tja theo, met z'n niet te hacken installatie van openbsd. Met zijn visie is
openbsd niet te kraken, maarja, dan heb je wel de functionaliteit van ms dos
6.2 die ook bij "default install" remote niet valt te kraken...

over de openssh en ftpd exploits (e.a) moet je bij theo niet komen aanzetten..

Wat hebben openssh en ftpd met OpenBSD te maken?

Laten we voordat we weer gaan flamen even blijven bedenken dat het hier
gaat om Operating Systems. Niet om andere server software.
Maar ik weet niet hoe erg hij gelijk heeft. Het is in principe weer zo dat Linux
en Windows weer meer gebruikt worden dan OpenBSD, dus is OpenBSD
een stuk minder aantrekkelijk dan Linux en Windows. Maar goed, ik ben
geen hacker, dus ik kan er eigenlijk niet over oordelen. Maar het lijkt me wel
een beetje logisch wat ik zei.

OpenBSD heeft minder functionaliteit dan FreeBSD idd, maar
om de vergelijking met DOS te maken heb je een
I-just-dont-know-or-care MS gebruiker nodig :)

Verder:

Maar goed, ga lekker verder met telnetten idd :)

Er is ook op OpenBSD genoeg aan te merken, voorla wat betreft
werkbaarheid, maar de les is zeker belangrijk voor de meeste ander OS-sen.
En het is goed dat er aangetoond wordt dat het ook werkelijk kan worden
gedaan en niet enkel een theoretisch verhaal is.

Ik ga meteen overschakelen op OpenBSD. Kijken of MOHAA dan ook
goed draait.

http://www.securiteam.com/unixfocus/6E00M000KA.html

dit werd destijds niet als standaard bug gezien van openbsd omdat openbsd
standaard ftpd niet heeft draaien. Tja, zo ken ik er nog wel een paar.

linux en unix zijn nog steeds voornamelijk bedoeld als server machines, dus..

daarom mijn (misschien kort door de bocht) vergelijking met ms dos, maar
oke..

en agh, laat de flamewar maar weer beginnen...we zitten tenslotte op
security.nl

Theo, Theo, Theo!

Ik mis nog steeds de reden.... MS-Dos is geen server OS.....

Een goedenmiddag,

Ontopic:
Theo heeft, naar mijn mening, gelijk over een aantal punten. Er
wordt weinig gebruik gemaakt van broodnodige codeaudits, voor
verschillende redenen, duurt te lang en te hoge kosten.
OpenBSD heeft een goed beveiligingsverleden, echter lijden
andere onderdelen.

Reacties:
"tja theo, met z'n niet te hacken installatie van openbsd. Met zijn
visie is openbsd niet te kraken, maarja, dan heb je wel de
functionaliteit van ms dos 6.2 die ook bij "default install" remote
niet valt te kraken..."
Zucht.. bezint voor men begint is in dit geval niet van toepassing.
OpenBSD is een serverOS wat veel meer kan dan MSDOS,
misschien eerst maar ervaring opdoen met het OS?

"over de openssh en ftpd exploits (e.a) moet je bij theo niet
komen aanzetten.."
OpenSSH exploits zijn niet altijd op alle systemen die het draaien
effectief. Er is namelijk een normale en een 'portable' versie van
OpenSSH. Of Theo hiernaar luistert lijkt mij voor zichzelf sprekend,
het is immers zijn vakgebied. Ftpd wordt standaard niet gedraaid
en daarom staat er ook 'in default install'.

"en agh, laat de flamewar maar weer beginnen...we zitten
tenslotte op security.nl"
Jammer genoeg heb je hier weer gelijk mee, wederom de oproep
aan de Redactie om anonieme reacties maar te stoppen.

Openbsd heeft meerdere security bugs gehad, alleen staat bijna alles
default uit. Het moet zogenaamd een security OS zijn, maar ze hebben
genoeg security problemen gehad.

