Ментейнеры как потенциальная брешь в системе безопасности (Страница 1) / Околотехнические вопросы / Форум StopLinux

Форум StopLinux

Критика ОС GNU/Linux, MAC, Windows, BSD, Solaris и т.д.

Вы не вошли.

#1 14-01-10 17:37:21

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Ментейнеры как потенциальная брешь в системе безопасности

Linups_Troolvalds,

С любым трояном, который подложил любой вася-кульхацкир.

Когда у программы один автор риск заполучить вместе с ней что-то опасное минимален. В случае с Linux, когда один человек пишет, а еще десять мейнтейнит риск, что очередной Вася-мейнтейнер засунет туда что-то от себя возрастает многократно.

Неактивен

#2 14-01-10 19:20:43

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Linups_Troolvalds пишет:

Ни один мейтейнер не захочет позориться, засовывая в поддерживаемый им пакет трояна.

Ой, да ладно, вы такое чувство живете в каком-то другом мире. Что мне мешает понапихать в какой нибудь пакет отсебятины или еще хуже вредносного ПО? Какие механизмы контроля предусмотрены? Или вы предлагаете пинять на честь и достоинство?

Неактивен

#3 14-01-10 19:51:18

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Linups_Troolvalds пишет:
Luca пишет:
Linups_Troolvalds пишет:

Ни один мейтейнер не захочет позориться, засовывая в поддерживаемый им пакет трояна.

Ой, да ладно, вы такое чувство живете в каком-то другом мире. Что мне мешает понапихать в какой нибудь пакет отсебятины или еще хуже вредносного ПО? Какие механизмы контроля предусмотрены? Или вы предлагаете пинять на честь и достоинство?

Я не предлагаю пЕнять на что-либо. Но схема распространения ПО такова, что эффективность таких действий будет низкой, а мейнтейнеры пакетов такого делать точно не станут, потому что это публичное уничтожение своей репутации. Что касается репозиториев, то пакеты подписываются ЭЦП.

Объясните почему эффективность будет низкой. Мейнтейнеры - люди со стороны и уж репутация для многих из них это просто слово. Ну запихнет он Вирус в пакет, ну поменяет ник. Что ему с этого будет? А ведь его действия ударят именно по разработчику. 99.9% людей не знают чем отличается пакет от программы и что у них могут быть разные авторы. В их глазах будет виноват имеено разработчик программы, а не какой-то там мейнтейнер.

Что толку что пакеты подписываются? Пусть хоть подрисовываются. В подобной схеме мало того, что нужны десятки мейнтейнеров на каждую программу, но еще нужны сотни людей которые будут за каждым мейнтейнером все контролировать и проверять. ::down::

Неактивен

#4 14-01-10 20:31:40

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Linups_Troolvalds пишет:

Это обнаружат, он больше не будет мейнтейнером. Но никому не надо.

.
Опять вы вводите в дискуссию уже ставшее классикой "это никому не надо". Обнаружат ДО или ПОСЛЕ того как программа похерит мне все данные или упрет у меня номера кредиток?

Этого человека, что от компьютера забанят? Или в черный список внесут? Где гарантия что спустя пару месяцев он не сделает тоже самое но с другого ника?

Linups_Troolvalds пишет:
Luca пишет:

Что толку что пакеты подписываются? Пусть хоть подрисовываются. В подобной схеме мало того, что нужны десятки мейнтейнеров на каждую программу, но еще нужны сотни людей которые будут за каждым мейнтейнером все контролировать и проверять. ::down::

Однако, этого достаточно на данный момент. А подобные высказывания называются FUD. Dismissed.

Что собственно не так? Разве схема поддержки пакетов имеет принципиальные отличия от описанной мной?

Неактивен

#5 14-01-10 20:53:39

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Майор Очевидность,
по теме высказаться уже духа не хватает?

Неактивен

#6 14-01-10 20:57:55

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Майор Очевидность,
а вы не мечите и скажите прямо -- есть в системе пакетов защита от преднамеренного внедрения вредоносного кода или все держится исключительно на крепких моральных устоях сообщества?

Неактивен

#7 14-01-10 21:20:07

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Майор Очевидность,
Ой да, фотография и вымышленное имя вместо ника это залог честности и неподкупности. По факту мейнтейнером может стать ЛЮБОЙ человек и что ему там в голову взбредет НИКТО НЕ ЗНАЕТ. Если вашей логикой руководствоваться, то Вирусов вообще не должно быть в природе т.к. это не честно и не правильно. В случае с пакетами даже отдельный вирус писать не нужно. Взял пакет, засунул в него код и в бой!
Вы же меня пытаетесь уверить, что в сообществе это не возможно из-за высоких моральных и нравственных качеств мейнтейнеров. Ну-ну...

