Kysyin tätä joskus aikaisemmin mutta et vastannut. Kun olet tietoturvanysvästä kiinnostunut niin miksi et turhanpäiväisten turvaohjelmien sijasta tekisi itse järjestelmää niin turvalliseksi kuin mahdollista? Extreme meiningillä tämä olisi OpenBSD tai jos haluaa monikäyttöisyyttä ja paljon mahdollisuuksia niin joku Debian vaikka. Saisi ihan itse etsiä ne turvareiät rakentaa niin turvallinen järjestelmä että vieraan vallan agentitkaan ei pääse sisälle.
Kaiken lisäksi kannattaa muistaa se, että siitä olisi enemmän HYÖTYÄ itsellesi ja myös muille, ja saisit ihan todellista turvallisuutta. Tietoturvaohjelmistot kun sellaisia, että ne tulee aina jäljessä eikä ne korjaa todellista ongelman aiheuttajaa, eli reikiä ohjelmissa. Lisäksi käyttämäsi aika ja vaiva ei hyödytä sinua itseäsi juurikaan. Sinä kun et omista tietoturvaohjelmistoja etkä Windowsia vaan saat käyttöluvan niihin.
f.e.dzerzhinsky, miksi et halua parantaa tietoturvaa?
39
150
Vastaukset
- Wind-Tiedottaja.
OpenBSD sisältää takaportteja.
http://www.tietokone.fi/uutiset/vaite_fbi_piilotti_takaportteja_kayttojarjestelmaan- M-Kar
Taasko se Windows on särkenyt kellon?
- Finn Lander
M-Kar kirjoitti:
Taasko se Windows on särkenyt kellon?
Linux on "kellonrunkkari", eikä Windows , joten ?
- ...........
Tuo on väite, missä todisteet ? Jotain edes puoliksi luotettavia todisteita yhden henkilön vaitteiden sijaan.
Ja ennenkaikkea kyse on ipsec-salauksesta ja sen toteutuksesta jota on tuonjälkeen uusittu moneen kertaan eli ovatko nuo väitetyt takaportit vielä siellä ? Senverran vanha uutinen että asia on varmasti tutkittu ja tarvittaessa korjattu. Miten Windowsin takaportit viranomaisia varten voivat ?
"Netsec kehitti vuosien 2000–2001 tienoilla OpenBSD:n salausmekanismeja. Netsecin ohjelmoija, joka rakensi monet OpenBSD:n salaustoteutuksista, toimi kuitenkin FBI:n laskuun" Niimpä, kaupallisten yritysten toiminta ja tuotteet ovat luotettavia ? - M-Kar
Finn Lander kirjoitti:
Linux on "kellonrunkkari", eikä Windows , joten ?
Ei ole. Windows oli taas vuoden vika ajassa.
- f.e.dzerzhinsky
"..niin miksi et turhanpäiväisten turvaohjelmien sijasta tekisi itse järjestelmää niin turvalliseksi kuin mahdollista? Extreme meiningillä tämä olisi OpenBSD"
Melkoinen työmäärä opiskella joku SElinux tai BSD sille tasolle että pystyisi muokkaamaan järjestelmää sillä tasolla että voisi rakentaa siihen jotain uutta.
Olen kyllä ohjelmoinut joskus aikoinaan jotain mutta siitä ei ole mitään muuta hyötyä nykyään kuin että ymmärrän tietokoneen toiminnan perusteet keskiverto sukankuluttajaa paremmin.
Tietoturvajutut ovat jonkin verran kiinnostaneet harrastuspohjalta mutta en tee työkseni mitään tietotekniikkaan liittyvää, en ole ikinä tehnyt.
Ei riitä aika / osaaminen / mielenkiintokaan niin syvälliseen opiskeluun mitä joku käyttöjärjestelmän muokkaaminen / tutkiminen tuolla tasolla vaatisi.- M-Kar
"Melkoinen työmäärä opiskella joku SElinux tai BSD sille tasolle että pystyisi muokkaamaan järjestelmää sillä tasolla että voisi rakentaa siihen jotain uutta."
Ei tarvitse muokata tai rakentaa. Voit myös etsiä tietoturvareikiä ja muita bugeja.
Tästä ei ollut pitkä aika kun joku 12 vuotias pikkupoika sai Mozillalta rahapalkinnon kun oli kaivanut bugin esille ja tämän se teki työntämällä sopivasti muotoiltua dataa Firefoxiin.
Niin ja tosiaankin, OpenBSD:n aukkojen löytämisestä saa mainetta ja kunniaa, Mozillan, dovecotin ja Googlen aukkojen löytämisestä (ja varmaan muidenkin) saa rahaa, ja käyttämällä Debiania ja etsimällä siitä aukkoja hyödytät luultavasti eniten ihmisiä ja itseäsi jos haluat monikäyttöisyyttä. - M-Kar
M-Kar kirjoitti:
"Melkoinen työmäärä opiskella joku SElinux tai BSD sille tasolle että pystyisi muokkaamaan järjestelmää sillä tasolla että voisi rakentaa siihen jotain uutta."
Ei tarvitse muokata tai rakentaa. Voit myös etsiä tietoturvareikiä ja muita bugeja.