(apache chunk encoding, format bug in talkd? deattack bug in openssh? de
ftpd?, openssh remote challenge bug? ... )

en dan nog een handvol lokale kernel bugs.

Bij openbsd hebben ze er nogal een handje van om te doen voor komen dat
ze super secure zijn dmv verdraaide informatie. (bijv dus die claim van '6
years without a remote hole', dat dus slaat op de default install waarbij er
niks aanstaat. Dat er een paar jaar terug een worm was die openbsd
webservers infecteerde wordt maar even niet genoemd, een webserver staat
namelijk niet aan in de default install.)

Of bijv. door te vermelden waar ze juist niet vulnerable voor zijn:
http://www.openssh.org/security.html

OpenSSH was not vulnerable to IDEA-encryption algorithm attacks on the last
packet, since the IDEA algorithm is not supported.

Jaja! De linux kernel was overigens niet vulnerable voor de openbsd select of
itimer kernel bug! Of de coff bug!

Nog een leuke presentatie over W ^ X vs. PaX:
http://www.grsecurity.net/PaX-presentation.ppt

Doe mij maar een linux bak met een PaX patch :-)

bedankt voor je uitleg, dat probeerde ik dus ook te zeggen, maar dan in iets
minder (te weinig/verkeerde?) woorden :)

Alles default uitzetten is ook een vorm van beveiliging. Als je alles standaard
aanzet, moet de gebruiker voor gebruik eerst alles uitzetten voordat ie kan
beginnen... Als je moet beginnen met alles aanzetten zul je niet iets per
ongeluk open laten wat niet open hoort. Bovendien kun je eerst updaten
voordat je het open gooit.

En dus hebben jullie allebei niet begrepen wat Theo met
OpenBSD nastreeft.

Op dit moment is OpenBSD het enige publiekelijk verkrijgbare
operating system waar het uitvoeren van een security audit
op de source code een onderdeel van het development proces is.

Er is geen ander operating system dat jij nu kunt kopen of
downloaden dat een zelfde aandacht aan audits van de source
besteedt. Er zijn wel commerciële operating systems, maar
die zijn niet echt off the shelf leverbaar, en draaien niet
echt op intel hardware :-)

Het marketing department van OpenBSD spreekt.

OpenBSD is zo ontzettend secure from the ground. Het heeft
zelfs capability-based security!

Die audits zijn heel leuk en dat een security audit op de source code een
onderdeel van het development proces is ook heel leuk, maar als ze dan nog
steeds vulnerable zijn, wat heeft het dan voor nut?

Linux met wat hardening patches zoals PaX is een stuk veiliger dan openbsd
met W ^ X.
Er zijn overigens ook linux distros die standaard dit soort patches hebben.

Komt overigens nog eens bij dat Theo een arrogante lul is :-)

We’ve seen in the wild, people who are not running OpenBSD boxes but are
making them look like OpenBSD boxes because it will immediately make an
attacker say: ‘it’s a waste of my time’.

Google maar eens wat rond voor wat openbsd exploits. Er zijn er genoeg.

Waar haal je die onzin vandaan?

Wat een onzin! Onderbouw deze stelling maar eens. En nee,
niet aankomen met de argumenten van de mensen van PaX.

Dus? Weet je hoeveel mensen in de OSS wereld er rondlopen
met een oversized ego?

Tuurlijk. En dat geldt voor Linux, Windows en ieder ander
operating system.

Maar zijn dat problemen in OpenBSD of in de services die
mensen er bovenop installeren? En dat zelfde argument geldt
voor Linux, Windows en ieder ander operating system.

Klok? Klepel??

Weet je wat PaX en W^X doen? Waarschijnlijk niet.

nou, bijv dat je nog steeds met W^X door simpel weg in mprotect() te
returnen weer pages terug executable kan zetten.
Theo wil dat niet aanpassen omdat dat posix zou breken.

Hoe kom je er overigens bij dat ik niet weet wat PaX en W^X doen? Omdat ik
zeg dat PaX beter is dan W^X?