Неактивен

#8 14-01-10 21:39:35

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Linups_Troolvalds,
не томите, аргументы в систему защиты пакетов будут или засчитываем слив?

Неактивен

#9 14-01-10 21:57:15

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Linups_Troolvalds,
Система работает потому что нафиг ни кому не интересна. Вот так и тает миф о ниуязвимости Linux.
Мне персонально лениво возвращаться к мейнтейнерству разной мути. Для себя я уже давно отказался от Linux.

Неактивен

#10 14-01-10 22:16:21

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Майор Очевидность,
1. А разве Linux не популяризовывался под видом мега устойчивой и надежной системы?
3. Нет не лениво.

Неактивен

#11 14-01-10 22:43:46

Luca
Участник
Зарегистрирован: 03-09-09
Сообщений: 1,413

Re: Ментейнеры как потенциальная брешь в системе безопасности

Майор Очевидность пишет:
Luca пишет:

Майор Очевидность,
1. А разве Linux не популяризовывался под видом мега устойчивой и надежной системы?

ну так зарази меня удалённо, фиг ли.
линукс же так неустойчив и ненадёжен... smile

Ну вот давай не будем "зарази меня", "убеди меня", "победи меня" и т.д.
Серьезная брешь есть? Есть. Вопрос только во времени когда ее начнут активно использовать.
Мне проще один раз в FAQ для широкой публики написать, чем пытаться доказать что-то единичному человеку.
Свою позицию я по-моему достаточно аргументировал.

Неактивен

#12 15-01-10 00:50:23

IvanOFF
Участник
Зарегистрирован: 26-12-09
Сообщений: 1,482

Re: Ментейнеры как потенциальная брешь в системе безопасности

Идите внедряйте троянов в пакеты, как получится - расскажете.

Рассказываю:

Сообщения об ошибках на серверах проекта Fedora вызывают панику у пользователей одного из самых популярных Linux дистрибутивов. Вначале недели Пол Филдс (Paul Fields), глава проекта Fedora, сообщил, что возникли проблемы с различными серверами, которые привели к полной переустановке операционных систем. Вместе с серверами, распространяющими пакеты обновлений, также не были доступны другие сервера по причинам технического обслуживания. Филдс порекомендовал пользователям не устанавливать или обновлять пакеты до решения всех проблем, так как это может повлиять на безопасность систем пользователей.

22 августа 2008 года на сайте компании RedHat появилось объявление, сообщающее о компрометации нескольких серверов компании. Совместно с выводом из строя серверов проекта Fedora, злоумышленникам удалось подписать небольшое количество OpenSSH пакетов для Red Hat Enterprise Linux 4 (архитектуры i386 и x86_64) и Red Hat Enterprise Linux 5 (только для архитектуры x86_64). Для этих систем Red Hat выпустил бюллетень безопасности, содержащий исправление к OpenSSH.

Системы, на которые мог быть установлен измененный пакет OpenSSH:

    * Affected Products: Red Hat Desktop (v. 4)
    * Red Hat Enterprise Linux (v. 5 server)
    * Red Hat Enterprise Linux AS (v. 4)
    * Red Hat Enterprise Linux AS (v. 4.5.z)
    * Red Hat Enterprise Linux Desktop (v. 5 client)
    * Red Hat Enterprise Linux ES (v. 4)
    * Red Hat Enterprise Linux ES (v. 4.5.z)
    * Red Hat Enterprise Linux WS (v. 4)

Red Hat также выпустила сценарий openssh-blacklist-1.0.sh, с помощью которого пользователи смогут проверить, был ли на их систему установлен злонамеренный код.

Отсюда: http://www.securitylab.ru/news/358356.php

Вы понимаете о чем речь? В репозитарии коммерческого дистрибутива Линукс был добавлен злонамеренный код. Пользователи заплатившие за поддержку вполне сопоставимые со стоимостью Windows лицензий деньги под видом обновления получили трояна. Единичный случай, скажете вы. Может быть, но доверие уже утеряно. Я больше не могу спать спокойно, где уверенность что завтра я снова не получу злонамеренный код в подписанном ЭЦП пакете. Фирма Билла таких косяков не допускала. Кстати этот инцидент послужил реальной причиной отказа ряда моих клиентов использовавших RHEL в пользу SLED / SLES от Новелл.


"Оно, конечно, можно научить медведя ездить на велосипеде. Да только будет ли медведю от этого польза и удовольствие?" (с) А. и Б. Стругацкие

Неактивен

Подвал форума

Под управлением FluxBB
Модифицировал Visman

StopLinux © 2009 –
Опасайтесь под(д)елок!  Перепечатка материалов только с указанием первоисточника!

Яндекс.Метрика