Hlavní navigace

Adobe postihl rozsáhlý únik zdrojových kódů

Sdílet

Kamil Pošvic 7. 10. 2013

Ze serverů Adobe byly ukradeny údaje o téměř třech milionech zákazníků, ale také zdrojové kódy Acrobatu, Readeru, ColdFusion a dalších programů. Zdrojové kódy mohou mít pro zločince obrovský význam. Jejich prozkoumáním lze objevit ještě neznámé bezpečnostní zranitelnosti.

Ironií však je, že i útok proti Adobe se možná uskutečnil skrze díry už opravené, protože někde neběžel nejnovější software. Přinejmenším to naznačuje mlhavé přiznání šéfa bezpečnosti Adobe, Brada Arkina, v závěru článku na KrebsonSecurity.com.

(Zdroj: Lupa.cz)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 10. 2013 15:01

    Milan Keršláger

    Hodnotu mají pouze pro vytvoření exploitu, tj. pro crackery. Pro hackery, tj. pro ty, kteří programování rozumí, nemají hodnotu žádnou. Zaprvé je kód chráněn jako intelektuální vlastnictví firmy i po krádeži. Tudíž ho nelze nijak zužitkovat, tím méně pro OpenSource, protože tam se pak dá snadno poznat, že někdo něco obšlehnul (jsou na to i srovnávací nástroje). Zadruhé to nemá smysl ani pro uzavřený vývoj, protože každý kód má nějakou filozofii, stavbu, kontext. A je opravdu obtížné něco do něčeho zahrnout sakuprdum (jako celek či část). To už je to lepší naprogramovat znovu [i když pravda - Microsoft si kdysi uzmul z BSD celý TCP/IP stack, často se kvůli kódu kupují celé firmy, kód se i prodává např. Mosaic takto kdysi pronikl do většiny současných prohlížečů - Internet Explorer, Netscape/Firefox atd.].
    Samozřejmě se to fyzicky využít dá (třeba jako inspirace nebo k nalezení specifického úseku), ale ušpiníte si tím ruce (je to krádež). Za třetí - pro nezávislého vývojáře je takové "nakouknutí" nebezpečná zátěž nadosmrti (viděl cizí intelektuální vlastnictví). Je to stejná infekce, jako podepsat bezhlavě nějaké NDA. A za čtvrté - studiem tohodle kódu můžete získat jen nesprávné návyky (jen si vezměte, kolik děr v Adobe produktech už bylo). Studujte raději OpenSource, však ho kvůli tomu tady máme (původní a hlavní myšlenka všech OpenSource licencí je učení se, sdílení vědomostí).

  • 7. 10. 2013 17:00

    SpookY (neregistrovaný) ---.unet.cz

    Smysl to rozhodně má - je řada funkcí na úpravu obrázků, které z Photoshopů a Lightroomů dělají "jedničku" na trhu... pokud se FOSS vývojáři tímhle budou moci inspirovat, jen to pomůže vývoji Gimpu, Inkscapu, Blenderu, Darktablu, digiKamu, Kdenlive...

    ... neříkám, že se to má opsat, ale pro inspiraci je to velice dobrá věc.

    ... a idealistické řeči o duševním vlastnictví ponechme stranou - komerční firmy vykrádají cizí software jak jen můžou (Apple, Micro$oft), vedou proti OSS válku všemi způsoby (vč. zneužívání státních institucí, účelových výkladů legislativy a dalšího) a jejich šéfové zcela veřejně označují Linux za rakovinu a kvůli Androidu by klidně rozpoutali termonukleární válku.

    Komerční sféra vede válku proti FOSS. A ve válce neplatí prakticky žádná pravidla. Vlastně jen jedno - použité prostředky musí nepříteli nedělat více škody než mě. Proto se taky v současných válkách nepoužívají ABC zbraně - negativní publicita by poškodila útočníka víc než zabití sebevětšího počtu nepřátel. Proto se nepoužívají... ne proto, že by byl nějaký humanizmus, ale prostě kvůli špatné reklamě.

    V případě úniků informací z Adobe se jedná o zcela normální špionáž a nikomu nelze vyčítat, že během války využije získané špionážní informace proti svému nepříteli.

