Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
"Otázkou je, proč tak společnost činí"
Chtel jsem napsat, ze snad to byla jen recnicka otazka, ale dle posledni vety clanku skutecne predpokladam, ze byla, takze je to v poradku.
Hehe, uzavřený je i iOS, MAC a Windows, a to jsou NEJVĚTŠÍ díry na světě dle nezávislých statistik:
http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities...
Takže uzavřený=plný děr a plný fašistických NSA vrátek, o tom dnes už snad nikdo nepochybuje, proto Čína ani Rusko už nechtějí tyto americké výrobky, a nejvýkonnější superpočítač na světě dávno vyhodil Intel z okna.
S nejvýkonnějším superpočítačem je to trochu jinak. Číňani by si rádi koupili KNL pro upgrade aktuálně druhého nejvýkonnějšího superpočítače, jenže to nejde kvůli zákazu ze strany vlády USA. Ve výsledku tak tento zákaz akorát poškodil firmu Intel a podpořil rozvoj domácích technologíí v Číně.
Čína si může koupit Intel procesorů, kolik chce..... Jenže je to nebezpečné mít dnes americké procesory a operační systémy, to jim rovnou můžete posílat všechna svá data.
Nemůže - na procesory do superpočítačů jsou v USA potřebné vývozní licence a vláda USA před nějakou dobou tyto vývozní licence pro čínu přestala povolovat. Jasně, čína může nakoupit desktopových CPU kolik chce, ale ty jsou u superpočítačů celkem na nic.
áha, tak to jo, díky za upřesnění. Ale dobře, že tak, alespoň bude skutečná konkurence a nebudou tam mít hardwarové vrata NSA.
V případě, že by chtěli mít svá data pod kontrolu, stačí mít ten superpočítač odpojený od internetu. To zas tak velký problém není, zvláště pokud to chtějí použít pro něco jíného než modelování počasí.
Tak ten koment beru jako vtip :) Od internetu to nebude nikdy odpojený, přecijen by se správa tisíců uživatelů po celém světě nezdála moc optimální bez alespoň základního přístupu (netýká se jen tohoto super PC). A s NSA hardware zadními vrátky v Intelu či AMD moho všechno, využít jakékoliv připojení.
jen pro upřesnění, s Intel procesory můžeš díky vrátkům NSA ovládnout na dálku i PC bez připojení. Stačí jakákoliv "rezonanční" část PC (což je skoro vše) a může se na dálku díky elektromagnetickým vlnám připojit k jakémukoliv routeru, který je v dosahu
Koukam, ze jsi nikdy neladil antenu. Je pravda, ze v PC je spousta casti ktera vysila elektromagneticke vlneni, ktere by se dalo modulovat, ale na chyceni techto vln potrebujes specialni antenu, nechytis to na beznem routeru.
Ono počet najitych der jde krok s krokem používaných zařízení. Čím víc se používá, tak tím víc lidi budou hledat díry. Jinak docela vtipný, ze Ubuntu ma podle těchto statistik víc der jak desktopovy Windows. U Ubuntu bude většina chyb co ma debian. A debian pro změnu bude mít chyby z kernelu a OpenSSL.
Jestli ono to nebude zase to tradiční míchání jablek s hruškama - vezmu základní instalaci windows, instalaci linuxu se všemi možnými balíky, porovnám počet děr a pak zjistím, jak je na tom linux hrozně špatně. Jenže už taktně zamlčím, že to je nesrovnatelné množství programů, a taky o jak moc nebezpečné chyby se kde jedná.
No vzhledem k tomu, že ie má 231 chyb a windows 150, tak se bude jednat o základní systém jak u windows, tak u ubuntu.
Windows 10 má jen 53 chyb, což je o 1/3 méně než má samotný linux kernel ;)
53 o ktorych vies ze existujuju. Tych dalsich 10 000 o ktorych nevies lebo sa nejedna o otvoreny soft ti uz nikto nepovie.
Jablka a hrušky
Za letošek zatím:
Windows 10: 87 chyb
https://www.cvedetails.com/product/32238/Microsoft-Windows-10.html?vendo...
Linux: 132 chyb
https://www.cvedetails.com/vendor/33/Linux.html
Linux má z těch 132 chyb 74 DoS a to proto, že lze bez okolků použít jako serverový systém narozdíl od desítek. Tedy zbylé chyby - 58 na straně Linuxu a 84 na straně w10 jsou ty, které mohou ohrozit uživatele co používá železo jako klient.
