В списке рассылки разработчиков OpenBSD произошло (http://article.gmane.org/gmane.os.openbsd.tech/35731) заслуживающее внимания обсуждение (http://article.gmane.org/gmane.os.openbsd.tech/35722) с участием Тео де Раадт, из которого следует, что OpenSSH подвержен серьезной уязвимости. Утверждается, что уязвимы как минимум варианты OpenSSH используемые в FreeBSD. К сожалению, кроме голословных заявлений, подробности о характере проблемы не приводятся. Тео де Раадт отказался предоставить какие либо сведения об уязвимости, что вызвало некоторую критику в списке рассылки.URL: http://article.gmane.org/gmane.os.openbsd.tech/35731
Новость: http://www.opennet.ru/opennews/art.shtml?num=39561
что? кто? кого? когда?"волнуйтесь. подробности о том, как волновались другие - письмом"
А давай вместе бояться?
Разрешите присоединиться? Корвалол - мой, ощущения - ваши.
Забавно - "заслуживающее внимание". Почему оно заслуживает? Где док-во?
з.ы. Строка заслуживает внимание - "где то, в одном популярном ПО, есть наистрашнейшая уязвимость, но никто не знает где, а кто говорит о ней, не говорит о том, знает ли он сам о ней". Страааашно ...
Уже и сюда пролезла дурацкая 4пда-шная мода отвечать в чужую ветку, ради того, чтобы засунуть свое ценное мнение повыше.
> Где док-во?Тео Де Раадт - не форумный балабол. Поэтому его слова имеют несколько больший вес. А его слова в списке рассылки подкреплены пруфлинками на этот список, если что.
да, но порой - он жжет таким адским напалмом, что прям не знаешь что и думать.
>> Где док-во?
> Тео Де Раадт - не форумный балабол.А "автор и, к сожалению, исполнитель своих (как он их называет) "песен"" (с)
Неделя уязвимости в OpenSSL закончилась, началась неделя с OpenSSH :)
> Неделя уязвимости в OpenSSL закончилась, началась неделя с OpenSSH :)Астрологи объявили неделю OpenSSH. Прирост взломанных серверов увеличился вдвое.
Да, помню, у Нострадамуса про это тоже как-то читал.
«Что если завтра Дамин или я анонсируем о важной дыре в OpenSSH, как будет жить Интернет дальше?
Как вы думаете...люди используют telnet или RDP, чтобы получить доступ к машинам, нуждающмся в администрировании?
Нет, люди пологаются на OpenSSH, за который не платят ничего.»
Вот она - шизологика на марше.
пишу из горящего танка - да куда ж катится этот мир-то?
Для OpenBSD - это реклама, для "опущения" FreeBSD. OpenSSH используют практически все UNIX системы. Вопрос: почему раньше этот вопрос не поднимался ?
Потому что: "Тео де Раадт отказался предоставить какие либо сведения об уязвимости"
я предполагаю что есть уязвимость в ядре, но я вам не раскрою...
Или если перефразировать клссиков, то:
Мы Тео де Радтом расходимся в философских вопросах...
- Вы уязвимость в ОпенССШ видите? - Нет! - А она есть...
- У меня для вас посылка, но я вам её не отдам.
Не не не. Печкин саму посылку-то показывал!
Во FreeBSD 10-stable sshd запускается по дефолту в песочнице capsicum если не ошибаюcь, у меня sshd например не запущен, а так Тео молодец, эксплоиты для openssl все поюзали как новость о дыре появилась.
> эксплоиты для openssl все поюзали как новость о дыре появилась.OpenSSH совсем иной протокол нежели SSL. Поэтому эксплойты для SSL к SSH не относятся. Но видимо такой обсирак спровоцировал всплеск аудита. И судя по всему Тео и Ко нашли другой обирак, по его утверждениям затрагивающий судя по всему только фрибздюков.
АНБ продолжает злорадствовать?Тео не дал никакой инфы, потому что это серьёзная и опасная уязвимость и ей тут же воспользуются многие тысячи хакеров, наверное.
Кошечки пушкуют^^
Нет, не поэтому.>Please ask Kirk McKusick, he knows the story about why this is not being disclosed to FreeBSD. Sometimes I feel a bit sorry for them (and for him), but then the next minute I
don't feel sorry because there's damn good reasons they won't be told about what I found.
