NSA zneužívá Heartbleed už celé roky

za prve, no a? a za druhe, nervi.

no typicky cechoslovacek hrabat len pre seba...ono keby si bol na tej urovni co ludia co chapu detaily openssl, zmyslal by si inak

O penězích tady mluvíš jen ty čechoslováčku. Já tady mluvím o informacích a moci.

Who found the Heartbleed Bug?This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.

No z podstaty ty chyby nejspis poslali string "AHOJ" a rekli se posilaj 100 byte misto strlen(AHOJ) a pak se divili co jim prislo nazpatek ... imho takhle na to prisli ..

No ten první to odhalil nepochybně takto. Ale na náhody moc nevěřím, takže mi přijde pravděpodobnější že u google narazili už jen na výsledek... třeba neobvykle hodně neobvykle dlouhých ssl odpovědí.

to s timhle vubec, ale vubec nesouvis

Nejen, že to s tím nesouvisí. Ale je to SEZNAM, na to máš být připraven . It's not problem, it's a feature!

To se mi na seznamu před lety stalo taky, prostě s tím počítám :) Přece bys nechtěl, aby češi nešvindlovali, a vzal jim tím hlavní životní radost, že získali pár drobných a ztratili 100x tolik, protože se jim nevěří.

A souvislost widlí s tématem?Už to nehul...

ehm.. ale vzdyt windows nema s OpenSSL nic spolecneho? Nebo jak to s tim souvisi?

Asi tak, že do MS je třeba kopnout i pod článkem o chytání ryb na moučného červa.

OpenSSL asi ne.

praveze pouzivaju ale asi starsie verzie.ku openssl je open source alternativa gnutls ? mozno pouzivaju tu. to by nam asi peter vysvetlil :)

pravdepdobne openSSL 0.9.8y (ta je MAC OS X) z roku 2013
chyba sa tyka len openSSL verzii
1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e a 1.0.1f
1.0.1g ju uz ma opravenu
1.0.2beta1 ju este nema opravenu, ale pre kod 1.0.2-beta2 ju uz ma opravenu

Názor byl 1× upraven, naposled 14. 04. 2014 12:30

Od ceho odvozujes pravdepodobnost? Od toho, ze nevis nic?Vetsina bank vubec OpenSSL nevyuziva ...

Do komunity vstoupil programátor, byl excelentní, vtipný, jeho zdrojové kódy byly kvalitní, bylo jich hodně. Postupně přebíral stále víc zodpovědnosti. Není se co divit, že to zvládl, když za ním stálo celé oddělení NSA. Myslím, že by neměl být problém ve správci verzí vypátrat, kdo tam tu "chybu" zanesl.Ale to je fikce, mohlo to být úplně jinak, pravda bývá jednodušší, prostě se někdo sekl a komunitní software je známý tím, že se nikomu nechce dělat takovou nudnou činnost, jak jsou testy.

Není třeba z toho dělat mystično http://goo.gl/OzCfMv...

testy sa este zvladjau, ale na toto by testy aj-tak nedosli. Na toto treba audit kodu. A ten sa nikomu robit nechce.

Black box testing s negativnim scenarem by tohle odhalil, kdyby se delal poradne.

To nebyla chyba, ale vlastnost.

Já jsem myslel, že to se u OSS nemůže stát, vždyť přece kód kontroluje komunita!

Samozřejmě že může, ve skutečnosti je tam mnohem víc děr než u komerčního SW, protože nemůžeš čekat kvalitu od pár tisícovek vývojářů, co to dělaje po večerech jako koníček vs tisícovky vývojářů co to mají jako hlavní náplň a jsou za to placeni.

OpenSSL dělá cca 15 lidí: https://www.openssl.org/about/...
Jistě, komunita to může kontrolovat, ale v reálu to asi moc lidí nedělá. Věřím, že po kauze Heartbleed to začne.