Tästä ei ollut pitkä aika kun joku 12 vuotias pikkupoika sai Mozillalta rahapalkinnon kun oli kaivanut bugin esille ja tämän se teki työntämällä sopivasti muotoiltua dataa Firefoxiin.
Niin ja tosiaankin, OpenBSD:n aukkojen löytämisestä saa mainetta ja kunniaa, Mozillan, dovecotin ja Googlen aukkojen löytämisestä (ja varmaan muidenkin) saa rahaa, ja käyttämällä Debiania ja etsimällä siitä aukkoja hyödytät luultavasti eniten ihmisiä ja itseäsi jos haluat monikäyttöisyyttä.Debianilla lisäksi lienee pienin kynnys löytää bugeja softasta kun se on niin tajuttoman laaja.
- M-Kar
Niin ja tietysti kun tykkäät aina valittaa ties mistä Linuxista tai Firefoxista AIHEETTA niin tee kerrankin jotain hyödyllistä ja anna aihetta valittamiseen. Kyllähän ne softat on täynnä bugeja että testipenkkiä pystyyn vaan, Debianin testing koneelle ja katso kuinka pitkään onnistut viivästämään julkaisua kun kaivat bugeja esiin.
Tosiaankin homma toimii niin, että kun julkaisu on "valmis", eli täysin vakautettu niin sittenhän se bugien korjaamisen luonne muuttuu niin, että focus on tietoturva-aukoilla ja sitten on sellainen juttu, että kaikkia bugeja ei ole mahdollista korjata hajoittamatta muuta softaa että osa tulee korjattua vasta seuraavassa releasessa. Bugit joiden vaikutus on lähinnä kosmeettinen on aika alhaisella prioriteetillä. - f.e.dzerzhinsky
M-Kar kirjoitti:
Niin ja tietysti kun tykkäät aina valittaa ties mistä Linuxista tai Firefoxista AIHEETTA niin tee kerrankin jotain hyödyllistä ja anna aihetta valittamiseen. Kyllähän ne softat on täynnä bugeja että testipenkkiä pystyyn vaan, Debianin testing koneelle ja katso kuinka pitkään onnistut viivästämään julkaisua kun kaivat bugeja esiin.
Tosiaankin homma toimii niin, että kun julkaisu on "valmis", eli täysin vakautettu niin sittenhän se bugien korjaamisen luonne muuttuu niin, että focus on tietoturva-aukoilla ja sitten on sellainen juttu, että kaikkia bugeja ei ole mahdollista korjata hajoittamatta muuta softaa että osa tulee korjattua vasta seuraavassa releasessa. Bugit joiden vaikutus on lähinnä kosmeettinen on aika alhaisella prioriteetillä.On useimmiten järkevää hyödyntää todellisten ammattmaisten tietoturva-asiantuntijoiden arvioita ja perusteluja muodostaessa itselle kuvaa jonkin ohjelman tietoturvasta ja ongelmista kuin ruveta itse tekemään pyörää uudestaan mikä on tietenkin täysin mahdotontakin.
Firefoxin webgl oli juuri tällainen asia. - M-Kar
f.e.dzerzhinsky kirjoitti:
On useimmiten järkevää hyödyntää todellisten ammattmaisten tietoturva-asiantuntijoiden arvioita ja perusteluja muodostaessa itselle kuvaa jonkin ohjelman tietoturvasta ja ongelmista kuin ruveta itse tekemään pyörää uudestaan mikä on tietenkin täysin mahdotontakin.
Firefoxin webgl oli juuri tällainen asia.Ja Ubuntu LTS:ää tuo esimerkiksi ei ole koskenut missään vaiheessa. Siinä ollaan pitäydytty tiukasti 3.6.x:ssä jota päivitettävät edelleen aukoista.
Tuon ominaisuuden saa varmaankin kytkettyä pois päältä ja se on korjattu ennen kuin otetaan Ubuntuun, tai sitten uudempi Firefox otetaan Ubuntuun niin, että tuo ominaisuus kytketään pois jos siinä on tietoturvariskiä. - American dynamo
f.e.dzerzhinsky kirjoitti:
On useimmiten järkevää hyödyntää todellisten ammattmaisten tietoturva-asiantuntijoiden arvioita ja perusteluja muodostaessa itselle kuvaa jonkin ohjelman tietoturvasta ja ongelmista kuin ruveta itse tekemään pyörää uudestaan mikä on tietenkin täysin mahdotontakin.
Firefoxin webgl oli juuri tällainen asia.Jos asiantuntija kehottaisi sinua lyömään pääsi seinään joka päivä kello 12, niin sinä tekisit niin?
Ihmisten rationaalisuus, itsesuojeluvaisto ja ymmärrys omasta edusta eivät koske ainakaan tietotekniikkaa, joten Windows myy. - f.e.dzerzhinsky
American dynamo kirjoitti:
Jos asiantuntija kehottaisi sinua lyömään pääsi seinään joka päivä kello 12, niin sinä tekisit niin?
Ihmisten rationaalisuus, itsesuojeluvaisto ja ymmärrys omasta edusta eivät koske ainakaan tietotekniikkaa, joten Windows myy.Jos kumppaniltasi / lapseltasi tulehtuisi umpisuoli niin tukeutuisitko lääkärin ammattitaidon puoleen vai leikkaisitko itse?
