SSL – Security Issue

Date May 19, 2008 by moz

Η λαική ρήση που θέλει η εξέρεση να επιβεβεώνει τον κανόνα, έκανε και την εμφάνιση της στο Linux. Δεν έχουν περάσει πολλές μέρες που ανακαλύφθηκε ίσως το ποιο σοβαρό bug στο λειτουργικό αυτό και μάλιστα σε μία έκδοση που όχι μόνο είναι από τις ποιο δημοφιλείς αλλά αποτελούσε και το απώτερο σκόπό για κάποιες άλλες να φτάσουν στο επίπεδο της τόσο σαν κοινότητα όσο και σαν δυνατότητα.
Ετσι λοιπόν, στο Debian, που αυτό συναπάγεται και στις υπόλοιπες εκδόσεις που έχουν σαν βάση το παραπάνω distro, κατάλαβαν πως μετά από 2 χρόνια ( “testing” αλλά και “stable” έκδοσης ) υπάρχει έλλειψη ασφάλειας στο πακέτο SSL το οποίο ευθύνεται για την ασφαλή μεταφορά πληροφορίας στο διαδίκτιο μεταξύ των χρηστών και των servers.
Ποιο συγκρεμμένα κατά την δημιουργία του πρώτου τυχαίου αριθμός που ονομάζεται “seed” μέσα από μια διαδικασία μαθηματικών αλγορίθμων, διαπιστώθηκε πως ο αριθμός αύτός είναι προβλέψιμος. Ετσι κάποιος κακόβουλος ( ευτυχώς δεν είναι πολλοί στις μέρες μας ) μπορεί εφόσον μαντέψει τον αριθμό αυτό να “διαβάσει” όλα τα δεδoμένα που θα περάσουν από την σύνδεση αυτή plain text.
Ο λόγος για τον οποίο ξεκίνησε όλη αυτή η ιστορία είναι όταν στην προσπάθεια να φτιάξουν ένα άλλο “έντομο” που βρέθηκε στο πακέτο αυτό αφαίρεσαν μια γραμμή κώδικα η οποία τους δημιουργούσε πρόβλημα(!!!). Μάλλον ακολούθησαν την λογική ότι δεν μπορεί φτιαχτεί μπορεί να εξαφανιστεί!! Το αποτέλεσμα της αφαίρεσης αυτής της μοναδική γραμμής ήταν η μείωση των πιθανών συνδιασμών για την δημιουργία του seed από άπειρο ( θεωριτικά) σε 32,768, πράγμα που σημαίνει ότι με λίγη υπομονή και χρόνο κάποιος θα μπορούσε να βρει τον αριθμό αυτό.
Την ανακάλυψη την έκανε ένας Ιταλός ονόματι Luciano Bello ο οποίος χάρηκε πολύ από ότι κατάλαβα, και μάλιστα θα εκτυπώσει και μπλουζάκια, ίσως ζητήσει και να αλλάξουμε την ονομασία του πακέτου σε openBello κανένας δεν ξέρει.
Μέσα σε αυτή την κατάσταση που κάποιοι προσπαθούν να απαξιώσουν την ομάδα που τόσο χρόνια εργάζεται για την ανάπτυξη της συγκεκριμμένης έκδοσης το μόνο που θα ήθελα να πω είνια ότι εάν μπορούσαν αυτοί να το κάνουν καλύτερα ας το κάναν ( δεν νομίζω ) και ότι τα λάθη είναι ανθρώπινα και όταν το λειτουργικό αυτό κατασκευάζεται από ανθρώπους θα έχει και λάθη. Σκοπός δεν είναι να τους ρίξουμε στην πυρά, είμαι σίγουρος ότι το μάθημα τους το πήραν και με το παραπάνω , σκοπός είναι να στηρίξουμε αυτούς που από μεράκι προσπάθουν για το καλύτερο.

Category Posted in Internet, Linux, Open Source

4 Responses to “SSL – Security Issue”

  1. Rocean said:

    May 19th, 2008 at 8:04 pm

    Ντροπή τους… δεν προσέχουν καθόλου… :-)

  2. Amaddor said:

    May 25th, 2008 at 10:52 pm

    Na pethanoune…

  3. nohma said:

    July 31st, 2009 at 8:43 am

    εννοείτε ότι γίνονται και λάθη BUGS ΕΧΟΥΝ ΟΛΑ TA SOFTWARE!!!!
    Τα windows για παράδειγμα είναι γεμάτα BUGS ΑΔΙΑΜΒΙΣΒΤΗΤΑ!!!
    και κολάνε ιούς τον κόσμο και κάνουν και ράνουν.
    Και τα πληρώνεις και έχουν και bugs τουλάχιστον στο linux δεν πληρώνεις
    και έχεις πολύ συχνά updates ( εκτός από αυτή την σπάνια περίπτωση με το ssh)

  4. Redblogs.gr » SSL – Security Issue said:

    April 16th, 2010 at 6:01 pm

    [...] Ετσι λοιπόν, στο Debian, που αυτό συναπάγεται και στις υπόλοιπες εκδόσεις που έχουν σαν βάση το… [Διαβάστε το υπόλοιπο του άρθρου στο blog του (388 λέξεις)] [...]

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>