Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Coverity policzyło luki bezpieczeństwa w Open Source

Rekomendowane odpowiedzi

Na zlecenie amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego (DHS) przeprowadzono badania dotyczące liczby luk bezpieczeństwa w kodzie popularnych opensource’owych programów. Specjaliści przyjrzeli się m.in. Sambie, PHP, Perlowi czy Amandzie. Z badań wynika, że w tego typu oprogramowaniu można znaleźć średnio 1 błąd bezpieczeństwa na 1000 linii kodu.

Od czasu, gdy DHS rozpoczął swój projekt poprawiania luk w programach typu Open Source, naprawiono 7826 takich dziur, czyli jedną co dwie godziny.

Departament w marcu 2006 roku zapłacił firmie Coverity 300 000 dolarów za sprawdzenie kodu 180 opensource’owych programów, z których wiele jest używanych przez agendy amerykańskiego rządu.

Przyjrzyjmy się zatem, jak sprawowały się najpopularniejsze z tych programów.

W Sambie znaleziono 236 błędów w 450 000 linii. Tak więc wypada ona znacznie lepiej, niż przecięty opensource’owy projekt. Z tych 236 błędów poprawiono 228.

Bardzo dobrze wypada też Linux. W jądrze 2.6 odkryto 0,127 błędu na 1000 linii. Jądro to składa się z 3 milionów 639 tysięcy 322 linii. Kolejne badania dowiodły, że w ciągu ostatnich dwóch lat developerzy Linuksa usunęli 452 błędy w jądrze, 48 jest potwierdzonych, ale jeszcze niezałatanych, a kolejnych 413 błędów czeka na potwierdzenie i łaty.

Z kolei we FreeBSD znaleziono 1 błąd na 2615 linii kodu, jednak dotychczas twórcy tego systemu nie poprawili żadnego z 605 niedociągnięć.

Serwer Apache składa się ze 135 916 linii, a liczba błędów wynosi 0,14 na 1000 linii. Dotychczas poprawiono 3 błędy, potwierdzono istnienie 7, które jeszcze nie zostały załatane, a 12 dalszych czeka na potwierdzenie i łaty.

Bardzo dobrym rezultatem może poszczycić się system bazodanowy PostgreSQL. Wśród 909 148 linii częstotliwość występowania błędów wynosi 0,041 na 1000 linii. Dotychczas załatano 53 luki znalezione przez Coverity, czyli wszystkie, których istnienie potwierdzono. Na weryfikację i łaty czeka 37 dziur.

Jednak najlepszy wynik osiągnął jeden z najczęściej używanych przez developerów programów, biblioteka glibc. W 588 931 liniach kodu wykryto jedynie 83 błędy, które zostały załatane na bieżąco. Teraz w glibc nie istnieje żaden znany błąd. Podobnie zresztą jak w Amandzie (99 073 linie) i courier-maildir (82 229 linii).

Coverity zbadało też graficzne interfejsy użytkownika.

W KDE w 4 712 273 liniach kodu poprawiono 1554 błędy, zweryfikowano 25, a na potwierdzenie czeka jeszcze 65. Z kolei Gnome w 430 809 liniach poprawiło 357 błędów, potwierdzono istnienie 5, a 214 czeka na weryfikację.

W popularnym OpenVPN znaleziono tylko 1 błąd (na 69 223 linie), ale nie został on jeszcze poprawiony. Z kolei OpenSSL składa się z 221 194 linii kodu. Dotychczas poprawiono 24 luki, 1 potwierdzono, a 24 czekają na weryfikację.

Coverity nie chciał natomiast ujawnić wyników testowania produktów o zamkniętym kodzie. Firma na zlecenie swoich klientów sprawdziła 400 takich produktów. Nasi klienci nie byliby zadowoleni, gdybyśmy ujawnili liczbę błędów w ich kodzie – stwierdzili przedstawiciele Coverity.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

FreeBSD bardziej dziurawy od Linuksa? Prawdę mówiąc mimo, iż jestem fanem Pingwina, jestem zaskoczony. Pozytywnie rzecz jasna :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

FreeBSD bardziej dziurawy od Linuksa? Prawdę mówiąc mimo, iż jestem fanem Pingwina, jestem zaskoczony. Pozytywnie rzecz jasna :)

 

Cześć, może ja czegoś nie doczytałem, jednak jest napisane ze jajko 2.6 ma 0,33 błędu a FreeBSD 1 na 2615 linii kodu. Więc linux ma mniej dziur.. :P

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
W jądrze 2.6 odkryto 0,127 błędu na 1000 linii

 

we FreeBSD znaleziono 1 błąd na 2615 linii kodu

1/2615 = 0,382/1000

 

Czyli FreeBSD ma ich trzykrotnie więcej, co zresztą napisałem w poprzednim poście (tylko od drugiej strony, tzn. pisząc, że  FreeBSD jest bardziej dziurawy) :) Choć oczywiście pozostaje pytanie, na ile poważne są to dziury, ale tutaj odpowiedzieć nie potrafię.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ze statystykami FreeBSD jest ten problem, ze, dlugo zanim Coverity zaczelo skanowac caly swiat open source, FreeBSD postawilo sobie wlasny serwer z ich oprogramowaniem.  Na publicznym http://scan.coverity.com nikt z developerow FreeBSD nie odznaczal bledow poprawionych albo uznanych za falszywe pozytywy, dlatego statystyki wygladaja tak, jak wygladaja.  Ludzie z Coverity wiedza o tym problemie ("The Scan statistics for FreeBSD have not been pulling in the numbers from that work, though it has been on my to-do list to fix that for some time") i obiecali poprawic: http://scan.coverity.com/, wpis z 11 stycznia 2008.

