Audity OpenVPN odhalily jednu závažnější chybu

12. 5. 2017

Současně byly zveřejněny výsledky dvou auditů programu OpenVPN. Jeden provedl Matthew Green na objednávku poskytovatele VPN Private Internet Access, druhý a rozsáhlejší společnost QuarksLab na objednávku organizace OSTIF. Výsledky jsou celkově dobré a nalezena byla pouze jedna závažnější chyba, která umožňuje klienta vzdáleně shodit. Nalezené chyby opravuje nově vydaná verze 2.4.2.

QuarksLab dále uvádí, že vývojáři při práci postupují správně, ale kód už je poměrně obtížně čitelný, hlavně vzhledem k monolitickému charakteru a udržování kompatibility starších verzí. Potenciální problém vidí také v až příliš velké svobodě konfigurace, kdy uživatelem zvolená kombinace nakonec nemusí být zrovna bezpečná.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

12. 5. 2017 11:29

8179 (neregistrovaný)

"Potenciální problém vidí také v až příliš velké svobodě konfigurace, kdy uživatelem zvolená kombinace nakonec nemusí být zrovna bezpečná."

tak pred "blbosti" uzivatele te nezachrani nic
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 11:33

Neregistrovaný (neregistrovaný)

Zde by mohly pomoci nějaké přednastavené (bezpečné) konfigurace, ze kterých by si neznalý uživatel mohl vybrat.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 13:04

bez přezdívky

Pomohol by aj validator / staticky analyzator konfiguracie.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
13. 5. 2017 21:21

. (neregistrovaný)

V čem by pomohl?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 12:09

Filip Jirsák

Stříbrný podporovatel

Porovnával ty výsledky někdo? Podle porovnání by se dalo odhadnout, kolik je tam ještě neodhalených chyb.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 13:10

Zero (neregistrovaný)

Současně byly zveřejněny výsledky dvou auditů programu OpenVPN. Jeden provedl Matthew Green na objednávku poskytovatele VPN Private Internet Access, druhý a rozsáhlejší společnost QuarksLab na objednávku organizace OSTIF.
A na OSTIF webe klikni hned na prvy odkaz OpenVPN1.2final.pdf a zistis ze presli snad vsetko co sa dalo...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 13:40

Filip Jirsák

Stříbrný podporovatel

Nerozumím, jak váš komentář odpovídá na mou otázku. Ano, vím, že je problém, že ty dva audity nebyly srovnatelné.

Kdybyste měl dva a více na sobě nezávislých srovnatelných auditů, dokážete podle toho, kterou chybu našlo kolik auditů, dopočítat, kolik tam asi tak bude chyb celkově. Kdyby jeden audit našel 10 chyb, druhý také 10 a z toho 8 nalezených chyb by bylo stejných, můžete odhadnout, že je tam celkem 10*10/8≈12–13 chyb. Audity, které nejsou srovnatelné, mají jinou pravděpodobnost nalezení chyby, ale pořád je možné ten celkový počet odhadnout, když dokážeme porovnat tu pravděpodobnost nalezení chyby (nejspíš podle objemu kontrolovaného kódu).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 16:04

Ondra Satai Nekola

Zlatý podporovatel

Takhle to pocitat nemuzes. (respektive muzes, ale musis si byt velmi dobre vedom toho, jake mas predpoklady)

Predstav si napriklad, ze existuje nejaka trida chyb, ktere neni schopen najit ani jeden z tech auditu (trebas protoze neni ani obecne znama).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 16:22

Filip Jirsák

Stříbrný podporovatel

Samozřejmě se tím spočítá jen počet chyb, které by daný typ auditu dokázal odhalit. Je to jako kdybych zadával stejný typ auditu pořád dokola tak dlouho, dokud každý další audit ještě najde chyby, které žádný z předchozích auditů neodhalil. Jasně, nezjistím tak přesný počet chyb, ale měl šlo spíš o to odhadnout – když už máme dva audity – jestli těch chyb může být v kódu ještě mnohem víc, nebo jestli se dá očekávat, že už by tam vlastně nic zásadního (co by mohl odhalit další audit) být nemělo.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 17:08

logik (neregistrovaný)

Jenže těch neznámých je tam daleko více - např. ne každou chybu je stejně pravděpodobné najít. Představ si, že každý našel deset chyb, z toho jednu jinou. Podle vzorce by tam mělo být chyb celkem jedenáct.

Ve skutečnosti tam ovšem bylo 1009 chyb: 9 zjevných a pak tisíc s pravděpodobností nalezení u daných auditorů 1/1000.....
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 5. 2017 17:20

Filip Jirsák

Stříbrný podporovatel

Což vůbec nevadí, protože pravděpodobnost nalezení chyby je vlastností té chyby. A když ji neumí najít bílé klobouky, nebudou to umět ani ty černé.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2017 19:54

Radovan (neregistrovaný)

Za předpokladu že černé klobouky nejsou vždycky o pár kroků napřed před těmi bílými.
- Zobrazit celé vlákno