Ментейнеры как потенциальная брешь в системе безопасности

Luca · 14-01-10 16:37:21

Linups_Troolvalds,

С любым трояном, который подложил любой вася-кульхацкир.

Когда у программы один автор риск заполучить вместе с ней что-то опасное минимален. В случае с Linux, когда один человек пишет, а еще десять мейнтейнит риск, что очередной Вася-мейнтейнер засунет туда что-то от себя возрастает многократно.

Linups_Troolvalds · 14-01-10 17:44:37

Luca пишет:

Linups_Troolvalds,
С любым трояном, который подложил любой вася-кульхацкир.
Когда у программы один автор риск заполучить вместе с ней что-то опасное минимален. В случае с Linux, когда один человек пишет, а еще десять мейнтейнит риск, что очередной Вася-мейнтейнер засунет туда что-то от себя возрастает многократно.

Ни один мейтейнер не захочет позориться, засовывая в поддерживаемый им пакет трояна. А я вообще-то имел в виду, что "ЛЮБОЙ установочный пакет с ЛЮБОГО сайта" очень даже может содержать троян, и совсем не от автора пакета.

Luca · 14-01-10 18:20:43

Linups_Troolvalds пишет:

Ни один мейтейнер не захочет позориться, засовывая в поддерживаемый им пакет трояна.

Ой, да ладно, вы такое чувство живете в каком-то другом мире. Что мне мешает понапихать в какой нибудь пакет отсебятины или еще хуже вредносного ПО? Какие механизмы контроля предусмотрены? Или вы предлагаете пинять на честь и достоинство?

Linups_Troolvalds · 14-01-10 18:33:19

Luca пишет:

Linups_Troolvalds пишет:
Ни один мейтейнер не захочет позориться, засовывая в поддерживаемый им пакет трояна.
Ой, да ладно, вы такое чувство живете в каком-то другом мире. Что мне мешает понапихать в какой нибудь пакет отсебятины или еще хуже вредносного ПО? Какие механизмы контроля предусмотрены? Или вы предлагаете пинять на честь и достоинство?

Я не предлагаю пЕнять на что-либо. Но схема распространения ПО такова, что эффективность таких действий будет низкой, а мейнтейнеры пакетов такого делать точно не станут, потому что это публичное уничтожение своей репутации. Что касается репозиториев, то пакеты подписываются ЭЦП.

Luca · 14-01-10 18:51:18

Linups_Troolvalds пишет:

Luca пишет:
Linups_Troolvalds пишет:
Ни один мейтейнер не захочет позориться, засовывая в поддерживаемый им пакет трояна.
Ой, да ладно, вы такое чувство живете в каком-то другом мире. Что мне мешает понапихать в какой нибудь пакет отсебятины или еще хуже вредносного ПО? Какие механизмы контроля предусмотрены? Или вы предлагаете пинять на честь и достоинство?
Я не предлагаю пЕнять на что-либо. Но схема распространения ПО такова, что эффективность таких действий будет низкой, а мейнтейнеры пакетов такого делать точно не станут, потому что это публичное уничтожение своей репутации. Что касается репозиториев, то пакеты подписываются ЭЦП.

Объясните почему эффективность будет низкой. Мейнтейнеры - люди со стороны и уж репутация для многих из них это просто слово. Ну запихнет он Вирус в пакет, ну поменяет ник. Что ему с этого будет? А ведь его действия ударят именно по разработчику. 99.9% людей не знают чем отличается пакет от программы и что у них могут быть разные авторы. В их глазах будет виноват имеено разработчик программы, а не какой-то там мейнтейнер.

Что толку что пакеты подписываются? Пусть хоть подрисовываются. В подобной схеме мало того, что нужны десятки мейнтейнеров на каждую программу, но еще нужны сотни людей которые будут за каждым мейнтейнером все контролировать и проверять. ::down::

Linups_Troolvalds · 14-01-10 19:19:32

Luca пишет:

Объясните почему эффективность будет низкой. Мейнтейнеры - люди со стороны и уж репутация для многих из них это просто слово. Ну запихнет он Вирус в пакет, ну поменяет ник. Что ему с этого будет?

Это обнаружат, он больше не будет мейнтейнером. Но никому не надо.

