Discussion:
OpenSSL
(too old to reply)
Jouko Holopainen
2014-04-12 04:26:52 UTC
Permalink
OpenSSL on avoimempi kuin kukaan arvasikaan - paitsi minä ... ja kaikki
muutkin ajattelevat ihmiset. Eli ei moni.

https://theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-online-security-25536

Vieläkö joku kuvittelee, että avoimet[1] ohjelmakoodit kuten mozilla,
linux, *bsd tai libit kuten tämä openssl on tippaakaan turvallisia?
Vieläkö joku kuvittelee, etteikö ne kaikki ole vain amatöörien pikapikaa
kokoonkyhäämiä rytöläjiä joita ei kukaan koskaan katselmoi, koska "ne
miljoonat muut katsoo, ei mun tartte"? Etteikö kaikki "korjaukset" ole
van paikkoja paikkojen päälle, tehden koodista entistä mahdottomampaa
löytää tällaisia reikiä ilman erittäin kalliita menetelmiä? Menetelmiä
joihin on varaa vain vakoilu- ja rikollisjärjestöillä sekä suurilla
kansainvälisillä pankeilla - mutta nyt minä toistan itseäni.

Milloin tietoturva-asiantuntijat uskovat minua ja myöntävät julkisesti,
että "C on kuollut"? [2]

Että ainoa oikea tapa, jos halutaan edes etäisesti turvallista
muistuttava, on käyttää ohjelmointikieltä joka estää tällaiset?
Mielellään kieli joka on suunniteltu turvalliseksi eikä vain kivaksi.

Mitä järkeä on protokollissa jotka ovat niin monimutkaisia ettei niitä
voi uudelleenkirjoittaa uusimmilla "hienoimmilla[3]" kielillä
kohtuullisessa ajassa?

[1] Suljetut koodit taasen on tarkkaan testattu läpikotaisesti niin
yksikkö, integrointi, systeemi kuin releasetesteissä eikä yksikään
muutos pääse läpi ilman asiantuntijajoukon tarkkaa katselmointia ja
analyysia, ja käytössä on aina uusimmat koodianalysaattorit. Koodi on
tietenkin hyvin strukturoitua, kommentoitua ja vimosen päälle
mallinnettua. Ei ne OSS-koodarit, ku ei tällanen oo hauskaa.

[2] Aivan, ei koskaan, taas kerran nämä asiantuntijat[4] taputtavat
toisiaan selkään, "hyvin tehty, nyt se on korjattu, kaikki hyvin, hyvä
me, meille mitali!".

[3] Mitä iloa on "closuresta", "korkeamman asteen funktiosta", "lambda
ilmaisuista", jne. jos niillä saa vain syntaksista sokeria eikä ne
ratkaise reaalimaailman ongelmia?

[4] Heikelä Korporaatiossa oli vitsi "sinä olet meille avainasiakas -
ilman a:ta". Minusta suuri osa asiantuntijoista on menettänyt a:n.

P.S. Toivottavasti erotatte sarkasmin vakavasta asiasta.
--
@jhol

www.iki.fi/jhol
Reijo Korhonen
2014-04-12 07:54:33 UTC
Permalink
Post by Jouko Holopainen
OpenSSL on avoimempi kuin kukaan arvasikaan - paitsi minä ... ja kaikki
muutkin ajattelevat ihmiset. Eli ei moni.
https://theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-
online-security-25536

Tämä saa julkisuutta siksi, että OpenSSL on niin laajasti käytetty. Mutta
eikös tämä asiantila ole sekä rikollisten että NSA:n eli turvallisuutemme
ylimmän vartijan unelma, joten plussat ja miinukset laskien menee aika
tasan. Vai meneekö?

Toivottavasti erotatte sarkasmin vakavasta asiasta? ;-) Oikeasti sarkasmi
on niin vaikea asia, että nettikeskusteluisa sitä tuskin kukaan erottaa,
sillä tässä kommunikaatiotavassa puuttuu ne informaatiotekijät, jotka
ovat tosielämäsä käytössä, kuten ilmeet ja olemus ja hymiöt auttavat vain
vähän. Tosielämässä kun myös asian esittäjä voi tarkkailla kuulijaa ja
lisätä niitä ilmeitä riittävästi jos sarkasmi ei muuten mene perille eli
varmistaa viestin menemistä perille oikeasa muodossa. Nettikeskustelussa
se on mahdotonta. Tässä viestitään aika lailla mustaan aukkoon ja se
musta aukko vastaa mitä vastaa, mutta ei oikein tiedä miksi.

Olkoon tämä disclaimerina sille, mitä minä tuolla alla viestin, sarkasmin
osuus ja laatu menee käsityskykyni yläpuolelle.
Post by Jouko Holopainen
Vieläkö joku kuvittelee, että avoimet[1] ohjelmakoodit kuten mozilla,
linux, *bsd tai libit kuten tämä openssl on tippaakaan turvallisia?
Varmaan moni, minäkin. Monta tippaa.
Post by Jouko Holopainen
Vieläkö joku kuvittelee, etteikö ne kaikki ole vain amatöörien pikapikaa
kokoonkyhäämiä rytöläjiä joita ei kukaan koskaan katselmoi, koska "ne
miljoonat muut katsoo, ei mun tartte"? Etteikö kaikki "korjaukset" ole
van paikkoja paikkojen päälle, tehden koodista entistä mahdottomampaa
löytää tällaisia reikiä ilman erittäin kalliita menetelmiä? Menetelmiä
joihin on varaa vain vakoilu- ja rikollisjärjestöillä sekä suurilla
kansainvälisillä pankeilla - mutta nyt minä toistan itseäni.
Pohjimiltaan esität ongelman, joka tulee vastaan ikääntyvällä alalla kuin
alalla, monimutkaisuuden hallinnan. Informaatioteknikka on jo siinä
vaiheessa, että käytetään ja muutetaan koodia, jonka toimintaa ei kukaan
ymmärrä kokonaisuutena eikä kukaan voi olla varma, mita muutoksia pieni
korjaus ohjelmiston toimintaan korjattu koodi voi aiheuttaa.

Vaikka järjestelmä pohjimmiltaan tekee ihan saman kuin vuosikymmen sitten
tai vuosikymmenet sitten, siinä on mahtavasti enemmän koodia. Miksikö? No
siksi, että halutaan tukea kaikkea sitä vanhaa joka toimi, jotta vanhat
asiakkaat eivät suutu tai jotta heidän bisneksensä ei pysähdy, koska he
eivät voi tai halua tehdä kokonaan uuden järjestelmän vaatimia muutoksia
omiin systeemeihinsä. Asiakkaita ei haluta menettää.

