Aktuelno

Sreda, 09.04.2014.

16:35

Heartbleed, bag o kojem bruji internet

Izvor: Huffington Post

Heartbleed, bag o kojem bruji internet IMAGE SOURCE
IMAGE DESCRIPTION

41 Komentari

Sortiraj po:

Zoki

pre 10 godina

@Недељко Стефановић
Veruj mi na reč: daleko je jednostavnije okriviti npr. Microsoft nego open source zajednicu za neki propust. Koncept je komplikovan i suočavaš se gomilom pitanja. Po pravilu, inicijative za upotrebu slobodnog softvera dolaze od IT. "Sve se to ne bi desilo da vas nismo poslušali..." "Zašto ste tražili slobodan softver ako niste u stanju da ga pročitate i ispravite grešku?"
Po pitanju namernog slabljenja bezbednosti, zašto misliš da je to kod open source nemoguće? Teoretski, neko sa fizičkim pristupom serveru može da zameni softver nekom svojom verzijom. Ko će da proveri da li je to taj softver modifikovan i šta su sve bile modifikacije?

@Supercalifragilisticexpialidocious
Očigledno je da sve kompanije koje koriste Linux nisu koristile i OpenSSL. A problem je prisutan od 2011, tako da nisu u pitanju samo najnovije verzije.

Master Yoda

pre 10 godina

"Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...
(Milan, 10. april 2014 11:32)"

Ako je ovo aluzija na ideju da je neka agencija poput NSA znala ili čak i podmetnula ovo, onda je ne samo da ne razumeš značaj otvorenog softvera, nego ne razumeš ni načine opstajanja agencije poput NSA.

NSA dobija apusrdno velike svote novca iz budžeta SAD prvenstveno (a "na papiru" isključivo) da bi "zaštitila SAD" - skrivanjem znanja o ovakvom propustu, ili namernim izazivanjem ovakvog propusta, ne bi samo omogućila sebi nadzor, nego bi istovremeno otvorila ista ta vrata Kinezima, Rusima, i uopšte svima koji požele da sabotiraju Američke kompanije na Internetu. Pita bi završila kao neuporedivo skuplja od tepsije.

Što se tiče razvoja otvorenog softvera, to je samo model razvoja softvera koji se najpre podudara sa strogim akademskim metodologijama, standardima, i zahtevima. Takozvani "peer-to-peer review" element tog metoda koji se praktikuje u FLOSS zajednicama je bez premca, i superioran je u odnosu na sve metode, pa takav softver i zbog toga koriste mnoge kompanije, uključujući i Apple i Microsoft, a ne samo zato što je jeftin ili besplatan.

Svi greše. Ono što je bitno jeste kako se nositi s greškama. Za Heartbleed je trebalo sat vremena...

Master Yoda

pre 10 godina

"Čak 66 odsto interneta možda je ugroženo sigurnosnim propustom nazvanim Heartbleed."

Eh, sad, ne preterujte - pa nije valjda 66% Interneta ovisno o FLOSS softveru? ;)

Maks

pre 10 godina

@ (bager, 11. april 2014 13:41)

Taj SSL bug koji pominješ da je Apple imao pre par meseci je i zakrpljen bio tada kada su ga otkrili (nakon što je objavljeno da je taj bug postojao, vrlo brzo je izašao update i za iOS i za OS X i to je zakrpljeno još tada).... znači, to je sređeno i više nije issue, a da li su ranije imali neki bug smatram da je irelevantno ako je to ispravljeno još ranije.

bager

pre 10 godina

@Maks

Pa ok, cak i da nisu pogodjeni ovim bug-om, imali su vec jedan SSL bug za iOS i OS X pre par meseci, to im je sasvim dovoljno :)

Недељко Стефановић

pre 10 godina

@Zoki,

У стварности епл, мајкрософт и остале компаније не одговарају за квалитет својих производа. ИТ директор може само да се вади код генералног да су криви они, а не он, баш као и у случају опенсорс решења. Од њих с ене може добити у случају проблема ништа осим закрпе, баш као и у случају отвореног кода.

Већина производа се данас продаје са ограниченом гаранцијом до вредности уређаја. Дакле, замениће ти неиспраан уређај исправним или ће га поправити, а штета коју си претрпео коришћењем уређаја, а услед његове неисправности их не занима. Када ти у гаранцији пише да укључује повратак изгубљених података са неисправног хард диска, ту се помиње само покушај, а успех се не гарантује. Тако је и са софтвером.

Такође, у стварности се свима дешавају сличне ствари. Овај случај није нипочему посебан. Лично сматрам да је узимање затворених решења која су релевантна за безбедност, неозбиљно.

Неки мисле да је сигурност у неотварању кода да проблеми не би били пронађени. То је као када би рекли да је бацање копља лакша дисциплина од бацања кугле јер је копље лаганије или да је бацање кугле лакше јер не мора да се баци толико далко као копље. У обема дисциплинама има конкуренције која треба да се надмаши и у том смислу је тежа она где влада веће интересовање, па је конкуренција јача. Исто је и овде. Разлика је само у немогућности намерног слабљења безбедности када је опенсорс у питању.

@Milan

Није проблем у стандарду, већ у имплементацији.

Maks

pre 10 godina

@ (Pao s' Marsa, 9. april 2014 22:12)

Vidi ovo: http://www.macrumors.com/2014/04/10/apple-heartbleed/

Apple Confirms 'Heartbleed' Security Issue Did Not Affect Apple Software and 'Key Services'

Apple today released a statement to Re/code confirming that iOS, OS X and "key web services" were unaffected by the widely publicized security flaw known as Heartbleed which was disclosed earlier this week.

“Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key web-based services were not affected,” an Apple spokesperson told Re/code.