Что толку что пакеты подписываются? Пусть хоть подрисовываются. В подобной схеме мало того, что нужны десятки мейнтейнеров на каждую программу, но еще нужны сотни людей которые будут за каждым мейнтейнером все контролировать и проверять. ::down::

Однако, этого достаточно на данный момент. А подобные высказывания называются FUD. Dismissed.

Luca · 14-01-10 19:31:40

Linups_Troolvalds пишет:

Это обнаружат, он больше не будет мейнтейнером. Но никому не надо.

.
Опять вы вводите в дискуссию уже ставшее классикой "это никому не надо". Обнаружат ДО или ПОСЛЕ того как программа похерит мне все данные или упрет у меня номера кредиток?

Этого человека, что от компьютера забанят? Или в черный список внесут? Где гарантия что спустя пару месяцев он не сделает тоже самое но с другого ника?

Linups_Troolvalds пишет:

Luca пишет:
Что толку что пакеты подписываются? Пусть хоть подрисовываются. В подобной схеме мало того, что нужны десятки мейнтейнеров на каждую программу, но еще нужны сотни людей которые будут за каждым мейнтейнером все контролировать и проверять. ::down::
Однако, этого достаточно на данный момент. А подобные высказывания называются FUD. Dismissed.

Что собственно не так? Разве схема поддержки пакетов имеет принципиальные отличия от описанной мной?

Майор Очевидность · 14-01-10 19:49:37

Luca пишет:

Что собственно не так? Разве схема поддержки пакетов имеет принципиальные отличия от описанной мной?

налицо непонимание сути.
я тут уже пытался Вас научить пользоваться поиском, но видимо, это безнадёжно, что и доказывается очередным бредовым высказыванием.
ищите, да откроется Вам %)

Luca · 14-01-10 19:53:39

Майор Очевидность,
по теме высказаться уже духа не хватает?

Майор Очевидность · 14-01-10 19:54:59

Luca пишет:

Майор Очевидность,
по теме высказаться уже духа не хватает?

просто надоело бисер метать.

Luca · 14-01-10 19:57:55

Майор Очевидность,
а вы не мечите и скажите прямо -- есть в системе пакетов защита от преднамеренного внедрения вредоносного кода или все держится исключительно на крепких моральных устоях сообщества?

Luca · 14-01-10 20:20:07

Майор Очевидность,
Ой да, фотография и вымышленное имя вместо ника это залог честности и неподкупности. По факту мейнтейнером может стать ЛЮБОЙ человек и что ему там в голову взбредет НИКТО НЕ ЗНАЕТ. Если вашей логикой руководствоваться, то Вирусов вообще не должно быть в природе т.к. это не честно и не правильно. В случае с пакетами даже отдельный вирус писать не нужно. Взял пакет, засунул в него код и в бой!
Вы же меня пытаетесь уверить, что в сообществе это не возможно из-за высоких моральных и нравственных качеств мейнтейнеров. Ну-ну...

Linups_Troolvalds · 14-01-10 20:29:11

Rat пишет:

Когда популярность платформы перевалит за, хотя бы, 10% количество майнтейнеров вырастет до такого количества, что просто мама не горюй. А если, не дай бог, четвертак осилите - все. Придется дружно сушить весла.

Прогнозы ведущих аналитиков в области СПО, с уровнем владения вопросом, достойным участника специальной олимпиады - это именно то, чего сообществу более всего не хватало.

Luca · 14-01-10 20:39:35

Linups_Troolvalds,
не томите, аргументы в систему защиты пакетов будут или засчитываем слив?

Майор Очевидность · 14-01-10 20:41:36

Rat пишет:

Ибо ваши технологии держатся на плаву только ввиду малочисленности активных пользователей linux. Как только их начнет расти - тут же ваша лодка и опрокинется со всем содержимым.

И НАСТАНЕТ ЛИНУКСКАПЕЕЕЕЕЕЕЦ!!!1111!1
ААААА УРРЯЯЯЯЯЯЯ!!!11

охолонись.
никто никому ничего "на углу" не будет раздавать.

объясни лучше, нахрена сообществу майнтейнеры в количестве, большем, чем текущее?

зы.

Luca пишет:

Ой да, фотография и вымышленное имя вместо ника это залог честности и неподкупности.

