?

Log in

У семи нянек дитя без глазу или снова про безопасность Opensource. - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

У семи нянек дитя без глазу или снова про безопасность Opensource. [Dec. 17th, 2010|04:59 am]
ArkanoiD
[Tags|]

Недавние события с предполагаемым бэкдором в OpenBSD вызвали очередные бурления говн на эту тему.

Для начала про сам бэкдор: Gregory Perry говорит достаточно убедительно, однако, очевидно, путается в показаниях. Люди, которых он обвиняет, наоборот, говорят то, что любой ожидает услышать от подозреваемых на их месте, однако, их слова обычно вполне подтверждаются. Никаких признаков собственно подозрительного кода так и не нашли.

Все вместе было бы похоже на наброс с целью дискредитации, только кого? Проекта OpenBSD? Да он и так еле жив, к сожалению. Opensource вообще? Так совершенно неочевидно, что тот же бэкдор (если мальчик таки был) не был импортирован в проприетарные решения, которые содержат весьма заметное количество опенсорсного кода во-первых, а во-вторых, для внедрения там нужно куда меньше усилий.

Что еще из недавнего: немного математического моделирования процесса поиска уязвимостей white и black hats:

http://weis2010.econinfosec.org/papers/session6/weis2010_haertig.pdf

Ну, тоже мне, открыли Америку: всех багов не переловишь, а на больших проектах -- в особенности, и кое-что плохие парни всегда могут найти раньше. Но религиозных фанатов opensource должно несколько отрезвить: по крайней мере, аргументация должна быть взвешенной и не содержать передергиваний.

Суть не в этом: зачем нужен opensource. Да я вам просто объясню: возможно, в каждом конкретном случае раскрытие исходного кода не всегда выгодно производителю и не всегда способствует даже решению проблем с безопасностью -- не совсем правда, что security through obscurity вообще не работает. Немножко все-таки работает, не очень хорошо, но это иногда дополнительный уровень защиты, оппоненту нужно действовать "вслепую" (хотя мы-то знаем, что если кому нужно, это его не остановит, но это же война за ресурсы, как всегда!). Выгодно оно потребителю. И не только и не столько из-за динамики "ловли багов". И не из-за возможности кастомизации даже -- очень мало кто из конечных потребителей действительно будет его модифицировать, тут оппоненты совершенно правы. А из-за того, что в большинстве случаев это единственный способ оценить общее качество кода -- ну можно разве что нанять специальных аудиторов за большие деньги. А если мы чего-то не знаем, мы, как правило, предполагаем худшее: если код не хотят раскрывать, то это не потому, что там интеллектуальная собственность и суперсекретные технологии, а потому, что пишут его левой ногой за чашку бобов чесотошные индусы, смотреть в него страшно, а обслуживать нереально. И надо заметить, как правило, совершенно небезосновательно. И если код действительно плохой, его раскрытие будет катастрофой. Ну и плюс защита инвестиций: проблема abandonware для открытого кода стоит куда менее остро. Все это хорошо бы знать до внедрения, не так ли? Не говорите только, что "пофиг, лишь бы работало". Это производителю пофиг, лишь бы продать, и то только на самом раннем этапе.

И таки да, бэкдоры внедрять в опенсорс значительно труднее.

А по этому анализу Кэп подскажет вам еще одну вещь: если у вас адские миллионы строк критичного по безопасности кода, вы в любом случае в заднице, будь этот код открыт или закрыт, хорошо вы его пишете или плохо. Впрочем нет: если вы пишете хорошо, миллионы строк критичны по безопасности быть не могут.
linkReply

Comments:
[User Picture]From: rdia
2010-12-17 03:04 am (UTC)
> Никаких признаков собственно подозрительного кода так и не нашли.

Извиняюсь за тест на идиотизм - а искали в коде какой давности?
(Reply) (Thread)
[User Picture]From: ignik
2010-12-17 05:40 am (UTC)
Да везде искали. Но если проблема не в коде, а в математике, то очень узок круг людей, которые вообще понимают о чём речь.

Причём чем дальше, тем тяжелее собрать таких людей.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: msh
2010-12-17 04:14 am (UTC)
У меня нет мнения, пока я не увижу сам backdoor (ну, допустим что он есть). Одно дело если это что-то очевидное, все сразу начнут биться ап столы и орать "ну как мы могли пропустить" - значит правда, никакой пользы от открытости. Другое дело если это что-то такое, что заметить ни у одного из смотрящих на код просто не хватило квалификации, ну типа как с DES-ом и дифференциальным анализом.

Интересно, это начало новой тенденции? Поскольку теперь все знают, что сливающим американские госсекреты достаются шведские блондинки, ассанжи будут везде ..
(Reply) (Thread)
[User Picture]From: arkanoid
2010-12-17 04:22 am (UTC)
Говорят, это утечка ключевой информации по побочным каналам. Но как такая штука может быть при строгом следовании стандартам и при том зависеть от реализации, мне не очень понятно. То есть, в теории представить могу (будет выглядеть как "забыли переинциализировать данные"), но именно применительно к ipsec.. пока не очень.
(Reply) (Parent) (Thread)
[User Picture]From: msh
2010-12-17 04:34 am (UTC)
Да, мне тоже непонятно. IPsec расписан до последнего бита, у него есть миллион открытых и закрытых имплементаций, которые люди соединяют между собой во всех возможных комбинациях. Как можно было там сделать незаметный backdoor?
(Reply) (Parent) (Thread)
[User Picture]From: msh
2010-12-17 08:37 am (UTC)
На самом деле я могу придумать как показать ключ не нарушая никаких стандартов. Ну, например, слегка рандомизировать период rekeying - в стандарте сказано только что нужно его закончить до истечения lifetime, а начать слегка раньше - ну вот насколько раньше можно рандомизировать, накормив втихую рандомизатор ключом. Далее посмотрел когда пакетики пошли между IKE и вычислил ключ.

