| Online |
[ Administrador ]
[ Moderador ]
|
|
| Ver tema anterior :: Ver proximo tema |
| Autor |
Message |
ezeaguerre
[Moderador de Topico]
![[Moderador de Topico]](images/pro_rank_mod.gif "[Moderador de Topico]")
Registrado: 07 May 2008
Publicaciones: 820
Ubicacion: Paso del Rey
|
 Publicado: Thu Dec 03, 2009 6:05 pm Publicar Asunto: |
 |
|
| Se equivocaron de parche.... en fin lo más grave y bolud* me parece lo del linker... |
|
| Volver Arriba |
|
 |
gnemmi
[FreeLSD]
Registrado: 28 Mar 2008
Publicaciones: 1923
Ubicacion: Argentina - Cap. Fed.
|
| Publicado: Fri Dec 04, 2009 1:46 am Publicar Asunto: |
|
|
Si, ni hablar ...
De todas formas .. me pareció interesante la siguiente nota:
FreeBSD Shines While Apple Fails
| Cita: |
All software has bugs, but it's how people react when things go wrong that you can judge them. Did the FreeBSD folks sit around and do nothing? Did they busy themselves with other things and leave 8.0, 7.1 and 7.0 users vulnerable to pwnage? No, they did not! A matter of hours later Colin Percival, FreeBSD's security officer, made this announcement:
A short time ago a 'local root' exploit was posted to the full-disclosure mailing list; as the name suggests, this allows a local user to execute arbitrary code as root ... since exploit code is already widely available I want to make a patch available ASAP.
And with that, he released said patch.
...
Rogue Amoeba released its Airfoil Speakers Touch software on Apple's AppStore a while back, and it released a new version to fix some issues a while after. Or at least it wanted to. It passed the new version of the software to Apple and expected the company to make it available on the AppStore pronto.
Did Apple make it available? Did Apple ensure its customers had the latest, bug-fixed software straight away? In a couple of days? In a week? A month perhaps? No. It carried on making money, to be sure, by selling the old, buggy version of the software to its iPhone and iPod Touch customers, while it messed around with its approval process that it says is designed — get this — to protect its customers.
...
During that time, Rogue Amoeba's customers suffered, Rogue Amoeba suffered and Apple ... profited.
|
Vale la pena leer la nota entera.
Saludos ! |
|
| Volver Arriba |
|
|
Matutin
[Heavy Penguin]
![[Heavy Penguin]](images/pro_rank_04.gif "[Heavy Penguin]")
Registrado: 21 Feb 2007
Publicaciones: 1124
Ubicacion: San Justo
|
| Publicado: Fri Dec 04, 2009 9:26 am Publicar Asunto: |
|
|
Es logico que cualquier pieza de soft tenga bugs, el tema es que clase de bugs.... Si tenemos en cuenta que un sistema *nix esta basado en la seguridad, este tipo de bugs que le dan permiso de root son aberraciones ABISMALES lol
_________________
GRACIAS GEO POR LA FIRMA!!!
 |
|
| Volver Arriba |
|
|
ezeaguerre
[Moderador de Topico]
Registrado: 07 May 2008
Publicaciones: 820
Ubicacion: Paso del Rey
|
| Publicado: Fri Dec 04, 2009 10:00 pm Publicar Asunto: |
|
|
No sé... ¿basado en la seguridad? lo único que tenía Unix era:
* Usuarios
* Procesos, con memoria virtual (protección) y usuarios.
* Permisos user:group:world
No hay tanta seguridad ahí 
Windows NT es bastante más seguro que eso... y perdón por decirlo, pero es la verdad
Bugs que te permiten acceso como root (o el equivalente en otros sistemas) siempre hubo (lamentablemente), tanto en Linux, como en FreeBSD, NetBSD, OpenBSD (Si, si, OpenBSD, el sistema operativo orientado a la seguridad), Solaris, Windows 9x, Windows NT/2000/XP...
Lo que me parece una aberración es la estupidez del bug en si... por decir algo... si veo código como este:
| Codigo: |
char *str = ....;
...
printf ( str );
|
Hace 30 años estaba bien... hoy es un horror...
Mirá lo que dijeron en la lista de OpenBSD sobre FreeBSD:
| Codigo: | | The FreeBSD libc code for the env functions is crazy! |
tal cual, yo lo miré y es cualquiera... no me extraña que terminen mal |
|
| Volver Arriba |
|
|
Matutin
[Heavy Penguin]
Registrado: 21 Feb 2007
Publicaciones: 1124
Ubicacion: San Justo
|
| Publicado: Fri Dec 04, 2009 10:42 pm Publicar Asunto: |
|
|
Siempre tuve en cuenta que *nix se basa en seguridad. De ahi el tema de los permisos, que todo es un archivo y todas esas cosas que no se bie nque carajo son.... lol
Y que digas que NT es seguro, si, es una patada en las bolas
Y esos errores.... Que se yo, para mi que estan todo sborrachos!
_________________
GRACIAS GEO POR LA FIRMA!!!
|
|
| Volver Arriba |
|
|
ezeaguerre
[Moderador de Topico]
Registrado: 07 May 2008
Publicaciones: 820
Ubicacion: Paso del Rey
|
| Publicado: Sat Dec 05, 2009 12:04 am Publicar Asunto: |
|
|
No sé... quizás puede ser, cuando vio la luz tenía mucho énfasis en la seguridad... pero bueno, lo que hace 30/40 años era seguro, hoy... bueno, por algo poco a poco le fueron agregando cosas. Como desde el más bolud* cambio passwords de /etc/passwd a /etc/shadow hasta cosas como ACL en el sistema de archivos, POSIX CAPABILITIES, RBAC, MAC, firewalls, etc...
Me acabo de acordar de una anécdota que cuenta Tanenbaum en uno de sus libros de sistemas operativos... la cuento porque me parece graciosa... y de paso deja en _no_ tan ridículo a las películas en las que van descubriendo la clave de a pedacitos
La cosa es que había un sistema operativo que permitía a aplicaciones de usuario recibir una señal cuando se provocaba un fallo de página (más que nada para profiling y ese tipo de cosas supongo). Un programa malintencionado pedía una página de memoria, y ponía una clave de esta manera ( el "|" simboliza el fin de una página y el comienzo de la otra ):
* c | <no hay página>: Si se provocaba un fallo de página, entonces la 'c' la había procesado adecuadamente.
* cl | <no hay página>: Si se provocaba un fallo de página, entonces 'cl' había sido procesado adecuadamente, de lo contrario cambiaba la 'l' por otra letra y seguía probando.
Esto obviamente lograba crackear una clave en cuestión de segundos
Hoy día se podría hacer con mmap y el manejador de segfault... el tema es que hoy día dudo mucho que alguna librería vaya resolviendo la clave de a poco... directamente hace todo el hash y compara :-)
Otra anécdota interesante tiene que ver con los schedulers. Un sistema de tiempo compartido tenía un scheduler por prioridad. Basicamente dividía los procesos en dos:
* Interactivos: Procesos de consola (I/O Bound).
* No interactivos: Procesos de cálculo (CPU Bound).
Resulta que eligieron una manera muy sencilla de decidir si un proceso era interactivo o no... si presionabas el teclado era obviamente interactivo :-)
¿Cuál es el problema? Alguien se dió cuenta que apretando la barra espaciadora hacía que su proceso No interactivo adquiera cada vez más y más prioridad (como los procesos interactivos)... al final llevándose toda la CPU :-)
Hoy día nada de esto sería remotamente imaginable... pero en el inicio de la computación... |
|
| Volver Arriba |
|
|
gnemmi
[FreeLSD]
Registrado: 28 Mar 2008
Publicaciones: 1923
Ubicacion: Argentina - Cap. Fed.
|
| Publicado: Sat Dec 05, 2009 1:49 am Publicar Asunto: |
|
|
| ezeaguerre dijo: |
Lo que me parece una aberración es la estupidez del bug en si... por decir algo... si veo código como este:
| Codigo: |
char *str = ....;
...
printf ( str );
|
Hace 30 años estaba bien... hoy es un horror...
Mirá lo que dijeron en la lista de OpenBSD sobre FreeBSD:
| Codigo: | | The FreeBSD libc code for the env functions is crazy! |
tal cual, yo lo miré y es cualquiera... no me extraña que terminen mal |
Eso tiene relación directa con lo que te vengo diciendo sobre el modelo de desarrollo de FreeBSD ...
Es mas ... eso pasa porque FreeBSD es un gigantesco hack .. una sumatoria de parches sin uniformidad, sin un control sobre que consecuencias tiene un commit ...
En suma, ese es el resultado de la falta de uniformidad y cohesión en el código ...
Como te dije antes .. se va a notar poco a poco .. Sin ir lejos .. ZFS ya no es considerado experimental .. sin embargo .. dale una leida a questions@ y stable@ y decime que opinas al respecto.
| ezeaguerre dijo: | | No sé... quizás puede ser, cuando vio la luz tenía mucho énfasis en la seguridad... pero bueno, lo que hace 30/40 años era seguro, hoy... bueno, por algo poco a poco le fueron agregando cosas. |
Hace 31 años (1978) Brian Kernighan y Dennis Ritchie publicaron la primera edición de C Programming Language. ... No hace falta decir que es el mismo lenguje (estandarizado, modificado, etc, etc .. pero es el mismo) que se sigue usando para escribir sistemas operativos ...
Va siendo hora de moverse a algo un poco mas moderno .. que se adapta mejor a los mismos conceptos ..
Para ser mas claro .. hay un paso superador .. ya nada es un archivo .. me nombres lo que me nombres .. es un _objeto_ ... un archivo _es_ un _objeto_
Saludos ! |
|
| Volver Arriba |
|
|
Registrate para eliminar esta publicidad.
|
|
|
Vos no podes crear temas nuevos en este foro
Vos no podes contestar temas en este foro
Vos no podes editar temas en este foro
Vos no podes borrar tus temas en este foro
Vos no podes votar en las votaciones de este foro
|
Powered by Augusto S. Amaya | Logos by AJ.M(Geo) | Re-Coded by MaRsOn | 2007-2008
|
Home
FAQ
Lista de miembros
Grupos de usuarios
Registrate
Perfil
Messages
Login/Out
