Обнаружил закладку? Возрадуйся, ибо известная закладка — обезвреженная закладка. Опасайся неведомой [здесь что-то зачеркнуто] еще не обнаруженной закладки.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
И что от этого? В открытом коде закладки так или иначе видны. Во всяком случае, при достаточном уровне параноидальности, имеется принципиальная возможность это проверить. Понимаешь, хочешь верь, хочешь проверь. В случае этих ваших Микрософтов, надо верить на слово и никакой возможности проверить не существует, во всяком случае такой вывод напрашивается из EULA.
McSeem
Я жертва цепи несчастных случайностей. Как и все мы.
Здравствуйте, McSeem2, Вы писали:
MS>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>http://www.opennet.ru/opennews/art.shtml?num=24610
MS>И что от этого? В открытом коде закладки так или иначе видны. Во всяком случае, при достаточном уровне параноидальности, имеется принципиальная возможность это проверить. Понимаешь, хочешь верь, хочешь проверь. В случае этих ваших Микрософтов, надо верить на слово и никакой возможности проверить не существует, во всяком случае такой вывод напрашивается из EULA.
Ну вот был бы в том пакете не скрипт а бинарник и прятался бы получше, много бы ты там напроверял?
Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.
Какая бы ОС ни была, если юзер готов выполнять от имени администратора/рута любую ерунду из иннета — то с это уже клиника.
По информации других новостных агентств, на днях выявлено, что программа, распространяющаяся через сайт www.rule34hdvideos.com под видом скринсейвера, на самом деле содержит в себе вредоносную составляющую, поражающую компьютеры под управлением ОС Windows. Через час после публикации этого сообщения, акции корпорации Майкрософт (NASDAQ: MSFT), упали до рекордно низкого уровня в -$6,5536. Аналитики предсказывают падение популярности пораженной ОС на 42%.
Здравствуйте, McSeem2, Вы писали:
MS>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>http://www.opennet.ru/opennews/art.shtml?num=24610
MS>И что от этого? В открытом коде закладки так или иначе видны. Во всяком случае, при достаточном уровне параноидальности, имеется принципиальная возможность это проверить. Понимаешь, хочешь верь, хочешь проверь.
Проблема с технической возможностью проверить. Слишком текста дофига надо читать.
Здравствуйте, McSeem2, Вы писали:
MS>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>http://www.opennet.ru/opennews/art.shtml?num=24610
MS>И что от этого? В открытом коде закладки так или иначе видны. Во всяком случае, при достаточном уровне параноидальности, имеется принципиальная возможность это проверить.
Если внимательно почитать по ссылкам из этой новости, то станет очевидно, что эту хрень парень нашел чисто случайно и отнюдь не благодаря тому, что исходники этого скринсейвера были открыты. Отсюда возникают (в очередной раз) несколько вопросов:
1. Почему миллионы глаз леммингов не разглядели эту закладку ранее?
2. Сколько бы она еще там просуществовала, если бы представляла собой не пару скриптов, кладущихся в открытое место, а грамотно написанный руткит?
3. Так ли уж безопаснее софт с открытыми исходниками, как его выставляют сторонники опенсорс-лагеря?
MS>Понимаешь, хочешь верь, хочешь проверь.
Это я понимаю. Я не понимаю причин, заставляющих считать открытый софт более безопасным, когда за последний месяц, только на этом сайте мы обсуждаем подобный конфуз в очередном открытом продукте уже в третий раз
MS>В случае этих ваших Микрософтов, надо верить на слово и никакой возможности проверить не существует, во всяком случае такой вывод напрашивается из EULA.
А я не противопоставлял здесь опенсорс клозедсорсу в целом и Микрософту в частности. Заявляется, что открытый софт более безопасен чем закрытый в силу ряда причин, основной из которой является тот факт, что любой желающий можешь захотеть и проверить это собственноручно. Факты говорят о том, что это, мягко говоря, не совсем так и, что в условиях суровой окружающей действительности этот ряд причин носит скорее теоретический характер. Мне, как безопаснику более интересно то, что мы имеем на практике. Вот я и подумал, что может я в чем-то ошибаюсь и чего-то не понимаю? Если это так, то доходчивее чем здесь, мне это вряд ли где-нибудь еще объяснят, поэтому и спрашиваю
DOO>Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.
