Hlavní navigace

Názor ke zprávičce Závažná chyba v OpenSSL umožňuje získat privátní klíč od Lael Ophir - Jak jsem psal, musely by se ty oči...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 4. 2014 21:40

    Lael Ophir (neregistrovaný)

    Jak jsem psal, musely by se ty oči dívat, a velmi dobře věci rozumět. Je prostým faktem, že do kódu nakonec kouká minimum lidí, schopných odhalit bezpečnostní problémy. S počtem řádků a počtem těch lidí to vypadá tak, že problém může zůstat dlouho ukrytý.

    Navíc do open source SW není problém vložit backdoor. Přispívat do kódu může prakticky kdokoliv. Stačí odvést pár stovek hodin kvalifikované práce, a váš kód bude vítán. Pak už stačí jen udělat drobnou "chybu", která není na první pohled zjevná, a backdoor se dostane do upstreamu. A jak takové "chyby" vyrobit? Koukněte se:
    http://underhanded.xcott.com/

    Paranoidní jedinci (zvlášť ty mluvící o spiknutí MS nejspíš se židy a zednáři) by se měli zamyslet, jestli to nebyl případ bugu v OpenSSL na Debianu.

    Dovolím si také citovat z linkované site: C is an ideal language for this contest because of both its universality and its ability to do horrible things. C lets you overwrite stack entries, screw up function pointers, and poison all data at the bit level. C nods encouragingly as you attempt to execute a floating point array. In terms of enforcing program correctness, your typical C compiler is basically the two guards from Swamp Castle in Monty Python and the Holy Grail.
    Pokud byste neznal tu scénku z filmu Monty Python and the Holy Grail, doporučuji ke shlédnutí:
    https://www.youtube.com/watch?v=g3YiPC91QUk&list=RDg3YiPC91QUk#t=01m53s

    Ad Nevím, z čeho se radujete - obyčejně to není potřeba, ale speciálně pro vás: <irony>Moc pěkné.</irony>

    Ad dejme dohromady všechny binárky na windows táhnoucí s sebou openssl - těch asi nebude moc. Jak dlouho bude trvat je opravit, to záleží na autorech aplikací. Nakonec na Linuxu také musíte čekat na Oracle, SAP, IBM a další.