Açık Kaynağın Yararları

0
Soulblighter
Geçen hafta çalınan Windows 2000 kaynak kodlarını inceleyen iyi niyetli :) bir yazılımcı, IE 5 gözatıcısında açık tespit etti.

Bu açık kullanılarak, bitmap dosyası ile (ne alakaysa, klasik M$ açığı) kullanıcının bilgisayarında aşırı yüklenme meydana getirilebiliyor. Açığı bulan yazılımcı, haberi www.securitytracker.com adresinde duyurdu.
Bakalım daha ne açıklar çıkacak. Açık kaynağın faydası da burada bir kez daha ortaya çıkmış oldu. Acaba M$ kendi bu açığı bulur muydu? Bulsa söyler miydi? Yoksa başkası bulana kadar sesini çıkarmaz mıydı?

Diğer bir tartışılacak konu ise Bitmap dosyası ile nasıl bilgisayara yüklenme yapılır? Veya nasıl oluyorda IE'deki bilmem ne hatası, başkasının, bilgisayarınızı ele geçirmesine neden oluyor?

Bence M$ yazılımlarındaki en büyük sorun tasarım hatası. Bunlar, kod yazım hatası ile olacak şeyler değil. M$ programları sanki acelece yazılmış gibi bir izlenime kapılıyorum. Sanki birşeyler eksik düşünülüyor. Özellikle güvenlik konusunda...

Görüşler

0
mentat
buffer overflow'lar konusunda uzman falan sayilmam ancak bana pek tasarimla alakasi yokmus gibi geliyor. sanki ya sen ya da ben assagidaki linki guzelce okumaliyiz. (ben okumaya basladim bile)

The Tao of Windows Buffer Overflow [www.cultdeadcow.com]
0
Soulblighter
Merhaba,

Ben sadece bu olay için tasarım hatası demedim. Genel olarak yapılan hatalar çoğunlukla tasarım hatası oluyor dedim :) SecurityFocus.com adresini sürekli takip ediyorum orada da bir çok hata için "Design Error" ibaresini kullanıyorlar. Yani sorun bir kodu yanlış yazmak değil. Düşünce hatası yapılıyor... Micro$oft bunu çok sık yapıyor...

Ben bunu demek istemiştim :)
0
FZ
http://www.kuro5hin.org/story/2004/2/15/71552/7795
0
oktay
"bitmap dosyası ile (ne alakaysa"

Bitmap dosyası olmasının pek bir esprisi yok. Adam örnek olarak onu kullanmış anladığım kadarıyla. Önemli olan o bitmap içine buffer overflow açığını ateşleyecek karakterler dizisini yerlesŧirmiş olması.

Bu arada Microsoft niye tantana ettiğinizi anlamıyor. 4 sene önceki kodda bulunan bu açığı Internet Explorer 6 Service Pack 1 ile geçtiğimiz günlerde zaten yamamışlar (!). PR sayfalarındaki basın açıklaması böyle diyor.

Oktay
0
redline99
Yoksa M$ gizliden gizliye virus şirketleriyle el elemi yazılım üretiyor? Yoksa bu bile çok masum bir düşüncemi kim bilir? ;)
0
conan
Windows 2000'de bulunan bu hata acik kodun guzelligini gostermez. En azindan acik kodun guzelligini gosteren milyon tane programin yaninda bu hic bir seydir, cunku haberin yazan Soulblighter'in da belirttigi gibi Windows 2000 acik kaynak kodlu bir program degildir, kodun sergilenmesi calinmasindan kaynaklanmaktadir. Dolayisiyla yazinin basligi ve icerigi arasindaki baglanti hosuma gitmedi. Linux kernel'inin acik kodlu olmasinin yararlarini anlatan bir yaziya bu baslik sanirim cok daha uygun giderdi.

