mboost-dp1
unknown
Sikken en hukkommelse folk har - er der ikke nogen der kan huske at NSA lavede bagdøre til Windows 95.
Jeg skal ihvertfald ikke opgradere min kerne når NSA har lavet tricks med den.
Fanme flot af Linus at gå over til fjenden.
Jeg skal ihvertfald ikke opgradere min kerne når NSA har lavet tricks med den.
Fanme flot af Linus at gå over til fjenden.
1#
Lad nu være med at være så paranoid, ok ;)
Linus skal først se sourcekoden på hele lortet før han smider noget somhelst ind i Linux kernen.
Lad nu være med at være så paranoid, ok ;)
Linus skal først se sourcekoden på hele lortet før han smider noget somhelst ind i Linux kernen.
#1 lean
Sigh
Det er Linus og Co der maintainer kernen, NSA kan kun tilbyde koden.
Så er det op til maintainerne at afgøre hvad der er godt og skidt.
Og hvis du stadig er for paranoid, så er der tale om ting der kan slås til og fra som alt andet i kerne konfigurationen.
Har selv prøvet det.. ;)
Sigh
Det er Linus og Co der maintainer kernen, NSA kan kun tilbyde koden.
Så er det op til maintainerne at afgøre hvad der er godt og skidt.
Og hvis du stadig er for paranoid, så er der tale om ting der kan slås til og fra som alt andet i kerne konfigurationen.
Har selv prøvet det.. ;)
Open hva' for en fisk?
Dvs, at man ikke kan lave ondt software i Open Source verdenen.
Jamen, hvorfor er der så stadig folk der bruger closed source til noget som helst der har med sikkerhed at gøre?
Dvs, at man ikke kan lave ondt software i Open Source verdenen.
Jamen, hvorfor er der så stadig folk der bruger closed source til noget som helst der har med sikkerhed at gøre?
#5 lean
[Dvs, at man ikke kan lave ondt software i Open Source verdenen.]
Jo men chancen for at blive opdaget er overhængende.. ;)
[Jamen, hvorfor er der så stadig folk der bruger closed source til noget som helst der har med sikkerhed at gøre?]
Det gør steder som NSA jo så netop ikke.
Og jeg tror nu nok de ved hvad de laver.. ;)
Andre steder gør jo nok, men dem om det.
[Dvs, at man ikke kan lave ondt software i Open Source verdenen.]
Jo men chancen for at blive opdaget er overhængende.. ;)
[Jamen, hvorfor er der så stadig folk der bruger closed source til noget som helst der har med sikkerhed at gøre?]
Det gør steder som NSA jo så netop ikke.
Og jeg tror nu nok de ved hvad de laver.. ;)
Andre steder gør jo nok, men dem om det.
Koden til SELinux har været ude længe som en patch man selv skulle installere, så der har været god til at tjekke koden og Linus og Co har nok også kigge rimmeligt meget på den inden de inkludered den i kernen ;-)
SELinux-koden ER allerede blevet tjekket igennem.. den har været tilgængelig i snart et par år.
Jeg synes det er fornuftigt. Nu kan man jo sige at ens computer er delvist godkendt af NSA :)
hmm.. jeg har ikke engang set den her nyhed på slashdot..
Jeg synes det er fornuftigt. Nu kan man jo sige at ens computer er delvist godkendt af NSA :)
hmm.. jeg har ikke engang set den her nyhed på slashdot..
#1 - Troll alert !!
Der er jo ikke tale om et binær modul AFAIK, derfor er du og andre jo frie til at læse og ændre kildekoden. Og hvis det nu var et binært modul, så var det nok ikke blevet inkluderet i standard kernen - tænk bare på de support problemer det kunne give, lige ligesom nvidia's driver giver - mange kerne udviklere tager simpelthen ikke fejl rapporter hvis TAINT flaget er sat.
Der er jo ikke tale om et binær modul AFAIK, derfor er du og andre jo frie til at læse og ændre kildekoden. Og hvis det nu var et binært modul, så var det nok ikke blevet inkluderet i standard kernen - tænk bare på de support problemer det kunne give, lige ligesom nvidia's driver giver - mange kerne udviklere tager simpelthen ikke fejl rapporter hvis TAINT flaget er sat.