Kolik hodin denně budete ochotný osobně věnovat kontrole open source? Věřit můžete, ale dokud sám nezačnete, tak nevěřte tomu, že to někdo udělá za Vás. Existuje totiž asi milion způsobů, jakým trávit čas příjemněji. No a když se smíříte s tím, že vždy existuje možnost, že se někdo bude dívat, tak třeba začnete věřit tomu, že software s uzavřeným kódem má své výhody a alespoň někdo se stará o to, aby ten kód reálně kontroloval a nenechal tam lézt kdekoho, ale pouze ty, kteří si cestu prostě vždy najdou (i kdyby měla být legislativní).

Spoustu lidí to baví, rýpat se v kódu někoho jiného. Pro ně je to koníček. Další spousta lidí to dělá z důvodu své profese. U OSS je možnost, že se na chybu nebo backdoor přijde, u closed source ta možnost je prakticky nulová a na chyby se přichází víceméně náhodou.

Takže vpodstatě je closed source bezpečnější, protože se nemůže stát to co tady, že někdo chybu sice najde, ale nechá si ji pro sebe a využívá ji. Samozřejmně předpokladem je solidní úroveň testovaní ve vývojářské firmě...

To ani ne, chyby se dají najít i jinak, než analýzou zdrojáků (viz třeba zranitelnosti ve Windows). U open source je možná větší šance, že je někdo najde analýzou zdrojáků, ale zase je větší šance, že chyby někdo opraví a dá k dispozici. U closed source je to na rozhodnutí výrobce, kdy a jestli vůbec to opraví, v tom je to horší.

Nemyslím si, že je ta šance na opravu u open source větší. Zrovna v případě šifrování se jedná o druhý velký problém během pár let a v obou případech se jednalo o věci, které byly zneužitelné řadu let. Tehdy ještě mnohem déle než nyní. Takže to možná platí u drobných chyb, ale u kritických je praxe taková, že se o ně nikdo nepodělí a zůstávají tam velmi dlouho. Proč by také ne, když je zveřejnění pro většinu nevýhodné ...

Praveze opensource nerobia ludia po veceroch, ale ako pracu3.14 development statisticsBy changesets
Intel 1233 10.2%
(None-len toto su dobrovolnici) 1075 8.9%
Red Hat 877 7.3%
(Unknown) 701 5.8%
Linaro 528 4.4%
Samsung 523 4.3%
SUSE 396 3.3%
IBM 351 2.9%
Renesas Electronics 339 2.8%
Google 324 2.7%
Texas Instruments 288 2.4%
Vision Engraving Systems 278 2.3%
(Consultant) 268 2.2%
NVIDIA 248 2.1%
FOSS Outreach Program for Women 237 2.0%
Huawei Technologies 211 1.8%
Freescale 210 1.7%
Qualcomm 157 1.3%
Oracle 152 1.3%
Broadcom 144 1.2%
By lines changed
Linux Foundation 78675 11.4%
Intel 69526 10.0%
(None -len toto su dobrovolnici) 47083 6.8%
Red Hat 46371 6.7%
Texas Instruments 2827 4 4.1%
(Unknown) 25716 3.7%
IBM 25427 3.7%
Realsil Microelectronics 23676 3.4%
SUSE 22686 3.3%
NVIDIA 20720 3.0%
Samsung 19988 2.9%
Wind River 19946 2.9%
Code Aurora Forum 17878 2.6%
Google 13452 1.9%
Linaro 12945 1.9%
Cisco 12747 1.8%
(Consultant) 12301 1.8%
Qualcomm 10806 1.6%
Renesas Electronics 9655 1.4%
Freescale 9533 1.4%
a co sa tyka kontroly, ta su dobrovolnici este slabsiBy employer
Red Hat 2336 20.2%
Linux Foundation 1548 13.4%
Intel 1367 11.8%
Linaro 1093 9.4%
Google 649 5.6%
Samsung 647 5.6%
(None-dobrovolnici) 417 3.6%
Facebook 283 2.4%
SUSE 270 2.3%
Renesas Electronics 265 2.3%
IBM 262 2.3%
Texas Instruments 200 1.7%
Broadcom 183 1.6%
(Unknown) 159 1.4%
Fon 129 1.1%
NVIDIA 97 0.8%
Cisco 91 0.8%
Pure Storage 91 0.8%
(Consultant) 82 0.7%
University of Cambridge 77 0.7%
https://lwn.net/Articles/590354/...