- American dynamo
f.e.dzerzhinsky kirjoitti:
Jos kumppaniltasi / lapseltasi tulehtuisi umpisuoli niin tukeutuisitko lääkärin ammattitaidon puoleen vai leikkaisitko itse?
Ainakaan en luottaisi lääkäriin, joka antaa piut paut pöpöille ja voideltuna jakaa suosituksiansa, jotka pahentavat pandemioita.
- Securitas
f.e.dzerzhinsky kirjoitti:
Jos kumppaniltasi / lapseltasi tulehtuisi umpisuoli niin tukeutuisitko lääkärin ammattitaidon puoleen vai leikkaisitko itse?
Maksaako KELA sulle tietoturvakonsultit vai oletko palkannut yksityiseltä konsulttiasemalta?
- Wind-Tiedottaja.
Mikään järjestelmä ei ole aukoton ja kaikki järjestelmät voidaan murtaa jos on motivaatio ja resurssit. Voidaan tietysti tehdä käyttäjälle hankala systeemi jossa on varmistusta varmistuksen perään mutta aina on tehtävä kompromisseja. Itse lähtisin tekemään tietoturvaa raudan pohjalta. Täydellinen muistin suojaus/kryptaus erillisellä emolla olevalla piirillä ja salausavaimet dongelilla joka olisi usb-tikun mallinen erillinen mukana kulkeva laite joka vaadittaisiin kytkemään koneeseen käynnistystä ja käyttöä varten.
- exergy
Miten olisi tiiliskiven sisään sulautettu käyttis joka muurataan hormin keskimmäiseksi?
- viisas päivä
exergy kirjoitti:
Miten olisi tiiliskiven sisään sulautettu käyttis joka muurataan hormin keskimmäiseksi?
he he heheh .......
Päivän "viisaus" ????? - M-Kar
Ei pidä paikkaansa. Johan sitä löytyy kerneleitä jotka on formaalisti testattu virheettömiksi ja tunnetusti funktionaalisella rakenteella tehtyjä komponentteja saadaan testattua virheettömiksi kun pidetään kompleksisuus riittävän alhaisena.
Ongelmahan on se, että ohjelmistot tehdään nykypäivänä nopeasti ja halvalla ja sitten niitä korjaillaan sen jälkeen. Tämä ei ole väärin, sillä tärkeintähän on saada rakenne kuntoon. Vuosikymmeniä korjatut komponentit alkavat kyllä olla jo erittäin luotettavia.
f.e.dzerzhinsky:lle tiedoksi että tuollaiseen testaukseen löytyy työkaluja valmiina kuten API Sanity Test ja jos vähänkin tietää ohjelmoinnista niin sitä saa kasailtua ohjelmia millä syötetään komponenttiin random dataa ja voi helposti rakennella testipenkkejä missä vaikka C kirjaston tiedosto/muistinvaraus -kutsut meneekin omaan kirjastoon missä voi säädellä miten usein kutsut onnistuvat ja sillä tavalla paljastaa ohjelmista virheitä.
Ja jos ohjelmointia osaa niin unixit on ideaalinen arkkitehtuuri sille että tekee jotain itse. Käytännössä kun arkkitehtuuri on sellainen, että voit ottaa palan pois ja laittaa uuden tilalle kun pitää rajapinnat samana. Ja jos rajapintoja muuttaa niin sitten katsoo vaan riippuvuudet. Tälläisessä joku Debian olisi loistava kun se näyttää laajassa mittakaavassa kaikki riippuvuudet mihin joku palikko järjestelmässä vaikuttaa.
Itsehän olen perfektionisti ja kun ohjelmoin niin minusta on kiva rakentaa testikehystä jolla saan automatisoidusti bugit löydettyä. Poistamalla bugit pois järjestelmästä, siitä saa tehtyä samalla turvallisen.
"Itse lähtisin tekemään tietoturvaa raudan pohjalta. Täydellinen muistin suojaus/kryptaus erillisellä emolla olevalla piirillä ja salausavaimet dongelilla joka olisi usb-tikun mallinen erillinen mukana kulkeva laite joka vaadittaisiin kytkemään koneeseen käynnistystä ja käyttöä varten."
Voit tehdä sen saman softalla myös, Kannattaa huomioida se, että ei ole mitään eroa tehdäänkö jokin asia raudalla vaiko softalla. Nykypäivänä rauta vaan on tehty paljon huolellisemmin. Jos haluaa oikeasti vaikuttaa asioihin niin katsoo mikä yleisesti tehty komponentti on tehty mielestäsi päin persettä ja tee se paremmin. Valtaosa maailman ohjelmistoista käyttää samoja yleiosesti käytettyjä komponentteja. Laajimmassa käytössä eri puolilla on varmastikin zlib joka huolehtii tiedon pakkauksesta ja purkamisesta. Eniten käyttötunteja saa sitten varmuudella Linux.
Nuo molemmat on kyllä jo kehitetty varsin virheettömiksi, mutta ainahan sitä voi katsoa jonkun itseä liikuttavan ohjelmistokomponentin minkä turvallisuutta pitäis omasta mielestä parantaa. - Wind-Tiedottaja.
