Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

Сноуден взрывает Силиконовую долину

Аватар пользователя x-notch

На исходе минувшей недели британская Guardian продолжила свои разоблачения, основанные на материалах, полученных от беглого сотрудника ЦРУ Эдварда Сноудена. 12 июля на страницах издания была опубликована статья пяти авторов, среди которых фигурируют два интервьюера Сноудена - Гленн Гринвальд и Лаура Пойтрас, взявшие у Сноудена заочное интервью в мае этого года в бытность его еще на Гавайях.

Публикация посвящена сотрудничеству корпорации Microsoft с американской спецслужбой - Агентством Национальной безопасности (АНБ) и основывается на совершенно секретных документах, оказавшихся в распоряжении Guardian. Главное - сотрудничество Microsoft с АНБ, в частности, выражалось в передаче АНБ собственных систем шифрования данных, которые Microsoft разрабатывала, а потом предлагала для сохранения конфиденциальности своим пользователям:

- Microsoft позволила АНБ получить доступ к web чатам на новом портале Microsoft Outlook.com;

- Microsoft позволила АНБ получить доступ к электронной почте Мicrosoft Outlook.com, включая Hotmail.com, на этапе до кодирования писем;

- являющееся посредником в организационных делах АНБ, американское ФБР в этом году контактировало с Microsoft для того, чтобы обеспечить проникновение программы Prism АНБ к новому сервису Мicrosoft SkyDrive, имеющего по миру более 250 млн. пользователей. Мicrosoft сейчас всячески рекламирует SkyDrive для того, чтобы увеличить число его персональных клиентов;

- Microsoft работала со специальным подразделением ФБР по перехвату данных для того, чтобы облегчить идентификацию персон, создающих под псевдонимами почтовые ящики в Outlook.com;

- в июле прошлого года, спустя девять месяцев после того, как Microsoft купил Skype, АНБ в одном документе констатировало, что его возможности утроились, благодаря собранным с помощью Prism видеосеансам из Skype. Сейчас Microsoft всячески старается увеличить количество пользователей Skype. Microsoft вступил в программу Prism в феврале 2011 года. Однако, как свидетельствуют документы АНБ, интеграция Skype в программу Prism началась ранее - в ноябре 2010 года. На первом этапе АНБ было способно перехватывать аудио информацию. После перехода Skype в собственность Microsoft, речь пошла уже о перехвате видео звонков.

- материалы, собранные посредством Prism, становятся общим достоянием ФБР, ЦРУ и, разумеется, АНБ. Один документ АНБ, датированный 3 августа 2012 года, описывает систему, как АНБ делится добытой информацией с другими ведомствами американского разведывательного сообщества - ФБР и ЦРУ. Обмен между ведомствами происходит на автоматизированной специальным программным обеспечением основе.

Далее Guardian сообщает, что последние разоблачения от Сноудена вызвали трения между Силиконовой долиной и администрацией Обамы. В начале июня этого года Washington Post опубликовала несколько слайдов из совершенно секретной презентации, посвященной программе электронной слежки АНБ Prism. В ней, в частности, сообщалось о сотрудничестве с АНБ девяти "силиконовых" гигантов США - Microsoft, Skype, Apple, AOL, Google, Facebook, Yahoo, YouTube и PalTalk. Теперь, сообщает Guardian, эти крупные и влиятельные компании лоббируют у правительства США вопрос о раскрытии своих отношений с АНБ для удовлетворения их клиентов и требований их конфиденциальности. Интернет-компании хотели бы представить свое сотрудничество с АНБ как имеющее твердую правовую основу.

Недавно Microsoft заявила: "Когда мы делаем upgrade или update, это не означает, что мы освобождаемся от необходимости выполнять законные существующие или будущие требования". Компания в очередной раз подтвердила, что она предоставляет данные о своих клиентах спецслужбам "только в ответ на правительственные требования". Только после них якобы Microsoft выполняет запросы о конкретных счетах или идентификаторах. Поскольку существование секретной программы Prism стало достоянием общественности, Microsoft и другие компании, фигурирующие в совершенно секретном документе АНБ, отрицают, что знали об этой программе, и что их системы имеют скрытые доступы для американских спецслужб. Еще в апреле этого года Microsoft запустила очередную маркетинговую рекламную кампанию на этот раз под девизом: "Ваша приватность является нашим приоритетом". Похожим образом Skype заявляет о строгих принципах своей политики: "Skype обязуется соблюдать вашу приватность и конфиденциальность ваших личных данных, данные трафика и коммуникационный контент".

Однако внутренние служебные бюллетени АНБ опровергают громкие заявления американских интернет-компаний. Наоборот, они свидетельствую о глубоком продолжающемся сотрудничестве этих фирм с АНБ. В опубликованном в Guardian на позапрошлой неделе интервью Сноуден назвал эти компании "жемчужинами" в короне "всеведения" АНБ.

