Knihovna OpenSSL projde auditem

Roman Bořánek 30. 5. 2014

Pod křídly Linux Foundation vznikla Core Infrastructure Initiative (CII), která má za cíl dohlížet zejména na bezpečnost nejrozšířenějších internetových open-source projektů. Iniciativa vznikla v reakci na kritickou chybu v OpenSSL, tzv. Heartbleed bug, a podpořila ji už řada internetových gigantů: Intel, IBM, Microsoft, Google, Amazon, Cisco, VMWare a další.

první fázi projektu budou uvolněny finance pro dohled nad projekty Network Time Protocol, OpenSSH a OpenSSL. Konkrétně OpenSSL dostane dva vývojáře na plný úvazek, kteří se budou zabývat výhradně dohledem nad kódem, případně opravou kritických nedostatků. Peníze dostane také iniciativa Open Crypto Audit Project, která zorganizuje nezávislý audit zdrojových kódů OpenSSL. V rámci CII také vznikla skupina osmi uznávaných bezpečnostních expertů, kteří budou k dispozici, když si vývojáři nebudou vědět rady.

Našli jste v článku chybu?
  • 30. 5. 2014 11:18

    x (neregistrovaný) ---.net.upcbroadband.cz

    Vsechny vyjmenovane firmy totalne kaslou na Open source. Kdyby jim slo vazne o audit, tak podpori ty co s tim uz zacali. I kdyz dejme tomu, ze maji sve postrani duvody dal tlacit OpenSSL, tak budiz jim prano, ale specialne v pripadne OpenSSH je evidentni, ze jim nejde o podporu OpenSSH jako takoveho, ale o sve vlastni zajmy. Kdyby jim slo o opravdovou pomoc, tak jdou penize primo OpenSSH a spolupracuji s nima (coz i oni poptavali), ale Linux se opet rozhodl vydat proti zajmum Open source a komunity. Jen tak dal chlapci :D

  • 30. 5. 2014 11:33

    Loki Odinsson (neregistrovaný) 77.240.190.---

    +1 ....

  • 30. 5. 2014 12:10

    Filip Jirsák

    Vsechny vyjmenovane firmy totalne kaslou na Open source.
    To asi moc open source projektů neznáte, když se vám daří vyhýbat těm, které tyhle firmy podporují.

    Jinak OpenSSL a OpenSSH se liší v jednom písmenku, ale přesto jsou to dva různé projekty a dva různé kusy software.

  • 30. 5. 2014 13:08

    Drom (neregistrovaný) 46.167.210.---

    A které open source projekty podporuje Microsoft, Google, Amazon, Cisco, VMWare? Tak možná ty, který _zrovna_dneska_ potřebujou, jinak jim je OSS někde...

  • 30. 5. 2014 14:09

    Hmmm (neregistrovaný) ---.213-160-185.telecom.sk

    A ake ine projekty by mali teda podporovat? Tie, z ktorych nemaju ziaden uzitok? A z tych ktore konkretne? Lebo takych su miliony.

  • 30. 5. 2014 16:34

    Drom (neregistrovaný) 46.167.210.---

    To není o tom jaké, ale že by měli podporovat OSS obecně a pořád, ne když se to hodí nebo to zrovna letí...

  • 30. 5. 2014 19:03

    x (neregistrovaný) ---.net.upcbroadband.cz

    Ale to jim nikdo nebrani podporovat to co jim vyhovuje. Jsou to jen firmy, kterym jde o komercni zisk a ne o dobro nebo uzivatele (o ty jen dokud plati nebo je z nich jiny uzitek jako v pripade Google).

    Ale at si nechaji ty kecy o Open source na porady podobne postizenych na ohaneni se v Powerpointu.

    Uzasne jak puvodni myslenka open source a hackeru za ty roky zdegenerovala diky Linuxu. Uzasny svet open source kde mezi sebou bojuji komercni giganti ala Google, Apple, Samsung a podobni a pouzivaji k tomu "svobodnou" licenci GPL. Bravo chlapci ! :D :D :D :D :D

    Prave diky OpenSSH (a mnoha dalsim soucastem z xBSD sveta) a BSD licenci je krasne videt skutecnost okolo techto firem. Jiste, BSD je o tom prosadit kvalitni technicke reseni i kdyz se jedna o nasazeni komercni coz BSD v pohode umoznuje. To jim budiz prano, ale aspon nevedou takove ty srdceryvne kecy o Open source, protoze ten je vubec nezajima. Tyhle pindy vedou jen proto, ze je k tomu vicemene nuti GPL licence, ale realne ani ta nic nemeni. I kdyz vlastne ukazuje jeste lepe co jsou oni zac.

  • 31. 5. 2014 10:50

    Filip Jirsák

    Nějak jsem se v tom vašem komentáři ztratil. Mohl byste to popsat na nějakém konkrétním příkladě, třeba proč Google přes GSoC podporuje NetBSD?