Znači, Appleov glasnogovornik je potvrdio da taj bug ne pogađa iOS i OS X i da Appleovi web servisi nisu bili pogođeni tim bugom.

starosedelac

pre 10 godina

neki su iskorsitili priliku da popljuju FOSS jer im FOSS omogucava da analiziraju source code svojerucno i nadju probleme. Pretpostavljam da to znaci da duboko veruju da kompanije koje prave closed source/propriatery NIKAD ne bi DALE pristup trecim licima iz koristi? cak iako je mogucnost otkrivanja 'backdoor' veoma mala - statisticki beznacajna? Mislite o tome...u kapitalizmu je sve na prodaju .. neke uhvate a neke ne.. izdajnici su oni koji su uhvaceni ...

drvobradi

pre 10 godina

@Blaza
Toliko o razumevanju ljudi sta je to open source. Upravo zato je i otkriven bug. To sto je kritican i pogadja puno ljudi to je druga stvar. A ti i dalje veruj da si siguran zato sto stoji jaka firma iza necega. Npr. EMC/RSA prodaje closed source resenja, ljudi su prakticno izmislili RSA algoritam i 8g su prodavali resenje sa losim generatorom slucajnih brojeva. Mislis da su ostali bolji?

balkanski špijun

pre 10 godina

moj ortak se svojevremeno hvalio kako upada u servere pentagona, nase.... beše to pre jedno 2, 3 godine. inače radi za oracle od 1998.

Efendija

pre 10 godina

@mikiv
Ja se nisam ni pozivao na apdejt, mene ovo generalno ne pogadja ni najmanje. Samo sam ukazao da apdejt nema nikakve veze sa hardverom, da moze da ima samo sa softverom. :)

Milan

pre 10 godina

Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...

mikiv

pre 10 godina

e moj efendija...jos jedan poznati eplovac. pa nema ni nema veze sa hardverom i softverom tvog uredjaja,ja to nisam ni rekao. nego sa protokolom logovanja na sajt i njegovim softverom na nekom serveru. drzi se ti tog apdejta i nemas brige siguran si.

Supercalifragilisticexpialidocious

pre 10 godina

@?Zoki

"samo Openssl" u praksi je skoro svaka kompanija koja koristi Linux servere, a to su sve kompanije koje si naveo, Google, Apple pa i Microsoft indirektno koristi Linux tako sto koriste usluge CDN provajdera i slicno (Akamai), a to takodje pokrecu Linux serveri. Da li su Google i ostali bili pogodjeni ovim bug-om zavisi od verzije Openssla koji je instaliran, konkrektno problem postoji samo u novijim verzijama i zavisi od toga kada su uradili update.

Efendija

pre 10 godina

@Pao s' Marsa

A zašto izmišljaš? Da li zaista mislite da je u većem problemu neko ko jako voli odredjeni brend ili vi koji izmišljate lažne informacije o tom brendu? Pitajmo nekog psihologa to.
Ovo što si ti napisao jednostavno nije istina i plus je tragikomično.

Efendija

pre 10 godina

@mikiv

Update ni nema veze sa hardverom nego sa softverom koji ima veze sa vebom. Šta ti nije jasno?
Ne možemo apdejtovati procesor nego operativni sistem ili aplikaciju.

xaxa

pre 10 godina

Nije primena nego implementacija.
(Nemanja C, 9. april 2014 17:32)
Није шија него емулжн оф офскин проупулжнс. :D

ja

pre 10 godina

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)

Facebook koristi SSL samo za login. :D

iSadOdmah...

pre 10 godina

@ (Persej, 09. april 2014 18:34)
Komšija, ovo nema veze sa uređajem koji ti koristiš, već sa načinom na koji je realizovana sigurna komunikacija na serverima kojima pristupaš. Kao da je rečeno da su telefonske centrale u problemu i da neko preko određenih centrala može da telefonira u tvoje ime, a ti kažeš - nema Veze ja sam moj iPhone upgrade-ovao. Ok, ali problem je na centrali, kapiraš?

Zoki

pre 10 godina

Microsoft, Apple i Google servisi nisu pogođeni. Kanadske banke i većina američkih nisu pogođeni. Pogođeni su samo oni koji koriste Open SSL. Legendarni Bruce Schneier opisuje situaciju kao katastrofu: "Catastrophic is the right word. On the scale of 1 to 10, this is an 11." Preko pola miliona sajtova koji su se oslonili na "slobodan softver" je već skoro tri godine otvoreno, na izvolite. Napadač može da pokupi 64KB iz memorije servera, pa šta zahvati, od imena i lozinke za vaš bankovni račun pa na dalje.
Dodatni problem su gomile "embedded" sistema koji ne mogu da se zakrpe. Npr. ako je neko koristio Open SSL za bankomate.
Možda je ovo moglo da se desi svakome, ali se desilo "slobodnom softveru" i ovo će bez sumnje biti težak udarac za zajednicu. Leteće glave! Kanadska poreska uprava je oborila sajt dok ga ne obezbedi, i to dvadesetak dana pre roka za podnošenje poreskih prijava. Najavljeno je da će rokovi za prijavu poreza biti produženi par dana radi ovoga. (Da li znate koliko košta kada G8 nacija zakasni sa plaćanjem poreza samo jedan dan?)
Neko će pitati: u čemu je razlika, to se moglo desiti bilo kome? U odgovornosti! Imate nekoga koga možete da krivite. Imate nekoga koga možda možete i da tužite. IT Direktor može da opere ruke i kaže: kriv je Microsoft, Oracle, Apple... Ovde je sam priteran uz zid i njegova glava će da leti.

Master Yoda

pre 10 godina

Za sada pretpostavka da su bag prvi otkrili i "upotrebili" istraživači koji su ga i prijavili i dalje stoji - još nije prijavljen konkretan slučaj zloupotrebe.