Die url die ik net gaf van die presentatie was btw niet van een PaX developer.
Link niet bekeken?

Het punt is meer waar Theo z'n onzin vandaan haalt aangezien
zijn OS niet veiliger is dan de andere BSDs. Het heeft wat
leuke extratjes, maar het design is hetzelfde: UNIX(-like).
Misschien ligt daar wel het probleem?

Google naar "Capability-based security". Veel interessanter
dan een arrogante kwast die blert over het feit dat-ie z'n
base OS (dus niet ports) audit en die blert dat-ie maar X
remote vulnerabilities heeft gehad terwijl-ie ze regelmatig
niet erkent en 't alleen geldt voor het base OS met
standaard config. Zo kan ik 't ook.

Een cola machine is ook niet zomaar te hacken.

Ah, Theo heeft de Bush 'n' Cerry-methode ook ontdekt, maar
weer terug in de realiteit:

Wie installeert er nu packages welke hij/zij niet gebruikt?
Het gaat er in essentie om dat er enkel die zaken op het
Unix/BSD of Linux systeem aanwezig zijn die je inderdaad
nodig hebt en niks meer.

Die luxe heb je bij Windows niet: zoals zij willen staat
alle rommel ongecontroleerd je harddisk te vullen, smachtend
wachtend om een keer aangeroerd te worden.

Anders dan bij Windows hoef je bij Linux en Unix slechts
'druk' te maken over de advisories welke betrekking hebben
op packages/kernels die je *daadwerkelijk in gebruik hebt*:
de rest
kun je praktisch gewoon negeren.
Dat betekent dat je er in principe verder weinig omkijken
naar hebt en dus niet paranoïa hoeft te worden maar gewoon
oplettend en assertief.

Je kunt altijd nog een oudere LHA compileren onder OpenBSD :)
http://www.infor.kanazawa-it.ac.jp/~ishii/lhaunix/download.html

Ik kan je vertellen dat op bepaalde systemen met bepaalde
classificatieniveaus die in een bepaalde organisatie in
gebruik zijn openbsd het enige mainstream operating system
is dat gebruikt wordt.
Twee redenen:

1: sane install opties, niets in de base install aan
2: open source, dus auditable door onszelf (leuk dat Theo
dat al gedaan heeft, wij doen het over)
3: niet de kernel bloat van Linux

Ow god.... Krijgen we weer de onzin dat Linux veiliger is dan Windows?
Weten we nog steeds niet dat het allebei prut is? Get a life people!

Kennelijk helpen al die security audits van theo niet, want er worden nog
steeds exploitbare kernel bugs gevonden.

Het grappige aan openbsd is dat het helemaal niet veiliger is dan een ander
systeem :-)

Als je inlogt kun je heel eenvoudig de anonieme reacties
uitzetten.

"Ik kan je vertellen dat op bepaalde systemen met bepaalde
classificatieniveaus die in een bepaalde organisatie in
gebruik zijn openbsd het enige mainstream operating system
is dat gebruikt wordt."

Haha. Yeah right, "bepaalde systemen met bepaalde
classificatieniveaus die in een bepaalde organisatie". Who
CARES?

Ik kan je vertellen dat GrSecurity-based Linux distributies,
Trusted Solaris, Trusted IRIX 'ook wel ergens' gebruikt
worden waar 't nodig is. 't Is discutabel of deze OSen onder
de noemer 'mainstream' vallen en of OpenBSD daar ook cq. wel
onder valt maar dat vind ik nitpicking. Wmb beide niet van
belang.

Wat wel van belang is, is dat het punt dat we het hier niet
hebben over een _structurele_ oplossing welke ook toepasbaar
is in andere, populaire situaties. We hebben het namelijk
niet over simpele desktops. Vrijwel niemand gaat OpenBSD op
de desktop draaien voor serieus werk en _daar_, op die
desktop van Jantje, is een constructieve oplossing _nodig_.
odig, snap je, en daarom _moeten_ we over op een ander
design (vanaf de grond opgezet).