Но как это вставить в код незаметно?
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2010-12-17 09:26 am (UTC)
IKE стандартно расширяемый всякими вендор атрибутами.
при очередном обмене в паре атрибутов несколько бит ключа кинуть.

потом еще в письме же (или хабре) упоминали паддинг как место.

в общем мест -- полно

нам ведь не надо весь ключ и сразу, достаточно существенно ослабить
(Reply) (Parent) (Thread)
From: dmzlj
2010-12-17 08:00 am (UTC)
Учитывая TOC этих шведских блондинок, включая суд, новым ассанжам проще поехать в тайланд, и там местных в блондинок перекрасить.
(Reply) (Parent) (Thread)
From: pustota1
2010-12-17 08:26 am (UTC)
Специально для тебя Мэйше, у меня есть back-channel как добраться до шведских блондинок не выдавая секретов: поехать в Израиль, устроиться в киббуц... ну и все шведки с дтачанками пойдут сами косяками.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2010-12-17 09:23 am (UTC)
ну типа как с DES-ом и дифференциальным анализом.
а что там было?
(Reply) (Parent) (Thread)
From: pustota1
2010-12-17 09:55 am (UTC)
Ну msh, судя по всему, как бы думает, что никто не знал, что DES ослабляли специально и догадаться тоже долгое время не мог.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: humpty_dumpty
2010-12-17 04:36 am (UTC)
A-class требует открытого аудированного кода как будто ты не знаешь. Впрочем на него сколь помню ничего кроме очень военных систем от Bull так и не сертифицировали.
(Reply) (Thread)
From: pustota1
2010-12-17 08:24 am (UTC)
В смысле открытого? Верифцированного -- да, но не открытого.
XTS-400 от БАЕ ни фига не открытая система.
(Reply) (Parent) (Thread) (Expand)
From: pustota1
2010-12-17 08:30 am (UTC)
Пиздит чувак не очень убедительно, например:
1) непонятно, если у него NDA с FBI кончилось: чего бы не ткнуть пальцем то просто или как выяснится у него такой хитро вывернутый NDA?
2) с каких хуев EOUSA (координационно-исполнительное бюро для прокуроров США) ВНЕЗАПНО материнская организация по отношению к FBI
(Reply) (Thread)
[User Picture]From: arkanoid
2010-12-17 11:15 am (UTC)
Меня эти пункты тоже смутили.

Но зачем бы чуваку в это вляпываться? Это ж не анонимно: если выясняется, что он напиздел, страдает его репутация, а не OpenBSDшников.
(Reply) (Parent) (Thread)
From: (Anonymous)
2010-12-17 02:14 pm (UTC)
Э, тормози, почему не анонимно. Он же не OpenBSD напейсал, напейсал он лично Theo. Дальше были, как он думал, возможны вариаnты с известным конечным результатом -- PROFIT. Ну как выяснилось варианты оказались
невозможны.
(Reply) (Parent) (Thread) (Expand)
From: pustota1
2010-12-17 02:15 pm (UTC)
Ну понятно что это я накомментировал анонимно.
(Reply) (Parent) (Thread)
From: mata
2010-12-17 04:04 pm (UTC)
> Сам Маквой поначалу не увидел в коде ничего подозрительного

вот это да! либо не смотрел вообще либьо никогда не программировал на C
(Reply) (Thread)
[User Picture]From: arkanoid
2010-12-17 04:07 pm (UTC)
Ну это да, уж очень классическая горбуха :-)
(Reply) (Parent) (Thread)
From: mata
2010-12-17 10:46 pm (UTC)
а насчет письма Тео, вполне возможно что Грегори получил бабло от какой-нибудь циски, ибо понаделали опеновцы фич, которые раньше только в циске были и всё это постепенно портируется в другие системы и железяки. А bgpd в связке с остальными d трахают циски по возможностям не говоря уже об удобстве настроек. Потом carp, pf который легко интегрится со всем этим, а тут еще ike v2 стали делать, совсем обнаглели, ничего святого :)
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2010-12-17 05:41 pm (UTC)
кстати, до меня ВНЕЗАПНО дошло, что смотреть надо не только в ядро, но и на isakmpd
(Reply) (Thread)
[User Picture]From: katenka
2010-12-17 11:31 pm (UTC)
С Днем! :)
Будь!!!
Всех благ и исполнения желаний! :)
(Reply) (Thread)
[User Picture]From: orthannaer
2010-12-18 07:57 am (UTC)
С днем рождения! :)
(Reply) (Thread)
[User Picture]From: efimok
2010-12-18 09:15 am (UTC)
С Днюхой!!!)))
(Reply) (Thread)
[User Picture]From: marta_ketro
2010-12-18 10:49 am (UTC)

офф

С днем рождения!
(Reply) (Thread)