Što se Apple-a tiče, može da se proveri u repozitorijima da su izdali patch manje-više kad i većina FLOSS zajednice - u roku od sat vremena nakon objave. Za razliku od Microsofta, koji obično čeka jesen za ovakve stvari, Apple je ovom prilikom reagovao više nego pristojno, poput većine.

Sav iole složeniji softver na svetu verovatno ima greške. Štos je u tome kako se s greškama nositi, a FLOSS to radi za svaku pohvalu, od nastanka - niko ništa ne taji, sve je javno, a popravke i poboljšanja dostupna su obično u roku od par minuta do par sati. Uporedite to s "kumulativnim pečevima" kakve Microsoft izdaje po tromesečijima, krpeći samo ono na šta ih pravni tim pištoljem natera, i sve je jasno koliko zapravo zatvoreni kod vredi!

A da je kod openssl-a generalno jedna velika svinjarija kodirana repovima, slažu se svi koji su ikada i probali da pročitaju deo koda te alatke, pisane u doba nežnog Interneta, i nikada pristojno očišćene...

Недељко Стефановић

pre 10 godina

@Blaza

Веруј у религију коју хоћеш.

Мајкрософт ценим по квалитету софтвера у целини гледано. Наравно да има и изузетака, тј. њихових лоших програма, али свеукупно гледано праве врло квалитетан софтвер.

Е, па он је имао безбедносни пропуст у курсору миша, па ексел 2007 није знао да рачуна (помножи два броја и уместо 65535 добије 100000) итд. Такве ствари су потпуно нормалне.

Тај опен-ес-ес-ел држи 2/3 тржишта и овај случај неће то битно променити, баш као што ни поменути баг у екселу 2007 није навео банкаре да пређу на други програм исте намене.

Pao s' Marsa

pre 10 godina

@Persej
Fasciniraju me ljudi opsednuti nekim uredjajima/kompanijama. Apple mitomani i oni koji veruju u neranjivost Apple uredjaja vec prelaze u vode religioznog fanatizma.

Ne koristim trenutno ni jedan Apple uredjaj, pa nisam bas u toku sa patch-evima i ne znam sta je navedeni patch ispravio. Ono sto znam je da sam danas testirao komunikaciju iPhone 5 sa kompanijskim mail serverom i da sam bez problema pokupio pristupnu sifru. Lakse cak nego kod Androida. Android makar ima neku bazicnu enkripciju kada prosledjuje sifre (koja se doduse razbije za par sekundi), pa ne moze bas svako dete koje pokupi skript sa neta da skida navodno zasticene podatke.

Apple je neuporedivo sigurniji od drugih platformi? Pa, o verskim ubedjenjima se ne raspravlja...

arapin

pre 10 godina

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)
Ako su tebi poruke i slike sa fejsa najosetljiviji podaci, onda ti mozes bezbrizno da zivis

Persej

pre 10 godina

Kraljevi sad pisu o tome i rade a apple jos Zimus updajtovao zakrpu za to bukvalno update samo za to izasao i to dobili svi ajfoni od prvog do zadnjeg

Pao s' Marsa

pre 10 godina

Jos lepse, neko je mogao/moze da dodje u posed vaseg privatnog kljuca, a da ne ostavi nikakav trag. Dalje sa tim moze da pristupa datom servisu, prakticno dok ne zamenite sertifikat.
I, Yahoo je ispravio gresku kod sebe jutros...

au

pre 10 godina

Slucajno? Posle sneska nije me lako ubediti u slucajnosti vezane za backdoorove u protokolima za zastitu informacija. za GSM znamo zasto ima rupu vreme je i da se i u ostalim sferama prepozna uticaj agencija

Nemanja C

pre 10 godina

Nije primena nego implementacija. I ova bezbedonosna rupa je veliki problem zato što omogućava trećim licima neovlašćen pristup serverskoj memoriji, prisutna je čak dve godine i ne ostavlja tragove. Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!

arapin

pre 10 godina

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)
Ako su tebi poruke i slike sa fejsa najosetljiviji podaci, onda ti mozes bezbrizno da zivis

Pao s' Marsa

pre 10 godina

@Persej
Fasciniraju me ljudi opsednuti nekim uredjajima/kompanijama. Apple mitomani i oni koji veruju u neranjivost Apple uredjaja vec prelaze u vode religioznog fanatizma.

Ne koristim trenutno ni jedan Apple uredjaj, pa nisam bas u toku sa patch-evima i ne znam sta je navedeni patch ispravio. Ono sto znam je da sam danas testirao komunikaciju iPhone 5 sa kompanijskim mail serverom i da sam bez problema pokupio pristupnu sifru. Lakse cak nego kod Androida. Android makar ima neku bazicnu enkripciju kada prosledjuje sifre (koja se doduse razbije za par sekundi), pa ne moze bas svako dete koje pokupi skript sa neta da skida navodno zasticene podatke.

Apple je neuporedivo sigurniji od drugih platformi? Pa, o verskim ubedjenjima se ne raspravlja...

