The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz"  +/
Сообщение от opennews (?), 17-Апр-24, 11:07 
Организация OpenSSF (Open Source Security Foundation), созданная под покровительством Linux Foundation для повышения безопасности открытого ПО,  предупредила сообщество о выявлении активности, связанной с попытками получения контроля над популярными открытыми проектами, напоминающей по своему стилю действия злоумышленников в процессе подготовки к  подстановке бэкдора в проект xz. По аналогии атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать  методы социального инжиниринга для достижения своих целей...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61010

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Попытки получения контроля над открытыми проектами, похожие ..."  –14 +/
Сообщение от Антифрактал (?), 17-Апр-24, 11:07 
Дожили. Дойдет до дискредитации всего ОпенСорц так скоро и все закроют. Корпорасты будут рады
Ответить | Правка | Наверх | Cообщить модератору

2. "Попытки получения контроля над открытыми проектами, похожие ..."  +14 +/
Сообщение от Аноним (2), 17-Апр-24, 11:11 
Копры не будут рады, они же сами юзают СПО,
Ответить | Правка | Наверх | Cообщить модератору

3. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (3), 17-Апр-24, 11:12 
И как они будут воровать код, выдавая это за свои инновации?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

99. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (99), 17-Апр-24, 16:18 
> И как они будут воровать код, выдавая это за свои инновации?

Как, как! Ставишь мышеловку, заряжаешь свежий сыр, на самом кассовом месте выставляешь... а потом ночью вот поссать приспичит...  и истошный ор подтвердит: мышеловка - работает, а место - популярное! Как-то так, видимо.

Ответить | Правка | Наверх | Cообщить модератору

4. "Попытки получения контроля над открытыми проектами, похожие ..."  +18 +/
Сообщение от User (??), 17-Апр-24, 11:14 
Оооспыдя. Да "корпорасты" УЖЕ захватили развитие этого самого "ОпенСорц" чуть (Немонетизируемые хелловроты так уж и быть - пилите сами) менее, чем совсем и научились зарабатывать на нем в этих самых условиях.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

56. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (56), 17-Апр-24, 13:57 
Что значит захватили? Захват невозможен пока лицензия этого не позволяет.
Ответить | Правка | Наверх | Cообщить модератору

61. "Попытки получения контроля над открытыми проектами, похожие ..."  +5 +/
Сообщение от Аноним (61), 17-Апр-24, 14:11 
Элементарно: перестанут код писать и всё. Никакие визги бородатого про щвабoдку и плач так называемого сообщества проект не спасут.
Ответить | Правка | Наверх | Cообщить модератору

62. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от User (??), 17-Апр-24, 14:12 
> Что значит захватили? Захват невозможен пока лицензия этого не позволяет.

Redis чей?

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

150. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Товарищ майор (??), 18-Апр-24, 09:19 
Ротенберга?
Ответить | Правка | Наверх | Cообщить модератору

168. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (168), 19-Апр-24, 12:26 
Ротенберга выслать на Луну с тонной крупы.
Ответить | Правка | Наверх | Cообщить модератору

9. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (9), 17-Апр-24, 11:33 
1. Вряд ли закроют, сделают участие по скажем так аусвайсу; грубо говоря модель "всякий может нам помочь" останется только у проектов "ниже радара", а всё что более-менее в проде будет начинаться с "покажите паспорт".
2. Корпорасты не будут рады и наоборот буду искать способ сохранить модель совместной разработки и совместного использования, защитив её при этом от таких казусов. Она экономит всем огромное количество времени и средств, зачем от неё отказываться?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

57. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (-), 17-Апр-24, 14:01 
1.
Не вижу в пункте 1 ничего плохого.
Если проект серьезный, то разработчики должны хотя бы подписываться с использованием PGP.
А для того чтобы это было не "васян знает васяна который с васяном пили пиво в одном баре", нужно хотя бы один раз встретится лично.

2.
У корпов такая ситуация может случиться реже, тк у них сотрудники с галеры и подотчетные.
Если к условному гуглу придут копы со словами "ваш сотрудник внедрил бекдор", то они его выдадут с потрохами и будут правы.

Ответить | Правка | Наверх | Cообщить модератору

154. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от senaemail (ok), 18-Апр-24, 10:36 
> Не вижу в пункте 1 ничего плохого.

По-моему ничего не даст в смысле безопасности, а значит вредно.

Ответить | Правка | Наверх | Cообщить модератору

151. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Товарищ майор (??), 18-Апр-24, 09:34 
Можно взять проект "ниже радара" с высокой перспективой на рост, внедрить в него бэкдор и дождаться перехода проекта в статус "маст хэв".
Наличие "аусвайса" не решает проблему. Что Вы мне сделаете, если мой "аусвайс" выдан в Конго или Северной Корее? А если будут приниматься только "аусвайсы" выданные фюрером Града На Холме, то какой же это опенсорс? Да и "аусвайс" можно украсть или подделать - самого разработчика то всё равно ни кто в глаза не видит.

Тут скорее нужно изменить тактику принятия чужого кода. Проводить аудит на безопасность, читаемость и т.п., а уже потом сливать в main. Но как часто проекты проходят аудит на безопасность?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

163. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (163), 18-Апр-24, 18:16 
> Тут скорее нужно изменить тактику принятия чужого кода. Проводить аудит на безопасность, читаемость и т.п., а уже потом сливать в main.

С таким подходом множество программистов за бортом останутся. Писать простой код и при этом не выпендриваться знанием обскурных языковых конструкций, не заниматься микрооптимизациями, в общем писать  без «флёра» дано не каждому. Кодер, который пишет так, чтобы было понятно всем, кто это будет потом читать на вес золота. Слишком многие код пишут как на опеннете новости комментируют, с позиции, мол, неосиляторы должны страдать. И выкинул бы иного с проекта, но кто кодить тогда будет? Вот и приходится часы тратить на воспитание…

> Но как часто проекты проходят аудит на безопасность?

Не всякому проекту это необходимо. А кому необходимо, тем на аудит FAANG подаёт так или иначе.

