Progovorio jedan od "krivaca" za Heartbleed

SSL je protokol a OpenSSL je jedna (slobodna i otvorena) implementacija. SSL a naslednika - TLS protokol. Pre mesec dana je otkrivena greška u još jednoj otvorenoj implementaciji (GnuTLS) koja je bila prilično zastupljena u UNIXolikim Operativnim sistemima i malo pre toga i u Apple OS X implementaciji. Razlika je samo ta što su te greške omogućavale nekome da se predstavi kao fejsbuk bez odgovarajućeg sertifikata (što bi zahtevalo da kontroliše neki mrežni čvor između vas i ostatka interneta (recimo vlasnik Wireless AP-a) ) a heartbleed omogućava nekome da dobije pristup podacima sa servera kojima ne bi smeo da ima pristup. Ove prethodne dve greške su obuhvatile znatno veći segment interneta ali su iz nekog razloga imale manjeg odjeka u mejnstrim medijima

"...nego su zaštićeni enkripcijom nazvanom SSL (Secure Sockets Layer)."

SSL je protokol za slanje enkriptovanih podataka, ali sam po sebi ne određuje koja će se enkripcija koristiti (AES, DES, 3DES itd.), dakle nije probijena enkripcija (to je mnogo teže uraditi i zahteva vreme i resurse), već je upravo zaobiđena zahvaljujući bagu u samom transportnom protokolu.

@balkanski špijun
Hajde objasni zašto je otvorenost koda mana? Ja otvoreni kod mogu pregledati, prepraviti, prilagoditi i kompajlirati kako meni odgovara. Znam šta je "unutra". Šta možemo znati o aplikacijama ili operativnim sistemima zatvorenog koda? Kako mogu da znam da ne šalje moje podatke nekome ili je ostavljen backdoor za nekoga?

ali epl je resio to apdejtom kako kazu fanovi. ha ha

@nemanja
Ponudi redakciji tehnopolisa da napišeš tekst o ovom problemu. Čini se da znaš o čemu pričaš.

@skeptik: Jedna od mana je ponekad (kao recimo sada) lažan osećaj sigurnosti koji ljudi imaju kada je u pitnju otvoren kod. Kod otvorenog koda mnogo veći broj ljudi ima mogućnost da izvrši reviziju ali niko nema tu obavezu. Kod zatvorenog koda neko (obično) bude plaćen da to uradi.

@darko: greška nije u protokolu, već u njegovoj implementaciji. Protokol je standard koji definiše kako nešto treba da funkcioniše a implementacija je biblioteka koju je napisao programer.

@dudule: to mi je struka. Možda im se javim ali imam dovoljno obaveza i bez toga

@Skeptik, Analiza zatvorenog koda se radi reversnim inzinjeringom. To sto nemas source te uopste ne sprecava da radis analizu bilo koje aplikacije. Sta vise, analiza kompajliranog koda je pouzdanija od source code analize jer se ne izvrsava source nego kompajlirani binary. Da li verujes svom kompajleru kad si vec skeptik? A kompajleru svog kompajlera?

Neko: U pravu si. Apple ne koristi OpenSSL. Oni su napisali svoju implementaciju za SSL i TLS. Mali problemčić: njihova implementacija je imala loše napisanu GOTO naredbu, 46 godina posle Dajsktrinog "GOTO considered harmful". Proguglaj malo, propust je otkriven pre 5 nedelja i posle čega je pečovan odnosno "epl je to rešio apdejtom", kao što je mikiv lepo primetio.

Pedja: iz istog razloga zašto advokati i doktori nekada rade "pro bono". Ima ljudi koji žele da doniraju svoje slobodno vreme i ekspertizu zarad nekog višeg cilja u koji veruju. Nekima to dobro izgleda u radnoj biografiji :)

@Pedja

Mogu i ja, a možeš i ti da menjaš kod, ali ne mozes da ga distribuiraš preko zvaničnog kanala. Kada načiniš izmenu, prijaviš bag, pošalješ zahtev za izmenu zvaničnog koda, oni koji su odgovorni za njega ga, posle potvrde i revizije, uvrste u zvaničan repozitorijum. Greške se dešavaju i na najmanjim i na najvećim projektima.

jedna od velikih mana, a ujedno i prednost(ali ne toliko velika) otvorenog koda je što je on otvoren

@Skeptik
Bas i nisi veliki skeptik kad mislis da svako od nekoliko milijardi korisnika interneta moze da udje i menja kod koji mu se ne svidja.

