onur

Görüşler

2
onur

Göründüğü kadarıyla SHA1 çakışması bunun yanında devede kulak bir güvenlik açığı oldu. Tüm interneti "MITM" üzerine inşa edip bunun üzerine iş kuran ve tek politikası "bize güvenin" olan Cloudflare sayesinde artık kullandığınız hiçbir şifre veya SSL oturumu güvende değil.

Konu hakkındaki diğer tartışma başlıkları: reddit, hn.

Etkilenen sitelerin bir listesini github.com adresinde bulabilirsiniz.

Cloudflare'in cevabını da blog.cloudflare.com adresinde bulabilirsiniz.

1
auselen

Bu problem anlik olarak daha onemli ama, sha-1 uzun vadede daha problemli diye dusunuyorum.

1
FZ

Torvalds surada bir seyler yazmis buna dair: https://plus.google.com/+LinusTorvalds/posts/7tp2gYWQugL

1
auselen

Burada bir elestirisini gördum: https://news.ycombinator.com/item?id=13733812

Yani dunya cökmuyor da, git'i kaynak kod dagitimi vs icin kullanan yerler var. Bu tur sistemlere birseyler asilamak herhalde daha olasi olmustur.

1
csenol

https://news.ycombinator.com/item?id=13719250. Bu comment'de en basitinden anlatilmis/tartisilmis duruma

1
FZ

İnsan kafayı yer arkadaş!

1
FZ

Twitter'da biri sunu yazmisti: "C is a DSL to turn byte arrays into security advisories."

1
auselen

Yazik C'ye.

Saka bi tarafa Ragel ile de tanismis olduk boylece. Napmislar Null-terminator'u mi silmisler?

Problemi kendi yakalamamalari acayip bi problem. Bence en buyuk sorun o. Insan bir taraftan dusunuyor tabi, boyle kac vakka yasaniyor da, sadece bir iki tanesi boyle su yuzene vurulacak kadar savsaklaniyor.

1
FZ

Yukaridaki ekran goruntusunu aldigim yazi surada: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ "bizim Ragel'i kullanma seklimizde hata var," filan demisler. Uretilen C kodunu statik analize ne denli tabi tuttular, onu tam anlamayadim.

1
auselen

Gormustum yaziyi da, pek begenip okumamistim dogrusu. Simdi artik kasip okudum biraz daha. Daha once de ayni cumle midemi bulandirmisti simdi de tekrar dikkatimi cekti, insan muhendislik etigini sorguluyor:

"The engineers working on the new HTML parser had been so worried about bugs affecting our service that they had spent hours verifying that it did not contain security problems."

Evet yani muhendisler koda saatlerce bakinca is cozuluyor. Artik guvenebiliriz, cunku guvenlik acigi yokmus. Niye cunku saatlerce bakmislar :)

C'ye laf carpmaya gerek yok bizim tarafimizdan, hatayi yapan C degil. C uzerinden de boyle bi pointer sola attik bi saga attik onceden kornerden yemistik simdi defans oynuyoruz demek de suyu bulandirmaktan baska bir ise yaramiyor. Duzgun kod yazamayacagini kabul edip, daha guvenli sistemler kullanmayi tercih etmek ya da daha temiz katmanli calismanin nesi kotu? Dertleri buyuk ihtimalle performanstir, lakin bu rezilligede dusmek, insanlarin bilgilerini sacmak herhalde kazandiklari toplam performansa degmemistir. Gerci bunlarin yaptigi is cache degil mi? Yani o kod, topu topu bir kez calismiyor mu her sayfa icin, zamana bagimli olsa da?

Statik analizle birsey olur muydu bilmiyorum bu arada. C'de genelde öyle seyleri yakalamasi pratikte imkansiza yakin. Heartbleed'i hatirliyorsaniz, acik-kaynak kod, tum C kod analiz firmalarinin hava attigi zamanlar. Heartbleed cikti, hic biri yakayamiyordu. Ciktiktan sonra bir sablon koydular tabi, artik o tek problem yasanmaz herhalde. Geriye kaldi ∞-1.

1
FZ

"Part of the infosec team started fuzzing the generated code to look for other possible pointer overruns." -> Benim buradan anladigim simdiye dek o 'generated C code' kismina pek guvenlik sapkasi takip bakmamislar. "Calisiyor mu, calisiyor, hizli mi, hizli, e o halde isimiz gucumuz var, hayat devam ediyor" seklinde gitmisler gibi.

1
auselen

IBM kismini daha cok begendim ben, bildigim birseydi de bu sekilde adlandirildigini bilmiyordum.

"Research by IBM in the 1960s and 1970s showed that bugs tend to cluster in what became known as “error-prone modules”. Since we’d identified a nasty pointer overrun in the code generated by Ragel it was prudent to go hunting for other bugs."

Gerci yine ayni problem, kodun baska yerinde baska bir hata yine vardir. Oralara bakmiyorlardir, sanirim makalenin bir yerinde eski-yeni kod parcaciklari diyordu. Daha once kullanilmayan parcalar, aciga cikmayan sorunlar boyle durumlarda cikiyor.

