GNU/Linux OpenBSD Kadar Güvenli Mi?

0
Nightwalker
Internette dolaşırken tesadüfen rastladığım makale oldukça ilginç. Makalede GNU/Linux'un neden hiçbir zaman OpenBSD kadar güvenli olamayacağı açıklanıyor. Başlıktaki iddaya önce şüpheyle yaklaşsam da savunulan tezler oldukça mantıklı gözüküyor. OpenBSD desktop uygulaması olarak belki Linux'un karşısına kolay kolay çıkamayacak. Ama sunucu hizmetlerinde... Neyse bakalım gelecek kimin olacak?
İgilenenler için makale: http://www.olympos.org/article/articleview/268/1/2/ adresinde, orjinali ise http://www.seifried.org/security/os/20011107-linux-openbsd.html adresinde. Ayrıca ingilizce olarak aksi görüş için: http://www.seifried.org/security/os/20011107-openbsd-linux.html. Makalelerin ikisinin de aynı kişi tarafından yazılmış olması güzel tabii :)

Not: Makaleleri okuduktan sonra arada kalanların kafasını biraz daha karıştırmak için birde üçüncü alternatif var: http://www.linuxfocus.org/Turkce/September2002/article260.shtml

Görüşler

0
anonim
Linus Torvalds ın Amerika ya gitmesi beni gerçekten tedirgin etti.
gsu.linux.org.tr sitesinde okuduğum (tam hatırlamıyorum,başka bir yer olabilir) şifreleme makalesinde Amerika nın şifreleme yazılımlarına ve yazılımcılarına iyi gözle bakmadığını anlayabilmiştim.Diğer taraftan fazlamesai de debian ile pgp nasıl kullanılır -gibi- bir yazı okuduğumu hatırlıyorum.Makaleyi yazan adamın değindiği konu bana biraz windows kullanıcılarını hatırlattı.Bazı şifrelemeler için kerneli patchlememiz ve düzenlememiz gerekiyormuş.Elbette yazılımın içinde varsayılan olarak gelmesi hoşumuza gider,gelmedi diyede güvensiz diyemeyiz.
Sonra freebsd nin windows2000(nt5) ve macosX tabanını oluşturduğunu,hatta free bsd deki (telnet) server açıklarının windows da çalıştığını duyduğumda (internet kullanıcıları derneği ve küpeli abim sağolsun) bsd ye yan yan bakmadım diyemem.Torvalds ın Amerika ya gitmesi şifreleme yazılımlarını bize göndermek içindir umarım:)
Nede olsa şifreler kırılmak içindir.
zahter
0
Nightwalker
Windows un standart şifrelemesi olan EFS 56-bit şifreleme yapar. Ekstra güvenlik isteyen kullanıcı eğer Kuzey amerikada ise microsofttan 128-bit şifreleme yapan Gelişmiş CryptoPAK ı isteyebilir. Microsoft teorik olarak bu şifrenin çözülemiyeceğini idda eder. Ancak bu konuda yeni bazı gelişmeler oldupunu duymuştum ancak pratik anlamda 128 bit şifre kıran bir uygulamadan haberim yok. Bu konu aslında FZ üstadın ilgi alanına girer.



Not : 128 bit şifreleme algoritmasının kuzey amerika dışına ihracı için son yasal durumu bilmiyorum değişmiş olabilir.
0
Nightwalker
Benim bahsettiğim 128 bitlik şifrelerin kırılabilirliği ile ilgili uygulamalardı. Bahsettiğiniz makalelerin derinliğinden dolayı,
bu konuda bilginiz olabileceğini düşünmüştüm.
0
FZ
FM sitesinde benim bildiğim Debian GNU/Linux ve diğer benzeri Linux dağıtımları üzerinde gpg (Gnu Privacy Guard) kullanımı ile ilgili üç yazı yayınlandı:

http://www.fazlamesai.net/makale.php3?sid=1107
http://www.fazlamesai.net/makale.php3?sid=1121
http://www.fazlamesai.net/makale.php3?sid=1185

Eğer kast ettiğiniz makaleler bunlar ise (gerçi bunlarda sizin dediğiniz gibi pgp değil de gpg anlatılıyor ama kavramların %90´ı aynı) bu yazılarda çekirdeğe yama uygulamak ve yeniden düzenlemek gibi bir şey söz konus değildi. Ayrıca bu yazının ne şekilde MS Windows kullanıcılarını hatırlattığını merak ettim.