M-Kar kirjoitti:
Ei pidä paikkaansa. Johan sitä löytyy kerneleitä jotka on formaalisti testattu virheettömiksi ja tunnetusti funktionaalisella rakenteella tehtyjä komponentteja saadaan testattua virheettömiksi kun pidetään kompleksisuus riittävän alhaisena.
Ongelmahan on se, että ohjelmistot tehdään nykypäivänä nopeasti ja halvalla ja sitten niitä korjaillaan sen jälkeen. Tämä ei ole väärin, sillä tärkeintähän on saada rakenne kuntoon. Vuosikymmeniä korjatut komponentit alkavat kyllä olla jo erittäin luotettavia.
f.e.dzerzhinsky:lle tiedoksi että tuollaiseen testaukseen löytyy työkaluja valmiina kuten API Sanity Test ja jos vähänkin tietää ohjelmoinnista niin sitä saa kasailtua ohjelmia millä syötetään komponenttiin random dataa ja voi helposti rakennella testipenkkejä missä vaikka C kirjaston tiedosto/muistinvaraus -kutsut meneekin omaan kirjastoon missä voi säädellä miten usein kutsut onnistuvat ja sillä tavalla paljastaa ohjelmista virheitä.
Ja jos ohjelmointia osaa niin unixit on ideaalinen arkkitehtuuri sille että tekee jotain itse. Käytännössä kun arkkitehtuuri on sellainen, että voit ottaa palan pois ja laittaa uuden tilalle kun pitää rajapinnat samana. Ja jos rajapintoja muuttaa niin sitten katsoo vaan riippuvuudet. Tälläisessä joku Debian olisi loistava kun se näyttää laajassa mittakaavassa kaikki riippuvuudet mihin joku palikko järjestelmässä vaikuttaa.
Itsehän olen perfektionisti ja kun ohjelmoin niin minusta on kiva rakentaa testikehystä jolla saan automatisoidusti bugit löydettyä. Poistamalla bugit pois järjestelmästä, siitä saa tehtyä samalla turvallisen.
"Itse lähtisin tekemään tietoturvaa raudan pohjalta. Täydellinen muistin suojaus/kryptaus erillisellä emolla olevalla piirillä ja salausavaimet dongelilla joka olisi usb-tikun mallinen erillinen mukana kulkeva laite joka vaadittaisiin kytkemään koneeseen käynnistystä ja käyttöä varten."
Voit tehdä sen saman softalla myös, Kannattaa huomioida se, että ei ole mitään eroa tehdäänkö jokin asia raudalla vaiko softalla. Nykypäivänä rauta vaan on tehty paljon huolellisemmin. Jos haluaa oikeasti vaikuttaa asioihin niin katsoo mikä yleisesti tehty komponentti on tehty mielestäsi päin persettä ja tee se paremmin. Valtaosa maailman ohjelmistoista käyttää samoja yleiosesti käytettyjä komponentteja. Laajimmassa käytössä eri puolilla on varmastikin zlib joka huolehtii tiedon pakkauksesta ja purkamisesta. Eniten käyttötunteja saa sitten varmuudella Linux.
Nuo molemmat on kyllä jo kehitetty varsin virheettömiksi, mutta ainahan sitä voi katsoa jonkun itseä liikuttavan ohjelmistokomponentin minkä turvallisuutta pitäis omasta mielestä parantaa."Itsehän olen perfektionisti"
Et voi olla jos olet ns. Pavlovin koira jolle on opetettu mitä voi tehdä ja mikä on mahdollista.
- Wind-Tiedottaja.
Pitääkö nyt selittää ihan alkeita. Softalla kun ei täydellistä muistinhallintaa voi tehdä. Käyttöjärjestelmän ydin pitää olla eristetty niin ettei mikään ulkopuolinen ohjelma voi lukea/kirjoittaa sen muistialueelle. Ja tuota ei voi tehdä 100% varmuudella muuten kuin raudalla. Tuo muu osa viestistäsi on pelkkää höpötystä ja kopiointia josta hyvin näkee että et ymmärrä alemman tason ohjelmointia pätkääkään.
- M-Kar
"Softalla kun ei täydellistä muistinhallintaa voi tehdä."
No mitä nyt täydellisenä haluaa ajatella mutta edelleenkin, kaiken mitä voi tehdä raudalla, voi tehdä softalla niin kauan kunhan se on turing täydellinen. Mikään ei estä sitä, että hiekkalaatikoidaan järjestelmä niin että ajetaan siinä tavukoodia ja puututaan aina jos halutaan kirjoittaa väärälle muistialueelle.
Tosin eipä tuota tarvitse tehdä kun jostain 286:sta lähtien on ollut muistinsuojaus rautatasolla, että prosessori valvoo sitä että ei kirjoitella sellaisiin muistialueisiin mihin ei ole asiaa. - RAM-VirastonHallitus
miks muistinhallinnan pitäis olla täydellinen? muistinhallinta voidaan laittaa sekoittamaan osoitteet niin ettei yksikään ohjelma tai hakkeri tai propellilakki pysy enää ollenkaan kärryillä ja se kyllä onnistuu ihan softalla. siinähän sitten kirjottelee yli mutta kun koskaan ei tiedä että mihinkäs nyt sitten vois kirjottaa niin on pakko mennä softan rajotusten mukaan tai koko paska kaatuu siihen paikkaan rbac
- Wind-Tiedottaja.