Переданный Guardian документ свидетельствует о том, что Microsoft дает доступ АНБ к своим ресурсам на Outlook.com и SkyDrive без каких-либо специальных санкций властей по факту. Новое разоблачение в Guardian является ответом на заявление руководства Microsoft, что оно не сделало каких-либо изменений в Skype, позволяющих работать в этой популярной программе АНБ с ее Prism. Однако заметим, самое интересное из возможных разоблачений - о закладках и потайных ходах для АНБ в главном детище Microsoft - семействе ее операционной системы Windows, еще не последовало. Впрочем, на прошедшей 13 июля в Москве пресс-конференции из уст Сноудена прозвучало, что у него имеется большой объем еще неопубликованных разоблачительных материалов. Guardian в своем комментарии на следующий день подтвердил это.

(1) http://www.guardian.co.uk/world/2013/jul/11/microsoft-nsa-collaboration-user-data?INTCMP=SRCH

Источник : http://regnum.ru/news/polit/1683581.html

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя sgerr
sgerr(5 лет 11 месяцев)(09:35:55 / 15-07-2013)

Прелестно. Во всей этой истории от имени Сноудена говорят все, кроме самого Сноудена. ;)

Аватар пользователя Пятрусь Лукич
Единственным доводом купить лицензионную винду было то что в ней не должно быть хакерских закладок, теперь доводов не осталось
Аватар пользователя Omni
Omni(5 лет 3 месяца)(09:48:49 / 15-07-2013)

Единственный довод купить лицуху винды - это реклама от пиратов, поэтому мастдайчики с ними слабо борятся.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(10:20:58 / 15-07-2013)

что за х+йня??? где иформация по закладкам в железе и по, ос??? я не удивлюсь, если закладки есть даже в линухе.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(11:17:47 / 15-07-2013)

Хе-хе! Как Вы "ловко" перевели стрелки с винды на линукс. Линукс доступен в исходных кодах, поэтому там закладки размещать практически невозможно.

А для винды 7 постоянно идут "новые обновления", которые невозможно ни проверить ни отказаться от их установки.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(11:25:43 / 15-07-2013)

ладно винда. что там есть закладки никто не сомневается. давайте поговорим про закладки в opensource. не все так просто с открытым кодом. есть миллион способов запутать программистов. не думаю, что каждый подправляет код под себя перед тем как скомпилить файлы системы.

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 10 месяцев)(11:46:22 / 15-07-2013)

Не гони пургу! Уж поверь сисадмину с большим опытом.

Если есть сомнение в модуле? - ставь другой! Есть сомнение в исходнике?- Напиши свой! Просто не ставьте софт с закрытым исходным кодом - и будет тебе счастье, а анализаторов исходников - пруд-пруди. В solaris и Java-вообще, закладок и язвимостей поболее, чем даже в самой винде - там лазеек очень много.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(12:43:26 / 15-07-2013)

давай поговорим о truecrypt и его "багах"???

тебе кто-нибудь доложит про заложенные баги в су бд, веб сервере???

много ты в одиночку софта напишешь, шутник?

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(13:29:19 / 15-07-2013)

Вот я - программист. Я вам скажу, что действительно запутать в определении функционала исходного кода хоть даже эксперта - не составляет труда.

"Есть сомнение в исходнике?- Напиши свой!" - это что такое?! Просто шок! На ИТ-языке вы послали человека на х.й.

При чём вообще анализаторы исходников? Вы про линт? Или вы о чём? Вы хотя бы видели граф вызовов средней программы на C/C++? Что там вообще можно проанализировать хоть кому-то? Да хоть комьюнити целому? Формальная верификация программ - это мутная область даже в применении к подмножеству языка С (есть такие MISRA C Rules, например), не говоря уже о сложных многоязыковых комбинациях в современных программах.

Да и статический анализ возможных багов - это вообще капля в море. Можно целенаправленно сделать именно что "закладку", которая является легальным, верным кодом, соответствующим всем требованиям того же комьюнити. Например, логическую ловушку, которую в упор не увидишь зная и держа в уме весь код.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(13:28:32 / 15-07-2013)

Много ли модулей, критически важных для безопасности? И так ли они сложны, чтоб именно их нельзя было проанализировать, если есть исходные коды?

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(13:32:31 / 15-07-2013)

Самый критический - это сетевой стек. Довольно сложен. Но код "красивый". Наверное можно как-то верефицировать. Но и под какие требования верифицировать - можно такие написать, которые в себе заключают уже дыру. Иначе бы не было серии SSLvX...TLS. Или MSCHAPvX.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(13:49:22 / 15-07-2013)

Наверное можно как-то верефицировать. Но и под какие требования верифицировать - можно такие написать, которые в себе заключают уже дыру.

Важно то, что все это хозяйство (сравнительно небольшое) доступно для свободного просмотра тысячам независимых глаз. И эти глазки вмолне могут найти дырки и в коде и в требованиях. Важно, что код открытый в отличие от продуктов того же майкрософта.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(14:55:11 / 15-07-2013)

Да какими тысячами? Реально ревью делает пара мэйтэйнеров. Обоих можно взять на зарплату в ГРУ/ФСБ (ЦРУ/АНБ). Да и не брать можно. Подсунуть коммит можно (или серию коммитов, каждый из которых не содержит ничего "дырявого", но "синергетически" дают уязвимость).

Вы думаете на каждый кусок ядра найдётся по тысячи, во-первых, компетентных программистов (которые будут просматривать внимательно и добросовестно код), а, во-вторых, способных проанализировать его на безопасность? Назовите мне науку или область знаний которая хотя бы хранит в себе полную информацию о том, как дать достоверный ответ о безопасности алгоритма. Я подскажу. Есть теорема Райса ("нельзя придумать процедуру в общем"). Есть теорема Гёделя о неполноте — она применима к нашему миру, в общем, и к гипотетическому "обществу из машин", в частности.

Уверяю вас "закладка" может быть перед носом, но вы не осознаете что это — "закладка".

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(14:29:56 / 15-07-2013)

Есть теорема Райса (нельзя придумать процедуру в общем). Есть теорема Гёделя о неполноте, как нечто общее, — она применима к нашему миру, в общем, и к гипотетическому "обществу из машин", в частности.

Уверяю вас "закладка" может быть перед носом, но вы не осознаете что это — "закладка".

Бла-бла-бла. И как эти несчастные программисты ошибки ухитряются находить? А ведь, находят, что совсем странно.

В сущности, Вы передергиваете. От факта, что у майкрософта код закрытый и там закладки можно лепить практически беспрепятственно, Вы перешли к вопросу о том, что и в открытых кодах можно сделать закладку, которую трудно будет найти. Да, можно, но на порядки сложнее и ее вполне может найти какой-нибудь шальной энтузиаст.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(14:32:57 / 15-07-2013)

ну и дальше то что? что вы думаете "шольной" энтузиаст будет делать? напишет в мелкософт, расскажет всем о проблеме??? а вот х+й! пойдет продавать багу скрипткидиззам за 100к $.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(14:35:37 / 15-07-2013)

что вы думаете "шольной" энтузиаст будет делать? напишет в мелкософт, расскажет всем о проблеме???

Казалось бы, при чем тут мелоксофт, когда говорили о трудности закладок в открытом ПО?

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(14:37:50 / 15-07-2013)

ничего страшного. закладка, если ее палят, может хорошо пригодится. отсюда мы имеем разнообразие вирусов и взломов.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(14:38:17 / 15-07-2013)

Да пошёл ты за своё "бла-бла-бла".

Ты о каких ошибках? Логических или типа `int * x; *x = 2;` ? Находят. И самое что удивительное с опытом делают меньше и меньше.

Как раз в последнем абзаце вы со мной полностью соглашаетесь. Всё. Я удовлетворён.

Кстати я не "переходил к вопросу...". Я сразу о принципиальной возможности делать закладки в открытых кодах. Я даж не знаю, зачем столько всего писать было. Это и так очевидно.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(14:40:12 / 15-07-2013)

DEL

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(14:55:24 / 15-07-2013)

Да пошёл ты за своё "бла-бла-бла".

Не люблю, когда меня умными теоремами пугать начинают. Я про них тоже слышал и знаю реальную проблематику.

Я сразу о принципиальной возможности делать закладки в открытых кодах.

А я о проблеме закладок в ЗАКРЫТЫХ кодах. А когда от этого переводят стрелки на открытые, фактически говоря, мол, раз и в открытых закладки могут быть, то открытые коды в этом смысле ничем не лучше закрытых. Лучше на порядки. И Вы на пару с deepinspace норовите заболтать проблему.

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 10 месяцев)(22:59:30 / 11-10-2013)

Ттолько отморозки боятся открытых кодов и только идиоты любят закрытые.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(23:44:43 / 11-10-2013)

Что-то вы путаете. Проблема, если она есть (допустим, и это - моя точка зрения), в том, что и в открытых кодах могут быть закладки. Принципиально могут быть. Иначе нет проблемы. Я нигде не говорил о том, что проблемы закладок в закрытых кодах нет. Ведь очевидно же, что она есть. И тогда теперь вопрос: что за НЛП, чувак?

Теорема абсолютно не "умная", а безхитростная. Логический вывод делается за пару шагов. Ну или просто я — сверхразум относительно вас =). Что вряд ли.

То, что вы не любите - это уже из области эмоций. Я туда не лезу. Не любите и истерите, если вам это угодно. Я хочу разговаривать с позиций логики. Иначе пока.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(08:45:03 / 12-10-2013)

Я хочу разговаривать с позиций логики

Хотеть то хотите, но пока плохо получается

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(14:25:24 / 15-07-2013)

не надо про "тысячу независимых глаз". специалистов, реально делающих погоду в этой кухне, не много. кто по-умнее давно уже на конторы трудятся. кто потупее - в андеграунде. а кто остался? хобби-программисты? и толку от них? что они вам там напроверяют???

вот этим и пользуются госструктуры и тнк, впихивая софт массам. нет гарантии, что вам не впихнули бобмочку под соусом GPL.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(14:33:17 / 15-07-2013)

вот этим и пользуются госструктуры и тнк, впихивая софт массам. нет гарантии, что вам не впихнули бобмочку под соусом GPL.

