Skocz do zawartości
Forum Kopalni Wiedzy

Znajdź zawartość

Wyświetlanie wyników dla tagów 'OpenSSL' .



Więcej opcji wyszukiwania

  • Wyszukaj za pomocą tagów

    Wpisz tagi, oddzielając je przecinkami.
  • Wyszukaj przy użyciu nazwy użytkownika

Typ zawartości


Forum

  • Nasza społeczność
    • Sprawy administracyjne i inne
    • Luźne gatki
  • Komentarze do wiadomości
    • Medycyna
    • Technologia
    • Psychologia
    • Zdrowie i uroda
    • Bezpieczeństwo IT
    • Nauki przyrodnicze
    • Astronomia i fizyka
    • Humanistyka
    • Ciekawostki
  • Artykuły
    • Artykuły
  • Inne
    • Wywiady
    • Książki

Szukaj wyników w...

Znajdź wyniki, które zawierają...


Data utworzenia

  • Od tej daty

    Do tej daty


Ostatnia aktualizacja

  • Od tej daty

    Do tej daty


Filtruj po ilości...

Dołączył

  • Od tej daty

    Do tej daty


Grupa podstawowa


Adres URL


Skype


ICQ


Jabber


MSN


AIM


Yahoo


Lokalizacja


Zainteresowania

Znaleziono 2 wyniki

  1. Eksperci odkryli niezwykle groźną dziurę w OpenSSL - najpopularniejszym pakiecie kryptograficznym. Problem jest o tyle poważny, że opensource'owy pakiet jest wykorzystywany przez olbrzymią liczbę oprogramowania i wiele systemów operacyjnych. Otwarta implementacja SSL jest używana do tworzenia kluczy kryptograficznych, zarządzania certyfikatami, obliczania funkcji skrótu czy szyfrowania danych. Naukowcy z University of Michigan, którzy odkryli dziurę, pracują właśnie nad stworzeniem dla niej łaty. Uczeni wykazali, że wywołując niewielkie zaburzenia w źródle zasilania urządzenia podczas przetwarzania przezeń prywatnego klucza szyfrującego można odgadnąć jego fragmenty. W ten sposób wystarczy niewiele ponad 100 godzin, by uzyskać cały 1024-bitowy klucz szyfrujący. To nie tyle zagrożenie dla systemów serwerowych, co dla urządzeń konsumenckich. Dziurę można będzie wykorzystać gdy będziemy chcieli zaatakować np. odtwarzacz Blu-ray - mówi Todd Austin, jeden uczonych, którzy znaleźli dziurę. Dodaje, że atak jest możliwy, gdy np. pożyczymy komuś odtwarzacz. Napastnik może wówczas zdobyć prywatny klucz szyfrujący chroniący własność intelektualną. Znacznie trudniej będzie zaatakować serwery, co nie oznacza, że jest to niemożliwe. Gdy maszyna zacznie się przegrzewać, bądź doświadczy jakichś wahań napięcia, możliwe będzie zdobycie kluczy kryptograficznych. Uczeni z Michigan manipulowali napięciem procesora, wywołując błędy podczas mnożenia. Dzięki temu, że podczas takich operacji wykorzystywany jest algorytm Fixed Windows Exponentation, możliwe jest wykorzystanie błędów do odgadnięcia czterech bitów. Podczas eksperymentu wykorzystano aż 8800 błędnych podpisów i klaster 81 pecetów z 2,4-gigahercowymi procesorami Pentium 4. Odgadniecie 1024-bitowego klucza zajęło im 104 godziny. Badacze mówią, że podobną technikę ataku można wykorzystać przeciwko wielu innym bibliotekom kryptograficznym. Szczegóły ataku zostaną zaprezentowane w przyszłym tygodniu.
  2. Na zlecenie amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego (DHS) przeprowadzono badania dotyczące liczby luk bezpieczeństwa w kodzie popularnych opensource’owych programów. Specjaliści przyjrzeli się m.in. Sambie, PHP, Perlowi czy Amandzie. Z badań wynika, że w tego typu oprogramowaniu można znaleźć średnio 1 błąd bezpieczeństwa na 1000 linii kodu. Od czasu, gdy DHS rozpoczął swój projekt poprawiania luk w programach typu Open Source, naprawiono 7826 takich dziur, czyli jedną co dwie godziny. Departament w marcu 2006 roku zapłacił firmie Coverity 300 000 dolarów za sprawdzenie kodu 180 opensource’owych programów, z których wiele jest używanych przez agendy amerykańskiego rządu. Przyjrzyjmy się zatem, jak sprawowały się najpopularniejsze z tych programów. W Sambie znaleziono 236 błędów w 450 000 linii. Tak więc wypada ona znacznie lepiej, niż przecięty opensource’owy projekt. Z tych 236 błędów poprawiono 228. Bardzo dobrze wypada też Linux. W jądrze 2.6 odkryto 0,127 błędu na 1000 linii. Jądro to składa się z 3 milionów 639 tysięcy 322 linii. Kolejne badania dowiodły, że w ciągu ostatnich dwóch lat developerzy Linuksa usunęli 452 błędy w jądrze, 48 jest potwierdzonych, ale jeszcze niezałatanych, a kolejnych 413 błędów czeka na potwierdzenie i łaty. Z kolei we FreeBSD znaleziono 1 błąd na 2615 linii kodu, jednak dotychczas twórcy tego systemu nie poprawili żadnego z 605 niedociągnięć. Serwer Apache składa się ze 135 916 linii, a liczba błędów wynosi 0,14 na 1000 linii. Dotychczas poprawiono 3 błędy, potwierdzono istnienie 7, które jeszcze nie zostały załatane, a 12 dalszych czeka na potwierdzenie i łaty. Bardzo dobrym rezultatem może poszczycić się system bazodanowy PostgreSQL. Wśród 909 148 linii częstotliwość występowania błędów wynosi 0,041 na 1000 linii. Dotychczas załatano 53 luki znalezione przez Coverity, czyli wszystkie, których istnienie potwierdzono. Na weryfikację i łaty czeka 37 dziur. Jednak najlepszy wynik osiągnął jeden z najczęściej używanych przez developerów programów, biblioteka glibc. W 588 931 liniach kodu wykryto jedynie 83 błędy, które zostały załatane na bieżąco. Teraz w glibc nie istnieje żaden znany błąd. Podobnie zresztą jak w Amandzie (99 073 linie) i courier-maildir (82 229 linii). Coverity zbadało też graficzne interfejsy użytkownika. W KDE w 4 712 273 liniach kodu poprawiono 1554 błędy, zweryfikowano 25, a na potwierdzenie czeka jeszcze 65. Z kolei Gnome w 430 809 liniach poprawiło 357 błędów, potwierdzono istnienie 5, a 214 czeka na weryfikację. W popularnym OpenVPN znaleziono tylko 1 błąd (na 69 223 linie), ale nie został on jeszcze poprawiony. Z kolei OpenSSL składa się z 221 194 linii kodu. Dotychczas poprawiono 24 luki, 1 potwierdzono, a 24 czekają na weryfikację. Coverity nie chciał natomiast ujawnić wyników testowania produktów o zamkniętym kodzie. Firma na zlecenie swoich klientów sprawdziła 400 takich produktów. Nasi klienci nie byliby zadowoleni, gdybyśmy ujawnili liczbę błędów w ich kodzie – stwierdzili przedstawiciele Coverity.
×
×
  • Dodaj nową pozycję...