LINUX.ORG.RU
ФорумTalks

Почему вы доверяете бинарным репозиториям?

 , ,


2

1

Всегда было интересно спросить, у тех, кто постоянно уповает на всевозможные потенциальные закладки в проприетарном программном обеспечении, и у тех, кто особо рьяно относится к своей безопасности\анонимности\приватности\етк, но при этом сидит хоть и на opensource, но бинарной дистрибуции ПО

  • А почему вы собственно уверены, что бинарные пакеты программ (да и ядра) в репозиториях вашего дистрибутива соответствуют исходным кодам этого самого ПО? Ведь даже в теории, чтобы это проверить, необходимо знать полное сборочное окружение, в котором собирались пакеты, но эта информация не поставляется майнтенерами. На практике же, этого никто и никогда не проверяет.

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла? На чем основана ваша уверенность в том, что в вашей gnu/linux ос, которую вы даже не собирали самостоятельно, нет закладок?

Ответ на: комментарий от dimgel

Хорошая стеганография тоже использует такие преобразования, что атакующий даже зная, какой софт был использован, не может доказать наличие актуальных вложенных данных без знания ключа. Именно поэтому банальным кодированием данных в младших битах лучше не заниматься, кроме как с целью изучения простейших методом стеганографии.

kmeaw ★★★
()
Ответ на: комментарий от InterVi

насколько у него жирные репы

Немногим больше аура. Вроде как самый большой.

ddidwyll ★★★★
()
Ответ на: комментарий от windows10

-ПОТОМУ ЧТО СВОБОДА.

Есть некий порог терпимости, когда человек терпит происходящие непотребности со стороны закладок и их операторов, а потом наступает момент, когда он начинает искать альтернативы, если сам самостоятельно не в состоянии удалить закладки.

Вот если оператор закладок Шиндоуз решит перекрыть тебе кислород, то тебе ничего не останется, кроме как распрощаться с этой проприетарной системой и в лучшем случае довольствоваться WINE.

А если такое произойдет в одном из дистрибутивов Linux, то есть выбор еще из десятков вариантов, среди которых есть особо щепетильные к свободе типа GUIX. И вероятность, что закладку не выпилят из GUIX после жалобы с пруфами намного ниже, чем в если бы тоже самое случилось в RedHat.

Причем перейти из одного дистрибутива Linux в другой намного проще, чем из одной оси в другую, особенно из несвободной в относительно более свободную, например из Windows в Linux/BSD. Это и другой набор приложений, форматов файлов, привычки пользователя к рабочей среде и т.п.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 3)

про reproducible builds хоть слышал?

kott ★★★★★
()

Чтобы поверить в отсутствие закладок в ПО необходимо убедиться в отсутствии закладок в железе, а у нас железо проприетарное.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Чтобы поверить в отсутствие закладок в ПО необходимо убедиться в отсутствии закладок в железе, а у нас железо проприетарное.

Хотя бы из того, что есть в наличии: Libreboot, ARMv7 BBB, 80486, P1-P3 в какой-то мере?

Кто-то уже может позволить себе и Talos POWER и RISC-V?

И что там про Apple G3 OpenFirmware? х.з.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)

Закладки на уровне сорсов могут выявить люди, которые их читают. В бинарный дистриб легче добавить закладку. Именно поэтому генту всеми правдами и неправдами пытаются выдавить из рынка. Именно поэтому там нет релизов и бинарные кэши 1.5 десятилетия не делались

serg002 ★★★
()
Ответ на: комментарий от serg002

Закладки на уровне сорсов могут выявить люди, которые их читают.

Все таки IMHO поиск закладок в сорцах должен быть автоматизирован как-то, типа линтеров + АИ, обученного на уже ранее найденных человеками закладках.

Чтобы не тратить human resource на повторный анализ уже когда-то найденного в т.ч. в лайтовых модификациях.

Например, в Libre Kernel обфусцированные блобы выпиливаются скриптами.

https://en.wikipedia.org/wiki/Linux-libre

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 5)
Ответ на: комментарий от sanyo1234

/me усиленно пытается найти в розничных магазинах что-то из перечисленного

mogwai ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Нет уверенности. Просто если в MS Windows закладки есть совершенно точно

+1. слепая вера! как еще иначе не будучи религиозным, я бы смог прорабоать в айти почти 20 лет=)

crypt ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

я в первую очередь об опенсорсе, но и у видны свечку не держал. как скайп сканирует диск - видел, а у винды там все зашифровано.

crypt ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

да, согласен, согласен я) тебя слово «вера» озадачило. я имел ввиду вцелом, во что человек верит без своего личного опыта.

crypt ★★★★★
()
Ответ на: комментарий от burato

меня больше интересует кому вообще доверяете, и давно ли ты кушал?

Shulman
()
Ответ на: комментарий от sanyo1234

Все таки IMHO поиск закладок в сорцах должен быть автоматизирован как-то, типа линтеров + АИ, обученного на уже ранее найденных человеками закладках.

Человеки пишут вири, антивири продолжают пропускать новые вири... Это я про автоматизацию.

anc ★★★★★
()

не доверяем.

точно так же, как не доверяем запускать конпеляцию без fakeroot.

ну дальше всё равно всё на свой страх и риск т.к. сам лично код не проверяю.

а вы знали что творицца в серверном сегменте? там вообще блоб на блобе да блобом погоняет, все сервера поставляются с фирмварью, вшитыми ОС, они же инструменты управления рейд-массивами, настройкой сервера и т.д. и т.п. и самая мякотка, что сервера, предполагают отправку ололо-анонимной статистики своему вендору.

https://www.voglea.com/2021-10-04-085420_3440x1440_scrot.png

т.е. все ваши попытки оградиться от проприетарщины, сборе информации лично о вас, конпелянии опенсорца и тыды, — разбиваются о первого же хост провайдера, который использует серверы HP в своих дата-центрах.

поэтому постарайтесь расслабиться и получать удовольствие.

Spoofing ★★★★★
()

Можно расширить вопрос. Почему вы вообще доверяете opensource приложениям? Вы смотрите исходный код у каждой используемой программы с целью выявления закладок и уязвимостей?

Rinaldus ★★★★★
()

voltmod

Повторяемость сборки знаешь что такое?

И что же это?

pacify ★★★★★
()

А какая разница, на бинарной дистрибуции я сижу или на сорцовой?

Я все равно физически не могу провести аудит всего используемого кода и вынужден доверять неизвестно кому.

zgen ★★★★★
()
Ответ на: комментарий от zgen

А какая разница, на бинарной дистрибуции я сижу или на сорцовой?

Мне тоже кажется, что разницы нет. Но бинарный удобнее, особенно на пром серверах, при условии доверенного источника бинарей.

Главное, чтобы была возможность сверить аутентичность сорца, из которого собран бинарник. А это в полной мере на 100%, насколько я понимаю, на данный момент пока возможно только в GUIX?

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла?

Тем, что тот же debian это прежде всего люди и у каждого пакета есть ответственный с именем и фамилией. А кто стоит за бинарной программой в выньды или за сервисом гугла никто не знает. Это и вселяет некоторую надежду, что в том же debian сознательных закладок нет.

vtVitus ★★★★★
()
Ответ на: комментарий от cocucka

Вдруг в тебе уже есть закладки, а врачи в сговоре.

Да, в нас уже есть чип. Прививкой «БЦЖ» он вгоняется, от того и шрам такой поголовно у всех остаётся. Моя задача мантрами его «переварить».

P.S. Испугал козла капустой... :D

xwicked ★★☆
()
Ответ на: комментарий от sanyo1234

Есть некий порог терпимости, когда человек терпит происходящие непотребности со стороны закладок и их операторов

Судя по тому какое количество багов и ДЫР находится в открытом софте - об этих твоих непотребностях даже не знают.

windows10 ★★★★★
()

Что значит «могут быть»? Они там 100% есть, вопрос в объёме и наглости поставщиков закладок. А так же в сложности замены компонента на доверенный или более-доверенный.

pon4ik ★★★★★
()
Последнее исправление: pon4ik (всего исправлений: 1)
Ответ на: комментарий от windows10

Судя по тому какое количество багов и ДЫР находится в открытом софте - об этих твоих непотребностях даже не знают.

Ты смешал нечаянные дыры и специальные закладки, хотя часть дыр вероятно может являться закладками.

Хочешь сказать, что в непроверенных проприетарных системах нечаянных дыр меньше?

Сколько remote дыр было найдено в OpenBSD и OmniOS за последние 10-20 лет? И сколько в Windows? Хотя бы с поправкой на популярность в процентном выражении.

Боюсь, что в Windows в бесконечное количество раз больше.

sanyo1234
()

Закладки в том или ином виде есть везде. И сборка тут вообще не при чём. Закладки идут на уровне обычных уязвимостей, которые NSA находит быстрей остальных.

Legioner ★★★★★
()
Ответ на: комментарий от sanyo1234

Сколько remote дыр было найдено в OpenBSD и OmniOS за последние 10-20 лет? И сколько в Windows? Хотя бы с поправкой на популярность в процентном выражении.

Боюсь, что в Windows в бесконечное количество раз больше.

Неуловимый_Джо.jpg

Вопрос не в количестве дыр\закладок, а в методах их нахождения третьими лицами.

В случае с закрытым ПО, дыра\закладка может быть найдена только эмпирическим путем, и поскольку об этот эмпирический путь споткнутся все, то эта дыра\закладка будет сразу же известна, а значит и исправлена. Ну или внесена в errata, пофигу.

Если по-простому, то дыру в Винде ты найдешь только случайно, и только тыкая мышкой в живую Винду. А поскольку в данном случае у тебя и у всей планеты возможности одинаковы - то остальная планета так же найдет эту дыру в процессе мышкования.

В случае с открытым ПО, дыра\закладка может быть найдена глазастым специалистом, просматривающим код программы, при чем ему даже пользоваться этой программой не обязательно. Ну там например какой-нибудь буфер размера int сбрасывается в 23:59:59, но при установке в последний момент даты на 23:30:00, переполняется и дает рут-доступ. А ты такой сидишь на своей Центоси на клиентском сервере, и не можешь понять, как хакер получает рута: может через sshd, может через httpd, может через systemd, хз, ведь в логах все чисто.

И подобная дыра\закладка вероятнее всего найдется ОДНИМ глазастым специалистом, который в зависимости от цвета этики может репортнуть о ней, а может и начать зарабатывать миллионы, хакая серваки на планете, до тех пор пока второй белый (нет, не цветом кожи, а убеждениями) специалист не найдет эту дыру.

Так что как минимум, в этом плане шансы у открытого и закрытого ПО равны, а как максимум, дыру в открытом софте найти действительно проще, вопрос только в том кто ее найдет - ты, или злоумышленник.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Если по-простому, то дыру в Винде ты найдешь только случайно, и только тыкая мышкой в живую Винду. А поскольку в данном случае у тебя и у всей планеты возможности одинаковы - то остальная планета так же найдет эту дыру в процессе мышкования.

У тебя вероятно приступ троллинга в надежде на то, что мы в худшем случае сочтем это за когнитивные искажения и незнание о существовании специалистов разной степени квалификации в поиске дыр, пентестеры там всякие, реверс инженеры и т.д. и т.п.

sanyo1234
()
Ответ на: комментарий от windows10

Так что как минимум, в этом плане шансы у открытого и закрытого ПО равны, а как максимум, дыру в открытом софте найти действительно проще, вопрос только в том кто ее найдет - ты, или злоумышленник.

Не иначе такой твой вывод можно использовать для написания нескольких PhD работ?

sanyo1234
()

Ждём, когда изобретут метод шифрования, которым можно будет надёжно пользоваться на бумажке.

buddhist ★★★★★
()
Ответ на: комментарий от sanyo1234

У тебя вероятно приступ троллинга в надежде на то, что мы в худшем случае сочтем это за когнитивные искажения и незнание о существовании специалистов разной степени квалификации в поиске дыр, пентестеры там всякие, реверс инженеры и т.д. и т.п.

И ?

Не иначе такой твой вывод можно использовать для написания нескольких PhD работ?

CVE list в открытом доступе, там все написано без меня. Не благодари.

windows10 ★★★★★
()
Ответ на: комментарий от buddhist

Ждём, когда изобретут метод шифрования, которым можно будет надёжно пользоваться на бумажке.

А толку ? В каждом уважающем себя радиоэлектронном магазине, продается высокотехнологичное устройство для дешифровки данных шифрованных любым актуальным на сегодняшний день шифром.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

А толку ? В каждом уважающем себя радиоэлектронном магазине, продается высокотехнологичное устройство для дешифровки данных шифрованных любым актуальным на сегодняшний день шифром.

Кнопка вызова вооруженной охраны?

sanyo1234
()
Ответ на: комментарий от buddhist

Для тех, кто не доверяет таким устройствам

Устройство показывает практически 100% эффективность во взломе паролей и зашифрованных разделов.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Ты по паяльник? Там нет никаких 100% даже близко.

javascript
() автор топика
Ответ на: комментарий от vtVitus

Напомни мне, пожалуйста, сколько лет был поломан генератор случайных чисел в пакете OpenSSL в Debian, что привело к предсказуемости всех генерируемых им ключей. И какую ответственность понес мейнтейнер этого пакета, который своими debian-specific патчами этот генератор поломал.

BigAlex ★★★
()
Ответ на: комментарий от BigAlex

Напомни сломали ли что-нить или кого-нить через это мегадыру? «предсказуемости всех генерируемых им ключей» там была чисто теоретическая возможность.

vtVitus ★★★★★
()
Ответ на: комментарий от vtVitus

Вы слишком быстро перекинулись с персональной ответственности мейнтейнера за его пакет и за софт им упакованный на чисто теоретическую возможность эксплуатации того, что он в дистрибутив завез. Ну, подумаешь, что человек не имеющий необходимых компетенций лезет в чужой код делая предсказуемыми значения генератора случайных чисел на основе которых генерируются все закрытые ключи значительно снижая время брутфорса. Никого же не поломали, а значит не было, правильно?

Так я вас не про технические аспекты той истории спросил, а какие последствия для этого мейнтейнера тогда были? Если я правильно помню - никаких.

А кто стоит за бинарной программой в выньды или за сервисом гугла никто не знает.

В том и дело, что за ним стоит не васян, который ни за что не отвечает, а огромная корпорация чей бизнес зависит от этой бинарной программы или сервиса. При этом внутри коммерческой компании есть конкретные сотрудники и начальники, которые имеют персональную ответственность за этот бинарник или сервис, т.е. люди действительно отвечают своей зарплатой, должностью и карьерой, в отличии от тех, чей пример вы привели.

BigAlex ★★★
()
Последнее исправление: BigAlex (всего исправлений: 1)
Ответ на: комментарий от BigAlex

В том и дело, что за ним стоит не васян, который ни за что не отвечает, а огромная корпорация чей бизнес зависит от этой бинарной программы или сервиса.

Я работаю с продуктами и сервисами гигантской компании и кой какую поднаготную знаю. Никто ни за что не отвечает - ответственность размазана так, что даже чиновникам и не снилась. Лично для себя я доверяю чувакам из дебиан и объяснил почему. Ну а вы вольны доверять кому вам вздумается микрософту, яблоку, пейсбуку и т.п. братии. Да и мы можем вспомнить хрестоматийный пример ie в 200ные - продукт самой большой софтовой корпорации, с сотнями миллионов пользователей и с перманентными дырами это как-то переплёвывает гипотетические проблемы debian.

vtVitus ★★★★★
()
Последнее исправление: vtVitus (всего исправлений: 2)
Ответ на: комментарий от vtVitus

Я это и имел ввиду, что «рыночек» все порешает и тогда в 2000х с IE и в любой момент порешает сейчас: крупная софтовая корпорация отвечает сама перед собой миллиардной капитализацией. Выпуск некачественной продукта или «плохого» бинарника в составе продукта будет стоить условный миллиард и доли рынка, которая отойдет конкуренту.

В оппозиции им свободные и некоммерческие проекты вроде Debian с неоплачиваемыми разработчиками, которые занимаются этим по фану. однако при беглом экскурсе в историю оказывается, что в этих проектов нет ресурсов не только на security аудит исходников софта, который они доставляют в основных репозиториях, а даже нет ресурсов на аудит дистрибутив-специфичных патчей, которые местные мейнтейнры наклепали.

Все можно свести к простой аналогии - вы бы легли под нож хирургу с дипломом, который официально на фуллтайме работает в больнице, или некому волонтеру, который только после смены. Опять таки это не значит, что один никогда не ошибается, а другой ошибается всегда - это значит, что они имеют разную систему мотивации и разную ответственность. В случае с волонтером - я пришел, я помог, я - молодец, а этого в каких-то критичных вещах все же мало.

BigAlex ★★★
()
Последнее исправление: BigAlex (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.