    Nebo jste snad slyšeli o tom, že by Němci platili Rusům licenční poplatky za duševní vlastnictví skloněného pancíře, které okopírovali z T-34 na svůj Panther? Nebo snad platili Američanům licenční poplatky za okopírování Bazooky (Panzetschreck). Stejně tak jako dnes Američané neplatí Němcům licenční poplatky za Tomahawky (V-1) nebo Saturn V (V-2).

    Takže můj postoj - prozkoumat a vytěžit z toho maximum.

  • 7. 10. 2013 17:09

    Milan Keršláger

    Lepším se nikdy nestanete tím, že se budete chovat hůř (natož jako doby*ek). Takže doufám, že tohle je jen nejapný žert.
    BTW: Pokud má být funkční ochrana OSS (OpenSourceSof­tware), musíte ctít zákony, protože OSS (a z něj plynoucí výhody) chrání právě a jen ty zákony.

  • 7. 10. 2013 17:52

    Lael Ophir (neregistrovaný) ---.145.broadband14.iol.cz

    Ty algoritmy pro úpravu obrázků jsou obecně známé. Open source komunita jen nemá dost prostředků (nebo vůle?), aby je správně implementovala. Například content aware nástroje z Photoshopu stojí na algoritmech, které vyvinuli Shai Avidan z Tel-Aviv University Faculty of Engineering a Ariel Shamir z Efi Arazi School of Computer Science. Triviální implementaci byste asi napsal také, nakonec ji najdete i v Gimpu (resp. pluginech). Doladit to tak, aby algoritmus fungoval ve většině situací, je už složitější. Jenže je podle mě pořád jednodušší investovat pár stovek hodin práce do ladění algoritmu, než luštit zdrojáky Photoshopu a snažit se opisovat tak, aby to nebylo vidět.
    Ale když si někdo dá tu práci napsat to rozumně, a nejspíš u toho i licencuje správné patenty, tak nebude chtít dát výsledky své práce zdarma. Daleko spíš k výslednému kódu připíchne cenovku, a bude si pak užívat zasloužených peněz.
    http://www.iresizer.com/order.html

    Válka mezi open source vývojáři a komerčními firmami opravdu probíhá, nicméně to není tak jednoduché. Nebyl to snad nejmenovaný komunista s příšernou osobní hygienou, kdo založil FSF a vyhlásil svou ideologií válku komerčním firmám? Nebo myslíte že když open source komunita propaguje, aby uživatelé mohli šířit SW bez placení, a vývojáři využívající open source kód se museli vzdát kontroly nad výsledky své práce (včetně možnosti kód zpoplatnit), tak to zůstane bez odezvy ze strany komerční sféry? :)

    V téhle válce si nebere servítky ani jedna strana. Jak hodnotíte akci, kdy lidé z Sun a IBM standardizovali ODF, spolu s FSF lobbovali za zavedení jejich standardu všude po světě, a zároveň aktivně bránili konkurenci v získání standardu? Mě to přijde jako zjevný pokus o zneužití standardizačního procesu k protlačení produktu, který se u zákazníků neměl šanci jinak prosadit.

  • 7. 10. 2013 20:28

    Milan Keršláger

    Prodávat lze i OSS. Akorát že lidi raději platí za služby, než za SW samotný (když si přečtete nějakou EULA, tak pochopíte proč - programátoři neručí za nic). Otírat se o vnější zjev Stallmana je nefér. Mělo by vám jít o podstatu. A zde se opravdu chová Stallman jako komunista (včetně nevybíravých ataků). Co se týká patentů na software, tak existují (ne všude na světě), ale rozhodně je to potřeba respektovat (stejně jako jiné zákony). Pokud mluvíte o bránění standardizaci DOC, pak nevíte o čem mluvíte. Naopak Microsoft hanebně zneužil zrychlené procedury tak, že jeho "standard" byl přijat v otřesné podobě a navíc bez možnosti jakékoliv korekce...