RAM-VirastonHallitus kirjoitti:
miks muistinhallinnan pitäis olla täydellinen? muistinhallinta voidaan laittaa sekoittamaan osoitteet niin ettei yksikään ohjelma tai hakkeri tai propellilakki pysy enää ollenkaan kärryillä ja se kyllä onnistuu ihan softalla. siinähän sitten kirjottelee yli mutta kun koskaan ei tiedä että mihinkäs nyt sitten vois kirjottaa niin on pakko mennä softan rajotusten mukaan tai koko paska kaatuu siihen paikkaan rbac
Windowsissa on ASLR. Address space layout randomization.
- Wind-Tiedottaja.
Taas kerran.. "Mikään ei estä sitä, että hiekkalaatikoidaan järjestelmä nii" Mutta kun sen hiekkalaatikkoa hallinnoivassa koodissa voi olla aukkoja.
"Tosin eipä tuota tarvitse tehdä kun jostain 286:sta lähtien on ollut muistinsuojaus rautatasolla, että prosessori valvoo sitä että ei kirjoitella sellaisiin muistialueisiin mihin ei ole asiaa. "
Se muistinsuojaus ei ole muuta kuin yksi lippu prosessorin rekisterissä (protect mode/superuser) jonka mikä tahansa koodinpätkä voi vaihtaa jos se kykenee hyväksikäyttämään esim kernelin aukkoa.
Matti, vain jos ääretön määrä apinoita hakkaa äärettömän ajan verran tietokoneen näppäimiä niin ne löytävät koodin joka on aukoton.- Wind-Tiedottaja.
"Matti, vain jos ääretön määrä apinoita hakkaa äärettömän ajan verran tietokoneen näppäimiä niin ne löytävät koodin joka on aukoton. "
Toinen ryhmä äärettömiä apinoita murtaa se aukottoman koodin... - M-Kar
Edelleenkin, koodia pystytään kehittämään virheettömäksi ja tämä on ihan perusmatematiikkaa. Lue tästä vähän aiheesta: http://fi.wikipedia.org/wiki/Matemaattinen_todistus
Ohjelmistot ovat ihan käytännössä matematiikkaa, ja matemaattisesti voidaan todistaa ohjelman osat toimivat oikein.
Yksi tapa tarkistaa virheettömyyttä on tietysti se apinakone. Funktion lukuavaruudet voidaan rajata ja käydä bruteforcella ne läpi, ja apinakoneella voidaan syöttää randomsyötettä.
Ja ihan tiedoksi vaan, on jo olemassa kerneleitä jotka on todistettu matemaattisesti virheettömiksi.
Sillä ei ole edelleenkään eroa onko se logiikka tehty raudalla vai softalla, että kun puhut raudalla toteutettavista suojauksista niin samalla tavalla ne voi murtaa kuin softat jos raudassa on bugi. - Blaah
M-Kar kirjoitti:
Edelleenkin, koodia pystytään kehittämään virheettömäksi ja tämä on ihan perusmatematiikkaa. Lue tästä vähän aiheesta: http://fi.wikipedia.org/wiki/Matemaattinen_todistus
Ohjelmistot ovat ihan käytännössä matematiikkaa, ja matemaattisesti voidaan todistaa ohjelman osat toimivat oikein.
Yksi tapa tarkistaa virheettömyyttä on tietysti se apinakone. Funktion lukuavaruudet voidaan rajata ja käydä bruteforcella ne läpi, ja apinakoneella voidaan syöttää randomsyötettä.
Ja ihan tiedoksi vaan, on jo olemassa kerneleitä jotka on todistettu matemaattisesti virheettömiksi.
Sillä ei ole edelleenkään eroa onko se logiikka tehty raudalla vai softalla, että kun puhut raudalla toteutettavista suojauksista niin samalla tavalla ne voi murtaa kuin softat jos raudassa on bugi.Justiinsa joo.. niin onko digitaalinen rannekello sitten rautaa vai softaa jos se on tehty polttamalla transistori ic:ltä sulakkeet poikki?
Jos teen tinalla kolvilla ne555 ic:llä vastuksilla ja kondensaattorilla led vilkun joka vilkkuu haluamaani tahtiin niin olenko sitten ohjelmoinut jotain?
Voidaanko raudan ja softan erona pitää sitä että toinen on uudelleenohjelmoitavissa kolvilla ja toinen sähköpulsseilla?
Onko ihan sama kirjoitanko softaan
return =! input
vai juotanko piirin nastaan invertterin kiinni? - Wind-Tiedottaja.
Blaah kirjoitti:
Justiinsa joo.. niin onko digitaalinen rannekello sitten rautaa vai softaa jos se on tehty polttamalla transistori ic:ltä sulakkeet poikki?
Jos teen tinalla kolvilla ne555 ic:llä vastuksilla ja kondensaattorilla led vilkun joka vilkkuu haluamaani tahtiin niin olenko sitten ohjelmoinut jotain?
Voidaanko raudan ja softan erona pitää sitä että toinen on uudelleenohjelmoitavissa kolvilla ja toinen sähköpulsseilla?
Onko ihan sama kirjoitanko softaan
return =! input
vai juotanko piirin nastaan invertterin kiinni?Se idea onkin siinä ettei haitantekijä pysty kolvailemaan konettani.