I zasto bih ja verovao programerima "otvorenog" koda da su dobronamerni?
Zato sto rade za dz ? Ajde, pa to je prvi razlog da ti ne verujem :-)

Cuj ne svidja se njemu kod i on ce da ga menja.
Evo neko usao i "opravio" ga samo tako :-))

Lepo je to, ali neka pohapse ostatak

@mikiv: Apple OS X kao i iOS ne koriste uopste OpenSSL implementaciju SSL protokola, te nisu ni ugrozene ovim problemom. OpenSSL je bio koriscen ranije.

jel moze neko da mi objasni sta znaci kad mi chrome prijavljuje "greska u SSL", ne mogu da pristupim chrome a ni dr browserima vec danima

@Neko
Plemenit primer ali ti advokati i kada rade "pro bono" odgovaraju za svoj rad i sudski sistem ne razlikuje njihov rad prema tome da li su placeni ili ne. Dakle ne mogu da prekrse zakon i njihov rad je na uvidu javnosti i strucne i manje strucne. Priznaces da programski kod niko ne vidi i ne zna se sta radi dok se nesto kao ovo ne otkrije.

@Boric
Daleko da sam protiv otvorenog koda. Ovde se radi o ugrozenosti obicnih ljudi koji ne mogu da sednu i promene kod i da ga koriste kako oni hoce. I jos ne znas koga da juris. Recimo skupe se Neko-vi advokati i hoce "pro bono" da tuze (class action) nekoga. Koga ?

Sve u svemu slobodnom kodu bi trebalo malo vise organizacije i odgovornosti za mnogo toga dobrog sto rade za sve nas.

@ply,

Proveri sistemsko vreme. Verovatno ti ptijavljuje gresku kako su ti sertifikati istekli. Promeni ga u sadasnje i sve ce najverovatnije biti OK.

jedna od velikih mana, a ujedno i prednost(ali ne toliko velika) otvorenog koda je što je on otvoren

Lepo je to, ali neka pohapse ostatak

@Skeptik
Bas i nisi veliki skeptik kad mislis da svako od nekoliko milijardi korisnika interneta moze da udje i menja kod koji mu se ne svidja.

I zasto bih ja verovao programerima "otvorenog" koda da su dobronamerni?
Zato sto rade za dz ? Ajde, pa to je prvi razlog da ti ne verujem :-)

Cuj ne svidja se njemu kod i on ce da ga menja.
Evo neko usao i "opravio" ga samo tako :-))

@mikiv: Apple OS X kao i iOS ne koriste uopste OpenSSL implementaciju SSL protokola, te nisu ni ugrozene ovim problemom. OpenSSL je bio koriscen ranije.

ali epl je resio to apdejtom kako kazu fanovi. ha ha

jel moze neko da mi objasni sta znaci kad mi chrome prijavljuje "greska u SSL", ne mogu da pristupim chrome a ni dr browserima vec danima

@nemanja
Ponudi redakciji tehnopolisa da napišeš tekst o ovom problemu. Čini se da znaš o čemu pričaš.

@balkanski špijun
Hajde objasni zašto je otvorenost koda mana? Ja otvoreni kod mogu pregledati, prepraviti, prilagoditi i kompajlirati kako meni odgovara. Znam šta je "unutra". Šta možemo znati o aplikacijama ili operativnim sistemima zatvorenog koda? Kako mogu da znam da ne šalje moje podatke nekome ili je ostavljen backdoor za nekoga?

@Neko
Plemenit primer ali ti advokati i kada rade "pro bono" odgovaraju za svoj rad i sudski sistem ne razlikuje njihov rad prema tome da li su placeni ili ne. Dakle ne mogu da prekrse zakon i njihov rad je na uvidu javnosti i strucne i manje strucne. Priznaces da programski kod niko ne vidi i ne zna se sta radi dok se nesto kao ovo ne otkrije.