#15:
Hvem går ud fra at et produkt er sikkert, bare fordi man har sourcen? Jeg kan ikke finde nogen - vores argument er at det generelt er SIKRERE end når du ikke har sourcen!
Det lyder snarere som om du lige havde en anti-OSS agenda du lige ville fremhæve - det er også fint med mig, men vil du ikke gerne give argumenter for fremtiden?
Og du må gerne uddybe:
at Linus så har krav til de patches han får er en helt anden sag
Det glæder jeg da meget til at høre argumenter for...
Hvem går ud fra at et produkt er sikkert, bare fordi man har sourcen? Jeg kan ikke finde nogen - vores argument er at det generelt er SIKRERE end når du ikke har sourcen!
Det lyder snarere som om du lige havde en anti-OSS agenda du lige ville fremhæve - det er også fint med mig, men vil du ikke gerne give argumenter for fremtiden?
Og du må gerne uddybe:
at Linus så har krav til de patches han får er en helt anden sag
Det glæder jeg da meget til at høre argumenter for...
#15 programmer er ikke nødvedigvis sikker bare fodi man har koden, men det er temmelig svært at list fx bagdøre ind i programmerne, derud over er der temmelig mange som vil være pave stolt over at kunne finde et sikkehedshul i Linux kernen, til at de vil sige hvad fejlen er og hvordan man retter den, så de kan blive "kendte"
#17 - "Hvem går ud fra at et produkt er sikkert, bare fordi man har sourcen?" Hvad med Skidrow i sin signatur?
"vores argument er at det generelt er SIKRERE end når du ikke har sourcen!"
Hvorfor? hvis man har et program med 500 linjers kode der gør noget godt, og vil skjule at man gøre slemme ting i én linje, så er det jo ikke særligt svært at gøre den linje obskur. Og resten er jo iorden, så mon ikke også den er? NOGEN vil måske tænke sådan.
"Det lyder snarere som om du lige havde en anti-OSS agenda du lige ville fremhæve"
Jeg kører Debian GNU/Linux, og jeg har det FINT med OSS. Jeg stoler bare ikke meget mere på det end på lukket software.
"at Linus så har krav til de patches han får er en helt anden sag" vs. "jeg ville anbefale dig at sætte dig lidt ind i Linus' krav til patches"...
"vores argument er at det generelt er SIKRERE end når du ikke har sourcen!"
Hvorfor? hvis man har et program med 500 linjers kode der gør noget godt, og vil skjule at man gøre slemme ting i én linje, så er det jo ikke særligt svært at gøre den linje obskur. Og resten er jo iorden, så mon ikke også den er? NOGEN vil måske tænke sådan.
"Det lyder snarere som om du lige havde en anti-OSS agenda du lige ville fremhæve"
Jeg kører Debian GNU/Linux, og jeg har det FINT med OSS. Jeg stoler bare ikke meget mere på det end på lukket software.
"at Linus så har krav til de patches han får er en helt anden sag" vs. "jeg ville anbefale dig at sætte dig lidt ind i Linus' krav til patches"...
#19 annoia
[#17 - "Hvem går ud fra at et produkt er sikkert, bare fordi man har sourcen?" Hvad med Skidrow i sin signatur?]
Uhhhmm
Står nu ved min signatur.
Det OS jeg kører bliver løbende checke i alle leder og kanter af nysgerrige nørder, mainternere, folk der lige skal tilføje eller rette noget og andre hackere.. ;)
Den tryghed finder jeg ingen andre steder.
["vores argument er at det generelt er SIKRERE end når du ikke har sourcen!"
Hvorfor? hvis man har et program med 500 linjers kode der gør noget godt, og vil skjule at man gøre slemme ting i én linje, så er det jo ikke særligt svært at gøre den linje obskur. Og resten er jo iorden, så mon ikke også den er? NOGEN vil måske tænke sådan.]