Nemanja C

pre 10 godina

Nije primena nego implementacija. I ova bezbedonosna rupa je veliki problem zato što omogućava trećim licima neovlašćen pristup serverskoj memoriji, prisutna je čak dve godine i ne ostavlja tragove. Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!

au

pre 10 godina

Slucajno? Posle sneska nije me lako ubediti u slucajnosti vezane za backdoorove u protokolima za zastitu informacija. za GSM znamo zasto ima rupu vreme je i da se i u ostalim sferama prepozna uticaj agencija

Pao s' Marsa

pre 10 godina

Jos lepse, neko je mogao/moze da dodje u posed vaseg privatnog kljuca, a da ne ostavi nikakav trag. Dalje sa tim moze da pristupa datom servisu, prakticno dok ne zamenite sertifikat.
I, Yahoo je ispravio gresku kod sebe jutros...

iSadOdmah...

pre 10 godina

@ (Persej, 09. april 2014 18:34)
Komšija, ovo nema veze sa uređajem koji ti koristiš, već sa načinom na koji je realizovana sigurna komunikacija na serverima kojima pristupaš. Kao da je rečeno da su telefonske centrale u problemu i da neko preko određenih centrala može da telefonira u tvoje ime, a ti kažeš - nema Veze ja sam moj iPhone upgrade-ovao. Ok, ali problem je na centrali, kapiraš?

xaxa

pre 10 godina

Nije primena nego implementacija.
(Nemanja C, 9. april 2014 17:32)
Није шија него емулжн оф офскин проупулжнс. :D

mikiv

pre 10 godina

e moj efendija...jos jedan poznati eplovac. pa nema ni nema veze sa hardverom i softverom tvog uredjaja,ja to nisam ni rekao. nego sa protokolom logovanja na sajt i njegovim softverom na nekom serveru. drzi se ti tog apdejta i nemas brige siguran si.

Недељко Стефановић

pre 10 godina

@Blaza

Веруј у религију коју хоћеш.

Мајкрософт ценим по квалитету софтвера у целини гледано. Наравно да има и изузетака, тј. њихових лоших програма, али свеукупно гледано праве врло квалитетан софтвер.

Е, па он је имао безбедносни пропуст у курсору миша, па ексел 2007 није знао да рачуна (помножи два броја и уместо 65535 добије 100000) итд. Такве ствари су потпуно нормалне.

Тај опен-ес-ес-ел држи 2/3 тржишта и овај случај неће то битно променити, баш као што ни поменути баг у екселу 2007 није навео банкаре да пређу на други програм исте намене.

Master Yoda

pre 10 godina

Za sada pretpostavka da su bag prvi otkrili i "upotrebili" istraživači koji su ga i prijavili i dalje stoji - još nije prijavljen konkretan slučaj zloupotrebe.

Što se Apple-a tiče, može da se proveri u repozitorijima da su izdali patch manje-više kad i većina FLOSS zajednice - u roku od sat vremena nakon objave. Za razliku od Microsofta, koji obično čeka jesen za ovakve stvari, Apple je ovom prilikom reagovao više nego pristojno, poput većine.

Sav iole složeniji softver na svetu verovatno ima greške. Štos je u tome kako se s greškama nositi, a FLOSS to radi za svaku pohvalu, od nastanka - niko ništa ne taji, sve je javno, a popravke i poboljšanja dostupna su obično u roku od par minuta do par sati. Uporedite to s "kumulativnim pečevima" kakve Microsoft izdaje po tromesečijima, krpeći samo ono na šta ih pravni tim pištoljem natera, i sve je jasno koliko zapravo zatvoreni kod vredi!

A da je kod openssl-a generalno jedna velika svinjarija kodirana repovima, slažu se svi koji su ikada i probali da pročitaju deo koda te alatke, pisane u doba nežnog Interneta, i nikada pristojno očišćene...

Zoki

pre 10 godina

Microsoft, Apple i Google servisi nisu pogođeni. Kanadske banke i većina američkih nisu pogođeni. Pogođeni su samo oni koji koriste Open SSL. Legendarni Bruce Schneier opisuje situaciju kao katastrofu: "Catastrophic is the right word. On the scale of 1 to 10, this is an 11." Preko pola miliona sajtova koji su se oslonili na "slobodan softver" je već skoro tri godine otvoreno, na izvolite. Napadač može da pokupi 64KB iz memorije servera, pa šta zahvati, od imena i lozinke za vaš bankovni račun pa na dalje.
Dodatni problem su gomile "embedded" sistema koji ne mogu da se zakrpe. Npr. ako je neko koristio Open SSL za bankomate.
Možda je ovo moglo da se desi svakome, ali se desilo "slobodnom softveru" i ovo će bez sumnje biti težak udarac za zajednicu. Leteće glave! Kanadska poreska uprava je oborila sajt dok ga ne obezbedi, i to dvadesetak dana pre roka za podnošenje poreskih prijava. Najavljeno je da će rokovi za prijavu poreza biti produženi par dana radi ovoga. (Da li znate koliko košta kada G8 nacija zakasni sa plaćanjem poreza samo jedan dan?)
Neko će pitati: u čemu je razlika, to se moglo desiti bilo kome? U odgovornosti! Imate nekoga koga možete da krivite. Imate nekoga koga možda možete i da tužite. IT Direktor može da opere ruke i kaže: kriv je Microsoft, Oracle, Apple... Ovde je sam priteran uz zid i njegova glava će da leti.

Persej

pre 10 godina

Kraljevi sad pisu o tome i rade a apple jos Zimus updajtovao zakrpu za to bukvalno update samo za to izasao i to dobili svi ajfoni od prvog do zadnjeg

Supercalifragilisticexpialidocious

pre 10 godina

@?Zoki

"samo Openssl" u praksi je skoro svaka kompanija koja koristi Linux servere, a to su sve kompanije koje si naveo, Google, Apple pa i Microsoft indirektno koristi Linux tako sto koriste usluge CDN provajdera i slicno (Akamai), a to takodje pokrecu Linux serveri. Da li su Google i ostali bili pogodjeni ovim bug-om zavisi od verzije Openssla koji je instaliran, konkrektno problem postoji samo u novijim verzijama i zavisi od toga kada su uradili update.

