Dagens säkerhetsläsning

Tja. Mitt twitterflöde brukar vara en bunt säkerhetsnyheter, länkar till artiklar osv. Oftast är det ganska klassisk läsning, någon ny rapport eller presentation folk tjattrar om. Ofta är det väl en gäspning; ny teknisk attack, något om de senaste intrången, klassiska diskussioner om disclosure-strategier, klassiska diskussioner om att bara säkerhetsfolk – inte utvecklare – är med på appsec diskussioner, osv osv.

Men vissa dagar är det … bara god damn absurt. Dejting sajten Plenty of Fish (…undertecknad kände inte ens till den) är nu det stora buzz:et. En säkerhetsgeek vid namn Chris Russo påstår att han hittade en sårbarhet som aktivt exploiterades av andra hackers (oklart hur han vet det, framgår inte av vad som är publicerat). Hur som helst får de PoF på kroken som är intresserade till en början, och åtgärdar det ganska omgående. Sen skär det sig – rejält. PoF’s CEO framför dödshot, hävdar att maffian står bakom PoF, att han skall förstöra Chris Russos liv, att en seriemördare dödar PoF-användare och han släpper ett blogginlägg där han anklagar Chris Russo och en säkerhetsbloggare för ett angrepp.

PoF verkar just nu helt underminerade av motparterna, som är relativt oberoende och har sparad mejltrafik som stödjer deras versioner – Russo hävdar även att han bett argentinsk polis om att få ut uppgifter om de hotfulla telefonsamtal han fått.

På twitter konstaterar man bland annat att det är en väldigt sorglig dag för frivillig responsible disclosure. Och att idén om att försöka inleda en kommersiell relation med någon efter en responsible disclosure är ganska idiotisk. Det finns så många potentiella legala och moraliska fallgroppar i att göra affärer som börjat med att man själv påtalat ett säkerhetshål.

Men även en del satir kommer naturligtvis, inte minst humoristiska påståenden om droger.

Tja, om man inte det var nog, så kommer ett gigantiskt FAIL från Open Source rörelsen. SF.net har blivit hackat – vilket inte är någon förvånade nyhet, förr eller senare händer det alla viktiga / intressanta nyheter. Att bli hackad är inte ett FAIL. Men läser man vidare börjar man bli mörkrädd.

SF.net är lite sparsamma med detaljer, men man kan sluta sig till att de antyder att det uråldriga och i stort sätt nerlagda CVS (i kombination med sshd och lokal-till-root exploit) varit ett av deras problem – sannolikt skall de gå över till SVN.

Och det är här man verkligen tappar allt hopp om användarna på SF.net. De skriver nämligen den ena überpuckade kommentaren efter den andra, tydligen är man livrädd för att pröva ett ”modernt” versionshanteringssystem (10 år gamla SVN är för nytt för SF-användarna). Det blir bara FAIL på FAIL på FAIL när man läser vad deras användare kommenterar.

  • ”SVN är dåligt. CVS är bra.” – WTF? CVS är en nerlagd historiskt legat! SVN har ersatt CVS för traditionell versionshantering. Känner man inte till någon av de två hundra anledningarna till att CVS har övergivits av alla andra, så lever man på botten av en sjö!
  • ”Eclipse stödjer inte SVN out of the box” – WTF? Eclipse är byggt kring en pluginarchitektur och det tar cirka 2 minuter för en amöba att installera Subclipse pluginet för SVN.
  • ”Det är svårt att flytta från CVS till SVN” – om alla andra klarar av det, varför klarar inte en OSS utvecklare av det? Skulle inte de typ vara mer duktiga och teknikvänliga än vanliga utvecklare? Eller är det verkligen helt omöjligt för SF användare att lära sig SVN? Jag menar, gud, det är ju inte ens användarna som gör flytten, det är SF.net, användarna skall väl på sin höjd göra en ny checkout.
  • ”Jag förstår inte varför SVN gör fullständiga kopior i versionshanteringsträdet när man gör copy/branch” – men gud! det var ju en av de ”nya” funktionerna med SVN; det skall vara så billigt att kopiera (tar typ noll byte och går jättesnabbt att göra en kopia) att man vågar brancha allt, ofta om man så vill.
  • SVN tar upp för mycket plats i den lokala checkout katalogen” – vad är det för fel på folk? Med tanke på att nästan alla open source projekt är jättesmå så kan det väl inte ens vara ett problem att ha tusentals kopior av ens projekt om man vill det? Inte ens i stora tråkiga projekt med gigabyte av källkoder har någon problem med detta – hur i h-t kan det vara ett problem för någons projekt på 2-3 megabyte hos SF?

Jag måste säga att jag tycker Sourceforge har en del jättebra projekt och sajten är underbar, och levererar jättefina tjänster. Men om versionshanteringssystemet är fullständigt utdaterat och SF kopplar samman det med lyckade intrång (verkar skett via en ssh-koppling till för CVS access) så måste man väl kunna få uppdatera? Det är nog faktiskt dags för bakåtsträvare att inse att CVS är lika dött som RCS, 2000-talet har börjat och CVS från 1986 duger inte längre.

…herregud.

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s