Tak to máte mylnou představu o fungování OSS. Kvalitní OSS projekty nedělají dobrovolníci po nocích, ale právě firemní vývojáři, kteří to mají jako hlavní náplň a jsou za to placeni. Rozdíl je akorát v tom, že produkty vydávají jako open source a ne jako komerční program. Zdrojem příjmu jsou buď jiné projekty, reklama, investoři, komunita apod. Samozřejmě do těchto projektů může přispět dobrovolník, což je také podstata open source, akorát jeho kódy se musí kontrolovat a schvalovat. Takže díry, zmetky, blbosti jsou tak lépe kontrolovány.
Ovšem nikdo není neomylný a aplikace nikdy nebývají bez chyb, tak se klidně stává, že dřív nebo později někdo objeví chybu. A je jedno zda jde o OSS nebo komerční program. Důkazem je třeba Adobe. Je to velká komerční firma, takže dle tvé logiky by měly mít kvalitní kódy bez chyb, když jsou za to dobře placeni. A přesto jejich produkty jsou častěji zneužívány, protože někdo v nich objevil kritickou chybu.

nejake porovnanie rovnakej kniznice ktora je closed source a jej opensource alternativy co sa tyka poctu dier, zneuzitelnosti a zavaznost utokov? Alebo len trepete totalne kraviny pri absencii znalosti fungovania opensource developmentu? :)

OSS samozřejmě může být komerční, to se nevylučuje.

stat sa to moze, ale ukazuje sa, ze sa to rovnako casto ako pri proprietarnom SW a najlepsie open osurce SW maju omnoho vyssiu kvalitu a nizsu bugovost ako najlepsie proprietrane SW
Proprietary code analyzed had an average defect density of .98 for projects between 500,000 – 1,000,000 lines of code. Open source projects with between 500,000 – 1,000,000 lines of code, however, had an average defect density of .44,Linux remains a benchmark for quality. Since the original Coverity Scan report in 2008, scanned versions of Linux have consistently achieved a defect density of less than 1.0, and versions scanned in 2011 and 2012 demonstrated a defect density below .7. In 2011, Coverity scanned more than 6.8 million lines of Linux code and found a defect density of .62. In 2012, Coverity scanned more than 7.4 million lines of Linux code and found a defect density of .66. At the time of this report, Coverity scanned 7.6 million lines of code in Linux 3.8 and found a defect density of .59.
http://www.coverity.com/press-releases/annual-cov... ...
Konkrtene tento kod bol posany 31.12.2011 o 23:50 a omylom mu posielajuci pridal informaciu, ze presiel kontrolou. Druha kontrla prebiehala 1.1.2012. Skoro mam pociti, ze islo o umyselne pridanbie kodu. Americanom uiz vtedy neverili a ich kod sa preveroval prisnejsie, ako kod nemca, ktory toto poslal..
Edit: pocet raidkov v openSSL s opravenou chybouLanguage Files Code Comment Comment % Blank Total
---------------- ----- --------- --------- --------- --------- ---------
c 1080 271968 82398 23.3% 38890 393256
perl 518 69597 34071 32.9% 21280 124948
make 75 13606 426 3.0% 1707 15739
assembler 13 10864 1439 11.7% 1311 13614
cpp 37 7170 1696 19.1% 2533 11399
dcl 39 6658 5440 45.0% 297 12395
autoconf 2 1600 8 0.5% 520 2128
shell 35 1443 390 21.3% 376 2209
bat 33 1245 142 10.2% 417 1804
ec 17 132 0 0.0% 12 144
scheme 7 83 0 0.0% 0 83
emacslisp 1 24 19 44.2% 2 45
automake 1 4 1 20.0% 2 7
html 1 3 2 40.0% 2 7Total 1859 384397 126032 24.7% 67349 577778Takze je to v kategorii 500 tis - 1 mil. riadkov, kde je Open source stale lepsie ako closed source
aby ste vedeli, v com je merana kvalitaDefect density (defects per 1,000 lines of software code).

Názor byl 2× upraven, naposled 14. 04. 2014 12:13

Kdo to je ten pán Komunita?