Можно, но на порядки сложнее и без гарантии, что не найдет шальной энтузиаст. А в закрытых кодах, как у майкрософт, например, лепи безбоязненно. Это нужно быть уже совсем фанатом, чтоб дизасемблированием заниматься. Ну или на Касперского надеяться.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(14:35:42 / 15-07-2013)

мелкософт не аргумент. нормальные конторы его не юзают. разговор тут про интернет-шпионаж. в этом деле все средства хороши. а ваши шаловливые энтузиасты - это по сути хакеры-одиночки, зарабатывающие на багах и взломах.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(14:59:12 / 15-07-2013)

Любая контора, заинтересованная в безопасности может сравнительно легко нанять программера для анализа открытого кода. А анализ закрытых кодов - совсем другой (гораздо более высокий) уровень компетентности.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:03:29 / 15-07-2013)

блин, ну что за х+йню вы пишите??? где их искать толковых? они блин сами уже всех нашли. такие без работы не сидят ))) а толкового дилетанта с 3мя вышками - таких да легко нанять )))

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:11:53 / 15-07-2013)

Уже надоело Вас за руку хватать при передергивании. Я о том, что для анализа открытого кода программиста найти на порядки легче, а Вы о том, что и для открытого кода трудно найти. Вполне можно, было бы желание.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:18:36 / 15-07-2013)

если у вас есть деньги и задачи под такие кадры, вайнот? блин, но у вас нет таких денег и задач. вы понимаете, что вы им будете не интересны? (я про настоящих прогеров)

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:18:07 / 15-07-2013)

Все норовите передернуть, хоть и за руку схватили?

Хвалю! Упорный!

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:19:54 / 15-07-2013)

вы немного посмотрите по интернету. проблема информации актуальна. мало кто реально ее контролирует. смотришь на все наши конторы и страшно становится.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:22:15 / 15-07-2013)

Да-да, отползайте потихоньку

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(12:45:08 / 17-07-2013)

Хватит демагогии — ты мои аргументы не опроверг ещё. Это основа, чтобы хотя бы считать себя имеющим надежду праздновать победу и иметь хотя бы какое-то моральное право острить в нашу сторону (в этой дискуссии).

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(12:57:43 / 17-07-2013)
Во первых, попрошу не тыкать, а во вторых, не отвечать за другого человека. Посмотрите на сообщение, на которое я отвечал: сплошное пустое бла-бла:

deepinspace(17:19:54 / 15-07-2013)

вы немного посмотрите по интернету. проблема информации актуальна. мало кто реально ее контролирует. смотришь на все наши конторы и страшно становится.


Или это Вы же под другим ником?

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(22:40:06 / 17-07-2013)

Вот со мной вы вроде соглашались так неявно по конкретным моментам, а с deepinspace продолжаете спорить по ним же в то же самое время, как будто вам мозги меняют под каждого собеседника.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(07:52:43 / 19-07-2013)

Я готов соглашаться с любым, если он говорит правильные вещи. Но с Ваших слов я понимаю, что вы deepinspace эдакая слаженная команда троллей.

А deepinspace конкретно несет пургу, Вы большей частью тоже, а иногде у Вас проблески. Тогда и соглашаюсь :)

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(08:39:04 / 19-07-2013)

Я вот вообе не троллю, а чётко веду свою аргументированную линию. Отсутствие демагагогии и наличие аргументов и явно сформулированной позиции этому подтверждение. С deepinspace я вообще ни как не связан.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(12:43:01 / 17-07-2013)

Выше я уже намекнул о принципиальной невозможности достоверного анализа кода в общем случае. Программу типа "Блокнот" проанализировать ещё возможно человеку. Но уже rdesktop — вряд ли.

Конкретный программист любой компетенции может найти только очевидные для конкретно него моменты. Но не те, которые специально запрятаны.

Вы знаете, что даже написание binary search правильно и безопасно - нетривиальная задача для абсолютного большинства программистов, не говоря уже об алгоритмах под которые подведена специальная математика? Что уж тогда говорить про анализ чужого кода, когда в своём косячат? А если делают специально закомуфлированные закладки, то это вообще другого уровня проблема.

Я вообще не понимаю, разве вам не очевидно, что то что я пытаюсь вам терпеливо объяснить и так является очевидным, лежит на поверхности? Что за аргументы вы приводите? Уж согласитесь что они хотя бы в крайней степени спорные, если уж не признаёте что они несостоятельные (я про аргумент "нанять программиста для анализа").