Yok eğer başka bir makaleden bahsediyorsanız, o konuda bir şey diyemem hangisi olduğunu belirtmediğiniz için.
0
anonim
pgp açık kaynak olmuştu sanırım onunla fazlamesai deki makaleleri bağdaştırmış olmalıyım ama benim debian&pgp dediğim makaleler FZ nin belirttiği gibi yukarıda linkleri verilen makaleler.
Ms Windows kullanıcılarını hatırlatan durumu biraz daha açıklayayım ama anlattığım durum size ms windows kullanıcısını hatırlatmayabilir.
http://www.olympos.org/article/articleview/268/1/2/ Makalesinde kurt seifred linux cekirdeğinde şifreleme yazılımlarının entegre gelmemesini,şifreleme yazılımlarını çekirdeğe eklemek için çekirdeği patchlemek ve düzenlemek gerektiğini söylemiş,galiba bu noktada sonra hepimiz farklı düşünmeye başlıyoruz.Benim düşüncemse:şifreleme yazılımlarının çekirdek içinde gelmesi elbette iyi olur ama madem ekleniyor o kadar da sorun olmasa gerek.çünkü linux u pek çok kişiye tavsiye etmeye başladığım şu günlerde program kuramayan insanlar windows daki ''''''''''''''''next-next'''''''''''''''' i özlediklerini söylüyorlar.Programi kurmadiklarini derlediklerini soyleyince bana biraz garip bakıyorlar.hemen neden boyle bir seye gerek duyuluyor diye soruyorlar.konsoldan program mı kurulurmus?
insana bunlar eziyetmis.kurt un dediği bana biraz bunu anımsattığı için ''''''''''''''''''''''''''''''''bana windows kullanıcılarını hatırlattı'''''''''''''''''''''''''''''''' demiştim.Görüldüğü gibi çok farklı konular,kurt un şifreleme konusuyla belkide doğrudan bağlantı yok ama serzeniş aynı gibi.
Anlaşılan,okuduğum makaleleri size link olarak göndermek gerekiyor.Çünkü konuyu gerçekten ulusal şifreleme programlarına getirmek istiyorum.Şifreleme yabana atılmayacak bir konu.Bunu,ülke,askeriye gibi konular için de düşünmek istemiyorum.Böyle tartışmaların sonuçta nasıl hiçbirşey le sonuçlandığını gördük.Sonra konunun pasif tarafları ise (ülke-askeriye) pek haberdar -alakadar- olmuyor.Benim için konu daha ütopik ve felsefik..Kırılamayacak şifreler,kapıyı kilitleyip,anahtarı yutmak gibi çözümler:)
http://gsu.linux.org.tr/kripto-tr/
0
FZ
Detaylı açıklamalar için teşekkürler, şimdi ne demek istediğinizi daha iyi anladım :)

Kırılamayacak şifre, ulusal şifre, ülke, askeriye, vs.

Keşke bütün iş algoritmalarda bitse idi! O zaman RSA, Rijndael, Blowfish, vs. gibi algoritmalarla hayat daha kolay olurdu. Ancak mevzu bunlarla sınırlı değil, bunların içinde kullanıldıkları protokoller ve akabinde insan faktörü! NSA´dan bir görevlinin (ismi lazım değil) dediği gibi: `İnsanları kırmak, şifreleri kırmaktan çok daha kolay bu yüzden matematik ve bilgisayarlara başvurmadan önce insanların zayıflıklarından faydalanıyoruz.´
0
zahter
Derdimi anlatabildiğim için bende memnunum.Benim ve arkadaşlarimin geliştirdiği ve geliştirmeye devam edilen bir şifrenin olmasi gerçekten güzel olurdu.İnsan faktörü için yapılabilecekler az,insanlara biraz bilinç kazandırabilirsek hatalar yarı yarıya azalır diye düşünüyorum.Aslında bir algoritmamız olsunda,varsın kırılsın.Hem zaten şifreler ne içindi?
0
Nightwalker
Az önce yanıtı yanlış yere reply etmişim. Benim bahsettiğim 128 bitlik şifrelerin kırılabilirliği ile ilgili uygulamalardı. Bahsettiğiniz makalelerin derinliğinden dolayı,
bu konuda bilginiz olabileceğini düşünmüştüm.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