Tekrardan dedigim gibi ben muhendislik etiginde problem oldugunu dusunuyorum. Yaptiklari isin ciddiyetine yakisir sekilde calismamislar.

1
FZ

Mühendislik etiği deyince aklıma şu iki yazı geliyor hep:

Ve sonra şirketlerin iç işleyişlerini düşünüyorum: tepedeki yöneticilerden yaptıkları planlarda güvenlik kontrolleri, analizleri, vs. için ne kadar bütçe ayırıyorlar? Yöneticilerin yöneticileri... Ne tür baskılar, ticari durumlar, vs.

Evet, bir kez skandal kafaya dank edince, kaça patladığı anlaşılınca geriye dönük olarak "neden filanca tedbirleri almadınız?" demek kolay oluyor, diğer yandan işler "yolunda giderken" biri çıkıp "filanca şeyleri kullanalım" dese muhtemelen "kar zara analizi" yapıp reddedecek epey birileri oluyordur tepede. Tabii o esnada bu tür bir "skandal" nurlu ufuklarda doğmamış güneş kategorisinde, kimsenin de bu zaten olmuş gibi maliyet hesapladığı yok demek ki.

Çözüm nedir, bilemiyorum. Kanunları değiştirmek? Tepedeki yöneticilerin kabus görmesine yetecek resmi düzenlemeleri, cezaları getirmek? Bunun yol açacağı bilinçlenme ve bunun tetikleyeceği daha iyi süreçler, daha düzgün araç kullanımları, vs.?

1
auselen

Cozum mu? Cozum Feynman!

https://youtu.be/4kpDg7MjHps?t=2m32s

1
FZ

"Geriye kaldi ∞ - 1."

1
FZ

Evet, Heartbleed ve statik analiz konusu epey gundeme gelmisti vakti zamaninda, 2014'te calistigim yere Coverity sunumu yapmaya gelen amcalari bu konuda sIkIstIrdIgImI hatirliyorum :)

Su adreste, yazar Frama-C ile Heartbleed hatasinin yakalanabilecegini iddia etmis: http://blog.regehr.org/archives/1125 ama hemen ardindan gelen yorum da ilginc: ""How much effort would be required to push OpenSSL through Frama-C? I don’t know, but wouldn’t plan on getting this done in a week or three."

Sonucta ana tema degismiyor tabii, islerin arap sacina donmesi cok kolay ve paranoyak yaklasmadikca basa cikilabilecek gibi degil.

1
auselen
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Gelecek'ten yeni bir ürün: Firewall Suite™

anonim

Gelecek A.Ş 'den küçük, orta ve büyük boy işletmelerde kullanıcıların internet kullanımını ve kısıtlamarını yönetmek, gelebilecek saldırıları engellemek ve haberdar olmak ayrıca ağ trafiğinin yönlendirilmesi amacıyla hazırlanmış yeni bir güvenlik duvarı yazılımı ...

Linux´la Erişebilmek, Linux´a Erişebilmek

denizlilikaan

Evet abilerim aranızda bana fazla laf düşmez ama yeni keşfettiğim bir kolaylıktan aslında iki kolaylıktan bahsetmek istiyorum

Bir: Geçen hafta sonu değerli bir öğretmenimizin bilgisayarı feci şekilde göçmüştü. Tahmin edersiniz ki MS Win_Me Kullanıyordu.

Makina, Güvenli Kip dahil herhangi bir şekilde açılmayı reddediyordu. Aslında makinayı açıp HDD'yi söküp "Vector Linux yüklü PC"me bağlayıp hocamızın bilgilerini günlük ve yıllık planlarını kurtarabilirdim. (Öğretmenler için Planlar çok önemlidir. Bir de hazırlamak için günlerinizi, gecelerinizi harcadıysanız)

Kernel'da yeni açık

e2e

Linux kernel'ında bulunan yeni bir açıktan faydalanılarak basit bir C programıyla kernel'ın kırılabilecegi ve bu açık sayesinde tüm sistemin kilitlenebileceği belirtiliyor

Bu güvenlik açığından 2.4.2x ve 2.6.x versiyonları; x86 ile x86_86 mimarileri etkileniyor.

FBI Güvenlik Birimine Yeni Başkan

sundance

Security Focus haberine göre FBI geçtiğimiz günlerde Milli Network Yapısı Koruma Merkezi`ne (NIPC) yeni bir başkan seçti...
Temel olarak ülke çıkarlarına yönelik network saldırılarını, hack denemelerini engellemekle görevli bölümün başına getirilen Ronald Dick, bir anlamda FBI`ın ikinci başı oluyor

Bizde mi ne oluyor ? Milli Ateş Duvarı projemiz var ya, daha ne olsun :)

Internet Ortamındaki Kişisel Bilgisayarlar İçin Temel Güvenlik Tehditleri

anonim

Bilgisayarı karıştırırken bir kongre için yazıp daha sonra göndermekten vazgeçtiğim aşağıdaki tarama/derleme türündeki makale özeti gözüme çarptı. Aslında daha çok başlangıç düzeyindeki bir makalede olsa bilgisayarın harddiskinde tozlanmasına gönlüm razı olmadı. Burada en azından yeni başlayan arkadaşlar için bir kaynak olabileceğini düşünüyorum.