Заметьте, что я привёл ссылку на фундаментальную теорему, которая прямо говорит, что невозможно создать алгоритм (описать техническую процедуру, описать такой порядок действий), который определял бы конкретное свойство любого другого алгоритма в общем случае. И свойство "безопасности/небезопасности алгоритма" в том числе. И это невозможно не только для вычислителя типа машины Тьюринга (т.е. вашего компьютера) или эквивалентного ему (лямбда-исчисления Чёрча, нормального алгоритма (Маркова), интерпретатора ЯВУ), но и для вашего (и любого другого, даже несравненно более умного и компетентного в подобных вопросах) головного мозга, который, — если конечно не существует волшебства или чего-то другого непознаваемого, нематериалистического, — устроен точно на тех же принципах (в согласии с теми же самыми законами физики) и имеет ровно те же аналитические и познавательные возможности. Если же считаете, что существует волшебство и т.п. — так мне и напишите. Или скажите, пожалуйста, что-либо по существу. Не увиливайте всякими некорректными "бла-бла-бла", так как вопрос стоит максимально плоно формализованный. И даже дан конкретный, аргументированный ответ мною.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(12:52:35 / 17-07-2013)

Да, нет универсального алгоритма доказательства правильности чего бы то ни было. Но отсюда совсем не следует, что доказывать правильность невозможно.

Человеко-машинные процессы вполне работают. Человек строит доказательство, а компьютер проверяет, нет ли в нем ошибок (вполне посильно для машины).

Просто сейчас это не в тренде. А так, такую культуру программирования в свое время пытался (небезуспешно) внедрять Дейкстра, Грис его развивал. Вирт тоже сторонник подхода построения программы одновременно с доказательством.

Так что не надо ля-ля про Геделя. Это совсем из другой оперы. В конце концов, математики доказывают все новые теоремы, хоть эта задача и "алгоритмически неразрешима".

Подозреваю, что эту тематику (доказательства правильности программ) держат в загоне именно для того, чтобы легче было вставлять те самые бэкдоры всяким майкрософтам.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(13:26:38 / 17-07-2013)

Тут ваши утверждения коррелируют с моими.

Я как раз про тотальное 100% выявление ошибок пост-фактум (что характерно не только для проприетарного закрытого ПО, но и вообще характрено) все утверждения делал. В конкретных случаях (простейших, котоые может объять человеческий мозг (который в свою очередь пока более производительный и гибкий чем компьютеры и ПО на современном уровне развития)) задача решаема и действительно решается. Автоматизированных "доказывателей" особо ещё не существует и не существует соответственно повальной практики написания достоверно надёжного ПО. Но проведение анализа уже написаного кода, а тем более его отрывков, кусков без учёта контекста разными людьми в хаотическом порядке на предмет наличия в нём уязвимостей — процветает. Со всеми очевидными вытекающими из этого свойствами безопасности/небезопасности кода.

Аватар пользователя hummermania
hummermania(6 лет 3 недели)(14:55:41 / 15-07-2013)

Раз Вы такой у нас специалист по безопасности открытого софта предлагаю:

1) Протолкните код с закладкой в iptables или ipfw, ну или даже в Apache/Nginx

2) Найдите и покажите специально поставленную закладку в любом открытом и массово применяемом проекте. Именно закладку а не уязвимость.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:09:06 / 15-07-2013)

1) я чото ржу. может проще поискать баги в netfilere и apache? их там часто находят.

2) давайте по-конкретнее о каком проекте речь?

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:13:55 / 15-07-2013)

Т.е. не будет примеров. Голое бла-бла

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:17:25 / 15-07-2013)

1) я не прогер и не какер

2) а простой админЪ

3) историю рунета хаваю с лохматых годов его появления

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:20:57 / 15-07-2013)

3) историю рунета хаваю с лохматых годов его появления

Ну, как историк, и выдайте парочку примеров, найденных другими закладок в подтверждение своих слов.

А то голая болтовня получается

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:23:35 / 15-07-2013)

http://www.securitylab.ru/vulnerability/

курите и тихо ах++вайте от обилия говнософта.

Аватар пользователя hummermania
hummermania(6 лет 3 недели)(16:05:31 / 15-07-2013)

vulnerability - и есть те самые уязвимости о которых должно быть известно любому порядочному админу. Редкий случай когда уязвимость уже обнаруженная не закрывается годами. Если такие есть - значит вероятность их эксплуатции - чисто гипотетическая или опасность низкая. И обычно это переполнение стека, буферов и повышение привилегий.

В открытом коде код приводящий к уязвимости может пройти как обычный патч, т.к. действительно трудно даже спецу-безопаснику следить как этот код повлияет на все компоненты системы или на внешние приложения. Но обнаруженные -сразу вызывают оживленные дискуссии в почтовой рассылке проекта. Майнтайнеры получают лучи поноса, а коммитер бага - по башке.

Но этот процесс никак не сравнить с т.н. "безопасностью" закрытого и проприетарного ПО. ЧТО там происходит? КТО и ЧТО там коммитит? Какие тесты они запускают? Как проверяют на регрессии или потенциальные дыры? Это знает лишь небольшая и закрытая команда разрабов, работающая из-под палки на дядю, и под угрозой всяческого преследования не имеющая права никуда выносить код за пределы организации.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(16:12:44 / 15-07-2013)

вы так говорите, как-будто эти самые уязвимости опубликовываются в ту же минуту, в которую их собственно обнаружили. проблема в том, что существует нех++вая часть таких, о которых мы еще не слышали. о них мы узнаем, когда кого-нибудь когда-нибудь в массовом порядке отымеют по полной программе.

