Açık Kaynağın Yararları

0
Soulblighter
Soulblighter
20 Şubat 2004 , 1 dakika okuma süresi
Geçen hafta çalınan Windows 2000 kaynak kodlarını inceleyen iyi niyetli :) bir yazılımcı, IE 5 gözatıcısında açık tespit etti.

Bu açık kullanılarak, bitmap dosyası ile (ne alakaysa, klasik M$ açığı) kullanıcının bilgisayarında aşırı yüklenme meydana getirilebiliyor. Açığı bulan yazılımcı, haberi www.securitytracker.com adresinde duyurdu.
Bakalım daha ne açıklar çıkacak. Açık kaynağın faydası da burada bir kez daha ortaya çıkmış oldu. Acaba M$ kendi bu açığı bulur muydu? Bulsa söyler miydi? Yoksa başkası bulana kadar sesini çıkarmaz mıydı?

Diğer bir tartışılacak konu ise Bitmap dosyası ile nasıl bilgisayara yüklenme yapılır? Veya nasıl oluyorda IE'deki bilmem ne hatası, başkasının, bilgisayarınızı ele geçirmesine neden oluyor?

Bence M$ yazılımlarındaki en büyük sorun tasarım hatası. Bunlar, kod yazım hatası ile olacak şeyler değil. M$ programları sanki acelece yazılmış gibi bir izlenime kapılıyorum. Sanki birşeyler eksik düşünülüyor. Özellikle güvenlik konusunda...
Güvenlik
10
Linkedin Facebook Twitter Google plus

Görüşler

mentat
0
mentat
buffer overflow'lar konusunda uzman falan sayilmam ancak bana pek tasarimla alakasi yokmus gibi geliyor. sanki ya sen ya da ben assagidaki linki guzelce okumaliyiz. (ben okumaya basladim bile)

The Tao of Windows Buffer Overflow [www.cultdeadcow.com]
Soulblighter
0
Soulblighter
Merhaba,

Ben sadece bu olay için tasarım hatası demedim. Genel olarak yapılan hatalar çoğunlukla tasarım hatası oluyor dedim :) SecurityFocus.com adresini sürekli takip ediyorum orada da bir çok hata için "Design Error" ibaresini kullanıyorlar. Yani sorun bir kodu yanlış yazmak değil. Düşünce hatası yapılıyor... Micro$oft bunu çok sık yapıyor...

Ben bunu demek istemiştim :)
FZ
0
FZ
http://www.kuro5hin.org/story/2004/2/15/71552/7795
oktay
0
oktay
"bitmap dosyası ile (ne alakaysa"

Bitmap dosyası olmasının pek bir esprisi yok. Adam örnek olarak onu kullanmış anladığım kadarıyla. Önemli olan o bitmap içine buffer overflow açığını ateşleyecek karakterler dizisini yerlesŧirmiş olması.

Bu arada Microsoft niye tantana ettiğinizi anlamıyor. 4 sene önceki kodda bulunan bu açığı Internet Explorer 6 Service Pack 1 ile geçtiğimiz günlerde zaten yamamışlar (!). PR sayfalarındaki basın açıklaması böyle diyor.

Oktay
redline99
0
redline99
Yoksa M$ gizliden gizliye virus şirketleriyle el elemi yazılım üretiyor? Yoksa bu bile çok masum bir düşüncemi kim bilir? ;)
Img 5856
0
conan
Windows 2000'de bulunan bu hata acik kodun guzelligini gostermez. En azindan acik kodun guzelligini gosteren milyon tane programin yaninda bu hic bir seydir, cunku haberin yazan Soulblighter'in da belirttigi gibi Windows 2000 acik kaynak kodlu bir program degildir, kodun sergilenmesi calinmasindan kaynaklanmaktadir. Dolayisiyla yazinin basligi ve icerigi arasindaki baglanti hosuma gitmedi. Linux kernel'inin acik kodlu olmasinin yararlarini anlatan bir yaziya bu baslik sanirim cok daha uygun giderdi.

Gelelim olayin bir iki parmak basilmayan konularina. Diyelim ki birisi (mesela wine gelistiricileri) bu kaynak kodundan birseyler ogrenip kendi projesine katkida bulunmaya calisti. Bu gelistirici(ler)nin gorecegi son sey bilgisayarinin ekrani olacaktir bence, cunku Microsoft bu tip bir seyi acik kaynakli bir kodda farkederse zavalli proje gelistiricilerinin kicini aya kadar dava eder. Cocuklarini bile hapse atar vallahi. ;) Yani lutfen bu kodlarda ogrenilecek birsey varsa (sanmiyorum ama) kendi projelerinize uygulamayin!

Yine bu kodlarda bulunan aciklar windows sistemlere karsi kullanilirsa bu microsoft'un satis/reklam/pazarlama/gozboyama taktiklerini curutmez, aksine guclendirir! Iste size zaten kaynak kapali olunca daha saglamdir demistik gibilerinden soylevlere baslarlarsa yakinda hic sasirmayin. Calinan kodlarimizla size zarar veriyorlar, biz sizin guvenliginiz icin bu kodlari sakli tutuyoruz seklindeki masallarla daha cok M$ urunu satmaya calisacaklardir yakinda.

sundance
0
sundance
Valla biraderim ekleyecek pek bir şey bırakmamışsın, aklına sağlık diyorum ancak.

Burda çok önemli bir nokta var senin de ortaya koyduğun gibi, o da Free Software konusuna gönül vermiş insanlar olarak, çok kolay düşebileceğimiz bir hata var. O da sırf karşı çıkmış olmak için suyun tersine gidiyor durumunda kalmak.

Burada düşebileceğimiz en önemli hata bu, bu duruma düşmemek için de yapılması gereken, histerik bir şekilde `aha zaten bunlar da kötülüğün uşakları` yaklaşımına kapılmadan, yanlış/kötü/beceriksiz olan şeyleri ortaya koymak. Explorer herne kadar birçok yerde standart kabul edilse de birçok açıdan yetersiz ve hantal mı ? Bunu anlatalım. Veya bu kod ortaya çıktığında durup bir nedir durum diye bakalım, mesela Kuro5hin de yayınlanan yorum oldukça ilginçti, son dönem MS kodlarında oldukça düzgün ve disiplinli yaklaşımlar olduğunu, bu kodu çok başarılı bulduğunu anlatıyordu makaleyi yazan. Bunlar önemli veriler bence ve görmezden de gelinmemeli.

Öte yandan MS'un karşısında yeralan ve Linux'a kucak açan birçok büyük şirket var. Bunların MS karşısında mı, yoksa Linux yanında mı olduklarının tespitini yapmakta fayda var, zira bazıları Linux'u sonuna kadar destekliyorum ama kucağımda oturmaya devam ettiği sürece diyor olabilirler.

İşte bütün bunlar için Conan biraderimizin yaptığı gibi biraz satır aralarını okumak, biraz daha kafa çalıştırmak gerekiyor.
Soulblighter
0
Soulblighter
Herkese Selam,

Burada, M$'un "açık kaynağın bilgisayar korsanlarının işine yarar" savının doğru olmadığını, açık kaynak sistemlerin daha güvenli olacağını, çünkü Linux çekirdeğinde olduğu gibi, oluşabilecek güvenlik açıklarının daha çabuk tespit edilip düzeltilebileceğini vurguladım.

Burada kapalı kodun çalınmış, hibe edilmiş, gasp edilmiş olması önemli değil. Ben bunu tartışmıyorum. Kodun Windows 2000 kodu olması da beni ilgilendirmiyor. Photoshop'un kodu da olabilirdi. Benim vuırgulamak istediğim şey ilk paragrafta yazdığım olaydır.

Sundance kardeşimin dediği gibi satırları dikkatli okumakta ve anlamakta fayda var. :)
Img 5856
0
conan
benim yorumumda senin soylediklerine karsi hic birsey yok ;) Lutfen kisisel alma. Sevgiler
Soulblighter
0
Soulblighter
Yazdıklarımın farklı şekilde algılanıp, acımasızca eleştirildiğimi düşündüm. :) Kusura bakma...