- M-Kar
Blaah kirjoitti:
Justiinsa joo.. niin onko digitaalinen rannekello sitten rautaa vai softaa jos se on tehty polttamalla transistori ic:ltä sulakkeet poikki?
Jos teen tinalla kolvilla ne555 ic:llä vastuksilla ja kondensaattorilla led vilkun joka vilkkuu haluamaani tahtiin niin olenko sitten ohjelmoinut jotain?
Voidaanko raudan ja softan erona pitää sitä että toinen on uudelleenohjelmoitavissa kolvilla ja toinen sähköpulsseilla?
Onko ihan sama kirjoitanko softaan
return =! input
vai juotanko piirin nastaan invertterin kiinni?Tässä ei puhuttu siitä mikä on raudan ja softan ero vaan siitä, että onko raudalla ja softalla eroa bugien suhteen. Voit tehdä kolvilla ja IC-piireihin bugeja jotka tekee laitteesta turvattoman tai vaarallisen ihan samalla tavalla kuin tekemällä softaan bugeja.
- M-Kar
Wind-Tiedottaja. kirjoitti:
Se idea onkin siinä ettei haitantekijä pysty kolvailemaan konettani.
Etkä pysty oikein itsekään mukavasti korjata raudassa olevia bugeja. Eikä haitantekijä pysty softaakaan muuttamaan jos siihen ei tee vikoja. Rautaan ja softaan saa samalla tavalla niitä bugeja, softaa vaan voidaan muokata helpommin.
Tallentamalla tieto ROM-piirille ja estämällä jumpperilla ylikirjoitus saadaan kyllä varmuus siitä, että etäältä käsin sitä tietoa ei tyhjätä, mutta jos järjestelmässä on bugit sopivassa paikassa (raudassa tai softassa) niin tieto voidaan varastaa sieltä jos on kiinni nettiyhteydellä maailmaan. Sama pätee salaukseen, että sekin voidaan tietysti murtaa jos on bugia jossain missä se on toteutettu. - Wind-Tiedottaja.
M-Kar kirjoitti:
Tässä ei puhuttu siitä mikä on raudan ja softan ero vaan siitä, että onko raudalla ja softalla eroa bugien suhteen. Voit tehdä kolvilla ja IC-piireihin bugeja jotka tekee laitteesta turvattoman tai vaarallisen ihan samalla tavalla kuin tekemällä softaan bugeja.
Olet tuossa oikeassa. Eihän siinä eroa aukkojen suhteen. Mutta siis jos esim käyttöjärjrestelmä olisi eristetty kuvaamallani tavalla estyisi esim roottkittien ominaisuus tehdä käyttöjärjestelmän funktioihin omia muutoksiaan. Päivitys voisi olla hankalaa. Siinä voisi ajatella että järjestelmän valmistaja lähettäisi muistipiirin vaikka kerran kuukaudessa asiakkaalle maksua vastaa tietenkin. Näin päästäisiin piratismista eroon kun pc ei edes käynnistyisi ilman "dongelia". Kone olisi tietysti windows-only. Linuxille ja muille ilmaisille joilla ei olisi varaa systeemiin sitten normi pc.
Itse asiassa Kasperkyllä on tutkimusta asiassa
http://www.itviikko.fi/ratkaisut/2010/02/16/kaspersky-takoo-rautaa-rootkitteja-vastaan/20102376/7 - M-Kar
Wind-Tiedottaja. kirjoitti:
Olet tuossa oikeassa. Eihän siinä eroa aukkojen suhteen. Mutta siis jos esim käyttöjärjrestelmä olisi eristetty kuvaamallani tavalla estyisi esim roottkittien ominaisuus tehdä käyttöjärjestelmän funktioihin omia muutoksiaan. Päivitys voisi olla hankalaa. Siinä voisi ajatella että järjestelmän valmistaja lähettäisi muistipiirin vaikka kerran kuukaudessa asiakkaalle maksua vastaa tietenkin. Näin päästäisiin piratismista eroon kun pc ei edes käynnistyisi ilman "dongelia". Kone olisi tietysti windows-only. Linuxille ja muille ilmaisille joilla ei olisi varaa systeemiin sitten normi pc.
Itse asiassa Kasperkyllä on tutkimusta asiassa
http://www.itviikko.fi/ratkaisut/2010/02/16/kaspersky-takoo-rautaa-rootkitteja-vastaan/20102376/7"Mutta siis jos esim käyttöjärjrestelmä olisi eristetty kuvaamallani tavalla estyisi esim roottkittien ominaisuus tehdä käyttöjärjestelmän funktioihin omia muutoksiaan."
Virheettömällä kernelillä saadaan sama lopputulos kun suojataan käyttiksen keskeiset osat niin, että edes adminina niitä ei pääse ronkkimaan eikä tälläisiä käyttöoikeuksia anneta kenellekään.
"Siinä voisi ajatella että järjestelmän valmistaja lähettäisi muistipiirin vaikka kerran kuukaudessa asiakkaalle maksua vastaa tietenkin."