а если мы не знаем и спим спокойно, то нас тихо имеют, сливая всю информацию на нужные серверы, которые впринципе также не особо защищены от взлома )))

Аватар пользователя hummermania
hummermania(6 лет 3 недели)(16:24:42 / 15-07-2013)

Может Вы мало общались с фанатами открытого ПО - если я, к примеру, нахожу уязвимость при целенаправленной проверке или случайно, то заради развития проекта - я отправлюю сообщение об этом при первой же возможности, а не полезу тестировать тысячи серверов -авось тут кто-то эту дырку забыл закрыть. Да и недавно только проскакивало исследование различных взломов - подавляющая часть из-за недостаточной компетенции самих админов, и очень малая часть от реальных дырок. Если прийдется работать с системами безопасности на базе СПО - лучше прокачивайте собственный скиллс в грамотной настройке. И вряд ли Вас отругают за то, что вы сидите на старой версии бинарников и библотек, отлаженной и проверенной годами, и не качаете свежак с новыми патчами.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(16:37:50 / 15-07-2013)

статья о фанатах ПО? нет, мы говорим про суровую реальность и вечную войну всех против всех. хорошо, если фанаты найдут, а если не успеют и первыми найдут, те кто заинтересован поболее фанатов? а если среди фанатов уже имеются заинтересованные или хуже того - фанаты живут на деньги заинтересованных? деньги не нужны???

человеческий фактор играет злую шутку в любой сфере. админы не исключение. вспомните вчерашнюю аварию. у меня например в конторе экономят на всем, в том числе и на мне, а вы говорите...

скиллсы в айти устаревают быстрее развития самого айти. тут знает, кто работает. раслабился - остался позади.

главное, что админ понимает, что сам попадет. а не только компания.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(16:44:25 / 15-07-2013)

статья о фанатах ПО? 

Статья о закладках у микрософт, а на свободное ПО стрелки начали переводить именно Вы.

Вам возразили, показав, что в открытом ПО баги сравнительно легко находятся и быстро исправляются именно силами фанатов свободного ПО.

Аватар пользователя parrit
parrit(4 года 8 месяцев)(16:50:27 / 15-07-2013)

После того как кернел.орг взломали, я как-то поохладел к СПО. Кстати чем там закончилось я не понял до сих пор, не в курсе?

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(16:55:32 / 15-07-2013)

быстрее исправляются, но также быстрее находятся ))) в итоге один-х. тоже самое.

в каком продукте меньше дыр Firefox или IE??? не все ли равно?

оба браузера - глюк, ибо везде находятся серъезные баги, которые дают злоумышленику контроль над вашей машиной. хорошо, если находятся!

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(13:30:00 / 17-07-2013)

.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(13:31:28 / 17-07-2013)

Если разработка ведётся даже через TDD со 100% покрытием тестами кода (то есть очевидные дыры ликвидируются как-минимум постфактум, хоть и до релиза), то разницы никакой что там как находится (ошибки). Находится не всё. Тем более тесты придумать ещё надо, а они кем проверяются? Рекурсия.

Даже в коде NASA для челноков на 400к+ строчек кода они признают (статистически можно посчитать) что есть где-то 1 ошибка с высокой вероятностью. При учёте, что у них методология разработки была поставлена так чётко, как нигде больше, насколько мне известно.

Если же программа пишется через доказательство лемм, каждая из которых — какая-то функция (Coq, Ada, SWITCH-технология Шалыто и всё такое), т.е. формально на каждом шагу написания кода уже доказано, что программа верна (охота написать "абсолютно верна"), то таких вопросов не возникает. Хотя возникают вопросы относительно корректности исходных данных, требований.

Невозможно формализовать неформализуемое. Программирование == ремесло. Признайте это.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(14:18:45 / 17-07-2013)

Невозможно формализовать неформализуемое.

А как Вы отличаете формализуемое от неформализуемого?

Программирование == ремесло. Признайте это.

Естественно ремесло, но отсюда не следует, что не надо вводить все больше формализуемых этапов.

Когда-то писали в кодах, потом на ассемблере, потов ЯВУ, потом всякие хаскели со скалами.

Ваши сопли "невозможно" связаны просто с тем, что Вы не представляете, как это делать. А это делается. И в частности, когда проблема дырок совсем достанет, то решат и эту проблему.

Например, Касперский поставил задачу создания безопасной ОС.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(22:48:12 / 17-07-2013)

Формализуемое и неформализуемое я различаю чисто по наитию. Но часто попадаю в точку). Как и все обычные люди.

И где же больше формализованных этапов в цепочке машинные коды-ассемблер-ЯВУ? Вы перечислили разные уровни абстракции касательно языков. Неформально искать ошибки становится проще при переходе от ассемблера к ЯВУ (в т.ч. ошибочно вами считаемые более высокой ступенью развития функциональные языки), а формально нет. Строгости (в смысле формальной логики) не добавляется ничуть.

Ваши замечания о том, что я что-то не представляю я пропущу мимо ушей.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(08:00:14 / 19-07-2013)

Формализуемое и неформализуемое я различаю чисто по наитию. Но часто попадаю в точку).

