Tag Archives: Linus Torvalds

Microsoft κενά ασφαλείας και NSA κενά λογικής…

microsoft-nsa
Η επίσημη είδηση:
Η NSA ενημέρωσε την Microsoft για πολύ κρίσιμο κενό ασφαλείας στα Windows 10 (και σε Windows Server 2016).

Κενό ασφαλείας που υπάρχει/υπήρχε στο crypt32.dll και (από τα πολύ γενικά και αόριστα που αναφέρει η εταιρία-εταίρος των υπηρεσιών ασφαλείας) επηρέαζει τα πιστοποιητικά ασφαλείας και την κρυπτογράφηση «τυφλώνοντας» το λειτουργικό όσον αφορά την πιστοποίηση χρηστών και προγραμμάτων,αφού αυτός που έκανε χρήση της μπορούσε να πλαστογραφήσει τα στοιχεία που λάμβανε/αντάλλασε ο υπολογιστής αποκτώντας -προφανώς- πρόσβαση εκεί που κανονικά μόνο πιστοποιημένοι χρήστες και προγράμματα μπορούσαν.

Ένας τρίτος λοιπόν μπορούσε να εκμεταλλευτεί την ευπάθεια χρησιμοποιώντας ένα πλαστογραφημένο πιστοποιητικό για να υπογράψει ένα κακόβουλο εκτελέσιμο αρχείο/πρόγραμμα κάνοντας το να φαίνεται πως προέρχεται από αξιόπιστη και νόμιμη πηγή.

Ο χρήστης του pc δεν είχε κανέναν τρόπο να γνωρίζει πως το εκτελέσιμο ήταν κακόβουλο,επειδή η ψηφιακή υπογραφή φαινόταν γνήσια.

Ο κακός της υπόθεσης μπορούσε επίσης να εκτελέσει man-in-the-middle επιθέσεις,τον πιο κοινότοπο ίσως τρόπο υποκλοπής όπου κάποιος μπαίνει ανάμεσα σε δυο μέρη που επικοινωνούν και καταγράφει οτιδήποτε πληροφορία ανταλλάσσεται,αφού μπορούσε να παρέμβει στην ανταλλαγή των κλειδιών κρυπτογράφησης.

πηγή: https://www.engadget.com/2020/01/14/microsoft-patching-flaw-found-by-nsa/

Το μπάλωμα (patch) περιέχεται στο πακέτο ενημερώσεων ασφαλείας CVE-2020-0601 και καλό είναι να τσεκάρετε αν έχει εγκατασταθεί.

Οδηγίες για το πως να δείτε αν έχετε τις τελευταίες ενημερώσεις ασφαλείας καθώς κι αν τρέχετε την τελευταία έκδοση Windows 10 (ώστε να λαμβάνετε τις μηνιαίες ενημερώσεις) στον παρακάτω σύνδεσμο.
(Και καλή τύχη αφού τα λειτουργικά της εταιρείας είναι –διαχρονικά– διάσημα για τις προβληματικές ενημερώσεις τους που μπορεί να ξεκινήσουν και να δείχνουν πως κατεβαίνουν ή εγκαθίστανται αλλά να μην τελειώνουν με τίποτα ή να λύνουν ένα πρόβλημα και να δημιουργούν τρία)
https://support.microsoft.com/el-gr/help/4027667/windows-10-update

Προσοχή!
(Για τους κατόχους Windows 7 δεν έχει γίνει η παραμικρή αναφορά όχι γιατί δεν έχουν το παραπάνω συστατικό (κατά 99% το έχουν) αλλά διότι η υποστήριξη τους έληξε οριστικά στις 14/1/2020.
Όσοι λοιπόν παραμένουν στη Microsoft και δεν έχουν «μετακομίσει» στα Windows 10,δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας και ρισκάρουν αφάνταστα να γίνουν εύκολος στόχος.
Σαν πάπιες που κάθονται αμέριμνες και κλωσάνε τα αβγά τους ενώ παντού γύρω τους σαρώνουν τον χώρο αμέτρητοι οπλισμένοι κυνηγοί.
Οπότε αν τους την πέσουν για παράδειγμα τίποτα Ρώσοι,Ρουμάνοι black hackers μπορεί να πει κάποιος πως πήγαιναν γυρεύοντας).