Järjettömän kallista. Halvemmaksi tulisi lisensoida se murtovarma kerneli tai tehdä sellainen itse, tai vaikka tunkemalla käyttiksen keskeiset osat emolevyn firmwarelle jossa päivitys edellyttää jumpperin nyppimistä.
"Kone olisi tietysti windows-only. Linuxille ja muille ilmaisille joilla ei olisi varaa systeemiin sitten normi pc."
Linux pyörii jo monien koneiden firmwarella. Windowsilla ei nykyisellään onnistu kun se on liian bloat. - Wind-Tiedottaja.
M-Kar kirjoitti:
"Mutta siis jos esim käyttöjärjrestelmä olisi eristetty kuvaamallani tavalla estyisi esim roottkittien ominaisuus tehdä käyttöjärjestelmän funktioihin omia muutoksiaan."
Virheettömällä kernelillä saadaan sama lopputulos kun suojataan käyttiksen keskeiset osat niin, että edes adminina niitä ei pääse ronkkimaan eikä tälläisiä käyttöoikeuksia anneta kenellekään.
"Siinä voisi ajatella että järjestelmän valmistaja lähettäisi muistipiirin vaikka kerran kuukaudessa asiakkaalle maksua vastaa tietenkin."
Järjettömän kallista. Halvemmaksi tulisi lisensoida se murtovarma kerneli tai tehdä sellainen itse, tai vaikka tunkemalla käyttiksen keskeiset osat emolevyn firmwarelle jossa päivitys edellyttää jumpperin nyppimistä.
"Kone olisi tietysti windows-only. Linuxille ja muille ilmaisille joilla ei olisi varaa systeemiin sitten normi pc."
Linux pyörii jo monien koneiden firmwarella. Windowsilla ei nykyisellään onnistu kun se on liian bloat."Virheettömällä kernelillä saadaan sama lopputulos kun suojataan käyttiksen keskeiset osat niin, että edes adminina niitä ei pääse ronkkimaan eikä tälläisiä käyttöoikeuksia anneta kenellekään."
Mutta tuollaista kerneliä ei aikuisten oikeasti ole.
"Järjettömän kallista" Massatuotannon käynnistyessä ei tosiaankaan.
"Linux pyörii jo monien koneiden firmwarella. Windowsilla ei nykyisellään onnistu kun se on liian bloat. "
Tottakai onnistuu jos Microsoft panostaa siihen. - Wind-Tiedottaja.
M-Kar kirjoitti:
Edelleenkin, koodia pystytään kehittämään virheettömäksi ja tämä on ihan perusmatematiikkaa. Lue tästä vähän aiheesta: http://fi.wikipedia.org/wiki/Matemaattinen_todistus
Ohjelmistot ovat ihan käytännössä matematiikkaa, ja matemaattisesti voidaan todistaa ohjelman osat toimivat oikein.
Yksi tapa tarkistaa virheettömyyttä on tietysti se apinakone. Funktion lukuavaruudet voidaan rajata ja käydä bruteforcella ne läpi, ja apinakoneella voidaan syöttää randomsyötettä.
Ja ihan tiedoksi vaan, on jo olemassa kerneleitä jotka on todistettu matemaattisesti virheettömiksi.
Sillä ei ole edelleenkään eroa onko se logiikka tehty raudalla vai softalla, että kun puhut raudalla toteutettavista suojauksista niin samalla tavalla ne voi murtaa kuin softat jos raudassa on bugi."Funktion lukuavaruudet voidaan rajata ja käydä bruteforcella ne läpi"
Itse asiassa Windowsia testataan jatkuvasti parhaimmalla mahdollisella brute forcella eli kymmenien tuhansien ihmisaivojen laskentakyvyllä ja älyllä. Linukseja ei voi testata tällä tavoin.. - M-Kar
Wind-Tiedottaja. kirjoitti:
"Funktion lukuavaruudet voidaan rajata ja käydä bruteforcella ne läpi"
Itse asiassa Windowsia testataan jatkuvasti parhaimmalla mahdollisella brute forcella eli kymmenien tuhansien ihmisaivojen laskentakyvyllä ja älyllä. Linukseja ei voi testata tällä tavoin..Tälläisessä testauksessa linuxeja testataan kyllä paljon enemmän. Avoimen koodin lisensseillä tehdyt softat käyttävät keskenään yhteensopivilla lisensseillä tehtyjä komponentteja ja kehittäjät ajavat juurikin kehitysversioita että saavat tuoreimmat kirjastot käyttöön ja testaavat samalla toimintaa, käyttöjärjestelmäkehittäjien lisäksi.
Linuxia itsessään kehittää jotain 5000 kehittäjää kun Windowsin ydintä kehittää vain jotain 80 kehittäjää. Testaajien määrässä ero sitten vielä rajumpi linuxien eduksi koska kehitysversiot saa rajoituksetta ja ne ovat laajassa käytössä kehittäjillä.
Totuus on se, että nykyisin tavallisella tallaajalla on mahdollisuus päästä käsiksi hyvin korkeatasoisiin ohjelmistoihin ja ne korkeatasoisimmat mihin on mahdollisuus päästä käsiksi, ovat joitakin pitkään testattuja avoimen lähdekoodin ohjelmistoja. Näitä korkealaatuisia ohjelmistoja ovat mm. GCC, make, Linux, zlib, libjpeg, libxml2, tar, Python 2.x ja jne. - Wind-Tiedottaja.