Sevgi, Saygı, Linux
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Network Penetrasyon Testleri Eğitimi / 17-18 Nisan
butch
9 Mart 2009, 1 dakika okuma süresi

Bu eğitim güvenlik dünyasında ismi duyulmuş çeşitli açık kaynak kodlu yazılımların en etkin şekilde kullanılarak efektif güvenlik testlerinin yapılabilmesini amaçlamaktadır. Eğitimde kullanılan araçların isimleri çok bilinmesine rağmen detay özellikleri ve etkin kullanımı genelde bilinmemektedir.

Eğitim sonrası katılımcılar herbiri kendi alanında en iyisi sayılabilecek bu araçları tüm detayları ile birlikte nerede nasıl kullanılacağını öğrenmiş olacaktır.

Diğer detaylar ve eğitim içeriğine bu adresten ulaşabilirsiniz.

100.000 $ isteyen
anonim
16 Nisan 2002, 1 dakika okuma süresi

$100.000`lık Hacking Yarışması.Korea Digital Works`un düzenlediği yarışma`da firmanın güvenlik programı olan WOKS tarafından korunan servera ilk erişim hakkı kazanan ve ismini sitenin index`ine yazan Hacker`a tam $100.000 ödül verilecek.

Cehennem.Org´u Hatırlar Mısınız?
anonim
4 Eylül 2002, 1 dakika okuma süresi

Aşağıda sadece konu başlıklarını ve ayrıntılı bilgiye ulaşabileceğiniz linkleri veriyorum, yorumsuz...

"İnternette şifre tuzağı
'www.cehennem.org', Türk internet kullanıcılarına e-posta yoluyla tuzak kurarak, şifrelerini alıyor. Kurban sayısı ve isimlerini yayınlayan sitenin, bu yolla 10 bine yakın internet kullanıcısının şifresini ele geçirdi."

"Cehennem.org'da terör bağlantısı
İnternet kullanıcılarına tuzak kurarak şifrelerini indiren cehennem.org'un kapatıldığı açıklandı. Bu açıklamayı, ABD'den gelen ve şifreleri ele geçirilenleri dehşete düşüren bir açıklama takip etti."

DefCon Videoları Google'da
FZ
5 Ekim 2007, 1 dakika okuma süresi

Hacking Social Lives: MySpace.com, Tactical Exploitation, Convert Debugging, The Executable Image Exploit, Internet Wars 2007, Virtual World, Real Hacking, Webserver Botnets, How to be a WiFi Ninja ve Real-time Steganography with RTP gibi başlıklarla hazırlanmış DefCon videolarını Google Video üzerinden izleyebilirsiniz.

Not: Haber verdiği için LispNYC'den Marc Spitzer'a teşekkürler.

Teröristlerin Şifreleri Kırıldı
FZ
23 Ocak 2002, 1 dakika okuma süresi

Windows 2000'in ABD dışına ihraç edilen versiyonlarındaki şifreleme güvenliğini merak edenler için önemli bir haber: Kuzey İttifakı tarafından Kabul'de ele geçirilen ve El Kaide'deki karargahtan çıkarıldığı bilinen iki bilgisayarda birtakım şifreli belgeler bulundu. Kaynak:Vunet

Bilgisayarlardaki binlerce dokümanı inceleyen Washington Post gazetesi yetkilileri, Windows 2000 40-bit DES sistemi ile şifrelenmiş belgelere rastladılar. Bir bilgisayar kümesi (computer cluster) kullanılıp 1.000.000.000.000 değişik anahtar denenerek 5 gün içinde söz konusu şifre kırıldı ve belgelerin içeriğine ulaşıldı.

Bu belgeler 128 bitlik anahtarlar ile şifrelenmiş olsalardı, aynı şifreyi çözmek yaklaşık 1.000.000.000 kez daha zor olacaktı!