снова, блин, фантазии.
ну что ж ты стоишь, иди распространяй вирей да троянов, это ж так просто.
разработчики дистрибутива практически всех майнтейнеров в официальном репозитории знают лично.
и не по одному году.
работа у них такая, у майнтейнеров, репозитории обновлять.

Отредактировано Майор Очевидность (14-01-10 20:47:39)

Linups_Troolvalds · 14-01-10 20:43:50

Luca пишет:

Linups_Troolvalds,
не томите, аргументы в систему защиты пакетов будут или засчитываем слив?

Я уже сказал. Опровергнуть FUD невозможно, его можно только констатировать. Система работает. Идите внедряйте троянов в пакеты, как получится - расскажете.

Luca · 14-01-10 20:57:15

Linups_Troolvalds,
Система работает потому что нафиг ни кому не интересна. Вот так и тает миф о ниуязвимости Linux.
Мне персонально лениво возвращаться к мейнтейнерству разной мути. Для себя я уже давно отказался от Linux.

Майор Очевидность · 14-01-10 21:02:37

Luca пишет:

Linups_Troolvalds,
Система работает потому что нафиг ни кому не интересна. Вот так и тает миф о ниуязвимости Linux.
Мне персонально лениво возвращаться к мейнтейнерству разной мути. Для себя я уже давно отказался от Linux.

1. где он тает? зы. и где он миф?
2. розентале негодуэ
3. а сайтец поддерживать не лениво? хм... а ведь распространение вирусов нанесёт куда более серьёзный удар по Linux, нежели данный ресурс.

Отредактировано Майор Очевидность (14-01-10 21:08:33)

Linups_Troolvalds · 14-01-10 21:14:22

Luca пишет:

Linups_Troolvalds,
Система работает потому что нафиг ни кому не интересна. Вот так и тает миф о ниуязвимости Linux.

А для чего, интересно, Евгений Ваганович Касперский и прочие усиленно пытаются убедить потребителя в необходимости антивируса для нафиг никому неинтересной системы?

Мне персонально лениво возвращаться к мейнтейнерству разной мути.

Речь не о мейнтенерстве, а о диверсии с целью создания прецедента. Вспоминаются обещания написать работающий вирус для линукса, только чтобы он собрался, пришлось ядро патчить.

Для себя я уже давно отказался от Linux.

Дело хорошее...кто-то от линукса, кто-то от мяса, кто-то от чая с кофеем. Почему бы и да...

Luca · 14-01-10 21:16:21

Майор Очевидность,
1. А разве Linux не популяризовывался под видом мега устойчивой и надежной системы?
3. Нет не лениво.

Майор Очевидность · 14-01-10 21:39:41

Luca пишет:

Майор Очевидность,
1. А разве Linux не популяризовывался под видом мега устойчивой и надежной системы?

ну так зарази меня удалённо, фиг ли.
линукс же так неустойчив и ненадёжен... smile

Luca · 14-01-10 21:43:46

Майор Очевидность пишет:

Luca пишет:
Майор Очевидность,
1. А разве Linux не популяризовывался под видом мега устойчивой и надежной системы?
ну так зарази меня удалённо, фиг ли.
линукс же так неустойчив и ненадёжен...

Ну вот давай не будем "зарази меня", "убеди меня", "победи меня" и т.д.
Серьезная брешь есть? Есть. Вопрос только во времени когда ее начнут активно использовать.
Мне проще один раз в FAQ для широкой публики написать, чем пытаться доказать что-то единичному человеку.
Свою позицию я по-моему достаточно аргументировал.

IvanOFF · 14-01-10 23:50:23

Идите внедряйте троянов в пакеты, как получится - расскажете.

Рассказываю:

Сообщения об ошибках на серверах проекта Fedora вызывают панику у пользователей одного из самых популярных Linux дистрибутивов. Вначале недели Пол Филдс (Paul Fields), глава проекта Fedora, сообщил, что возникли проблемы с различными серверами, которые привели к полной переустановке операционных систем. Вместе с серверами, распространяющими пакеты обновлений, также не были доступны другие сервера по причинам технического обслуживания. Филдс порекомендовал пользователям не устанавливать или обновлять пакеты до решения всех проблем, так как это может повлиять на безопасность систем пользователей.

