Поставь комп в сейф, обмотай проволокой колючей, поставь охрану. Че хотел то?

Именно поэтому кое-кто пользует LFS.

Так и это не спасает. Была же история, как в каком-то опенсорсном FTP-сервере нашли бекдор, который там существовал несколько лет.

bitchx протрояненный забыли уже?

Чисто теоретически - да, возможно, но только если бэкдор приедет из апстрима. В противном случае (при подмене пакета в репе) - у тебя будет ругань пакетного менеджера на подпись.

Тогда можно будет найти того, кто засунул туда эту гадость и оперативно выгнать из мейнтейнеров. А вот в проприетарном ПО никто может и не узнать, что крыса есть и кто именно крысятничает!

что будет, если такое вдруг случится?

У тебя установится зловредное ПО.

зловред обнаружен
и звук поросячего визга

И что же это, если не секрет?

то, что ты скачал

А что если gcc всего мира уже давно инфицированы

и вставляют незаметный бэкдор в каждую программу?

скорее компилятор жабы

Неужели ХХХ-видео? о_О

Не, ну а какой ответ ты ожидал на

что будет, если такое вдруг случится?

? :)

Если ты скачал из репозитория зловредное ПО, то оно у тебя установится и будет заниматься своей зловредной деятельностью. Такое событие маловероятно, но теоретически возможно. Мэйнтейнеры дистрибутивов как бы не анонимны, и должны дорожить своей репутацией, поэтому обычно они таким не занимаются. Если же ты обнаружил зловредное ПО в репозитории, то убедившись, что это точно оно, нужно немедленно оповестить об этом широкие массы

Значит проникновение бэкдоров маловероятно? Спасибо, утешил. А то мне тут начал пугать один нехороший человек... Кстати, есть какая-то проверка перед тем как это ПО попадет в репозиторий?

Кстати, есть какая-то проверка перед тем как это ПО попадет в репозиторий?

проверка на широких массах юзверей делается :) Рано или поздно кто-то из них обнаружит подвох

Ещё теоретически возможен такой вариант, когда мэйнтейнер сотрудничает со спецслужбами и специально для тебя подписывает своим ключом модифицированный пакет, а остальные юзвери получают обычную безвредную версию пакета

Помню случай был: по инету гулял дельфийский вирус Induc.A. С официального сайта AIMP качался зараженный этой дрянью бинарь, и засовывал себя в среду. А плеер сам нормально работал при этом, просто тачка разработчика была скомпрометирована.

А может быть такое....

может.

Именно поэтому кое-кто пользует LFS.

в этоми есть смысл тогда, и только тогда, когда ты ВЕСЬ код просмотрел.

как в каком-то опенсорсном FTP-сервере нашли бекдор, который там существовал несколько лет.

для этого придумали ЭЦП. Вот например этот файл: http://mirror.yandex.ru/slackware/slackware-current/CHECKSUMS.md5.asc Админ яндекса может попортить репозиторий слаки, но тогда я не смогу его скачать(т.к. мой скрипт проверяет ЭЦП Патрика). В других дистрибутивах этим занимается пакетный менеджер. (если конечно вы левак не ставите).

А что если gcc всего мира уже давно инфицированы и вставляют незаметный бэкдор в каждую программу?

не вставляет. Я проверял. Во всяком случае версия подписанная Патриком если и вставляет, то только в большие программы. Свои маленькие я просматриваю иногда.

Ещё теоретически возможен такой вариант, когда мэйнтейнер сотрудничает со спецслужбами и специально для тебя подписывает своим ключом модифицированный пакет

тогда Патрик должен сотрудничать с яндексом(или другим зеркалом, которое я выберу. А я сам не знаю, что я выберу), что-бы админ этого яндекса написал специальный скрипт, который лично для меня(если он узнает, что это мой IP) подсовывает мне зловред.

Слишком много «если», и слишком много людей вовлечены в эту аферу, что-бы быть правдой.

зловред обнаружен
и звук поросячего визга

В свое время очень раздражал

Ну возьми вставь код в какую-нибудь популярную программу, и выложи в какую-нибудь помойку, где всякие пионеры сомнительные пакеты кидают, типа сусе фабрики. По моему прокатит.

С официального сайта AIMP

Ну ты бы ещё qip привел в пример как образец по информационной безопасности :D

Ещё какой-то быдлоплеер (The KMPlayer чтоле) также светился с заражением.

Короче не надо всякую ерунду ставить.

для этого придумали ЭЦП

Тот бекдор существовал в апстриме. От такого никакая ЭЦП не спасёт, к сожалению.

всякие пионеры сомнительные пакеты кидают, типа сусе фабрики. По моему прокатит.

прокатит. А зачем тебе атаковать пионера? Которому даже девки не дают, раз он со своей сусёй красноглазит? И всякое непонятное говно на сволй комп ставит?

Тот бекдор существовал в апстриме. От такого никакая ЭЦП не спасёт, к сожалению.

а по моему ты что-то путаешь. Давай-ка поконкретнее,без этого «я что-то припоминаю, как кто-то говорил».

Вот упоминание. Сервера разработчиков proftpd тогда были взломаны, апстримные исходники изменены. Тогда факт взлома был обнаружен, и всё в общем-то закончилось хорошо. Однако в больших проектах, где много людей коммитят, есть вероятность того, что один из разработчиков сможет вставлять некие коды в проект, и это будет проходить незамеченным длительное время, ведь по факту никакого взлома серверов нет, всё тихо-спокойно.

Вот упоминание.

спасибо, посмотрим.

Сервера разработчиков proftpd тогда были взломаны, апстримные исходники изменены.

и что с того? Если-бы была ЭЦП, то она-бы не сошлась. В том-то и фича ЭЦП, что взлом сервера никак не поможет подмене. Тот компьютер, на котором разработчик подписывает, обычно даже к интернетам не подключён, как его можно сломать? Проще самого разработчика прессовать.

Однако в больших проектах,

дело не в размере. ProFTP это очень критичный компонент во многих случаях (увы. Сам FTP протокол является РЕШЕТОМ, но многие его до сих пор юзают).

А размер значения не имеет, Xorg или Gnome это огромные комплексы, безопасность которых всех слабо волнует. Я уж молчу про Must die.

есть вероятность того, что один из разработчиков сможет вставлять некие коды в проект, и это будет проходить незамеченным длительное время, ведь по факту никакого взлома серверов нет, всё тихо-спокойно.

Да, однако рано или поздно это найдут, и я не хотел-бы оказаться на месте того разработчика, который это всунул. Особенно если кто-то _реально_ потеряет деньги/время/репутацию из-за этого. А комменты тоже именные и подписанные (особенно в больших проектах).

https://forums.freebsd.org/viewtopic.php?&t=19849

ну я почитал, и что? Просто был некий небольшой промежуток времени, когда подпись была некорректной. Это _могло-бы_ случится из-за атаки на сервер разработчиков ProFTP. Ну вот фрибздуны и перебздели. Стали судорожно проверять свои подписи и обновлять на _правильный_ порт.

Это всё как раз доказывает мою правоту и годность ЭЦП. Ну и конечно говорит о том, что проверять ПО на обновления нужно регулярно, как минимум 24 раза в сутки. Это ведь не нужно делать ручками, есть скрипты, да и в десктопных дистрах инструменты имеются много лет (помню, как mandriva 200? каждые 3 часа начинала тупить проверяя СУБД говноскриптом на питоне в моём стареньком(ещё тогда) компе).

в открытой инфраструктуре сложно что-либо утаить, где наблюдателями являются пользователи с разными интересами

у тебя будет ругань пакетного менеджера на подпись

но в gentoo нет такого же

так вот почему она занимает столько памяти и процессора. наверное, лайткоины майнит, или в духе

Тогда можно будет найти того, кто засунул туда эту гадость и оперативно выгнать из мейнтейнеров. А вот в проприетарном ПО никто может и не узнать, что крыса есть и кто именно крысятничает!

школота такая школота

в проприетарном ПО каждый коммит подписан, там видно до последней запятой кто и что сделал

Всё логично. Когда-то Торвальдса спросили на коференции какой-то (должно быть на ютубе), мол АНБ требовало внедрить свой код в ядро? Линус положительно помахал головой и сказал: «No». Правда потом всё таки признался что это шутка была. Репозитории 3-ая сторона, так что может быть всё.

Все зависит от диаметра иглы. (C)

ГСМ детектед.

скорее компилятор жабы

не удивляюсь

Горюче-смазочные материалы?

Может, LFS для полупрофессиональных параноиков. А большим параноикам только свою ОС писать.

как бы не анонимны

А у них паспорт спрашивают и хорошо его проверяют?

Просмотреть мало, надо ещё и понять, а в идеале проанализировать что и как можно использовать в качестве бэкдора.

А если я один небольшой проект тяну и бэкдор для себя незаметный сделал?

Поздно

Мужик, тебе надо срочно перечитать все исходники. Начинай с ядра.

We need to go deeper. Затроянины CPU. (И это почти не шутка.)

там видно до последней запятой кто и что сделал

Где? Мне не видно.

Во, нашёл опять: https://github.com/jbangert/trapcc т.ч. да, не шутки.

ну пральна, тыж школьник

Может, все-таки, покажешь?