Sen uuden, toimivan ja testatun, yksinkertaisen, testatun, ymärrettävän
ja turvallisen tekeminen ei ole helppoa. Ensivauheessa se on
toiminnallisuudeltaan paljon vajavaisempi kuin se vanha ja monimutkainen
systeemi. Kuka sen ottaisi käyttöön?
Post by Jouko Holopainen
Milloin tietoturva-asiantuntijat uskovat minua ja myöntävät julkisesti,
että "C on kuollut"? [2]
Tuskin koskaan. C:sä itsessään ei ole mitään turvatonta. Turvatonta on
vain siinöä miten sitä ihminen on käyttänyt.
Post by Jouko Holopainen
Että ainoa oikea tapa, jos halutaan edes etäisesti turvallista
muistuttava, on käyttää ohjelmointikieltä joka estää tällaiset?
Nyt jätit meitä ratkaisevan tiedon antamatta. Mikä on sellainen
ohjelmointikieli? Mitä monimutkaisempi ohjelmointikieli, sitä enemmän sen
toteutuksessa on monimutkaisuutta joka kukaan ei ymmärrä ja sitä suurempi
riski, että että tämä ohjelmointikieli tai ihmisen tapa käyttää sitä ei
ole turvallinen.

Ehkä tarkoitat sitä, että koodaamme antamalla heksalukuja prosessorille
suoraan, ilman edes symbolista konekielikkäntäjää. Se lienee turvallisin
tapa koodata, koska silloin ohjelmointi on niin turvallista kuin voi
olla, sillä mikään työkalu ei voi auheuttaa turvattomuutta ja sen
toiminnan ymmärtää. Paitsi jos prosessori toimii väärin. Sitäkin kun on
nähty. Tässä ei ole sarkasmia.
Post by Jouko Holopainen
Mielellään kieli joka on suunniteltu turvalliseksi eikä vain kivaksi.
Nyt menee vaikeaksi. Jos kieli on tuottava eli ihminen sa paljon aikaan,
työn tekeminen on mikavaa. Töissä haluamme olla tuottavia. Pomokin tykkää.

Jos työssä ei saa mitään aikaan kun työn tekeminen on hankalaa, niin se ei
ole kivaa. Ja silloin ihminen tekee myös virheitä eikä jaksa olla luova
ja tehdä yksinkertaisia, toimivia, ymmärrettäviä ratkaisisuja.

Jostain kumman syystä kaikki ohjelmointiympäristöt tuntuvat koko ajan
monimutkaistuvan, ei yksinkertaistuvan. Tuetaan kaikkea vanhaa ja vähän
lisää, inkrementti inkrementiltä, saadaan hieno systeemi joka osaa vähän
kaikkea ja vähän enemmänkin, mutta lopulta se ei osaa oikein mitään,
ainakaan kunnolla eikä se toimintaa kukaan ymmärrä, mutta ei sille kukaan
paljon uskalla tehdä, kun sen pitää osata niin paljon.
Post by Jouko Holopainen
Mitä järkeä on protokollissa jotka ovat niin monimutkaisia ettei niitä
voi uudelleenkirjoittaa uusimmilla "hienoimmilla[3]" kielillä
kohtuullisessa ajassa?
Niinpä. Ennen jopa opetuksessa käytettiin pseudokieltä, kieltä joka ei
ollut mitään tiettyä ohjelmointikieltä, mutta kirjoitetut algoritmit
ymmärsi kuka tahansa. Algoritmi sinällään toimi joko oikein tai väärin ja
sen voi todistaa. Jos se toimi oikewin, pseudokielisen ohjelman voi
kirjoittaa oikealla ohjelmointikielellä, millä tahansa niistä, joissa on
oletetut ominaisuudet. Ja lopputuloksen pystyi edelleen tarkistamaan että
se toimi oikein.

Kärjistäen voi sanoa, että jos jotain toiminnallisuutta jollakin
ohjelmointikielellä toteutettuna ei voi enää muuntaa takaisin
pseudokieliseksi ratkaisuksi, niin koodi on jo rikki.
Post by Jouko Holopainen
[1] Suljetut koodit taasen on tarkkaan testattu läpikotaisesti niin
yksikkö, integrointi, systeemi kuin releasetesteissä eikä yksikään
muutos pääse läpi ilman asiantuntijajoukon tarkkaa katselmointia ja
analyysia, ja käytössä on aina uusimmat koodianalysaattorit. Koodi on
tietenkin hyvin strukturoitua, kommentoitua ja vimosen päälle
mallinnettua. Ei ne OSS-koodarit, ku ei tällanen oo hauskaa.
Tässä lienee se sarkasmi? Eli mistä tiedät? Jos systeemi on suljettu,
niin et voi tietää. Ehkäpä testaus onkin pintapuolista, kun testaus
maksaa. Keritään tahkoamaan uusia ominaisuuksia ja saadaan kassaan lisää
rahaa. Ei niitä pikkuvirheitä kukaan huomaa, varsinkaan kun kukaan ei
niistä tiedä ;-)
Post by Jouko Holopainen
[2] Aivan, ei koskaan, taas kerran nämä asiantuntijat[4] taputtavat
toisiaan selkään, "hyvin tehty, nyt se on korjattu, kaikki hyvin, hyvä
me, meille mitali!".
Mitaleja lienee jaettu harvalle. Tosin mitalit on halvempia kuin oikea
palkka hyvin tehdystä työstä ;-)
Post by Jouko Holopainen
[3] Mitä iloa on "closuresta", "korkeamman asteen funktiosta", "lambda
ilmaisuista", jne. jos niillä saa vain syntaksista sokeria eikä ne
ratkaise reaalimaailman ongelmia?
Olet oikeassa. Jos ne ratkaisevat oikean ongelman, niillä on oikeus elää.
Muuten käytämme muita keinoja. Harrastaja saa tietysti harrastaa mitä
haluaa, mutta työtä tehdään kuitenkin loppupelöeissä reaalimaailman
ehdoin. Tai ainakin pitäisi.
Post by Jouko Holopainen
[4] Heikelä Korporaatiossa oli vitsi "sinä olet meille avainasiakas -
ilman a:ta". Minusta suuri osa asiantuntijoista on menettänyt a:n.
Mistä sanasta a tai aat otetaan pois ja kuinka monta aata? Sarkasmin
tunnistustaitoni on heikko ;-)
Post by Jouko Holopainen
P.S. Toivottavasti erotatte sarkasmin vakavasta asiasta.
Heikosti meni, myönnän.

