Gå til innhold

Symantec: ? Slå av pcAnywhere nå

Nilsen

Av Nilsen
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Simen1

Simen1

Skrevet
Skrevet

PCanywhere er installert på ørten maskiner rundt i verden. Det er ikke sånn at det er mulig å gå inn å endre kildekoden på programmene som kjører rundt om kring. Problemet handler om at programmet har bakdør(er) der man ikke trenger å vite passord og brukernavn for å logge inn med og heller ikke trenger å endre koden for at det skal oppstå sikkerhetshull.

 

: Det kan hende at Windows er secure by design, men det må du ta Microsofts ord på. Det er ingen mulighet for å sjekke det selv siden utenforstående ikke får se kildekoden. Ingen innsyn = obskurt.

  • Liker 3
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet
Simen1 skrev (På 28.1.2012 den 22.11):

PCanywhere er installert på ørten maskiner rundt i verden. Det er ikke sånn at det er mulig å gå inn å endre kildekoden på programmene som kjører rundt om kring. Problemet handler om at programmet har bakdør(er) der man ikke trenger passord og brukernavn for å logge inn med.

 

: Det kan hende at Windows er secure by design, men det må du ta Microsofts ord på. Det er ingen mulighet for å sjekke det selv siden utenforstående ikke får se kildekoden. Ingen innsyn = obskurt.

Vel US Army valgte Windows 2003 servere nettopp på grunn av at Microsoft kunne tilfredsstille krav om "secure by design and default" prinsippet. Å beskytte kildekoden sin er akkurat det samme som at Coka Cola beskytter oppskriften sin på cola.

Siden du er Linux dude, så leser du vel ikke linkene som jeg postet fra Microsoft Developer Network. Vel det er obscurity by default fra din side...

Lenke til kommentar
Simen1

Simen1

Skrevet
Skrevet (endret)

Jeg har skumlest artikkelen og den illustrerer godt nettopp det jeg sa. Artikkelen er Microsofts ord. Man må ta Microsofts ord for at sikkerheten er god fordi man ikke har mulighet til å kontrollere sånt selv.

 

Jeg ser du påstår at Microsoft har security by design, men det har du ingen mulighet til å verifisere eller dokumentere ut over at du må ta Microsofts ord for det.

 

Pentagon kjører ikke noen standard Windows. De kjører en egen spesialutgave som de har vært involvert i utviklingen av. Jeg og du kan bare spekulere i hvorfor og hvor mye slektskap de har med vanlige windowser. Min gjetning er at de er strippet for unødvendige funksjoner, har mindre åpne koblinger mellom deler av OSet og at militære eksperter har saumfart kildekoden. I mindre sikkerhetskritiske deler av det amerikanske militæret bruker de helt vanlige windowser og Linuxdistroer. F.eks i webservere og brukermaskiner for soldater osv.

 

Men tilbake til saken: Pentagon kjører neppe Symantecs Pcanywhere. :)

Endret av Simen1
  • Liker 1
Lenke til kommentar
G

G

Skrevet
Skrevet

Det sier seg jo selv, men ingen ser ut til å kritisere følgende:

 

1. Symantec er et sikkerhetsselskap

2. Symantec leverer sikkerhetsprogramvare

 

Altså om Symantec besitter begge egenskapene som nevnt over, hvorfor i all verden har de kildekoden liggende på en server.

 

Det skulle vært oppbevart innelåst, hvorpå ingeniørene som trenger kildekoden for å videreutvikle på den, må innom et rigid registreringssystem og tilbakeleveringssystem.

 

Altså er Symantec ikke et sikkerhetsselskap og de leverer heller ikke sikre produkter. :roll:

 

Utover det så har jo Symantec en del kompetanse innen sikkerhet, men det må være noe spinnvilt med ledelse, ansatte og måten de driver businessen sin på.

Lenke til kommentar
sinnaelgen

sinnaelgen

Skrevet
Skrevet

Jeg ser at jeg blir nødt til forklare hva jeg mente lenger oppe i posten.

 

Når man logger inn og skriver inn alle nødvendige passord og id er så vil jo systemet sjekke dette opp mot et register ell.l.

 

Hvis man har hele kildekoden så kan se hvordan denne sjekken foretaes , da kan man lage et program som leser av de riktige kodene.