А еще чаще впросак.

Как и все обычные люди.

"Обычные люди"? Вероятно, Вы правы. Большинство "обычных людей", к сожалению, логически мыслить не умеют. Следствие отмены преподавания логики при хрущеве.

И где же больше формализованных этапов в цепочке машинные коды-ассемблер-ЯВУ? Вы перечислили разные уровни абстракции касательно языков. Неформально искать ошибки становится проще при переходе от ассемблера к ЯВУ (в т.ч. ошибочно вами считаемые более высокой ступенью развития функциональные языки), а формально нет. Строгости (в смысле формальной логики) не добавляется ничуть.

Дальше спорить не интересно. Вы тут в полном в неадеквате.

Аватар пользователя hardknap
hardknap(5 лет 2 месяца)(09:51:18 / 19-07-2013)

Дальше спорить не интересно. Вы тут в полном в неадеквате.

Намекните хотя бы что не так. А то я остаюсь выглядеть дураком. Как-то некрасиво с вашей стороны.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:07:16 / 19-07-2013)

И где же больше формализованных этапов в цепочке машинные коды-ассемблер-ЯВУ? 

Каждый этап формализовывал кучу вещей, которые раньше делались по Вашему "наитию". И языки функционального программирования Вы из цепочки выкинули.

Я считаю, что тут явный неадекват. А я знаю о чем говорю, ибо многие из подобных систем я ДЕЛАЛ, в отличие от некоторых болоболов.

Аватар пользователя parrit
parrit(4 года 8 месяцев)(15:21:43 / 15-07-2013)

Ну, не совсем пример, но забавно: проект Денвер, сайт, хмм, догадайтесь, под видом картинки можно загрузить архив зип. Не валидирует контент по заголовкам.

Дальше не копал, не знаю, стоит ли?

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:25:57 / 15-07-2013)

Ну да, ну да. Расскажите еще про какой-нибудь порносайт с троянами

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:27:48 / 15-07-2013)

вы когда-нибудь слышали про гугл-хак? одиним поисковыми запросами можно столько дерьма найти ))) а вы говорите примеры )))

Аватар пользователя parrit
parrit(4 года 8 месяцев)(15:31:44 / 15-07-2013)

Человек просто не понимает: напечатай мну войну и мир или кто стучится в мой роутер.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:40:40 / 15-07-2013)

ыыы

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(15:44:41 / 15-07-2013)

Итак, никаких примеров закладок в кодах открытого ПО не будет, а будет болтовня об уязвимостях тех или иных систем. Опять перевод стрелок с ключевой проблемы, закладок в закрытых кодах (в частности в майкрософт) на уязвимости где угодно.

"Поздравляю Вас соврамши", как говорил один известный персонаж

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:52:21 / 15-07-2013)

кстате "закрытые" коды 2000/NT уже как-то утикали в сеть. мир не без грешных добрых програмистов ))) а вот, чтобы кто-то конкретно в них разобрался, сделал аналог windows. о таких я не слышал.

Аватар пользователя parrit
parrit(4 года 8 месяцев)(16:00:34 / 15-07-2013)

ReactOS думаю пилится исходя из этой утечки.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(16:06:22 / 15-07-2013)

очень медленно пока :((

Аватар пользователя parrit
parrit(4 года 8 месяцев)(16:10:28 / 15-07-2013)

медленно, да, меня больше интригует Колибри, уж очень они резко в гору пошли, помниться я с ней лет пять назад игрался, а счас, и юсб стек написали и софт поправили, и фтп клиент. прямо второе дыхание,

ЗЫ, про закладки в софте, фиг с ним, вот такое много опаснее: http://www.xakep.ru/post/58104/

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(16:14:16 / 15-07-2013)

о, о такой не слышал пока. надо поковыряться )))

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(16:58:40 / 15-07-2013)

что касается новых фишек. чем больше оных, тем больше поля для веселья )))

Аватар пользователя parrit
parrit(4 года 8 месяцев)(15:54:14 / 15-07-2013)

Я про закладки ничего не говорил, достаточно и "недокументированных" возможностей.

Ну а про закладки. хммм.

Установите майл ру агент. Многое станет понятно.

Аватар пользователя hummermania
hummermania(6 лет 3 недели)(16:11:37 / 15-07-2013)

Я что-то пропустил? Майлру агент уже под свободной лицензией?

А я просил человека поискать именно закладки, а не уязвимости. И к примеру, есть крупный проект OpenStack - платформа для облачных систем. Как публичных так и приватных. Пилится парой сотен компаний-вендоров - попробуйте внедрить туда патч в виде закладки или найти сами. И сравните её возможности и потенциал с Azure от негрософта, который пилит одно (!) подразделение одной ТНК.

Аватар пользователя parrit
parrit(4 года 8 месяцев)(16:22:13 / 15-07-2013)

Linux/Cdorked.A, сойдет?