Mutta asiaahan puhut. Monimutkaisuuden hallinta on minusta avainsana
tässä. Hommat ovat menneet turhan vaikeiksi, ihminen ei enää ymmärrä
niitä. Minusta kysymys ei kuitenkaan ole siitä, onko suljettu vai avoin
koodi parempaa jollakin kriteerillä.
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Jouko Holopainen
2014-04-12 14:16:16 UTC
Permalink
Post by Reijo Korhonen
Post by Jouko Holopainen
Milloin tietoturva-asiantuntijat uskovat minua ja myöntävät julkisesti,
että "C on kuollut"? [2]
Tuskin koskaan. C:sä itsessään ei ole mitään turvatonta. Turvatonta on
vain siinöä miten sitä ihminen on käyttänyt.
Tästä me olemme sitten vain eri mieltä. Minusta C on aivan liian
turvaton käytettäväksi missään "hello world"iä monimutkaisemmassa.
Post by Reijo Korhonen
Post by Jouko Holopainen
Että ainoa oikea tapa, jos halutaan edes etäisesti turvallista
muistuttava, on käyttää ohjelmointikieltä joka estää tällaiset?
Nyt jätit meitä ratkaisevan tiedon antamatta. Mikä on sellainen
ohjelmointikieli? Mitä monimutkaisempi ohjelmointikieli, sitä enemmän sen
toteutuksessa on monimutkaisuutta joka kukaan ei ymmärrä ja sitä suurempi
riski, että että tämä ohjelmointikieli tai ihmisen tapa käyttää sitä ei
ole turvallinen.
Meillä on käyttäjärjestelmä joka on matemaattisesti todistettu
reiättömäksi (L4). Meillä on kieliä, jotka antavat takuita sen
oikeellisesta toiminnasta, mutta moisia ei ole käytössä. Ainoa syy tähän
minkä näen on "ei mua huvita".
Post by Reijo Korhonen
Post by Jouko Holopainen
Mielellään kieli joka on suunniteltu turvalliseksi eikä vain kivaksi.
Nyt menee vaikeaksi. Jos kieli on tuottava eli ihminen sa paljon aikaan,
työn tekeminen on mikavaa. Töissä haluamme olla tuottavia. Pomokin tykkää.
Niinpä. Onko tuo todistettu käyttis niin vaikea käyttää, ettei se nyt
vaan tuu kyseeseen koska koodarit menee lakkoon? En usko. Entäs nuo
kielet, tai menetelmät todistaa että koodi on oikein? Vaikka olemme
tässä alkutekijöissä, on naurettavaa väittää ettemme pysty parempaan kuin C.
Post by Reijo Korhonen
Tässä lienee se sarkasmi?
Detektorisi kaipaa vain hienosäätöä.
Post by Reijo Korhonen
Post by Jouko Holopainen
[4] Heikelä Korporaatiossa oli vitsi "sinä olet meille avainasiakas -
ilman a:ta". Minusta suuri osa asiantuntijoista on menettänyt a:n.
Mistä sanasta a tai aat otetaan pois ja kuinka monta aata? Sarkasmin
tunnistustaitoni on heikko ;-)
Avainasiakas -> vain asiakas. Asiantuntija -> sian tuntija.
Post by Reijo Korhonen
Mutta asiaahan puhut. Monimutkaisuuden hallinta on minusta avainsana
tässä. Hommat ovat menneet turhan vaikeiksi, ihminen ei enää ymmärrä
niitä. Minusta kysymys ei kuitenkaan ole siitä, onko suljettu vai avoin
koodi parempaa jollakin kriteerillä.
Minä näen vain "mua ei nyt oikein huvita".
--
@jhol

www.iki.fi/jhol
Jussi Hagman
2014-04-14 13:23:14 UTC
Permalink
Post by Jouko Holopainen
Post by Reijo Korhonen
Nyt jätit meitä ratkaisevan tiedon antamatta. Mikä on sellainen
ohjelmointikieli? Mitä monimutkaisempi ohjelmointikieli, sitä enemmän sen
toteutuksessa on monimutkaisuutta joka kukaan ei ymmärrä ja sitä suurempi
riski, että että tämä ohjelmointikieli tai ihmisen tapa käyttää sitä ei
ole turvallinen.
Meillä on käyttäjärjestelmä joka on matemaattisesti todistettu
reiättömäksi (L4). Meillä on kieliä, jotka antavat takuita sen
oikeellisesta toiminnasta, mutta moisia ei ole käytössä. Ainoa syy tähän
minkä näen on "ei mua huvita".
Jätit taas mainitsematta mikä on sellainen ohjelmointikieli. Viittaat
L4-käyttikseen, joka on kirjoitettu assembylla tai C++ :lla, riippuen
toteutuksesta. Luulisin että ne eivät ole kieliä, joita peräänkuulutat.
--
Jussi Hagman, jhagman ÄT infa.fi
Pertti Kosunen
2014-04-12 09:58:33 UTC
Permalink
Post by Jouko Holopainen
OpenSSL on avoimempi kuin kukaan arvasikaan - paitsi minä ... ja kaikki
muutkin ajattelevat ihmiset. Eli ei moni.
https://theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-online-security-25536
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat FBI:ltä
~15v sitten?
Reijo Korhonen
2014-04-13 09:45:40 UTC
Permalink
Post by Pertti Kosunen
Post by Jouko Holopainen
OpenSSL on avoimempi kuin kukaan arvasikaan - paitsi minä ... ja kaikki
muutkin ajattelevat ihmiset. Eli ei moni.
https://theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-
online-security-25536
Post by Pertti Kosunen
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat FBI:ltä
~15v sitten?
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
siihen kuka sai rahaa ja keneltä tai saiko ollenkaan ja keneltäkään.
FBI:tä en simmäisenä epäolisi, mutta sen sijaan NSA on ensimmäinen joka
kiistää ;-)

Tuo linkkisi on erinomainen ja selittää hyvin tälläisen aukon syntytavan.
Tehtiin hyödyllinen, kaivattu ominaisuus, joka oikein käytettynä on
erinomainen asia. Valitettavasti sitä voi käyttää myös väärin. Tietoturva-
aukko ei ole tyypiltään mitenkään erikoinen, ja vaikka en väitäkään
olevani asiantuntija tällä alalla, sanoisin, että tässä on varsin
tavallinen tietoturva-aukko. Niinpä artikkelin toteamus

"The fix is simple. The task of getting it deployed to the millions of
systems using OpenSSL is not."

on asian ydin. Mitään paniikkia asian tiimoilta ei ole syytä nostattaa,
sillä kyseessä on erittäin yksinkertainen ohjelmisvirheen korjaus, johon
menee noin minuutti osaavalta koodarilta, mutta luotettavan testaamisen
kanssa päivä. Ja tämä työ on jo tehty.

Kyse on siitä, kuinka päivitys saadaan kaikkiin niihin järjestelmiin
jotka tätä ohjelmistoa käyttävät. Niin kauan kuin päivitys ei ole
paikallaan, järjestelmät ovat haavoittuvaissia. Kyse on kuitenkin
serveripään tietoturva-aukosta, niistä servereistä jotka ovat
aktiivisessa käytössä ja joita sen mukaisesti pitäisi myös aktiivisesti
ylläpitää.

Mutta miksi tähän jouduttiin? Lisättiin hyödyllinen ja tarvittu
ominaisuus, mutta jätettiin testaamatta voiko sen toteutusta käyttää
väärin.

OpenSSL on Open Source -koodia eli avointa, vapaaehtoisen yhteisön
tuottamaa. Nyt on tilaisuus sotia siitä, onko tämö Open Source -
ideologian kriisi. Pettääkkö testaus automaattisesti, jos koodi on Open
Source yhteisön tuottamaa? Minusta näin ei automaattisesti ole, mutta
voiko sitä kieltää, että on peiliin katsomisen paikka?
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Ari Saastamoinen
2014-04-13 12:35:08 UTC
Permalink
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat FBI:ltä
~15v sitten?
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
Jos se on ollut tiedossa jo 15-vuotta, niin tuskin on tuo reikä, kun
tuo koko hearbeat-systeemi (Jossa toi bugi siis oli) on lisätty
openSSL:ään vasta reilu pari vuotta sitten.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Jouko Holopainen
2014-04-13 12:59:32 UTC
Permalink
Jaaha.

Kaikesta päätellen koodi on "obfuskoitu", eli kirjoitettu tarpeettoman
monimutkaisesti/vaikeasti ymmärrettäväksi. Lisäksi softaan on koodattu
oma allokaattori, malloc/free kun ei ole heille tarpeeksi hyvä. Ei hyvää
päivää!
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2014-04-14 06:19:50 UTC
Permalink
Post by Jouko Holopainen
Kaikesta päätellen koodi on "obfuskoitu", eli kirjoitettu tarpeettoman
monimutkaisesti/vaikeasti ymmärrettäväksi.
Kuinniin obfuskoitu? En ole lukenut tota sorsaa, joten voi ollakin,
mutta katsoin tuon heartbleedin korjauspätsin, niin musta se nyt
ainakin oli ihan selkeän näköistä (sekä ne pari riviä vanhasta
kontextista myös). Ja lähinnä siinä oli koodia tuntemattomalle se,
että joidenkin juttujen kokoa laskettiin tyyliin 1+2+16, toi on
selkeämpää kuin 19, mutta vielä parempi voisi olla se, että noilla
olis jotkut makrot, josta sitten näkis suoraan, mikä on toi ykkönen
jne.
Post by Jouko Holopainen
Lisäksi softaan on koodattu oma allokaattori, malloc/free kun ei ole
heille tarpeeksi hyvä. Ei hyvää päivää!
Ei toi musta mitenkään tyhmältä vaikuta (Paitsi, jos se on tehty ihan
loppuun saakka itse, eikä toi vain ole wrapperi)

Erittäin monet usealle käyttikselle portatut softat tekevät omat
wrapperit normaalien kirjastokutsujen ympärille, jotka sitten
käyttäytyvät samalla tavalla vaikka alla oleva toteutus olisikin
sitten tehty malloc():lla tai vaikka AllocMem():llä.

Ja jossain tuollaisessa tietoturvasoftassa en ihmetelisi vaikka
esim. free():hen olisi omassa wrapperissa lisätty vaikkapa optio
muistin nollaamiseksi ennen vapautusta tms.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Jouko Holopainen
2014-04-14 13:31:25 UTC
Permalink
Post by Ari Saastamoinen
Post by Jouko Holopainen
Kaikesta päätellen koodi on "obfuskoitu", eli kirjoitettu tarpeettoman
monimutkaisesti/vaikeasti ymmärrettäväksi.
Kuinniin obfuskoitu? En ole lukenut tota sorsaa, joten voi ollakin,
mutta katsoin tuon heartbleedin korjauspätsin, niin musta se nyt
ainakin oli ihan selkeän näköistä (sekä ne pari riviä vanhasta
kontextista myös). Ja lähinnä siinä oli koodia tuntemattomalle se,
että joidenkin juttujen kokoa laskettiin tyyliin 1+2+16, toi on
selkeämpää kuin 19, mutta vielä parempi voisi olla se, että noilla
olis jotkut makrot, josta sitten näkis suoraan, mikä on toi ykkönen
jne.
Jep, hienosti laskettiin 1+2+16, mutta entäs ne struktit? Missäs ne on
dokumentoitu? Tai muuttujien nimet, merkin mittaisia!? Mitä tekee n2s(),
ei kait vaan ole ntohs - itse koodattuna?
Post by Ari Saastamoinen
Post by Jouko Holopainen
Lisäksi softaan on koodattu oma allokaattori, malloc/free kun ei ole
heille tarpeeksi hyvä. Ei hyvää päivää!
Ei toi musta mitenkään tyhmältä vaikuta (Paitsi, jos se on tehty ihan
loppuun saakka itse, eikä toi vain ole wrapperi)
Minusta se on täysin idioottimaista koska se estää (lähes?) kaikki
malloc-tarkistussoftat ja -libit.

Ja ei, OPENSSL_alloc (vai mikä se oli) ei ole definoitu malloc:ksi
(oikeinhan olisi tietenkin calloc) vaan heillä on ihan oma heap ja sen
käsittely.
Post by Ari Saastamoinen
Ja jossain tuollaisessa tietoturvasoftassa en ihmetelisi vaikka
esim. free():hen olisi omassa wrapperissa lisätty vaikkapa optio
muistin nollaamiseksi ennen vapautusta tms.
Tässä ei sitä ole - päätellen mitä malloc antaa. Sitäpaitsi free:n
muuttaminen niin, että se osaa nollata muistin on kaikkea muuta kuin
triviaali muutos, juuri sellainen rengas mitä ei tietoturvallisessa
softassa pitäisi keksiä uudestaan. Paitsi tietenkin jos NIH on vahva.
--
@jhol

www.iki.fi/jhol
Jouko Holopainen
2014-04-14 15:21:11 UTC
Permalink
Post by Jouko Holopainen
Post by Ari Saastamoinen
Ja jossain tuollaisessa tietoturvasoftassa en ihmetelisi vaikka
esim. free():hen olisi omassa wrapperissa lisätty vaikkapa optio
muistin nollaamiseksi ennen vapautusta tms.
Tässä ei sitä ole - päätellen mitä malloc antaa. Sitäpaitsi free:n
muuttaminen niin, että se osaa nollata muistin on kaikkea muuta kuin
triviaali muutos, juuri sellainen rengas mitä ei tietoturvallisessa
softassa pitäisi keksiä uudestaan. Paitsi tietenkin jos NIH on vahva.
Ja tässä lopputulos, kun NIH on Erittäin Vahva(tm):
http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse

Kannattaa lukea artikkelin lopussa annetut linkit virheraportteihinkin.
Anteeksi, luusereiden ruikutukseen - eivätkä itse ole viitsineet edes
korj... katselmoida korjaustaan! Siis ei minkään näköistä skitsofreniaa!

Vieläkö joku on sitä mieltä, etteikö OSS koodarit ansaistse pikkasen
raippoja, vaikka "sehän oli triviaali bugi on jo korjattu". Miten
mieleeen tulee suomalaisten viranomaisten tapaa kommentoida mokiaan
"tämä on vain yksittäistapaus, ei aihetta huolestumiseen", vrt
valelääkärit, narkolepsia, myllylä, jne jne jne.
--
@jhol

www.iki.fi/jhol
Reijo Korhonen
2014-04-14 16:11:57 UTC
Permalink
Post by Jouko Holopainen
Ja jossain tuollaisessa tietoturvasoftassa en ihmetelisi vaikka esim.
free():hen olisi omassa wrapperissa lisätty vaikkapa optio muistin
nollaamiseksi ennen vapautusta tms.
Tässä ei sitä ole - päätellen mitä malloc antaa. Sitäpaitsi free:n
muuttaminen niin, että se osaa nollata muistin on kaikkea muuta kuin
triviaali muutos, juuri sellainen rengas mitä ei tietoturvallisessa
softassa pitäisi keksiä uudestaan. Paitsi tietenkin jos NIH on vahva.
NIH?

Mutta mauistia voi varata omalla metodilla _esimerkiksi_ näin, mutta
taatusti hyvin moinella muullakin toteutuksella:

Tarvitset ainoastaan kirjanpidon mitä on varattu ja sillä asia hoituu.
Teet siis saman jonka kirjastorutiinikin tekee, mutta saat nyt varatut
muistialueet omaan haltuusi.

#define MAX_ALLOCATION 255
struct allocation
{
int size;
char *allocation;
} m_allocaton[MAX_ALLOCATION];
int m_next_allocation=0;


char* oma_char_alloc(int size) {
char* allocation = NULL;
if (m_next_allocation < MAX_ALLOCATION) {
char* allocation = malloc(size);
if (allocation != NULL) {
m_allocaton[m_next_allocation].size = size;
m_allocaton[m_next_allocation].allocation =
allocation;
m_next_allocation++;
}
}
return allocation;
}

ja vapauttaa niin, että vapautettava muistialue nollataan

void oma_char_free(char* allocation) {
if ((m_next_allocation > 0) && // validate
(m_allocaton[m_next_allocation-1].allocation == allocation)) {
char *a = allocation;
for (int i = 0; < m_allocaton[m_next_allocation-1].size; i
++) {
*a = 0;
a++;
}
free(allocation);
m_next_allocation--;
}
}

Huomaatte, että muisti pitää vapauttaa käänteisessä järjestyksessä kuin
se varattiin. Jätän harjoitustehtäväksi vapausasteiden lisäämisen.

Jätän muiden sodittavaksi sen, koska on järkevää kirjoittaa oma muistin
varaus ja koska ei. Se kokemus portattavista systeemistä minulla kuitenkin
on, että APIen käyttö edesauttaa porttaamista tai on jopa sen ehto.
Ymmärrän hyvin, että OpenSLL-kirjastoa halutaan portata moniin
platformeihin, sillä kun algoritmi on tetattu yhdessä järjestelmässä,
niin se toimii melko varmasti toisessakin. Joskus kuitenkaan virhe ei
ainakaan heti tule esille yhdessä platformissa, vaikka koodi olisikin
rikki, mutta toisessa tulee. Silloin virhe korjataan ja kaikissa
platformeissa on nyt testattua, oikein toimivaa koodia.

Porttaaminen siis pikemminkin parantaa koodin laatua kuin heikentää.
Oikeasti sinun pitää osata aika yleistettävää koodia, jotta sitä voisi
portata.

Minusta rakentavampi tapa kehittää Open Sourcea kuin haukkua se
yksilöimättä lyttyyn kauttaaltaan on konkreettisesti esittää parempi
toteutus, sillä sellainen täytyy olla mielessä, jos sen kerran haukkuu
lyttyyn.
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Ari Saastamoinen
2014-04-14 17:01:02 UTC
Permalink
Mutta mauistia voi varata omalla metodilla _esimerkiksi_ näin, mutta
Ainakaan toi sun esimerkki ei ole thread-safe :)
char* allocation = NULL;
if (m_next_allocation < MAX_ALLOCATION) {
char* allocation = malloc(size);
....
}
}
return allocation;
Ja melkeinpä väittäisin, että toi ei edes toimi. Toi mallocin
palauttama osoite menee eri contextissa olevaan allocation-muuttujaan,
ja returni palauttaa aina siinä ensimmäisessä contextissa olevan
NULL:in.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Reijo Korhonen
2014-04-14 17:05:35 UTC
Permalink
Post by Ari Saastamoinen
Mutta mauistia voi varata omalla metodilla _esimerkiksi_ näin, mutta
Ainakaan toi sun esimerkki ei ole thread-safe :)
char* allocation = NULL;
if (m_next_allocation < MAX_ALLOCATION) {
char* allocation = malloc(size);
....
}
}
return allocation;
Ja melkeinpä väittäisin, että toi ei edes toimi. Toi mallocin
palauttama osoite menee eri contextissa olevaan allocation-muuttujaan,
ja returni palauttaa aina siinä ensimmäisessä contextissa olevan
NULL:in.
Ei luultavasti mene edes kääntäjästä läpi. Idea oli kuitenkin esitellä
vain algoritmi ja kuten huomaat, osaat sen avulla kirjoittaa toimivaa
C:tä, joka toimii oikein ;-)
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Jouko Holopainen
2014-04-14 23:01:36 UTC
Permalink
Post by Reijo Korhonen
Ei luultavasti mene edes kääntäjästä läpi. Idea oli kuitenkin esitellä
vain algoritmi ja kuten huomaat, osaat sen avulla kirjoittaa toimivaa
C:tä, joka toimii oikein ;-)
Onnistuit täydellisesti. NIH oli niin vahva, että kehitit allokaattorin
jolla oli radikaaleja rajoituksia, ei ollut thread safe, oli hitaampi
kuin C-libin oma (for looppi vapautuksessa ...) ja estää debug- ja
tarkastavien allokaattorilibbien käytön.

Siis täydellinen "onnistuminen". Juuri tällainen "mitä epätriviaalia
tuossa on" NIH syndrooman aikaansaama paska. Vielä kun lisäsit tekstin
loppuun "esitä parempi tai ole hiljaa":n!

Hyvä trollaus!
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2014-04-15 07:32:49 UTC
Permalink
Post by Jouko Holopainen
Onnistuit täydellisesti. NIH oli niin vahva, että kehitit allokaattorin
jolla oli radikaaleja rajoituksia, ei ollut thread safe, oli hitaampi
kuin C-libin oma (for looppi vapautuksessa ...) ja estää debug- ja
tarkastavien allokaattorilibbien käytön.
Toi for-looppi oli sitä muistin tyhjennystä varten (Tosin memset on
useimmissa tapauksissa nopeampi) ja ei estänyt
muistiallokaatiodebuggereitten käyttöä kun tuossa se lopullinen
allokaatio tehtiin kuintenkin malloc:lla.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Ari Saastamoinen
2014-04-14 16:16:39 UTC
Permalink
Post by Jouko Holopainen
Sitäpaitsi free:n
muuttaminen niin, että se osaa nollata muistin on kaikkea muuta kuin
triviaali muutos, juuri sellainen rengas mitä ei tietoturvallisessa
Mitä epätriviaalia tuossa muka on? Jos tiedetään vapautettavan blokin
alkuosoite ja koko, niin sitten nollaus käy yhdellä memsetillä. No
normaalissa free():ssä ei koko ole triviaalisti saatavilla, mutta jos
sen mallocinkin ympärillä oli oma wrapperi, joka tuon laittaa talteen,
niin ei mitään ongelmaa.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Reijo Korhonen
2014-04-13 20:50:59 UTC
Permalink
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat
FBI:ltä ~15v sitten?
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
Jos se on ollut tiedossa jo 15-vuotta, niin tuskin on tuo reikä, kun tuo
koko hearbeat-systeemi (Jossa toi bugi siis oli) on lisätty openSSL:ään
vasta reilu pari vuotta sitten.
Linkki kertoo pari vuotta sitten tehdystä ominaisuuden lisäyksestä joka
on mitä ilmeisimmin nyt kohistun OpeenSLL tietoturva-aukon takana. Sen
sijaan "15 vuotta sitten Theo ja kumppanit" taitaa olla ihan tähän
kuulumatonta tarinaa.

Linkki kertoo myös sen, että tietoturva-aukon tyyppi on mitä tyypillisin
ja se on erittäin helppo korjata. Korjaushan on jo julkaistukin. Media
sen sijaan suhtautuu asiaan siten, että se haluaa tehdä asiasta kohun.
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Viljo Mustonen
2014-04-14 04:52:43 UTC
Permalink
Post by Reijo Korhonen
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat
FBI:ltä ~15v sitten?
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
Jos se on ollut tiedossa jo 15-vuotta, niin tuskin on tuo reikä, kun tuo
koko hearbeat-systeemi (Jossa toi bugi siis oli) on lisätty openSSL:ään
vasta reilu pari vuotta sitten.
Linkki kertoo pari vuotta sitten tehdystä ominaisuuden lisäyksestä joka
on mitä ilmeisimmin nyt kohistun OpeenSLL tietoturva-aukon takana. Sen
sijaan "15 vuotta sitten Theo ja kumppanit" taitaa olla ihan tähän
kuulumatonta tarinaa.
Linkki kertoo myös sen, että tietoturva-aukon tyyppi on mitä tyypillisin
ja se on erittäin helppo korjata. Korjaushan on jo julkaistukin. Media
sen sijaan suhtautuu asiaan siten, että se haluaa tehdä asiasta kohun.
Median uutisointi vaikuttaa osittain jopa hyökkäykseltä avoimen lähdekoodin
ohjelmistoja vastaan. On jopa vihjattu, että bugi olisi FBI ja/tai NSA:n
maksama. Joten OSS ei olisi tuossakaan mielessä kaupallisia toimijoita
turvallisempaa.

Kyllähän totta puhuen OSS:n laadussa useissa tapauksessa olisi paljonkin
parantamisen varaa. Mutta onhan noita kriittisiäkin bugeja ollut myös
isoilla kaupallisilla toimijoillakin. Onkohan noista bugien suhteellisista
määristä olemassa täysin puolueettomia tilastoja.
--
Viljo
Reijo Korhonen
2014-04-14 05:31:36 UTC
Permalink
Post by Viljo Mustonen
Post by Reijo Korhonen
Post by Ari Saastamoinen
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat
FBI:ltä ~15v sitten?
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
Jos se on ollut tiedossa jo 15-vuotta, niin tuskin on tuo reikä, kun
tuo koko hearbeat-systeemi (Jossa toi bugi siis oli) on lisätty
openSSL:ään vasta reilu pari vuotta sitten.
Linkki kertoo pari vuotta sitten tehdystä ominaisuuden lisäyksestä joka
on mitä ilmeisimmin nyt kohistun OpeenSLL tietoturva-aukon takana. Sen
sijaan "15 vuotta sitten Theo ja kumppanit" taitaa olla ihan tähän
kuulumatonta tarinaa.
Linkki kertoo myös sen, että tietoturva-aukon tyyppi on mitä
tyypillisin ja se on erittäin helppo korjata. Korjaushan on jo
julkaistukin. Media sen sijaan suhtautuu asiaan siten, että se haluaa
tehdä asiasta kohun.
Median uutisointi vaikuttaa osittain jopa hyökkäykseltä avoimen
lähdekoodin ohjelmistoja vastaan. On jopa vihjattu, että bugi olisi FBI
ja/tai NSA:n maksama. Joten OSS ei olisi tuossakaan mielessä kaupallisia
toimijoita turvallisempaa.
Kyllähän totta puhuen OSS:n laadussa useissa tapauksessa olisi paljonkin
parantamisen varaa. Mutta onhan noita kriittisiäkin bugeja ollut myös
isoilla kaupallisilla toimijoillakin. Onkohan noista bugien
suhteellisista määristä olemassa täysin puolueettomia tilastoja.
Soditaanpa mediasta: Tuntuu että nykypäivänä mediasta saa hakemalla hakea
paikkansa pitävää uutista. Jos joku median nostamana asia kiinnostaa,
niin pitää kaivaa linkki, mielummin useampi ja katsoa itse mistä on
kysymys, sillä median antama kuva asiasta on vääristynyt, puutteellinen
ja lähinnä kohua nostattava elikkä pöyristelevä, päivitellään lähinnä
paikkansa pitämättömillä asioilla. Elikkä kyse on huhuista.