Efendija

pre 10 godina

@mikiv

Update ni nema veze sa hardverom nego sa softverom koji ima veze sa vebom. Šta ti nije jasno?
Ne možemo apdejtovati procesor nego operativni sistem ili aplikaciju.

drvobradi

pre 10 godina

@Blaza
Toliko o razumevanju ljudi sta je to open source. Upravo zato je i otkriven bug. To sto je kritican i pogadja puno ljudi to je druga stvar. A ti i dalje veruj da si siguran zato sto stoji jaka firma iza necega. Npr. EMC/RSA prodaje closed source resenja, ljudi su prakticno izmislili RSA algoritam i 8g su prodavali resenje sa losim generatorom slucajnih brojeva. Mislis da su ostali bolji?

ja

pre 10 godina

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)

Facebook koristi SSL samo za login. :D

Efendija

pre 10 godina

@mikiv
Ja se nisam ni pozivao na apdejt, mene ovo generalno ne pogadja ni najmanje. Samo sam ukazao da apdejt nema nikakve veze sa hardverom, da moze da ima samo sa softverom. :)

Milan

pre 10 godina

Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...

starosedelac

pre 10 godina

neki su iskorsitili priliku da popljuju FOSS jer im FOSS omogucava da analiziraju source code svojerucno i nadju probleme. Pretpostavljam da to znaci da duboko veruju da kompanije koje prave closed source/propriatery NIKAD ne bi DALE pristup trecim licima iz koristi? cak iako je mogucnost otkrivanja 'backdoor' veoma mala - statisticki beznacajna? Mislite o tome...u kapitalizmu je sve na prodaju .. neke uhvate a neke ne.. izdajnici su oni koji su uhvaceni ...

balkanski špijun

pre 10 godina

moj ortak se svojevremeno hvalio kako upada u servere pentagona, nase.... beše to pre jedno 2, 3 godine. inače radi za oracle od 1998.

Efendija

pre 10 godina

@Pao s' Marsa

A zašto izmišljaš? Da li zaista mislite da je u većem problemu neko ko jako voli odredjeni brend ili vi koji izmišljate lažne informacije o tom brendu? Pitajmo nekog psihologa to.
Ovo što si ti napisao jednostavno nije istina i plus je tragikomično.

Недељко Стефановић

pre 10 godina

@Zoki,

У стварности епл, мајкрософт и остале компаније не одговарају за квалитет својих производа. ИТ директор може само да се вади код генералног да су криви они, а не он, баш као и у случају опенсорс решења. Од њих с ене може добити у случају проблема ништа осим закрпе, баш као и у случају отвореног кода.

Већина производа се данас продаје са ограниченом гаранцијом до вредности уређаја. Дакле, замениће ти неиспраан уређај исправним или ће га поправити, а штета коју си претрпео коришћењем уређаја, а услед његове неисправности их не занима. Када ти у гаранцији пише да укључује повратак изгубљених података са неисправног хард диска, ту се помиње само покушај, а успех се не гарантује. Тако је и са софтвером.

Такође, у стварности се свима дешавају сличне ствари. Овај случај није нипочему посебан. Лично сматрам да је узимање затворених решења која су релевантна за безбедност, неозбиљно.

Неки мисле да је сигурност у неотварању кода да проблеми не би били пронађени. То је као када би рекли да је бацање копља лакша дисциплина од бацања кугле јер је копље лаганије или да је бацање кугле лакше јер не мора да се баци толико далко као копље. У обема дисциплинама има конкуренције која треба да се надмаши и у том смислу је тежа она где влада веће интересовање, па је конкуренција јача. Исто је и овде. Разлика је само у немогућности намерног слабљења безбедности када је опенсорс у питању.

@Milan

Није проблем у стандарду, већ у имплементацији.

Master Yoda

pre 10 godina

"Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...
(Milan, 10. april 2014 11:32)"

Ako je ovo aluzija na ideju da je neka agencija poput NSA znala ili čak i podmetnula ovo, onda je ne samo da ne razumeš značaj otvorenog softvera, nego ne razumeš ni načine opstajanja agencije poput NSA.

NSA dobija apusrdno velike svote novca iz budžeta SAD prvenstveno (a "na papiru" isključivo) da bi "zaštitila SAD" - skrivanjem znanja o ovakvom propustu, ili namernim izazivanjem ovakvog propusta, ne bi samo omogućila sebi nadzor, nego bi istovremeno otvorila ista ta vrata Kinezima, Rusima, i uopšte svima koji požele da sabotiraju Američke kompanije na Internetu. Pita bi završila kao neuporedivo skuplja od tepsije.

Što se tiče razvoja otvorenog softvera, to je samo model razvoja softvera koji se najpre podudara sa strogim akademskim metodologijama, standardima, i zahtevima. Takozvani "peer-to-peer review" element tog metoda koji se praktikuje u FLOSS zajednicama je bez premca, i superioran je u odnosu na sve metode, pa takav softver i zbog toga koriste mnoge kompanije, uključujući i Apple i Microsoft, a ne samo zato što je jeftin ili besplatan.

Svi greše. Ono što je bitno jeste kako se nositi s greškama. Za Heartbleed je trebalo sat vremena...

bager

pre 10 godina

@Maks

Pa ok, cak i da nisu pogodjeni ovim bug-om, imali su vec jedan SSL bug za iOS i OS X pre par meseci, to im je sasvim dovoljno :)

Master Yoda

pre 10 godina

"Čak 66 odsto interneta možda je ugroženo sigurnosnim propustom nazvanim Heartbleed."

Eh, sad, ne preterujte - pa nije valjda 66% Interneta ovisno o FLOSS softveru? ;)

Maks

pre 10 godina

@ (Pao s' Marsa, 9. april 2014 22:12)

Vidi ovo: http://www.macrumors.com/2014/04/10/apple-heartbleed/

Apple Confirms 'Heartbleed' Security Issue Did Not Affect Apple Software and 'Key Services'

Apple today released a statement to Re/code confirming that iOS, OS X and "key web services" were unaffected by the widely publicized security flaw known as Heartbleed which was disclosed earlier this week.

“Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key web-based services were not affected,” an Apple spokesperson told Re/code.

Znači, Appleov glasnogovornik je potvrdio da taj bug ne pogađa iOS i OS X i da Appleovi web servisi nisu bili pogođeni tim bugom.

Zoki

pre 10 godina

@Недељко Стефановић
Veruj mi na reč: daleko je jednostavnije okriviti npr. Microsoft nego open source zajednicu za neki propust. Koncept je komplikovan i suočavaš se gomilom pitanja. Po pravilu, inicijative za upotrebu slobodnog softvera dolaze od IT. "Sve se to ne bi desilo da vas nismo poslušali..." "Zašto ste tražili slobodan softver ako niste u stanju da ga pročitate i ispravite grešku?"
Po pitanju namernog slabljenja bezbednosti, zašto misliš da je to kod open source nemoguće? Teoretski, neko sa fizičkim pristupom serveru može da zameni softver nekom svojom verzijom. Ko će da proveri da li je to taj softver modifikovan i šta su sve bile modifikacije?

@Supercalifragilisticexpialidocious
Očigledno je da sve kompanije koje koriste Linux nisu koristile i OpenSSL. A problem je prisutan od 2011, tako da nisu u pitanju samo najnovije verzije.

Maks

pre 10 godina

@ (bager, 11. april 2014 13:41)

Taj SSL bug koji pominješ da je Apple imao pre par meseci je i zakrpljen bio tada kada su ga otkrili (nakon što je objavljeno da je taj bug postojao, vrlo brzo je izašao update i za iOS i za OS X i to je zakrpljeno još tada).... znači, to je sređeno i više nije issue, a da li su ranije imali neki bug smatram da je irelevantno ako je to ispravljeno još ranije.

Persej

pre 10 godina

Kraljevi sad pisu o tome i rade a apple jos Zimus updajtovao zakrpu za to bukvalno update samo za to izasao i to dobili svi ajfoni od prvog do zadnjeg

Nemanja C

pre 10 godina

Nije primena nego implementacija. I ova bezbedonosna rupa je veliki problem zato što omogućava trećim licima neovlašćen pristup serverskoj memoriji, prisutna je čak dve godine i ne ostavlja tragove. Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!

Milan

pre 10 godina

Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...

Pao s' Marsa

pre 10 godina

@Persej
Fasciniraju me ljudi opsednuti nekim uredjajima/kompanijama. Apple mitomani i oni koji veruju u neranjivost Apple uredjaja vec prelaze u vode religioznog fanatizma.

Ne koristim trenutno ni jedan Apple uredjaj, pa nisam bas u toku sa patch-evima i ne znam sta je navedeni patch ispravio. Ono sto znam je da sam danas testirao komunikaciju iPhone 5 sa kompanijskim mail serverom i da sam bez problema pokupio pristupnu sifru. Lakse cak nego kod Androida. Android makar ima neku bazicnu enkripciju kada prosledjuje sifre (koja se doduse razbije za par sekundi), pa ne moze bas svako dete koje pokupi skript sa neta da skida navodno zasticene podatke.

Apple je neuporedivo sigurniji od drugih platformi? Pa, o verskim ubedjenjima se ne raspravlja...

Zoki

pre 10 godina

Microsoft, Apple i Google servisi nisu pogođeni. Kanadske banke i većina američkih nisu pogođeni. Pogođeni su samo oni koji koriste Open SSL. Legendarni Bruce Schneier opisuje situaciju kao katastrofu: "Catastrophic is the right word. On the scale of 1 to 10, this is an 11." Preko pola miliona sajtova koji su se oslonili na "slobodan softver" je već skoro tri godine otvoreno, na izvolite. Napadač može da pokupi 64KB iz memorije servera, pa šta zahvati, od imena i lozinke za vaš bankovni račun pa na dalje.
Dodatni problem su gomile "embedded" sistema koji ne mogu da se zakrpe. Npr. ako je neko koristio Open SSL za bankomate.
Možda je ovo moglo da se desi svakome, ali se desilo "slobodnom softveru" i ovo će bez sumnje biti težak udarac za zajednicu. Leteće glave! Kanadska poreska uprava je oborila sajt dok ga ne obezbedi, i to dvadesetak dana pre roka za podnošenje poreskih prijava. Najavljeno je da će rokovi za prijavu poreza biti produženi par dana radi ovoga. (Da li znate koliko košta kada G8 nacija zakasni sa plaćanjem poreza samo jedan dan?)
Neko će pitati: u čemu je razlika, to se moglo desiti bilo kome? U odgovornosti! Imate nekoga koga možete da krivite. Imate nekoga koga možda možete i da tužite. IT Direktor može da opere ruke i kaže: kriv je Microsoft, Oracle, Apple... Ovde je sam priteran uz zid i njegova glava će da leti.

Efendija

pre 10 godina

@Pao s' Marsa

A zašto izmišljaš? Da li zaista mislite da je u većem problemu neko ko jako voli odredjeni brend ili vi koji izmišljate lažne informacije o tom brendu? Pitajmo nekog psihologa to.
Ovo što si ti napisao jednostavno nije istina i plus je tragikomično.

arapin

pre 10 godina

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)
Ako su tebi poruke i slike sa fejsa najosetljiviji podaci, onda ti mozes bezbrizno da zivis

balkanski špijun

pre 10 godina

moj ortak se svojevremeno hvalio kako upada u servere pentagona, nase.... beše to pre jedno 2, 3 godine. inače radi za oracle od 1998.

