به نظر من هم این باگ ۳۰ دقیقه زیادشه، اگر قرار باشه بحث جامعه شناسی برنامهنویسی و برخورد برنامه نویسان با باگ ها و غیره باشه یک روز هم کم باشه ولی فنی این موضوع زیاده....
On Sun, 2014-04-13 at 08:27 -0700, SOROO ASEMAN wrote: <سلام > > <به نظر من هم یک ارائه ی مفید در مورد این باگ و مطالب امنیتی دیگر مرتبط <با این بحث خوبه و از دوست خوبمون ممنون میشیم که ارائه بدن > > > > > ______________________________________________________________ > From: Mohammad Reza Kamalifard <[email protected]> > To: [email protected] > Sent: Sunday, 13 April 2014, 18:18 > Subject: Re: [TehLUG-General] هماهنگی جلسه ۱۹۵ تهرانلاگ، مورخ > ۲ اردیبهشتماه از ساعت ۱۸ الی ۲۰ > > < خوب برداشت من از جمله بالا اون بوده! < سوء تفاهم نشه آقا من جواب دادم به سوالت ولی فقط خواستم ببینم < بقیه هم چه نظری دارن > > > 2014-04-13 18:05 GMT+04:30 Behnam Tavakkoli > <[email protected]>: < @محمدرضا، مطمئنی بهنام این را < گفت؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟ > > < آخرین جلمه و سوال من از شما: این سی الی چهل دقیقه را < با چه موضوعاتی در مورد این باگ میخواهی پر کنی؟ > > > > > 2014-04-13 18:03 GMT+04:30 Mohammad Reza Kamalifard > <[email protected]>: > < بهنام گفت که این فقط یه باگ بوده و نمیشه در < موردش ۳۰ دقیقه حرف زد! > > < خوب در موردش میشه حرف زد همین نیست که بگی خوب < یه باگ بوده < ابعاد خیلی گسترده ای داشته و هر کسی که فک < میکنه خوب من یه مطلب خودندم تو یه سایت پس < همچی رو میدونم نیست < قضیه گسترده ای داره و بیشتر از این که به امنیت < ربط داشته باشه قضیه اوپن سورس و قضیه کامیونیتی < هست که چرا همچین چیزی وجود داره و این سوال که < حالا که کد های همچین چیز مهمی دیده نمیشده آیا < بقیه چیزهای اوپن سورس رو هم برنامه نویس ها < میبینن یا نه ! و کلا اوپن سورس چه کمکی به < امنیت بیشتر کرده و نقش کامیونیتی چیه! < لازمه که همه بدونن که چقدر باید بهش اعتماد کنن < الان هر سایتی که فکر میکردی امنه امن نبوده! < اینو < دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن نباشیم! < همه باید بدونن که چقدر پسورد هاشون و چیزایی که < فکر میکردن امنه الان امن هستن > > > > < اگر به نظر شما هم یه باگ بوده و ارائه مفید < نیست بگید > > > 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli > <[email protected]>: > > :) > > > < راجع به چیش میخواهی صحبت کنی؟ خوب یه < باگ در مورد openssl بود که باعث میشد < این... > < گفتنش که یک دقیقه است، این سی الی چهل < دقیقه را با چه موضوعاتی در مورد این < باگ میخواهی پر کنی؟ > > > > 2014-04-13 17:47 GMT+04:30 Mohammad > Reza Kamalifard > <[email protected]>: > < لازم نیست بزنی @ این به میلینگ < لیست نیست بین خودمونه < من که بالا گفتم میخوام ارائه < بدم چند تا ایمیل بری بالاتر < میبینی < خوب : < پیشنهاد ارائه در < مورد Heartbleed باگ در < مورد OpenSSL توسط من و مهندس < شجاری رو می دم. > > > > > 2014-04-13 17:44 GMT+04:30 > Behnam Tavakkoli > <[email protected]>: > < @محمدرضا > > < در مورد خونریزی قلبی < میخوای صحبت کنی؟ یک < تاپیک وار بگو در مورد < چی این موضوع مثلا < میخواهی صحبت کنی که < دوستان بدونند برای چی < دارند میآیند... > > > > 2014-04-13 17:36 GMT > +04:30 Mohammad Reza > Kamalifard > <[email protected]>: > < سلام < بهنام < من گفتم که < میخوام ارائه < فنی بدم این < جلسه و کی اوکی < اش میکنی که < ما بتونیم روش < کار کنیم؟ > > > > > 2014-04-13 > 17:21 GMT > +04:30 Behnam > Tavakkoli > > <[email protected]>: > < چرا < ایمیل < هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ میکنید؟! > > < یک < کلام، < کسی < میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد جلسه در مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام کند٪ > > > > 2014-04-13 > 17:14 GMT+04:30 Mohammad Reza Kamalifard <[email protected]>: > < سلام < من این ایمیل بالایی رو ندیده بودم < خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه این کار رو کرد. > > > > 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: < سلام > > > > < لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن بیان! < فقط چون نمیتونم بیام نظرم رو همین الآن میگم: > > > > < این متن طولانیست! > > < در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی مشکل سادهتر باشه احتمال کشفش کمتره! < و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! (درخواست حجم نا معتری داده از سرور) < بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی دانشجویی بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد باگخور بوده) ولی سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل گفتم آشنایی دارن، از «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! < البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که چرا متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet ندارم ولی از خیلی وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه کرد! تو پانویس یه مثال میگم براتون) < البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک و ... ) < یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که کلّی آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه برنامههایی که کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی > > ------- < پ.ن. < این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه penetration scenario بهش نگاه کنین! < مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد بیاد تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت داده بفرسته بعدش سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت باقی مونده رو raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of Transmit) خب اون شل کد رو سروره اجرا میشه! < بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم داده با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! < پ.ن.۲: میبخشین اگه طولانی شد! > > > > < التماس دعا! > > > > > > > > > > > > > > > > > > > > > > _______________________________________________ > > general mailing list > > [email protected] > > http://lists.tehlug.org/mailman/listinfo/general > > unsubscribe: http://lists.tehlug.org/mailman/options/general > > > > > > > _______________________________________________ > > general mailing list > > [email protected] > > http://lists.tehlug.org/mailman/listinfo/general > > unsubscribe: http://lists.tehlug.org/mailman/options/general > > > > -- < * مرکز گنو/لینوکس سیتو : www.sito.ir < * خدمات وب بهرا : www.behra.ir < * پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com > −−−−−− > < آدرس < دفتر < مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک ۱۴ - واحد یک < کد < پستی : < ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ < تلفن : < ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ < بهنام < توکلی < کرمانی > > > > > > _______________________________________________ > general > mailing list > > [email protected] > > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: > http://lists.tehlug.org/mailman/options/general > > > > > > > > > > > > -- < * مرکز گنو/لینوکس < سیتو : www.sito.ir < * خدمات وب بهرا : www.behra.ir < * پنل ارسال پیام کوتاه اکسون < اساماس : www.axonsms.com > −−−−−− > < آدرس دفتر مرکزی : تهران - فلکه دوم < صادقیه - ابتدای بلوار فردوس - پلاک ۱۴ < - واحد یک < کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : < ۱۴۵۱۵/۹۳۹ < تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | < تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ < بهنام توکلی کرمانی > > > > > > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: > http://lists.tehlug.org/mailman/options/general > > > > > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: > http://lists.tehlug.org/mailman/options/general > > > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general > > > > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general _______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