Ответить | Правка | Наверх | Cообщить модератору

153. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от senaemail (ok), 18-Апр-24, 10:33 
> сделают участие по скажем так аусвайсу

А смысл? Ну прилетел тебе на гитхаб патч и скан аусвайса. Что дальше?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

107. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (107), 17-Апр-24, 16:28 
Уже дескридитировано (protestware).
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

137. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от zeecape (ok), 17-Апр-24, 20:24 
Они как раз таки и будут недовольны в первую очередь. Больше половины всего у них держится на Open Source
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (5), 17-Апр-24, 11:22 
Была похожая история с php-swoole, когда ментейнеры ни с чего вдруг добавили eval(). Их быстро спалили и форкнули проект в open-swoole, но осадочек остался =\ хотя сейчас они вроде бы сидят и не отсвечивают.
Ответить | Правка | Наверх | Cообщить модератору

6. "Попытки получения контроля над открытыми проектами, похожие ..."  –2 +/
Сообщение от Аноним (5), 17-Апр-24, 11:23 
Кстати вроде бы то тоже были китайцы.
Ответить | Правка | Наверх | Cообщить модератору

18. "Попытки получения контроля над открытыми проектами, похожие ..."  +8 +/
Сообщение от 1 (??), 17-Апр-24, 12:17 
c xz -- это были не китайцы, алюди косящие под китайцев, причсем не очень умело.
Ответить | Правка | Наверх | Cообщить модератору

165. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от scriptkiddis (?), 18-Апр-24, 20:08 
Пруфы?
Ответить | Правка | Наверх | Cообщить модератору

19. "Попытки получения контроля над открытыми проектами, похожие ..."  –2 +/
Сообщение от funny.falcon (?), 17-Апр-24, 12:18 
В xz/liblzma был не китаец, и не сингапурец. В коммитах и в ответах на почту проскакивала временная зона +0300/+0200 (т.е. с зимним временем). Это часовой пояс EET (Eastern European Time):
Болгария
Греция
Израиль
Иордания
Кипр
Латвия
Ливан
Литва
Румыния
Молдавия
Государство Палестина
Сирия
Украина
Финляндия, включая
Аландские острова
Эстония

https://ru.wikipedia.org/wiki/%D0%92%D0%...

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

29. "Попытки получения контроля над открытыми проектами, похожие ..."  +3 +/
Сообщение от Аноним (29), 17-Апр-24, 12:50 
Думаешь китайцы не умеют временные зоны менять?
Ответить | Правка | Наверх | Cообщить модератору

45. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от СобакаМалыша (?), 17-Апр-24, 13:18 
только комментаторы опеннета умеют по IP других вычислять, но себя скрывать
Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором  +2 +/
Сообщение от Аноним (29), 17-Апр-24, 13:23 
Ответить | Правка | Наверх | Cообщить модератору

97. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от КО (?), 17-Апр-24, 16:11 
Ну-ка вычисляй, сижу на голом динамическом IP
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

89. "Попытки получения контроля над открытыми проектами, похожие ..."  +3 +/
Сообщение от anonymous (??), 17-Апр-24, 15:37 
Но, если он пытался выдавать себя за китайца, то почему бы не менять часовой пояс на китайский?
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

30. "Попытки получения контроля над открытыми проектами, похожие ..."  +5 +/
Сообщение от Хухрымухры (ok), 17-Апр-24, 12:51 
Израильские компании славятся своими инструментами для взлома телефонов и прочими шпионскими игрушками.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

34. "Попытки получения контроля над открытыми проектами, похожие ..."  +3 +/
Сообщение от Аноним (3), 17-Апр-24, 13:00 
> проскакивала временная зона +0300/+0200

То есть когда мне звонят с номера 900, то это настоящий Сбербанк?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

38. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (29), 17-Апр-24, 13:11 
А какие ещё варианты? Конечно же он.
Ответить | Правка | Наверх | Cообщить модератору

39. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Минона (ok), 17-Апр-24, 13:13 
Иногда да.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

131. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от анонимус (??), 17-Апр-24, 19:32 
С 900 — вероятно, настоящий. Мошенники гораздо чаще звонят с +7-985-ххх-хххх.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

156. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (156), 18-Апр-24, 11:58 
Для более кастомизированных аппаратов на Android есть опция безопасности типа "Блокировать вызовы от незнакомых". Для более простых аппаратов то же делает аппаратный режим "Не беспокоить". И то, и другое приведет к приему звонков только из адресной книги (хотя от подмены номеров не спасет).
Ответить | Правка | Наверх | Cообщить модератору

51. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от аннаним (?), 17-Апр-24, 13:27 
И чисто случайно залили бекдор 23 февраля. Какое совпадение.


https://git.tukaani.org/?p=xz.git;a=commit;h=cf44e4b7f5dfdbf...

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

110. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от anonymplusplus (?), 17-Апр-24, 16:48 
И вторую версию 8 марта, btw

Bump version and soname for 5.6.1. v5.6.1
Fri, 8 Mar 2024 19:42:50 -0800 (11:42 +0800)
https://git.tukaani.org/?p=xz.git;a=commit;h=fd1b975b7851e08...

Ответить | Правка | Наверх | Cообщить модератору

155. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от ллщд (?), 18-Апр-24, 10:42 
Похоже на weekend-проджект скучающего на длинных выходных разраба.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

159. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от аннаним (?), 18-Апр-24, 13:06 
rtfm) Там года 3 аккаунт готовили.
Ответить | Правка | Наверх | Cообщить модератору

80. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (80), 17-Апр-24, 15:16 
> Была похожая история с php-swoole

Что, мягко говоря, неправда. eval был добавлен основным и изначальным разработчиком swoole с целью поддержки "встроенного дашборда". Потом этот коммит был откачен. Но человек, занимавшийся поддержкой англоязычного сайта swoole (помним, что основная команда разработчиков - китайцы), решил сделать форк и создал openswoole.

На момент, когда я изучал ситуацию пару лет назад, мы имели (насколько могу вспомнить):
- openswoole, представляющий собой минорные фиксы к версии двухлетней давности; поддерживается единственным человеком, занимавшимся ранее администраторскими задачами проекта, который и стал причиной форка,
- swoole, успевший получить мажорное обновление; проддерживается полной командой разработчиков, которые занимались им и до форка (к слову, именно один из них закоммитил странное).

Ситуация больше похожа на стандартное gimp/vs/glimpse , когда проект форкается тем, кто неспособен вести разработку, и после форка с большой долей вероятности замораживается, пока не помрёт; при этом основной проект продолжает развиваться.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. Скрыто модератором  +20 +/
Сообщение от anonymmmeer (?), 17-Апр-24, 11:32 
Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  +6 +/
Сообщение от Массоны Рептилоиды (?), 17-Апр-24, 11:59 
Ответить | Правка | Наверх | Cообщить модератору

10. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (10), 17-Апр-24, 11:36 
> доброжелательное, но в то же время агрессивное и настойчивое, приставание малоизвестных

так это вообще типично для любых инсектантов, не только линуксоидных евангелистов. так что все нормально, расходимся.

Ответить | Правка | Наверх | Cообщить модератору

11. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Fracta1L (ok), 17-Апр-24, 11:42 
> JavaScript
> Mocha

Понятно.