 

Wiecej informacji: http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Na zlecenie amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego (DHS) przeprowadzno badania dotyczące liczby luk bezpieczeństwa w kodzie popularnych opensource’owych programów. Specjaliści przyjrzeli się m.in. Sambie, PHP, Perlowi czy Amandzie.

 

No to teraz pojawią się wirusy na pingwina i całą resztę open. 8)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ach, cudowny i niezastąpiony waldi, który jak zawsze wie najlepiej :) to forum byłoby tak dziwacznie rozsądne gdyby nie Twoje uwagi :P

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Międzynarodowy zespół naukowy pracujący przy projekcie GNOME, w skład którego wchodzą uczeni z Polski, Niemiec, Serbii, Izraela, Korei Południowej, Chin, Australii i USA, ogłosił pierwsze wyniki poszukiwań ciemnej materii za pomocą ogólnoświatowej sieci magnetometrów optycznych. We wspomnianych 8 krajach znajduje się 14 magnetometrów, a do obecnie opublikowanej analizy wykorzystano dane z 9 z nich.
      GNOME to skrót od Global Network of Optical Magnetometers for Exotic Physics Searches. Celem projektu jest wykrycie charakterystycznego sygnału, który powinien być generowany przez pola ciemnej materii. Właśnie opublikowano dane z miesiąca nieprzerwanej pracy GNOME. Co prawda sygnał z ciemnej materii nie został wykryty, jednak pomiary pozwoliły na ściślejsze określenie, w jakich zakresach należy sygnału poszukiwać.
      Obecnie wiemy, że wiele obserwowanych zjawisk, jak np. prędkość obrotową gwiazd w galaktykach czy spektrum promieniowania tła, można wyjaśnić przyjmując istnienie ciemnej materii. Jednak samej ciemnej materii nie udało się dotychczas wykryć.
      Niezwykle lekkie cząstki bozonowe to najbardziej obiecujący kandydaci na ciemną materię. Są wśród nich cząstki podobne do aksjonów (ALP). Można je rozpatrywać jako klasyczne pole oscylujące w określonej częstotliwości. Cechą szczególną takich pól bozonowych jest – wedle jednego z teoretycznie możliwych scenariuszy – że mogą tworzyć one pewne wzorce i struktury. To zaś powoduje, że ciemna materia może mieć różną gęstość w różnych miejscach, tworząc na przykład rodzaj ścian mniejszych niż galaktyka, ale większych niż Ziemia, mówi profesor Dmitry Budker z Uniwersytetu Gutenberga z Moguncji.
      Jeśli taka ściana napotka Ziemię, będzie się przez nią przesuwała i będzie po kolei wykrywana przez poszczególne magnetometry sieci GNOME, generując w nich charakterystyczne sygnały. Co więcej, sygnały te będą ze sobą skorelowane, w zależności od tego, jak szybko ta ściana będzie się przesuwała i kiedy dotrze do poszczególnych magnetometrów, wyjaśnia jeden ze współautorów badań, doktor Arne Wickenbrock.
      Sygnał w magnetometrach powinien powstać w wyniku interakcji ciemnej materii ze spinem atomów w urządzeniach. Zgromadzone w nich atomy są wzbudzane za pomocą lasera o określonej częstotliwości, dzięki czemu ich spiny zwrócone są w tym samym kierunku. Przechodzące przez magnetometr pole ciemnej materii powinno zaburzyć ułożenie spinów, co można zmierzyć.
      Hector Masia-Roig, doktorant pracujący w grupie profesora Budkera, porównuje atomy do chaotycznie tańczących osób. Gdy jednak „usłyszą” odpowiednią częstotliwość lasera, atomy koordynują swój taniec. Ciemna materia może wytrącić je z równowagi, a my możemy bardzo precyzyjnie zmierzyć te zaburzenia. Możliwość skorzystania z ogólnoświatowej sieci magnetometrów pozwoli na określenie, co zaburzyło spiny atomów. Gdy bowiem Ziemia będzie przechodziła przez ścianę ciemnej materii, atomy w poszczególnych stacjach będą stopniowo zaburzane. Dopiero gdy porównamy ze sobą sygnały ze wszystkich stacji, będziemy mogli stwierdzić, co je zaburzyło. Wracając do analogii z tańczącymi – będziemy mogli powiedzieć, czy do zaburzenia doszło dlatego, że pojawił się tancerz, który wypadł z rytmu i przeszkadzał innym, czy też było to zjawisko globalne, spowodowane przez ciemną materię.
      Wspomniane na wstępie pomiary całego miesiąca pracy GNOME pozwoliły na stwierdzenie, że statystycznie znaczący sygnał nie pojawia się w badanym zakresie masy od 1 do 100 000 femtoelektronowoltów (feV). To zaś oznacza, że naukowcy mogą zawęzić obszar poszukiwań masy cząstek ciemnej materii.