  • 1. 6. 2014 17:03

    x (neregistrovaný) ---.net.upcbroadband.cz

    V ramci GSoC podporuji spoustu OS i projektu. S open source ani svobodou to nema vubec nic spolecneho. Je to cesta jak udelat snadno odpisy z dani a dostat se k pro ne prakticky vyhodnym technologiim bez nutnosti investovat cas a penize do vlastnich lidi (nebo pripadne takove nabirat). Jiste, zrovna pro systemy jako xBSD je to sice pekne, ze dostanou timto zpusobem financi podporu, ale z dlouhodobeho hlediska to moc stastne neni. A proc je BSD licence tak vyhodna pro komercni firmy to vi kazdy to de aspon trochu o tu licenci zajima.

  • 30. 5. 2014 17:12

    Filip Jirsák

    K čemu Google potřebuje všechny projekty, které podporuje v GSoC? K čemu potřebuje GWT? K čemu potřebuje hostovat tolik JavaScriptových knihoven?

  • 2. 6. 2014 10:56

    Karel (neregistrovaný) 93.90.162.---

    K tomu, aby byl ve středu zájmu. K tomu, aby se o něm neustále mluvilo, aby byl všude. Říká se tomu marketing. Stačí se podívat na GSoC a najít si nějaké jeho kritiky. Zjednodušeně řečeno dostávají prostor jen projekty, které buď řeší nějaké problémy Google nebo mají potenciál získat pozornost.

  • 30. 5. 2014 18:57

    x (neregistrovaný) ---.net.upcbroadband.cz

    Kdepak ty firmy byly cele ty roky, kdyz at uz OpenSSL nebo takove OpenSSH potrebovali penize, hmm? Kdepak byli ti velci a slavni zastanci Open source? ;-)

    http://www.openssh.com/users.html

    Jediny duvod proc delaji tuhle PR saskarnu je prave ta PR saskarna diky Heartbleed. Idealni cas se zviditelnit a hrat si na dobraky, kdyz predtim cele roky na to kaslali. Hlavne kdyz si da clovek do seznamu treba jen veci za posledni rok v souvislosti s bezpecnosti a US firmama jako Lavabit nebo Truecrypt a dalsi, tak snaha US firem o vetsi bezpecnost zni fakt pecka :D

  • 30. 5. 2014 19:08

    x (neregistrovaný) ---.net.upcbroadband.cz

    Docela hodne z nich se dari velmi dobre vyhybat a ty ostatni se musi jinde silene patchovat aby se opravili neschopnosti z mainstreamu.

    Ono vlastne paradoxne i MS ma sve svetle stranky jako https://www.usenix.org/system/files/1403_02-08_mickens.pdf

    VIm velmi dobre, v cem se lisi OpenSSL a OpenSSH ;-) Taky vim velmi dobre, ze LibreSSL, ktere jedine dela poradny audit a opravu OpenSSL (ti ostatni ani neumi poradne programovat jak uz se ukazalo u nekolika forku, ne tak jeste aby vedeli neco o bezpecnosti) zadalo o spolupraci Linux Foundation. Ale kampak se pridalo Linux Foundation? Na stranu Open source? Ale kde ze, sli za Microsoft, Facebook, Amazon a dalsima a budou znovu objevovat kolo (coz je nejcastejsi funkce Linux systemu cim dal casteji).

  • 31. 5. 2014 15:05

    Neviditelný (neregistrovaný) ---.123.broadband5.iol.cz

    _Linux_ Foundation se přidala na stranu společností, které chtějí auditovat OpenSSL. LibreSSL je cílené pouze na OpenBSD a spousta té pročišťovací práce visí na funkcích specifických pro Cčkovou knihovnu OpenBSD (strl[cpy|cat], reallocarray, ...). Navíc mi přijde, že LibreSSL se hlavně soustředí na zjednodušení a zpřehlednění kódu, ne na hledání bezpečnostních děr. Ne snad, že by mi to nepřišlo jako dobrý nápad, ale pokud se bude LibreSSL portovat i na jiné platformy, část těch ohavností, které vývojáři oslavně vyhodili se tam bude muset stejně nacpat zpátky. Počínání Linux Foundation tedy plně chápu, i když bych taky raději jen jeden fork udělaný fakt pořádně.

  • 1. 6. 2014 17:11

    x (neregistrovaný) ---.net.upcbroadband.cz

    Linux Foundation se jen pridala na stranu firem, kterym smejdsky kod v OpenSSL vyhovuje a realne nechteji jeho zmenu z mnoha ruznych duvodu.

    Doporucuju si neco zjistit o LibreSSL a take OpenSSH a dalsich, ktere jsou multiplatformni. Tvrdit, ze je cilene pouze na OpenBSD je uplne mimo.

    Ceckova knihovna OpenBSD je velkou merou zastoupena napr. i v Androidu a mnoho funkci je i v jinych OS a nejsou specificke pro OpenBSD. Tedy v OS, ktere jsou moderni a maji snahu resit bezpecnost.

    Opet omyl, ze LibreSSL je jen o zjednoduseni a zprehledeneni kodu. Doporucuju nastudovat a sledovat co vse se dela a pochopite, ze delaji velmi vyznamnou zmenu a vylepseni SSL co se tyce bezpecnosti.

