Можно ли верить мейнтейнерам дистрибутивов? (: (или флейм параноиков)
Модератор: Модераторы разделов
Можно ли верить мейнтейнерам дистрибутивов? (:
Внезапно в дебиановской рассылке безопасности проскочил любопытный тред, где человек поинтересовался, есть ли какая-нибудь защита от недобросовестных мейнтейнеров (особенно, внедрённых АНБ, ФБР, ЦРУ и прочими ФСБ).
И, как это ни странно, такой защиты нету. Пакеты компилятся и собираются на железе сопровождающего, и ничто не мешает ему вкомпилить туда бэкдор. Судя по рассылке, никаких защитных механизмов от подобного поворота событий нету. Вроде ходят какие-то разговоры, о том что сборку нужно перенести на железо проекта и ввести какие-то проверки от подобных случаев, но пока это лишь разговоры.
В других популярных deb-based дистрибутивах, а вероятно даже и rpm-based (я плохо знаком с их процессами сборки пакетов), ситуация аналогична.
Но все как-то сидят вполне спокойно и никто не бьёт тревогу. Подобный подход к поддержке пакетов не является уязвимостью или все просто полагаются на честность сопровождающих?
И, как это ни странно, такой защиты нету. Пакеты компилятся и собираются на железе сопровождающего, и ничто не мешает ему вкомпилить туда бэкдор. Судя по рассылке, никаких защитных механизмов от подобного поворота событий нету. Вроде ходят какие-то разговоры, о том что сборку нужно перенести на железо проекта и ввести какие-то проверки от подобных случаев, но пока это лишь разговоры.
В других популярных deb-based дистрибутивах, а вероятно даже и rpm-based (я плохо знаком с их процессами сборки пакетов), ситуация аналогична.
Но все как-то сидят вполне спокойно и никто не бьёт тревогу. Подобный подход к поддержке пакетов не является уязвимостью или все просто полагаются на честность сопровождающих?
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Переходите на openSUSE, там компиляция происходит на OBS серверах. Правда от внедрения закладок на уровне кода — тоже могу тне заметить.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Ничто не мешает добавить бэкдор в исходный код перед отправкой на сервер сборки.
Развивая паранойю: а вы уверены, что АНБ, ФБР, ЦРУ и прочие ФСБ не добавили бэкдор непосредственно в исходный код программ, а ещё лучше - в компилятор? Какой смысл атаковать конкретный дистрибутив, если можно атаковать источник, из которого они все пьют?
К сожалению, ещё не создан механизм, позволяющий с вероятностью, близкой к единице, выявить злонамеренные действия. Поэтому главным оплотом безопасности до сих пор остаётся ограничение доступа к ресурсам извне и тщательный отбор тех, кто этот доступ имеет.
- /dev/random
- Администратор
- Сообщения: 5282
- ОС: Gentoo
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Это противоречит самой идее открытости.
Начните защищаться, и в конечном итоге Вы получите закрытую систему. Да и как можно защищаться от мантейнеров?
Это всё равно, что скачивая ядро с kernel.org, думать, как защититься от Линуса Торвальдса. А вдруг его перекупили и он теперь вражеский агент?
А как Вы это себе представляете? Допустим, есть недоверие к мантейнеру. Нужен проверяющий для мантейнера, проверяющий для этого проверяющего, проверяющие для того проверяющего и так далее. Где конец этой цепочки? И где гарантия, что самый последний проверяющий - не агент ЦРУ/ФБР/Чего-то_еще?
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Нельзя им верить. Вот, например, в арче все (за исключением одного-единственного человека) мейнтейнеры — сволочи! И в большинстве других дистрибутивах не лучше.
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
+500100
Да и этот один-единственный тоже, по правде говоря, та ещё сво... Ворует столовое серебро и в скатерть сморкается.
А если несерьёзно: защиты от мейнтейнера-зловреда - НЕТ. И не будет. Человек - слабое звено. (У кого тут на форуме в подписи было "Убить всех людей"? Вот явно достало его это всё...).
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
а защиты не просто нету, её и быть не может. Вы доверяете не коду, а живому человеку. Живого человека всегда можно купить/запугать. ЭЦП просто гарантирует, что технически за этот код отвечает определённый человек(группа людей), это ВСЁ.
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Исходные тексты тоже подписаны авторами этих текстов. Если разработчик замечен во вредительстве, это рано или поздно будет вскрыто. Пока ещё таких скандалов не было, разработчики не вставляют всякую гадость в своё ПО.
И да, автоматические системы поиска уязвимостей не дремлют, и выявляют подозрительные места, где _может_ быть вредоносный код. Спрятаться от таких систем можно только в быдлокоде, но быдлокод не любят по иным причинам.
/dev/random писал(а): ↑04.08.2013 13:34Переходите на Gentoo, там компиляция происходит на вашем компьютере.Переходите на openSUSE, там компиляция происходит на OBS серверах.
переходите на Slackware, и это станет головной болью Патрега, который этой ерундой занимается 20 лет, и мы пред ним -- дети малые.
это цитата из мультика, и принадлежит она роботу-зазнайке. (мультик футурама, робот бендер)
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
/dev/random писал(а): ↑04.08.2013 13:34
Переходите на Gentoo, там компиляция происходит на вашем компьютере.
OBS можно устнановить у себя (достаточно одной машины) и все пакеты пересобирать там.
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
А в связи с чем эту тему разморозили?
Понял: "Линукс не безопасен, что вы думете?"
Понял: "Линукс не безопасен, что вы думете?"
Русский форум. Задаёшь вопрос, потом тебе долго рассказывают, какой ты м-к.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Просто поговорить людям хочется! При жесткой паранойе лучше не пользоваться компьютерами совсем. И вообще любой электроникой.
При закладке на уроне шифрования - нужно быть хорошим криптографом.
При закладке на уровня драйвера девайса - нужно быть хорошим электронщиком и системным программистом.
При закладке на уровне сетевого протокола - нужно быть хорошим сетевиком.
И т.д. ...
Не нравится - пишите все сами. Сначала надо спроектировать камень (без сторонних наработок и помощи "друзей"). Ну и остальную периферию, конечно. Затем для этого камня сделать assembler. Потом собрать ЯП более высокого уровня. Потом операционку и т.д.... Да, на каком то моменте надо серьезно занятся криптографией. И единоборствами. Со стрельбой и подрывным делом.
Верить нельзя никому. Даже себе. Можно только веровать. В ОС и БГ. Ну, либо в Патрика или Столмана.
Каждому свое!
При закладке на уроне шифрования - нужно быть хорошим криптографом.
При закладке на уровня драйвера девайса - нужно быть хорошим электронщиком и системным программистом.
При закладке на уровне сетевого протокола - нужно быть хорошим сетевиком.
И т.д. ...
Не нравится - пишите все сами. Сначала надо спроектировать камень (без сторонних наработок и помощи "друзей"). Ну и остальную периферию, конечно. Затем для этого камня сделать assembler. Потом собрать ЯП более высокого уровня. Потом операционку и т.д.... Да, на каком то моменте надо серьезно занятся криптографией. И единоборствами. Со стрельбой и подрывным делом.
Верить нельзя никому. Даже себе. Можно только веровать. В ОС и БГ. Ну, либо в Патрика или Столмана.
Каждому свое!
Спасибо сказали:
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Дело не в паранойе, хотя я предпочту звание параноика титулу человека с которым можно делать всё что заблагорассудится, вы ведь не хотите жить на центральной площади вашего города в стеклянной будке?
Вот и я не хочу чтобы кто-то в любой момент мог порыться в моей ФС не спросив меня об этом, некоторые исходят из того что они ни кому не нужны, мол я не топ менеджер газпрома и не террорист, если честно какая то пофигистическая позиция, это жизнь, интересы, мнения. Пофигисты плохо кончают.
У потенциального злоумышлинника другие и не работают.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Пофигисты плохо кончают.
У потенциального злоумышлинника другие и не работают.
не факт...
Вот и я не хочу чтобы кто-то в любой момент мог порыться в моей ФС не спросив меня об этом
если кратце, то враги повсюду. Могут к вам придти домой и оказывая психологическое воздействие просмотреть ваши документы.
если вам надо для дела, то консольный линукс, отсутвие или учет внешнего софта, шифрование, настройка сети и учет трафика сделает вас почти неуявимым к всяким негодям даже на уровне фсб и анб. Только вы же этого делать не будете, так как вам всё это надо чисто теоритически.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Это слишком сложно и затратно. Проще массово внедрить и прежде чем идти удостоверится в том имеетли это смысл или того хуже создать необходимость такого посещения.
Внедрять баги и продавать их как уязвимости нулевого дня прибыльно, контор занимающихся выявлением таких уязвимостей довольно много и они явно паспорт у покупателей не спрашивают.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Это слишком сложно и затратно.
то есть доказать мейнтермерам внедрить баг в дистрибутив-это как нефиг делать. А отправить полицая с вами подраться - это сложно и затратно. Круто, чо...
Внедрять баги и продавать их как уязвимости нулевого дня прибыльно
всё мною написанное - это мое личное мнение. Сегодня быть хакером без поддержки спецслужб - это жесть. Или посадят или в армию заберут.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Кстати, за примерами далеко ходить не надо. Сколько осталось дистрибутивов без поцтерошлака?
Вот и верь потом людям…
Если и гента скатится в то же место, то придется на BSD переходить ☹
Вот и верь потом людям…
Если и гента скатится в то же место, то придется на BSD переходить ☹
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
+1
Хотя вроде где-то в новостях было, что в БЗДе свои поцтероклоны начинают делать заявления. Леннарт одобряе...
Если мне память не врёт...
P.S.
Не, не врёт, ещё не весь мозг мне в пьяных драках выбили: https://www.opennet.ru/opennews/art.shtml?num=41140
Есть какие подвижки в сторону поцтеризма с 2014 в БЗДе?
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
chitatel писал(а): ↑18.01.2016 12:27
+1
Хотя вроде где-то в новостях было, что в БЗДе свои поцтероклоны начинают делать заявления. Леннарт одобряе...
Если мне память не врёт...
P.S.
Не, не врёт, ещё не весь мозг мне в пьяных драках выбили: https://www.opennet.ru/opennews/art.shtml?num=41140
Есть какие подвижки в сторону поцтеризма с 2014 в БЗДе?
Use OpenBSD, be happy
Но мы съехали с темы.
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
а системд и безопасность для данных в линукс от всяких милиционеров - это как то взаимосвязано? Или просто жалеете, что сменили систему инициализации насильно?
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
В качестве десктоп-ОС для просто юзера она годится? А то что-то сомневаюсь, она вроде как для серверов преимущественно.
Почему? Мейнтейнерам, впихивающим поделие мутного типа во все дистрибутивы я бы ддоверять не стал. И не доверяю.Но мы съехали с темы.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Нет, следовательно, вы не существуете. Я понимаю, что из-за внутренних предубеждений (вроде "я мыслю — следовательно существую") вы с этим не согласитесь, но у меня-то их нет, так что по мне именно такой вывод логичен и верен.
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Вопрос философский, на самом деле, потому что у каждого свое видение кто такой этот "простой юзер"?
Что (сколько) он должен знать о системе? Что уметь? Что система должна делать автоматом?
GNU/Linux тоже преимущественно для серверов, тем не менее многие используют ее и как десктопную ОС.
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Не вполне соглашусь, потому что существует подмножество дистрибутивов, предназначенных именно для десктопа. Они так и позиционируются: они преимущественно для десктопа.GNU/Linux тоже преимущественно для серверов, тем не менее многие используют ее и как десктопную ОС.
Stauffenberg писал(а): ↑18.01.2016 13:53Что (сколько) он должен знать о системе? Что уметь? Что система должна делать автоматом?
1.Что (сколько) он должен знать о системе? Что уметь? - в идеале - ничего.
2. Что система должна делать автоматом? - а)максимально автоматизированная установка ("как в Убунте"); б) подхватывать наличное оборудование автоматом и работать с ним. Список оборудования, конечно, может быть обширен, тут кроме "среднестатистический компьютер" ничего, пожалуй, не сформулирую: не слишком старый ЦПУ/ГПУ, обычные ширпотребные ХДД/ССД, УСБ-2/3, сетевые карты/вай-фай, наиболее распространённые принтеры, сканеры и т.п.
3. Наличие системы управления пакетами и репозиторий - это, как понимаю, в OpenBSD должно быть. + Наличие "офисного" ПО - офис (Либре/Опен), вьюверы, аудио/видео-проигрывателии, просмотрщики файлов (пдф,джвью, фб2 и т.п.).
Ничего особенного.
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Не только насильно. Но еще и безальтернативно!
Ладно бы, systemd была хорошей вещью. Но это же полное [censored]! Я неделю убил, чтобы на Raspberry генту воткнуть только из-за того, что распбиан скатился в поцтероднище. А мне нужно при старте свои сервисы запускать, да еще много чего делать.
Нафиг-нафиг!
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: Можно ли верить мейнтейнерам дистрибутивов? (:
Что значит в идеале?
Разве Вы не знаете о, к примеру, наличии системы управления пакетами и репозиторий в GNU?
chitatel писал(а): ↑18.01.2016 14:162. Что система должна делать автоматом? - а)максимально автоматизированная установка ("как в Убунте"); б) подхватывать наличное оборудование автоматом и работать с ним. Список оборудования, конечно, может быть обширен, тут кроме "среднестатистический компьютер" ничего, пожалуй, не сформулирую: не слишком старый ЦПУ/ГПУ, обычные ширпотребные ХДД/ССД, УСБ-2/3, сетевые карты/вай-фай, наиболее распространённые принтеры, сканеры и т.п.
В OpenBSD есть
В OpenBSD есть
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)