Популяция параноиков стрметельно сокращалась. Они становились обычными людьми.

андроид и есть один сплошной дор.

Проприетарный софт == забэкдоренный софт

СПО == может быть софт без бэкдора.

me напрягся и недоверчиво глянул на телефон.

Интересно, а каковы шансы ухватить самсунг за яйца и жестоко наказать?

me напрягся и недоверчиво глянул на телефон.

Я тоже, но понял, что смартфона то у меня нет.

Но всё равно стрёмно :)

Смартфон соседа следит за тобой.

каковы шансы ухватить самсунг за яйца и жестоко наказать?

Никаких. Часть этих бекдоров — чисто инженерные хрени для теста, часть по заказу спецслужб.
Первое необходимо для ОТК, второе они вынуждены делать.
Вот если бы все хомяки мира сказали — хрен вам, не будем покупать, то менеджеры гнусмаса стали бы суетиться в правильном направлении: не как обмануть пользователей, а как обойти несправедливые законы.
Но хомяки ведь на то и хомяки, что пока его не начнёшь переваривать он не испугается.

Читани про бекдоры в самой зашищенной и открытой опенбсд. Я тут несколько раз давал все пруфы.

Я потому и написал «может быть». Мда...

Я тут несколько раз давал все пруфы.

что-то не нагуглилось. Скинь, пожалуйста, ссылку.

Я думаю следить за мной может только сотовый оператор.

Для таких случаев, а они бывают, вынимаю батарею при переговорах, аппоненты делают так же. Если это реальные переговоры.

Лучше бумажки ничего нет, взял и захавал по быстрому.

Приватность уровня Майкрософт (комментарий)

Приватность уровня Майкрософт (комментарий)

И кстати, samsung мне никогда не нравился......

А SONY вообще pidarasы

у самсунга? Эт который на цианогене работает?

А, это я видел. Это слухи и домыслы как-то не вяжутся с твоей фразой «я давал все пруфы». Прошу пруфлинк на конкретный коммит или кусок кода.

Тем более фраза «нет разницы — закрытое ПО или открытое». Очевидно что закрытое изучать гораздо сложнее.

Но хомяки ведь на то и хомяки, что пока его не начнёшь

переваривать он не испугается.

Ну давай приезжай, перевари меня. Или только в лужу пердеть можешь?)))

:)

Ты, как тру админ, сам знаешь насколько легко подделывать базы VCS. А если не знаешь, то это не мои проблемы.

Слухи или не слухи сейчас уже ни доказать, ни опровергнуть.

Ну давай приезжай, перевари меня. Или только в лужу пердеть можешь?)))

Знаешь, мне неимоверно лень ехать в город с таким названием.
Тем более весной.
Можешь считать, что ты выиграл, а я «слился» или как там вас это называется:)

Фонд СПО призвал пользователей устройств Samsung Galaxy потребовать у Samsung разъяснений и опубликовать исходный код компонента для взаимодействия с модемом, без бэкдора, чтобы дать возможность подготовить полноценные свободные прошивки для смартфонов и планшетов Samsung. Тем не менее, несмотря на то, что Replicant заменяет проблемный компонент, в случае наличия в модеме средств для получения контроля за прикладным процессором, модем может выполнить произвольный код и обойти любые ограничения прикладной операционной системы.

Предлагаю создать петицию. Что-то не хочется чтобы samsung скатился в корпорацию зла

как не программист спрошу:

на скольлько сложно очистить код от бекдоров, зная о их наличии, и почему до сих пор не появился форк, всё так сложно?

на скольлько сложно очистить код от бекдоров, зная о их наличии

Пропорционально кол-ву строк и качеству кода.

и почему до сих пор не появился форк, всё так сложно?

Епрст, трио из openbsd, freebsd, netbsd появились грубо говоря в один год (разница на самом деле в несколько месяцев). Все шли от коммерческой и успешной в то время Unix (точнее нескольких ее разновидностей).

Что касается отдельных компонент, в данном случае IPSec, то Linux всегда славился своей «велосипедностью». Тут два момента, вечная борьба двух идейно противоположных лицензий (BSD vs GPL) и любительство все «улучшать». Например, консольные утилиты в поставке OpenSolaris почти не менялись с выхода BSD 4.3, и они настолько «убоги», что «нормальный» линуксоид с первых минут уже ненавидит эту ОС :)

Однако, в случае IPSec на тот момент данная (openbsd) реализация «утекла» во многие ОС «as is». Я предполагаю, что бэкдор на самом деле был очень хитрым, т.е. работавшим при определенных условиях. Эти условия были заданы исходя из задачи. Мое предположение, что это была точечная атака, а не массовая. Следовательно, чтобы найти данную дыру потребовалось бы куча времени, намного больше, чем сама операция. Как только операция закончилась, все почистили. Еще раз повторю, что любую БД vcs очень легко подделать (вырезать нужный коммит, подменить коммит и т.п.).

В итоге, на момент всплытия никто ничего не смог найти. Что? Где? Когда? Неизвестно. Возникает вопрос о личности, который поднял волну. Кто он? Как узнал? Почему проболтался? Эти и многие вопросы остались в прошлом. И главное, был ли бэкдор и был ли взлом? Напомню, что шел 2002 год и недавние события с kernel.org показали, что подобные дела можно проворачивать даже когда Касперскийclamav рядом :)

Епрст, трио из openbsd, freebsd, netbsd появились грубо говоря в один год (разница на самом деле в несколько месяцев). Все шли от коммерческой и успешной в то время Unix (точнее нескольких ее разновидностей).

я имел в виду форк опенбзди, очищенной от бэкдора, а не трио, но раз так сложно его найти, то ладно...

и всё же не понятно, неужели нельзя с помощью анализатора кода обнаружить?

В цианогене сабжевый троян присутствует.

пруф

я имел в виду форк опенбзди, очищенной от бэкдора, а не трио, но раз так сложно его найти, то ладно...

Почему никто не переделал сразу реализацию openbsd? Потому что а) работает - не трож б) не было волантера-спеца в этой области. Последний пункт актуален даже в текущее время. В том же ядре Linux полно legacy-кода, который пора бы переписать. Но, увы, нет нужного человека. Вот и все.

Что касается отдельных компаний и личностей, которые проводят аудит, то, вероятно, они-то все и раскопали. Эти люди данной работой зарабатывают на жизнь. Если они начнут рассказывать о всем подряд, то никто не станет им платить денег — итак все известно. Спасибо, ребята! Вполне вероятно, что кто-то из них и пустил «слух».

и всё же не понятно, неужели нельзя с помощью анализатора кода обнаружить?

Нет. В смысле можно, но анализатор должен уметь эмулировать массу возможных «комбинаций» и при этом уметь понимать, что это дыра, а это не дыра/нормальная работа. Вобщем, написание такого анализатора тот еще труд.

Для понимания проблемы достаточно почитать побольше про IPSec и в частности про используемые алгоритмы. Потом, при желании глянуть в код.

http://redmine.replicant.us/projects/replicant/wiki/SamsungGalaxyBackdoor

насколько легко подделывать базы VCS

Например, про git: wikipedia:git \Cryptographic authentication of history

Что касается cvs: он-то был в других руках. Но, допустим, историю изменили. Сейчас-то код наверняка не один десяток раз просмотрели.

сейчас уже ни доказать, ни опровергнуть.

И ты это приводишь как аргумент против openBSD? Какой вообще смысл осуждать за то что нельзя доказать?

Например, про git

Основная проблема git не в его БД, а в том, что локальная копия хранит все изменения. Т.е. надо влезть на комп всех авторов кода и его поменять нужным образом. И тем не менее, в случае git даже не нужно ломать БД, достаточно ее пересоздать. Лично ты ведешь историю сум sha/md5 для своих git-репозиториев?

И ты это приводишь как аргумент против openBSD? Какой вообще смысл осуждать за то что нельзя доказать?

Было дело. Дело рассамтривалось со всей серьезностью главным разработчиком. Вопрос на засыпку, если он все знал и был уверен стал ли он проверять что-то? А если проверял (а он проверял), то спрашивается: с какого перепугу? Вот то-то и оно.

И тем не менее, в случае git даже не нужно ломать БД, достаточно ее пересоздать.

Это нельзя сделать незаметно.

Лично ты ведешь историю сум sha/md5 для своих git-репозиториев?

Я хоть и не пользуюсь git, но да, веду.

Кстати, ты посмотри даты когда было дело и когда о нем заговорили. На момент всплытия уже прошли годы...

достаточно ее пересоздать

И это, типа, должно пройти незамеченным для десятков программистов?

Дело рассамтривалось со всей серьезностью главным разработчиком.

Многие тогда заинтересовались этим. И ничего не нашли. Только не говори «не нашли не значит нет». Так можно про всё что угодно сказать. Может, когда-то что-то и было. Может и сейчас есть. Главное то что код прошёл аудит и ничего не нашли. Это не 100% гарантия, но это лучшее из того что мы можем получить.

Для таких случаев, а они бывают, вынимаю батарею при переговорах, аппоненты делают так же. Если это реальные переговоры.

Глупо. Если такие случаи бывают и переговоры реальные, то телефоны, лаптопы, и другие часы нужно оставлять до входа в комнату переговоров.

а ещё пуговицы поотдирать.
но проще и надёжней глушилку включить

Зачем глушилку? Комната же «для переговоров». А вот запасную батарейку поставить, размером с квадратный милиметр, записать всё что нужно, пока основной источник вынут, и передать в эфир позже, когда основной источник вновь онлайн, дело плёвое. Нет?

Можешь считать, что ты выиграл, а я «слился» или как там вас это

называется:)

У нас это называется «снегом засыпало». И правильно делаешь, что не едешь. Судя по погоде, лета у нас в этом году не будет:)

И это, типа, должно пройти незамеченным для десятков программистов?

Но-но. Ты хотел сказать тысяч :)

И ничего не нашли.

Атака могла быть точечной. А то, что появились слухи спустя несколько лет уже говорит о том, что операция завершилась успешно.

Все это к тому, что в текущем опенсорс коде может быть полно закладок. Но, т.к. все вокруг считают, что линукс/фря/опен/нетбсд не ломаемы. Люди держат касперского/кламав/руткит-хантеров и т.д. создает иллюзию, что опенсорс код идеален. И закладок нет. Как вот у самсунга. Закладок нет. В Багдаде все спокойно.... До поры до времени :)