image

Studenten vinden 44 security lekken in Unix applicaties

donderdag 16 december 2004, 16:11 door Redactie, 18 reacties

Studenten aan de universiteit van Chicago hebben zo'n 44 security lekken in verschillende Unix applicaties gevonden en dat is veel te weinig om het betreffende vak te halen. De studenten, die de lessen van hoogleraar wiskunde Daniel Bernstein volgen, moesten elk 10 lekken vinden, iets wat 60% van het cijfer van dit vak uitmaakt. Aangezien de 25 studenten in totaal 44 lekken wisten te vinden, is het te hopen dat Bernstein soepel zal zijn. De lekken werden aangetroffen in zelden gebruikte applicaties tot serieuzere lekken die in de meeste versies van het Linux besturinssysteem aanwezig zijn. Onlangs werden de resultaten van een 4-jarig onderzoek bekend gemaakt waaruit zou blijken dat Linux veel minder lekken heeft dan commcerciele software. (Zdnet)

Update: titel aangepast

Reacties (18)
16-12-2004, 18:10 door Anoniem

Onlangs werden de resultaten van een 4-jarig onderzoek
bekend gemaakt waaruit zou blijken dat Linux veel minder
lekken heeft dan commcerciele software. (Zdnet)

Nou, aangezien ze geen verwachte 250 maar "slechts" 44
lekken hebben kunnen vinden kan het wel kloppen dan

Heeft de leraar ze ook laten zoeken in andere OS'en buiten
UNIX ?
16-12-2004, 18:13 door Anoniem
44 bugs? Kan ik in 4 jaar ook wel vinden, ff wazig PHP
scriptjes die niemand gebruikt bekijken en hoppa
16-12-2004, 19:29 door raboof
Voor beide bovenstaande anoniempjes: anders lees je de samenvatting even.

Dat vak waarbij de leerlingen als practicum 10 bugs moesten vinden en een exploit weten te fabriceren liep maar 16 weken (http://cr.yp.to/2004-494.html), en heeft niet direct met dat 4-jarig onderzoek te maken. En dat 4-jarig onderzoek heet zo omdat het gegevens gebruikt die over een periode van 4 jaar verzameld zijn, niet omdat daar 4 jaar aan is gewerkt.
16-12-2004, 19:55 door Anoniem
oooooow bedankt voor de verheldering
16-12-2004, 19:55 door Anoniem
Over een paar lesjaren wordt er niets meer gevonden, dus nog
moeilijker om te slagen. Niet zo gek dus dat deze software
aanzienlijk minder fouten bevat.
16-12-2004, 21:19 door Anoniem
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.
16-12-2004, 21:48 door Anoniem
lezen blijkt nog steeds een vak apart,

er staat duidelijk: 25 studenten.

En deze personen waren 16 weken intensief opgeleid om fouten
in UNIX te vinden.

Dus persoonlijk vind ik 44 fouten niet zo enorm veel als je
hoort dat ze ook fouten in allerlei zeldzame applicaties
gevonden hebben.

En belangrijker: Deze fouten kunnen nu netjes gepatched
worden, waardoor de bugs niet meer te misbruiken zijn...
17-12-2004, 01:10 door Anoniem
Gheh. Jammer dat al die anoniempjes hier het stuk niet
lijken te lezen. Het telt voor 40% mee (de andere 60% zijn
de examens). Dat houdt dus in, dat het een erg belangrijk
onderdeel is. Maar het doel was om *10* fouten te vinden in
software die op *NIX redelijkerwijs gebruikelijk gebruikt
wordt (dus niet een of andere vage software van $Jantje).
Het punt is, dat er 25 studenten meededen. Ze hebben er 44
gevonden; ervan uitgaande dat ze graag wilden slagen en op
10 hebben gedoelt, hebben ze er maar 44 gevonden. Dat houdt
dus in 44/250 is minder dan 20% van het doel bereikt.
Volgens de regel 80/20 zou dat inhouden dat 80% van de
studenten niet bekwaam is in software auditing, maar we
hebben het hier wel over mensen die zich hier specifiek in
verdiepen. Ik vind het dus wat te makkelijk om een verband
met de (on)veiligheid van *NIX te stellen.