Αυτή ήταν η επίσημη είδηση και η επίσημη ενημέρωση όπως κυκλοφόρησε από την Microsoft.
Η πλέον πιθανή πραγματικότητα;

Οι Κινέζοι ή οι Ρώσοι (οι και οι δυο) ανακάλυψαν το κενό ασφαλείας που είχε σχεδιάσει η Microsoft ειδικά για την NSA και η δεύτερη έκανε την δήθεν ανακάλυψη ώστε να κλείσει και μην το εκμεταλλευτούν και οι άλλοι.Που σύμφωνα με το αμαρτωλό παρελθόν της συγκεκριμένης εταιρείας δεν φαντάζει καθόλου απίθανο.

Ποιος έχει ξεχάσει για παράδειγμα την αποκάλυψη πως είχε δώσει στην NSA πλήρη πρόσβαση στο Skype (https://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data) ή τα email με τις μηνιαίες αποδείξεις πληρωμής που λάμβανε από τις υπηρεσίες ασφαλείας για την απασχόληση του προσωπικού της στην συγκέντρωση/μεταβίβαση των δεδομένων των χρηστών του λειτουργικού της.Ή αποσπάσματα από την άδεια χρήσης του λειτουργικού της όπως το παρακάτω:

<<…We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary to protect our customers or enforce the terms governing the use of the services…>>

Κάτι από τα παραπάνω που δεν μπορεί να συμβεί στο Linux όχι γιατί είναι ανώτερο λειτουργικό.(Είναι αλλά δεν έχει να κάνει με αυτό.)Ούτε γιατί οι δημιουργοί του ή οι εταιρείες που το εκμεταλλεύονται εμπορικά είναι ηθικά στοιχεία.Δεν παίζει κανένα ρόλο αν είναι.

Δεν μπορεί να συμβεί κάτι από τα παραπάνω λόγω σχεδιασμού του λειτουργικού.
Για τον απλούστατο λόγο πως είναι ανοιχτό μέχρι το κέντρο του πυρήνα του.

Ανοιχτό στο να το ελέγξει ο καθένας,οπότε και 10 δις δολάρια να δώσουν για παράδειγμα στον Linus Torvalds ώστε να δημιουργήσει μια παρόμοια τρύπα ασφαλείας αυτός δεν μπορεί να τα πάρει γιατί δεν μπορεί να εξασφαλίσει πως θα παραμείνει κρυφή ούτε για μια μέρα.

Το πρωί μπορεί να την σχεδιάσει και να την περάσει σε μια ενημέρωση και το απόγευμα της ίδιας μέρας,ένα 16χρονο σπασικλάκι στη νήσο του Μαν,που πήγε για Σαβατοκύριακο στο σπίτι του παππού και της γιαγιάς αλλά αποκλείστηκε από τον καιρό και δεν μπορεί να πάρει το φέρι για να πάει στο πατρικό του να αποφασίσει να περάσει την ώρα του σκαλίζοντας,να την ανακαλύψει και να σημάνει συναγερμό στους χιλιάδες -ανά τον κόσμο- προγραμματιστές που συνεισφέρουν στην ανάπτυξη του με αποτέλεσμα η NSA να πάρει από τα….τρία το μακρύτερο.