Hvis dette tilleggsprogrammet også fyller inn alle passorden så kommer man seg inn i systemet.

Lenke til kommentar
Occi

Occi

Skrevet
Skrevet

Programmering er ikke så enkelt elgen.. Om programmet er sikkert, så har det ingenting å si om kildekoden er tilgjengelig, da selve sjekket skal være sikker og skal ikke kunne være sårbar for noen input utover brukernavn og et passord som er renset for evt. kode som kan kræsje med behandlingen, slik som f. eks sql-injection som er det mest kjente fenomenet.

  • Liker 3
Lenke til kommentar
sinnaelgen

sinnaelgen

Skrevet
Skrevet

Programmering er ikke så enkelt elgen.. Om programmet er sikkert, så har det ingenting å si om kildekoden er tilgjengelig, da selve sjekket skal være sikker og skal ikke kunne være sårbar for noen input utover brukernavn og et passord som er renset for evt. kode som kan kræsje med behandlingen, slik som f. eks sql-injection som er det mest kjente fenomenet.

 

Poenget mit er hvis man kjenner den fullstendige kilde koden ( også hvordan systemet foretar sjekken) så kan man omgå sikkerheten ved lit kreativ programmering.

Man utnytter metodene i system sjekken til finne ut hva som er gyldige passord m.m.

 

Da sitter mani gjen med de riktige kodene

 

Selv om om selve sjekken blir foretatt av et delprogram så utnytter man det programmet for finne de riktige kodene så lenge man kjenner metoden

Lenke til kommentar
sinnaelgen

sinnaelgen

Skrevet
Skrevet

Som programmerer skal man anta at andre har tilgang til kildekoden. Om den er åpen eller lukket har ingen betydning for når en god programmerer koder.

 

Det er når feile personer for tilgang til kildekoden man er ille ute.

Da blir det om å gjøre at feile personer ikke får tilgang til listen med innlogging data.

 

Men er det noen som har spurt seg selv hvorfor man har en bakdør for å komme inn i systemet .

 

Her blir problemet at hvis man kjenner kildekoden fult ut så kjenner man også bakdøren

Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Det sier seg jo selv, men ingen ser ut til å kritisere følgende:

 

1. Symantec er et sikkerhetsselskap

2. Symantec leverer sikkerhetsprogramvare

 

Altså om Symantec besitter begge egenskapene som nevnt over, hvorfor i all verden har de kildekoden liggende på en server.

 

Det skulle vært oppbevart innelåst, hvorpå ingeniørene som trenger kildekoden for å videreutvikle på den, må innom et rigid registreringssystem og tilbakeleveringssystem.

 

Altså er Symantec ikke et sikkerhetsselskap og de leverer heller ikke sikre produkter. :roll:

 

Utover det så har jo Symantec en del kompetanse innen sikkerhet, men det må være noe spinnvilt med ledelse, ansatte og måten de driver businessen sin på.

Et annet skudd for baugen for Symantec er at koden ble stelt i 2006 og nå først varsler de.

Lenke til kommentar
del_diablo

del_diablo

Skrevet
Skrevet

"Problemet" er at i din analogie så legger man hele bakdøren inn i kildekoden, i stede for at bakdøren er laget som en ekstern fil som brukeren selv definerer.

Så problemet er ikke at kildekoden er åpen, men at bakdøren er en offentlig sannhet. Vis kildekoden er lukket er fortsatt den nøyaktig samme bakdøren der, men den må finnes først. Så med lukket kildekode så har du en pen bakdør, men du vet ikke hvor den er. Symantec og "heldige hakkere" har denne bakdøren.

Med åpen kildekode derimot så er de fleste ikke dum nok til å legge inn en bakdør, bortsett fra fysisk tilgang da.

Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Jeg har skumlest artikkelen og den illustrerer godt nettopp det jeg sa. Artikkelen er Microsofts ord. Man må ta Microsofts ord for at sikkerheten er god fordi man ikke har mulighet til å kontrollere sånt selv.

 

Jeg ser du påstår at Microsoft har security by design, men det har du ingen mulighet til å verifisere eller dokumentere ut over at du må ta Microsofts ord for det.

