Здравствуйте, CreatorCray, Вы писали:

CC>>>Будет послана нахрен,
L>>А если посылалка не отросла?
CC>Ну вон Apple регулярно посылает.

Извини, но это детская наивность. Смотрите, какие мы принципиальные

Здравствуйте, CreatorCray, Вы писали:

M>>Устроиться на работу, получить права на коммиты.
CC>Надо пройти все интервью, засветив себя реального, устроиться, на в нужный подотдел, получить доступ в нужную репу...

Вы как маленькие.
Есть же люди, которые уже все прошли. Нужно просто выбрать наиболее мотивированного сотрудника. Или мотивировать его. Деньгами. Или фотографиями.

M>> Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью?
CC>У нас такое QA отловил бы, ещё до того как интеграторы пустили бы это в master

Рассказать, как спрятать такое от QA и вообще внутренней верификации?

Здравствуйте, CreatorCray, Вы писали:

N>>Схема красивая, в месяц по ложечке.
CC>Так оно и делается, да.
CC>OpenSource по определению особенно vulnerable к таким атакам

Можно подумать, в closed source кто-то вообще смотрит на вносимые изменения (про code review в курсе, но сильно сомневаюсь, что в корпорации, где все заняты своими тикетами, кто-то будет действительно внимательно смотреть на чужие изменения).

M>>> И без открытых исходников было бы все намного проще
CC>>Как ты себе представляешь добавление подобного в закрытые исходники со стороны?

M>Устроиться на работу, получить права на коммиты. Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью? Это одна сторона вопроса, другая, что с точки зрения юзера вообще непонятно, что из его данных в каких объемах сливается или может быть слито при каких условиях и кому.

Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.

Здравствуйте, _AND, Вы писали:

_AN>Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.

Это если предполагать, что за всем этим стоит одиночка-кулхацкер.
Если же за этим стоит организация определенного рода деятельности, то в случае с closed source задача упрощается.

Здравствуйте, rFLY, Вы писали:
FLY>а. Бэкдор попал в несколько дистрибов
дистрибутив дистрибутиву рознь. На сколько мне видно, в такущей LTS версии убунты старая версия этой либы без бэкдора.
FLY>Но по итогу — ура опенсорсу?
просто не надо эти стереотипы распространять

Здравствуйте, _AND, Вы писали:

M>>Устроиться на работу, получить права на коммиты. Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью? Это одна сторона вопроса, другая, что с точки зрения юзера вообще непонятно, что из его данных в каких объемах сливается или может быть слито при каких условиях и кому.

_AN>Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.

Можно устроиться на работу, сделать дырку, потом уволиться. Через годик хрен эту дырку с тобой сведут, никто так глубоко копать не будет.

Здравствуйте, rFLY, Вы писали:

FLY>Но по итогу — ура опенсорсу?

По итогу ппц полный. Эту дырку случайно нашли. Интересно, сколько их не нашли?

Вообще, это круто. Библиотека, которая входит примерно во все критические системные демоны с сетью, ее пишет черти кто, и никому до этого воообще нет дела.

Здравствуйте, Pzz, Вы писали:

Pzz>Вообще, это круто. Библиотека, которая входит примерно во все критические системные демоны с сетью, ее пишет черти кто, и никому до этого воообще нет дела.

Ты описал текущее состояние IT сферы в целом

Здравствуйте, landerhigh, Вы писали:

Pzz>>Вообще, это круто. Библиотека, которая входит примерно во все критические системные демоны с сетью, ее пишет черти кто, и никому до этого воообще нет дела.

L>Ты описал текущее состояние IT сферы в целом

Да.

Здравствуйте, landerhigh, Вы писали:

_AN>>Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.

L>Это если предполагать, что за всем этим стоит одиночка-кулхацкер.
L>Если же за этим стоит организация определенного рода деятельности, то в случае с closed source задача упрощается.

Ой, "я вас умоляю". Добрая четверть ядра современного линукса написана теми парнями из Минесоты.

Все проблемы от жадности и глупости

CC>... громко пёрнуть в лужу, ибо в closed source так легко что либо добавить не получится.

Там намного проще. В тысячи раз. Без вариантов. Достаточно одному создать реквест, второму принять, — и все, у всех юзеров теперь бэкдор.

CC>У нас такое QA отловил бы, ещё до того как интеграторы пустили бы это в master

давай не будем про ваше QA
Они бы вообще ничего не заметили.

Здравствуйте, CreatorCray, Вы писали:

CC> M> Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью?

CC> У нас такое QA отловил бы, ещё до того как интеграторы пустили бы это в master

Павлин, говоришь... https://ru.wikipedia.org/wiki/%D0%91%D1%8D%D0%BA%D0%B4%D0%BE%D1%80#%D0%9E%D1%88%D0%B8%D0%B1%D0%BA%D0%B0_%D0%B2_%D1%80%D0%B5%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8_%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D0%B0_%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B8_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2_TLS_%D0%BE%D1%82_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B8_Apple

Здравствуйте, student__, Вы писали:

__>Здравствуйте, rFLY, Вы писали:
FLY>>а. Бэкдор попал в несколько дистрибов
__>дистрибутив дистрибутиву рознь. На сколько мне видно, в такущей LTS версии убунты старая версия этой либы без бэкдора.

Дурацкий вопрос, а где это можно глянуть?

Здравствуйте, Stanislaw K, Вы писали:

SK>Ой, "я вас умоляю". Добрая четверть ядра современного линукса написана теми парнями из Минесоты.

https://www.youtube.com/watch?v=3ysBj4cRU5c -- у человека на канале в трансляциях полно такого.

Здравствуйте, Sharov, Вы писали:

S>Дурацкий вопрос, а где это можно глянуть?

Я смотрел на живой системе версию пакета.

__>>дистрибутив дистрибутиву рознь. На сколько мне видно, в такущей LTS версии убунты старая версия этой либы без бэкдора.

S>Дурацкий вопрос, а где это можно глянуть?

также в рассылке oss-security был опубликован проверочный скрипт https://www.openwall.com/lists/oss-security/2024/03/29/4/3
Но он проверяет не только библиотеку с бэкдором, но и то, что она подгружена в SSH, т.е. его можно скорее как основу использовать, взяв сигнатуру.
(ещё там опция set -e выставляется, и он на первом же grep заканчивает работу с неинформативным выводом)

Здравствуйте, CreatorCray, Вы писали:

M>> И без открытых исходников было бы все намного проще
CC>Как ты себе представляешь добавление подобного в закрытые исходники со стороны?

Ну например завербовав одного сениора или трудоустроив своего.
Представь типичную контору с огромным легаси, в котором некая добрая душа решил немного порефакторить в свободное от поставленных задач времени.
Кто-то там будет старательно код-ревьюить все его коммиты, когда полно незакрытых багов?

Здравствуйте, SkyDance, Вы писали:

SD>Там намного проще. В тысячи раз. Без вариантов. Достаточно одному создать реквест, второму принять, — и все, у всех юзеров теперь бэкдор.

С одной стороны, да, но не совсем да. Мы как-то разрабатывали телеметрию, не скажу чего. Так вот, ревьюили реквесты в основном я и другой разраб. Остальные никогда никаких вопросов не задавали. Теоретически можно было бы договориться и закоммитить пропуск какой-нибудь проверки. И компания теоретически могла бы попасть на конкретное бабло из-за нарушения правил обработки инфы. Т.е. уже нужен сговор совершенно незаинтересованных людей из разных стран. Это раз. Во-вторых, есть такая штука как пеннтестинг, который солидные фирмы всегда заказывают, если не своими силами, так сторонней конторе. И такая вещь как игнорирование результатов верификации подписи очень быстро обнаружилась бы, это одно из первых, что тестировали бы.