Ответить | Правка | Наверх | Cообщить модератору

55. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (55), 17-Апр-24, 13:52 
А что понятно? Что названо в часть кофейного напитка? Чилийского острова? Эквадорского города? Не томи!
Ответить | Правка | Наверх | Cообщить модератору

12. "Попытки получения контроля над открытыми проектами, похожие ..."  +4 +/
Сообщение от Аноним (12), 17-Апр-24, 11:45 
А что не так? Вы там хотели инклюзивности, вы напринимали всяких CoC в соответствии с которыми все важно, кроме технической компетенции. Ну и вот.
Ответить | Правка | Наверх | Cообщить модератору

53. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Admino (ok), 17-Апр-24, 13:40 
Я тебе больше скажу, техническая компетенция у этих людей, в общем-то, тоже огонь.
Ответить | Правка | Наверх | Cообщить модератору

79. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (-), 17-Апр-24, 15:15 
О какой технической компетенции можно говорить, если в XZ принимались и апрувались пуллреквесты с отключением тестов?
Без каких либо вопросов и объяснений.
Там сидели малопонимающие васяны, которым просто повезло (или не повезло))) что их проект выстрелил и стал популярным.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "Попытки получения контроля над открытыми проектами, похожие ..."  +9 +/
Сообщение от topin89 (ok), 17-Апр-24, 11:53 
О, теперь можно говорить не "твой код -- дерьмо", а "код довольно запутанный, подозреваю бэкдор."
Ответить | Правка | Наверх | Cообщить модератору

98. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (-), 17-Апр-24, 16:16 
Но с большой вероятностью, если код какаха, то там будет если не бекдор, то просто какая-то уязвимость с RCE как минимум)
Это подтверждается новостями про "нашли пачку уязвимостей" про практически все опенсорсные проекты начиная с ядра до libc.
Ответить | Правка | Наверх | Cообщить модератору

15. "Попытки получения контроля над открытыми проектами, похожие ..."  +3 +/
Сообщение от Аноним (2), 17-Апр-24, 12:05 
>Такера Карлсона с  Павлом Дуровым. Очень  интересно получилось. Создатель Telegram рассказывает про попытку 🇺🇸🎩ФБР завербовать одного из  инженеров в его компании, которого спецслужбы хотели использовать для 😷"продвижения  cпециальных open-source библиотек",  чтобы интегрировать их в код Telegram, а  затем использовать в качестве 🥷 бэкдора  для шпионажа за пользователями.

Этот ваш СПО совсем не вреден.

Ответить | Правка | Наверх | Cообщить модератору

21. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от СобакаМалыша (?), 17-Апр-24, 12:29 
Суть одержимости может принимать любую форму, в т.ч. и форму вопросов про спулер печати в винде, пароли вайфай с телеметрией и веру в crates.io, npmjs.com и github.com просто потому что так сказали.
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  +1 +/
Сообщение от Вы забыли (-), 17-Апр-24, 13:10 
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

93. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (93), 17-Апр-24, 15:50 
Не лишним будет напомнить - "все врут". Даже те, кто нам/вам очень нравится.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

132. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (132), 17-Апр-24, 19:33 
Вранье! Если все врут, то и вы врете, что все врут, а значит кто-то говорит правду. Иногда. Но это не точно.
Ответить | Правка | Наверх | Cообщить модератору

16. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (16), 17-Апр-24, 12:08 
> приставание малоизвестных участников сообщества к сопровождающим

Так ведь это именна та инклюзивность, коиторой все хотели и которая прописана в СоС-ах!

Ответить | Правка | Наверх | Cообщить модератору

26. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (26), 17-Апр-24, 12:49 
А ты думал просто так продвигали?
Ответить | Правка | Наверх | Cообщить модератору

17. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Golangdev (?), 17-Апр-24, 12:17 
> В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей". При этом никаких подробностей о сути уязвимостей не приводилось.

Как знакомо. Как и все 99% об уязвимостях - мы нашли, ааа, апасна!!! Но пруфов - не. Покупайте наш антивирус.

Правильно делают Open Source Security Foundation. Всегда должны прилагаться пруфы, показывающие что уязвимость есть.

Ответить | Правка | Наверх | Cообщить модератору

20. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (3), 17-Апр-24, 12:26 
Да это давно началось, когда инклюзивная моззила создала rust и началось его активное продвигание в том числе и ядро линукс
Ответить | Правка | Наверх | Cообщить модератору

25. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (25), 17-Апр-24, 12:46 
Вообще то что у языка, самой концептуальной и абстрактной вещи есть какие-то фонды, не есть хорошо
Потому что это никакая не свобода
Ответить | Правка | Наверх | Cообщить модератору

41. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от СобакаМалыша (?), 17-Апр-24, 13:14 
а я вот думаю, что таким образом они хотят _некотролируемые уязвимости_ ограничить
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

64. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (64), 17-Апр-24, 14:18 
Они хотят чтоб ты так думал
Ответить | Правка | Наверх | Cообщить модератору

81. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от СобакаМалыша (?), 17-Апр-24, 15:16 
я на Си кодю с 15 лет. Я он меня достал, благо уже есть сравнению с другими языками, на которых я тоже пишу.
Ответить | Правка | Наверх | Cообщить модератору

85. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (3), 17-Апр-24, 15:21 
Покажи хоть один коммит в ядро или драйвер, который ты на кодил с 15 лет
Ответить | Правка | Наверх | Cообщить модератору

146. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от yurikoles (ok), 18-Апр-24, 04:56 
>я на Си кодю с 15 лет.

Т.е. меньше года.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

23. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (23), 17-Апр-24, 12:36 
Активизация мошеннической активности в сегменте СПО явно указывает на финансовую привлекательность. Плохая новость состоит в том, что отныне придется постоянно с этим жить (как со звонками из СБ банка)- они уже в покое не оставят.
Ответить | Правка | Наверх | Cообщить модератору

27. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (25), 17-Апр-24, 12:49 
Многим придется отращивать яйца, и научиться слать всех левых ребят куда подальше
Ответить | Правка | Наверх | Cообщить модератору

140. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от голос из леса (?), 17-Апр-24, 21:32 
не волнуйся, они скоро через CoC залезать научатся.
Ответить | Правка | Наверх | Cообщить модератору

42. "Попытки получения контроля над открытыми проектами, похожие ..."  –2 +/
Сообщение от Аноним (-), 17-Апр-24, 13:16 
> Активизация мошеннической активности в сегменте СПО явно указывает на финансовую привлекательность.

Неа, скорее на отсутствие, контроля, ответственности и здравого смысла)
Просто пишешь более менее рабочий код.
Рекламируешь его среди гиков, подсаживаешь на него корпов, а потом внедряешь бекдоры.
Просто "тысяча глаз" - это была отличная реклама "мнимой безопасности", которой, как выяснилось, нет и не было.
(Хотя наличие всяких хартблидов, уже намекало что опенсорс это не безопаснее чем закрытый код)

> Плохая новость состоит в том, что отныне придется постоянно с этим жить (как со звонками из СБ банка)- они уже в покое не оставят.

В смысле?
Просто на входе в проект или тщательно проверяешь все-все пулл-реквесты (но тогда проще писать самому) или проверяешь паспорт)
В случае факапа - просто сообщаешь полиции/милиции что вот такой человек нехороший, а там пусть спецы разбираются.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

24. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (25), 17-Апр-24, 12:39 
>В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей"

"На вашем счете орудуют мошенники,  скажите код из смс!"
Классика

Ответить | Правка | Наверх | Cообщить модератору

28. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (28), 17-Апр-24, 12:49 
> запутанного или трудного для понимания кода.

Это должно быть первым правилом, и даже не из-за безопасности, а из-за того, что запутанный или трудный для понимания код сложно поддерживать, а попытки внести туда изменения привносят баги.

Если код не понятен через пять секунд разглядывания, то надо прикидываться валенком и говорить: я не понимаю этого кода, переписывай. Исключения из этого правила возможны, но они должны быть а) обоснованы, б) всё же быть не сложнее, чем минимально необходимо.

И, кстати, это основная причина, почему ООП должен быть под запретом, он усложняет код, и делает простые вещи сложными, приводя в качестве обоснований какой-то бред типа "повторное использование кода" или что-то типа того.

Ответить | Правка | Наверх | Cообщить модератору

35. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Golangdev (?), 17-Апр-24, 13:01 
Согласен со всем, кроме тезиса про ООП. Как правило он не мешает, позволяя создать нужные разработчику иерархии классов. (Опять же, какое ООП. То что в Java - не совсем ООП =) ) Опять же, если человек дебил, ему любую технологию дай, он везде умудрится всё испортить и сделать через задницу.
Ответить | Правка | Наверх | Cообщить модератору

70. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (-), 17-Апр-24, 14:28 
По моему опыту, чем умнее человек, и чем глубже он вник в ООП, тем больше он занят не тем, чтобы решать проблемы при помощи ООП, а чтобы городить ООП на ООП при помощи ООП, для того чтобы ООП ООП ООП ООП. Любой инструмент нужен для решения каких-то проблем, но ООП решает несуществующие проблемы (которые, может быть возникнут в будущем, но могут и не возникнуть) и таким образом создаёт проблемы уже сейчас.

Мне кажется, что единственный способ с этим бороться -- вычитать из зарплаты программиста за каждое использование наследования. Вот тогда он начнёт думать, когда наследование упрощает ему жизнь, а когда это условный рефлекс, наследую потому что могу наследовать.

Ответить | Правка | Наверх | Cообщить модератору

77. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Golangdev (?), 17-Апр-24, 15:08 
Длительное время, пока работал на Java - не встречался прямо с сильными проблемами из-за кривого использования ООП.

Знакомо. В тоже время пимерно такие же симптомы видел - как практически всё пытались решить с помощью CQRS, в то время когда он реально нужен в процентах 5 случаев.
Там прямо мания была - все как хомяки копировали говнокод с medium.com, и дружно прыгали вокруг свеже образовавшемуся техдолгу. В 100% случаев техдолг не решался во время жизненного цикла продукта, а копился и стрелял плавающими багами.

Как правило - удалял CQRS и всё становилось лучше.

Опять же, я не говорю что он(CQRS) не нужен никогда(можно посмотреть на решение задачки про Твиттер из собеседований). Он не нужен в 95% случаев. Как и пожалуй и ООП.

Ответить | Правка | Наверх | Cообщить модератору

48. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (61), 17-Апр-24, 13:23 
> Если код не понятен через пять секунд разглядывания

То у тебя может быть проблема с технической квалификацией.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

69. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (-), 17-Апр-24, 14:24 
Вот пускай все коммитеры и подстраиваются. Чем больше проблем с квалификацией у меня, тем прозрачнее код они будут писать.
Ответить | Правка | Наверх | Cообщить модератору

115. Скрыто модератором  +/
Сообщение от Аноним (10), 17-Апр-24, 17:17 
Ответить | Правка | Наверх | Cообщить модератору

31. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (29), 17-Апр-24, 12:52 
Всей этой вознёй с xz нас пытаются в чём-то убедить. Возможно в том что это единичный случай. Но ведь это не так почти за каждым выходом за границы буфера стоит точно такой же "китаец" и почему-то никто не начинает вычитывать все коммиты авторов таких уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

32. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (32), 17-Апр-24, 12:58 
Понятно куда ведут - к универсальному цифровому ID с соц-рейтингом по шкале хозяина.
Ответить | Правка | Наверх | Cообщить модератору

125. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Ivan_83 (ok), 17-Апр-24, 18:17 
Так удобно же.
Пришёл, сел за комп, положил свой "документ государственного образца" на NFC реадер, и ты автоматически авторизован по клиентскому SSL сертификату выданному тебе государством.
Так же и через мобилу, приложил, оно прочило и погнали. Хотя там и так SIM карта есть, которая по сути ни чем не отличается.
Россияне уже могут свой загран с биометрией на 10 лет так использовать, правда у него формат (физические размеры) не совсем по размеру ридеров :)

Я вот тут как раз пытаюсь в инете авторизоватся таким образом в свободное время :)

Ответить | Правка | Наверх | Cообщить модератору

141. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от голос из леса (?), 17-Апр-24, 21:36 
Зато американцам удобно, ID нужного размера. Это президента можно без ID выбирать, а интернет только по карточкам
Ответить | Правка | Наверх | Cообщить модератору

162. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Ivan_83 (ok), 18-Апр-24, 17:07 
У меня теперь тоже ID удобного размера и у меня там в качестве идента номер налогоплательщика (присваивается раз в жизни).
Те мне в любой конторе достаточно записать ИО и этот номер чтобы меня однозначно заидентили в заявлении.

Это не как в РФ где надо писать ФИО, дату+место рождения, сиерию+номер паспорта, где+когда выдан, а если речь про сделку с недвигой то там ещё добавляются номера пенсионного страхования и ещё чтонить могут попросить дописать, чтобы точно ни с кем не перепутать.
Потом когда паспорт меняешь это всё слетает нафиг и хз как проверять.
Это какой то кашмар, как писать так и проверять котрагента.

Ответить | Правка | Наверх | Cообщить модератору

152. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (152), 18-Апр-24, 09:39 
А если у меня нет такого документа? Ну, скажем, потому что он сломался?

Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору

161. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Ivan_83 (ok), 18-Апр-24, 17:02 
Технически любая смарткарта с NFC.
У меня ридер реагирует на банкоские карты, правда хз как их дальше читать :)

Но если никаких документов нет, то ты нелегал и тебя надо департировать куданибудь :)

Ответить | Правка | Наверх | Cообщить модератору

33. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (33), 17-Апр-24, 12:59 
Сноуден публиковал структуру АНБ, и на ней среди всего прочего виднелся "OpenSource Department". Полагаю, ноги растут примерно оттуда. Целый департамент же должен чем-то заниматься.
Ответить | Правка | Наверх | Cообщить модератору

40. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (29), 17-Апр-24, 13:14 
Так они напрямую патчи шлют. А тут походу залётный может этот деп его и вычислил. Странно что личность не установили.
Ответить | Правка | Наверх | Cообщить модератору

44. "Попытки получения контроля над открытыми проектами, похожие ..."  –3 +/
Сообщение от Аноним (-), 17-Апр-24, 13:17 
Сноудену верить, себя не уважать.
Предавший один раз, легко предасть дважды.
Где гарантия, что он не будет работаь в интересах например Китая?
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

49. "Попытки получения контроля над открытыми проектами, похожие ..."  –2 +/
Сообщение от Аноним (29), 17-Апр-24, 13:24 
Где гарантия что это не он тот самый китаец мейнтейнер.
Ответить | Правка | Наверх | Cообщить модератору

54. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (26), 17-Апр-24, 13:43 
Предал предателей и врагов? Какой ужас. А ты бы не предал, если внезапно обнаружил, что работаешь на врагов и предателей? Получается, ты враг и предатель и есть, так почему мы должны учитывать твоё мнение?
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

87. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (33), 17-Апр-24, 15:28 
Сноуден наоборот сохранил верность присяге и своему народу.
А опубликовал он официальные документы с печатями и подписями.

Та самая схема была в общем пакете документов - ни одна собака (в том числе официальная из спецслужб или властей США) до сих пор не опровергла данные документы.

Ты просто платный конторский штафирка, к-й отработал свой пирожок, нанося понос на Сноудена.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

124. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Ivan_83 (ok), 17-Апр-24, 18:12 
АНБ ваще то совместно с DARPA занимается всякими разработками как сами так и в качестве спонсоров.
Всякие MAC в FreeBSD, SeLinux в линухе и прочее - это их.
Так же помнится АНБ открывало какие то свои интрументы для анализа чего то там.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

164. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Full Master (?), 18-Апр-24, 19:34 
Ghidra выложили, неплохая штука для реверс-инжиниринга.
Ответить | Правка | Наверх | Cообщить модератору

36. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Анон_из_Восточной_Европы (ok), 17-Апр-24, 13:07 
Ожидание -- тысячи глаз. Реальность -- тысячи шаловливых рук..
Ответить | Правка | Наверх | Cообщить модератору

43. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (43), 17-Апр-24, 13:17 
Ты об этом узнал из новости (скорее всего), которую создали благодаря глазам как раз
Ответить | Правка | Наверх | Cообщить модератору

50. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (29), 17-Апр-24, 13:26 
Новость создали чтобы отвлечь глаза от тысячи рук. Сейчас то мы в безопасТности после того как хз кого вычислили (нет)
Ответить | Правка | Наверх | Cообщить модератору

60. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (-), 17-Апр-24, 14:07 
Правильно! Нечего доверять новым коммитерам.
Доверяйте только старым проверенным.
Вон например мне, у кого опыт работы в опенсорсе больше 5 лет.
Мне уж точно можно верить!
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

84. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от похнапоха. (?), 17-Апр-24, 15:20 
Скиньте свое резюме!
Ответить | Правка | Наверх | Cообщить модератору

59. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (59), 17-Апр-24, 14:02 
> доброжелательное, но в то же время агрессивное и настойчивое

Напоминает раст- и systemd-миссионеров, похоже это одного поля ягоды - атака корпораций на свободное ПО.

Ответить | Правка | Наверх | Cообщить модератору

63. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (61), 17-Апр-24, 14:15 
Свободное ПО - это GNU Hurd, куда никакие корпы не набегали и пишется всё мифическим сообществом. Результат общеизвестен: нет его.
Ответить | Правка | Наверх | Cообщить модератору

65. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (64), 17-Апр-24, 14:20 
Как это результата нет? Там полностью рабочее микроядро, дров просто нет для периферии, но это как раз потому что клопы не набИжали
Ответить | Правка | Наверх | Cообщить модератору

66. "Попытки получения контроля над открытыми проектами, похожие ..."  +3 +/
Сообщение от Аноним (64), 17-Апр-24, 14:21 
> клопы

Клопы :)

Ответить | Правка | Наверх | Cообщить модератору

67. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (64), 17-Апр-24, 14:21 
Да ептвою мать, корпы
Ответить | Правка | Наверх | Cообщить модератору

68. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Максим (??), 17-Апр-24, 14:24 
Точно - клопы! =)
Ответить | Правка | Наверх | Cообщить модератору

72. Скрыто модератором  +1 +/
Сообщение от Аноним (29), 17-Апр-24, 14:30 
Ответить | Правка | Наверх | Cообщить модератору

71. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (29), 17-Апр-24, 14:30 
Рабочее но 32-х битное ядро? Спасибо не надо 64 бита только в каких-то несбыточных планах.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

76. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (3), 17-Апр-24, 15:07 
A 64-bit GNU/Hurd is also coming soon! Hurd developers ported GNUMach to 64-bit some time ago. Then they started making significant progress on the x86_64 userland port in Feb 2023. As of May 2023, the 64-bit port works well enough to start all the essential Hurd servers and run /bin/sh. We are currently building 64-bit packages. We plan on supporting both a 32-bit and 64-bit Debian GNU/Hurd. However, there is no plan to fix the year 2038 concern on a 32-bit system.