    Jak souvisi s bezpecnosti vynucovani slabsich sifer skrze FIPS nebo podpora VMS ci 16 bit Windows a podobnych veci tak to bych fakt rad slysel rozumne vysvetleni. A pokud je nekdo tak blby v otazce bezpecnosti, tak klidne at si to tam do LibreSSL zpatky da ;-)

    Pocinani Linux foundation dopadne presne jako jine probihajici forky. Kupa hura-radoby-vyvojaru a takzvanych bezpecnostnich odborniku nahodne menicich dulezite casti kodu jako treba Debian a jeho na vice nez 2 roky poskozene SSH ci OpenSSL ignoruji nahlasene opravy pro bezpecnosti problemy klidne i v radu let.

  • 2. 6. 2014 10:11

    Neviditelný (neregistrovaný) ---.123.broadband5.iol.cz

    LibreSSL na Linuxu nepřeložíte už kvůli chybějícím strl* funkcím, na jiných UNIXech zase bude chybět třeba explicit_bzero. LibreSSL v současném stavu rozhodně multiplatformní není. Prozatimní snahy o portování LibreSSL někam jinam mají zatím katastrofální výsledky (http://insanecoding.blogspot.cz/2014/04/common-libressl-porting-mistakes.html).

    V rámci auditu OpenSSL už k něčemu skutečně došlo? Pokud ano, kde se to dozvím? V opačném případě se táži po původů vaší doměnky, že audit OpenSSL bude neprofesionálně provedená hurá akce.

    (BTW na Androidu se používá Bionic, což je jakýsi slepenec glibc, BSD C a kódu od Google okleštěný o spoustu věcí, které na Androidu nejsou potřeba.)

  • 31. 5. 2014 10:58

    Jirka (neregistrovaný) 217.30.71.---

    Exisují pouze 2 důvody, proč firma bude utrácet za hledání chyb v open source:
    a) dodává tento open source projekt zákazníkům a nechce si poškodit reputaci závažnými chybami, to by způsobilo ztrátu důvěry zákazníků a snížení tržeb
    b) podporovat open source je možná v očích zákazníků populární, je to tedy dobrý marketingový nástroj

    Firma si má hledět vlastníků (akcionářů), ti nesou riziko, že jejich vlastnictví se může stát bezcenným. Jakékoliv utrácení, jehož cílem není zvýšení nebo alespoň udržení tržeb, je vyhazování peněz oknem. Firmy ruší i činnosti, které na kterých je mizerná marže (rozdíl ceny zaplacené zákazníkem a nákladů). Nevyčítejte sousedovi, že neutrácí své peníze tak, jak si představujete, stačí že díky těmto sousedům máte práci a nejste vystaven každodennímu boji o výdělek. Pokud se vám to nelíbí, máte vždy možnost výběru - jistotu a malý plat vs. nejistou a neomezený výdělek nebo omezenou ztrátu. Chcete-li podporu open source, podporujte ho sám.

  • 1. 6. 2014 17:25

    x (neregistrovaný) ---.net.upcbroadband.cz

    a) kdyz jsou zakaznici tak blbi, ze nevidi, ze to je jen o PR (a to nevidi prakticky zadny management, protoze tam jde o uplne jine veci nez o kvalitu nebo open source) a ze jim nevadi, ze IT se placa 30 let na miste a firmy, uzivatele si zvykli na chyby misto aby vyzadovali jejich opravu tak to je jiny problem
    b) tady dopadlo kladivo na hlavicku hrebiku. Pro firmy je to jen a pouze marketingovy nastroj, nic jineho. Proti tomu samozrejme vubec zadna, to je jejich vec. Smutne je, ze je tolik oslu v komunite open source, kteri si mysli, ze ty firmy to delaji pro podporu neceho z toho proc vubec open source komunita vznikla. Takovych firem je naproste minimum a neni to ani jedna z tech znamych a velkych, pouze ty mensi

    Ano, firma hledi na zisk, to je jeji primarni urceni - zadny problem s tim. Zakaznik chce co nejkvalitnejsi a zaroven vetsinou i nejlevnejsi vyrobek, rozhoduje on co chce a nikdo by mu nemel nic narizovat stejne jako by nemel byt monopol. Ale pak tady je komunita, ktera nema byt slepa a pokud nektera firma vykoleji ze svych puvodnich principu kde se to primo dotyka principu na kterych komunita vznikla, tak ma davat dostatecne najevo, ze ta firma jiz neni reprezentant komunity. Tim se krasne autoreguluji body 1 a 2 co se tyce open source. Ale aktualne je na trhu situace kdy je nekolik velkych firem aktive proti puvodni myslecne open source, prizpusobili ji svym komercnim potrebam a komunita tomu tleska jako necemu co je dobre pro open source. Bohuzel potrva nez ji to docvakne, pokud vubec jeste vcas nez ztrati vliv uz uplne (neni od toho daleko).

  • 2. 6. 2014 20:19

    Sten (neregistrovaný) ---.parawide.eu

    Sice bude podrobena auditu, ale jestli projde, to se zatím neví :-D

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI