Незначительно.

предыстория вопроса: в обсуждении обновлений через луковичные сервисы всплыл тезис, что злоумышленник может разгадать установленный дистрибутив по привязке процедур обновления к релизам. вот и возник вопрос: так ли важно скрывать то, какой используешь дистрибутив? с другой стороны стоит ли всем рассказывать, каким дистрибутивом пользуешься?

Спасибо за очень интересный вопрос.

Теория!

Меня учили, что, в идеале, информация об установленном ПО и даже полная информация о всех настройках безопасности, никак не должна влиять на безопасность системы. Используемое ПО должно быть невзламываемое, а все настройки безопасности безошибочны. Если множество людей пользуется открытым ПО, включая все настройки безопасности, то ошибки, дыры должны быстро исправляется. В идеале открытая ОС с открытыми настройками безопасности должна быть более безопасной и безошибочной.

Дистрибутивы GNU/Linux, *BSD и прочие *NIX очень сильно различаются по безопасности. Подавляющие число дистрибутивов сегодня не ставят безопасность как цель вообще и пренебрегают основополагающими, фундаментальными правилами построения безопасной ОС!

В основном сегодня безопасность зависит от юрисдикции, существуют законодательные запреты на создание и использование безопасных ОС.

Некоторые организации, толи как коммерческую тайну, толи как для безопасности, в договоре явно указывают на запрет разглашения используемого ПО в этой организации. Если согласились и подписали, то соблюдайте, не разглашайте информацию о используемом ПО в этой организации.

Практика.

Использую ПО для скрытия/рандомизации используемой ОС, бровзера, железа... Это требование больше анонимности чем безопасности.

Для атаки на систему в первую очередь собирается информация о используемом ПО и настройках безопасности!!!

Если будут знать о вашем дистре, последнем обновлении -> версиях используемого ПО -> наличию уязвимостей в системе, то атака будет более целенаправленная и успешная.

Сегодня предпочитают больше атаковать дистрибутивы и разработчиков, установить закладки или искусственно снизить защищённость системы очень выгодно правительству желающему за всеми следить. При обновлении эти закладки сами распространятся среди пользователей...

А какое ПО для скрытия/рандомизации используете, если не секрет?

Всё зависит от модели угроз и от уровня рисков, связанных с разглашением этой информации.

злоумышленник может разгадать установленный дистрибутив по привязке процедур обновления к релизам

Что за злоумышленник предполагается? К какой информации он уже имеет доступ?

Обновления через Тор полезны, чтобы скрыть не только дистрибутив от провайдера, но и вашу систему от системы распространения этих обновлений. Ведь в случае, если атакующий - секретная служба, то у неё может быть достаточно возможностей для взлома инфраструктуры дистрибутива и распространения целевого вредоносного обновления. Нецелевое распространения вредоноса скорее всего будет быстро обнаружено, поэтому менее эффективно.

истемы распространения этих обновлений

не репозиторий ли вы имеете ввиду?

К какой информации он уже имеет доступ?

IP-адрес

не репозиторий ли вы имеете ввиду?

Да, репозиторий с пакетами.

IP-адрес

На нём будут какие-то сервисы, как я понимаю. В таком случае атакующий сможет определить сетевой стек, диапазон версии ядра, и по этой информации предположить дистрибутив. По особенностям сервиса также может предположить его версию, и, соответственно, дистрибутив.

Уязвимости в веб-приложениях на сервере также могут позволить определить дистрибутив. Например, если атакующий может заставить сервер сделать запрос на подконтрольный ресурс — через gravatar, к примеру — и получить User Agent, который может содержать вывод uname.

В целом, ответ такой: информация влияет, но не очень критично. Скорее всего серьезные атакующие смогут установить версии используемых программ. Хотя бы попробовав имеющиеся у них эксплойты :)

С другой стороны, специально разглашать эту информацию не следует.

У нас в DeepTech-группе раскрыта вся информация о конфигурациях сервисов (за исключением секретов/токенов). Это конечно отрицательно сказывается на безопасности, но на наш взгляд некритично. Зато позволяет переиспользовать эти конфиги для self-хостинга другими. Вообще, всё зависит от критичности сервера и информации на нём, а также важности его пользователей... У нас там ничего кроме публичной информации нет.

Начинал давно с https://github.com/dillbyrne/random-agent-spoofer

Можешь глянуть другие, но без моей гарантии: https://alternativeto.net/software/random-agent-spoofer/

Сегодня использую собственное ПО. Открыть пока не готов.

Всё зависит от модели угроз и от уровня рисков, связанных с разглашением этой информации.

Здесь вам товарищи майоры мозги испортили. Сколько с ними не общался, результат: «понять генетически не смогут, а поверить не захотят».

Сколько и как меня не заставляли написать модель угроз, - отказывался категорически. Не было на это времени...

Предлагал прайс: список методов безопасности и их цену. На сколько у вас есть денег, столько безопасности можете себе и купить. А подгонокой «модели угроз» под чей-то бюджет я не занимаюсь!

У нас в DeepTech-группе раскрыта вся информация о конфигурациях сервисов (за исключением секретов/токенов). Это конечно отрицательно сказывается на безопасности, но на наш взгляд некритично. Зато позволяет переиспользовать эти конфиги для self-хостинга другими.

Вот за это начинаю уважать Ваш профессионализм и компетентность!

Меня не товарищи майоры обучали, для которых безопасность ассоциируется только с фразой «должно хранится в секрете и спрятано от всех».

Знания получал от Людей для которых безопасность это гарантии невозможности осуществления несанкционированных действий и получения несанкционированного доступа. Эти гарантии дают математические алгоритмы и матмодели. По этому на безопасность никак не влияет знания злоумышленником этих алгоритмов.

Сегодня скоты пошли другим путём, не могут они придумать алгоритм который гарантирует безопасность, но активно пытаются испортить сделанное. Оказывают давление, подкуп разработчиков и внедряют свои трояны в свободное ПО. Ушёл сопроводитель официальных баз ClamAV, его «убедительно просили» не включать сигнатуры некоторых вирусов в официальные базы, теперь поддерживает свои неофициальные.

В подтверждение наблюдаем как скоты создают искусственную проблему, чтобы испортить правильные рабочие алгоритмы верификации ключей: SKS Keyserver Network Under Attack (комментарий)

А сколько закладок уже добавлено в ПО?

Для работы необходимо ~1200 разных пакетов. Вы за ними всеми уследите? Вы их аудит проведете? А внедрение хоть в один трояна может сильно повредить безопасности.

Модель математиков - алгоритмы которые лают гарантии, не учитывает наличие в мире спецслужб, которые нагнут одного разраба, создадут искусственную проблему, чтобы всадить своего трояна. А разрабы не все анонимны... Много из разработчиков работают в организациях которых спецслужбы уже нагнули...

Так что используемое ПО сегодня стоит держит в секрете, иначе спецслужбы истребят Людей способных создавать надёжные матмодели и писать безопасное ПО. А таких на планете Земля с каждым делом все меньше.

Так что используемое ПО сегодня стоит держит в секрете, иначе спецслужбы истребят Людей способных создавать надёжные матмодели и писать безопасное ПО. А таких на планете Земля с каждым делом все меньше.

и будет ещё меньше, если продолжать закрывать. необходимо наоборот распространять. и чем больше людей будет вовлечено, тем надёжнее. помните диссидентскую поговорку: «то, что распространено, то сохранено». а каждого отдельного изобретателя такого ПО всё равно рано или поздно «найдут» и на одного его будет давить проще, чем на сообщество.

это необходимо делать потому, что скоты не они, а те, кто согласились внедрить бэкдор/троян, по крайней мере исполнители ещё большее зло, как ни парадоксально.

а если программа будет свободна, то обязательно найдутся те, кто скажет нет во чтобы то ни было - найдёт коса на камень. всех они не заставят.

другой вопрос, что и свободным делать код следует грамотно, а не просто вечерком залить на гит

скоты не они, а те, кто согласились внедрить бэкдор/троян, по крайней мере исполнители ещё большее зло, как ни парадоксально.

Скоты с пагонами, не хотят бегать за каждым Васей/Jon, им проще достать только одного, того кто написал прогу которой пользуется Вася/Jon.

Если его, отравят, заразят вещи изотопами излучающими нейтроны, облучат СВЧ, ... есть вероятность что согласится. А если не согласится то отравят сердечными гликозидами и отправят его тело на запчасти, чтобы больше не писал безопасное ПО.

они не смогут отравить всех

нужно выкладывать код СПО анонимно

Делай добро и убегай, т.к. ни одно доброе дело не должно остаться безнаказанным!

Если вкратце, то да.