Κάτι (η πρόταση και η απάντηση) που συνέβη όπως αποκάλυψε με μια επική απάντηση ο ίδιος ο Torvalds όταν ρωτήθηκε από δημοσιογράφους σε μια συνδιάσκεψη του Linux Foundation στην Νέα Ορλεάνη.*

Κάθε φορά λοιπόν που ακούγεται κάτι τέτοιο θυμίζει σε όλους πως δεν έχει να κάνει με την ανθρώπινη φύση.
Δεν έχει να κάνει με πλευρές και καλούς ή κακούς.
Δεν έχει να κάνει με το ότι όσοι βρίσκονται στην Microsoft είναι διαβολικά άτομα.
Γιατί δεν είναι!

Έχει να κάνει με τον τρόπο που είναι σχεδιασμένο το λειτουργικό της (Windows).
Σχεδιασμός που την δένει με τις υπηρεσίες ασφαλείας και την καθιστά αναξιόπιστη όσον αφορά την δυνατότητα της να σεβαστεί θεμελιώδη ανθρώπινα δικαιώματα αφού δεν μπορεί να της προσφέρει την δυνατότητα να ισχυριστεί (όπως αυτοί στο Linux) πως αν κάνουν μαϊμουνιά μπορεί να τους τσακώσει ο αποκλεισμένος στη νήσο Μαν πιτσιρικάς.

Ο σχεδιασμός του είναι που καθιστά αδύνατη την παραμονή στην ηθική πλευρά.
Το κλειδωμένο δημιούργημα τους είναι που ξεκλειδώνει την ανηθικότητα και ρίχνει τις άμυνες τους και μαζί και την άμυνα των Windows σε σκοτεινές προτάσεις από τις κυβερνητικές υπηρεσίες των ΗΠΑ που θέλουν μερική ή και πλήρη πρόσβαση σε κάθε pc που τρέχει το λειτουργικό της.

Γιατί στα δύσκολα ο κάθε άνθρωπος είναι τόσο ανήθικος όσο του επιτρέπουν οι καταστάσεις και η….»κατάσταση» των Windows επιτρέπει στους υπεύθυνους της εταιρείας (ή σε όσους ασχολούνται με την ανάπτυξη του) να κλειδώσουν τις ηθικές αναστολές τους πολύ βαθιά.

Όσο βαθιά μπορεί να κρύβουν και κενά ασφαλείας σαν το τελευταίο…

Υ.Γ.
*Θέμα που παρουσιάζω στο παρακάτω παλιότερο άρθρο:
https://365meres.wordpress.com/2013/12/01/anoixto_vs_kleisto_leitourgiko_kai_yp_asfaleias/

#Βάλε_Linux

Ανοιχτό vs Κλειστό λειτουργικό και υπηρεσίες ασφαλείας

linux against windows-1
Ξόδεψε 4 λεπτά από τον χρόνο σου.
Δεν θα τα χάσεις…..

H Microsoft είναι γνωστό από τον Ιούλιο του 2013 (από έγγραφα που διέρρευσαν στην εφημερίδα The Guardian) πως συνεργαζόταν στενά με την NSA και το FBI και πως έδωσε και πλήρη έλεγχο του Skype, λίγους μήνες μετά την εξαγορά του, στις συγκεκριμένες υπηρεσίες για να συλλέγουν-καταγράφουν όσα βίντεο και γραπτές συνομιλίες (ένας πιθανός λόγος που κατάργησαν την υπηρεσία μηνυμάτων MSN Messenger ώστε να υπάρχει μόνο το Skype για text και voice messages) θεωρούσαν πως τις ενδιαφέρουν.
Πηγή:
http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data

Μετά φυσικά την γενική κατακραυγή αναδιπλώθηκε και ανακοίνωσε πως θα συνεργαστεί από κοινού με τις Google και Υahoo και θα κόψει και αυτή τα πολλά πάρε-δώσε με την NSA. Έβγαλαν μάλιστα και καινούργιο σλόγκαν «Your privacy is our priority.»
(μην τα λέτε έτσι απότομα, θα πνιγεί κανένας….)