Teoretisk rigtigt med komponenter der ikke gennemgås af så mange.
Men de populære ting vil jeg vove den påstand at det er tætved umuligt.
["Det lyder snarere som om du lige havde en anti-OSS agenda du lige ville fremhæve"
Jeg kører Debian GNU/Linux, og jeg har det FINT med OSS. Jeg stoler bare ikke meget mere på det end på lukket software.]
Det faktum at du selv bruger GNU/Linux gør kun din udmelding endnu mere underlig.
Men det må du jo om.
[#17 - "Hvem går ud fra at et produkt er sikkert, bare fordi man har sourcen?" Hvad med Skidrow i sin signatur?]
Uhhhmm
Står nu ved min signatur.
Det OS jeg kører bliver løbende checke i alle leder og kanter af nysgerrige nørder, mainternere, folk der lige skal tilføje eller rette noget og andre hackere.. ;)
Den tryghed finder jeg ingen andre steder.
["vores argument er at det generelt er SIKRERE end når du ikke har sourcen!"
Hvorfor? hvis man har et program med 500 linjers kode der gør noget godt, og vil skjule at man gøre slemme ting i én linje, så er det jo ikke særligt svært at gøre den linje obskur. Og resten er jo iorden, så mon ikke også den er? NOGEN vil måske tænke sådan.]
Teoretisk rigtigt med komponenter der ikke gennemgås af så mange.
Men de populære ting vil jeg vove den påstand at det er tætved umuligt.
["Det lyder snarere som om du lige havde en anti-OSS agenda du lige ville fremhæve"
Jeg kører Debian GNU/Linux, og jeg har det FINT med OSS. Jeg stoler bare ikke meget mere på det end på lukket software.]
Det faktum at du selv bruger GNU/Linux gør kun din udmelding endnu mere underlig.
Men det må du jo om.
#19:
Nu har jeg signaturer slået fra... Så du bliver nødt til at skrive den... :)
Og sagen er at en patch med obfuscated kode ALDRIG ville få lov til at havne i et stykke OSS...
Men du er da velkommen til at finde obfuscated kode i kernelen, apache osv...
Så jo, teknisk er det da muligt at putte obfuscated kode i OSS, men det sker bare ikke i praksis...
Og nu foretrækker jeg at diskutere praksis fremfor teori! :)
Nu har jeg signaturer slået fra... Så du bliver nødt til at skrive den... :)
Og sagen er at en patch med obfuscated kode ALDRIG ville få lov til at havne i et stykke OSS...
Men du er da velkommen til at finde obfuscated kode i kernelen, apache osv...
Så jo, teknisk er det da muligt at putte obfuscated kode i OSS, men det sker bare ikke i praksis...
Og nu foretrækker jeg at diskutere praksis fremfor teori! :)
Okay, du kan gemme slemme ting i koden - held og lykke, der sidder mange mennesker derude som læser din kode, og eftersom der er regler for hvordan koden skal se ud er det nemt at læse. Dette afhjælper også "Obfuscated C" syndromet. Og hvis der opdages en bagdør i din kode, hvor mange tror du lige der vil stole på dig for eftertiden?
#19
Hvad er det du vil frem til? Prøv at kigge lidt på det i praksis.
A:
Hvor stor er chancen for at obskur kode vil blive accepteret?
B:
Hvordan vil du få en backdoor ind? Det er IKKE nemt at gøre uden det bliver opdaget, desuden er det temmeligt nemt at se forskel på hvad formålet med en kode er. F.ex. er det meget sjældent at kernen åbner et netværks socket, og det er altså et fint tegn på der er noget galt.
C:
Jeg kører med den kode der her omtales, og det gør mange andre også. Den er testet i praksis og jeg har kørt netstat et par gange, og nej jeg kan ikke se nogle underlige services der lytter efter obskure ting.
D:
Hvilke interesser har NSA i at gøre Linux usikkert?
Hvad er det du vil frem til? Prøv at kigge lidt på det i praksis.
A:
Hvor stor er chancen for at obskur kode vil blive accepteret?
