinin kicini aya kadar dava eder. Cocuklarini bile hapse atar vallahi. ;) Yani lutfen bu kodlarda ogrenilecek birsey varsa (sanmiyorum ama) kendi projelerinize uygulamayin!

Yine bu kodlarda bulunan aciklar windows sistemlere karsi kullanilirsa bu microsoft'un satis/reklam/pazarlama/gozboyama taktiklerini curutmez, aksine guclendirir! Iste size zaten kaynak kapali olunca daha saglamdir demistik gibilerinden soylevlere baslarlarsa yakinda hic sasirmayin. Calinan kodlarimizla size zarar veriyorlar, biz sizin guvenliginiz icin bu kodlari sakli tutuyoruz seklindeki masallarla daha cok M$ urunu satmaya calisacaklardir yakinda.

0
sundance
Valla biraderim ekleyecek pek bir şey bırakmamışsın, aklına sağlık diyorum ancak.

Burda çok önemli bir nokta var senin de ortaya koyduğun gibi, o da Free Software konusuna gönül vermiş insanlar olarak, çok kolay düşebileceğimiz bir hata var. O da sırf karşı çıkmış olmak için suyun tersine gidiyor durumunda kalmak.

Burada düşebileceğimiz en önemli hata bu, bu duruma düşmemek için de yapılması gereken, histerik bir şekilde `aha zaten bunlar da kötülüğün uşakları` yaklaşımına kapılmadan, yanlış/kötü/beceriksiz olan şeyleri ortaya koymak. Explorer herne kadar birçok yerde standart kabul edilse de birçok açıdan yetersiz ve hantal mı ? Bunu anlatalım. Veya bu kod ortaya çıktığında durup bir nedir durum diye bakalım, mesela Kuro5hin de yayınlanan yorum oldukça ilginçti, son dönem MS kodlarında oldukça düzgün ve disiplinli yaklaşımlar olduğunu, bu kodu çok başarılı bulduğunu anlatıyordu makaleyi yazan. Bunlar önemli veriler bence ve görmezden de gelinmemeli.

Öte yandan MS'un karşısında yeralan ve Linux'a kucak açan birçok büyük şirket var. Bunların MS karşısında mı, yoksa Linux yanında mı olduklarının tespitini yapmakta fayda var, zira bazıları Linux'u sonuna kadar destekliyorum ama kucağımda oturmaya devam ettiği sürece diyor olabilirler.

İşte bütün bunlar için Conan biraderimizin yaptığı gibi biraz satır aralarını okumak, biraz daha kafa çalıştırmak gerekiyor.
0
Soulblighter
Herkese Selam,

Burada, M$'un "açık kaynağın bilgisayar korsanlarının işine yarar" savının doğru olmadığını, açık kaynak sistemlerin daha güvenli olacağını, çünkü Linux çekirdeğinde olduğu gibi, oluşabilecek güvenlik açıklarının daha çabuk tespit edilip düzeltilebileceğini vurguladım.

Burada kapalı kodun çalınmış, hibe edilmiş, gasp edilmiş olması önemli değil. Ben bunu tartışmıyorum. Kodun Windows 2000 kodu olması da beni ilgilendirmiyor. Photoshop'un kodu da olabilirdi. Benim vuırgulamak istediğim şey ilk paragrafta yazdığım olaydır.

Sundance kardeşimin dediği gibi satırları dikkatli okumakta ve anlamakta fayda var. :)
0
conan
benim yorumumda senin soylediklerine karsi hic birsey yok ;) Lutfen kisisel alma. Sevgiler
0
Soulblighter
Yazdıklarımın farklı şekilde algılanıp, acımasızca eleştirildiğimi düşündüm. :) Kusura bakma...

Sevgi, Saygı, Linux
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Network Penetrasyon Testleri Eğitimi / Haziran 2009

butch

13 Haziran 2009 tarihinde İstanbul Bilgi Üniversitesi, Dolapdere kampüsünde başlayacak 20 saat süreli Network Penetrasyon Testleri Eğitimi, 3 hafta boyunca Cumartesi günleri, Bilgi ve Sistem Güvenliği konularında sertifikalı eğitmenler tarafından, birçok uygulamalı ö­rnekler eşliğinde gerçekleştirilecektir.­

Owasp TOP 5 PHP güvenlik açıkları ve Stefan Esser'in yazısı

Yns_

Bilindiği üzere son günlerde birçok yabancı kaynak OWASP'ın PHP konusunda en çok karşılaşılan güvenlik açıklarını açıkladığı ve çözüm ürettiği sayfayı duyurdu.

hardened-php kurucularından Stefan Esser blogunda bu makaledeki eksik yanları sitemkar bir şekilde ifade etmiş, yer yer Chris Shiflett'e de taş atmış.

Greasemonkey Güvenlik Açığı

butch

Oldukça ilgi gören Firefox eklentilerinden biri olan Greasemonkey'in geliştiricileri tarafından yapılan açıklamaya göre, eklentide kullanıcıların bilgisayarlarında bulunan verilere erişim sağlayan önemli bir güvenlik açığı bulunuyor. Greasemonkey kullanıcılarının eklentiyi kaldırmaları şiddetle öneriliyor. Detaylar için eweek.com ve mozdev.org.

Microsoft © IIS 5.0 yine... yeniden...

conan

1 Mayis'ta eEye Digital Security gurubunun bugtraq'a acikladigi guvenlik acigina gore Win2000 © IIS 5.00'da .printer ISAPI filtresinde bir buffer overflow mevcut. IIP'deki (Internet Printing Protocol) bu aciga gore http portundan yaklasik 420 byte'in ustu bir bilgi gonderildiginde IIP Win2000'in reboot etmesine neden oluyor.

Acik daha fazla incelendiginde gerekli bellek yerlerine yerlestirilen kodlari da SYSTEM erisim seviyesinde (level access) calistirmanin mumkun oldugu goruluyor. Neden son bes gunde bu kadar cok web sitesi hack edildi acaba ;)

Web sayfasında adres yayınlamak...

sundance

İnsanların size ulaşabilmesi için web sayfanızda adresinizi yayınlamak istiyorsunuz, fakat sayfaları dolaşıp email adresi toplayan web spiderlarından da illallah dediniz. Adresinizi sundance at fazlamesai nokta net veya fazlamesai.net de sundance diye yazdınız, bu sefer de ortalama IT müdürünün bu adresi anlayıp anlamayacağından endişe etmeye başladınız :)

Bu java script sayesinde artık böyle bir derdiniz kalmayacak. Sayfaya girip email adresinizi yazın ve anında size hiçbir spiderın anlayamayacağı karmaşıklıkta geri verilsin. Hem de sayfa üstündeki görüntüsünde ve linkinde hiçbir sorun olmadan. Dahası Javascripti sadece karmaşıklaştırılmış adresinizi bir kez oluşturmak için kullanıyorsunuz, sayfanıza girecek kullanıcıların browserlarında olması da gerekli değil.