скажите, а что тут обсуждать? новость «кернельорг заражон» лично для меня не несет никакой полезной информации. ну совсем никакой.
плясать ритуальный казацкий танец фапа вприсядку и устраивать панику на ровном месте, снося это решето со всех машин я не собираюсь.
факт наличия дыр в ОС меня никак не удивляет.
факт отсутствия TPM и IDS на kernel.org тоже никак не удивляет и честно слабо колышет. я как-то не уверен в возможности применения IDS на таком хайлоаеде.
мне из этой истории интересно только две вещи: какова причина взлома (дыра в ПО, проблема настройки хоста, утечка ключей, троллинг админов) и как это учтут в будущем (рекомендации по настройке сервера). обоих вещей пока неизвестно.
теперь главная интрига — в каком из сервисов, торчащих наружу, была дыра или кто из имеющих туда рутовый доступ обиделся на очередную порцию троллинга Линуса.
>и вообще наш зоопарк нас только и защищает — были бы мы однообразны и многочисленны…
зоопарк достаточно условен. статический бинарь, дергающий сисколы напрямую и прописанный в /etc/rc.local запустится на любой x86 системе.
подмена нейм резольвер, для отправки вас куда-то вместо настоящего вконтактика одинаково хорошо сработает во всех дистрибутивах и вы даже не догадаетесь посмотреть в /etc/nsswitch.conf, только в hosts загляните.
>Я думаю хакеры придумают как отдать разработчику чистый код, а конечным пользователям модифицированный.
прямо на kernel.org НИКТО коммит-доступа не имеет — поэтому с точки зрения этого сервера, все запросы идут от «конечных пользователей».
любая ветка ядра, которая синхронизируется с мейнлайном, делает такой же анонимный pull с этого сервера и во всех этих ветках уже всплыли бы левые изменения.
собственно проверка делается потому, что эти изменения могли расползтись, но пройти незамечеными. при таком качестве и количестве перекрестного ревью, как в линуксе, это достаточно маловероятно.
>Есть виртуальные машины. Ставим ее на любимую nix, туда ставим Windows 7.
в корпоративной среде на большом проекте, который все равно нужно собирать под винды и где есть отдельный билдсервер я бы так и сделал, благо деньги на все это безобразие бы тоже платил не я. да и настраивали бы это все специальные обученные люди.
а на собственной машине это попросту неудобно, а в моем случае вообще невозможно. это я еще опускаю такие подробности, как работа с кодом с другой машины по ssh.
не понял, где противоречие?
ну конечно. вот патент на FAT сейчас, через 20 лет, совсем не нужен папуасам, ага.
зато нас есть адская технология md5 + gpg.
>Помнится в прошлом году сравнительно массово сажали трояны на Маки под видом «кодека для видео», и тут уже один шаг до линуксов.
дейстивительно, линуксоиды только и делают, что ставят неподписанный софт из левых источников.
скажите, а что тут обсуждать? новость «кернельорг заражон» лично для меня не несет никакой полезной информации. ну совсем никакой.
плясать ритуальный казацкий танец фапа вприсядку и устраивать панику на ровном месте, снося это решето со всех машин я не собираюсь.
факт наличия дыр в ОС меня никак не удивляет.
факт отсутствия TPM и IDS на kernel.org тоже никак не удивляет и честно слабо колышет. я как-то не уверен в возможности применения IDS на таком хайлоаеде.
мне из этой истории интересно только две вещи: какова причина взлома (дыра в ПО, проблема настройки хоста, утечка ключей, троллинг админов) и как это учтут в будущем (рекомендации по настройке сервера). обоих вещей пока неизвестно.
эээ? в ядре линукса как раз настоящие табы без всяких пробелов.
кроме безопасности самой ОС, еще бывает безопасность конкретной инсталяции. впрочем это слишком сложно и скучно для тролления на хабрике.
кроме того, такой способ установки намного безопасней благодаря наличию электронной подписи у загружаемого файла с дистрибутивом вируса.
это какой-то маркетинговый лозунг. с технической точки зрения, высказывание бессмысленно.
а вот это правильно.
зоопарк достаточно условен. статический бинарь, дергающий сисколы напрямую и прописанный в /etc/rc.local запустится на любой x86 системе.
подмена нейм резольвер, для отправки вас куда-то вместо настоящего вконтактика одинаково хорошо сработает во всех дистрибутивах и вы даже не догадаетесь посмотреть в /etc/nsswitch.conf, только в hosts загляните.
прямо на kernel.org НИКТО коммит-доступа не имеет — поэтому с точки зрения этого сервера, все запросы идут от «конечных пользователей».
любая ветка ядра, которая синхронизируется с мейнлайном, делает такой же анонимный pull с этого сервера и во всех этих ветках уже всплыли бы левые изменения.
собственно проверка делается потому, что эти изменения могли расползтись, но пройти незамечеными. при таком качестве и количестве перекрестного ревью, как в линуксе, это достаточно маловероятно.
это очень тухлая отмазка. прицельно направленная атака — это не единственный тип опасности.
можно прости сидеть с дырявым ядром и случайно стать частью ботнета из тысячь таких же неуловимых джо, каждый из которых никому нафиг не нужен.
в корпоративной среде на большом проекте, который все равно нужно собирать под винды и где есть отдельный билдсервер я бы так и сделал, благо деньги на все это безобразие бы тоже платил не я. да и настраивали бы это все специальные обученные люди.
а на собственной машине это попросту неудобно, а в моем случае вообще невозможно. это я еще опускаю такие подробности, как работа с кодом с другой машины по ssh.
ну и толку тогда эту малварь вообще совать, если ее никто не стянет?