  • 8. 10. 2013 1:58

    Lael Ophir (neregistrovaný) ---.145.broadband14.iol.cz

    Prodej služeb nad GPL SW a placení za SW jsou dvě dost odlišné věci. Kolik domácích uživatelů myslíte že si koupí službu k OS, kancelářskému balíku, editoru fotek nebo ke hře? Asi jich moc nebude. A kdo má ten vývoj platit, když ne uživatelé? Standardní odpověď je "velké korporace, a zbytek světa se bude vézt zdarma" - což trochu přehlíží, že velké korporace nemají motiv platit za vývoj něčeho do vaší domácnosti, když z toho nemají příjem (nebo nakonec i platit vývoj SW pro konkurenci). Platba za licenci SW je zcela jinde: chcete používat? Zaplaťte. Neplatíte? Nepoužívejte. A náklady na vývoj se prostě rozkládají mezi ty, kdo SW používají.

    Konstatovat u Stallmana nedostatek hygieny je prosté pozorování, a zdaleka to není jen o vzhledu. Svého času jsem s ním měl tu čest osobně.
    http://www.youtube.com/watch?v=I25UeVXrEHQ

    MS zneužil zrychlené procedury? Mě to tak nepřijde. OpenDocument byl schválen v OASIS, a prošel fast-track procesem v ISO. Office Open XML byl schválen v ECMA, a prošel fast track procesem v ISO (jehož součástí byl ballot resolution process). Jediný rozdíl byl v tom, že v druhém případě se konkurence snažila intenzivním lobbováním standardizaci zastavit, se zjevným cílem protlačit tak svůj SW netržními prostředky.

  • 8. 10. 2013 10:13

    Milan Keršláger

    Nepíšete pravdu. Android je OSS a stejně za něj platíte (ne za SW, ale za službu - někdo to do telefonu dal a někdo vám dá aktualizaci). Chrome, Firefox, Opera je také zadarmo a stejně platíte za služby (vydání certifikátu). Asi nemá smysl pokračovat, protože nechcete vidět realitu... (hlavně to, že si skrze EULA kupujete to, za co tvůrce neručí, takže vyhazujete peníze oknem). Nebo se koukněte na aplikace pro mobilní telefony - jsou zadarmo, za některé se platí (já si jich koupil asi 40). Ale tvůrcům to dělá reklamu pro normální byznis (aplikace na zakázku).

    Netahejte sem osobní urážky nebo ambivalence proti Stallmanovi. Díky. Tohle je technická záležitost. A ne nějaký džihád.

    Standard DOC (Office Open XML) je otřes. Pokud je v OPEN standardu XML značka, za kterou následuje binární (nezveřejněný) BLOB, je něco špatně. A dá se dlouze pokračovat. S fastrackem OpenOffice.org XML neříkáte pravdu, protože ISO přijalo ve zrychleném řízení existující OASIS standard (ten se řádně přijímal 3 roky). Jak to bylo s DOCX, to si přečtěte. Rozhodně to není otevřený standard. Za druhé jim fastrack sloužil jen k tomu, aby nemuseli připomínky zapracovat, nýbrž se k nim jen vyjádřili (a shodili je ze stolu), což je ten zásadní problém.

    Jo a nezapomeňte svým korporacím věnovat svoji výplatu, když je tolik litujete.

  • 8. 10. 2013 14:59

    Lael Ophir (neregistrovaný) ---.145.broadband14.iol.cz

    V případě Androidu platíte za HW se SW v ceně. Pokud máte na mysli SSL certifikáty, tak ty s vydávají jiné společnosti než ty které píšou browsery. Vývoj Chromu a Firefoxu platí Google, který se živí "bohulibým" shromažďováním a následným používáním osobních údajů. Samozřejmě budeš vždycky existovat nějaký hobby-freeware, klidně ve formě open source. Ale open source projekty musíte financovat z něčeho jiného než prodeje licencí, protože uživatelé za GPL SW platit nemusí (a také většinou neplatí).

    Ohledně Stallmana bych chtěl vysvětlit, že nejde o žádný džihád. Jde o prostá pozorování.