Другой вопрос что оно x86-only, и портировать его на другие архитектуру будет наверно сложно. Наверно тогда лучше юзать какую-нить NetBSD с их RUMP-ядрами, которое уже работает на x86, SPARC, RISCV, ARM, PowerPC, etc

Ответить | Правка | Наверх | Cообщить модератору

90. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (61), 17-Апр-24, 15:43 
Первый раз про coming soon они в конце 80х годов писали.
Ответить | Правка | Наверх | Cообщить модератору

94. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (3), 17-Апр-24, 16:01 
прикольно, учитывая что x86_64 был только в 1999 представлен
Вот видишь - GNU Hurd опередил время
Ответить | Правка | Наверх | Cообщить модератору

157. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (156), 18-Апр-24, 12:04 
32-х Windows с пародией на 64-х всех устраивает.
Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

91. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (61), 17-Апр-24, 15:46 
> Там полностью рабочее микроядро, дров просто нет для периферии

Перевожу на русский: оно полностью рабочее, только вот не на реальном железе. Тыкайте палочкой в виртуалке и хватит с вас.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

101. Скрыто модератором  +/
Сообщение от Аноним (-), 17-Апр-24, 16:19 
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

111. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (3), 17-Апр-24, 16:59 
Что вы до этого хёрда докопались, типа, вот смотрите что получается, когда нет помощи от корпов и т.д. Хёрд заброшен много-много лет, Столлман же об этом говорил, что когда появился Линукс, в хёрды отпала необходимость. Ну дак блин, да - там всё очень плохо, потому что его не пишут. Именно не пишут, потому что есть линукс, а не потому что не получается без копров ничего сделать
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

114. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (61), 17-Апр-24, 17:10 
Ну назови безкорповый успешный проект тогда какой-нибудь. ReactOS? Haiku? osFree? Syllable?
Ответить | Правка | Наверх | Cообщить модератору

121. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (3), 17-Апр-24, 18:05 
DragonFlyBSD, NetBSD
Ответить | Правка | Наверх | Cообщить модератору

127. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (61), 17-Апр-24, 18:38 
Живые и успешные примерно на уровне упомянутых мной гайки, реактоси или гнутого харда.
Ответить | Правка | Наверх | Cообщить модератору

73. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Ногоед (?), 17-Апр-24, 14:35 
> принимало участие несколько сторонних разработчиков с сомнительной историей разработки открытого ПО

Как будто бывают другие.

Ответить | Правка | Наверх | Cообщить модератору

74. "Попытки получения контроля над открытыми проектами, похожие ..."  +4 +/
Сообщение от Аноним (59), 17-Апр-24, 14:42 
> необходимость добавления "защиты от любых критических уязвимостей"
> настойчивое, приставание малоизвестных участников

Ничего не напоминает? "В ваших Си-программах одни сплошные уязвимости, надо срочно переписать всё на Rust!"

Ответить | Правка | Наверх | Cообщить модератору

149. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (149), 18-Апр-24, 07:29 
Тут новость была про зондофокс, цитирую:

Кроме новшеств и исправления ошибок в Firefox 125 устранено 18 уязвимостей (12 помечены как опасные). 11 уязвимостей (4 собраны под CVE-2024-3865) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Ответить | Правка | Наверх | Cообщить модератору

75. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (75), 17-Апр-24, 15:00 
..."защиты от любых критических уязвимостей" - от создателей "переведите деньги на защищённый счёт"
Ответить | Правка | Наверх | Cообщить модератору

113. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (113), 17-Апр-24, 17:06 
анб должно было занятся этой историй с xz, найти автора комитов и предоставить отчет. Но от них до сих пор тишина, что как бы намекает...
Ответить | Правка | Наверх | Cообщить модератору

117. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (61), 17-Апр-24, 17:24 
Должно кому? Ты вообще в курсе того, чем они занимаются согласно соответствующим нормативно-правовым актам?
Ответить | Правка | Наверх | Cообщить модератору

128. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (128), 17-Апр-24, 18:47 
"защитой электронных коммуникационных сетей госучреждений США." - убунту, rhel на каждой втором сервере стоит. Это их прямая обязанность защищать от взлома эти сервера. Мне они конечно ничего не должны, но налогоплательщики в сша могут задаться вопросом.
Ответить | Правка | Наверх | Cообщить модератору

118. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Аноним (118), 17-Апр-24, 17:25 
АНБ и ФБР сами этими делами заняты - со времен разработки стека IPSEC.  
Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

119. "Попытки получения контроля над открытыми проектами, похожие ..."  +2 +/
Сообщение от Аноним (118), 17-Апр-24, 17:30 
Далее в письме Перри несколько строк уделено весьма колоритному персонажу, который в министерстве юстиции руководил всем этим проектом с бэкдорами для прокуратуры:

    Человеком в министерстве юстиции, перед которым я отчитывался о проделанной работе, был некто Заль Азми (Zal Azmi) — тот самый, которого впоследствии президент Дж. Буш [в 2004 году] назначит директором ФБР по инфотехнологиям. А в те времена [при администрации Клинтона] он был выбран возглавлять проект VPN прокуратуры на основе его предыдущего опыта в структурах Корпуса морской пехоты (а еще раньше Заль Азми был афганским муджахеддином Усамы бен Ладена в их борьбе против Советов).

Posted on 23 сентября, 2013 Автор: idb@kiwiarxiv
Без срока давности

(Январь 2011)

О том, как ФБР и АНБ встраивали закладки-бэкдоры в криптографию OpenBSD, операционной системы с открытыми исходными кодами.

keyhole

Среди всего того разнообразия операционных систем, что в свое время отпочковались от ОС Unix, проект OpenBSD всегда отличался особо тщательным подходом к обеспечению защиты информации.

Именно по этой причине — ну и благодаря открытому исходному коду, конечно же — криптография, поначалу создававшаяся в рамках OpenBSD, ныне лежит в основе подсистем безопасности в неисчислимом множестве коммуникационных устройств и интернет-приложений, работающих под любыми операционными системами.

В подобных условиях вполне можно понять беспокойство, появившееся у специалистов по защите информации после того, как в середине декабря (2010) Тео де Раадт (Theo de Raadt), основатель и бессменный лидер проекта  OpenBSD, опубликовал через форум разработчиков этой ОС послание следующего содержания:

    Я получил письмо относительно ранней стадии разработки стека IPSEC в OpenBSD. В этом письме утверждается, что некоторые экс-разработчики (и компания, на которую они работали) получали деньги от правительства США на встраивание закладок-бэкдоров в наш набор сетевых протоколов, в частности в [отвечающий за безопасность] стек  IPSEC. Происходило все это дело примерно в 2000-2001 годах.

    Поскольку первый IPSEC-стек у нас был доступным бесплатно, то значительные фрагменты этого кода ныне обнаруживаются во множестве других проектов и программных продуктов. За минувшие более чем 10 лет данный код пакета IPSEC проходил через множество модификаций и исправлений, так что уже неясно, каковым может быть реальный эффект от этих утверждений.

Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять.

Учитывая весьма  деликатный и одновременно взрывоопасный характер сообщенной ему информации, де Раадт решил, что не испытывает «абсолютно никакого желания становиться частью какого бы то ни было заговора», а потому не стал отвечать автору этого письма лично. Посчитав, что более правильным будет опубликовать полный текст послания Перри на форуме — для всеобщего ознакомления и обсуждения.

Среди главных мотивов этого не очень этичного, прямо скажем, поступка, де Раадт перечислил такие:

(a) те, кто использует этот код, могли бы проверить его на предмет упомянутых проблем;
(b) те, кого это рассердило, могли бы предпринять другие действия;
(c) если же это неправда, то те, кого обвиняют, могли бы себя защитить.

В заключение де Раадт с готовностью признает, что сам он, конечно же, очень не любит, когда его частная переписка публикуется кем-то для всеобщего обозрения.

Однако в данном конкретном случае, считает он, «малая этичность» частного письма, публикуемого в онлайновом форуме, выглядит намного менее существенно, нежели «большая этичность» правительства, которое платит разработчикам открытых исходных кодов (т.е. членам сообщества друзей-единомышленников), дабы те тайком встраивали в коллективно создаваемое программное обеспечение специальные дыры, облегчающие шпионаж.

Непосредственно вслед за этим посланием де Раадта в рассылку для сообщества разработчиков пошел полный текст письма, полученного им от Грегори Перри:

    Привет, Тео. Давно не общались. Если ты припоминаешь, некоторое время назад я был техническим директором компании NETSEC и занимался вопросами финансирования и пожертвований на разработку криптографической подсистемы  OCF [OpenBSD Crypto Framework]. В то же самое время я сотрудничал с ФБР, а именно, с их Центром технической поддержки, где занимались криптологическим проектом по обратной инженерной разработке, нацеленным на встраивание бэкдоров и на реализацию механизмов депонирования ключа для смарт-карт и других аппаратно реализованных компьютерных технологий.

    Для подписанного мною в то время NDA [соглашения о неразглашении секретов] недавно истек срок давности. Поэтому мне хотелось бы ввести тебя в курс дела относительно того факта, что ФБР реализовало в OCF некоторое количество бэкдоров и механизмов для побочных каналов утечки криптоключей. Официальной целью этих работ был мониторинг шифрования в VPN-системе, связывающей сайты прокуратуры Министерства юстиции США, т.е. вышестоящей организации, которой ФБР подчиняется.

    Джейсон Райт (Jason Wright) и несколько других разработчиков [в составе NETSEC] отвечали за эти бэкдоры. Поэтому было бы правильно посоветовать тебе устроить перепроверку всех и каждого из тех кодов, что были предоставлены Райтом и теми из других разработчиков, с которыми он работал и которые появились в проекте из NETSEC.

В заключение своего письма Грегори Перри сообщил де Раадту не только известные ему факты, но и некоторые правдоподобного вида гипотезы.

Например, предположил Перри, именно в этом может крыться причина того, почему проект OpenBSD, прежде пользовавшийся поддержкой со стороны американских военных, в 2003 году резко и без каких-либо объяснений потерял ощутимое финансирование от DARPA, Агентства передовых оборонных исследований.

Расхожим объяснением этой неприятности обычно выдвигался общеизвестный пацифизм Тео де Раадта, осудившего войну США в Ираке. Однако с точки зрения Перри причина была иной: «Более чем вероятно, что до них дошли слухи о встроенных в систему бэкдорах, и они не захотели создавать никаких производных программных продуктов, основанных на той же системе».

Сразу же после публикации всей этой информации  разработчики OpenBSD начали аудиторскую проверку кодов, отвечающих в ОС за безопасность. А поскольку сам Тео де Раадт категорически не пожелал продолжать общение с Перри по данному вопросу, за дело взялись журналисты.

Некоторые из них не только получили от него более подробные комментарии о тайных делах спецслужб десятилетней  давности, но и опубликовали эту информацию в своих блогах. В частности, вот что Перри сообщил Роберту Макмиллану (Robert McMillan) из издания CSO:

    Приветствую, Роберт. В действительности я не подразумевал, чтобы Тео сделал мое письмо доступным для всей остальной части интернета, однако суть его содержимого от этого не меняется.

    Основной мишенью для встраивания механизмов утечки криптоключей через побочные каналы был [криптографический сегмент системы] OCF, а также сегмент фильтрации пакетов PF (stateful inspection packet filter) и стек гигабитного Ethernet-драйвера для ОС OpenBSD. Для всех этих проектов фирма NETSEC [ныне уже не существующая компания инфобезопасности Network Security Technology] предоставила инженеров и оборудование — включая первую версию аппаратного обеспечения для криптографического акселератора OCF, построенного на основе линии криптоускорителей HiFN.

    Этот проект [по встраиванию бэкдоров] осуществлялся Центром технической поддержки Администрации общих служб США (GSA Technical Support Center) — так в 1999 году назывался совместный проект ФБР и АНБ по исследованиям и разработкам. Технологии, которые мы разрабатывали, представляли собой средства управления многоуровневой безопасностью систем (MLS) для совместной работы АНБ и ФБР.

    Одной из наших задач было освоение различных методов для обратной инженерной разработки смарт-карт, включая технологию «Пиранья» (Piranha), применяемую для удаления органических материалов с карточек и других подобных систем, используемых для хранения криптоключей — так, чтобы вентили схемы можно было анализировать с помощью сканирующей электронной и сканирующей туннельной микроскопии.

    Кроме того, мы разрабатывали предложения по распределенным вычислительным системам, использовавшимся при криптоанализе алгоритмов DES/3DES, для лобового взлома ключей тотальным перебором. А также, плюс к этому — разного рода методами для организации побочных каналов утечки ключей и скрытых закладок-бэкдоров в аппаратно реализованных криптосистемах. Некоторые из этих проектов затем ответвлялись в самостоятельные субпроекты, в компоненты систем автоматического тестирования и так далее…

В 2000 году, пишет далее Перри, он ушел из фирмы NETSEC. Во-первых, чтобы затеять новое предприятие. А во-вторых, потому что испытывал весьма существенное беспокойство и душевный дискомфорт от личного участия в шпионских проектах довольно сомнительного характера.

Например, среди прочего Грегори Перри довелось быть ведущим архитектором некоего VPN-проекта, который разрабатывался для защиты виртуальной частной сетью коммуникаций Исполнительного управления прокуратуры США. И уже на этапе разработки в эту VPN-систему, связывающую две с половиной сотни офисов прокуроров США, компания NETSEC встроила тайные бэкдоры ФБР.

Эти бэкдоры были встроены для того, чтобы ФБР имело возможность (в потенциале) восстанавливать информацию о решениях Большого жюри, сообщаемую из различных офисов прокуратуры на территории США и за границей.

Далее в письме Перри несколько строк уделено весьма колоритному персонажу, который в министерстве юстиции руководил всем этим проектом с бэкдорами для прокуратуры:

    Человеком в министерстве юстиции, перед которым я отчитывался о проделанной работе, был некто Заль Азми (Zal Azmi) — тот самый, которого впоследствии президент Дж. Буш [в 2004 году] назначит директором ФБР по инфотехнологиям. А в те времена [при администрации Клинтона] он был выбран возглавлять проект VPN прокуратуры на основе его предыдущего опыта в структурах Корпуса морской пехоты (а еще раньше Заль Азми был афганским муджахеддином Усамы бен Ладена в их борьбе против Советов).

    Он бегло говорил на фарси и работал в нескольких операциях с ЦРУ в качестве лингвиста-переводчика — как до, так и после событий 11 сентября 2001. А затем он получил должность CIO ФБР и главы проекта Sentinel — большой автоматизированной системы по ведению дел ФБР (Sentinel case management system), создаваемой по контракту с Бюро корпорацией Lockheed.

Понятно, что в спецслужбах очень не любят, когда люди, участвующие в проектах, весьма деликатных с точки зрения разглашения информации, вдруг все бросают и уходят неизвестно куда. Сразу после того, как Грегори Перри покинул фирму, его занесли в списки фигурантов санкционированного законом FISA расследования.

Этот закон — Foreign Intelligence Surveillance Act — в порядке исключения позволяет разведслужбам США следить за американскими гражданами, подозреваемыми в сотрудничестве с зарубежной разведкой. Как предполагает Перри, это было сделано «в профилактических целях» — для того, чтобы он не болтал обо всех этих разнообразных проектах его бывшей компании.

Но коль скоро в конце 2010 для официально подписанного Перри соглашения о неразглашении информации истек срок давности, то теперь он считает себя свободным говорить обо всем, что ему известно:

    Реальность такова, что еще при администрации Клинтона, хотя и очень тихо, но уже вовсю кипела закулисная работа по встраиванию бэкдоров во многих областях инфотехнологий — как контрмеры спецслужб в ответ на предполагавшиеся ослабления министерства торговли в экспортных ограничениях на криптотехнику.

    Причем все это происходило до 11 сентября 2001, т.е. во времена, когда, как принято полагать, еще существовали — по крайней мере в теории — высокие стены между ФБР и Министерством обороны [подразделением которого является разведслужба АНБ]…

Ответить | Правка | Наверх | Cообщить модератору

147. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от kolja (?), 18-Апр-24, 05:49 
Спасибо, познавательно
Ответить | Правка | Наверх | Cообщить модератору

120. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (3), 17-Апр-24, 17:43 
Дак и от тебя тишина, нихера до сих пор не сделал и видимо уже и не собираешься, что как бы намекает...
Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

129. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (128), 17-Апр-24, 18:50 
Что я должен? github.com хостится в сша и подчиняется законам сша. У меня нет доступа к их серверам с телеметрией.
Ответить | Правка | Наверх | Cообщить модератору

143. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (64), 17-Апр-24, 23:51 
Кто хочет работать, то ищет способы, а кто не хочет - оправдания
Ответить | Правка | Наверх | Cообщить модератору

123. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Ivan_83 (ok), 17-Апр-24, 18:09 
Где найти то?
Он может сидеть в какой то юрисдикции где у них руки коротки что то делать, и всё что они могут это копать логи и медитировать в стиле: "хайли лайкли".
Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

116. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (118), 17-Апр-24, 17:23 
Все повторяется, помнится Тео также разводили благими намерениями:

"Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять."

Ответить | Правка | Наверх | Cообщить модератору

122. "Попытки получения контроля над открытыми проектами, похожие ..."  +1 +/
Сообщение от Ivan_83 (ok), 17-Апр-24, 18:07 
> приставание малоизвестных участников сообщества к сопровождающим или руководителям проектов с идеей продвижения своего кода

Так это про любого разработчика, который будучи раздосадован тем что что то глючит/не работает потратил своё личное время на фикс/фичу и теперь не хочет чтобы по воле каких то мутантов его работа ушла в /dev/null.

Я много раз приходил в разные проекты со своими патчами, и потом там годами не появлялся больше, ибо моя проблема была решена.

Ответить | Правка | Наверх | Cообщить модератору

130. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от Аноним (-), 17-Апр-24, 18:55 
Отличный способ убедить нынешних разработчиков, что слушать критику вредно и вообще они и сами разберуться без новых людей.

А еще лучше отмахиваться от сообщение об ошибках и уязвимостях, и не принимать помощи от малознакомых учасников.

Великолепное решение! Так уже засланные засланцы не будут обнаружены или пойманы за руку.
С учетом того насколько топорно вносили бекдор в ХЗ, предположу что их фейл и "раскрытие" было сделано специально, для прикрытия более надежных активов.

Ответить | Правка | Наверх | Cообщить модератору

135. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (135), 17-Апр-24, 19:44 
Спалиться с бэкдором в xz и пока всё внимание на нём сосредоточено добавить ещё десяток в ядро линукса? В принципе нормальный план, может и сработать.
Ответить | Правка | Наверх | Cообщить модератору

138. "Попытки получения контроля над открытыми проектами, похожие ..."  –1 +/
Сообщение от zeecape (ok), 17-Апр-24, 20:32 
> запутанного или трудного для понимания кода

В таком случае стоит искать способ избавится от SystemD. Но, к сожалению или к счастью, он слишком удобен и стал почти незаменим
(Не говорите про OpenRC, Upstart, Runit и т.п. У них достаточно недостатков. По-правде, я надеюсь, что S6 получится вполне достойным и станет хоть частично совместимым с SystemD(Для упрощённой миграции))

Ответить | Правка | Наверх | Cообщить модератору

142. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от fuggy (ok), 17-Апр-24, 22:57 
Видимо у SystemD недостатков меньше.
Ответить | Правка | Наверх | Cообщить модератору

158. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним (156), 18-Апр-24, 12:06 
> станет хоть частично совместимым с SystemD(Для упрощённой миграции))

Он уже и условие совместимости с собой выставляет? Они не остановятся.

Ответить | Правка | К родителю #138 | Наверх | Cообщить модератору

169. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от zeecape (ok), 21-Апр-24, 09:00 
>> станет хоть частично совместимым с SystemD(Для упрощённой миграции))
> Он уже и условие совместимости с собой выставляет? Они не остановятся.

Не выдвигает, но чтобы иметь хоть какую-нибудь надежду, ему это необходимо

Ответить | Правка | Наверх | Cообщить модератору

160. "Попытки получения контроля над открытыми проектами, похожие ..."  +/
Сообщение от Аноним12345 (?), 18-Апр-24, 13:49 
жабаскрипт - дыра еще та
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру