Можно ли верить мейнтейнерам дистрибутивов? (: (или флейм параноиков)

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение SLEDopit »

Внезапно в дебиановской рассылке безопасности проскочил любопытный тред, где человек поинтересовался, есть ли какая-нибудь защита от недобросовестных мейнтейнеров (особенно, внедрённых АНБ, ФБР, ЦРУ и прочими ФСБ).

И, как это ни странно, такой защиты нету. Пакеты компилятся и собираются на железе сопровождающего, и ничто не мешает ему вкомпилить туда бэкдор. Судя по рассылке, никаких защитных механизмов от подобного поворота событий нету. Вроде ходят какие-то разговоры, о том что сборку нужно перенести на железо проекта и ввести какие-то проверки от подобных случаев, но пока это лишь разговоры.

В других популярных deb-based дистрибутивах, а вероятно даже и rpm-based (я плохо знаком с их процессами сборки пакетов), ситуация аналогична.

Но все как-то сидят вполне спокойно и никто не бьёт тревогу. Подобный подход к поддержке пакетов не является уязвимостью или все просто полагаются на честность сопровождающих?
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение NickLion »

Переходите на openSUSE, там компиляция происходит на OBS серверах. Правда от внедрения закладок на уровне кода — тоже могу тне заметить.
Спасибо сказали:
Аватара пользователя
Rootlexx
Бывший модератор
Сообщения: 4455
Статус: GNU generation
ОС: Debian GNU/Linux

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Rootlexx »

SLEDopit писал(а):
04.08.2013 11:26
Пакеты компилятся и собираются на железе сопровождающего, и ничто не мешает ему вкомпилить туда бэкдор.

Ничто не мешает добавить бэкдор в исходный код перед отправкой на сервер сборки.
Развивая паранойю: а вы уверены, что АНБ, ФБР, ЦРУ и прочие ФСБ не добавили бэкдор непосредственно в исходный код программ, а ещё лучше - в компилятор? Какой смысл атаковать конкретный дистрибутив, если можно атаковать источник, из которого они все пьют?
SLEDopit писал(а):
04.08.2013 11:26
Судя по рассылке, никаких защитных механизмов от подобного поворота событий нету.

К сожалению, ещё не создан механизм, позволяющий с вероятностью, близкой к единице, выявить злонамеренные действия. Поэтому главным оплотом безопасности до сих пор остаётся ограничение доступа к ресурсам извне и тщательный отбор тех, кто этот доступ имеет.
Спасибо сказали:
Аватара пользователя
/dev/random
Администратор
Сообщения: 5281
ОС: Gentoo

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение /dev/random »

NickLion писал(а):
04.08.2013 11:50
Переходите на openSUSE, там компиляция происходит на OBS серверах.

Переходите на Gentoo, там компиляция происходит на вашем компьютере.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Hephaestus »

SLEDopit писал(а):
04.08.2013 11:26
И, как это ни странно, такой защиты нету.
Это противоречит самой идее открытости.
Начните защищаться, и в конечном итоге Вы получите закрытую систему. Да и как можно защищаться от мантейнеров?
Это всё равно, что скачивая ядро с kernel.org, думать, как защититься от Линуса Торвальдса. А вдруг его перекупили и он теперь вражеский агент?

SLEDopit писал(а):
04.08.2013 11:26
Но все как-то сидят вполне спокойно и никто не бьёт тревогу. Подобный подход к поддержке пакетов не является уязвимостью или все просто полагаются на честность сопровождающих?
А как Вы это себе представляете? Допустим, есть недоверие к мантейнеру. Нужен проверяющий для мантейнера, проверяющий для этого проверяющего, проверяющие для того проверяющего и так далее. Где конец этой цепочки? И где гарантия, что самый последний проверяющий - не агент ЦРУ/ФБР/Чего-то_еще?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение eddy »

Нельзя им верить. Вот, например, в арче все (за исключением одного-единственного человека) мейнтейнеры — сволочи! И в большинстве других дистрибутивах не лучше.
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение chitatel »

eddy писал(а):
04.08.2013 16:08
Нельзя им верить. Вот, например, в арче все (за исключением одного-единственного человека) мейнтейнеры — сволочи! И в большинстве других дистрибутивах не лучше.

+500100

Да и этот один-единственный тоже, по правде говоря, та ещё сво... Ворует столовое серебро и в скатерть сморкается.

А если несерьёзно: защиты от мейнтейнера-зловреда - НЕТ. И не будет. Человек - слабое звено. (У кого тут на форуме в подписи было "Убить всех людей"? Вот явно достало его это всё...).
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение drBatty »

SLEDopit писал(а):
04.08.2013 11:26
И, как это ни странно, такой защиты нету.

SLEDopit писал(а):
04.08.2013 11:26
просто полагаются на честность сопровождающих?

а защиты не просто нету, её и быть не может. Вы доверяете не коду, а живому человеку. Живого человека всегда можно купить/запугать. ЭЦП просто гарантирует, что технически за этот код отвечает определённый человек(группа людей), это ВСЁ.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение drBatty »

Rootlexx писал(а):
04.08.2013 13:34
Развивая паранойю: а вы уверены, что АНБ, ФБР, ЦРУ и прочие ФСБ не добавили бэкдор непосредственно в исходный код программ, а ещё лучше - в компилятор?

Исходные тексты тоже подписаны авторами этих текстов. Если разработчик замечен во вредительстве, это рано или поздно будет вскрыто. Пока ещё таких скандалов не было, разработчики не вставляют всякую гадость в своё ПО.

И да, автоматические системы поиска уязвимостей не дремлют, и выявляют подозрительные места, где _может_ быть вредоносный код. Спрятаться от таких систем можно только в быдлокоде, но быдлокод не любят по иным причинам.

/dev/random писал(а):
04.08.2013 13:34
Переходите на openSUSE, там компиляция происходит на OBS серверах.
Переходите на Gentoo, там компиляция происходит на вашем компьютере.

переходите на Slackware, и это станет головной болью Патрега, который этой ерундой занимается 20 лет, и мы пред ним -- дети малые.


chitatel писал(а):
04.08.2013 20:15
У кого тут на форуме в подписи было "Убить всех людей"? Вот явно достало его это всё...

это цитата из мультика, и принадлежит она роботу-зазнайке. (мультик футурама, робот бендер)
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Stauffenberg »

/dev/random писал(а):
04.08.2013 13:34
NickLion писал(а):
04.08.2013 11:50
Переходите на openSUSE, там компиляция происходит на OBS серверах.

Переходите на Gentoo, там компиляция происходит на вашем компьютере.

OBS можно устнановить у себя (достаточно одной машины) и все пакеты пересобирать там.
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Аватара пользователя
jashaw5
Сообщения: 68

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение jashaw5 »

А в связи с чем эту тему разморозили? :unsure:
Понял: "Линукс не безопасен, что вы думете?"
Русский форум. Задаёшь вопрос, потом тебе долго рассказывают, какой ты м-к.
Спасибо сказали:
Аватара пользователя
devilr
Сообщения: 3665
ОС: Mandriva => Gentoo (~amd64)
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение devilr »

Просто поговорить людям хочется! При жесткой паранойе лучше не пользоваться компьютерами совсем. И вообще любой электроникой. :)
При закладке на уроне шифрования - нужно быть хорошим криптографом.
При закладке на уровня драйвера девайса - нужно быть хорошим электронщиком и системным программистом.
При закладке на уровне сетевого протокола - нужно быть хорошим сетевиком.
И т.д. ...
Не нравится - пишите все сами. Сначала надо спроектировать камень (без сторонних наработок и помощи "друзей"). Ну и остальную периферию, конечно. Затем для этого камня сделать assembler. Потом собрать ЯП более высокого уровня. Потом операционку и т.д.... Да, на каком то моменте надо серьезно занятся криптографией. И единоборствами. Со стрельбой и подрывным делом.
Верить нельзя никому. Даже себе. Можно только веровать. В ОС и БГ. Ну, либо в Патрика или Столмана.
Каждому свое!
Мудрость приходит с возрастом.
Иногда возраст приходит один.
Эхо разума
Спасибо сказали:
Grem1in
Сообщения: 22

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Grem1in »

devilr писал(а):
17.01.2016 23:14
Просто поговорить людям хочется! При жесткой паранойе лучше не пользоваться компьютерами совсем. И вообще любой электроникой. :)

Дело не в паранойе, хотя я предпочту звание параноика титулу человека с которым можно делать всё что заблагорассудится, вы ведь не хотите жить на центральной площади вашего города в стеклянной будке?
Вот и я не хочу чтобы кто-то в любой момент мог порыться в моей ФС не спросив меня об этом, некоторые исходят из того что они ни кому не нужны, мол я не топ менеджер газпрома и не террорист, если честно какая то пофигистическая позиция, это жизнь, интересы, мнения. Пофигисты плохо кончают.

devilr писал(а):
17.01.2016 23:14
- нужно быть хорошим криптографом.
- нужно быть хорошим электронщиком и системным программистом.
- нужно быть хорошим сетевиком.

У потенциального злоумышлинника другие и не работают.
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение azsx »

Пофигисты плохо кончают.

У потенциального злоумышлинника другие и не работают.

не факт...
Вот и я не хочу чтобы кто-то в любой момент мог порыться в моей ФС не спросив меня об этом

если кратце, то враги повсюду. Могут к вам придти домой и оказывая психологическое воздействие просмотреть ваши документы.
если вам надо для дела, то консольный линукс, отсутвие или учет внешнего софта, шифрование, настройка сети и учет трафика сделает вас почти неуявимым к всяким негодям даже на уровне фсб и анб. Только вы же этого делать не будете, так как вам всё это надо чисто теоритически.
Спасибо сказали:
Grem1in
Сообщения: 22

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Grem1in »

azsx писал(а):
18.01.2016 07:22
если кратце, то враги повсюду. Могут к вам придти домой и оказывая психологическое воздействие просмотреть ваши документы.

Это слишком сложно и затратно. Проще массово внедрить и прежде чем идти удостоверится в том имеетли это смысл или того хуже создать необходимость такого посещения.
Внедрять баги и продавать их как уязвимости нулевого дня прибыльно, контор занимающихся выявлением таких уязвимостей довольно много и они явно паспорт у покупателей не спрашивают.
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение azsx »

Это слишком сложно и затратно.

то есть доказать мейнтермерам внедрить баг в дистрибутив-это как нефиг делать. А отправить полицая с вами подраться - это сложно и затратно. Круто, чо...
Внедрять баги и продавать их как уязвимости нулевого дня прибыльно

всё мною написанное - это мое личное мнение. Сегодня быть хакером без поддержки спецслужб - это жесть. Или посадят или в армию заберут.
Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение eddy »

Кстати, за примерами далеко ходить не надо. Сколько осталось дистрибутивов без поцтерошлака?
Вот и верь потом людям…
Если и гента скатится в то же место, то придется на BSD переходить ☹
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение chitatel »

eddy писал(а):
18.01.2016 09:52
Если и гента скатится в то же место, то придется на BSD переходить ☹

+1

Хотя вроде где-то в новостях было, что в БЗДе свои поцтероклоны начинают делать заявления. Леннарт одобряе...

Если мне память не врёт...

P.S.
Не, не врёт, ещё не весь мозг мне в пьяных драках выбили: https://www.opennet.ru/opennews/art.shtml?num=41140

Есть какие подвижки в сторону поцтеризма с 2014 в БЗДе?
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Stauffenberg »

chitatel писал(а):
18.01.2016 12:27
eddy писал(а):
18.01.2016 09:52
Если и гента скатится в то же место, то придется на BSD переходить ☹

+1

Хотя вроде где-то в новостях было, что в БЗДе свои поцтероклоны начинают делать заявления. Леннарт одобряе...

Если мне память не врёт...

P.S.
Не, не врёт, ещё не весь мозг мне в пьяных драках выбили: https://www.opennet.ru/opennews/art.shtml?num=41140

Есть какие подвижки в сторону поцтеризма с 2014 в БЗДе?

Use OpenBSD, be happy
Но мы съехали с темы.
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение azsx »

а системд и безопасность для данных в линукс от всяких милиционеров - это как то взаимосвязано? Или просто жалеете, что сменили систему инициализации насильно?
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение chitatel »

Stauffenberg писал(а):
18.01.2016 12:32
Use OpenBSD, be happy

В качестве десктоп-ОС для просто юзера она годится? А то что-то сомневаюсь, она вроде как для серверов преимущественно.
Но мы съехали с темы.
Почему? Мейнтейнерам, впихивающим поделие мутного типа во все дистрибутивы я бы ддоверять не стал. И не доверяю.
Спасибо сказали:
yoshakar
Сообщения: 259
ОС: Debian Stretch

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение yoshakar »

chitatel писал(а):
18.01.2016 12:50
просто юзера
Есть мнение, что вопрос некорректен, потому что "просто юзеров" не существует, а существуют "просто применители" и "просто потребители".
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение chitatel »

yoshakar писал(а):
18.01.2016 13:07
Есть мнение, что вопрос некорректен, потому что "просто юзеров" не существует

Я - просто юзер. Следовательно, он существует.
Спасибо сказали:
yoshakar
Сообщения: 259
ОС: Debian Stretch

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение yoshakar »

chitatel писал(а):
18.01.2016 13:22
Я - просто юзер. Следовательно, он существует.
Нет, следовательно, вы не существуете. Я понимаю, что из-за внутренних предубеждений (вроде "я мыслю — следовательно существую") вы с этим не согласитесь, но у меня-то их нет, так что по мне именно такой вывод логичен и верен.
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Stauffenberg »

chitatel писал(а):
18.01.2016 12:50
Stauffenberg писал(а):
18.01.2016 12:32
Use OpenBSD, be happy

В качестве десктоп-ОС для просто юзера она годится?

Вопрос философский, на самом деле, потому что у каждого свое видение кто такой этот "простой юзер"?
Что (сколько) он должен знать о системе? Что уметь? Что система должна делать автоматом?

chitatel писал(а):
18.01.2016 12:50
А то что-то сомневаюсь, она вроде как для серверов преимущественно.

GNU/Linux тоже преимущественно для серверов, тем не менее многие используют ее и как десктопную ОС.
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение chitatel »

yoshakar писал(а):
18.01.2016 13:32
следовательно, вы не существуете. /.../ так что по мне именно такой вывод логичен и верен.

"По вам" - может быть. А по мне - не может быть.
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение chitatel »

GNU/Linux тоже преимущественно для серверов, тем не менее многие используют ее и как десктопную ОС.
Не вполне соглашусь, потому что существует подмножество дистрибутивов, предназначенных именно для десктопа. Они так и позиционируются: они преимущественно для десктопа.
Stauffenberg писал(а):
18.01.2016 13:53
Что (сколько) он должен знать о системе? Что уметь? Что система должна делать автоматом?

1.Что (сколько) он должен знать о системе? Что уметь? - в идеале - ничего.
2. Что система должна делать автоматом? - а)максимально автоматизированная установка ("как в Убунте"); б) подхватывать наличное оборудование автоматом и работать с ним. Список оборудования, конечно, может быть обширен, тут кроме "среднестатистический компьютер" ничего, пожалуй, не сформулирую: не слишком старый ЦПУ/ГПУ, обычные ширпотребные ХДД/ССД, УСБ-2/3, сетевые карты/вай-фай, наиболее распространённые принтеры, сканеры и т.п.
3. Наличие системы управления пакетами и репозиторий - это, как понимаю, в OpenBSD должно быть. + Наличие "офисного" ПО - офис (Либре/Опен), вьюверы, аудио/видео-проигрывателии, просмотрщики файлов (пдф,джвью, фб2 и т.п.).

Ничего особенного.
Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux
Контактная информация:

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение eddy »

azsx писал(а):
18.01.2016 12:36
а системд и безопасность для данных в линукс от всяких милиционеров - это как то взаимосвязано? Или просто жалеете, что сменили систему инициализации насильно?

Не только насильно. Но еще и безальтернативно!
Ладно бы, systemd была хорошей вещью. Но это же полное [censored]! Я неделю убил, чтобы на Raspberry генту воткнуть только из-за того, что распбиан скатился в поцтероднище. А мне нужно при старте свои сервисы запускать, да еще много чего делать.
Нафиг-нафиг!
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: Можно ли верить мейнтейнерам дистрибутивов? (:

Сообщение Stauffenberg »

chitatel писал(а):
18.01.2016 14:16
1.Что (сколько) он должен знать о системе? Что уметь? - в идеале - ничего..

Что значит в идеале?
Разве Вы не знаете о, к примеру, наличии системы управления пакетами и репозиторий в GNU?


chitatel писал(а):
18.01.2016 14:16
2. Что система должна делать автоматом? - а)максимально автоматизированная установка ("как в Убунте"); б) подхватывать наличное оборудование автоматом и работать с ним. Список оборудования, конечно, может быть обширен, тут кроме "среднестатистический компьютер" ничего, пожалуй, не сформулирую: не слишком старый ЦПУ/ГПУ, обычные ширпотребные ХДД/ССД, УСБ-2/3, сетевые карты/вай-фай, наиболее распространённые принтеры, сканеры и т.п.

В OpenBSD есть

chitatel писал(а):
18.01.2016 14:16
3. Наличие системы управления пакетами и репозиторий - это, как понимаю, в OpenBSD должно быть. + Наличие "офисного" ПО - офис (Либре/Опен), вьюверы, аудио/видео-проигрывателии, просмотрщики файлов (пдф,джвью, фб2 и т.п.).

В OpenBSD есть
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Ответить