Το θέμα είναι πως εφόσον ο κώδικας-πυρήνας του λειτουργικού της είναι κλειστός και κανείς τρίτος δεν μπορεί να τον ελέγξει, μπορεί μετά από 2,3…14 χρόνια να αποδειχθεί από μια νέα δημοσιογραφική αποκάλυψη, πως απλά είπε ψέματα και συνέχισε να συνεργάζεται με τις υπηρεσίες ασφαλείας εξακολουθώντας να τους παρέχει πλήρη πρόσβαση στα πάντα!

Γιατί είναι τελείως διαφορετικό να ζητήσουν οι αρχές ενός κράτους, συγκεκριμένα και μεμονωμένα την πρόσβαση στα στοιχεία κάποιων που θεωρούνται ύποπτοι, από αυτό που έκανε η Microsoft.

open source 3

Κι εδώ ερχόμαστε στο κυρίως θέμα.
Το Νοέμβριο του 2013, ο πατέρας του Linus Torvalds (του δημιουργού του LINUX) και μέλος του Ευρωπαϊκού Κοινοβουλίου Nils Torvalds, δήλωσε πως η NSA πλησίασε και τον γιο του και του ζήτησε να βάλει «κερκόπορτες» στον πυρήνα και του δικού του λειτουργικού, εισπράττοντας την άρνηση του!
πηγή:
http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-install-backdoors-into-gnulinux/

(ο ίδιος ο Linus Torvalds όταν είχε ερωτηθεί σχετικά (προτού την δήλωση του πατέρα του) το είχε αφήσει -με έμμεσο τρόπο για να μην έχει νομικά προβλήματα για δημοσιοποίηση απόρρητων συνομιλιών- να εννοηθεί, απαντώντας όχι ενώ ταυτόχρονα κουνούσε το κεφάλι του καταφατικά).
Πηγή:
http://www.theregister.co.uk/2013/09/19/linux_backdoor_intrigue/
Βίντεο με το χαρακτηριστικό στιγμιότυπο στο 24:15:

Κι εδώ είναι η ουσία !
Σίγουρα ο δημιουργός του καλύτερου (και δωρεάν) λειτουργικού συστήματος στον κόσμο δεν θα ρίσκαρε την υστεροφημία του, με το να γίνει ένα με τους παραδόπιστους της Microsoft.
Αλλά ακόμη κι αν ήθελε, ΔΕΝ θα μπορούσε (τουλάχιστον όχι για πολύ) !!!

Και δεν θα μπορούσε γιατί απλά ο κώδικας του LINUX είναι ανοικτός και ελεύθερος στον καθένα να τον πάρει και να τον ελέγξει !!!
Οπότε θα ήταν πρακτικά αδύνατον για την NSA να εξαγοράσει την σιωπή απανταχού των προγραμματιστών και θα ήταν θέμα ημερών να αποκαλυφθεί από κάποιον και πάρα πολύ απλά να κλειστεί το όποιο κενό ασφαλείας!

Ενώ με την περίπτωση της Microsoft πέρασαν 4 χρόνια και έτυχε (κυριολεκτικά έτυχε) να γίνει γνωστό, γιατί κάλλιστα θα μπορούσε ο δημοσιογράφος αντί να δημοσιεύσει τα στοιχεία να καταδώσει την πηγή του και να μην το μαθαίναμε ποτέ.

Γι αυτό λοιπόν, όσοι πληρώνετε ακόμη για το σύστημα που τρέχει στον υπολογιστή σας, καλό είναι να αρχίσετε να το ξανασκέφτεστε….και να την ψάξετε λίγο παραπάνω…

Πέρα από το γεγονός της εν γένει ασφάλειας του (viruses, spyware, rootkits κοκ) και τον εγγενών αδυναμιών του (την τάση του για παράδειγμα να σέρνεται με την πάροδο του χρόνου και να χρειάζεται τελικά φορματ για να έρθει ξανά στα «ίσια» του)…

#Βάλε_Linux

Save