В конечном итоге можно сказать и да, поэтому, но не всё так просто.
На самом деле Тео неплохо вбросил:
>... as long as you aren't using FreeBSD or a derivative (hint: Jupiper), you are fine. That's the only place I know of an OpenSSH hole.
>
>Oh now I sense some angst. Please ask Kirk McKusick, he knows the story about why this >is not being disclosed to FreeBSD.Ну что, котятки, немного конспирологии? :)
Странно, что он ссылается на Кирка... Когда прошлой зимой забурлили говна по поводу использования RDRAND[1] и др., Тео не упустил возможность облить[2] FreeBSD помоями, заявив в интервью iTWire, в частности, что «it is 10 years of FreeBSD stupidity. They don't know a thing about security. They even ignore relevant research in all fields, not just from us, but from everyone.»
Спустя недели три в том же iTWire появляется спокойный и обстоятельный ответ[3] МакКузика, где он довольно подробно описывает, как во FreeBSD реализован /dev/random и вообще откуда весь сыр-бор.
В свете всего этого невольно возникают вопросы: 1) зачем Тео сейчас (10 апреля) указывать на МакКузика? 2) случайно ли упомянут «можжевельник» (Juniper)? 3) если и то и другое не случайно, что такое известно Кирку про OpenSSH во FreeBSD? 4) почему он это не раскроет? 5) откуда про пп. 2-4 известно Тео?
[1] http://arstechnica.com/security/2013/12/we-cannot-trust-inte.../
[2] http://www.itwire.com/business-it-news/open-source/62641-cry...
[3] http://www.itwire.com/business-it-news/open-source/62728-mck...
при чём тут «кузику известно про уязвимость»? совсем навыки чтения поистёрлись? Тео написал вот это, буквально: «фрибсд — мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.» вот и всё.
> Тео написал вот это, буквально: «фрибсд — мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.» вот и всё.Нет, не всё. Суть его выпада сводится к: 1) во FreeBSD (а также Juniper) дырявый OpenSSH; 2) МакКузик знает, почему им (фряхе) ничего не рассказывают (причем не ясно, Тео говорит лишь за себя или не только); и 3) эти причины довольно веские.
Сложность в том, что МакКузик нигде не говорит, что «таки-да, Тео считает нас (или меня) мудаками и не рассказывает про дырку в нашем ссх; у нас есть достаточные основания считать, что дырка действительно есть; мудаками нас считают потому-то и тому-то», хотя я не вижу причин, почему бы этого не сделать, например, во внутренней рассылке разработчиков FreeBSD (если придавать широкой огласке по каким-то причинам нежелательно).
Мудаком здесь себя выставляет скорее Тео, а вовсе не МакКузик. Насколько я в курсе обсуждений в рассылках FreeBSD конкретно этого письма Тео, кроме как с него брать пример мудачизма никто не предложил и даже не намекнул. Соответственно, либо мудак и балабол все же Тео, либо таки-МакКузик, но тогда чорные вертолеты и конспирология. :-)
Используйте port knocking и будете отчасти защищены.
..the fact is that the last 10 years have changed the community
- whereas bugs used to be shared ahead of time among a group of peers
(including Free operating system authors) who were trusted to, and
generally allowed for a certain amount of time for mitigations to
happen before announcement, The fact is that now big dollars are spent
by all of the players on bug bounties and other such crap, with
sponsors having privileged access to the information (in other words
they aren't donors, they are paying for early access.)So just as a hypothetical example, 10 years ago, if certain
organizations knew about an endemic problem, that would have been
shared ahead of time with the security community, (we all know who we
are) ahead of time and everyone would work to get their mitigations in
place in a controlled manner before disclosure so patches were
available immediately - and that used to happen pretty darn fast.
That doesn't happen any more now that most of this is monetized -
they're too busy being told to sit on it by their "sponsors" so full
disclosure actually seems to happen a lot later.So, the short answer is, if you know about a problem and want to
monetize it - this is great news for you - there are many places with
organizations behind them with deep pockets that will buy your bug.
They organizations
with the money behind it get early access. Finding bugs in that
environment is not about making software better anymore. You probably
don't *want* better software - you want more bugs. more bugs equals
more money. You probably *want* to keep things like the exploit
mitigation countermeasures in OpenSSL in the software - You certainly
don't want the code base to be easily auditable, and you certainly
don't want the tools that find the bugs
automatically and just get them fixed to find them.Who loses? well, the rest of us.
So, if you know of a bug in such an organization (that itself sits on
bugs), what would you do? Tell the world for free? Monetize it? or Sit
on it?I don't have an answer for you. All I can do is tell you the state of
the world :) In the immortal words of a recently deceased friend of
mine, Life is Hard, Wear a Helmet.
Цитата вообще о другом.
Это взгляд на состояние дел в security и изменения за последнюю декаду.
Вы не могли указать на то место в вышеприведенной цитате, которую вы прочли как "Тео ничего конкретного не говорит, потому что хочет эту инфу продавать"?
> Вы не могли указать на то место---
Также замечены грубые наезды на одного или нескольких выбранных оппонентов, имеющие целью вывести человека из себя и с форума; не стоит обращать внимания на подобные провокации.
--- http://wiki.opennet.ru/MSSP
Надо же, не думал что MS будет так глупо подставляться.
Да и Metro (кажется, его сейчас правильно называть Modern?) мне в целом нравится (вы не подумайте чего дурного). Хотя сделать отключение antialiasing-а шрифтов отдельно в desktop и metro могли бы.
Хотя Tablet PC как платформа была куда интересней, жаль что MS за 15 лет так и не смогла её внятно объяснить покупателю.
> Надо же, не думал что MS будет так глупо подставляться.У них с менеджментом в последнее время творился полный швах, поэтому они делали много глупостей, начиная от попыток поливать линукс грязью в рекламе до наема долбонавтов с одной извилиной, и то прямой. Потому что те кто с мозгом - понимают, что работенка грязновата, по затратам времени vs оплата - "не очень", да и ничему полезному не научишься, только репутацию себе испортишь.
Ок, не буду.
Дырку в PCRE с переполнением стека решили ?http://muff.kiev.ua/content/pcre-rabota-s-dinamicheskoi-pamy...
Какая-то левая ссылка. Где ссылка на bureport? Ибо я не вижу пока никакой дыры. Просто некорректная конфигурация PHP для данной установки PCRE. Если такая настройка используется по умолчанию, то стоит просто об этом сообщить в maillist-ы FreeBSD.
"Вам 3.14здец, но мы вам не скажем, почему."
Тео такой Тео.
> Тео такой Тео.Да вообще, офигительно. И чего предполагается? Что это повысит доверие к openssh? Как по мне так это порождает вопрос "чем бы эту блоатварь с кучей багов заменить?".
> И чего предполагается?предполагается, что Тео ловит лулзы.
Ой какой кошмар! Использую honeypot/port-knocking и блокировку по айпи
Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому, и можно закрывать Интернет.
> Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытомуНее, лучше о такой, что вообще ключи не нужны.
Ту микроскопическую часть Интернета, где кому-то небезразлична безопасность?
Так она и так давно закрывается, и почти уже и закрылась.
> Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому, и
> можно закрывать Интернет.Ну хоть фотки котиков можно оставить?
скорее исторический подход к ассиметричному крипто.
а если программисты альтернативных апрочей - не представят наконец(шестой год пилят, блин)хотя бы условно-работающий пру-оф-концепт, пригодный для показа менеджменту и мб общественности - закрыть направление "пока что".
что непрактично, политиески самоубийственно и очень-очень затратно/ущербно. поэтому дальше - будут !"№%!сти мОгли, так долго, сколько смогут, обещаниями и успокаиваниями =)
"Teo... Это почти как Нео?" Омские линуксоиды негодуют. Не делиться информацией - плохо!
??? Омские линуксоиды не читают оригинал??? Там есть ссылка на пост самого Тео. Чем он там не делится то???
Ничем.
Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.Вот тут еще разжевано:
https://news.ycombinator.com/item?id=7568059
> Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.Потом Тео пояснил, что дырка есть, но она только в версии из FreeBSD.
http://thread.gmane.org/gmane.os.openbsd.tech/35722/focus=35731
>> Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.
> Потом Тео пояснил, что дырка есть,Эге, Тео пояснил, что спонсоры фбсд, пользующего openssh от создателей проекта obsd, нахаляву, могут... обратить пристальное внимание на тролящего для фана и профита Тео и его ежегодный фандрайзинг, так удачно декорированный залпом heartbleed-а.
"Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.
> "Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.На сайте openssh.com последний абзац прямо сочится батхертом - "я тут как лох BSDшную лицензию юзал и поэтому мне не обломилось ни денег, ни патчей!"
От смены BSD на GPL денег больше не станет.
А подробная информация об уязвимости, очевидно, стоит денег, да?
> А подробная информация об уязвимости, очевидно, стоит денег, да?ну, судя по обьему рынка - немалым.
недавно обнародованные сделки АНБ и ЦРУ по скупке уязывимостей у ИБ-компаний, в общем-то - невзрачны на фоне повседневного обьема сделок, несмотря на броские цифры. бо "мешками" скупают нечасто и не все.
> А подробная информация об уязвимости, очевидно, стоит денег, да?Знаешь, чувак, если апстрим сажает баги а потом еще и начинает лечить что информация о них стоит денег - с таким апстримом лучше не связываться. Особенно там где вопросы касаются криптографии.
Хм-м...
Я, конечно, понимаю его недовольство коммерциализацией безопасности и что он "не обязан никому ничего рассказывать, если не хочет", но все же, мне кажется, если серьезная дырка реально есть, то он поступает нехорошо. Это как у врачей клятва Гиппократа. Можно быть недовольным состоянием медицины, своей зарплатой, тем, что медсестры на работу не вышли и тем, что больной, нуждающийся в неотложной помощи, у тебя жену увел, но протестовать путем отказа в лечении, когда больше взяться за него некому, — паршивый способ.
Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на весь нет, чтобы каждый малолетний кульхаксор ее поюзал.
> Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на
> весь нет, чтобы каждый малолетний кульхаксор ее поюзал.Поэтому кулсисопы и не почешутся апдейтиться. Зато червяков и ботов прибавится, это да.
> если серьезная дырка реально есть, то он поступает нехорошо. Это как
> у врачей клятва Гиппократа. Можно быть недовольным состоянием медицины, своей зарплатой,Не пойду к Тео лечиться. И к тебе тоже не пойду -- ни дай бг, лечишь так же по аналогии, да ещё и по такой хр-ой
>Не пойду к Тео лечиться. И к тебе тоже не пойду -- ни дай бг, лечишь так же по аналогии, да ещё и по такой хр-ойУ нас 21-й век, век дешевых и заменяемых компонентов. Если человек болен - мы просто заменяем его на здорового.
>Чего в клятве нет: обещания лечить бесплатно кого угодно, от чего угодно, когда угодно, целовать пациента в ____, обеспечивать пациенту удобства, комфорт, душевный покой и даже обезболивание, совершать невозможное и быть готовым не есть, не спать и не отдыхать, если внезапно больному захочется поболтать о своих недугах в два часа ночи. Но именно этого от врачей и требуют, когда говорят: «Ведь вы же давали клятву Гиппократа!». Пациентам, прежде чем поминать Гиппократа всуе, следует ознакомиться хотя бы с его афоризмами
openbsd не подвержена этой уязвимости, потому что зимой у openbsd отключили энторнет (помните эту бучу со сбором денег для их инсталляции, собирающей openbsd для себя самой). и единственной на данный момент инсталляцией openbsd, подключенной к интернету, остался ноутбук Тэо. а он выдернул из него кабель после написания письма в рассылку. и этим объясняется и его молчание, и все остальное.
Не подвержен взлому кмпьютер отключеный от сети, електричества и вообще всего засунутый в сейф и залитый бетоном и то есть сомнения...
>Утверждается, что уязвимы как минимум варианты OpenSSH, используемые во FreeBSDВ чем особенность FreeBSD версии?
Они его шлангом собирают?
У шланга нету защиты стека
> У шланга нету защиты стекаWITH_SSP по дефолту.
ну помимо NX/DEP полноразмерного, там ни обфускации, ни прочих рандомизаций нету, систем-вайд. но и в опен и у линуса и ко - тоже, рудименты, если быть честным.
> но и в опен и у линуса и ко - тоже, рудименты, если быть честным.Нифига себе рудименты у линуса. Защит туева хуча. Особенно преуспели openwall, если я правильно помню.
http://kiwibyrd.org/2013/09/23/1101/
все фбсд-дерайвед продукты - должны быть в Ужосе =)
включая пару холодильников, пять автомобилейполтора вертолета и новый плейстейшн )