M-Kar kirjoitti:
Tälläisessä testauksessa linuxeja testataan kyllä paljon enemmän. Avoimen koodin lisensseillä tehdyt softat käyttävät keskenään yhteensopivilla lisensseillä tehtyjä komponentteja ja kehittäjät ajavat juurikin kehitysversioita että saavat tuoreimmat kirjastot käyttöön ja testaavat samalla toimintaa, käyttöjärjestelmäkehittäjien lisäksi.
Linuxia itsessään kehittää jotain 5000 kehittäjää kun Windowsin ydintä kehittää vain jotain 80 kehittäjää. Testaajien määrässä ero sitten vielä rajumpi linuxien eduksi koska kehitysversiot saa rajoituksetta ja ne ovat laajassa käytössä kehittäjillä.
Totuus on se, että nykyisin tavallisella tallaajalla on mahdollisuus päästä käsiksi hyvin korkeatasoisiin ohjelmistoihin ja ne korkeatasoisimmat mihin on mahdollisuus päästä käsiksi, ovat joitakin pitkään testattuja avoimen lähdekoodin ohjelmistoja. Näitä korkealaatuisia ohjelmistoja ovat mm. GCC, make, Linux, zlib, libjpeg, libxml2, tar, Python 2.x ja jne.Hehheh. Taas jallitin Mattia. Ajattele: "Itse asiassa Windowsia testataan jatkuvasti parhaimmalla mahdollisella brute forcella eli kymmenien tuhansien ihmisaivojen laskentakyvyllä ja älyllä. Linukseja ei voi testata tällä tavoin.. "
Miksi linukseja ei voi testata näin? - exergy
Wind-Tiedottaja. kirjoitti:
Hehheh. Taas jallitin Mattia. Ajattele: "Itse asiassa Windowsia testataan jatkuvasti parhaimmalla mahdollisella brute forcella eli kymmenien tuhansien ihmisaivojen laskentakyvyllä ja älyllä. Linukseja ei voi testata tällä tavoin.. "
Miksi linukseja ei voi testata näin?Tarkoitatko siis niitä scriptie kidejä jotka bruteforcettavat jatkuvasti läpi windowsista vai mitä? Sekö on windowsin bf-testaamista? Eikös semmoisen ohjelmankin voi joko ostaa tai warettaa netistä?
- M-Kar
Wind-Tiedottaja. kirjoitti:
Hehheh. Taas jallitin Mattia. Ajattele: "Itse asiassa Windowsia testataan jatkuvasti parhaimmalla mahdollisella brute forcella eli kymmenien tuhansien ihmisaivojen laskentakyvyllä ja älyllä. Linukseja ei voi testata tällä tavoin.. "
Miksi linukseja ei voi testata näin?Kyllä linuxeja käyttää niin valtava määrä kehittäjiä että koodi on lukemattomien silmäparien alla jatkuvassa testauksessa. Kysy ennemmin itseltäsi mistä saat noin tyhmiä kysymyksiä päähäsi että ei voi.
Tässä hyvä hyvä esimerkki: http://www.debian.org/
Sivun lopussa näkyy viimeisimmät tietoturvatiedotteet. Jatkuvasti tulee paikkauksia reikiin, ja koodin laatu senkun vain paranee.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Mihin Ilkka Kanerva kuoli?
Kun näin jokin aika sitten kuvan riutuneen näköisestä Kanervasta, sanoin vaimolle että haimasyövältä vaikuttaa. Vaimon isä oli kuollut kyseiseen tauti26717307Oho! Susanna Laine uudessa hiustyylissä - Julkkismeikkaajalta tiukka palaute: "Ihan sama..."
Ex-Salkkarit tähti ja juontaja Susanna Laine on monessa mukana. Ex-missi tunnetaan pitkistä, vaaleista hiuksistaan . Mitäs tykkäät uudesta hiustyylist235557- 1162605
Yllätyspaljastus: Poppari Robin Packalen kiittää urastaan iskelmätähti Juha Tapiota: "Jos mä en..."
Oi, mikä tarina. Juha Tapio ja Robin ovat kyllä symppiksiä molemmat. Kumpi heistä on suosikkisi? https://www.suomi24.fi/viihde/yllatyspaljastus-poppar162106Venäjän lippulaiva Moskva upotettu Mustallamerellä
Venäjän laivaston lippulaiva Mustalalmerellä on 180 m pituinen, Neuvostoliiton aikana rakennettu Moskva-niminen risteilijä. Ukraina ilmoitti eilen saa3361782Pikkaraiskan puhelut
Mitä tuo jätkä hakee sillä että julkaisee kuinka kauan on puhunut puhelimessa? Tekee itsestään vieläkin idiootimman tuolla vai mikä tää juttu?1111021- 59962
Sofia Belorf ja Sonja Aiello
Viihtyvät yhdessä dinnerillä. Pienet piirit. Mitä ajatuksia herättää ?45914Hossein Najaf juotti lapset humalaan ja käytti häikäilemättä hyväkseen
Keski-Suomen käräjäoikeus on tuominnut 60-vuotiaan Hossein Najafin neljän vuoden vankeusrangaistukseen. Ensimmäisen tytön kanssa hän oli useita kerto32913