En Son Ne Zaman Badana Yaptınız?

FZ

Boya deyip geçmeyin, eğer sağda solda kablosuz ağ sistemleri çoğalmaya başladı ise, sinyallerle başa çıkmakta güçlük çekiyorsanız o zaman belki de izolasyona dair bazı şeyler yapmanın zamanı gelmiştir.

Force Field Wireless şirketi bu tür kaygıları olanlar için özel bir boya katkısı üretmiş. Duvarları, tavanı ve zemini boyamak için kullanacağınız boyaya bu katkı malzemesini eklediğinizde görüntüde herhangi bir değişiklik olmuyor ancak kablosuz iletişimde epey bir izolasyon sağlanıyor (diye iddia ediliyor).

Şirketin iddiasına göre duvara homojen olarak yayıldığında söz konusu malzeme 100 Mhz - 5 Ghz frekans aralığındaki sinyalleri yansıtarak odayı bir tür Faraday kafesine dönüştürüyor.

Kaynak: Information Week

Yazılım Yalan Söyler Mi? Adobe Acrobat Reader Vakası

FZ

Language Blog isimli ve genellikle dilbilimcilerin yazdığı bir kolektif blog'da Adobe Acrobat Reader ile ilgili bir girdi dikkatimi çekti.

Yazara göre Acrobat Reader'in Preferences kısmına gelir ve JavaScript'i kaldırmaya çalışırsanız baktığınız belgede JavaScript kullanıldığına ve bu özellik kaldırılırsa düzgün görüntüleme yapılamayacağına dair bir uyarı geliyor. Blog girdisinin yazarı Acrobat Reader 6.0.3'ü Mac üzerinde kullanırken böyle bir deneme yaptığında benzer bir şeyle karşılaştığını ancak işin garibi söz konusu belgenin kendi hazırladığı ve LaTeX'ten PDF'ye dönüştürdüğü bir belge olduğunu dolayısı ile JavaScript filan içermediğini belirtiyor! Dolayısı ile programın yalan söylemesi söz konusu.

Belgelerde JavaScript kullanılmasının sebebi ise Remote Approach isimli bir şirketin PDF okunduğu zaman bunun okundu bilgisini Internet üzerinden başka bir yere iletecek bir sistem geliştirmiş olması. "Web bug"lardan sonra başımıza bir de bu çıktı ;-) Neyse ki Acrobat Reader'daki JavaScript uyarılara rağmen iptal edilebiliyor.

Sahte Microsoft İmzası

anonim

Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.

myspace.com'a Türkiye Kökenli Virüs Saldırısı

FZ

Dünyanın en çok ziyaret edilen ilk 10 web sitesinden myspace.com'da geçtiğimiz hafta büyük bir reklam skandalı yaşandı. Sayfanın reklamlarını gösteren sisteme sızan korsanlar, içinde Truva atı virüsü barındıran bir kodu ziyaretçilere göstermeyi başardı. Rus korsanların bir Türk sitesinin içine sızarak yönettiği operasyon sonucunda 2 milyona yakın kişinin bilgisayarına sızıldı.

Haberin devamı: Radikal

Metacortex - OpenBSD PF Toolbox

ts

Metacortex BSD lisansı ile dağıtılan OpenBSD PF firewall için monitoring yazılımıdır. Web arabirimi ile sistem yöneticileri için kullanışlı bir araçtır.