Foros Club Delphi

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)
-   La Taberna (https://www.clubdelphi.com/foros/forumdisplay.php?f=40)
-   -   Grave Bug de seguridad durante 9 años en linux (https://www.clubdelphi.com/foros/showthread.php?t=85341)

mamcx 05-03-2014 02:53:26
Grave Bug de seguridad durante 9 años en linux
 
http://arstechnica.com/security/2014...eavesdropping/

Luego del descubierto en iOS/OSX (ya cerrado)

Modo Critico ON:

No que open source es mas seguro porque cientos de ojos y bla bla bla?

Como rayos hay un GOTO maldito en el codigo de OSX?

Que combina con:

Modo Conspiratorio ON:

Es un bug plantado por la NSA.

Casimiro Noteví 05-03-2014 09:35:33
Pues imagínate lo que habrá en un sistema en el que no puedes ver el código fuente :p

Por cierto, en linux también lo solucionaron al momento. A las pocas horas recibí un mensaje del gestor de actualizaciones informando que se procedía a aplicarlo en mi equipo (y en el de todo el mundo que tenga linux)

http://guai.internautas.org/html/611.html

RONPABLO 05-03-2014 17:38:24
Cita:
Empezado por mamcx
No que open source es mas seguro porque cientos de ojos y bla bla bla?
Creo que es ingenuo pensar que cualquier sistema operativo esta excento de fallos de seguridad. Ahora particularmente creo que internamente en Linux puede existir más fallos que aun no se han encontrado, pero lo mismo lo pienso de OSX o de Windows, la diferencia radica en:

1. Con certeza se puede decir que en Linux cualquiera con el conocimiento necesario puede buscar dichos fallos viendo el código... Ahora la pregunta es cuantas personas pueden detectar en OSX o en Windows si no se tiene el código a disposición de auditores externos especializados en el tema, sólo lo que al interior de cada empresa se pueda encontrar o lo que alguna empresa o persona encuentre haciendo ingeniería inversa y en muchos casos haciendo algo que se puede considerar una violación de patentes o de la ley de protección a el software.

2. Cuanto tiempo tarda cada empresa o comunidad en reparar sus bugs...

3. Cuantos bugs extremadamente graves simplemente nunca fueron reportados porque nunca fueron puesto en el ojo publico por un medio externo (o mejor dicho, en Linux siempre se reportan sus fallos sin importar que esto pueda afectar su imagen, eso siempre es así en windows y IOS?).

mamcx 05-03-2014 18:33:37
Me inclino mas por pensar que fue codigo plantado de forma maliciosa.

Sin embargo, el detectar un fallo de seguridad es muy dificil "mirando" codigo. Lo grave es que no hay testeo! Y eso es una falla que aplica tanto al codigo cerrado como al abierto.

Ñuño Martínez 06-03-2014 14:12:21
Si leéis el artículo, veréis que se trata de un fallo bastante tonto, pero difícil de detectar.

La biblioteca está escrita en C, donde no existe un tipo de dato BOOLEAN como en Pascal (o al menos no existía antes del C99, y aunque desde este último ya existe por lo que sé no se diferencia mucho al método antiguo). C usa simplemente un valor entero, donde verdadero es "cualquier valor diferente de cero".

Al parecer, y por lo que leo, alguien puso
Código:
if (conexion (parametros)) todo_bien (); else error_en_conexion ();
donde debería poner
Código:
if (conexion (parametros) >= 0) todo_bien (); else error_en_conexion ();
Como digo es un error bastante tonto, y más teniendo en cuenta que tradicionalmente en C un valor menor de cero suele identificarse como un error.

mamcx 06-03-2014 17:37:31
Que sea dificil de detectar (a simple vista) es una cosa. Que pasen 9 años y no hayan test que verifiquen una pieza de seguridad es una cosa diferente.

Aunque parece que pa rematar el grupo encargado de ese codigo tampoco es que fuera muy bueno que digamos.


---

A proposito, otra consecuencia del maldito C.


La franja horaria es GMT +2. Ahora son las 18:02:36.

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi