"Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

[sporaw]

Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".

Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).

CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0

Comments

[estelanto]

вброс в вентилятор. ещё бы проблему с OpenSSL (http://www.gergely.risko.hu/debian-dsa1571.en.html) вспомнили.

[sporaw]

Не считаю, что это "вброс", так как это наглядно показывает следующий ряд проблем:

1. возможность специального сокрытия очень серьезных уязвимостей под видом "нелепых" ошибок (может быть использовано третьими силами - государством, компаниями, "частными злоумышленниками"), причем не в закрытом коде, а в OpenSource, который формально "изучают сотни и тысячи", а по факту - единицы, и часто находят просто случайно, через громадный период времени; [Лично меня в большей степени интересовала именно эта часть вышеописанного -- способы маскировки ошибок]
2. мнимый "профессионализм" OpenSource сообщества (вот это ближе к вбросу, конечно) -- как тех, кто пишет, так и тех, кто, якобы, сидит и изучает изменения/исходники.

То, что Вы привели про OpenSSL - это еще лучше по второму пункту! (Но не имеет отношения к первому пункту). Это вообще "радость" невероятная.

[fk0]

Вброс наглядно демонстрирует, что нелепые ошибки в мире опенсоурса таки выявляются, хоть и через пол-года. И известно кто внёс и почему. И как предотвратить в дальнейшем. А в мире клозетсоурса? Там мрак и всем пох.

[wizzard0]

в мире клозедсоурса между прочим обычно есть деньги на аудит от контор которые специально этим аудитом занимаются, во всяком случае если есть претензия на каких-то серьезных заказчиков

[grey_olli]

В этом вашем closed source заказчик понимает в реализованном ровно столько же сколько и заказчик в open source - почти ничего.

То есть шанс получить такую-же волну негодования и независимого аудита в closed source меньше.

В частности в прошлом или позапрошлом (не помню точно) году в венде были remote code execution завязанные на код времён NT (обработка шрифтов в драйверах). Сколько спрашивается лет этот код в венде ждал своего исследователя любителя поковырять бинарники?

Приводить линки не буду ибо слушал об этом доклад в рамках выступлений spb defcon team в мск.

[wizzard0]

> в венде
венда как и линух жестко пролетают в качестве базы секурной системы тупо из-за количества этих самых бинарников.

вот есть у меня сорцы одного и другого, и что с того? все равно хер я их учитаю или проанализирую

[grey_olli]

Сорцы венды у тебя есть по ошибке. Профи которые продают уязвимости их читают и пользуют. По мотивам использования покупателями 0деев другие профи которые держат ханипоты пишут разрабам операционки или в паблик. В этом круговороте и open source и closed source примерно одинаковы, НО:

я читаю исходники (хотя и менее одного процента) open source программ которые использую. В вашем closed source узнать какой кретин разраб я не могу в принципе (случай с спёртыми сорцами венды это исключение).

[wizzard0]

> по ошибке
> спёртыми
> исключение
Смешно.

http://en.wikipedia.org/wiki/Shared_source#Most_Valuable_Professionals_Source_Licensing_Program и прочие.

[sporaw]

Причем опять debian -- зачет! Просто супер профи в плане применения криптографии.

[lumag]

"Опять Debian" --- это потому, что обсуждение бага в debian багтрекере?
CVE дает ссылки как минимум на федору, генту и др.

[sporaw]

Нет, это потому что посмотрите "благодаря кому" этот "баг" появился.

[lumag]

Код внес Martin Paljak --- основной разработчик OpenSC. К Debian привязки (в этом случае) нет.

[sporaw]

Мда, и это было почти ДВА ГОДА.
Не, это даже не смешно.

[estelanto]

думаю через некоторое время обнаружится еще пару таких ошибок в методах шифрования или способах защиты.

в дебиане с самого начала так, есть какая-то заразка, кто им денег на разработку дает, или отчетности нет.