No tak jsem se podíval na jednu stránku (https://www.cvedetails.com/vulnerability-list/vendor_id-33/opov-1/Linux....) overflow chyb, a schválně, co má největší skóre? Bug ve Flashi a nějaký sajrajt v mobilním Quallcomu... Tak je otázka, kde jsou ty chyby vlastně koncentrované.
Taky jsem se snažil zdůraznit to, že používat souhrn všech chyb bez ohledu na jejich strukturu, je zavádějící.
delete, duplicita
Jo, Ubuntu je pěkná díra. Ale zdá se, že abolutně nejlepší je Android, který je otevřený, dále je nejrozšířenější OS na světě a Google ještě vysoko platí za nalezení chyb. Takže když to vše dáme do kupy, zdá se Android jako nejbezpečnější systém na světě.
Kdyby všechny systémy měly takové rozíšření, otevřenost a odměny, jako má Android, tak by Windows a Apple systémy (včetně Ubuntu) měly snad 10000 chyb každý měsíc.
Mě 130 chyb nepříjde málo, obvzlášť když se furt zaměřuje na desktopové OS, které jsou pro získání udájů (platební karta, jméno heslo ebankingu, paypal účet...) furt víc důležité, kdesi jsem četl že 3/5 útoků jde na windows a zbylé 2/5 má android, apple, linux...
ty stále nechápeš, že na Androidu se díky otevřenosti a placenými hackery pravděpodobně nezávisle několikrát najde a opraví, kdežto na MAC, iOS, Windows budou díry desetiletí, nebo přínejmenším mnohokrát více děr.
Diery samotne nie su problemom. Nic nie je uplne dokonale, ani software ani hardware, vsetko ma nejaky bugy. Skutocnym problemom je zneuzivanie tychto bugov a ich cielene vyhladavanie za ucelom zneuzitia - nie opravy. Hackerom vyhovuje ze su tam bugy o ktorych vedia len oni a nikto dalsi.
Nie je problem ked ma soft bug, ktory sa bezne neprejavuje a nebrani v pouzivani aplikacie a prejavi sa len vo velmi specialnych pripadoch. Problem je ked o tychto specialnych pripadoch vedia len hackeri, ktori ich zneuziju.
V tomto pripade mi pride bezpecnejsia diera vo windowse, o ktorej nikto netusi (a je realne tazsie sa k nej dopatrat) ako diera v androide, ktora je pomocou zdrojakov ovela lahsie najditelna.
V tomto pripade je cesta k najdeniu a zneuzitiu diery ovela lahsia.
A ku oprave takejto diery dojde zvacsa len po realnom utoku.
(duplicitní komentář)
Ano, a preto americka armada pouziva Windows XP a Windows 10.
Samozřejmě, když je USA vláda největším klientem Microsoftu. Windows = USA požadavky, takže v tom nevidím problém, zadní vrátka sami pro sebe.
Armadne systemy maju byt hlavne odolne voci cudzim prienikom. Je celkom logicke, ze na vlastnych systemoch si nechaju zadne vratka pre pripad potreby.
Aha, takže de facto ukázkový příklad bezpečnosti skrze utajení :( a každému, kdo o tom něco ví, je jasné, že to je jen zdánlivá bezpečnost, ve skutečnosti je to právě naopak, tj. Intel jenom mlží. Taková škoda, jinak mám produkty Intelu celkem rád.
Život nás dávno naučil, že bezpečnost na otevřenosti či uzavřenosti kódu nezávisí - děravé jak řešeto je naprosto všechno. A jak si tak matně vzpomínám, v otevřeném kódu, který se přímo týká bezpečnosti, se vyskytují díry i po dobu dvanácti let...
Chyby můžou být tam i tam, o tom žádná. Ale u otevřeného kódu aspoň existuje možnost, že tam tu chybu někdo najde a opraví (a to nezávisle na aktivitě nebo vůli původního autora). U uzavřeného kódu jsi vydán napospas libovůli jeho tvůrce a jeho (ne)snaze s tím něco dělat.
omyl, otevřené systémy = vyšší pravděpodobnost nalezení děr
uzavřené systémy = díry desítky let, které NSA bude mít už navždy (Apple, Microsoft)
Naivni predstava a ne malo :-) . Kolik chyb si nasel a opravil ?