22 августа 2008 года на сайте компании RedHat появилось объявление, сообщающее о компрометации нескольких серверов компании. Совместно с выводом из строя серверов проекта Fedora, злоумышленникам удалось подписать небольшое количество OpenSSH пакетов для Red Hat Enterprise Linux 4 (архитектуры i386 и x86_64) и Red Hat Enterprise Linux 5 (только для архитектуры x86_64). Для этих систем Red Hat выпустил бюллетень безопасности, содержащий исправление к OpenSSH.

Системы, на которые мог быть установлен измененный пакет OpenSSH:

* Affected Products: Red Hat Desktop (v. 4)
* Red Hat Enterprise Linux (v. 5 server)
* Red Hat Enterprise Linux AS (v. 4)
* Red Hat Enterprise Linux AS (v. 4.5.z)
* Red Hat Enterprise Linux Desktop (v. 5 client)
* Red Hat Enterprise Linux ES (v. 4)
* Red Hat Enterprise Linux ES (v. 4.5.z)
* Red Hat Enterprise Linux WS (v. 4)

Red Hat также выпустила сценарий openssh-blacklist-1.0.sh, с помощью которого пользователи смогут проверить, был ли на их систему установлен злонамеренный код.

Отсюда: www.securitylab.ru/news/358356.php

Вы понимаете о чем речь? В репозитарии коммерческого дистрибутива Линукс был добавлен злонамеренный код. Пользователи заплатившие за поддержку вполне сопоставимые со стоимостью Windows лицензий деньги под видом обновления получили трояна. Единичный случай, скажете вы. Может быть, но доверие уже утеряно. Я больше не могу спать спокойно, где уверенность что завтра я снова не получу злонамеренный код в подписанном ЭЦП пакете. Фирма Билла таких косяков не допускала. Кстати этот инцидент послужил реальной причиной отказа ряда моих клиентов использовавших RHEL в пользу SLED / SLES от Новелл.

Форум StopLinux

Объявление

#1 14-01-10 16:37:21

Ментейнеры как потенциальная брешь в системе безопасности

#2 14-01-10 17:44:37

Re: Ментейнеры как потенциальная брешь в системе безопасности

#3 14-01-10 18:20:43

Re: Ментейнеры как потенциальная брешь в системе безопасности

#4 14-01-10 18:33:19

Re: Ментейнеры как потенциальная брешь в системе безопасности

#5 14-01-10 18:51:18

Re: Ментейнеры как потенциальная брешь в системе безопасности

#6 14-01-10 19:19:32

Re: Ментейнеры как потенциальная брешь в системе безопасности

#7 14-01-10 19:31:40

Re: Ментейнеры как потенциальная брешь в системе безопасности

#8 14-01-10 19:49:37

Re: Ментейнеры как потенциальная брешь в системе безопасности

#9 14-01-10 19:53:39

Re: Ментейнеры как потенциальная брешь в системе безопасности

#10 14-01-10 19:54:59

Re: Ментейнеры как потенциальная брешь в системе безопасности

#11 14-01-10 19:57:55

Re: Ментейнеры как потенциальная брешь в системе безопасности

#12 14-01-10 20:20:07

Re: Ментейнеры как потенциальная брешь в системе безопасности

#13 14-01-10 20:29:11

Re: Ментейнеры как потенциальная брешь в системе безопасности

#14 14-01-10 20:39:35

Re: Ментейнеры как потенциальная брешь в системе безопасности

#15 14-01-10 20:41:36

Re: Ментейнеры как потенциальная брешь в системе безопасности

#16 14-01-10 20:43:50

Re: Ментейнеры как потенциальная брешь в системе безопасности

#17 14-01-10 20:57:15

Re: Ментейнеры как потенциальная брешь в системе безопасности

#18 14-01-10 21:02:37

Re: Ментейнеры как потенциальная брешь в системе безопасности

#19 14-01-10 21:14:22

Re: Ментейнеры как потенциальная брешь в системе безопасности

#20 14-01-10 21:16:21

Re: Ментейнеры как потенциальная брешь в системе безопасности

#21 14-01-10 21:39:41

Re: Ментейнеры как потенциальная брешь в системе безопасности

#22 14-01-10 21:43:46

Re: Ментейнеры как потенциальная брешь в системе безопасности

#23 14-01-10 23:50:23

Re: Ментейнеры как потенциальная брешь в системе безопасности

Подвал форума