Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Backdoor in KiwiSDR

16-07-2021, 11:36 door Anoniem, 4 reacties
Het opensource programma KiwiSDR bevatte jaren lang een backdoor waardoor de ontwikkelaar op alle systemen
waar dit geinstalleerd is met rootrechten (normaalgesproken) code kon uitvoeren. Dit was kennelijk een goedbedoelde
optie voor remote support, maar het is wel een klap voor het "vele ogen maken bugs zichtbaar" mantra wat nog wel
eens aan opensource gehangen wordt: de backdoor stond gewoon voor iedereen direct zichtbaar in de code stond
als een check van het password met een hard-coded hash value in de source.

Dat zelfs dit niet gevonden is dat is een slechte zaak, het is bepaald geen "slim weggewerkte backdoor" in de vorm
van een voorspelbare random generator oid. Het staat gewoon plain text in de source.

In de nieuwste versie is het weggehaald, maar updaten gaat natuurlijk langzaam en het is vast een kwestie van tijd
voor het wachtwoord reversed wordt en er weer een security probleem bij is.
Reacties (4)
16-07-2021, 13:02 door [Account Verwijderd] - Bijgewerkt: 16-07-2021, 13:02
Door Anoniem: ... Dat zelfs dit niet gevonden is dat is een slechte zaak, het is bepaald geen "slim weggewerkte backdoor" in de vorm van een voorspelbare random generator oid. Het staat gewoon plain text in de source. ...

Het was blijkbaar een goed bedoelde optie voor remote support. In tegenstelling tot wat jij pleegt te denken is er geen legertje van open-source-politiemensen die dagelijks door broncodes van obsure programma's lopen (mijn Linux package manager kent de software niet eens). Wat echter wel het geval is, is dat het hoe, wat en wanneer meteen duidelijk is. Want open source en versiebeheer. Dat zijn de voordelen van open source, daar doen we het allemaal voor!
16-07-2021, 13:02 door Anoniem
Door Anoniem: ...het is wel een klap voor het "vele ogen maken bugs zichtbaar" mantra wat nog wel
eens aan opensource gehangen wordt...
De uitspraak is: Given enough eyeballs, all bugs are shallow.

Het jammere is dat dit heel hardnekkig op een manier wordt geïnterpreteerd die ik alleen maar als magisch denken kan omschrijven. Het lijkt mij nogal wiedes dat problemen worden herkend als er werkelijk naar gekeken wordt, niet als het alleen maar mogelijk is om er naar te kijken. Denken dat iets gebeurt enkel en alleen omdat het mogelijk is, dat is magisch denken.

De uitspraak is afkomstig uit "The Cathedral and the Bazaar" van Eric Raymond. Daarin schreef hij in de tweede helft van de jaren 1990 over het Linux-project:
Linus was directly aiming to maximize the number of person-hours thrown at debugging and development, even at the possible cost of instability in the code and user-base burnout if any serious bug proved intractable. Linus was behaving as though he believed something like this:

8. Given a large enough beta-tester and co-developer base, almost every problem will be characterized quickly and the fix obvious to someone.

Or, less formally, ``Given enough eyeballs, all bugs are shallow.'' I dub this: ``Linus's Law''.

My original formulation was that every problem ``will be transparent to somebody''. Linus demurred that the person who understands and fixes the problem is not necessarily or even usually the person who first characterizes it. ``Somebody finds the problem,'' he says, ``and somebody else understands it. And I'll go on record as saying that finding it is the bigger challenge.''
http://www.catb.org/~esr/writings/cathedral-bazaar/cathedral-bazaar/ar01s04.html

Daar staat dat Linus Torvalds zich gedroeg alsof problemen beter worden opgelost als je voor elkaar krijgt dat zo veel mogelijk mensen actief meewerken aan het project. Het gaat dus over het mobiliseren van zoveel mogelijk actieve aandacht voor de code. Waarbij Torvalds zelf nog opmerkte dat het vinden van bugs ook dan een grotere uitdaging is dan het oplossen van eenmaal gevonden bugs.

Er blijft verdomd weinig over van het beeld dat als de broncode maar openbaar is alles verder vanzelf goed gaat, vind je niet?
16-07-2021, 14:29 door Anoniem
Door Anoniem:"vele ogen maken bugs zichtbaar"
Het vervelende is dat niemand aantoonbaar verantwoordelijk is. Iedereen denkt dat de ander het wel gecontroleerd heeft met als resultaat dat uiteindelijk niemand dat doet en de bugs jaar en dag bestaan. Dit is helaas niet de eerste en zeker ook niet de laatste keer dat we dit soort voorbij zien komen. #SambaCry als voorbeeld. - JfL
16-07-2021, 16:05 door Anoniem
Door Anoniem:
Er blijft verdomd weinig over van het beeld dat als de broncode maar openbaar is alles verder vanzelf goed gaat, vind je niet?
Jij komt met een specifieke tekst van een paar personen, maar ik stel het meer in het algemeen. Je ziet hier vaak dat als
er problemen met Windows zijn, de goegemeente hier komt met "ja maar wat wil je ook, het is closed source, dus dan kun
je niet zomaar even kijken wat er mis mee is". Een dergelijk voorbeeld van een duidelijke backdoor zou daar in kunnen
zitten want je hebt geen source om naar te kijken.
Met opensource zou dat dan niet kunnen "want daar kan iedereen de source inzien en die backdoor zien". Dat is dus
in vele jaren niet gebeurd bij KiwiSDR, ook nu niet. Het probleem kwam pas aan het licht toen de maker zich in een
forumdiscussie mengde met uitspraken als "er moet iets met je netwerk zijn want ik kan 1.1.1.1 niet eens pingen" en
daarmee blijk gaf dat hij kon inloggen op de computer van de melder van een probleem, zonder dat die persoon daar
van te voren toestemming en credentials voor had gegeven. Niet nodig, want die zaten al in het programma waarover
de discussie ging. Een attente lezer is TOEN pas gaan zoeken hoe dat mogelijk was en vond die backdoor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.