Gelelim olayin bir iki parmak basilmayan konularina. Diyelim ki birisi (mesela wine gelistiricileri) bu kaynak kodundan birseyler ogrenip kendi projesine katkida bulunmaya calisti. Bu gelistirici(ler)nin gorecegi son sey bilgisayarinin ekrani olacaktir bence, cunku Microsoft bu tip bir seyi acik kaynakli bir kodda farkederse zavalli proje gelistiricilerinin kicini aya kadar dava eder. Cocuklarini bile hapse atar vallahi. ;) Yani lutfen bu kodlarda ogrenilecek birsey varsa (sanmiyorum ama) kendi projelerinize uygulamayin!

Yine bu kodlarda bulunan aciklar windows sistemlere karsi kullanilirsa bu microsoft'un satis/reklam/pazarlama/gozboyama taktiklerini curutmez, aksine guclendirir! Iste size zaten kaynak kapali olunca daha saglamdir demistik gibilerinden soylevlere baslarlarsa yakinda hic sasirmayin. Calinan kodlarimizla size zarar veriyorlar, biz sizin guvenliginiz icin bu kodlari sakli tutuyoruz seklindeki masallarla daha cok M$ urunu satmaya calisacaklardir yakinda.

0
sundance
Valla biraderim ekleyecek pek bir şey bırakmamışsın, aklına sağlık diyorum ancak.

Burda çok önemli bir nokta var senin de ortaya koyduğun gibi, o da Free Software konusuna gönül vermiş insanlar olarak, çok kolay düşebileceğimiz bir hata var. O da sırf karşı çıkmış olmak için suyun tersine gidiyor durumunda kalmak.

Burada düşebileceğimiz en önemli hata bu, bu duruma düşmemek için de yapılması gereken, histerik bir şekilde `aha zaten bunlar da kötülüğün uşakları` yaklaşımına kapılmadan, yanlış/kötü/beceriksiz olan şeyleri ortaya koymak. Explorer herne kadar birçok yerde standart kabul edilse de birçok açıdan yetersiz ve hantal mı ? Bunu anlatalım. Veya bu kod ortaya çıktığında durup bir nedir durum diye bakalım, mesela Kuro5hin de yayınlanan yorum oldukça ilginçti, son dönem MS kodlarında oldukça düzgün ve disiplinli yaklaşımlar olduğunu, bu kodu çok başarılı bulduğunu anlatıyordu makaleyi yazan. Bunlar önemli veriler bence ve görmezden de gelinmemeli.

Öte yandan MS'un karşısında yeralan ve Linux'a kucak açan birçok büyük şirket var. Bunların MS karşısında mı, yoksa Linux yanında mı olduklarının tespitini yapmakta fayda var, zira bazıları Linux'u sonuna kadar destekliyorum ama kucağımda oturmaya devam ettiği sürece diyor olabilirler.

İşte bütün bunlar için Conan biraderimizin yaptığı gibi biraz satır aralarını okumak, biraz daha kafa çalıştırmak gerekiyor.
0
Soulblighter
Herkese Selam,

Burada, M$'un "açık kaynağın bilgisayar korsanlarının işine yarar" savının doğru olmadığını, açık kaynak sistemlerin daha güvenli olacağını, çünkü Linux çekirdeğinde olduğu gibi, oluşabilecek güvenlik açıklarının daha çabuk tespit edilip düzeltilebileceğini vurguladım.

Burada kapalı kodun çalınmış, hibe edilmiş, gasp edilmiş olması önemli değil. Ben bunu tartışmıyorum. Kodun Windows 2000 kodu olması da beni ilgilendirmiyor. Photoshop'un kodu da olabilirdi. Benim vuırgulamak istediğim şey ilk paragrafta yazdığım olaydır.

Sundance kardeşimin dediği gibi satırları dikkatli okumakta ve anlamakta fayda var. :)
0
conan
benim yorumumda senin soylediklerine karsi hic birsey yok ;) Lutfen kisisel alma. Sevgiler
0
Soulblighter
Yazdıklarımın farklı şekilde algılanıp, acımasızca eleştirildiğimi düşündüm. :) Kusura bakma...