Efendija

pre 10 godina

@mikiv

Update ni nema veze sa hardverom nego sa softverom koji ima veze sa vebom. Šta ti nije jasno?
Ne možemo apdejtovati procesor nego operativni sistem ili aplikaciju.

Maks

pre 10 godina

@ (Pao s' Marsa, 9. april 2014 22:12)

Vidi ovo: http://www.macrumors.com/2014/04/10/apple-heartbleed/

Apple Confirms 'Heartbleed' Security Issue Did Not Affect Apple Software and 'Key Services'

Apple today released a statement to Re/code confirming that iOS, OS X and "key web services" were unaffected by the widely publicized security flaw known as Heartbleed which was disclosed earlier this week.

“Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key web-based services were not affected,” an Apple spokesperson told Re/code.

Znači, Appleov glasnogovornik je potvrdio da taj bug ne pogađa iOS i OS X i da Appleovi web servisi nisu bili pogođeni tim bugom.

xaxa

pre 10 godina

Nije primena nego implementacija.
(Nemanja C, 9. april 2014 17:32)
Није шија него емулжн оф офскин проупулжнс. :D

Maks

pre 10 godina

@ (bager, 11. april 2014 13:41)

Taj SSL bug koji pominješ da je Apple imao pre par meseci je i zakrpljen bio tada kada su ga otkrili (nakon što je objavljeno da je taj bug postojao, vrlo brzo je izašao update i za iOS i za OS X i to je zakrpljeno još tada).... znači, to je sređeno i više nije issue, a da li su ranije imali neki bug smatram da je irelevantno ako je to ispravljeno još ranije.

ja

pre 10 godina

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)

Facebook koristi SSL samo za login. :D

Efendija

pre 10 godina

@mikiv
Ja se nisam ni pozivao na apdejt, mene ovo generalno ne pogadja ni najmanje. Samo sam ukazao da apdejt nema nikakve veze sa hardverom, da moze da ima samo sa softverom. :)

Pao s' Marsa

pre 10 godina

Jos lepse, neko je mogao/moze da dodje u posed vaseg privatnog kljuca, a da ne ostavi nikakav trag. Dalje sa tim moze da pristupa datom servisu, prakticno dok ne zamenite sertifikat.
I, Yahoo je ispravio gresku kod sebe jutros...

au

pre 10 godina

Slucajno? Posle sneska nije me lako ubediti u slucajnosti vezane za backdoorove u protokolima za zastitu informacija. za GSM znamo zasto ima rupu vreme je i da se i u ostalim sferama prepozna uticaj agencija

Недељко Стефановић

pre 10 godina

@Blaza

Веруј у религију коју хоћеш.

Мајкрософт ценим по квалитету софтвера у целини гледано. Наравно да има и изузетака, тј. њихових лоших програма, али свеукупно гледано праве врло квалитетан софтвер.

Е, па он је имао безбедносни пропуст у курсору миша, па ексел 2007 није знао да рачуна (помножи два броја и уместо 65535 добије 100000) итд. Такве ствари су потпуно нормалне.

Тај опен-ес-ес-ел држи 2/3 тржишта и овај случај неће то битно променити, баш као што ни поменути баг у екселу 2007 није навео банкаре да пређу на други програм исте намене.

Master Yoda

pre 10 godina

Za sada pretpostavka da su bag prvi otkrili i "upotrebili" istraživači koji su ga i prijavili i dalje stoji - još nije prijavljen konkretan slučaj zloupotrebe.

Što se Apple-a tiče, može da se proveri u repozitorijima da su izdali patch manje-više kad i većina FLOSS zajednice - u roku od sat vremena nakon objave. Za razliku od Microsofta, koji obično čeka jesen za ovakve stvari, Apple je ovom prilikom reagovao više nego pristojno, poput većine.

Sav iole složeniji softver na svetu verovatno ima greške. Štos je u tome kako se s greškama nositi, a FLOSS to radi za svaku pohvalu, od nastanka - niko ništa ne taji, sve je javno, a popravke i poboljšanja dostupna su obično u roku od par minuta do par sati. Uporedite to s "kumulativnim pečevima" kakve Microsoft izdaje po tromesečijima, krpeći samo ono na šta ih pravni tim pištoljem natera, i sve je jasno koliko zapravo zatvoreni kod vredi!

A da je kod openssl-a generalno jedna velika svinjarija kodirana repovima, slažu se svi koji su ikada i probali da pročitaju deo koda te alatke, pisane u doba nežnog Interneta, i nikada pristojno očišćene...

mikiv

pre 10 godina

e moj efendija...jos jedan poznati eplovac. pa nema ni nema veze sa hardverom i softverom tvog uredjaja,ja to nisam ni rekao. nego sa protokolom logovanja na sajt i njegovim softverom na nekom serveru. drzi se ti tog apdejta i nemas brige siguran si.

drvobradi

pre 10 godina

@Blaza
Toliko o razumevanju ljudi sta je to open source. Upravo zato je i otkriven bug. To sto je kritican i pogadja puno ljudi to je druga stvar. A ti i dalje veruj da si siguran zato sto stoji jaka firma iza necega. Npr. EMC/RSA prodaje closed source resenja, ljudi su prakticno izmislili RSA algoritam i 8g su prodavali resenje sa losim generatorom slucajnih brojeva. Mislis da su ostali bolji?

Недељко Стефановић

pre 10 godina

@Zoki,

У стварности епл, мајкрософт и остале компаније не одговарају за квалитет својих производа. ИТ директор може само да се вади код генералног да су криви они, а не он, баш као и у случају опенсорс решења. Од њих с ене може добити у случају проблема ништа осим закрпе, баш као и у случају отвореног кода.