Irelevantní. Řekněme, že programování vůbec nerozumí, ale to přeci nesnižuje možnost nahlédnout a připomínkovat zdroj kódu někým jiným, kdo to umí. A co víc, jsou firmy, které přímo vybízejí ke hledání chyb v jejich kódu a odměňují nálezce.
Problem je v tom kto tie chyby skutocne hlada. Su to hlavne hackeri a smirovaci, ktori sa ich snazia vyuzit / zneuzit alebo predat. Normalny vyvojar vacsinou nehlada chyby ked veci funguju. Pri normalnom vyvoji sa na chyby prichadza viac-menej len nahodou ked veci nefunguju ako maju. Kym vsetko klape tak sa v tom nikto nehrabe.
V tomto pripade sa mi zda, ze uzavrety kod je bezpecnejsi, lebo hrabat sa v binarkach a cielene hladat chyby je daleko komplikovanejsie.
v Google systémech je hledá skoro každý, dostávají dobře zaplaceno ;)
Apple a Microsoft chyby raději tají, dokonce se i soudí, když je někdo zveřejní
No chcel by som vidiet toho "skoro kazdeho". Su to len specializovany ludia / skupiny ktori sa tomu venuju. Drviva vacsina "normalnych" vyvojarov / programatorov to neriesi. Prave preto je mozne ze tam hniju aj 20 rocne kriticke bugy o ktore doteraz nikto nezakopol a prislo sa na ne az po ich zneuziti.
Přeložíte mi někdo, prosím, poslední větu z Intelova vyjádření? Já ji nerozumím a David Ježek ji jaksi vynechal.
"In the case of the Intel Management Engine, there are mechanisms in place to address vulnerabilities should the need arise."
V prípade IME, máme postupy na venovanie sa zraniteľnostiam, ak sa takáto potreba objaví.
Inými slovami - IME nie je ROM, ale programovateľná funkcionalita, upraviteľná inštaláciou aktualizácie.
díky moc
Samozřejmě... fakt, že Intel spolkl Transmetu i s jejím Crusoe a už jsme o něm nikdy neslyšeli, mluví sám za sebe (je k tomu ovšem potřeba vědět, že Wikipedia jej nepopisuje dost přesně - Crusoe nebyl x86 kompatibilní procesor, nicméně procesor naprosto unikátní ve svém návrhu - měl plně upgradovatelnou instrukční sadu, což umožňovalo - a nepochybně dále umožňuje - vykonávat v jednu chvíli např. zmíněné x86 instrukce, v jinou chvíli (po změně sady) třeba MIPS instrukce, atd atd. Uměl všechny, i Java bytecode).
Otevřený kód má hlavně tu výhodu, že i když fakticky neobsahuje programovou chybu, všichni mají možnost se podívat co dělá. Nejde zde jen o to, jestli má bezpečnostní díry, ale také o to, jestli tyto "díry" nejsou přímo naprogramovány. Nemusí jít přitom přímo o bezpečnostní díry. Typickým příkladem je odesílání telemetrických dat. Když je kód uzavřen, nikdo neví co všechno se posílá. U otevřeného kódu může kdokoliv zjistit, že je například odesílán jen počet kliknutí myši za den a následně se rozhodnout, zda je pro něj používaní takového programu přijatelné...
Přístup firem jako M$, Intel, Apple a dalších je nepochopitelný. Mají uzavřený kód s tvrzením "Uzavřený = bezpečný" a přitom je už desítky let patrné z praxe, že to není pravda. "Hackeři" vždy najdou nějaké ty chyby, jen jim to trvá déle. Naopak, aplikace s otevřeným kódem mají chyb výrazně méně (ne, že by neměli žádné), protože umožňují snadnější revizi kódu "třetí" stranou.
Toto je jedna z iluzii o otvorenom softveri.
Nemam nic proti open source ale treba si uvedomit, ze tento model ma svoje vyhody ale aj nevyhody (ktore niektori ludia s ruzovymi okuliarmi nechcu vidiet).
Ne-IT uzivatelia, ktorych je vacsina, sa do kodu nepozeraju.
Programator, ktory pracuje na nejakom projekte, ma svoj casovy budget a musi sa venovat svojmu projektu, za ktory je plateny. Otvorene kniznice, ktore pouziva, zvacsa neprezera na urovni zdrojakov. Ak nahodou kniznica nefunguje tak sa nahradi inou alternativou alebo sa urobi work-around na urovni vstupov alebo vystupov.
