بهنام گفت که این فقط یه باگ بوده و نمیشه در موردش ۳۰ دقیقه حرف زد!
خوب در موردش میشه حرف زد همین نیست که بگی خوب یه باگ بوده ابعاد خیلی گسترده ای داشته و هر کسی که فک میکنه خوب من یه مطلب خودندم تو یه سایت پس همچی رو میدونم نیست قضیه گسترده ای داره و بیشتر از این که به امنیت ربط داشته باشه قضیه اوپن سورس و قضیه کامیونیتی هست که چرا همچین چیزی وجود داره و این سوال که حالا که کد های همچین چیز مهمی دیده نمیشده آیا بقیه چیزهای اوپن سورس رو هم برنامه نویس ها میبینن یا نه ! و کلا اوپن سورس چه کمکی به امنیت بیشتر کرده و نقش کامیونیتی چیه! لازمه که همه بدونن که چقدر باید بهش اعتماد کنن الان هر سایتی که فکر میکردی امنه امن نبوده! اینو دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن نباشیم! همه باید بدونن که چقدر پسورد هاشون و چیزایی که فکر میکردن امنه الان امن هستن اگر به نظر شما هم یه باگ بوده و ارائه مفید نیست بگید 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli <[email protected]>: > :) > > راجع به چیش میخواهی صحبت کنی؟ خوب یه باگ در مورد openssl بود که باعث > میشد این... > گفتنش که یک دقیقه است، این سی الی چهل دقیقه را با چه موضوعاتی در مورد این > باگ میخواهی پر کنی؟ > > > 2014-04-13 17:47 GMT+04:30 Mohammad Reza Kamalifard < > [email protected]>: > > لازم نیست بزنی @ این به میلینگ لیست نیست بین خودمونه >> من که بالا گفتم میخوام ارائه بدم چند تا ایمیل بری بالاتر میبینی >> خوب : >> >> پیشنهاد ارائه در مورد Heartbleed باگ در مورد OpenSSL توسط من و مهندس >> شجاری رو می دم. >> >> >> >> 2014-04-13 17:44 GMT+04:30 Behnam Tavakkoli <[email protected]>: >> >> @محمدرضا >>> >>> در مورد خونریزی قلبی میخوای صحبت کنی؟ یک تاپیک وار بگو در مورد چی این >>> موضوع مثلا میخواهی صحبت کنی که دوستان بدونند برای چی دارند میآیند... >>> >>> >>> 2014-04-13 17:36 GMT+04:30 Mohammad Reza Kamalifard < >>> [email protected]>: >>> >>> سلام >>>> بهنام >>>> من گفتم که میخوام ارائه فنی بدم این جلسه و کی اوکی اش میکنی که ما >>>> بتونیم روش کار کنیم؟ >>>> >>>> >>>> >>>> 2014-04-13 17:21 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>> >>>> چرا ایمیل هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ میکنید؟! >>>>> >>>>> *یک کلام،* کسی میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد جلسه در >>>>> مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام کند٪ >>>>> >>>>> >>>>> 2014-04-13 17:14 GMT+04:30 Mohammad Reza Kamalifard < >>>>> [email protected]>: >>>>> >>>>> سلام >>>>>> من این ایمیل بالایی رو ندیده بودم >>>>>> خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که >>>>>> میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه این >>>>>> کار >>>>>> رو کرد. >>>>>> >>>>>> >>>>>> 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: >>>>>> >>>>>>> سلام >>>>>>> >>>>>>> لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن بیان! >>>>>>> فقط چون نمیتونم بیام نظرم رو همین الآن میگم: >>>>>>> >>>>>>> این متن طولانیست! >>>>>>> >>>>>>> در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی مشکل >>>>>>>> سادهتر باشه احتمال کشفش کمتره! >>>>>>>> و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! (درخواست حجم >>>>>>>> نا معتری داده از سرور) >>>>>>>> بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی دانشجویی >>>>>>>> بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد باگخور بوده) ولی >>>>>>>> سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل گفتم آشنایی دارن، >>>>>>>> از >>>>>>>> «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! >>>>>>>> البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که چرا >>>>>>>> متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet ندارم ولی از >>>>>>>> خیلی >>>>>>>> وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه کرد! تو >>>>>>>> پانویس >>>>>>>> یه مثال میگم براتون) >>>>>>>> البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و >>>>>>>> سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک و >>>>>>>> ... ) >>>>>>>> یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که کلّی >>>>>>>> آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه برنامههایی >>>>>>>> که >>>>>>>> کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی >>>>>>>> ------- >>>>>>>> پ.ن. >>>>>>>> این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه penetration >>>>>>>> scenario بهش نگاه کنین! >>>>>>>> مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد بیاد >>>>>>>> تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت داده بفرسته >>>>>>>> بعدش >>>>>>>> سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت باقی مونده >>>>>>>> رو >>>>>>>> raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of Transmit) خب >>>>>>>> اون شل >>>>>>>> کد رو سروره اجرا میشه! >>>>>>>> بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم داده >>>>>>>> با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! >>>>>>>> پ.ن.۲: میبخشین اگه طولانی شد! >>>>>>> >>>>>>> >>>>>>> التماس دعا! >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> _______________________________________________ >>>>>>> general mailing list >>>>>>> [email protected] >>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>> >>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> general mailing list >>>>>> [email protected] >>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> >>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>> - خدمات وب بهرا : www.behra.ir >>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>> >>>>> <http://www.buysoft.ir/>−−−−−− >>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک >>>>> ۱۴ - واحد یک >>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>> بهنام توکلی کرمانی >>>>> >>>>> >>>>> _______________________________________________ >>>>> general mailing list >>>>> [email protected] >>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>> >>>> >>>> >>> >>> >>> >> > > > -- > > - مرکز گنو/لینوکس سیتو : www.sito.ir > - خدمات وب بهرا : www.behra.ir > - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com > > <http://www.buysoft.ir/>−−−−−− > آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک ۱۴ - > واحد یک > کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ > تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ > بهنام توکلی کرمانی > >
_______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