 

Pentagon kjører ikke noen standard Windows. De kjører en egen spesialutgave som de har vært involvert i utviklingen av. Jeg og du kan bare spekulere i hvorfor og hvor mye slektskap de har med vanlige windowser. Min gjetning er at de er strippet for unødvendige funksjoner, har mindre åpne koblinger mellom deler av OSet og at militære eksperter har saumfart kildekoden. I mindre sikkerhetskritiske deler av det amerikanske militæret bruker de helt vanlige windowser og Linuxdistroer. F.eks i webservere og brukermaskiner for soldater osv.

 

Men tilbake til saken: Pentagon kjører neppe Symantecs Pcanywhere. :)

 

Vell, siste jeg hørte fra DoD (Department of Defense) så hadde de utviklet en egen Linux distro med fokus på sikkerhet.

Ganske fancy sånn sett, så jeg vil anta at de bruker mer Linux enn Windows for det som skal sikres, i tillegg til US Navy sin blemme med "Smart warship" som kjørte Windows NT og fikk blåskjerm ute på øvelse, hvor resultatet var tauing til tørrdokk og ligge der en uke.

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

"Problemet" er at i din analogie så legger man hele bakdøren inn i kildekoden, i stede for at bakdøren er laget som en ekstern fil som brukeren selv definerer.

Så problemet er ikke at kildekoden er åpen, men at bakdøren er en offentlig sannhet. Vis kildekoden er lukket er fortsatt den nøyaktig samme bakdøren der, men den må finnes først. Så med lukket kildekode så har du en pen bakdør, men du vet ikke hvor den er. Symantec og "heldige hakkere" har denne bakdøren.

Med åpen kildekode derimot så er de fleste ikke dum nok til å legge inn en bakdør, bortsett fra fysisk tilgang da.

Om utviklerselskapet Symantec først behøver en bakdør i PCanywhere, for eksempel fordi en "dustekunde" må ha tilgang til serveren sin ASAP (istedetfor å måtte besøke "sin server" fysisk for å rydde opp i mangel av passord), så burde de f.eks. aldri bruke slik programvare på sin egen server fordi en ansatt hos Symantec synes det er fint å ha tilgang til kildekoden på reise over hele kloden. Ville det ikke vært bedre at han hadde den på en kryptert minnepenn, med dobbel kryptering og forskjellig kryptering?

 

Alternativt, må de utvikle en egen "Reise rundt med tilgang fra hvor som helst"-programvare for kun egen bruk. Den bør ha ingen bakdører, fordi det alltid er noen på kontoret til Symantec som bør ha adgang til "velvet" hvor kildekoden oppbevares. Den spesielle programvaren kan f.eks. kommunisere med hjemmebasen over kvadruple-VPN krypteringer eller noe annet fancy.. For når det kommer til stykke, så er kildekode i prinsippet ikke større enn en veldig stor notepad-fil, og da tåler man å overføre det med flere lag krypteringer uten at særlig tid går tapt på den jobben.

Endret av G
Lenke til kommentar
sinnaelgen

sinnaelgen

Skrevet
Skrevet

"Problemet" er at i din analogie så legger man hele bakdøren inn i kildekoden, i stede for at bakdøren er laget som en ekstern fil som brukeren selv definerer.

Så problemet er ikke at kildekoden er åpen, men at bakdøren er en offentlig sannhet. Vis kildekoden er lukket er fortsatt den nøyaktig samme bakdøren der, men den må finnes først. Så med lukket kildekode så har du en pen bakdør, men du vet ikke hvor den er. Symantec og "heldige hakkere" har denne bakdøren.

Med åpen kildekode derimot så er de fleste ikke dum nok til å legge inn en bakdør, bortsett fra fysisk tilgang da.

 

Det du tenker på her er ikke annet en en kode som må leses fra en datafil før programmet kan fortsette.

 

Her må koden og noen spesifikasjoner passe samme før det blir godkjent , i praksis samme analogi som å sammenligne data med hverandre.