B:
Hvordan vil du få en backdoor ind? Det er IKKE nemt at gøre uden det bliver opdaget, desuden er det temmeligt nemt at se forskel på hvad formålet med en kode er. F.ex. er det meget sjældent at kernen åbner et netværks socket, og det er altså et fint tegn på der er noget galt.
C:
Jeg kører med den kode der her omtales, og det gør mange andre også. Den er testet i praksis og jeg har kørt netstat et par gange, og nej jeg kan ikke se nogle underlige services der lytter efter obskure ting.
D:
Hvilke interesser har NSA i at gøre Linux usikkert?
SmackedFly -
A, Ja, det kommer jo an på hvor ivrige de er efter at få lige den funktionalitet ind i kernen.
B, Når det drejer sig om sikkerhed kan man godt forvente at der vil ske underlige ting med porte. Jeg ved dog ikke lige hvad den specifikke patch gør.
C, Jeg vil gerne have mere sikkerhed end bare dét...
D, De vil formodentligt gerne have en bagdør, så de kan komme ind på de slemme terroristnørders computere. Der har jo tidligere været rygter om at de skulle have gjort netop dét i windows.
A, Ja, det kommer jo an på hvor ivrige de er efter at få lige den funktionalitet ind i kernen.
B, Når det drejer sig om sikkerhed kan man godt forvente at der vil ske underlige ting med porte. Jeg ved dog ikke lige hvad den specifikke patch gør.
C, Jeg vil gerne have mere sikkerhed end bare dét...
D, De vil formodentligt gerne have en bagdør, så de kan komme ind på de slemme terroristnørders computere. Der har jo tidligere været rygter om at de skulle have gjort netop dét i windows.
#25 annoia
[ A, Ja, det kommer jo an på hvor ivrige de er efter at få lige den funktionalitet ind i kernen. ]
Præcis hvor naiv skal man være for at tro at de folk der har skrevet Linux-kernen (som bruges i en meget stor del af servere og produktionsmiljøer rundt om i verden) ikke kan genkende en bagdør når de ser en?
[ B, Når det drejer sig om sikkerhed kan man godt forvente at der vil ske underlige ting med porte. Jeg ved dog ikke lige hvad den specifikke patch gør. ]
Nej! Kernen bør ikke oprette forbindelser til omverdenen på _noget_ tidspunkt. Ej heller bør den lytte efter forbindelser på nogen porte. Hvis den gør det, kan man med sikkerhed kalde det for en bagdør...
[ C, Jeg vil gerne have mere sikkerhed end bare dét... ]
...og det er præcis det du har fået med dette patch-set...
[ D, De vil formodentligt gerne have en bagdør, så de kan komme ind på de slemme terroristnørders computere. Der har jo tidligere været rygter om at de skulle have gjort netop dét i windows. ]
Hmm, ja, ærgerligt at Linux er open-source, hva'? Onde terroristnørder kan bare fjerne NSA's kode fra kernen hvis de ikke kan lide den...
- Simon
[Edit] Hey, Lovechild! Den samme som på Gentoo Forums? Ha, sjovt... [/Edit]
[ A, Ja, det kommer jo an på hvor ivrige de er efter at få lige den funktionalitet ind i kernen. ]
Præcis hvor naiv skal man være for at tro at de folk der har skrevet Linux-kernen (som bruges i en meget stor del af servere og produktionsmiljøer rundt om i verden) ikke kan genkende en bagdør når de ser en?
[ B, Når det drejer sig om sikkerhed kan man godt forvente at der vil ske underlige ting med porte. Jeg ved dog ikke lige hvad den specifikke patch gør. ]
Nej! Kernen bør ikke oprette forbindelser til omverdenen på _noget_ tidspunkt. Ej heller bør den lytte efter forbindelser på nogen porte. Hvis den gør det, kan man med sikkerhed kalde det for en bagdør...
[ C, Jeg vil gerne have mere sikkerhed end bare dét... ]
...og det er præcis det du har fået med dette patch-set...
[ D, De vil formodentligt gerne have en bagdør, så de kan komme ind på de slemme terroristnørders computere. Der har jo tidligere været rygter om at de skulle have gjort netop dét i windows. ]
Hmm, ja, ærgerligt at Linux er open-source, hva'? Onde terroristnørder kan bare fjerne NSA's kode fra kernen hvis de ikke kan lide den...
- Simon
[Edit] Hey, Lovechild! Den samme som på Gentoo Forums? Ha, sjovt... [/Edit]
#25
Lad nu være med at sætte propræitære tanker på udviklingsarbejdet, hele ideen med at det er Linus Torvalds og IKKE IBM eller redhat står i spidsen er at vi vil have gennemtænkte beslutninger og IKKE commercielt begrundede beslutninger. Men kig dog på mailinglisten hvis du er i tvivl, tro mig, OpenSource er ikke bare et navn, du kan se hvad folk mener på mailinglisten, også selvom du ikke fatter koden.
Kernen kan godt oprette forbindelser, bl.a. arbejdes der i øjeblikket på en kerne httpd server der skal sikre højere svartider, og den opretter direkte forbindelser. Men, det skal den her kode ikke.
Så kig dog selv, hvis du ikke har tillid til Linus Torvalds og resten af udviklerne samt IBM, Redhat, Mandrake osv, jamen så kig da endelig selv.
Det har jeg ikke hørt om, men det har de sikkert. Faktum er at hackere temmeligt let bare kan fjerne koden. Og så er det altså en underlig ide du har med at NSA åbenbart let kan få lusket kode der er så indviklet at der kan gemmes en trojan inde i den. Jeg kan love dig at alle patches over en vis størrelse bliver kigget i krogene for effektivitet.
Lad nu være med at sætte propræitære tanker på udviklingsarbejdet, hele ideen med at det er Linus Torvalds og IKKE IBM eller redhat står i spidsen er at vi vil have gennemtænkte beslutninger og IKKE commercielt begrundede beslutninger. Men kig dog på mailinglisten hvis du er i tvivl, tro mig, OpenSource er ikke bare et navn, du kan se hvad folk mener på mailinglisten, også selvom du ikke fatter koden.
Kernen kan godt oprette forbindelser, bl.a. arbejdes der i øjeblikket på en kerne httpd server der skal sikre højere svartider, og den opretter direkte forbindelser. Men, det skal den her kode ikke.
Så kig dog selv, hvis du ikke har tillid til Linus Torvalds og resten af udviklerne samt IBM, Redhat, Mandrake osv, jamen så kig da endelig selv.
Det har jeg ikke hørt om, men det har de sikkert. Faktum er at hackere temmeligt let bare kan fjerne koden. Og så er det altså en underlig ide du har med at NSA åbenbart let kan få lusket kode der er så indviklet at der kan gemmes en trojan inde i den. Jeg kan love dig at alle patches over en vis størrelse bliver kigget i krogene for effektivitet.
http://www.cs.umsl.edu/~sanjiv/sys_sec/security/ba...
Problemet med Open Source er jo netop at udviklerne kigger på koden. Derved bliver programmet ikke undersøgt ligeså grundigt på det binære niveau som med properitær software.
#25
Det du skal tælle er ikke hvor mange som arbejder på softwaren, men hvor mange bindeled der skal til før at du bruger softwaren.
Dvs, ham der har lavet Linus' compiler, Linus, din distributør kan alle være sikkerhedsbrister - hvis bare én har en sikkerhedsproblem kommer du som bruger til at sidde med det.
Især i store åbne systemer som Debian, kan der sagtens være et råddent æble blandt en pakker - og de compilede pakker bliver vel næppe tjecket grundigt.
Problemet med Open Source er jo netop at udviklerne kigger på koden. Derved bliver programmet ikke undersøgt ligeså grundigt på det binære niveau som med properitær software.
#25
Det du skal tælle er ikke hvor mange som arbejder på softwaren, men hvor mange bindeled der skal til før at du bruger softwaren.
Dvs, ham der har lavet Linus' compiler, Linus, din distributør kan alle være sikkerhedsbrister - hvis bare én har en sikkerhedsproblem kommer du som bruger til at sidde med det.
Især i store åbne systemer som Debian, kan der sagtens være et råddent æble blandt en pakker - og de compilede pakker bliver vel næppe tjecket grundigt.
#28
Tja, det tror jeg vist mere er en antagelse end noget der sker i praksis. Selvfølgelig lidt, men debian kører jo ikke med unstable for ingenting, det samme gælder for gentoo...Ting skal testes, og det bliver de også. Hvor meget bliver Microsoft's patches derimod testet? Ingen af os ved det...!(går jeg da udfra).
Hvilket software bliver forøvrigt bedst testet på det binære niveau før distribution i stable? Mozilla eller Internet Explorer? Hvad tror du?
Iøvrigt kan jeg ikke se hvad det har med emnet at gøre...
Tja, det tror jeg vist mere er en antagelse end noget der sker i praksis. Selvfølgelig lidt, men debian kører jo ikke med unstable for ingenting, det samme gælder for gentoo...Ting skal testes, og det bliver de også. Hvor meget bliver Microsoft's patches derimod testet? Ingen af os ved det...!(går jeg da udfra).
Hvilket software bliver forøvrigt bedst testet på det binære niveau før distribution i stable? Mozilla eller Internet Explorer? Hvad tror du?
Iøvrigt kan jeg ikke se hvad det har med emnet at gøre...
hmm jeg synes ikke rigtig der er nogen der spørger sig selv HVORFOR har NSA valgt at udvikle denne kode?
Jeg kunne godt tænkte mig at vide hvad der får NSA til at udvilkle denne kode. Hvad er deres mål med det? At sikre at deres egne linux baseret systemer kører optimalt? Kunne de netop ikke gøre det ved bare at patche deres egne systemer. Hvorfor gøres fjendens systemer mere sikre.
Jeg synes det er et lidt underligt træk fra en efterretningstjeneste. De gør ikke noget i den stil uden at det gavner dem selv.
Jeg kunne godt tænkte mig at vide hvad der får NSA til at udvilkle denne kode. Hvad er deres mål med det? At sikre at deres egne linux baseret systemer kører optimalt? Kunne de netop ikke gøre det ved bare at patche deres egne systemer. Hvorfor gøres fjendens systemer mere sikre.
Jeg synes det er et lidt underligt træk fra en efterretningstjeneste. De gør ikke noget i den stil uden at det gavner dem selv.
#23:
Det er jo ikke nogle formelle krav som sådan, men det fremgår tydeligt at han er rimelig striks hvis man læser lkml engang imellem...
(Og jeg synes at kunne huske at Jens Axboe læser her engang imellem - jeg kunne forestille mig at han har fået samme indtryk! ;D)
#25:
Obscured kode kommer ALDRIG i kernen...
Det er jo ikke nogle formelle krav som sådan, men det fremgår tydeligt at han er rimelig striks hvis man læser lkml engang imellem...
(Og jeg synes at kunne huske at Jens Axboe læser her engang imellem - jeg kunne forestille mig at han har fået samme indtryk! ;D)
#25:
Obscured kode kommer ALDRIG i kernen...
#33
[Jeg kan satme godt forstå lean's bekymring stadigvæk - NSA er fordækte!]
Tre ting:
1> De gav os ikke bare nogle mystiske binaries, men derimod komplet kildekode som har været gennemgået af folk masser af gange.
2> Det er evigheder siden de frigav det, og masser af folk har leget med det.
Tror mig - Der er blevet leget meget med den kode siden.
3> Det er ting der skal aktiveres, ellers er de ikke aktive.
[Jeg kan satme godt forstå lean's bekymring stadigvæk - NSA er fordækte!]
Tre ting:
1> De gav os ikke bare nogle mystiske binaries, men derimod komplet kildekode som har været gennemgået af folk masser af gange.
2> Det er evigheder siden de frigav det, og masser af folk har leget med det.
Tror mig - Der er blevet leget meget med den kode siden.
3> Det er ting der skal aktiveres, ellers er de ikke aktive.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund