من با محمدرضا موافقم، حرف ایشون صحیح و کاملا درسته.
2014-04-13 18:03 GMT+04:30 Mohammad Reza Kamalifard <[email protected] >: > بهنام گفت که این فقط یه باگ بوده و نمیشه در موردش ۳۰ دقیقه حرف زد! > > خوب در موردش میشه حرف زد همین نیست که بگی خوب یه باگ بوده > ابعاد خیلی گسترده ای داشته و هر کسی که فک میکنه خوب من یه مطلب خودندم تو > یه سایت پس همچی رو میدونم نیست > قضیه گسترده ای داره و بیشتر از این که به امنیت ربط داشته باشه قضیه اوپن > سورس و قضیه کامیونیتی هست که چرا همچین چیزی وجود داره و این سوال که حالا که > کد های همچین چیز مهمی دیده نمیشده آیا بقیه چیزهای اوپن سورس رو هم برنامه > نویس ها میبینن یا نه ! و کلا اوپن سورس چه کمکی به امنیت بیشتر کرده و نقش > کامیونیتی چیه! > لازمه که همه بدونن که چقدر باید بهش اعتماد کنن الان هر سایتی که فکر > میکردی امنه امن نبوده! > اینو دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه > برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی > در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن نباشیم! > همه باید بدونن که چقدر پسورد هاشون و چیزایی که فکر میکردن امنه الان امن > هستن > > > اگر به نظر شما هم یه باگ بوده و ارائه مفید نیست بگید > > > 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli <[email protected]>: > >> :) >> >> راجع به چیش میخواهی صحبت کنی؟ خوب یه باگ در مورد openssl بود که باعث >> میشد این... >> گفتنش که یک دقیقه است، این سی الی چهل دقیقه را با چه موضوعاتی در مورد این >> باگ میخواهی پر کنی؟ >> >> >> 2014-04-13 17:47 GMT+04:30 Mohammad Reza Kamalifard < >> [email protected]>: >> >> لازم نیست بزنی @ این به میلینگ لیست نیست بین خودمونه >>> من که بالا گفتم میخوام ارائه بدم چند تا ایمیل بری بالاتر میبینی >>> خوب : >>> >>> پیشنهاد ارائه در مورد Heartbleed باگ در مورد OpenSSL توسط من و مهندس >>> شجاری رو می دم. >>> >>> >>> >>> 2014-04-13 17:44 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>> >>> @محمدرضا >>>> >>>> در مورد خونریزی قلبی میخوای صحبت کنی؟ یک تاپیک وار بگو در مورد چی این >>>> موضوع مثلا میخواهی صحبت کنی که دوستان بدونند برای چی دارند میآیند... >>>> >>>> >>>> 2014-04-13 17:36 GMT+04:30 Mohammad Reza Kamalifard < >>>> [email protected]>: >>>> >>>> سلام >>>>> بهنام >>>>> من گفتم که میخوام ارائه فنی بدم این جلسه و کی اوکی اش میکنی که ما >>>>> بتونیم روش کار کنیم؟ >>>>> >>>>> >>>>> >>>>> 2014-04-13 17:21 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>> >>>>> چرا ایمیل هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ میکنید؟! >>>>>> >>>>>> *یک کلام،* کسی میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد جلسه در >>>>>> مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام کند٪ >>>>>> >>>>>> >>>>>> 2014-04-13 17:14 GMT+04:30 Mohammad Reza Kamalifard < >>>>>> [email protected]>: >>>>>> >>>>>> سلام >>>>>>> من این ایمیل بالایی رو ندیده بودم >>>>>>> خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که >>>>>>> میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه این >>>>>>> کار >>>>>>> رو کرد. >>>>>>> >>>>>>> >>>>>>> 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: >>>>>>> >>>>>>>> سلام >>>>>>>> >>>>>>>> لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن بیان! >>>>>>>> فقط چون نمیتونم بیام نظرم رو همین الآن میگم: >>>>>>>> >>>>>>>> این متن طولانیست! >>>>>>>> >>>>>>>> در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی >>>>>>>>> مشکل سادهتر باشه احتمال کشفش کمتره! >>>>>>>>> و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! (درخواست >>>>>>>>> حجم نا معتری داده از سرور) >>>>>>>>> بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی دانشجویی >>>>>>>>> بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد باگخور بوده) >>>>>>>>> ولی >>>>>>>>> سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل گفتم آشنایی دارن، >>>>>>>>> از >>>>>>>>> «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! >>>>>>>>> البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که چرا >>>>>>>>> متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet ندارم ولی از >>>>>>>>> خیلی >>>>>>>>> وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه کرد! تو >>>>>>>>> پانویس >>>>>>>>> یه مثال میگم براتون) >>>>>>>>> البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و >>>>>>>>> سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک و >>>>>>>>> ... ) >>>>>>>>> یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که کلّی >>>>>>>>> آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه برنامههایی >>>>>>>>> که >>>>>>>>> کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی >>>>>>>>> ------- >>>>>>>>> پ.ن. >>>>>>>>> این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه penetration >>>>>>>>> scenario بهش نگاه کنین! >>>>>>>>> مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد >>>>>>>>> بیاد تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت داده >>>>>>>>> بفرسته >>>>>>>>> بعدش سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت باقی >>>>>>>>> مونده >>>>>>>>> رو raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of Transmit) >>>>>>>>> خب اون >>>>>>>>> شل کد رو سروره اجرا میشه! >>>>>>>>> بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم >>>>>>>>> داده با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! >>>>>>>>> پ.ن.۲: میبخشین اگه طولانی شد! >>>>>>>> >>>>>>>> >>>>>>>> التماس دعا! >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> _______________________________________________ >>>>>>>> general mailing list >>>>>>>> [email protected] >>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>> >>>>>>> >>>>>>> >>>>>>> _______________________________________________ >>>>>>> general mailing list >>>>>>> [email protected] >>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>> >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> >>>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>>> - خدمات وب بهرا : www.behra.ir >>>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>>> >>>>>> <http://www.buysoft.ir/>−−−−−− >>>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک >>>>>> ۱۴ - واحد یک >>>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>>> بهنام توکلی کرمانی >>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> general mailing list >>>>>> [email protected] >>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>> >>>>> >>>>> >>>> >>>> >>>> >>> >> >> >> -- >> >> - مرکز گنو/لینوکس سیتو : www.sito.ir >> - خدمات وب بهرا : www.behra.ir >> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >> >> <http://www.buysoft.ir/>−−−−−− >> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک ۱۴ >> - واحد یک >> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >> بهنام توکلی کرمانی >> >> > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general > -- *RegardsHamzeh Khosravi* Network & Security Architect GNU/Linux System Administrator +989128887967 || +989354025848
_______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