Sevgi, Saygı, Linux
Görüş belirtmek için giriş yapın...

İlgili Yazılar

RFC 3514

urxalit

Netcraft´taki habere göre 1 Nisan 2003 tarihinde yayınlanan RFC 3514 ile ipv4 paketlerine bir güvenlik biti eklenecek ve bu bitin "good" veya "evil" olmasına göre güvenlik duvarları için paketleri droplamak çok kolay ve zahmetsiz olacak.

Eğer bu RFC hayata geçerse, ABD hükümeti (haberde doğrudan ABD hükümet kuruluşları için diyor) kullandığı güvenlik duvarlarını güncelleyip basitçe, kafasını bozan "terörist" ülkelerden gelen paketleri droplayabilir. Tabi Internet trafiğinin neredeyse %80´inin ABD´de aktığı düşünülürse o ülkeye de Interneti bloklamış olur..

İngilizcesi benden iyi olan arkadaşlar belki haberi çevirebilir.

SHA-1 Kırıldı!

tongucyumruk

Elektronik bankacılık uygulamalarından dijital imzaya, kablosuz ağ güvenliğinden binlerce web sitesinin kullanıcı veritabanlarına kadar güvenliğe ihtiyaç duyulan birçok noktada kullanılan ve günümüze kadar başta ABD olmak üzere birçok ülke tarafından "resmi" harmanlama (hashing) algoritması olarak kullanılan SHA-1 Çinli bir bir bilim insanı ve ekibi tarafından kırıldı.

Bilgi iletişim Güvenliğinde Yerli Çözüm: i-Bekçi

anonim

Hürriyetim.com' un haberine göre: Devletin en üst düzey güvenliğini öngören birimlerde yaklaşık 2 yıldır kullanıldığı belirtilen 100-150 arası adet i-Bekçi, ilgili birimlerin tüm veri-ses trafiğini GSA (VPN) üzerinden taşıyor ve aynı zamanda internet güvenliğini sağlıyor.

Bugüne kadar çokuluslu yabancı firmaların elinde olan Türkiye Geniş Alan Ağı iletişim ve güvenlik sistemleri pazarının genç oyuncusu i-Bekçi, üzerinde bulunan yerel ve uzak ağ bağlantı arabirimleri sayesinde, kurumsal kullanıcılar ve kurumsal sunuculara erişimi sınırlayarak güvenliği artırıyor

DoS Atakları ve Korunma Yöntemleri

anonim

DoS (Denial of Service) atakları çok yeni bir konu olmasa da lamer camiasında kolay uygulanabilir olması ve az teknik bilgi istemesi nedeniyle halen popularitesini koruyor. Bu konu ile ile ilgili daha detaylı bilgi için Özgür ÖZDEMİRCİLİ tarafından hazırlanan "DoS Atakları ve Korunma Yöntemleri" başlıklı belgeye bu adresden ulaşalabilirsiniz.

Apache.org´u nasıl hack ettim?

conan

Baştan söyleyeyim, hack eden ben değilim ;) Daha önce Apache.org un başına gelenler yazısında belirttiğim olayın akabinde, hack'in nasıl gercekleştirildigine dair hacker (cracker?) ile bir IRC roportajı yapılmış.

Kendini fluffy bunny diye tanıtan hacker roportajda detaylı bir şekilde apache.org, VA Linux (themes.org), Source Forge (5 ay) ve de bir ISP'yi (Akamai.net) nasıl eline geçirdiğini anlatıyor. Genel olarak sniffing ve SSH üstünden trojan horse yollayarak passwordleri ele geçirdiğinden bahseden bunny kendisine white hat mi yoksa black hat mi diye soranlara da gray hat olduğunu soylemiş ;) (Do not underestimate the power of the dark side... [Star Wars - Yoda])

Detaylı bilgi