Neprogramatori si to zrejme neuvedomuju, ale dostat sa do kodu a porozumiet mu do takej hlbky aby sa dalo povedat, ze co je dobre a co zle, je znacne zlozite aj pri mensich projektoch/knizniciach, nieto este pri niecom velkom. Na toto vacsinou vyvojari nemaju cas. Bugy proste niesu len tak viditelne, ze "aha tu som - oprav ma". Ty sikovnejsi programatori sa aspon posnazia debugovat kod, najst chybu a poslat info spravcom projektu, ale toto je minoritny pripad.
Dalsia vec, ktoru si open-source fandovia neuvedomuju, je, ze aj ked maju moznost vidiet zdrojaky, vacsina softwaru je distribuovana v binarnej forme (aj linux instalacky a balicky). Este stale nie je zarucene, ze image vasej oblubenej distribucie je na 100% buildovany z tych zdrojakov, ktore vidite. NSA a spol moze mat kludne podchytene popularne distra a patchovat zdrojaky, ktore idu do finalneho buildu, ktory si potom ludia stahuju.
Nejdřív jsem chtěl dát mínus, ale po dočtení až do konce musím chtě nechtě souhlasit, hlavně s tím posledním odstavcem. Takto jsem již také byl nucen přemýšlel, zejména potom co se mi stalo, že u jedné velké distribuce linuxu začal po nainstalování a vždy po použití balíku nfs-utils (tzn. při připojení přes NFS) probíhat z daného stroje ARP útok. Balíček (RPM) byl přitom z instalačního DVD oné distribuce, a choval se tak v obou binárních verzích (jak 32bit, tak 64bit).
Odjakživa platilo, že převážná část opensource zdrojových kódů je psaná IT profíky v jejich volném čase, nebo na univerzitní půdě v rámci vědeckých projektů. Ta první skupina to měla jako takový relax, ta druhá jako důvod k vyplacení grantu.
Porozumět cizíku zdrojáku je těžké, pokud k němu přistoupím poprv0. Při delším rýpání se v kódu je situace zcela jiná. Opět ti co přispívají do opensource to nedělají nahodile. Mají to jako hobby.
Např. Gentoo má Portage, na Archu to lze taky provozovat podobně - stahování zdrojáků místo binárek a jejich následná kompilace. Nebo lze stáhnout zdrojáky z GIT a zkompilovat a v závisloti na licenci se zachovat správně.
Pokud by distro mělo pozměněné zdrojáky u GPL/LGPL součástí a nebylo to publikované, je to porušení licence a na žalobu. To by se profláklo celkem rychle.
Stahovanie zdrojakov a kompilacia u seba (napr. Gentoo) je, co sa tyka doveryhodnosti, ekvivalentne stahovaniu binarok. Tie zdrojaky, ktore potaha instalacka si ty osobne nekontrolujes, takisto sa nemusia zhodovat s oficialnymi zdrojakmi. Su chvilu na disku, projekt sa skompiluje a zdrojaky sa zmazu.
Skutocnu doveryhodnost by do toho mohla vniest nejaka autorita typu Free Software Foundation, ktora by robila audit projektov / kniznic / jadra a digitalne by podpisovala schvalene zdrojaky. Tieto podpisane a overene zdrojaky by sa potom kompilovali u klienta v style gentoo (+ samozrejme by musel existovat aj schvaleny toolchain na buildovanie).
Ale neviem si predstavit aky velky aparat a aky vysoky budget by na takuto cinnost bol potrebny.
Celkom zaujimava iniciativa je v Debiane - ReproducibleBuilds (https://wiki.debian.org/ReproducibleBuilds).
Doveryhodnost v dnesnom svete klamstiev je velmi vzacna a tazko dosiahnutelna vec. Open source je len iluzia doveryhodnosti. Stale tu chybaju mechanizmy ktore ju skutocne zarucuju.
Portage lze nastavit tak, aby se zdrojáky nemazaly. Na Gentoo jsem fungoval cca dva roky.
"Ne-IT uzivatelia, ktorych je vacsina, sa do kodu nepozeraju."
Ale třeba zákony o svobodě informací taky nejsou neužitečné a nepotřebné jenom proto, že zrovna Vy jste nikdy žádnou žádost o informace na žádný úřad neposlal.