Већина производа се данас продаје са ограниченом гаранцијом до вредности уређаја. Дакле, замениће ти неиспраан уређај исправним или ће га поправити, а штета коју си претрпео коришћењем уређаја, а услед његове неисправности их не занима. Када ти у гаранцији пише да укључује повратак изгубљених података са неисправног хард диска, ту се помиње само покушај, а успех се не гарантује. Тако је и са софтвером.

Такође, у стварности се свима дешавају сличне ствари. Овај случај није нипочему посебан. Лично сматрам да је узимање затворених решења која су релевантна за безбедност, неозбиљно.

Неки мисле да је сигурност у неотварању кода да проблеми не би били пронађени. То је као када би рекли да је бацање копља лакша дисциплина од бацања кугле јер је копље лаганије или да је бацање кугле лакше јер не мора да се баци толико далко као копље. У обема дисциплинама има конкуренције која треба да се надмаши и у том смислу је тежа она где влада веће интересовање, па је конкуренција јача. Исто је и овде. Разлика је само у немогућности намерног слабљења безбедности када је опенсорс у питању.

@Milan

Није проблем у стандарду, већ у имплементацији.

starosedelac

pre 10 godina

neki su iskorsitili priliku da popljuju FOSS jer im FOSS omogucava da analiziraju source code svojerucno i nadju probleme. Pretpostavljam da to znaci da duboko veruju da kompanije koje prave closed source/propriatery NIKAD ne bi DALE pristup trecim licima iz koristi? cak iako je mogucnost otkrivanja 'backdoor' veoma mala - statisticki beznacajna? Mislite o tome...u kapitalizmu je sve na prodaju .. neke uhvate a neke ne.. izdajnici su oni koji su uhvaceni ...

bager

pre 10 godina

@Maks

Pa ok, cak i da nisu pogodjeni ovim bug-om, imali su vec jedan SSL bug za iOS i OS X pre par meseci, to im je sasvim dovoljno :)

iSadOdmah...

pre 10 godina

@ (Persej, 09. april 2014 18:34)
Komšija, ovo nema veze sa uređajem koji ti koristiš, već sa načinom na koji je realizovana sigurna komunikacija na serverima kojima pristupaš. Kao da je rečeno da su telefonske centrale u problemu i da neko preko određenih centrala može da telefonira u tvoje ime, a ti kažeš - nema Veze ja sam moj iPhone upgrade-ovao. Ok, ali problem je na centrali, kapiraš?

Supercalifragilisticexpialidocious

pre 10 godina

@?Zoki

"samo Openssl" u praksi je skoro svaka kompanija koja koristi Linux servere, a to su sve kompanije koje si naveo, Google, Apple pa i Microsoft indirektno koristi Linux tako sto koriste usluge CDN provajdera i slicno (Akamai), a to takodje pokrecu Linux serveri. Da li su Google i ostali bili pogodjeni ovim bug-om zavisi od verzije Openssla koji je instaliran, konkrektno problem postoji samo u novijim verzijama i zavisi od toga kada su uradili update.

Master Yoda

pre 10 godina

"Čak 66 odsto interneta možda je ugroženo sigurnosnim propustom nazvanim Heartbleed."

Eh, sad, ne preterujte - pa nije valjda 66% Interneta ovisno o FLOSS softveru? ;)

Master Yoda

pre 10 godina

"Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...
(Milan, 10. april 2014 11:32)"

Ako je ovo aluzija na ideju da je neka agencija poput NSA znala ili čak i podmetnula ovo, onda je ne samo da ne razumeš značaj otvorenog softvera, nego ne razumeš ni načine opstajanja agencije poput NSA.

NSA dobija apusrdno velike svote novca iz budžeta SAD prvenstveno (a "na papiru" isključivo) da bi "zaštitila SAD" - skrivanjem znanja o ovakvom propustu, ili namernim izazivanjem ovakvog propusta, ne bi samo omogućila sebi nadzor, nego bi istovremeno otvorila ista ta vrata Kinezima, Rusima, i uopšte svima koji požele da sabotiraju Američke kompanije na Internetu. Pita bi završila kao neuporedivo skuplja od tepsije.

Što se tiče razvoja otvorenog softvera, to je samo model razvoja softvera koji se najpre podudara sa strogim akademskim metodologijama, standardima, i zahtevima. Takozvani "peer-to-peer review" element tog metoda koji se praktikuje u FLOSS zajednicama je bez premca, i superioran je u odnosu na sve metode, pa takav softver i zbog toga koriste mnoge kompanije, uključujući i Apple i Microsoft, a ne samo zato što je jeftin ili besplatan.

Svi greše. Ono što je bitno jeste kako se nositi s greškama. Za Heartbleed je trebalo sat vremena...

Zoki

pre 10 godina

@Недељко Стефановић
Veruj mi na reč: daleko je jednostavnije okriviti npr. Microsoft nego open source zajednicu za neki propust. Koncept je komplikovan i suočavaš se gomilom pitanja. Po pravilu, inicijative za upotrebu slobodnog softvera dolaze od IT. "Sve se to ne bi desilo da vas nismo poslušali..." "Zašto ste tražili slobodan softver ako niste u stanju da ga pročitate i ispravite grešku?"
Po pitanju namernog slabljenja bezbednosti, zašto misliš da je to kod open source nemoguće? Teoretski, neko sa fizičkim pristupom serveru može da zameni softver nekom svojom verzijom. Ko će da proveri da li je to taj softver modifikovan i šta su sve bile modifikacije?

@Supercalifragilisticexpialidocious
Očigledno je da sve kompanije koje koriste Linux nisu koristile i OpenSSL. A problem je prisutan od 2011, tako da nisu u pitanju samo najnovije verzije.