IT| Nauka| Obrazovanje| Tehnologija| Život

Duhovi iz prošlosti

/ 18.02.2015. u 17:29

Komentari: 68
Čitanost: 33715
/
Preporuke: 5284
/

Kada se nešto ne uradi kako treba na vreme ili u pravo vreme, onda dugovi dođu na naplatu pre ili kasnije, uz dodatnu cenu i moguću štetu. Propusti i greške, bilo da su svesno ili nesvesno učinjeni ranije, pojave se najčešće u nevreme kao svojevrsni duhovi iz prošlosti.

Tako je u raznim oblastima života, pa i u razvoju softvera. Problemi prouzrokovani greškama i propustima u starom programskom kodu, od kojih su neki sa vrlo ozbiljnim posledicama, iskrsavaju sve češće. U ovom tekstu navodim nekoliko primera koji su se pojavili prošle i ove godine. Nakon toga slede preporuke kako bi ubuduće mogli da se umanje ili izbegnu ovakvi problemi.

Jedan od nedavno otkrivenih propusta u softveru dobio je, na interesantan način, upravo ime GHOST ili, u prevodu, duh.

Trka u razvoju softvera se neverovatno ubrzava, sa ciljem da bi se što pre izašlo na tržište i uzeo svoj deo kolača, a to ima svoju cenu, često veoma veliku. U novije vreme (skoro) niko ne razvija stvari od početka, već se naslanja na postojeći kod i projekte. Nažalost, sigurnost kao deo razvojnog tj. celokupnog životnog ciklusa softvera nije ranije bila, a ni danas još uvek nije prepoznata kao značajan faktor u većini timova i tom problemu se ne pridaje potrebna pažnja.

Ne treba zanemariti i čestu pojavu da nivo svesti o problemima sigurnosti softvera nije razvijen generalno, a ponekad ni kod softverskih arhitekata, programera i ostalih učesnika u projektovanju, razvoju, testiranju i održavanju softvera.

Posledica je da propusti u starom kodu, kako otvorenom i slobodnom, tako i u komercijalnom i vlasničkom, koji često nisu adekvatno provereni, testirani i ispravljeni na vreme, dovode do sve ozbiljnijih problema, gubitaka i štete. Situacija u novije vreme je nešto bolja u smislu obučenosti i pažnje koja se posvećuje problemu sigurnosti, ali i dalje daleko od zadovoljavajućeg nivoa. Problema ovog tipa će biti sve više, između ostalog i zbog rasta ukupne količine i složenosti softverskog koda. U svojoj prognozi za 2015. godinu, Carl Leonard, Principal Security Analyst iz firme Websense kaže:
"Old source code is the new Trojan horse waiting to be exploited, and open-source code is only the beginning. With so much code written and in use, it's impossible to catch every dormant exposure point until they've been executed. Because of this, any time source code is altered or integrated as part of an application or service upgrade, these unknown systemic vulnerabilities have the potential to expose networks to attack."

Ovde ću navesti nekoliko primera poznatih sigurnosnih propusta koji su bili tema brojnih diskusija tokom protekle i početkom ove godine.

Napomena: Sasvim slučajno je ispalo da se, na listi u ovom tekstu, više problema odnosi na rešenja koja pripadaju grupi otvorenog kod (engl. open source). To ne znači da takvih problema ima manje u komercijalnom softveru, mnogi će reći - čak naprotiv. O tome se može voditi ozbiljna diskusija.

Takođe, u ovom tekstu se nisam bavio ranjivostima ili subverzivnim funkcijama u kodu namerno unesenim u kod. To je problematika koja je takođe interesantna i delimično se prepliće sa ovom.

GHOST

Firma Qualys je nedavno publikovala vesti o ranjivosti u Linux GNU C biblioteci (glibc). Uočeni nedostatak glibc biblioteke omogućava napadačima da daljinskim putem preuzmu kompletnu kontrolu nad Web serverom koristeći bag poznat pod imenom prekoračenje bafera (engl. buffer overflow) unutar glibc GetHOST funkcije. Odatle potiče i ime GHOST (duh). U početku je ovaj „duh" izgledao vrlo opasno, ali je kasnije firma Symantec objavila mišljenje koje je donekle umirujuće. Ipak, to je i dalje ozbiljan problem.

JasBug

Microsoft je nedavno izdao softverske „zakrpe" (engl. patch) da bi rešio 15 godina staru ranjivost u kodu, koja može biti iskorišćena od strane zlonamernih hakera kako bi se daljinskim putem preuzela kontrola na korisničkim računarima ili serverima koje rade na različitim verzijama Windows operativnih sistema. Radi se o fundamentalnom propustu u dizajnu funkcija operativnog sistema Windows, za koji je bilo potrebno 12 meseci da bude rešen. Ovaj problem postoji kod računara koji su konfigurisani da budu deo domena, dok kućni računari (koji nisu deo domena) ne bi trebali biti osetljivi na njega. Više o tome na stranicama sajta The Hacker News.

POODLE

Krajem septembra 2014. otkrivena je kritična ranjivost u SSLu verzije 3.0 koju je moguće iskoristiti za krađu poverljivih informacija, npr. lozinki i kolačića (engl. cookies) za pristup privatnim korisničkim računima na Internet stranicama. Ova ranjivost je dobila nazi POODLE ili pudla, a neki joj tepaju i pudlica.

Problem sa ovim propustom je što je SSL jedan od standarda za siguran prenos podataka, ali najpoznatiji i verovatno najviše korišten. Kolokvijalno se često koristi kao zajednički naziv za dva popularna standarda: stariji SSL i mlađi TLS. Masovno se koristi uz Web servise i faktički je neizostavan deo implementacije bilo kojeg e-commerce, SaaS i sličnih rešenja. Popularno rečeno: sve osetljive informacije danas putuju šifrovane po tom standardu, uključujući i mnoge privatne podatke i finansijske transakcije.

Problem SSL 3.0 protokola koji omogućuje POODLE napad je algoritamske prirode, tj. nije reč o loše programiranom delu softvera (što bi bilo relativno trivijalno ispraviti) već o propustu u samom algoritmu prenosa šifrovanih podataka.

Shellshock, Aftershock

Shellshock ranjivost poznata je i kao Bash Bug, rasprostranjena je na gotovo svim sistemima s Linux, Unix i MAC operativnim sustavima uključujuči i rutere, NAS uređaje i slično (svima koji koriste Bash i nisu „zakrpljeni" najnovijim „zakrpama" za Bash), a može napadaču omogućiti kontrolu nad ciljanim računarima. Ova ranjivost može potencijalno kompromitovati milione sistema.

Analiza istorije izvornog koda za Bash, pokazuje da je ova ranjivost prisutna u kodu od verzije 1.03 koja je puštena u septembru 1989. godine. Dakle, u kodu se nalazi već dobrih 25 godina.

Nakon otkrivanja Shellshock ranjivosti, usledile su vesti o ispravci tj. načinu rešavanja, a onda su se pojavile informacije o novim dodatnim ranjivostima koje su dobijale interesantna imena, kao što su Aftershock i slično.

Heartbleed

Biblioteka OpenSSL, koja ima široku primenu u obezbeđivanju mnogih sajtova uključujući i onih veoma osetljivih, našla se na udaru ranjivosti HeartBleed.

Ovo je ranjivost koja je prošlog leta (2014.) podigla na noge mnoge programere, sistem inženjere i druge IT profesije, ali nije ostala neprimećena ni od strane "običnih" korisnika računara. Mnogi su bili vro zabrinuti i to opravdano. Ranjivost je dobila i vrlo simpatičan logo i to je bio značajan element njene planetarne popularnosti.

Interesantno je da je propust unesen u kod 2011. godine od strane studenta na doktorskim studijama koji je bio zadužen za implementaciju HeartBleed ekstenzije za OpenSSL. On što je pomalo zabrinjavajuće, ali malo poznato široj pa i programerskoj javnosti je da su jedno od najčešće korišćenih otvorenih rešenja za SSL implementirala samo četiri programera! Tim koji bi trebao da pregleda i analizira kod, očigledno nije primetio bag u implementaciji. Tako nadograđena verzija 1.0.1. usvojena je za korišćenje u martu 2012. godine. Podrška za HeartBleed je omogućena standardno tj. by deafult, čime su verzije OpenSSL-a koje slede takođe ranjive. Opisani problem je otvoren od strane Google-ovog tima za sigurnost prvog aprila 2014.

CCS Injection Vulnerability

Ubrzo zatim, pojavila se i sledeća ranjivost CCS injekcija. Masashi Kikuchi je pisao na svom blogu o načinu otkrivanja CCS injekcije:
"Glavni razlog neotkrivanja greške više od 16 godina leži u nedovoljnoj analizi koda, posebno od strane stručnjaka koji su imali iskustvo u SSL/TLS implementaciji. Ako su već ljudi zaduženi za pregled koda imali dovoljno iskustva, trebali su ispitati kod OpenSSLa na isti način kao što ispituju svoj kod. Oni su mogli da detektuju problem."

Šta je ustvari CCS Injection ranjivost? OpenSSL u nekim verzijama nepravilno ograničava obradu ChangeCipherSpec poruka, što dozvoljava napadaču tipa „čovek u sredini" (engl. man-in-the-middle) da pošalje glavni ključ dužine nula u OpenSSL-OpenSSL komunikaciji. To dalje omogućava krađu sesije i dobijanje osetljivih informacija preko TLS rukovanja. U cilju izvođenja napada, potrebno je preseći vezu između klijenta i servera. Između ostalog, može se recimo ostvariti u neobezbeđenim bežičnim mrežama upadom u ruter ili drugi mrežni uređaj. Dakle, ovaj napad je bio moguć 16 godina pre nego što ga je Masashi pronašao. I koliko će još dugo biti moguć? Kako da znamo da u prošlosti niko nije bio upoznat sa ovim napadom? Malo je verovatno i moglo bi se očekivati je da je neko koristio sve mogućnosti opisanog propusta.

Zašto je toliko dugo trebalo da se otkriju i objave propusti?

Za otkivanje HeartBleed baga bile su potrebne dve godine. Posle toga, za otklanjanje propusta u široko korišćenim servisima bilo je potrebno još neko vreme. Upravo je takva pažnja izazvala i otkrivanje drugog, 16 godina prisutnog baga - CCS injekciju.

Ovo je dakle bio slučaj sa otvorenim kodom (OpenSSL) koga svako može detaljno pregledati. I skoro niko to nije uradio, verujući da će neko drugi pregledati kod i uveriti se da je sve u redu. Ili, barem niko, do nedavno, nije javno rekao da je otkrio da nešto nije u redu. Možemo nagađati da li su postojali ljudi koji su primetili propust, a ćutali o tome, a možda su ga i iskorišćavali. Koji motivi mogu da stoje iza toga, takođe može biti predmet nagađanja. Nikada ne možemo biti sigurni.

Za neke probleme je trebalo čak i četvrt veka (kao npr. Shellshock) ili petnaestak godina (primer je JasBug).

Ovi periodi su zaista predugi i ono što se moglo desiti ili se dešavalo u međuvremenu, možemo samo pretpostavljati.

Neka od pitanja koja se postavljaju su:

- Da li je neotkrivanje sigurnosnih problema posledica nemara i odsustva volje da se bilo ko time ozbiljno pozabavi?
- Koliko takvih problema u softveru još čeka da bude otkriveno?
- Koliko njih se trenutno iskorišćavaju (eksploatišu) od strane oni koji su ih možda otkrili i ćute o tome?
- Koje su moguće posledice?

Značaj sigurnosti softvera

Sa trenutnim repertoarom sigurnosnih napada i pretnji na informacionu sigurnost, softverski arhitekti, programeri, testeri i svi ostali, koji su uključeni u proces razvoja softvera, ne bi trebali dozvoliti prisustvo sigurnosnih ranjivosti koje napadaču mogu poslužiti kao "zadnja vrata". Zato sigurnost ne treba tretirati kao "dodatak" ili "dopunsku radnju" u razvoju softvera, već kao osnovni zahtev samog proizvoda i deo procesa razvoja i celog životnog ciklusa softvera. U tom smislu, prilikom razvoja softvera, značaj uvođenja sigurnosnih mera se ne može dovoljno naglasiti, niti se sme potceniti.