    V případě Office Open XML standard schválila ECMA, a v ISO pak proběhl fast-track. Takže to je ECMA==>ISO fast-track vs OASIS==>ISO fast-track. Kde vidíte rozdíl?
    V rámci ballot resolution procesu naopak v Office Open XML došlo ke změnám, včetně změny implementace date formatu v Excelu, vyčlenění compatibility options do separátní části atd.
    Ony jsou v OOXML nedokumentované BLOBy? Kde? Napadá mě snad jen OLE embedding; tam máte ale k dispozici preview, takže když OLE objektu nerozumíte, prostě vykreslíte obrázek který ho reprezentuje. Například u OLE objektu grafu (od třetí strany) prostě vykreslíte obrázek toho grafu. Mimochodem na Windows můžete OLE objekty používat i v OpenOffice.
    BTW OpenDocument bylo možné při standardizaci shodit ze stolu celkem triviálně. Jako standard pro popis dokumentu byl naprosto nevhodný, protože s nadsázkou půlku textu tvořila slova "vendor specific". Bez nadsázky i u vzorců, které jsou pro interoperabilitu zásadní. Kdyby MS chtěl přijetí standardu blokovat (jako Sun, IBM a další), stačilo namítat, že je formát díky tomu nezpůsobilý k zajištění interoperability. Byli to ovšem lidé ze Sunu, IBM a FSF, kteří proměnili standardizační komise v zónu, ve které se vyřizují účty mezi komerčními konkurenty. Jak už jsem psal, vidím v tom bezprecedentní zneužití standardizačního procesu.

    Soukromým firmám přece svoji výplatu dáváme všichni. Kdo vyrobil ingredience vaší dnešní snídaně, židli na které sedíte, postavil dům ve kterém se nalézáte? Nějaká soukromá firma, a samozřejmě to udělala pro zisk.

  • 8. 10. 2013 19:50

    Milan Keršláger

    Upřímně nechápu o co vám jde. Běžte si diskutovat na server o komerčním SW, když OOS nemůžete cítit. Firmy OSS používají, protože z toho mají zisk, což je v pořádku, já s tím problém nemám a ani FSF či jiní. Android mohu mít jako CyanogenMod zadarmo a legálně (třeba na PC nebo na telefonu, kde byly předtím Windows - mám doma HTC HD2). Máte zbytečně zaujatý pohled a nemá cenu se s vámi bavit o tom, že přehlížíte kde co, jen abyste plival na OSS. Všimněte, že jsem nic podobného, jako vy s OSS, já ani jiní zde vůči komerčnímu SW nedělal... asi jste se špatně komerčně nasnídal (už několikrát po sobě).

  • 8. 10. 2013 21:56

    Lael Ophir (neregistrovaný) ---.145.broadband14.iol.cz

    Ještě před pár hodinami jste tvrdil, že je to technická diskuze. A teď mě posíláte diskutovat jinam, protože když napíšu fakta, tak jsem podle vás zaujatý, open source nemůžu cítit atd. Zajímavý obrat.

    Ano, CyanogenMod můžete mít zadarmo. Vývoj zaplatili uživatelé Googlu svými osobními údaji. Bohužel ne každý developer má příjmy z používání osobních údajů pro cílení reklamy.

    Předpokládám že vy jste snídal chléb, který upekl pekař zdarma pro blaho celého světa, z mouky kterou vyrobili pracovníci zdarma ze zdarma vypěstované pšenice a zdarma vypěstovaného žita :). Co si budeme nalhávat - platíte nejspíš i to že vám doma teče voda. Ovšem když někdo vyjadřuje názor, že je správné platit za SW který používáte, tak je to špatně, protože... proč?

  • 8. 10. 2013 22:24

    Milan Keršláger

    CyanogenMod je OSS. Jeho vývoj dělá nejen Google, který je živ z reklamy, ale i obyčejní lidé (například z XDA Developers). Třeba jako svoji volnočasovou aktivitu. Stejně jako vesničani, kteří si postaví zadarmo fotbalové hřiště. Vy nechápete, že některé věci jsou, byly a budou zadarmo (třeba úklid v domě nebo koláč od vaší maminky). A software do toho patří tím víc, čím více se v EULA komerční firmy vzdávají jakékoliv zodpovědnosti (že v něm vůbec něco funguje). Víte co, běžte vydělávat peníze a nechte lidi, kteří dělají něco zadarmo, na pokoji. A klidně používejte i jejich výsledky práce, když vám není hanba, že se sám nepřidáte. A své modle peněz si doma postavte oltář. Bude vám lépe. A svoje překroucená fakta si k tomu tam můžete vystavit jako svaté texty, protože nic z toho, co jste tu předložil, se nezakládá na realitě. Jen jste si tu plival na OSS a vychvaloval komerční SW. Mějte se, anonyme. Ani představit se neumíte. Cena vaší osobnosti a názoru tomu odpovídá.