@Boric
Daleko da sam protiv otvorenog koda. Ovde se radi o ugrozenosti obicnih ljudi koji ne mogu da sednu i promene kod i da ga koriste kako oni hoce. I jos ne znas koga da juris. Recimo skupe se Neko-vi advokati i hoce "pro bono" da tuze (class action) nekoga. Koga ?

Sve u svemu slobodnom kodu bi trebalo malo vise organizacije i odgovornosti za mnogo toga dobrog sto rade za sve nas.

SSL je protokol a OpenSSL je jedna (slobodna i otvorena) implementacija. SSL a naslednika - TLS protokol. Pre mesec dana je otkrivena greška u još jednoj otvorenoj implementaciji (GnuTLS) koja je bila prilično zastupljena u UNIXolikim Operativnim sistemima i malo pre toga i u Apple OS X implementaciji. Razlika je samo ta što su te greške omogućavale nekome da se predstavi kao fejsbuk bez odgovarajućeg sertifikata (što bi zahtevalo da kontroliše neki mrežni čvor između vas i ostatka interneta (recimo vlasnik Wireless AP-a) ) a heartbleed omogućava nekome da dobije pristup podacima sa servera kojima ne bi smeo da ima pristup. Ove prethodne dve greške su obuhvatile znatno veći segment interneta ali su iz nekog razloga imale manjeg odjeka u mejnstrim medijima

@Skeptik, Analiza zatvorenog koda se radi reversnim inzinjeringom. To sto nemas source te uopste ne sprecava da radis analizu bilo koje aplikacije. Sta vise, analiza kompajliranog koda je pouzdanija od source code analize jer se ne izvrsava source nego kompajlirani binary. Da li verujes svom kompajleru kad si vec skeptik? A kompajleru svog kompajlera?

@skeptik: Jedna od mana je ponekad (kao recimo sada) lažan osećaj sigurnosti koji ljudi imaju kada je u pitnju otvoren kod. Kod otvorenog koda mnogo veći broj ljudi ima mogućnost da izvrši reviziju ali niko nema tu obavezu. Kod zatvorenog koda neko (obično) bude plaćen da to uradi.

@darko: greška nije u protokolu, već u njegovoj implementaciji. Protokol je standard koji definiše kako nešto treba da funkcioniše a implementacija je biblioteka koju je napisao programer.

@dudule: to mi je struka. Možda im se javim ali imam dovoljno obaveza i bez toga

Neko: U pravu si. Apple ne koristi OpenSSL. Oni su napisali svoju implementaciju za SSL i TLS. Mali problemčić: njihova implementacija je imala loše napisanu GOTO naredbu, 46 godina posle Dajsktrinog "GOTO considered harmful". Proguglaj malo, propust je otkriven pre 5 nedelja i posle čega je pečovan odnosno "epl je to rešio apdejtom", kao što je mikiv lepo primetio.

Pedja: iz istog razloga zašto advokati i doktori nekada rade "pro bono". Ima ljudi koji žele da doniraju svoje slobodno vreme i ekspertizu zarad nekog višeg cilja u koji veruju. Nekima to dobro izgleda u radnoj biografiji :)

@Pedja

Mogu i ja, a možeš i ti da menjaš kod, ali ne mozes da ga distribuiraš preko zvaničnog kanala. Kada načiniš izmenu, prijaviš bag, pošalješ zahtev za izmenu zvaničnog koda, oni koji su odgovorni za njega ga, posle potvrde i revizije, uvrste u zvaničan repozitorijum. Greške se dešavaju i na najmanjim i na najvećim projektima.

"...nego su zaštićeni enkripcijom nazvanom SSL (Secure Sockets Layer)."

SSL je protokol za slanje enkriptovanih podataka, ali sam po sebi ne određuje koja će se enkripcija koristiti (AES, DES, 3DES itd.), dakle nije probijena enkripcija (to je mnogo teže uraditi i zahteva vreme i resurse), već je upravo zaobiđena zahvaljujući bagu u samom transportnom protokolu.

@ply,

Proveri sistemsko vreme. Verovatno ti ptijavljuje gresku kako su ti sertifikati istekli. Promeni ga u sadasnje i sve ce najverovatnije biti OK.