Uvođenje smernica, standarda, procesa i procedura za očuvanje sigurnosti u različitim fazama životnog ciklusa softvera predstavlja neophodnost za očuvanje sigurnosti i privatnosti. Ovakav proaktivni ili, još bolje, prediktivni pristup je neophodan kako za izgradnju poverenja klijenta, tako i za uštede, budući da su ranoj fazi razvoja softvera, sve ispravke mnogo jeftinije. U doba kada korisnici zahtevaju siguran softver, programeri koji uzimaju u obzir aspekt sigurnosti, mogu biti konkurentniji na tržištu.

Kako rešiti probleme sigurnosti softvera?

Adekvatan pristup pregledu, analizi i reviziji programskog koda može značajno pomoći da se unapredi sigurnost softvera. To jeste važan deo procesa od značaja za sigurnost softvera i može se izvršiti na manuelni ili automatski način upotrebom odgovarajućih alata za analizu. Takođe, moguća je kombinacija pomenuta dva pristupa. Međutim, to je samo deo rešenja. Kompletno rešenje ima mnogo više elemenata.

Nemoguće je sprečiti sve sigurnosne propuste, ali je potrebno njihov broj držati na prihvatljivom nivou. Informaciona bezbednost je baziranja na riziku i upravljanju rizikom. Držanje prihvatljivog nivoa rizika je jedna od glavnih strategija. Dobra vest je postoje načini: metodologije, procesi i alati koji mogu pomoći u nastojanju da se proizvede što sigurniji softver. Ti načini danas ulaze u fazu sazrevanja. Kao što je Joseph Fineman iz Gartnera rekao: "Sveobuhvatna sigurnost softvera obuhvata kombinaciju ljudi, procesa i tehnologija i gotovo uvek zahteva promenu u načinu funkcionisanja organizacije. Kako sigurnost softvera sazreva, jedino korišćenje takvog modela može pomoći ka preuzimanju inicijative u smislu unapređenja sigurnosti".

Microsoft SDL process

Za siguran softver, ili bolje rečeno za ublažavanje sigurnosnih rizika, postoje elementi koji trebaju da budu uključeni u ceo proces razvoja softvera; sigurnost softvera prosto zahteva promene i poboljšanja u celom procesu razvoja softvera. Ona treba da pokrije ceo životni ciklus razvoja softvera. U tom smislu u industriji se koriste termini: Software Security, Application Security, Security Development Lifecycle (SDL), Open Web Application Security Project (OWASP), Software Security Assurance (SSA), Software Assurance Maturity Model (SAMM), Building Security In Maturity Model (BSIMM) i brojni drugi.

Ako ste zainteresovani za više detalja o ovoj temi, možete pročitati sledeći uvodni tekst, koji sam napisao prošlog leta na ovu temu, na društvenoj mreži LinkedIn:

What is wrong with Software Security and how to fix it?

Za više detalja ili pomoć možete me kontaktirati.

Još nekoliko korisnih linkova:

• Open Web Application Security Project (OWASP)
• Software Assurance Maturity Model (SAMM)
• Building Security In Maturity Model (BSIMM)
• CWE - Common Weakness Enumeration
• NVD - National Vulnerability Database
• CVE - Common Vulnerabilities and Exposures
• CVSS - Common Vulnerability Scoring System
• NVD CVSS v2 Calculator
• Secure Coding Initiative

Atačmenti

CCSI.png / 9.77 / KB image/png
ghost-linux-security-vulnerability.png / 167.18 / KB image/png
heartbleed.png / 7.1 / KB image/png
jasbug.png / 98.09 / KB image/png
OWASP_logo.jpg / 13.46 / KB image/jpeg
poodle_vulnerability.jpg / 89.93 / KB image/jpeg
SDL_Process.jpg / 38.5 / KB image/jpeg
Shellshock.png / 175.3 / KB image/png

Tagovi

razvoj softvera, sofverska industrija, bezbednost, sigurnost softvera, upravljanje rizikom, metodologije razvoja, SDL, SDLC

postavite na |

Komentari (68)

Sakrij replike | Pošaljite komentar

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

uros_vozdovac 18:56 18.02.2015

uprkos hype

HeartBleed nije prouzrokovao veliku štetu, osim glavobolje i radnih sati administratora. Power of Open Source.

dragon.leo 19:08 18.02.2015

Re: uprkos hype

uros_vozdovac
HeartBleed nije prouzrokovao veliku štetu

Siguran? Klik!

A tek koliko ima onih za koje se ne zna javno.

uros_vozdovac 20:03 18.02.2015

Re: uprkos hype

dragon.leo
uros_vozdovac
HeartBleed nije prouzrokovao veliku štetu

Siguran? Klik!

A tek koliko ima onih za koje se ne zna javno.

Apsolutno siguran, niko iz zajednice kod nas se nije požalio na probleme, naravno govorim u ime domaće zajednice.

Dragan Pleskonjic 22:02 18.02.2015

Re: uprkos hype

uros_vozdovac
Apsolutno siguran, niko iz zajednice kod nas se nije požalio na probleme, naravno govorim u ime domaće zajednice.

Dobro je ako nije bilo problema kod nas. U svetu postoje izveštaji za nekoliko velikih napada za koje je "zaslužan" HeartBleed.

Usput: mislim da treba izbegavati sintagmu "apsolutno siguran" jer...

uros_vozdovac 08:18 19.02.2015

Re: uprkos hype

Dragan Pleskonjic

Usput: mislim da treba izbegavati sintagmu "apsolutno siguran" jer...

tako je, bila trenutna inspiracija :). Inače povodom HeartBleed u 100 marke da se kladimo da državna infrastruktura nije pečovana.

Dragan Pleskonjic 12:31 20.02.2015

Re: uprkos hype

uros_vozdovac
da državna infrastruktura nije pečovana.

Bilo bi interesantno znati koliko domaće firme (pa i institucije), imaju razvijeno upravljanje rizicima u informacionoj bezbednosti, ISMS (Information Security Management Systems) i slično, da ne nabrajam. Takođe, da li i koliko često rade penetration testing i slično.

Zatim, posebno u odnosu na temu ovog teksta, koliko su razvijene prakse vezane za Security Development Lifecycle (SDL), Software Security Assurance (SSA) itd.

Njihovi informacioni sistemi vrlo često čuvaju, obrađuju i prenose osetljive podatke, kao što su različiti privatni podaci građana, podaci o firmama, pa i novac, na kraju krajeva. Sudeći po nekim skorašnjim slučajevima, ima razloga za brigu i puno "prostora za unapređenje".

Bolje (i jeftinije) je sprečiti tj. preventivno delovati, nego posle lečiti.

dragon.leo 19:15 24.02.2015

Re: uprkos hype

Dragan Pleskonjic

Hvala za odličan blog! Daj još ovakvih korisnih tekstova.

Tek danas sam stigao da detaljno pročitam sve. Obilje korisnih informacija kako u tekstu, tako i u tvojim komentarima I referencama. Ovo ću dati mojim IT ljudima i posebno programerima da obavezno pročitaju.

Dragan Pleskonjic 20:25 24.02.2015

Re: uprkos hype

dragon.leo
Hvala za odličan blog!

Hvala i Vama.

blogov_kolac 19:06 18.02.2015

duh Kasper(ski)

Hvala na zanimljivom blogu.

A kada je rec o kompjuterskoj zastiti, upravo smo ovih dana svedoci nekih najneverovatnijih teorija zavere koje su se ikada mogle cuti na tu temu, a koje nam stizu iz Rusije. Ali ih ne pominjem kao jubilarnu milionitu teoriju zavere koja je o Zapadu u zadnjih 100 godina stigla iz Rusije, nego zbog cinjenice da ize nje ne stoji tamo neki samouki univerzalni ekspert za sve i svasta kojeg KGB koristi po potrebi da za ruska izdanja (o)kultnih nedeljnika tipa "sesto culo" ili "trece oko" zaglupljuje neuki narod u zeljenom smeru - vec iza toga stoji istinsko veliko ime u planetarnim razmerama na polju softverske bezbednosti - KASPERSKY!

Prvo je izasla neverovatna vest o najvecoj pljacki u istoriji gde je navodno na hiljade tajno organizovanih hakera sinhronizovano uspelo da probije zastitu preko 100 svetskih banaka, i mesecima nista nisu radili vec samo upijali informacije kako ceo sistem funkcionise, a onda poceli da isisavaju veliki novac sa brojnih racuna uspesno simulirajuci da se sve to desava kako treba i po pravilnoj proceduri. Evo je cela vest o tome ako sam nekog zaintrigirao, a navodno je ta neverovatna pljacka od milijardu dolara otkrivena kada je neki bankomat nekontrolisano krenuo da izbacuje novcanice...

A onda je odmah za njom plasirana iz iste kuce i jos neverovatnija prica kako se americka NSA infiltrirala kod svih znacajnijih svetskih proizvodjaca hard diskova sa svojim programima za spijuniranje, ili kako je Kurir (a ko drugi) srocio naslov za tu vest: SKANDAL: NSA špijunira baš sve kompjutere na svetu!

Moje konkretno pitanje glasi: ko je ovde (ni)je lud?

Dragan Pleskonjic 21:34 18.02.2015

Re: duh Kasper(ski)

Ova stvar oko hakovanja bankomata je tema već neko vreme. Na blogu "Krebs on Security" (kredibilan izvor po mišljenju mnogih) je o njoj pisano u decembru:Gang Hacked ATMs from Inside Banks. Takođe, zanimljiv je i ovaj izveštaj.

Što se tiče NSA i špijunskog softvera na diskovima, to je verovatno samo deo celog arsenala koji se koristi. Teško je poverovati da je baš na svim diskovima, ali za HVT (High Value Targets) verovatno ima smisla.

I jedna poučna slika:

blogov_kolac 00:12 19.02.2015

Re: duh Kasper(ski)

Dragan Pleskonjic
Takođe, zanimljiv je i ovaj izveštaj.

Procitao sam sada deo "executive summary", i model jeste jako slican onome sto je navodno Kaspersky razotkrio, ali red velicine prevare o kojoj govore - pominje se zbirna suma od oko 25 miliona dolara i da je u tome ucestvovalo nakoliko ljudi iz Rusije i Ukrajine - svakako je u granicama razuma. Nikakakva tajna armija od hiljadu hakera koja mesecima neopazeno rovari i pustosi, a koja sasvim slucajno biva otkrivena nakon sto je ojadila trocifren broj banaka zbirno za oko milijardu!?!?

Što se tiče NSA i špijunskog softvera na diskovima, to je verovatno samo deo celog arsenala koji se koristi. Teško je poverovati da je baš na svim diskovima, ali za HVT (High Value Targets) verovatno ima smisla.

Nije sporno da je moguce instalirati spijunski softver na HD, ali izjaviti da su svi proizvodjaci vrbovani (uzgred budi receno, u Kini se godisnje proizvede jedno 10 puta diskova vise nego u USA), ili je to cak uspesno uradjeno bez njihovog znanja, je po meni teorija zavere na nivou najmastovitijih HARP fantazija. Pa ako je tako, zar nije najlakse uzeti iz prodavnice bilo koji neraspakovan HDD, secirati ga kao nekada zabe na casovima anatomije, i strucno lice neka objasni gde je uljez, kako je implementiran i kako funkcionise... a ne da samo navedes poimence imena 10-ak najvecih proizvodjaca i konstatujes kako NSA u njih fabricki ugradjuje spijunski softver!?

Ponavljam, da kojim slucajem iza svega ne stoji Kaspersky, krupno ime iz sfere kompjuterske/softverske/informacione zastite, uopste ne bi bilo vredno pomena (a treba li napominjati da su kod nas u Srbiji svi mediji celoj prici dali veliki publicitet, i ne bi me iznenadilo da je po srpskim kompjuterskim shopovima trenutno velika potraznja konfiguracija bez hard diskova

)

alselone 08:53 19.02.2015

Re: duh Kasper(ski)

Pa ako je tako, zar nije najlakse uzeti iz prodavnice bilo koji neraspakovan HDD, secirati ga kao nekada zabe na casovima anatomije

Kolač, bolje se drži generičkih trabunjanja o Rusiji i Putinu, mani računare, lupetaš ko Maksim po diviziji. Lepo mali Đokica (kolačić?) može da uporedi žabu i HDD, ali stvari su za nijansu kompleksnije u realnosti.

blogov_kolac 10:21 19.02.2015

Re: duh Kasper(ski)

aSselone
Kolač, bolje se drži generičkih trabunjanja o Rusiji i Putinu, mani računare, lupetaš ko Maksim po diviziji. Lepo mali Đokica (kolačić?) može da uporedi žabu i HDD, ali stvari su za nijansu kompleksnije u realnosti.

Moja opaska je sasvim na mestu - ako neko tvrdi da su fakticki svi hard diskovi proizvedeni u zadnjih 10 godina vec fabricki napravljeni tako da u sebi sadrze americkog (NSA) uljeza, neka lepo uzme bilo koji novi HDD i pokaze i dokaze tu svoju tvrdnju kako se to spijuniranje aktivira i funkcionise, i sta je to tacno sto na novom i nekoriscenom disku sluzi u tu svrhu. Ti da imas da kazes nesto u odbranu ove neverovatne teorije zavere, verovatno bi rekao, i ne bi svoju povremenu (a intelektualno krajnje nastranu) potrebu da advokatises svako ludilo koje dolazi iz Rusije ili nekog drugog doslednog borca protivu novog sveCkog poretka zadovoljio u ovom slucaju samo konstatacijom da postoje razlike izmedju zaba i hard diskova. Seciranje zaba na casovima anatomije, kao sto najverovatnije znas ali se pravis lud da si sve bukvalno shvatio, je poznata metafora za proces objasnjavanja iz cega se nesto sastoji, cemu svi ti delovi pojedinacno sluze i kako medjusobno funkcionisu. Meni bi u ovoj neverovatnoj teoriji zavere takodje bilo zanimljivo da Rusi iz Kasperskog objasne i kako su, ako u svim diskovima stvarno postoje "spijunski sektori", provalili da iza svega stoje Amerikanci, i to bas iz NSA!? Zasto to recimo ne bi bili Kinezi, gde se i inace vecina diskova proizvodi, a koji su i inace poznati kao najvece svetsko nevinasce kada je sajber spijuniranje u pitanju... ali pre svega neka dokazu i pokazu da se to "nesto" stvarno fabricki ugradjuje (tj. postoji), i to na diskovima bukvalno svih bitnijih proizvodjaca, kako tvrde.

alselone 12:56 19.02.2015

Re: duh Kasper(ski)

Moja opaska je sasvim na mestu - ako neko tvrdi da su fakticki svi hard diskovi proizvedeni u zadnjih 10 godina vec fabricki napravljeni tako da u sebi sadrze americkog (NSA) uljeza, neka lepo uzme bilo koji novi HDD i pokaze i dokaze tu svoju tvrdnju kako se to spijuniranje aktivira i funkcionise, i sta je to tacno sto na novom i nekoriscenom disku sluzi u tu svrhu. Ti da imas da kazes nesto u odbranu ove neverovatne teorije zavere, verovatno bi rekao, i ne bi svoju povremenu (a intelektualno krajnje nastranu) potrebu da advokatises svako ludilo koje dolazi iz Rusije ili nekog drugog doslednog borca protivu novog sveCkog poretka zadovoljio u ovom slucaju samo konstatacijom da postoje razlike izmedju zaba i hard diskova. Seciranje zaba na casovima anatomije, kao sto najverovatnije znas ali se pravis lud da si sve bukvalno shvatio, je poznata metafora za proces objasnjavanja iz cega se nesto sastoji, cemu svi ti delovi pojedinacno sluze i kako medjusobno funkcionisu. Meni bi u ovoj neverovatnoj teoriji zavere takodje bilo zanimljivo da Rusi iz Kasperskog objasne i kako su, ako u svim diskovima stvarno postoje "spijunski sektori", provalili da iza svega stoje Amerikanci, i to bas iz NSA!? Zasto to recimo ne bi bili Kinezi, gde se i inace vecina diskova proizvodi, a koji su i inace poznati kao najvece svetsko nevinasce kada je sajber spijuniranje u pitanju... ali pre svega neka dokazu i pokazu da se to "nesto" stvarno fabricki ugradjuje (tj. postoji), i to na diskovima bukvalno svih bitnijih proizvodjaca, kako tvrde.

Je l' moras svaku temu da useres svojim fruistracijama o Rusima? Ti si ih prvi uveo u pricu, potpuno nepotrebno, samo valjda kao dnevna doza potrebe. Ja ih ne branim, pogotovo ne "svako ludilo koje dolazi...". Jeste, bas svako advokatisem. Obicno samo ostracenima kao ti skrenem paznju da lupetaju.

I posle svih dokaza o prisluskivanju koji su objavljeni poslednjih godina tebi jos uvek nije dovoljno nego ovako nesto proglasavas za ludilo. Pa, sine moj racunarski nepismeni, da li ti znas sta je firmware? Da li si svestan da HDD nije zaba I da fizicki nema sta da se pokaze (verovatno)? Da li si svestan kako su hakovane iranske centrifuge za uranijum? Da li mislis da je neko skidao progame sa warez sajtova ili je u pitanju bila mnogo sofisticiranija tehnika? Samo da te podsetim, u tok haku centrifuga nisu ucestvovali samo PC racunari, nego I PLC-ovi I frekventni regulatori. A ti I dalje misli slobodno kako je sve to samo Putinova ludost, koji eto kontrolise I Kasperskog pa ga je naterao da tako nesto kaze.

Postoji odredjena osobina ljudi koji ne znaju dovoljno a misle pogresno da su vanredno pametni da sve stvari uproste I balanizuju na novo na kom ih razumeju. Tako imaju utisak da razumeju sve na svetu. Pa, sine moj racunarski nepismeni, da li ti znas razliku izmedju pravljenja I sklapanja. Diskovi se sklapaju u Kini, ne dizajniraju ih oni. Oni samo sklope delove. Ponovo cu ti reci, nema u njemu crni cip sa kosturskom glavom koji kad vidis znas da je hakovan HDD I onda mali kinezi kad sklapaju vide da tu ima nesto sumnjivo. Radi se o softveru. I to tako vesto napisanom da I profesionalac kad bi ga citao (a jako mu je tesko prici) ne bi bas lako shvatio da postoji back door.

blogov_kolac 15:27 19.02.2015

Re: duh Kasper(ski)

alselone
Je l' moras svaku temu da useres svojim fruistracijama o Rusima? Ti si ih prvi uveo u pricu, potpuno nepotrebno, samo valjda kao dnevna doza potrebe. Ja ih ne branim, pogotovo ne "svako ludilo koje dolazi...". Jeste, bas svako advokatisem. Obicno samo ostracenima kao ti skrenem paznju da lupetaju.

Domacin ovog bloga je napisao jos jedan u nizu svojih zanimljivih i citljivih autorskih blogova na temu ranjivosti informacionih sistema, i ja sam dao osvrt na trenutno najaktuelniju "senzaciju" iz te oblasti, koja je kod nas u Srbiji kao retko sta iz informaticke sfere dobila veliku paznju u medijima, i otvorio ovu pod-temu da bi cuo i misljenje autora ovog bloga kao svakako najstrucnije moguce osobe na nasem blogu za tu tematiku (da je uros_vozdovac pokrenuo ovih dana neki svoj blog i njega bih svakako priupitao o tome).

To sto je navodno raskrinkavanje dve sajber "zavere" biblijskih razmera stiglo iz Rusije ne bi nikako bio razlog da ih pomenem, nego bas to sto dolazi od planetarno uglednog izvora kada je sajber zastita u pitanju, i sve to malo podseca na onaj vec cuven proslogodisnji slucaj objave da je izmerena brzina veca od brzine svetlosti, gde je prava vest bila ustvari cinjenica da je to izgovorio ugledni naucnik ispred tima koji je radio sa najpreciznijim mogucim mernim instrumentima (naravno da se na kraju ispostavilo da je u pitanju bila greska).

Moje je pravo, sa predznanjima koje imam, da odbijem da poverejum da moze da postoji organizovana medjunarodna kriminalna banda od preko hiljadu hakera, koja mesecima isisava stotine miliona dolara od preko 100 svetskih banaka, i da sve tako dugo bude potpuno neopazeno, ili da se tek ove godine "otkrije" da su takoreci svi hard diskovi proizvedeni u ovom veku u sebi imali fabricki ugradjenog americkog trojanskog konja, kojeg istina nije moguce izolovati i prikazati kao takvog, nego je potrebno verovati na rec onome koji je to otkrio.

Daleko od toga da ja potcenjujem sve moguce opasnosti koje vrebaju u ovoj oblasti. Na ovoj konkretnoj temi "duhova iz proslosti" vidim da niko jos nije pomenuo ubedljivo najcuveniji slucaj, famozni "milenijumski bag" (najkrace receno izazvan visedecenijskim skracenim dvocifrenim unosima godine u datumima u XX vekovnim programima), koji istina nije izazvao ni promil kataklizmicnih promena koje su najavljivane, ali pre svega jer je u prevenciji i njegovom saniranju utroseno basnoslovnih par stotina milijardi dolara (otprilike trideset danasnjih godisnjih budzeta Srbije). To svedoci koliko je ova naoko iskljucivo strucna tema potencijalno vazna, i preko noci moze da se tice svih ako nesto iskrsne, kao sto smo skoro imali onu brljotinu sa masovnom dostupnoscu na internetu ogromne baze licnih podataka gradjana Srbije (znam da uzrok nije bila nikakva greska u programskom kodu).

A to ko se ovde prvi poneo ostrasceno, poceo da lepi etikete, i na silu da trpa Ruse, i da odredjuje ko na ovu temu moze da diskutuje a ko ne, najbolje govori tvoj prvi post na ovoj pod-temi koju sam otvorio:

alselone
Kolač, bolje se drži generičkih trabunjanja o Rusiji i Putinu, mani računare, lupetaš ko Maksim po diviziji. Lepo mali Đokica (kolačić?) može da uporedi žabu i HDD, ali stvari su za nijansu kompleksnije u realnosti.

Dragan Pleskonjic 15:59 19.02.2015

Re: duh Kasper(ski)

Nije mi bila namera da, u ovom tekstu, obrađujem tu temu. Međutim, kada je već otvorena, preporučujem sledeći tekst, pogotovu što dolazi od čoveka koga mnogi smatraju jednim od vodećih autoriteta:

The Equation Group's Sophisticated Hacking and Exploitation Tools

Citiraću jedan pasus:

Kaspersky doesn't explicitly name the NSA, but talks about similarities between these techniques and Stuxnet, and points to NSA-like codenames. A related Reuters story provides more confirmation: "A former NSA employee told Reuters that Kaspersky's analysis was correct, and that people still in the intelligence agency valued these spying programs as highly as Stuxnet. Another former intelligence operative confirmed that the NSA had developed the prized technique of concealing spyware in hard drives, but said he did not know which spy efforts relied on it."

Takođe, preporučujem čitanje ovog teksta:
Equation: The Death Star of Malware Galaxy

Kao i ovog izveštaja:
Equation Group: Questions and Answers

A za one koji se nisu umorili, predlažem čitanje i ovog teksta koji je objavila Arstechnica.

blogovatelj 16:19 19.02.2015

Re: duh Kasper(ski)

ne bi svoju povremenu (a intelektualno krajnje nastranu) potrebu da advokatises svako ludilo koje dolazi iz Rusije ili nekog drugog doslednog borca protivu novog sveCkog poretka zadovoljio u ovom slucaju samo konstatacijom da postoje razlike izmedju zaba i hard diskova.