      W przyszłości naukowcy chcą skupić się na udoskonaleniu magnetometrów i metod analizy danych. Głównym celem ich pracy będzie zwiększenie stabilności działania magnetometrów, by mogły pracować dłużej bez przerw. Ponadto wykorzystywane obecnie atomy metali z grupy litowców zostaną zastąpione atomami gazów szlachetnych. Tak udoskonalony Advanced GNOME ma pozwolić na zwiększenie precyzji pomiarów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Apple zamknie lukę, która pozwala organom ścigania na zdobycie informacji osobistych z zablokowanego iPhone'a. Dziura zostanie załatana wraz z najbliższą aktualizacją iOS-a.
      Po jej naprawieniu nie będzie już możliwe pobranie danych przez port Lightning. Nadal będzie on wykorzystywany do transferu danych, jednak jeśli w ciągu godziny po zablokowaniu telefonu urządzenie nie zostanie odblokowane za pomocą hasła, transfer danych zostanie wyłączony.
      To właśnie tę dziurę wykorzystano podczas głośnego włamania do iPhone'a mordercy z San Bernardino. Po odmowie współpracy ze strony Apple'a, FBI wynajęło nieujawnioną dotychczas firmę, która wydobyła dane z zablokowanego telefonu.
      Postawa Apple'a, które odmówiło FBI pomocy przy zdobyciu danych z telefonu terrorysty, wywołała dyskusję na temat kwestii prawnych, etycznych i technicznych. Koncern został ostro skrytykowany m.in. przez kandydata na prezydenta, Donalda Trumpa.
      Teraz firma jeszcze bardziej zwiększy bezpieczeństwo swoich urządzeń i utrudni tym samym organom ścigania dostęp do telefonów przestępców. Dyrektor wykonawczy Apple'a Tim Cook stwierdził, że prawo do prywatności jest podstawowym prawem człowieka i skrytykował Facebooka oraz Google'a za przechowywanie i przetwarzanie w celach marketingowych olbrzymich ilości dancyh swoich użytkowników. Sprzeciwiał się też próbom uzyskania przez FBI dostępu do iPhone'a terrorysty z San Bernardino twierdząc, że stworzyłoby to niebezpieczny precedens.
      Nie wiadomo, dlaczego Apple tak długo zwlekało z załataniem dziury, która była znana organom ścigania i, prawdopodobnie, przestępcom.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Microsoft prowadzi śledztwo mające wyjaśnić, jak prototypowy kod atakujący niebezpieczną dziurę w Windows trafił do rąk cyberprzestępców. Microsoft przed tygodniem wydał kolejny comiesięczny zestaw poprawek w ramach Patch Tueday. Znalazła się w nim łata na poważną dziurę w Remote Desktop Protocol, która pozwala przestępcom na przejęcie kontroli nad systemem. Wcześniej w ramach Microsoft Active Protection Program (MAPP) koncern z Redmond dostarczył firmom antywirusowym prototypowy kod atakujący dziurę. Microsoft standardowo przekazuje 79 wybranym firmom antywirusowym szczegóły techniczne dziur jeszcze zanim je załata. Dzięki temu firmy mogą szybko przygotować oprogramowanie zabezpieczające. Pojawienie się łat jest bowiem dla cyberprzestępców okazją do wykonania na nich inżynierii wstecznej i poznanie dzięki temu szczegółów załatanych dziur. Czasami potrafią oni przygotować szkodliwy kod w ciągu kilku godzin od opublikowania przez Microsoft poprawek.
      Tym razem jednak przygotowany kod przygotowany w Redmond na potrzeby firm antywirusowych wyciekł do internetu. Co więcej, trafił tam nie tylko kod Microsftu. Znany specjalista ds. bezpieczeństwa, Luigi Auriemma, który w maju 2011 roku odkrył wspomnianą dziurę, poinformował o niej Zero Day Initiative (ZDI) i dostarczył prototypowy kod, poinformował, że tego samego dnia, gdy wyciekł kod Microsoftu, on znalazł swój prototypowy kod na jednej z chińskich witryn.
      Auriemma twierdzi, że odkryty przezeń program zawierał znaki „MSRC11678„ co wskazuje, że do wycieku doszło w Microsofcie, a nie w ZDI. Kod Auriemmy został przekazany Microsoftowi przez ZDI w sierpniu 2011 roku w celu wykonania szczegółowych analiz.
      Na szczęście prototypy, które przedostały się do internetu, nie pozwalają na zdalne przejęcie kontroli nad komputerem. Umożliwiają jednak spowodowanie awarii systemu.
      Jak mówią przedstawiciele ZDI, Microsoft zgadza się z wnioskiem, że to nie ZDI jest źródłem przecieku. Na razie nie wiadomo, czy kod upublicznił ktoś z Microsoft czy też z firm antywirusowych.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...