BIND exploitok es meg mas

Adam Szilveszter sziszi at bsd.hu
2001. Feb. 2., P, 11:03:52 CET


Hali!

Mint az elmult napokban tobben ertesulhettetek rola, egy ujabb problema
merult fel a named biztonsagaval kapcsolatban. Ebben meg nincs is semmi
megdobbento. Volt es meg lesz is ilyen.

De. Az esemenyek erdekes fordulatot vettek amikor tegnap a kovetkezo dolgok
tortentek:

- Egy script kitty bekuldott a BUGTRAQ-ra egy allitolagos exploitot, ami
  ugyan semmit nem csinalt a named-el, de annal hatarozottabban tamadta a
  NAI nevszerveret. Jopar ora eltelt amig egypar muveltebb egyen megnezte
  az egyebkent elegge csunyan irt kodot es rajott a csalasra, es amig a 
  BUGTRAQ moderacion atment a figyelmeztetes. Ez magaban nem uj, volt mar
  ilyen de azert elegge elkeserito. Az ezzel kapcsolatos vita meg most sem
  ult el teljesen, kulonosen mivel felmerult az is, hogy azert minden sz**
  nem kene, hogy megjelenjen a BUGTRAQ-on csak mert az van rairva, hogy 
  expl0it.

- Masreszt Paul Vixie hatarozottan felvetette, hogy a jovoben fel kene 
  allitani egy zart csoportot, akik elofizetesi dij elleneben es NDA-val
  tamogatva hamarabb kapnanak infot a biztonsagi hibakrol, es igy hamarabb
  keszithetnek el a patcheket. Itt kivetelesen Theo (@openbsd.org)-al
  ertettem egyet, nem a FreeBSD-s tabor megszolalo kepviseloivel: egy ilyen
  fejlemeny, amellett, hogy nyilt beismerese lenne annak, hogy a fejlesztok
  maguk se biznak mar abban, hogy urai a kodjuknak, eleg veszelyes
  fejlodest inditana el. Eddig ui az Internet kommercializalodasa es 
  ezzel osszefuggesben zartabba valasa legfeljebb a tartalom tekinteteben
  jelentkezett, az infrastruktura maga hagyomanyosan nyitott es non-profit
  volt. Ha azonban az ilyen hagyomanyos fellegvarai is veszelybe
  kerulhetnek, mint amilyen pl a BIND vagy a Sendmail, akkor az OpenSource
  a gyokereit veszitheti el, azokat, amik miatt mi legalabb tudjuk, hogy 
  ez nem valami uj jelenseg, ami most mar figyelmet erdemel (aka Linux)
  hanem ez az eredeti szamitastechnika, az egesz vilag igy nezett ki, amig
  B. Gates meg nem jelent a szinen, aki mar 197x-ben azt mondogatta, hogy 
  a szoftvermasolas milyen csunya dolog, bar akkor meg a legtobben csak
  kinevettek es elloptak tole a BASIC-et, mig beszelt. Pontosan az kerul
  veszelybe, hogy ez egy alternativa, nem pusztan "alternativ" mint mondjuk
  a csoves punk, amiben csak az a lenyeg, hogy pukkaszto legyen, de nem
  letezhet anelkul, amivel szemben lazad.

  Mar korabban is irtam, hogy valami nem lesz csak azert OpenSource, mert 
  van hozza forraskod. Ezert volt jo, hogy pl XFree-nek most mar van CVS
  repoja. Inkabb a tobbieknek is ebbe az iranyba kene mozogniuk, es nem a
  zartsag fele... mert kulonben par even belul semmi se marad abbol a
  baratsagos-kollegialis legkorbol ami miatt erdemes a Neten lenni. Marad
  a puszta technika, (memberz only) meg a kommersz tartalom es persze a 
  script kittyk, akik kb a falfirkaloknak felelnek meg a valos vilagban.
  ("He, itt votam en a Jozsi") Ez ilyen.

Tegnap es elotte megjelent ket "Security Advisory" az egyik a Free a masik
az OpenBSD listan, persze mindketto hamisitott volt, es lenyegeben az
illeto elegge dubiozus prefernciait fejezte ki az OpenBSD irant, kb ugy,
hogy mivel en azt hasznalom ezert en 3l33t vagyok. Sajnos egyre tobb ilyen
jelenseg van, de addig szerencse, mig a tagok azert elegge jozanul
reagalnak ra. (Bar azt csodalom, hogy se az Open se a FreeBSD projektbol
senki nem vette a faradsagot, hogy hivatalosan kijelentse, hogy ezek
hamisitvanyok. Pedig elegge ugyes hamisitvanyok voltak formai szempontbol)

Mindenesetre ilyesmi elegge elkepzelhetetlen lett volna eddig... ilyen
napokon elegge szkeptikus vagyok a Net jovojevel kapcsolatban es nem
annyira banom, hogy valoszinuleg nekem mar nem nagyon lesz benne reszem. De
azert sajnalom, mert az ertekek amit kepviselt, atsugarozhattak volna az
offline vilagra is, egy kicsit jobba teve azt... igy elegge nehez lesz
valami gyakorlati alapozast keresni annak, hogy szerintem miert kellene a
dolgoknak nem ugy lenni ahogy vannak... mert az ideologia egy dolog, az meg
a masik, hogy ra tudsz mutatni valamire: ime ez mar evek ota itt van es igy
mukodik... na nem baj, legfeljebb tovabbra is hulyenek neznek majd, mikor
ilyeneket beszelek... en meg csak mosolygok, mert en meg emlekszem... hogy
lehetett maskepp is.

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *            



További információk a(z) BSD levelezőlistáról