Lepsi je blog kad si ti na blogu

alselone 19:57 19.02.2015

Re: duh Kasper(ski)

blogov_kolac

Imam neki stari HDD (4.3 GB, 5.25'' Quantum Bigfoot

), sad sam ga bas zagledao, vidi se elektronika i nema nigde crnog cipa sa kosturskom glavom, izgleda da sam siguran, taj nije hakovan, ne prisluskuje se. Ovaj Kasperski je stvarno covek bez integriteta, pravi KGB-ovac. Hoce da nas zavadi sa zapadom. Lepo se vidi da na tom hardu nema nista. Ovaj sto mi je trenutno u kompu ne smem da otvaram ali sam siguran da ni on nema crni cip smrti. Jedino ako Kinezi nisu ubacili svoj neki zuti cip za prisluskivanje.

Dragan Pleskonjic 20:50 19.02.2015

Re: duh Kasper(ski)

Kad već idemo na tu stranu:

Edward Snowden claims American and British spies hacked into the world’s largest SIM manufacturer

alselone 21:22 19.02.2015

Re: duh Kasper(ski)

Dragan Pleskonjic
Kad već idemo na tu stranu:

Edward Snowden claims American and British spies hacked into the world’s largest SIM manufacturer

Ma Putin ga je naterao, laze Sounden. Dobro, dosta zezanja kolaca.

Da, ovo je strasno sta se desava. A pazi ovo.

http://www.cnet.com/news/why-your-samsung-tv-is-spying-on-you-in-cnet-uk-podcast-421/

uros_vozdovac 21:43 19.02.2015

Re: duh Kasper(ski)

A da se setimo Bad BIOS hype

emsiemsi 22:28 19.02.2015

Re: duh Kasper(ski)

blogov_kolac
Hvala na zanimljivom blogu.

A kada je rec o kompjuterskoj zastiti, upravo smo ovih dana svedoci nekih najneverovatnijih teorija zavere koje su se ikada mogle cuti na tu temu, a koje nam stizu iz Rusije. Ali ih ne pominjem kao jubilarnu milionitu teoriju zavere koja je o Zapadu u zadnjih 100 godina stigla iz Rusije, nego zbog cinjenice da ize nje ne stoji tamo neki samouki univerzalni ekspert za sve i svasta kojeg KGB koristi po potrebi da za ruska izdanja (o)kultnih nedeljnika tipa "sesto culo" ili "trece oko" zaglupljuje neuki narod u zeljenom smeru - vec iza toga stoji istinsko veliko ime u planetarnim razmerama na polju softverske bezbednosti - KASPERSKY!

Мислиш да KASPERSKY нема везе са КГБ-ом !?
Мислиш да је настао сам од себе ?!

blogov_kolac 23:28 19.02.2015

Re: duh Kasper(ski)

Razumem da je onima koji se bave kompjuterskom zastitom u interesu da stvari malo i naduvavaju, ali ove dve "bombe" koje je plasirao Kaspersky ove nedelje su mnogo vise od toga, tj. cista teorija zavere.

Prema teoriji, a to je u labaratorijskim uslovima visestruko dokazivano, vatru je moguce gasiti benzinom, a voda je zapravo odlican izolator (tacnije los provodnik), ali u praksi to pokusavati sprovoditi na delu je blago receno suludo. Pa tako ako je po teoriji hakerska grupa mocnija sto vise clanova sadrzi, a vise se moze opljackati od 10 banaka nego od jedne banke, u praksi je neizvodljivo obezbediti apsolutnu konspirativnost u akciji u kojoj vise od hiljadu hakera mesecima izvlaci silne milione (zbirno milijardicu dolara) iz preko sto banaka sirom sveta!?

Ili ovo sa fabrickom ugradnjom trojanskog konja u svim hard-diskovima u ovom veku od strane NSA. Sve da je NSA u prilici da ucenom ili podvalom ugradjuje to "nesto" u hardove svih proizvodjaca, ja onda postavljam osnovno pitanje "a zasto bi oni to uradili?". To je logicko pitanje, a ne moralno ili (medjunarodno)pravno. Ako si najjaci po resursima i kadrovski (mada i to je diskutabilno, s obzirom da je u Kini industrijska spijunaza indirektno maltene temelj i najprofitabilnija grana privrede), valjda ti je u interesu da opsta zastita bude sto bolja cime ce tvoje prednosti u odnosu na ostale biti mnogo izrazenije. Ako ugradis tajna vratanca za curenje informacija na svakom disku, nisi li time istovremeno dao mocan alat "drugoj strani" da takodje sa lakocom i neograniceno crpi sve te informacije, kao da kompjuteri u Americi i kod njenih saveznika ne koriste diskove? Ako mozda mozes da se nadas da par desetina trojanskih redaka u dzinovskom programskom kodu zaduzenom za navigaciju neke nuklearne podmornice ili metereoloskog satelita moze da ostane neprimeceno, kakve su sanse da ih godinama niko ne provali na milionima proizvedenih diskova?

I na kraju jedna poslastica samo za alselonea, kad me vec vuce za jezik:

Путин: ЦИА створила интернет

Председник Русије Владимир Путин рекао да је интернет, као специјални пројекат, измислила ЦИА и да се и даље тако развија. Подржао је нови руски закон који блогере ставља у исти оквир са медијима.

"То је неопходно учинити, али захтева време и капиталне инвестиције", рекао је Путин, додајући да сада основни ток информација иде кроз сервере у САД, где се све контролише.

"Све то (интернет) се појавило као специјални пројекат ЦИА, а тако се и развија", казао је Путин.

Путин је, говорећи о закону који је усвојио руски парламент, а који је блогере довео у исти оквир са медијима, казао да "има основа".

"Не желим да дајем оцене да се не бих ангажовао ни на чијој страни. Али, ако конкретни човек има утицај на хиљаде људи, његов блог се мало чиме разликује од медија", истакао је Путин.

Тај закон обавезује блогере, између осталог, да се потписују испод текстова и остављају своју мејл адресу, да проверавају информације и не позивају на екстремистичка дејства.

alselone 06:58 20.02.2015

Re: duh Kasper(ski)

blogov_kolac

Kolač, pa ti si opsednut Putinom i Rusima.

Pa ti sve pratiš i pamtiš, nisam ni znao da je ovo rekao. Hvala ti.

A i super ti je ono objašnjenje gore, sve u fazonu - ne uklapa se u moju logiku onda mora da nije istina. Meni, kolačiću, je logično na ovaj način, to onda mora da je istina.

uros_vozdovac 08:23 20.02.2015

Re: duh Kasper(ski)

Bem mu miša, meni nije uopšte nezamislivo da se proizvođači HDD ubede da implementiraju bilo šta u firmware.

Drugo je pitanje jel` se to zaista desilo, ali nije nezamislivo.

alselone 09:21 20.02.2015

Re: duh Kasper(ski)

Bem mu miša, meni nije uopšte nezamislivo da se proizvođači HDD ubede da implementiraju bilo šta u firmware.

Drugo je pitanje jel` se to zaista desilo, ali nije nezamislivo.

Naravno.

Nego, citao sam sinoc ono sto si postavio za badBios. Znaci, znaci, speechless. Ostao sam bez teksta. Neka je samo polovina tacno, mi nemamo pojma gde i u kakvom matriksu zivimo. Ali ono da prenose informacije visokofrekventnim talasima mi je najuzbudljivije ali ne i nezamislivo.

rade.radumilo 11:06 20.02.2015

Re: duh Kasper(ski)

Bem mu miša, meni nije uopšte nezamislivo da se proizvođači HDD ubede da implementiraju bilo šta u firmware.

Drugo je pitanje jel` se to zaista desilo, ali nije nezamislivo.

Mo'š u firmware da turiš šta god hoćeš, samo mene interesuje jedna stvar u tome:
1. Čemu bi to poslužilo? Format zapisa na HDD-u određuje OS, tako da svako čitanje zapisa mora ići kroz OS ili pak taj firmware radi sa svim vrstama zapisa?
2. Kako taj firmware komunicira sa "agencijom"? Da bi taj firmware rezgovarao sa agencijom, mora da se podigne neki app u OS. Pre ili kasnije bi se neki AV alat pobunio i skapirao da se prilikom boot-ovanja OS-a diže i neki rootkit. Kapiram da NSA može da utiče i na proizvođače AV softvera, ali ne baš na sve.

Jedina korisna upotreba tako nečega, koja meni pada na pamet je back-door za HDD-ove laptopova, koji imaju BIOS zaštitu, odnosno neće da rade kada se izvade iz svog laptopa. To mi deluje kao najlogičnija upotreba "dodatka" u firmware. Agenti "službe" upadnu u nečiji stan, rašrafe laptop izvade HDD, uštekaju na svoju mašinu, prekopiraju i vrate potom sve na svoje mesto. Patch u firmware obezbeđuje da HDD radi sa njihovom mašinom iako je vlasnik "zaštitio" svoj HDD.

Dragan Pleskonjic 11:36 20.02.2015

Re: duh Kasper(ski)

Odgovori na neka od pitanja se nalaze u ovom dokumentu (ranije sam ga pomenuo). Mislim da vredi pročitati (barem za one koji se detaljnije bave ovom problematikom), iako je malo poduži.

Takođe, nekako se stekao utisak da su baš svi (ili skoro svi) hard diskovi nekih od proizvođača "zaraženi" što mislim da je preterivanje koje je nastalo slobodnim (možda malo senzacionalističkim) tumačenjem nekih medija. Kao što rekoh gore, pre će biti da se radi "samo" o precizno odabranim HVT (High Value Targets).

Uostalom, ovo je priča koja se razvija, pa ćemo verovatno čuti još vesti i detalja u narednim danima i nedeljama.

uros_vozdovac 13:07 20.02.2015

Re: duh Kasper(ski)

alselone
Bem mu miša, meni nije uopšte nezamislivo da se proizvođači HDD ubede da implementiraju bilo šta u firmware.

Drugo je pitanje jel` se to zaista desilo, ali nije nezamislivo.

Naravno.

Nego, citao sam sinoc ono sto si postavio za badBios. Znaci, znaci, speechless. Ostao sam bez teksta. Neka je samo polovina tacno, mi nemamo pojma gde i u kakvom matriksu zivimo. Ali ono da prenose informacije visokofrekventnim talasima mi je najuzbudljivije ali ne i nezamislivo.

Stvarno da se smrznes, i jos ipak relevantna Arstehnica nije blogolupetanje random teoreticara zavere. https://twitter.com/dragosr je covek koga treba pratiti uvek dobar info.
Izvini za link kucam sa telefona

blogov_kolac 13:34 20.02.2015

Re: duh Kasper(ski)

Dragan Pleskonjic
Kad već idemo na tu stranu:

Edward Snowden claims American and British spies hacked into the world’s largest SIM manufacturer

Inace, na b92 sajtu trenutno je udarna bas jedna vest vezana za spijuniranje preko SIM kartica:
NSA "vežbala" špijuniranje u Srbiji

..."U probnoj operaciji u prvom kvrtalu 2010. godine, GCHQ je uspešno presreo ključeve koje su koristili mobilni operateri u Iranu, Avganistanu, Jemenu, Indiji, Srbiji, Islandu i Tadžikistanu. Međutim, automatizovani sistem za prikupljanje ključeva nije doneo rezultate u Pakistanu, iako su tamošnje mreže bile obeležene kao mete od prioriteta", navodi se u tekstu koji je objavljen na sajtu "Intersept", koji vodi čuveni novinar Glen Grinvald, čovek od poverenja Edvarda Snoudena...

Ako je ovo tacno, bas me zanima sta Island radi u ovako probranom drustvu

dragon.leo 13:44 20.02.2015

Re: duh Kasper(ski)

blogov_kolac
Ako je ovo tacno, bas me zanima sta Island radi u ovako probranom drustvu

Možda zato što nisu bili nežni prema bankarima.

rade.radumilo 15:00 20.02.2015

Re: duh Kasper(ski)

Ako je ovo tacno, bas me zanima sta Island radi u ovako probranom drustvu

Deluje da su ciljali određene vrste GSM opreme, ili određene proizvođače SIM kartica.

Dragan Pleskonjic 15:16 20.02.2015

Re: duh Kasper(ski)

rade.radumilo
ili određene proizvođače SIM kartica.

TNW kaže:

According to documents he provided to The Intercept, American and British spies hacked into Gemalto, the largest SIM card manufacturer in the world, to steal encryption keys for its cards.

rade.radumilo 15:23 20.02.2015

Re: duh Kasper(ski)

Otuda na onom grafiku samo Mobtel/Telenor od operatera u SRB.

sioux 18:10 20.02.2015

Re: duh Kasper(ski)

blogov_kolac
Razumem da je onima koji se bave kompjuterskom zastitom u interesu da stvari malo i naduvavaju, ali ove dve "bombe" koje je plasirao Kaspersky ove nedelje su mnogo vise od toga, tj. cista teorija zavere.
...
Ili ovo sa fabrickom ugradnjom trojanskog konja u svim hard-diskovima u ovom veku od strane NSA.

Za verovanje u takve zavere i verovanje u napisano u Kuriru, potreban je isti mozak.

NNN 18:49 20.02.2015

Re: duh Kasper(ski)

Dragan Pleskonjic
Kad već idemo na tu stranu:

Edward Snowden claims American and British spies hacked into the world’s largest SIM manufacturer

sioux 18:50 20.02.2015

Re: duh Kasper(ski)

alselone
Naravno.

Nego, citao sam sinoc ono sto si postavio za badBios. Znaci, znaci, speechless. Ostao sam bez teksta. Neka je samo polovina tacno, mi nemamo pojma gde i u kakvom matriksu zivimo. Ali ono da prenose informacije visokofrekventnim talasima mi je najuzbudljivije ali ne i nezamislivo.

uros_vozdovac
Stvarno da se smrznes, i jos ipak relevantna Arstehnica nije blogolupetanje random teoreticara zavere. https://twitter.com/dragosr je covek koga treba pratiti uvek dobar info.
Izvini za link kucam sa telefona

Ovaj članak samo pokazuje da ni Ars ne treba uzimati zdravo za gotovo - slatko sam se smejao čitajući.
A tek kako li ovaj Dragos postade security consultant sa ovakvim lupetanjima? Hm, možda upravo tako...

Dakle, nema mesta smrzavanju, članak je najobičnije lupetanje.

Dragan Pleskonjic 19:40 20.02.2015

Re: duh Kasper(ski)

Zanimljivo pitanje je kako je od ovog dokumenta (treći put ga pominjem ovde) došlo do toga su svi diskovi zaraženi. Možda je to posledica gladi medija za još većim senzacijama.

U pomenutom dokumentu se mogu dobiti odgovori na razna pitanja, primera radi:
• How do victims get infected by EQUATION group malware?
• How many victims are there?
• What C&C infrastructure do the Equation group implants use?
• How do victims get selected for infection by the EQUATION group?
• How did you discover this malware?
Itd.

Ili jednostavno ljudi ne vole da čitaju dugačke i detaljne tehničke dokumente, pa malo slobodnije interpretiraju.

I da ponovim par rečenica iz uvoda ovog bloga:
Takođe, u ovom tekstu se nisam bavio ranjivostima ili subverzivnim funkcijama u kodu namerno unesenim u kod. To je problematika koja je takođe interesantna i delimično se prepliće sa ovom.

Namera je bila da se bavimo pitanjima koja pomažu da se razvije softver sa što manje sigurnosnih propusta i ranjivosti, odnosno pitanjima vezanim za Security Development Lifecycle (SDL), Software Security Assurance (SSA) i slično.

uros_vozdovac 20:52 20.02.2015

Re: duh Kasper(ski)

sioux

Ovaj članak samo pokazuje da ni Ars ne treba uzimati zdravo za gotovo - slatko sam se smejao čitajući.
A tek kako li ovaj Dragos postade security consultant sa ovakvim lupetanjima? Hm, možda upravo tako...

Dakle, nema mesta smrzavanju, članak je najobičnije lupetanje.

Sve lupom tražim argument, mislim oči varaju, pa ne nalazim. Dragos čak na Twitteru u 140 slova pa ih ima više.

sioux 02:25 21.02.2015

Re: duh Kasper(ski)

uros_vozdovac
Sve lupom tražim argument, mislim oči varaju, pa ne nalazim. Dragos čak na Twitteru u 140 slova pa ih ima više.

Da, to je baš duhovito.

Suviše bi mi vremena oduzelo debunkovanje iznetog u članku.

Ali, evo nađoh ovo:

"I'm not always right. so sorry if I've wasted any folks time."

Ja sam zadovoljan - prođoh dobro na ovom testu znanja/inteligencije, a ti (i alselone)?

uros_vozdovac 08:44 21.02.2015

Re: duh Kasper(ski)

sioux
uros_vozdovac
Sve lupom tražim argument, mislim oči varaju, pa ne nalazim. Dragos čak na Twitteru u 140 slova pa ih ima više.

Da, to je baš duhovito.

Suviše bi mi vremena oduzelo debunkovanje iznetog u članku.

Ali, evo nađoh ovo:

"I'm not always right. so sorry if I've wasted any folks time."

Ja sam zadovoljan - prođoh dobro na ovom testu znanja/inteligencije, a ti (i alselone)?

Mene odavno ništa ne iznenađuje, pa me ne bi iznenadilo i da si u pravu. Kad budeš ima vremena.

Dragan Pleskonjic 15:27 22.02.2015

Re: duh Kasper(ski)

Ovo ne staje:

Is It Possible to Track Smartphone Location By Monitoring Battery Usage?

Data leaks through power consumption? Don’t be surprised because security researchers have discovered a way to track your every move by looking at your Android smartphone's consumption of the battery power,even if you have GPS access unable.

Researchers at Stanford University and Israeli Defense Research Group, Rafael, have developed a new technology, which they have dubbed "PowerSpy", that have capability to gather the geolocation of Android phones by simply by measuring the battery usage of the phone over a certain time.

deset_slukom 19:21 18.02.2015

Duhovi

Nadam se da nije previše off, ne tiče se sigurnosti, ali jesu duhovi iz programskog koda.

Ko je imao (ne)sreću da se bavi knjigovodstvenim programima poslednjih četvrt veka, razumeće o čemu je reč.

- O numericima u bazi, sposobnim da prime zilionske iznose
- o devalvacijama i brisanju devet ili dvanaest nula, na kraju deljenje sa 13000000.
- o parafiskalnim taksama. Da vas podsetim:

-- taksa za železnicu, savezna(!) i republička
-- taksa za vojsku, savezna i republička
-- različite takse na alkoholna pića
-- posebna beogradska taksa

Zatim:
- suštinski drugačiji obračun poreza na alkoholna pića (praktično, po sistemu PDV-a) nego kod ostale robe
- suštinske izmene izveštaja o poslovanju, gotovo svakog meseca, ne bi li se na taj način sprečilo (sic!) prikrivanje prometa
- vođenje socijalne politike kroz odračun one siće od LD-a, što vodi beskrajnom krpljenju programa, a sve je dovedeno do ludila upravo poslednjih godina, gde se više ne zna ko dobija kakve subvencije.

Tako sam jednom, pre desetak godina, prilegao i izbacio iz programa neverovatnu količinu đubreta (to nije lak posao, jer sa vodom hoće i beba da izleti iz korita).

Ipak, poneku duščić izroni i dan-danas. Ne znam zašto, uvek mi je prva asocijacija - bombardovanje.

KRALJMAJMUNA 19:46 18.02.2015

Re: Duhovi

deset_slukom

Ipak, poneku duščić izroni i dan-danas. Ne znam zašto, uvek mi je prva asocijacija - bombardovanje.

Bombe ostaju da ćute i čekaju.
U tzv."velikom" sw-u (knjigovodstvo, banke, osiguranja, ...) sa hiljade programa, sa milionima linija, smo "nalazili" (same su se javljale) bombe koje su eksplodirale potpuno neočekivano.
Čuveno pitanje je tada "da li je neko nešto dirao". Odgovor je, po pravilu, da niko nije ništa dirao. Ode program koji je pisan pre Hrista i savršeno radi godinama u neku granu gde nikako nije smeo, zato što je korisnik uneo nešto što niko nikada pre njega nije uneo.
Ili u programu čuči pitalica kroz koju program nikada nije prošao na "DA" granu. A pitalica stoji jer je neko nekada testirao nešto i ostavio svoje ideje direktno u kodu. Tako se nekada radilo. Posebno ako si pod vremenskim pritiskom, ili ako si po ko zna koji put menjao kontni plan za banke (ali ne po sistemu 1-1), ili ako ti je neko diktirao da koliko odmah, za juče, za prekjuče rešiš problem i onda taj koji te juri i koji nije IT polupismen nego četvrt pismen (ti su najgori) ti naredi da ubaciš jednu naredbu (on zna da je to lako) a ako nećeš ima ko hoće itd. Posle njegovog oodlaska u penziju i raspada na svim stranama BUM.

deset_slukom 20:00 18.02.2015

Re: Duhovi

KRALJMAJMUNA
za juče, za prekjuče

Eh, da. Ovo sam zaboravio. Da neko ne poveruje, dešavalo se (a ni danas nije mnogo bolje) da na dan kada se zakonska izmena pojavi u Službenom glasniku, promena već važi jedno dva dana. Često su propisi bili toliko nejasni, da bez objašnjenja u Privrednom savetniku nije moglo, na to se čekalo još dan - dva. Doduše, inspektori su bili uviđavni, pa su za nepoštovanje novih propisa kažnjavali tek posle dva - tri dana.

Dragan Pleskonjic 21:39 18.02.2015

Re: Duhovi

deset_slukom
Ipak, poneku duščić izroni i dan-danas.

Dakle, testiranje, odnosno QA (Quality Assurance), ali i ostali delovi procesa poznatog pod imenom SDLC (Software Development LifeCycle) su zakazali. I da ne pomešamo sa Security Development Lifecycle (SDL), iako ima dosta dodirnih tačaka (touchpoints).

deset_slukom 22:59 18.02.2015

Re: Duhovi

Dragan Pleskonjic

Dakle, testiranje, odnosno QA (Quality Assurance), ali i ostali delovi procesa poznatog pod imenom SDLC (Software Development LifeCycle) su zakazali. I da ne pomešamo sa Security Development Lifecycle (SDL), iako ima dosta dodirnih tačaka (touchpoints).

U pravu si, sve je to zakazalo, budući da je u pitanju OMB (One Man Band) kojem je više dosta svega, ali mora od nečega da živi.

Za utehu, retko kada ti duhovi kvare posao klijentima. Uglavnom su to benigni artefakti skriveni u kodu, čije je delovanje ograničeno nekim datumom, ili parametrom iz odgovarajuće datoteke. Većinom samo bude sećanja na ružna vremena a ponekad i na ružnu stvarnost.

rade.radumilo 10:55 19.02.2015

Re: Duhovi

Često su propisi bili toliko nejasni, da bez objašnjenja u Privrednom savetniku nije moglo, na to se čekalo još dan - dva.

Nije to ništa, tek da vidiš odluke NBS. Raspišu se na N strana, a nigde nijedne formule. Onda uvedu u odluku, na primer, da se nešto računa u odnosu na neke dinarske iznose za kredite. Samo što je većina kredita sa valutnom klauzulom, za fizička, odnosno ima i valutne klauzule i deviznih kredita kod pravnih lica. E tu nastaje žurka, jer nigde u odluci nisu naveli po kom kursu se to treba obračunavati u tim slučajevima. To prouzrokuje da svaka banka protumači na svoj način, pa imaš 3 različita algoritma, koja sa nekim argumentima pretvoriš u 6 različitih obračuna.
Kreditni biro je još zabavniji, neko im je rekao da su krediti stanovništva isključivo sa mesečnim ratama, a neke banke imaju kredite za poljoprivrednike sa jednokratnim dospećem (uzmeš kredit za đubrivo, pa ga vratiš kada prodaš kukuruz). Nema boga da ga proguraš kroz njihov interfejs, a da ga nisi ozbiljno premuljao...

alselone 09:08 19.02.2015

Niko nije imun na greške iz prošlosti

Evropska svemirska agencija potrosila je 10 godina i 7 milijardi dolara da napravi Ariane 5 raketu koja je trebalo da nosi satelite u svemir i donese Evropi dugo cekanu nadmoc (ili makar jednakost) u polju komercijalne svemirske industrije. Raketa je eksplodirala manje od minute po poletanju. O cemu se radilo? Areane 5 je koristila modul inercionog referentnog sistema koji je originalno napravljen za Ariane 4 raketu. Taj modul je radio potpuno ispravno za Ariane 4 i smatralo se da ce raditi isto tako dobro i za Ariane 5 pa nije dovoljno testiran. Problem je bio u tome sto je Ariane 4 bila prostija verzija rakete koja je postizala manju horizontalnu brzinu koju je cuvala u promenljivoj tipa 16 bitni ceo broj. Ariane 5 koja je imala vecu brzinu koristila je 64 bitni broj u pokretnom zarezu. Kada 64 bitni broj vise nije mogao da stane u 16 bitni pokrenula se lancana reakcija koja je i dovela do eksplozije.

NASA je 1998. lansirala orbiter oko Marsa koji je trebao da analizira klimatske prilike na planeti. Posle 287 dana orbiter je nestao i verovalo se da je izgoreo. Kasnije je ustanovljeno da je inzenjerska greska u pitanju. Naime, kontrola sonde sastojala se iz dva softvera, jednog u samoj sondi i drugog u kontrolnom centru na Zemlji. NASA je napravila novi softer koji je koristio metricki sistem dok je sonda radila na starijem softveru koji je koristio imperijalni sistem, tako da je sonda dobijala potpuno pogresne komande prilikom priblizavanja planeti i srusila se.

emsiemsi 22:46 19.02.2015

Re: Niko nije imun na greške iz prošlosti

alselone
Evropska svemirska agencija potrosila je 10 godina i 7 milijardi dolara da napravi Ariane 5 raketu koja je trebalo da nosi satelite u svemir i donese Evropi dugo cekanu nadmoc (ili makar jednakost) u polju komercijalne svemirske industrije. Raketa je eksplodirala manje od minute po poletanju. O cemu se radilo? Areane 5 je koristila modul inercionog referentnog sistema koji je originalno napravljen za Ariane 4 raketu. Taj modul je radio potpuno ispravno za Ariane 4 i smatralo se da ce raditi isto tako dobro i za Ariane 5 pa nije dovoljno testiran. Problem je bio u tome sto je Ariane 4 bila prostija verzija rakete koja je postizala manju horizontalnu brzinu koju je cuvala u promenljivoj tipa 16 bitni ceo broj. Ariane 5 koja je imala vecu brzinu koristila je 64 bitni broj u pokretnom zarezu. Kada 64 bitni broj vise nije mogao da stane u 16 bitni pokrenula se lancana reakcija koja je i dovela do eksplozije.

NASA je 1998. lansirala orbiter oko Marsa koji je trebao da analizira klimatske prilike na planeti. Posle 287 dana orbiter je nestao i verovalo se da je izgoreo. Kasnije je ustanovljeno da je inzenjerska greska u pitanju. Naime, kontrola sonde sastojala se iz dva softvera, jednog u samoj sondi i drugog u kontrolnom centru na Zemlji. NASA je napravila novi softer koji je koristio metricki sistem dok je sonda radila na starijem softveru koji je koristio imperijalni sistem, tako da je sonda dobijala potpuno pogresne komande prilikom priblizavanja planeti i srusila se.

Браво !
Толико о копи - пејст коришћењу туђих решења (које је и у уводном тексту нагласио аутор).

Dragan Pleskonjic 20:16 20.02.2015

Lenovo

Greška ili namera?

Lenovo PCs ship with man-in-the-middle adware that breaks HTTPS connections

Lenovo is selling computers that come preinstalled with adware that hijacks encrypted Web sessions and may make users vulnerable to HTTPS man-in-the-middle attacks that are trivial for attackers to carry out, security researchers said.

sioux 16:44 21.02.2015

Dobro, ajde o temi :-)

Trka u razvoju softvera se neverovatno ubrzava, sa ciljem da bi se što pre izašlo na tržište i uzeo svoj deo kolača, a to ima svoju cenu, često veoma veliku.

Oduvek je to trka, a baš da se ubrzava i to još neverovatno - ne bih rekao. Zaključak da je nebezbednost proizvod trke je pogrešan.

Nažalost, sigurnost kao deo razvojnog tj. celokupnog životnog ciklusa softvera nije ranije bila, a ni danas još uvek nije prepoznata kao značajan faktor u većini timova i tom problemu se ne pridaje potrebna pažnja.
Ne treba zanemariti i čestu pojavu da nivo svesti o problemima sigurnosti softvera nije razvijen generalno, a ponekad ni kod softverskih arhitekata, programera i ostalih učesnika u projektovanju, razvoju, testiranju i održavanju softvera.

Ne objasni ti šta je to "značajan faktor" odnosno za koga je značajan. Za proizvođača (softvera) je, u današnjem svetu, značajno da zaradi, ostalo je nevažno. Tako i za "nivo svesti".

Situacija u novije vreme je nešto bolja, ali i dalje daleko od zadovoljavajućeg nivoa. Problema ovog tipa će biti sve više.

Kako je bolja kada će problema biti sve više?
Šta je to zadovoljavajući nivo?

Za neke probleme je trebalo čak i četvrt veka (kao npr. Shellshock) ili petnaestak godina (primer je JasBug).
Ovi periodi su zaista predugi i ono što se moglo desiti ili se dešavalo u međuvremenu, možemo samo pretpostavljati.

"Predugi" je veoma problematična procena. Iz tih vremena ne može se zaključivati o nastaloj šteti - i pola godine u nekom slučaju može biti predugo.

Kako rešiti probleme sigurnosti softvera?

Kompletno rešenje ima mnogo više elemenata.

Uh, uh, stvarno misliš da kompletno rešenje uopšte postoji?

Nemoguće je sprečiti sve sigurnosne propuste, ali je potrebno njihov broj držati na prihvatljivom nivou.

Prihvatljiv nivo sigurnosnih propusta? To bi bila tema za jak doktorat.

Za siguran softver, ili bolje rečeno za ublažavanje sigurnosnih rizika

Da, najbolje je ne koristiti termin siguran softver jer isti ne postoji.

Security Development Lifecycle (SDL)

Ovo zvuči kao sprdnja kada se zna da je SDL Microsoftov.

Dragan Pleskonjic 21:19 21.02.2015

Re: Dobro, ajde o temi :-)

Verovatno Vam je poznata disciplina upravljanje rizikom u informacionoj bezbednosti (Information Security Risk Management). Ne radi se o tome da se eliminiše sav rizik, jer apsolutna bezbednost ne postoji. Samim time ne postoji ni kompletno rešenje u smislu toga da dovede do apsolutne bezbednosti. Jednostavnim rečima, radi se o tome da se odrede odnosno procene pretnji, ranjivosti, verovatnoća neželjenih događaja i njihov uticaj (impakt) na sistem. Na osnovu toga se radi procena rizika i određuju se procesi, mehanizmi, kontrole i mere da se rizik umanji, ukloni, prenese ili prihvati - (4T), a u skladu sa nivoom tolerancije rizika za organizaciju (risk apetite). To je stalni proces, a ne jednokratni događaj.

O ovome postoji nekoliko grupa standarda. Najpoznatija je familija ISO 27000, a jedan njen predstavnik je ISO/IEC 27005 Information Security Risk Management. Takođe, mislim da treba pomenuti i pojam ISMS (Information Security Management System).

Takođe, da pomenem neke korisne prakse za softversku sigurnost:

• Education and Training
• Threat modeling, attack surface reduction
• Use secure development plug-ins, secure APIs, review 3rd party code, avoid risky functions and code
• Security Code Analysis (static - SAST, dynamic - DAST)
• Security testing (fuzz testing, penetration testing)
Itd.

O raznim stvarima možemo da polemišemo. Recimo baza postojećeg softverskog koda je vremenom sve veća (prirodno), konkurencija i trka za tržište takođe. Ako je ta baza nesigurna, a na nju se "naslanjaju" novi proizvodi koji takođe nisu provereni, onda će posledično, rezultat biti da imamo nove probleme sa sigurnošću, kao i generalno pouzdanošću.

Jedan dodatni momenat je, što firme "jure novac" i to im je najbitnije kao što ste rekli u svom komentaru (nekima, možda i većini). Kao rezultat toga, procedure i prakse čiji cilj je softver sa manje sigurnosnih propusta, mogu da uspore proces tj. oduzmu vreme i koštaju dodatni novac, pa mnogi taj deo u svom radu propuštaju (svesno ili nesvesno).

Sigurnost se najčešće percipira (samo) kao trošak, dok se ne dese problemi.

Međutim, ako se ne vodi računa o tome, pa se prave propusti, to može da dovede do ozbiljnih posledica, štete za klijente, gubitka reputacije itd. Klijenti će onda možda prestati da veruju takvoj firmi i potražiti rešenja kod drugih. Time će se smanjiti i zarada.

Što se tiče predugih perioda, slažem se da to može biti relativna stvar. Nekada je i par sekundi opasno, jer može dovesti do velikih šteta. Poznati su takvi događaji, a o jednom takvom sam pisao na blogu dosta davno. Četvrta veka je svakako predugo za većinu problema.

SDL se percipira kao Microsoftov, ali neki kažu da je to generički termin, koji je Microsoft prisvojio i sada se percipira kao isključivo njegov. Pomenuo sam i SSA, BSIMM, SAMM, OWASP... Postoje razni Application Security okviri, neki su vendor specific, neki su generalni i nezavisni.

Komentar već ispade predug. Nadam se da ovo sadrži odgovore na neka pitanja navedena u Vašem gornjem komentaru.

Drago mi je da ste veoma zainteresovani za temu, pa ako postoji potreba da razgovaramo detaljnije o tom delu, mogu Vas pozvati da sednemo negde i prodiskutujemo. Možda može biti interesantno da dođete na moja 2 ili 3 predavanja na tu temu. Ovo zato što bi bilo teško sve staviti u jedan komentar na blogu. Nemojte pogrešno shvatiti ovaj poziv na predavanja jer, obzirom da ste anonimni, ne mogu znati da li ste Vi možda stručnjak za ovu oblast ili „samo“ znatiželjni. U svakom slučaju, bilo bi mi drago da razmenimo znanja.

sioux 18:34 22.02.2015

Re: Dobro, ajde o temi :-)

Jasno je da kompletno rešenje ne postoji, upravo zato i moje pitanje u vezi toga a na Vašu tvrdnju da "kompletno rešenje ima mnogo više elemenata."
U vezi "predugi" - ne bih rekao da postoji metoda koja može da obezbedi otkrivanje svih rupa. To što neka rupa nije otkrivena 25 godina ne znači da bi bila otkrivena da ju je tražilo npr. 100 stručnjaka čitavih godinu dana.

O lutanjima u ovoj oblasti upravo i govori postojanje tolikih "termina".
Još više govore činjenice da je aktuelan dokument na linku www.opensamm.org, verzija 1.0 iz marta 2009, na www.bsimm.com iz oktobra 2013, na nvd.nist.gov pod NVD/SCAP Recent Activity stoji oktobar 2012, itd.
U tekstu u kojem se pominju ovakve reference mislim da je trebalo, u svetlu navedenih datuma, objasniti njihov značaj, odnosno, da li možda neki od tih projekata zamiru ili su već zamrli.