Me naureskellaan 1950-luvun ja sitä vanhemmankin ajan tietämättömyydelle
ja uskomuksille, parrakkaille naislle ja neekerijutuille, joita
kirjallisista lähteistä ja historiankirjoituksesta löytyy, mutta kunkahan
paljon naurua tämä nyt elämämme aika nostattaa tulevissa polvissa?
Ollaanko me muka jotenkin tietävämpiä kuin esivanhempamme, jotenkin
fiksumpia? Ehkä me _luullaan_ niin?
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Jouko Holopainen
2014-04-14 13:40:10 UTC
Permalink
Post by Reijo Korhonen
Linkki kertoo myös sen, että tietoturva-aukon tyyppi on mitä tyypillisin
ja se on erittäin helppo korjata. Korjaushan on jo julkaistukin. Media
sen sijaan suhtautuu asiaan siten, että se haluaa tehdä asiasta kohun.
Enpä ole valitettasti moista huomannut, mutta eikö se olisi jo aikakin?
Ties kuin moneen OSS tietoturvareikään media on suhtautunut täsmälleen
samalla välinpitämättömyydellä ja asenteella kuin ne koodarit itse:
"korjaushan on jo julkaistukin, kaikki siis hyvin".

Jos vihjaa huonosta koodista (monilla nettifoorumeilla OpenSSL on
haukuttu alimpaan helvettiin), dokumentaation puutteesta (missäs kuvaus
OpenSSL:n API:sta?), testien puutteesta (miten OpenSSL:ää on testattu?),
tyhmistä perusasetuksista (OpenSSL tukee SSL2:ta joka on rikki), vastaus
on aina sama: "tee itse paremmin, stnan luuseri, ja pidä turpa kiinni
siihen saakka!".

Mutta taidan olla vain stnan luuseri kun en ollut itse löytänyt ja
korjannu bugia aikaisemmin.
--
@jhol

www.iki.fi/jhol
Tapio Väättänen
2014-04-19 14:23:46 UTC
Permalink
Post by Jouko Holopainen
Post by Pertti Kosunen
Post by Jouko Holopainen
OpenSSL on avoimempi kuin kukaan arvasikaan - paitsi minä ... ja kaikki
muutkin ajattelevat ihmiset. Eli ei moni.
https://theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-
online-security-25536
Post by Pertti Kosunen
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat FBI:ltä
~15v sitten?
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
siihen kuka sai rahaa ja keneltä tai saiko ollenkaan ja keneltäkään.
FBI:tä en simmäisenä epäolisi, mutta sen sijaan NSA on ensimmäinen joka
kiistää ;-)
No nyt menee kyllä puurot ja vellit sekaisin, mikä paljastaakin yo. kommenttien
tason. OpenSSL:ää ei kehitä sama porukka kuin OpenSSH:ta ja OpenBSD:tä.
--
sip:***@tav.iki.fi http://tav.iki.fi

"OpenSSL is not developed by a responsible team." -- Theo de Raadt
Antti Talsta
2014-04-19 18:15:21 UTC
Permalink
Post by Tapio Väättänen
Post by Reijo Korhonen
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
siihen kuka sai rahaa ja keneltä tai saiko ollenkaan ja keneltäkään.
FBI:tä en simmäisenä epäolisi, mutta sen sijaan NSA on ensimmäinen
joka kiistää ;-)
No nyt menee kyllä puurot ja vellit sekaisin, mikä paljastaakin yo.
kommenttien tason. OpenSSL:ää ei kehitä sama porukka kuin OpenSSH:ta
ja OpenBSD:tä.
Tätä minäkin ajattelin mutten jaksanut alkaa tarkistaa. Sekaisinhan nämä
menee kun kaikki on jotain open :)
--
Antti Talsta
Tapio Väättänen
2014-04-20 01:20:42 UTC
Permalink
Post by Antti Talsta
Post by Tapio Väättänen
Post by Reijo Korhonen
Juuri tämä tietoturva-aukko taitaa kyseessä olla, mutta en ota kantaa
siihen kuka sai rahaa ja keneltä tai saiko ollenkaan ja keneltäkään.
FBI:tä en simmäisenä epäolisi, mutta sen sijaan NSA on ensimmäinen
joka kiistää ;-)
No nyt menee kyllä puurot ja vellit sekaisin, mikä paljastaakin yo.
kommenttien tason. OpenSSL:ää ei kehitä sama porukka kuin OpenSSH:ta
ja OpenBSD:tä.
Tätä minäkin ajattelin mutten jaksanut alkaa tarkistaa. Sekaisinhan nämä
menee kun kaikki on jotain open :)
No meneehän ne, itsekullakin, mutta epäilen vahvasti koko esitettyä NSA:n
lahjontaväitettä.

KÄytännössähän tämä tarkoittaisi, että Theo on vieraan vallan agentti (no
ehkä NSA on toiminut yhteistyössä CSECin kanssa). Epäilen kuitenkin
että NSA olisi hyötynyt juuri mitään OpenBSD:n aukoista, koska kysessä on
marginaalinen käyttis. OpenSSH:sta olisi hyöytynytkin, mutta ei tainnut
OpenBSD-tiimi tuolloin sitä vielä kehittävän, mutta ehkä se syntyikin
NSA:n ideasta.

Siinä taas olisi paljonkin järkeä ja ajoituskin täsmää täydellisesti.
--
sip:***@tav.iki.fi http://tav.iki.fi

"Microsoft innovate! Give me a fucking break." -- Larry Ellison
Tapio Väättänen
2014-04-20 01:26:21 UTC
Permalink
Post by Tapio Väättänen
Siinä taas olisi paljonkin järkeä ja ajoituskin täsmää täydellisesti.
Tarkennan nyt kuitenkin sen verran, että vaikka ajatus onkin herkullinen,
niin uskon vahvasti, että se olisi kaatunut koodin avoimuuten. Paljon
parempaan tulokseen olisi lopulta päätynyt lahjomalla Theon sijaan Tatu.

