Здравствуйте, CreatorCray, Вы писали:
M>>Устроиться на работу, получить права на коммиты. CC>Надо пройти все интервью, засветив себя реального, устроиться, на в нужный подотдел, получить доступ в нужную репу...
Вы как маленькие.
Есть же люди, которые уже все прошли. Нужно просто выбрать наиболее мотивированного сотрудника. Или мотивировать его. Деньгами. Или фотографиями.
M>> Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью? CC>У нас такое QA отловил бы, ещё до того как интеграторы пустили бы это в master
Рассказать, как спрятать такое от QA и вообще внутренней верификации?
Здравствуйте, CreatorCray, Вы писали:
N>>Схема красивая, в месяц по ложечке. CC>Так оно и делается, да. CC>OpenSource по определению особенно vulnerable к таким атакам
Можно подумать, в closed source кто-то вообще смотрит на вносимые изменения (про code review в курсе, но сильно сомневаюсь, что в корпорации, где все заняты своими тикетами, кто-то будет действительно внимательно смотреть на чужие изменения).
M>>> И без открытых исходников было бы все намного проще CC>>Как ты себе представляешь добавление подобного в закрытые исходники со стороны?
M>Устроиться на работу, получить права на коммиты. Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью? Это одна сторона вопроса, другая, что с точки зрения юзера вообще непонятно, что из его данных в каких объемах сливается или может быть слито при каких условиях и кому.
Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.
Здравствуйте, _AND, Вы писали:
_AN>Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.
Это если предполагать, что за всем этим стоит одиночка-кулхацкер.
Если же за этим стоит организация определенного рода деятельности, то в случае с closed source задача упрощается.
Здравствуйте, rFLY, Вы писали: FLY>а. Бэкдор попал в несколько дистрибов
дистрибутив дистрибутиву рознь. На сколько мне видно, в такущей LTS версии убунты старая версия этой либы без бэкдора. FLY>Но по итогу — ура опенсорсу?
просто не надо эти стереотипы распространять
Здравствуйте, _AND, Вы писали:
M>>Устроиться на работу, получить права на коммиты. Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью? Это одна сторона вопроса, другая, что с точки зрения юзера вообще непонятно, что из его данных в каких объемах сливается или может быть слито при каких условиях и кому.
_AN>Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.
Можно устроиться на работу, сделать дырку, потом уволиться. Через годик хрен эту дырку с тобой сведут, никто так глубоко копать не будет.
Здравствуйте, rFLY, Вы писали:
FLY>Но по итогу — ура опенсорсу?
По итогу ппц полный. Эту дырку случайно нашли. Интересно, сколько их не нашли?
Вообще, это круто. Библиотека, которая входит примерно во все критические системные демоны с сетью, ее пишет черти кто, и никому до этого воообще нет дела.
Здравствуйте, Pzz, Вы писали:
Pzz>Вообще, это круто. Библиотека, которая входит примерно во все критические системные демоны с сетью, ее пишет черти кто, и никому до этого воообще нет дела.
Здравствуйте, landerhigh, Вы писали:
Pzz>>Вообще, это круто. Библиотека, которая входит примерно во все критические системные демоны с сетью, ее пишет черти кто, и никому до этого воообще нет дела.
L>Ты описал текущее состояние IT сферы в целом
Здравствуйте, landerhigh, Вы писали:
_AN>>Разница в том, что аноним не может устроиться на работу. А такие сложные трюки явно выглядят умышленными, а не просто багами.
L>Это если предполагать, что за всем этим стоит одиночка-кулхацкер. L>Если же за этим стоит организация определенного рода деятельности, то в случае с closed source задача упрощается.
Ой, "я вас умоляю". Добрая четверть ядра современного линукса написана теми парнями из Минесоты.
Здравствуйте, CreatorCray, Вы писали:
CC> M> Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью?
CC> У нас такое QA отловил бы, ещё до того как интеграторы пустили бы это в master
Здравствуйте, student__, Вы писали:
__>Здравствуйте, rFLY, Вы писали: FLY>>а. Бэкдор попал в несколько дистрибов __>дистрибутив дистрибутиву рознь. На сколько мне видно, в такущей LTS версии убунты старая версия этой либы без бэкдора.
__>>дистрибутив дистрибутиву рознь. На сколько мне видно, в такущей LTS версии убунты старая версия этой либы без бэкдора.
S>Дурацкий вопрос, а где это можно глянуть?
также в рассылке oss-security был опубликован проверочный скрипт https://www.openwall.com/lists/oss-security/2024/03/29/4/3
Но он проверяет не только библиотеку с бэкдором, но и то, что она подгружена в SSH, т.е. его можно скорее как основу использовать, взяв сигнатуру.
(ещё там опция set -e выставляется, и он на первом же grep заканчивает работу с неинформативным выводом)
Здравствуйте, CreatorCray, Вы писали:
M>> И без открытых исходников было бы все намного проще CC>Как ты себе представляешь добавление подобного в закрытые исходники со стороны?
Ну например завербовав одного сениора или трудоустроив своего.
Представь типичную контору с огромным легаси, в котором некая добрая душа решил немного порефакторить в свободное от поставленных задач времени.
Кто-то там будет старательно код-ревьюить все его коммиты, когда полно незакрытых багов?
Здравствуйте, SkyDance, Вы писали:
SD>Там намного проще. В тысячи раз. Без вариантов. Достаточно одному создать реквест, второму принять, — и все, у всех юзеров теперь бэкдор.
С одной стороны, да, но не совсем да. Мы как-то разрабатывали телеметрию, не скажу чего. Так вот, ревьюили реквесты в основном я и другой разраб. Остальные никогда никаких вопросов не задавали. Теоретически можно было бы договориться и закоммитить пропуск какой-нибудь проверки. И компания теоретически могла бы попасть на конкретное бабло из-за нарушения правил обработки инфы. Т.е. уже нужен сговор совершенно незаинтересованных людей из разных стран. Это раз. Во-вторых, есть такая штука как пеннтестинг, который солидные фирмы всегда заказывают, если не своими силами, так сторонней конторе. И такая вещь как игнорирование результатов верификации подписи очень быстро обнаружилась бы, это одно из первых, что тестировали бы.