Microsoft razvija SDL od 2002. do danas, tako da...
Ipak, kada se zna koliko su Windowsi (i ostale MS aplikacije) puni rupa (pogledajte samo propuste kod novih Win 8.1 i RT), postavlja se opravdano pitanje - da li bi se, onda, korišćenjem SDL-a uopšte povećala bezbednost?
Uzgred, MS je nedavno rasformirao TwC tim koji je i napravio SDL (http://www.geekwire.com/2014/microsoft-closing-standalone-trustworthy-computing-group-folding-work-units/). Inače, pre 20 godina Gejts izjavi da je MSu prioritet izbacivanje nove verzije a ne ispravljanje bagova. A znate li za onaj katastrofalni bezbednosni propust Worda, gde su u .doc fajlu završavali i podaci "obrisani" sa hard diska?
I, koliko je uopšte moguće napraviti bezbedan softver na nebezbednom operativnom sistemu odnosno bezbedan OS na nebezbednom hardveru (USB, BIOS, VGA, NET firmveri)?

Problem računarske bezbednosti je i multidisciplinaran problem i kao takav se mora i rešavati.
Npr. bočni akustički napad na GnuPG implementaciju RSA: analizom zvuka i ultrazvuka koji emituje kondenzator u kolu napajanja procesora (a koji korespondira struji napajanja procesora, čija je analiza odavno poznata metoda napada na zaštite integrisanih kola) u laptopu, ekstrahovani su 4096-bitni ključevi. Developeri GnuPG-a su nakon obaveštavanja od strane napadača zakrpili rupu. Takav napad ne može da izvede neko ko je samo programer, niti sam programer može da piše kod bezbedan od ovakvih napada bez potrebnih znanja inženjera elektronike.

Onaj primer sa Lenovom i Superfishom koji ste naveli, pored ostalog, pokazuje i neophodnost odgovarajuće i stroge zakonske regulative, pa i uključivanja pravnika.
Naivno je misliti da konkurentnost na tržištu može da reši bilo koji od problema iz ove oblasti. To pokazuje i primer sa Lenovom - da se najveći proizvođač računara plašio mehanizama tržišta (smanjenja zarade), ne bi ni instalirao spyware na računare koje prodaje. Očigledno je to bilo po sistemu - ako prođe, prođe, pa je naivno verovati i u kojekakve corporate responsibility i mission statements.

Btw, hvala na pozivu, ali više sam za praksu nego za teoriju. :)

Dragan Pleskonjic 19:08 22.02.2015

Re: Dobro, ajde o temi :-)

sioux

Da ne citiram pojedinačno delove iz Vašeg komentara, ali upravo se radi o tome da postoje metode, procesi, mehanizmi i prakse da se rizik umanji i da se svede na prihvatljivu meru. Kako se ta mera procenjuje i određuje je pitanje iz domena upravljanja rizikom. Neke od njih sam naveo, neke nisam, jer to nije priroda ovog bloga, kao što nije ni da se ide u sitne detalje svake od njih. To je deo kako praktičnog rada i razvoja, tako i istraživanja. Koliko se one (ne) sprovode u praksi u različitim firmama, kao i zašto je drugo pitanje. Slažemo se i da je problematika kompleksna, pa je nekako prirodno da je bilo grešaka i lutanja u prošlosti, a u nekim stvarima i dalje. Takođe, očito je da neki "love u mutnom" iz različitih razloga.

Naravno da je računarska bezbednost multidisciplinarna oblast i da se ne može rešiti samo u softveru (sistemskom, aplikativnom), niti samo o firmveru, hardveru itd. Šire gledano, ne može se osloniti samo na tehničke mere. To je stalan proces koji uključuje različite faktore. Potrebne su organizacione i pravne mere uključujući i standarde, zakonsku regulativu, kontrolu i slično, takođe. Značajno je obrazovanje i trening radi poznavanje materije, podizanja svesti o problemima (information security awareness) odnosno prakse i navike bezbednog ponašanja itd.

Uz to, veliki broj propusta je rezultat ljudske nepažnje i greški, pa možemo dodati i psihologiju (socijalni inženjering itd). Lanac je i ovde jak koliko je jaka najslabija karika.

U vezi "predugi" - ne bih rekao da postoji metoda koja može da obezbedi otkrivanje svih rupa. To što neka rupa nije otkrivena 25 godina ne znači da bi bila otkrivena da ju je tražilo npr. 100 stručnjaka čitavih godinu dana.

Ne može svih, ali veliki broj problema alati za statičku i dinamičku analizu koda (SAST, DAST) otkrivaju vrlo brzo i automatski. Recimo većina alata otkriva probleme sa OWASP Top Ten liste, ali takođe i stotine drugih. Ujedno rade klasifikaciju u pogledu rizika, obično po CVVS sistemu ili nekom drugom.

Pored toga ovi alati daju informacije o delovima (linijama) koda u kojima se problemi pojavljuju. Takođe, daju objašnjenje o načinu eksploatacije odnosno moguće zloupotrebe, tokovima procesa i podataka koji dovode do problema. Daju i detaljne preporuke kako probleme otkloniti. Dodatno proveravaju usklađenost sa vodećim standardima i daju izveštaju koji mogu poslužiti za audit, zatim za različite KPI i slično.

Btw, hvala na pozivu, ali više sam za praksu nego za teoriju. :)

Nema na čemu. Vaše je pravo da pretpostavite da se radi samo o teoriji, mada to naravno nije tako. Moj posao je i u akademiji i u industriji (kako to na zapadu vole da kažu), dakle i teorija i praksa.

dragon.leo 09:17 25.02.2015

Re: Dobro, ajde o temi :-)

sioux

Na osnovu onoga što si sioux napisao u svojim komentarima ovde, mislim da bi ti prihvatanje poziva, koji ti je autor ovog bloga uputio, veoma koristilo. Trebalo bi da sistematizuješ, proširiš i produbiš svoja znanja iz ove oblasti, koja su očigledno kod tebe vrlo površna i često pogrešna (bez zamerke). Naravno, ovo sve pod pretpostavkom da si ozbiljno zainteresovan da naučiš tematiku.

Autor je vrhunski i svetski priznat stručnjak, istrаživač, inovator, iskusan profesionalac i takođe praktičar, radio i sada radi na značajnim istraživanjima i projektima vani (vodi ih). Ovo sam saznao od kolega, studenata i mojih prijatelja koji rade u njegovoj branši i koji mu skidaju kapu. Vidim i na Internetu šta je sve uradio i postigao. Čudim se da ima strpljenja da cinculira sa tobom, a to je zato što je očigledno, po prirodi, ljubazan i pristojan čovek.

Sioux vrlo si naporan i uglavnom nisi u pravu. Pa prosta logika kaže da, ako se nešto radi na brzinu i bez poštovanja procedura, bez testiranja i provere, veća je šansa da će imati greške. Tako i softver, ako se ne radi po nekim metodologijama, pravilima i principima, a na brzinu i bez provere, u najvećem broju slučajeva će biti problema uključujući i sigurnosne. Zato postoje metode, pravila, procedure, alati i ostalo, da se rizik svede na prihvatljivu meru i postoji disciplina upravljanja rizikom

Kako kažeš da se trka ne ubrzava, pa prost pogled na stvari pokazuje da se veliki broj novih programa, kao i nove verzije sve brže i brže izbacuju na tržište, često netestirani sa bagovima, i da je trka i konkurencija sve oštrija. Takođe, ukupna količina koda je sve veća jer sve više stvari radi softver umesto ljudi i još... pa zaboga šta rade toliki programeri ako ne prave nove milione linija koda. Prosta logika kaže da složeniji mehanizam, koji ima više zupčanika, ima veću verovatnoću da se pokvari ili da ne radi dobro. A još ako je neki kod nedovoljno proveren ili nasleđen odranije, bez prave provere i bez definisanog procesa razvoja u sigurnosnom pogledu, onda su šanse za "rupe" još veće. Znači potreban je širok skup mera da se to svede na prihvatljivu meru, kao što autor lepo objašnjava.

Situacija je sada bolja u smislu da programeri više uče o sigurnosnim problemima i kako da ih izbegnu i reše, a prakse, procedure, alati i slično, se kreiraju i unapređuju. I to je ta trka, gde se situacija u jednom smislu popravlja, a u drugom ima potencijal da te popravke budu anulirane upravo zbog manjka vremena i trke za uštedama sa jedne strane, a trke za tržištem i novcem, sa druge. Problem je što sigurnost košta, uzima resurse i vreme, pa se na njoj se često štedi.

To što je Lenovo uvalio Superfish ili neka firma nešto drugo, će sigurno da im se odrazi na prodaju i profit. Pogledaj ovo:
Lenovo slapped with lawsuit over dangerous Superfish adware
Tako je i sa proizvođačima automobila, kada im se potkrade neka greška. Ali to nije argument za to da je nemoguće nešto popraviti.

Itd... da ne idem dalje u analizu detalja tvojih nebuloza.

Sioux, stalno nešto "grebeš" po površini i skačeš tamo-ovamo po stvarima koje nisu suština. Vidim da ne razumeš ni celinu niti suštinu problematike, a voliš gugluješ, pa onda nešto nađeš i onda se praviš pametan. Mnogo voliš da se raspravljaš, napadaš ljude po raznim blogovima ovde i često da troluješ.

alselone 21:58 21.02.2015

Duhovi iz proslosti

U softveru treba biti posebno pazljiv zbog jednog od osnovnih principa razvoja koji se moze opisati sa "ne postoji trajnije resenje od privremenog" ili "radi - ne diraj".

Kada smo mi poceli razvijati nas proizvod krenuli smo onako skolski od PoC (proof of concept). Hteli smo da izmodelujemo osnovnu semu baze i nad nju nabacimo mali calculation engine da vidimo da li sljaka, da li dobijamo matematicki optimalne rezultate. I dobili smo ih. Onda smo rekli - e, super, daj da dodamo jos nesto malo nad to, kad smo vec stigli dovde, pa da komercijalizujemo. I komercijalizovali smo. Onda smo rekli - daj da to jos nabudzimo, da dodamo i cloud support. I nabudzili smo. I sada nam je cela aplikacija na engleskom osim par tabela u bazi iz verzije 0.5 koja je na srpskom i unosi zabunu i "prlja" softver. Imamo tabele koje se zovu tipa "sessions" ili "roles" a imamo i "korisnik". Verovatno nikad nece biti dovoljno vremena da se to refaktoruje kako Bog zapoveda.

Skoro mi je drugar pokazao website jedne velike medjunarodne firme koji se nalazi na temp.imefirme.com. Verovatno im je proradilo na temp i rekli su - ne diraj.

Kada se ta filozofija "ne diraj, radi", ukombinuje sa rapidnim razvojem, fiksnim i kratkim rokovima, ludackom konurencijom i napretkom tehnologije to moze da stvori gremlinske bagove koje posle samo prave nindze mogu pronaci.

a_jovicic 23:26 21.02.2015

Re: Duhovi iz proslosti

alselone
Kada se ta filozofija "ne diraj, radi", ukombinuje sa rapidnim razvojem, fiksnim i kratkim rokovima, ludackom konurencijom i napretkom tehnologije to moze da stvori gremlinske bagove koje posle samo prave nindze mogu pronaci.

... a na to još dodati i "nasledjivanje" ... tj. korišćenje starih "proverenih" komponenti za dodavanje novih funkcionalnisti ili izradu potpuno novih proizvoda ... pa posle bude "jaoooj ... pa to izgleda neće da radi na xyz-bitnoj platformi" ... što je još i najmanji problem pošto se lako otkrije (tj. prsne pri startovanju). A još kad se koristi komponenta koja je nečiji tudji proizvod a ta firma više ne postoji ili više ne pruža podršku za to parče koda pa se onda ostaje na staroj platformi sve dok ima hardvera koji može da je vrti.

