Studenten vinden 44 security lekken in Unix applicaties
Studenten aan de universiteit van Chicago hebben zo'n 44 security lekken in verschillende Unix applicaties gevonden en dat is veel te weinig om het betreffende vak te halen. De studenten, die de lessen van hoogleraar wiskunde Daniel Bernstein volgen, moesten elk 10 lekken vinden, iets wat 60% van het cijfer van dit vak uitmaakt. Aangezien de 25 studenten in totaal 44 lekken wisten te vinden, is het te hopen dat Bernstein soepel zal zijn. De lekken werden aangetroffen in zelden gebruikte applicaties tot serieuzere lekken die in de meeste versies van het Linux besturinssysteem aanwezig zijn. Onlangs werden de resultaten van een 4-jarig onderzoek bekend gemaakt waaruit zou blijken dat Linux veel minder lekken heeft dan commcerciele software. (Zdnet)
Update: titel aangepast
Onlangs werden de resultaten van een 4-jarig onderzoek
bekend gemaakt waaruit zou blijken dat Linux veel minder
lekken heeft dan commcerciele software. (Zdnet)
Nou, aangezien ze geen verwachte 250 maar "slechts" 44
lekken hebben kunnen vinden kan het wel kloppen dan
Heeft de leraar ze ook laten zoeken in andere OS'en buiten
UNIX ?
scriptjes die niemand gebruikt bekijken en hoppa
Dat vak waarbij de leerlingen als practicum 10 bugs moesten vinden en een exploit weten te fabriceren liep maar 16 weken (http://cr.yp.to/2004-494.html), en heeft niet direct met dat 4-jarig onderzoek te maken. En dat 4-jarig onderzoek heet zo omdat het gegevens gebruikt die over een periode van 4 jaar verzameld zijn, niet omdat daar 4 jaar aan is gewerkt.
moeilijker om te slagen. Niet zo gek dus dat deze software
aanzienlijk minder fouten bevat.
Conclusie: even in Unix graven en je hebt ze zo.
er staat duidelijk: 25 studenten.
En deze personen waren 16 weken intensief opgeleid om fouten
in UNIX te vinden.
Dus persoonlijk vind ik 44 fouten niet zo enorm veel als je
hoort dat ze ook fouten in allerlei zeldzame applicaties
gevonden hebben.
En belangrijker: Deze fouten kunnen nu netjes gepatched
worden, waardoor de bugs niet meer te misbruiken zijn...
lijken te lezen. Het telt voor 40% mee (de andere 60% zijn
de examens). Dat houdt dus in, dat het een erg belangrijk
onderdeel is. Maar het doel was om *10* fouten te vinden in
software die op *NIX redelijkerwijs gebruikelijk gebruikt
wordt (dus niet een of andere vage software van $Jantje).
Het punt is, dat er 25 studenten meededen. Ze hebben er 44
gevonden; ervan uitgaande dat ze graag wilden slagen en op
10 hebben gedoelt, hebben ze er maar 44 gevonden. Dat houdt
dus in 44/250 is minder dan 20% van het doel bereikt.
Volgens de regel 80/20 zou dat inhouden dat 80% van de
studenten niet bekwaam is in software auditing, maar we
hebben het hier wel over mensen die zich hier specifiek in
verdiepen. Ik vind het dus wat te makkelijk om een verband
met de (on)veiligheid van *NIX te stellen.
Overigens zag ik geen belangrijke server software of de
Linux kernel in het lijstje staan; het ging voornamelijk om
desktop programma's. Als ik eerlijk ben, is dat ook exact
waar ik weinig vertrouwen in heb, maar dat even terzijde.
Btw de website van DJB vertelt je meer over zijn software
(auteur van o.a. Qmail), zijn publicitaties en analyses. Het
is een aparte man, voor mij haast intrigrerend. Met Google
kun je evt. zoeken naar conflicten tussen hem en anderen.
Een eigenaardig figuur...
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.
In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....
Dus ga jij er maar direct vanuit dat alle unix varianten opensource zijn.
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.
Pak de source van een gemiddeld Microsoft product erbij, en
je mag de lat aanzienlijk hoger leggen ten aanzien van het
minimaal aantal te vinden fouten: anders wordt slagen een eitje.
Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.
In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....
Anders kan elke idioot (of student) wel een paar fouten vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.
Precies die kan je niet zomaar vinden, das ook een voordeel
aan gesloten.
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die crackers zouden kunnen misbruiken.
fouten en lekken?
Zoek voor de lol bijvoorbeeld eens op 'debugging' en
'disassembly' met onze grote vriend Google.
Gebrek aan source is dus gevaarlijker omdat er minder mensen
zullen zijn die deze kunnen controleren of preventief
corrigeren.
Precies die kan je niet zomaar vinden, das ook een voordeel
aan gesloten.
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.
Kom maar terug als je enige bugs hebt gevonden.. dat zal je
zeer vies tegen vallen.. vooral om enigszins *exploitable*
bugs te vinden zal je *zeer vies* tegen vallen.. Probeer het
eens! Ik denk eerder dat in plaats van bugs vinden je de
kwaliteit van de code zult waarderen, en de interessante en
slimme coding styles in bijv. de linux kernel.. Ik kan het
weten.
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.
das juist het voordeel van open code, nu worden fouten (die
je ALTIJD hebt) tenminste door studenten gevonden (en bekend
gemaakt) en niet door mensen met kwaadaardige bedoelingen.
Anders kan elke idioot (of student) wel een paar fouten
vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.
das juist het voordeel van open code, nu worden fouten (die
je ALTIJD hebt) tenminste door studenten gevonden (en bekend
gemaakt) en niet door mensen met kwaadaardige
bedoelingen.
Dat komt vanzelf, als er maar voldoende commercieel gewin op
het spel staat.
dat we wat meer van dat soort trollen hadden.
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....
Dus ga jij er maar direct vanuit dat alle unix varianten opensource zijn.
als dat niet zo zou zijn, zouden ze de GNU en GPL licenses niet volgen,
praat niet over dingen waar je geen verstand van hebt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Veiligheidsadviseur
Ministerie van Economische Zaken en Klimaat
Een zeer dynamische en unieke functie met directe impact op de nationale veiligheid, daarover gaat deze interessante vacature. Voor de ministeries Economische Zaken & Klimaat en Landbouw, Natuur en Voedsel-kwaliteit, zorg jij dat staatsgeheime informatie optimaal beveiligd is en je adviseert over beleid en bij vragen op dit gebied.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.