DOO>Какая бы ОС ни была, если юзер готов выполнять от имени администратора/рута любую ерунду из иннета — то с это уже клиника.
После чтения того форума у меня сложилось впечатление, что те, кто запускали эту хрень являются, в большинстве своем, не столько клиническими идиотами, сколько всего лишь красноглазиками, сбитыми с толку сказками о безопасности открытых исходников. Собственно, к этой проблеме я и клоню всю эту тему.
Врочем, как я уже сказал выше, я допускаю ошибку со своей стороны в понимании причин этого.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Если внимательно почитать по ссылкам из этой новости, то станет очевидно, что эту хрень парень нашел чисто случайно и отнюдь не благодаря тому, что исходники этого скринсейвера были открыты. Отсюда возникают (в очередной раз) несколько вопросов:
KV>1. Почему миллионы глаз леммингов не разглядели эту закладку ранее?
Ну какие к черту миллионы глаз? Сколько у этого проекта в команде человек? Да и скачиваний не думаю, что было шибко много...
KV>2. Сколько бы она еще там просуществовала, если бы представляла собой не пару скриптов, кладущихся в открытое место, а грамотно написанный руткит?
Тут вопрос, кто злоумышленник — если сам автор, то звиняйте — его, конечно, вряд ли кто контролировать станет. А если кто-то протолкнул под видом патча — то, во-первых, легко узнать кто, во-вторых, мэнтейнер не дремлет — он тоже разглядит, что тут что-то не то.
KV>3. Так ли уж безопаснее софт с открытыми исходниками, как его выставляют сторонники опенсорс-лагеря?
А что понимать под безопасностью софта? Оценочное количество уязвимостей и закладок в нем? Частоту обнаружения ошибок? Скорость выпуска заплатки?
Может люди, утверждающие, что софт с открытыми исходниками безопаснее, смотрят только на потенциальную возможность практически мгновенной реакции на обнаруженную уязвимость — чего нет в случае закрытых исходников.
Ну или формальная сторона — опен сурс можно достаточно легко сертифицировать по какому-нибудь 4-му классу НДВ — формально это будет "справка" о том, что он "безопаснее" Хотя печальный опыт сертификации RHEL'а показал, что не все так просто...
KV>Заявляется, что открытый софт более безопасен чем закрытый в силу ряда причин, основной из которой является тот факт, что любой желающий можешь захотеть и проверить это собственноручно. Факты говорят о том, что это, мягко говоря, не совсем так и, что в условиях суровой окружающей действительности этот ряд причин носит скорее теоретический характер. Мне, как безопаснику более интересно то, что мы имеем на практике. Вот я и подумал, что может я в чем-то ошибаюсь и чего-то не понимаю? Если это так, то доходчивее чем здесь, мне это вряд ли где-нибудь еще объяснят, поэтому и спрашиваю
Ну, например, ты можешь легко сделать процесс верификации программного продукта на своем отдельно взятом предприятии. Пусть ситуация такая: есть некий продукт. Потратив кучу времени и сил ты провел его формальную верификацию (причем тут по-барабану открытый он или нет — все равно трудоемко). Продукт развивается (это только у наших суровых безопасников считается, что 3 года можно потерпеть без обновлений ) — вот тут начинается самое интересное — в случае закрытых исходников новые версии продукта сложно сопоставлять со старой — нет эффективного инструмента отслеживания изменений, а сами бинарные изменения сложно интерпретировать, а в случае открытых исходников — проще простого. Хоть diff в руки и вперед. Буквально один человек, знающий функционал продукта и язык, на котором он написан может "сопровождать" процесс верификации продукта
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Roman Odaisky, Вы писали:
KV>Однако здесь эта информация полностью опровергается
KV>А вот неработоспособность что твоей, что моей ссылки из IE о многом говорит
Да уж... Хоть бы валидатор на URL прикрутили, что ли
Здравствуйте, kochetkov.vladimir, Вы писали:
KV> Заявляется, что открытый софт более безопасен чем закрытый в силу ряда причин, основной из которой является тот факт, что любой желающий можешь захотеть и проверить это собственноручно. Факты говорят о том, что это, мягко говоря, не совсем так и, что в условиях суровой окружающей действительности этот ряд причин носит скорее теоретический характер.
+100. плюс немного моих соображений. закладки не так опасны как дыры. поскольку, ну... закладка которой активно пользуются темные силы в лице спец-служб или еще каких вредителей долго не просуществует в принципе. да и нужна ли она?
а вот допустим мы имеем программу шифрования в опенсурс. вопрос: у кого из здесь собравшихся хватит квалификации, чтобы подтвержить, что не существует никакого пути вскрыть шифр без ключа, паяльника в попе и мега кластера галактического размера? ведь алгос может быть остаблен в любом месте. даже если это шифрование по ГОСТ, то одна проверка того, что это действительно реализация именного этого ГОСТ, реализованного должным образом займет нехилое кол-во времени и далеко не всем по зубам.
другой больной вопрос. дыры. как их найти в открытом софте? только не теоритически, а практически. если сами разработчики не могут отыскать их в своих же исходниках, то что говорить про тех, кому в этих исходниках еще надо разобраться. кстати, софт от майкрософт закрыт только от домохозяек. берем в руки диассемблер и вперед с песней. что там мегабайты закрытого кода, что там миллионы строк открытого. цифры одного масштаба. это как все равно с какой высоты падать. хоть с километра хоть со ста километров. все равно капец.
я уже как-то приводил пример безобидной функции из нескольких строк: foo(int *a, int *b){*a = *b;} — это если совсем упрощенно и спрашивал что она делает. а потом напоминал, что указатели могут и перекрываться. даже по стандарту. в результате мы имеем побочный эффект хорошо видимый в отладчике, но незаметный на уровне исходных текстов, которые намного монументальнее, чем полное собрание сочинений ВИЛ.
возьмем линух. ну вот скажите, сколько нужно вам людей, чтобы обнаружить хотя бы незамаскированную закладку (предположим, что там она есть)? причем возьмем не только ядро, а полный дистрибьбтив со всем шлаком который туда входит.
закрытый софт, конечно, еще похуже будет, т.к. реверсить в разы сложнее, чем терзать исходники, но в реальности все равно никто их не терзает, потому как никому не интересно это.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Если внимательно почитать по ссылкам из этой новости, то станет очевидно, что эту хрень парень нашел чисто случайно и отнюдь не благодаря тому, что исходники этого скринсейвера были открыты.
Да ну?
I have installed a deb from a site claiming to be an Screensaver however it looked dodgy however I proceeded. after I looked into the source I found MYSTERIOS ACTIVITY FOR WHAT SHOULD BE A SCREENSAVER...
KV>Отсюда возникают (в очередной раз) несколько вопросов: KV>1. Почему миллионы глаз леммингов не разглядели эту закладку ранее?
Для начала хотелось бы увидеть подтверждение того, что миллионы леммингов уже установили это себе на компьютеры.
KV>2. Сколько бы она еще там просуществовала, если бы представляла собой не пару скриптов, кладущихся в открытое место, а грамотно написанный руткит?
Думается довольно долго — как, собственно, и вообще любой файл, выложеный где-нибудь в интернете. Вопрос в том, сколько человек успели бы ей воспользоваться.
KV>3. Так ли уж безопаснее софт с открытыми исходниками, как его выставляют сторонники опенсорс-лагеря?
Вменяемые сторонники опенсурса возможность написания под ним вредоносного ПО никогда не отрицали — см. напр. "Патч Бармина", до сих пор гуляющий по сети в различных реинкарнациях. Разница лишь в том, что открытые исходники дают возможность (при желании) явно увидеть источник опасности.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, TimurSPB, Вы писали:
TSP>>Интересно, а существуют ли статические анализаторы кода, которые могли бы указать закладку?
DOO>Ну вроде как существуют. Только насколько хорошо ищут — DOO>А вот стоят недешево...
Интересно было бы испытать на этой закладке.
Только базы анализатора надо использовать без обновлений, начиная с даты появления этой информации.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