  • 9. 10. 2013 0:05

    Lael Ophir (neregistrovaný) ---.145.broadband14.iol.cz

    Ano, obyčejní lidé skládají CyanogenMod z komponent od Googlu, stejně jako na jakékoliv jiné platformě. Nevím ale co tím chcete říct. Vždyť se jedná o prosté poskládání komponent, oproti psaní SW nesrovnatelně jednodušší. Navíc ani open source k tomu není podmínkou. Například pro Windows Mobile vznikala řada alternativních ROM.

    Autoři komerčního SW samozřejmě v ceně licence většinou neručí za následné škody, případně ručí do výše zaplacené částky. Při současném stavu IT technologií to ani jinak nejde. Pokud chcete lepší záruky, musíte si je přikoupit.

    Zjevně mám výhrady k open source vývoji :), ale to neznamená, že nemůžu kvalitní open source používat (bohužel je ho ve slušné kvalitě málo, což je jeden z důvodů mé kritiky vývojového procesu). Několik open source kousků by se u mě našlo - beru to jako freeware (zdroják pro mě přidanou hodnotu nemá). Rozhodně se nestydím, že se nepřidám k vývoji. Proč bych proboha psal SW zdarma? Když už pracovat, tak za samozřejmě peníze.

    Ten koláč vaše maminka pekla ze surovin, za které neplatila? Navíc zisk je za naprostou většinou interakcí, včetně partnerských vztahů. Jen to není vždy zisk finanční. Máte manželku nebo přítelkyni? A proč? Protože vám něco dává - lásku duševní i fyzickou, společnou domácnost, pocit že nejste na světě zbytečně a předáte své geny dál - co já vím, každý to má jinak. A proč je s vámi ona? Z podobně zištných důvodů. Když se jí nebudete věnovat, nebudete plnit její emoční a jiné potřeba, přestane to pro ni být výhodné (což asi popíše slovy "ty už mě nemáš rád"), a vykašle se na vás.
    Podobně když pomůžete trpícímu, je to buď proto abyste získal dobrý pocit, nebo abyste se vyhnul pocitu špatnému. A obdobně když dáte někomu dárek, děláte to pro vlastní dobrý pocit, nebo proto abyste se vyhnul pocitu špatnému. Lidé jsou sobečtí tvorové, jednající ku vlastnímu (ne nutně finančnímu) prospěchu. Trochu problém pravda nastává tehdy, když jsou zájmy jednoho člověka v rozporu se zájmy jiného; pak většinou bojujeme. Případně pokud někomu přináší "zisk" - tedy příjemný pocit - třeba jako ubližování druhým; takoví lidé jsou pak opravdu nebezpeční. Ale to už je dost mimo téma diskuse.

    Myslím že jsem se představil dostatečně. Samozřejmě také zdravím a pozdravuji, mějte se.

  • 9. 10. 2013 10:22

    jos (neregistrovaný) ---.gemoney.cz

    Lael je jenom takovej reklamní banner, nemá smysl s nim diskutovat, asi jako s politikem na předvolebním billboardu, nebo spíš elektronickým Ježíšem z THX1138

  • 7. 10. 2013 10:41

    hermelin (neregistrovaný) ---.ille.cz

    Kdyz tenkrat byly na internetu zdrojaky Windows (uz nevim ktere verze) tak bylo vyvojarum opensource doporucovano se do nich ani nedivat aby nahodou pak neco nezahruli do svych projektu a nemohl se po nich M$ vozit. Tak nevim jestli je tohle vyhra pro opensource. Spis si myslim ze jak je zmineno ve zpravicce - hackerum se budou lip hledat diry

  • 7. 10. 2013 13:37

    m&m (neregistrovaný) ---.dslgb.com

    Chtelo by to byt krapet rychlejsi ;-)