Nego mene nešto drugo "svrbi" ... Danas se svi kunu u Agile metodologiju ali mi ona mnogo miriše na "code-and-forget" princip. Jel' ima neka ozbiljnija studija koja se ne bavi cenom samog razvoja nego troškovima dugoročnog održavanja tako razvijenih proizvoda? U teoriji sam razvoj po ovoj metodologiji mnogo lepo zvuči (napravi automatske regresione testove i oni će da otkriju ako se nešto polomi) ... medjutim moje QA iskustvo mi govori da "automatika" može da funkcioniše na elementarnom "unit" nivou ... već kod "integracionog" može da se desi "kombinatorna eksplozija" koju nije moguće propratiti "automatikom" ... a kad dodjemo na "pre-production" ili "CAT" nivo (gde u igru ulazi gomila "živih" 3rd-party komponenti + razne kombinacije hardvera, operativnih sistema i npr. browser-a) nema te "automatike" koja će da otkrije "regresiju".

alselone 23:33 21.02.2015

Re: Duhovi iz proslosti

Jel' ima neka ozbiljnija studija koja se ne bavi cenom samog razvoja nego troškovima dugoročnog održavanja tako razvijenih proizvoda?

Odrzavanje je jeftinije jer se svodi na manje izmene. Waterfall odrzavanje je horor kod velikih projekata.

Kada se prica o softverima ispod 10 ljudi i nekom razvoju od par meseci do godinu dana u principu manje vise je sve jednako. Kada pricamo o razvoju koji przi 200 ljudi par godina onda je agile i mamo i babo.

a_jovicic 00:36 22.02.2015

Re: Duhovi iz proslosti

alselone
Jel' ima neka ozbiljnija studija koja se ne bavi cenom samog razvoja nego troškovima dugoročnog održavanja tako razvijenih proizvoda?

Odrzavanje je jeftinije jer se svodi na manje izmene. Waterfall odrzavanje je horor kod velikih projekata.

Kada se prica o softverima ispod 10 ljudi i nekom razvoju od par meseci do godinu dana u principu manje vise je sve jednako. Kada pricamo o razvoju koji przi 200 ljudi par godina onda je agile i mamo i babo.

Ih pa ne mora odma' Waterfall ... ima i nešto izmedju ... nešto što zovu Incremental development.

Ono što meni užasno smeta kod Agile-ta je što lako može da se pretvori u Fragile. Svi nešto "sprintaju" a za neke proizvode je potrebniji "maraton". Dokumentaciju svi zapostavljaju a kad za par godina treba da napraviš i sitnu izmenu negde u core-komponenti lako se desi da ti ekipa ljudi koja je to razvijala više nije u firmi (ili bar dostupna na projektu) pa se onda sve svodi na blejanje u kod i "krštenje sa obe ruke" po principu "koja je budala ovo pisala". A još ako moraš i da ispraviš svu onu "automatiku" koja bajagi otkriva regresije ispostavi se da je njena izrada bila čisto bacanje para i da iste efekte postižeš starim dobrim exploratory testing-om.

Naravno, pod dokumentacijom ne podrazumevam tonu papira ... ali SRS i neki elementarni functional spec. su nešto što moraš da imaš ako misliš da to neko kasnije održava ... a i ta dokumenta se menjaju tokom razvoja tako da je svakako potrebno vreme i za njihovo ažuriranje.

Ajd' da preformulišem pitanje ... Da li je neko uradio studiju trenutnih troškova održavanja softvera razvijenog pre 10-tak godina (kad' bi trebalo da je nastao neki veći proizvod razvijen ovom metodologijom)?

EDIT:
Dopuna pitanju ... Koliko se u Agile-tu pažnja posvećuje refaktoringu? ... a za to je definitivno potrebno vreme kojeg nikad nema dovoljno zbog ubrzanog "sprintanja"

alselone 09:03 22.02.2015

Re: Duhovi iz proslosti

Dopuna pitanju ... Koliko se u Agile-tu pažnja posvećuje refaktoringu? ... a za to je definitivno potrebno vreme kojeg nikad nema dovoljno zbog ubrzanog "sprintanja"

Koliko ti želiš. U samom frameworku postoji refactoring kao znacajna stavka, ali najvise zavisi od kompanijske implmenetacije Agile. Los menadzment moze i najbolju ideju upropastiti, tako da "ubrzano sprintanje" je pozeljna stvar ali treba voditi racuna i o ostalim delovime software development cycle.

To o cemu pricas je losa implementacija, Fragile i slicno. Ja ti mogu reci iz iskustva (sa vise detalja na PP ako zelis) da je Agile najbolje framwork za razvoj kompleksnog softvera sa puno ljudi koji sam susreo.

emsiemsi 12:09 22.02.2015

Re: Duhovi iz proslosti

alselone

...
To o cemu pricas je losa implementacija, Fragile i slicno. Ja ti mogu reci iz iskustva (sa vise detalja na PP ako zelis) da je Agile najbolje framwork za razvoj kompleksnog softvera sa puno ljudi koji sam susreo.

Дакле --- опуштено !

alselone 12:35 22.02.2015

Re: Duhovi iz proslosti

Дакле --- опуштено !

Carli moj haiku brate, sta je ovde opusteno?

a_jovicic 12:59 22.02.2015

Re: Duhovi iz proslosti

alselone
Los menadzment moze i najbolju ideju upropastiti, tako da "ubrzano sprintanje" je pozeljna stvar ali treba voditi racuna i o ostalim delovime software development cycle.

Mislim da je ovo ključna stavka za Agile -> Fragile transformaciju. Na žalost plašim se da većina menadžmenta od Agile-ta vidi samo "sprintanje" tako da meni QA-u ne ostaje ništa drugo nego "kontriranje" po pitanju izrade "svemogućih" automatskih testova i pokušaj da exploratory testing-om pohvatam regresije na višim nivoima integracije (pošto se za normalnu test-dokumentaciju svakako nema vremena)

U svakom slučaju hvala na razjašnjenu pošto sad znam na šta da obratim pažnju ... na prepoznavanje razlike izmedju kvalifikovanog Agile PM-a i onih priučenih. Kvalifikovanog možda i poslušam po pitanju "automatike"

alselone 14:55 22.02.2015

Re: Duhovi iz proslosti

U svakom slučaju hvala na razjašnjenu pošto sad znam na šta da obratim pažnju ... na prepoznavanje razlike izmedju kvalifikovanog Agile PM-a i onih priučenih. Kvalifikovanog možda i poslušam po pitanju "automatike"

Jeste. Ja imam priliku da radim sa sertifikovanim i odlicnim Agile profesionalncem koji je postavio prvo zdrave temelje u proizvodni proces a onda za nijansu modifikovao "difoltni" agile framework i prilagodio ga specificnostima nase organizacije.

Automatski testovi mogu da budu kako kazes proglaseni za svemoguce ali u pravom procesu povecavaju kvalitet i razvoja i testiranja i omogucavaju tebi da se bavis pravim QA a ne da ne mozes ni da testiras kompleksne scenarije jer ti recimo puca softver na svakom drugom kliku, ili na primer prima slova u tekst boks koji ocekuje brojeve.

Dragan Pleskonjic 13:55 22.02.2015

Application Security Testing

Za one koje ova problematika više zanima, možda može biti koristno da pogledaju i 2014 Gartner Magic Quadrant for Application Security.

On pokazuje Gartnerovu ocenu alata za:
• Dynamic Application Security Testing (DAST)
• Static Application Security Testing (SAST)

sioux 14:23 22.02.2015

Re: Application Security Testing

Dragan Pleskonjic
Za one koje ova problematika više zanima, možda može biti koristno da pogledaju i 2014 Gartner Magic Quadrant for Application Security.

On pokazuje Gartnerovu ocenu alata za:
• Dynamic Application Security Testing (DAST)
• Static Application Security Testing (SAST)

Jedna od najvažnijih stvari u oblasti bezbednosti je - kome se i koliko može verovati.

U vezi sa tim, o Gartnerovim mišljenjima korisno je pročitati i ovo:

"Gartner steadfastly refuses to provide transparency into how it arrives at MQ decisions"<-LINK

Dragan Pleskonjic 14:47 22.02.2015

Re: Application Security Testing

sioux
Jedna od najvažnijih stvari u oblasti bezbednosti je - kome se i koliko može verovati.

U vezi sa tim, o Gartnerovim mišljenjima korisno je pročitati i ovo:

"Gartner steadfastly refuses to provide transparency into how it arrives at MQ decisions"<-LINK

Jeste, to je veliko pitanje i ima dosta spekulacija na temu Gartnerovih izveštaja, kao i izveštaja drugih kuća. Jednom sam o tome pisao na svom drugom blogu na engleskom. Povod je bio to što se pojavila velika razlika u rezultatima testiranja između Gartnera i još jedne [nezavisne] laboratorije za testiranje proizvoda u oblasti bezbednosti mreža. (Napomena: [nezavisne] ima uglaste zagrade jer je teško biti potpuno siguran u to).

Ali ovaj gore link, u najmanju ruku, može da se uzme samo kao pointer na određenu grupu alata koje treba uzeti u razmatranje. Lično imam neposredna iskustva sa Fortify, AppScan i Checkmarx, kao i još nekim iz kategorije free i open source alata. Takođe, imao sam priliku da radim recenziju jednog ozbiljnog naučnog rada iz te oblasti, koji je detaljno i duboko analizirao pristupe i rezultate, ali o tome ne mogu da pišem ovde zbog pravila.

Kad smo kod pitanja poverenja u domenu računarske bezbednosti (nevezano za pomenute Gartnerove i slične izveštaje), mislim da je možda interesantno da citiram šta je napisao Steve Bellovin jer nekako ima dosta dodirnih tačaka sa temom teksta:

For more than 50 years, all computer security has been based on the separation between the trusted portion and the untrusted portion of the system. Once it was "kernel" (or "supervisor" ) versus "user" mode, on a single computer. The Orange Book recognized that the concept had to be broader, since there were all sorts of files executed or relied on by privileged portions of the system. Their newer, larger category was dubbed the "Trusted Computing Base" (TCB). When networking came along, we adopted firewalls; the TCB still existed on single computers, but we trusted "inside" computers and networks more than external ones.

There was a danger sign there, though few people recognized it: our networked systems depended on other systems for critical files....

The National Academies report Trust in Cyberspace recognized that the old TCB concept no longer made sense. (Disclaimer: I was on the committee.) Too many threats, such as Word macro viruses, lived purely at user level. Obviously, one could have arbitrarily classified word processors, spreadsheets, etc., as part of the TCB, but that would have been worse than useless; these things were too large and had no need for privileges.

In the 15+ years since then, no satisfactory replacement for the TCB model has been proposed.

Sakrij replike | Pošaljite komentar

Dragan Pleskonjic

RSS Feed Saznajte više o autoru

Blogovi autora

Svi blogovi

Duhovi iz prošlosti

Atačmenti

Tagovi

uprkos hype

Re: uprkos hype

Re: uprkos hype

Re: uprkos hype

Re: uprkos hype

Re: uprkos hype

Re: uprkos hype

Re: uprkos hype

duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Re: duh Kasper(ski)

Duhovi

Re: Duhovi

Re: Duhovi

Re: Duhovi

Re: Duhovi

Re: Duhovi

Niko nije imun na greške iz prošlosti

Re: Niko nije imun na greške iz prošlosti

Lenovo

Dobro, ajde o temi :-)

Re: Dobro, ajde o temi :-)

Re: Dobro, ajde o temi :-)

Re: Dobro, ajde o temi :-)

Re: Dobro, ajde o temi :-)

Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Re: Duhovi iz proslosti

Application Security Testing

Re: Application Security Testing

Re: Application Security Testing

Dragan Pleskonjic

Blogovi autora

Najnovije VIP blogeri

Najnovije blogeri

Arhiva

Kategorije aktivne u poslednjih 7 dana

Najaktivniji autori u poslednjih 15 dana