Pokud jste dostatečně velká/vlivná společnost, musíte přistoupit na určitá pravidla hry. Dostat se do PC na pokud možno co nejnižší úrovni je naprosto ideální a toho si není vědoma jen NSA. To že tam Intel něco má, o tom nepochybuji ani na moment, proto Intel nikdy karty ukázat nemůže. Je úsměvné jak se řeší děravost různých systémů Lunix, Windows etc. ale to je až druhá, třetí liga. Pokud si někdo myslí, že existuje svobodné podnikání, svobodný tisk, svoboda projevu, je blázen. (samozřejmě existuje, ale v určitém měřítku a do určitého levelu) Pokud chcete mít svá data v bezpečí, nesmíte pc připojit k Internetu, tak jednoduché to je. Co je připojeno, je všech a může být použito proti Vám, tak to člověk musí brát.
Samozrejme ze existuje svobodné podnikání, svobodný tisk a svoboda projevu. Protoze NSA sice sbira vsechny mozna data ale nezvlada je analyzovat. Jak je videt na pripadech teroristickych utoku o kterych prokazatelne vedeli.
Asi máme každý jiný názor na to, co to je svoboda. Na druhou stranu, pokud takto smýšlíte, určitě máte pohodovější život ;)
Myslím, že kromě pár hlavounů v NSA/vládě, nikdo nemůže vědět co NSA zvládá a nezvládá, krom toho je jen jedna z mnoha, i když aby to nebylo úplně OT, konkrétně v případě Intelu klíčová.
No nevim, me predstava, ze svoboda existuje jen proto, ze NSA nezvlada vyuzivat vsechny moznosti co ma, zrovna optimisticka nepripada.
Uzavřený = bezpečný
Tak to tvrdí aj Microsoft a je to s Windows čoraz horšie.
Zacinam verit ze cely to ME je jenom dira pro NSA. Mame zde jeden stroj (intel X58 based), na kterem vyvijime vlastni PCIe kartu. A ono chodi "tajne" pakety s "nahodnymi" daty zrovna kdyz mackate klavesy - a to specialnim broadcastem, do vsech PCIe zarizeni. Ono pak tam staci mit o neco chytrejsi sitovku.. a vase texty si uz treba cte nekdo jiny.
Tak šup šup, zeptat se výrobce. ;) Mě by to totiž taky docela zajímalo.
Tajne a nahodne?:o) A jsou to skutecne pakety? Neni to jen nejaka interference? AMT musi podporovat chipset, deska, bios atd .... dira NSA, tomu jsem se tedy zasmal:)
Ano jsou to skutecne pakety, a podle hlavicek koncime v slepe ulicce jmenem Vendor defined.
Kdo neco o SW vi, tak vi, ze uzavreny SW je proste bezpecnejsi, jelikoz chyby se hledaji maximalne stylem pokus-omyl, pripadne dekompilaci. Vetsinu chyb v komercni SW najdou specializovane firmy a nikdy se nezneuzijou, kdezto u opensource se vetsinou najdou az jsou zneuzivane ... ono na tom vlastne neni nic zvlastniho.
Navic jde o, jak jsem pochopil, natvrdo vypaleny FW .... tak je asi vcelku jasne (stylem 1+1), ze intel kody nezverejni. Kdyby se nasla chyba, jak by to asi opravoval v CPU?:o) Svet PC je jeste v poradku, neovlada ho gugl ala lagroid, takze intel si nemuze dovolit pri bezpecnostnim problemu rict - hej, v klidu, kupte si novy pocitac jak to dela gugl u telefonu:o)
Abych to shrnul, kdyz je to vypalene do HW a neslo by to stejne opravit, tak je naprosto v poradku, ze kody nezverejnujou ... tecka. Kdo to nechape, zpatky do prvni tridy!
Offtopic: Vite o nejake rozumne PC desce/chipsetu, ktera by AMT podporovala? Vim, ze to maji drazsi business notebooky, ale tak hadam, ze budou i bezne desky, kdyz to spousta procesoru podporuje ne? Rozhoduju se mezi K a ne-K verzi i7-6700 .... kdyby byla deska s AMT, asi bych mozna vzal tu ne-K, protoze AMT je skvela vec. Ale bojim se, ze to budou mit jenom nejake superdrahe serverove desky, ktere AMT pouzivaji jako lacinou nahradu za ILO a podobne.
Chipset je pro skylake asi jen Q170 ... ale kde sehnat rozumnou desku, aby mela gen2 usb3.1 a podobne?
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.