Overigens zag ik geen belangrijke server software of de
Linux kernel in het lijstje staan; het ging voornamelijk om
desktop programma's. Als ik eerlijk ben, is dat ook exact
waar ik weinig vertrouwen in heb, maar dat even terzijde.

Btw de website van DJB vertelt je meer over zijn software
(auteur van o.a. Qmail), zijn publicitaties en analyses. Het
is een aparte man, voor mij haast intrigrerend. Met Google
kun je evt. zoeken naar conflicten tussen hem en anderen.
Een eigenaardig figuur...
17-12-2004, 08:02 door Anoniem
Door Anoniem
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.

In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....
17-12-2004, 08:31 door dimitrix
In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....

Dus ga jij er maar direct vanuit dat alle unix varianten opensource zijn.
17-12-2004, 14:36 door Anoniem
Door Anoniem
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.
Dat zal je tegen gaan vallen ;)
Pak de source van een gemiddeld Microsoft product erbij, en
je mag de lat aanzienlijk hoger leggen ten aanzien van het
minimaal aantal te vinden fouten: anders wordt slagen een eitje.
18-12-2004, 02:00 door Anoniem
Door Anoniem
Door Anoniem
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.

In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....
Precies die kan je niet zomaar vinden, das ook een voordeel aan gesloten.
Anders kan elke idioot (of student) wel een paar fouten vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.
18-12-2004, 02:37 door Anoniem
Door Anoniem
Precies die kan je niet zomaar vinden, das ook een voordeel
aan gesloten.
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die crackers zouden kunnen misbruiken.
Denk je de source-code nodig te hebben voor het vinden van
fouten en lekken?
Zoek voor de lol bijvoorbeeld eens op 'debugging' en
'disassembly' met onze grote vriend Google.
Gebrek aan source is dus gevaarlijker omdat er minder mensen
zullen zijn die deze kunnen controleren of preventief
corrigeren.
18-12-2004, 23:50 door Anoniem
Door Anoniem
Precies die kan je niet zomaar vinden, das ook een voordeel
aan gesloten.
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.

Kom maar terug als je enige bugs hebt gevonden.. dat zal je
zeer vies tegen vallen.. vooral om enigszins *exploitable*
bugs te vinden zal je *zeer vies* tegen vallen.. Probeer het
eens! Ik denk eerder dat in plaats van bugs vinden je de
kwaliteit van de code zult waarderen, en de interessante en
slimme coding styles in bijv. de linux kernel.. Ik kan het
weten.
20-12-2004, 10:42 door Anoniem
Door Anoniem
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.

das juist het voordeel van open code, nu worden fouten (die
je ALTIJD hebt) tenminste door studenten gevonden (en bekend
gemaakt) en niet door mensen met kwaadaardige bedoelingen.
20-12-2004, 11:31 door Anoniem
Door Anoniem
Door Anoniem
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.

das juist het voordeel van open code, nu worden fouten (die
je ALTIJD hebt) tenminste door studenten gevonden (en bekend
gemaakt) en niet door mensen met kwaadaardige
bedoelingen.

Dat komt vanzelf, als er maar voldoende commercieel gewin op
het spel staat.
20-12-2004, 13:32 door tifkap
Good old Bernstein. De vent is een totale troll, maar wat zou ik graag willen
dat we wat meer van dat soort trollen hadden.
21-12-2004, 09:07 door splatx
Door dimitrix
In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....

Dus ga jij er maar direct vanuit dat alle unix varianten opensource zijn.


als dat niet zo zou zijn, zouden ze de GNU en GPL licenses niet volgen,
praat niet over dingen waar je geen verstand van hebt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.