Se taas tarkoittaisi että Tatu on vieraan vallan agentti ja sorsat olisi
pitänyt sulkea jne...
--
sip:***@tav.iki.fi http://tav.iki.fi

"By the way, I was being sarcastic" -- Homer J. Simpson
Reijo Korhonen
2014-04-20 17:44:23 UTC
Permalink
Post by Tapio Väättänen
No meneehän ne, itsekullakin, mutta epäilen vahvasti koko esitettyä
NSA:n lahjontaväitettä.
Tarkennan sen verran, että tässä(kin) OpenSSL-tapauksessa taas NSA on
viime aikaisten tapahtumien valossa varmaankin se on ensimmäinen taho,
jolta asiaa ensin kysytään ja siten ensimmäinen joka sanoo, että sillä ei
ole mitään tekemistä asian kanssa ;-)

Mutta OpenSSL:n tietoturva-aukko itsessään on aika hyvin selitetty jo
keskustelun aloittavassa Jouko Holopaisen esittämässä linkissä <https://
theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-online-
security-25536>. Tässä tietoturva-aukossa ei ole mitään dramaattista tai
erikoista. Joten miksi levitellä salaliittoteorioita?
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Tapio Väättänen
2014-04-20 18:35:58 UTC
Permalink
Post by Reijo Korhonen
Post by Tapio Väättänen
No meneehän ne, itsekullakin, mutta epäilen vahvasti koko esitettyä
NSA:n lahjontaväitettä.
Tarkennan sen verran, että tässä(kin) OpenSSL-tapauksessa taas NSA on
viime aikaisten tapahtumien valossa varmaankin se on ensimmäinen taho,
jolta asiaa ensin kysytään ja siten ensimmäinen joka sanoo, että sillä ei
ole mitään tekemistä asian kanssa ;-)
Aivan. Kaikkien tulevien tietoturvaongelmien syyksi epäilleen NSA:ia.
NSA ikään kuin alleviivaa kaikki esitetyt teoriat todeksi kieltämällä
ne. Mulle tällaiset teoriat menee samaan kategoriaan kuin foldatun
$20 setelin ja 9/11 yhteys. Niin kuin ne tietysti menee 99.99% ihmisistä,
mutta aina löytyy se 0.01%
--
sip:***@tav.iki.fi http://tav.iki.fi

Vähän viiniä ja ruokaa ei vie meitä konkurssiin -- J.R. Ewing
Jouko Holopainen
2014-04-21 06:06:24 UTC
Permalink
Post by Tapio Väättänen
Post by Reijo Korhonen
Post by Tapio Väättänen
No meneehän ne, itsekullakin, mutta epäilen vahvasti koko esitettyä
NSA:n lahjontaväitettä.
Tarkennan sen verran, että tässä(kin) OpenSSL-tapauksessa taas NSA on
viime aikaisten tapahtumien valossa varmaankin se on ensimmäinen taho,
jolta asiaa ensin kysytään ja siten ensimmäinen joka sanoo, että sillä ei
ole mitään tekemistä asian kanssa ;-)
Aivan. Kaikkien tulevien tietoturvaongelmien syyksi epäilleen NSA:ia.
NSA ikään kuin alleviivaa kaikki esitetyt teoriat todeksi kieltämällä
ne. Mulle tällaiset teoriat menee samaan kategoriaan kuin foldatun
$20 setelin ja 9/11 yhteys. Niin kuin ne tietysti menee 99.99% ihmisistä,
mutta aina löytyy se 0.01%
Minusta parempi kysymys on, tiesikö NSA k.o. reiästä aikaisemmin. NSA
väittää ettei tiennyt, mutta niin se väittäisi vaikka olisi tiennyt.
Sanotaanko, että en olisi hämmästynyt jos tiesi.

Ja sitten se paras kysymys: kuinka monesta yhtä pahasta viesta NSA
tietää OpenSSL:lstä ja muista vastaavista ohjelmistoista? Jos NSA:n
tarkoitus olisi USA:n yksityishenkilöiden edun ajaminen, vastaus olisi
nolla - he olisivat korjanneet kaikki tietämänsä. Mutta kun ei ole, on
vastaus erittäin todennäköisesti huomattavan suuri luku, Snowdenkin
sanoi että "jos NSA haluaa sinun koneeseen, se pääsee. Piste."
--
@jhol

www.iki.fi/jhol
Tapio Väättänen
2014-04-21 16:02:45 UTC
Permalink
Post by Jouko Holopainen
Minusta parempi kysymys on, tiesikö NSA k.o. reiästä aikaisemmin. NSA
väittää ettei tiennyt, mutta niin se väittäisi vaikka olisi tiennyt.
Sanotaanko, että en olisi hämmästynyt jos tiesi.
En minäkään. Toisaalta, en välttämättä näe minkään tiedusteluorganisaation
velvollisuutena oletuksena tiedottaa havaitsemistaan rei'istä sen enempää kuin
pitäytyä niiden hyödyntämisestä. En niin ikään pidä realistisena sitäkään,
että nämä jälkikäteenkään tällaista tietoa julkisesti jakaisivat.
Post by Jouko Holopainen
Ja sitten se paras kysymys: kuinka monesta yhtä pahasta viesta NSA
tietää OpenSSL:lstä ja muista vastaavista ohjelmistoista? Jos NSA:n
tarkoitus olisi USA:n yksityishenkilöiden edun ajaminen, vastaus olisi
nolla - he olisivat korjanneet kaikki tietämänsä. Mutta kun ei ole, on
vastaus erittäin todennäköisesti huomattavan suuri luku, Snowdenkin
sanoi että "jos NSA haluaa sinun koneeseen, se pääsee. Piste."
Olen eri mieltä siitä, että tiedusteluorganisaation tehtävä olisi jakaa tietoa
havavaitsemistaan aukoista. Tämä ei liity mitenkään NSA:iin.
Tiedusteluorganisaation tehtävä on kerätä tietoa lakeja ja kansainvälisiä
sopimuksia noudattaen. Epäilen että tietoturva-aukosta kertomatta jättäminen
rikkoo kumpaakaan. Hyödyntäminen joissain tapauksissa varmasti rikkoo
molempia.
--
sip:***@tav.iki.fi http://tav.iki.fi

"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Jussi Hagman
2014-04-14 13:25:06 UTC
Permalink
Post by Pertti Kosunen
Post by Jouko Holopainen
OpenSSL on avoimempi kuin kukaan arvasikaan - paitsi minä ... ja
kaikki muutkin ajattelevat ihmiset. Eli ei moni.
https://theconversation.com/how-the-heartbleed-bug-reveals-a-flaw-in-online-security-25536
Onko tämä nyt se aukko josta Theo ja kumppanit keräsi isot rahat
FBI:ltä ~15v sitten?
Kuka Theo, ja mihin FBI-salaliittoon viittaat?
--
Jussi Hagman, jhagman ÄT infa.fi
Pertti Kosunen
2014-04-15 12:44:19 UTC
Permalink
Post by Jussi Hagman
Kuka Theo, ja mihin FBI-salaliittoon viittaat?
Muisti pätkii, ei se ollutkaan OpenSSL vaan OpenBSD:n IPSEC.
Loading...