Аватар пользователя hummermania
hummermania(6 лет 3 недели)(17:41:57 / 15-07-2013)

Это - бэкдор. На серверы он попадает либо через дыры в клиентских приложениях, либо через ssh клиент админа сидящего на зараженной винде. Он не саморапространяющийся и устраняется простой командой верификации исполняемых файлов. Подмена или заражение виндового ssh клиента типа  Putty - опаснее чем криворукий админ, особенно если тот еще под рутом полезет. Бэкдор, уязвимость и закладки всё таки отличаются друг о друга. И этот попадал не из-за уязвимостей в самих веб-серверах, путь проникновения был другой.

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(15:12:49 / 15-07-2013)

даже, если я заипусь искать баги в сраном апахе. что мешает мне покапаться в глючном софте, который апах собственно употребляет. ну или там поломать "соседнюю" сеть/машину, а потом поиметь цель???

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(13:15:39 / 15-07-2013)

Отчетливо видно, что Вам не истину установить надо, а отвлечь внимание от майкрософт, перевести стрелки. Понимаю, работа такая. Платят то, хоть, нормально?

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(14:29:59 / 15-07-2013)

я вас умоляю мелкософт тут не монополист. бояться надо всяких cisco и ко, которые разводят на бабло и впихивают закладки.

Аватар пользователя segerist
segerist(5 лет 11 месяцев)(11:43:40 / 15-07-2013)

отказаться так таки нельзя?

7-ка прекрасно активируется КМС

и потому как проходит валидацию у маукрософта - считается легальной

Аватар пользователя jiraf
jiraf(5 лет 10 месяцев)(11:55:02 / 15-07-2013)

Это как это нельзя отказаться от установки? Очень даже можно.

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 10 месяцев)(11:48:29 / 15-07-2013)

Бери minix  с ПОЛНОСТЬЮ открытым кодом, там есть простейший тесктовый редактор и компилятор - пиши все сам!

Аватар пользователя parrit
parrit(4 года 8 месяцев)(11:59:40 / 15-07-2013)

Линукс отстой, Фряха наше всё!

Зы, дома крутилась 8 фря, раздавала инет в локалку, честно гря стабильнее системы нету. Ну без форума лиссяры хрен бы я чего поднял, это да.

а про полностью открытый код, хммм, начиналось то весело:

Microsoft написала код для Linux

продолжилось еще веселее:

Линус Торвальдс пришёл в ярость от ключа Microsoft в ядре Linux

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(12:44:18 / 15-07-2013)

именно поэтому у нас вся система обслуживается фряхой )))

Аватар пользователя 3xl
3xl(4 года 8 месяцев)(10:30:15 / 15-07-2013)

Кремниевую долину.

Аватар пользователя Производственник

хотят сказать, что на гардиан управы у них нет? Это даже не смешно.

Аватар пользователя x-notch

И на The Washington Times тоже :

http://www.inopressa.ru/article/12Jul2013/washtimes/nsa.html

Аватар пользователя Производственник

значит сноуден был нужен.

Аватар пользователя segerist
segerist(5 лет 11 месяцев)(11:38:22 / 15-07-2013)

все эти интернеты, прошедшие через призму, должны где то храниться, должно быть много дисков

интересно большое ли помещение и сколько кушает ...ват-часов электричества

Аватар пользователя x-notch

"Если вы отправляете пакет данных и он проходит через Великобританию, мы его получим", - заверил журналистов Сноуден. По его словам, "возможности АНБ в плане мощности компьютеров, места для хранения данных и охлаждения компьютеров практически безграничны".

Если верить Сноудену, текстовая информация стареет очень быстро, поэтому все данные, кроме отмеченных аналитиками, удаляются уже через несколько дней. Что касается метаданных, собранных в рамках программы PRISM, то они "хранятся вечно".

"Большинство метаданных важнее самого содержания коммуникации, - объясняет компьютерщик, - поскольку в большинстве случаев, имея метаданные, можно восстановить и содержание".

http://www.inopressa.ru/article/12Jul2013/washtimes/nsa.html

Аватар пользователя segerist
segerist(5 лет 11 месяцев)(11:46:16 / 15-07-2013)

интересно, на сколько велики практически безграничные возможности при автономном питании

Аватар пользователя slw068
slw068(5 лет 10 месяцев)(11:56:35 / 15-07-2013)

Пока горючка для дизелей не закончится.

Аватар пользователя segerist
segerist(5 лет 11 месяцев)(12:31:37 / 15-07-2013)

надеюсь там проанализировали риски рынки и установили солнечные батареи и ветряки, и велодинамы для сотрудников

Аватар пользователя jiraf
jiraf(5 лет 10 месяцев)(11:55:57 / 15-07-2013)

Возможно, огромные дата-центры гугла имеют двойное назначение.

Аватар пользователя slw068
slw068(5 лет 10 месяцев)(11:57:03 / 15-07-2013)

Не "возможно", а "обязательно".

Аватар пользователя deepinspace
deepinspace(5 лет 11 месяцев)(12:30:28 / 15-07-2013)

кому бы в голову пришло тратить деньги впустую.

Аватар пользователя Производственник

"ваша приватность - наш приоритет" - если перевести, все что у вас тайного - наш интерес.

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...