 

Hvis man da kjenner til hvordan sameligningen foregår ved å kjenne til programkoden så har man akkurat det samme problemet

( spesielt hvis man får hovedprogrammet til å bruke et hacket program)

 

Det eneste som da er sikkert er et ekstern program som godkjenner innloggingen for hovedprogrammet uten å gi noen form for kode i retur .

her er det forsatt viktig at feile personer ikke får tilgang til kildekoden for da har man samme problemet

 

 

jeg mener at så lenge man vet hvordan godkjenningen for tilgang foregår fult ut så kan man lure systemet uansett hvor mange koder det brukes.

Kjenner man metoden så skal det heller ikke være for vanskelig å unngå mange sikkerhetssperrer ved å finne koden som brukes.

 

Du er kanskje ikke klar over hvorfor mange programmer har en bakdør .

 

Det paradoksale her er at bakdøren er en del av sikkerheten

Lenke til kommentar
sinnaelgen

sinnaelgen

Skrevet
Skrevet (endret)

Så lenge man kjenner til hvordan programmet funger fult ut så er det mulig å bryte seg inn i det.

 

først lagger man sitt eget for å lese av koden som må til

 

selv når koden blir kryptert ( de koden som brukes til å sammenligne med dem som skrives inn ) .

 

Det er nok også derfor man har klar å lage piratversjoner av en del kjente programmer

 

kjenner man ikke hele systemet så blir det selvsagt verre

 

 

Det er bare lit vanskelig å forklare

Endret av den andre elgen
Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

dette blir bare gjetting fra din side elgen...

Du er flink til å holde samtale i gang, men uten noen som helst kildereferanse, blir det bare kverulering...

  • Liker 1
Lenke til kommentar
sinnaelgen

sinnaelgen

Skrevet
Skrevet

dette blir bare gjetting fra din side elgen...

Du er flink til å holde samtale i gang, men uten noen som helst kildereferanse, blir det bare kverulering...

 

Nå er det uhyre vanskelig og alt for omfattende å forklare her.

(da må jeg ha en kilde kode å vise til)

 

Slik ting er noe man ikke finner kilder til for så det er så få som har forsøkt.

jeg tviler for at slike personer som har forsøk eller vil forsøke legger kilden tilgjengelig for alle.

 

jeg har forsøkt å forklare prinsippet, men som vanlig når ingen andre som kjenner koden har sett seg bryet med å bekrefte det så blir det umulig å komme gjennom her

 

 

jeg har heller ikke fått høre om hvordan motttiltakene er

Lenke til kommentar
Occi

Occi

Skrevet
Skrevet (endret)

Programmering er ikke så enkelt elgen.. Om programmet er sikkert, så har det ingenting å si om kildekoden er tilgjengelig, da selve sjekket skal være sikker og skal ikke kunne være sårbar for noen input utover brukernavn og et passord som er renset for evt. kode som kan kræsje med behandlingen, slik som f. eks sql-injection som er det mest kjente fenomenet.

Poenget mit er hvis man kjenner den fullstendige kilde koden ( også hvordan systemet foretar sjekken) så kan man omgå sikkerheten ved lit kreativ programmering.

Nei, ikke hvis programmet er sikkert. Da har det ingenting å si at kildekoden er åpen. Så lenge det f. eks kjører noe serverprogramvare som en klient skal logge inn på, som kun har en protocol, og kun to inputs (brukernavn, passord), som begge sjekkes for skadelig kode (sql-injection o.l.), så har det ingenting å si om kildekoden er åpen!

Man utnytter metodene i system sjekken til finne ut hva som er gyldige passord m.m.

Da sitter mani gjen med de riktige kodene

Selv om om selve sjekken blir foretatt av et delprogram så utnytter man det programmet for finne de riktige kodene så lenge man kjenner metoden

Har ikke noe å si om du kjenner metoden. Du kan ikke nok programmering om du påstår at alle systemer er åpne for injection om du kan koden, det er totalt bullshit.

Endret av Occi
  • Liker 2
Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet
Simen1 skrev (På 28.1.2012 den 22.11):

: Det kan hende at Windows er secure by design, men det må du ta Microsofts ord på. Det er ingen mulighet for å sjekke det selv siden utenforstående ikke får se kildekoden. Ingen innsyn = obskurt.

http://www.microsoft.com/resources/sharedsource/default.mspx

Under MS sitt shared source initiative kan utenforstående under visse forutsetninger få tilgang til koden.

 

Fortsatt ikke helt åpent men heller ikke lukket. ;)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...