Комментарии 15
Этот инцидент — повод задуматься о том, что стоит иногда тратить время на анализ кода свободных продуктов, которые мы используем. Это и для общего развития полезно, ну и может помешать кому-то внести бэкдор.
Проблема в том, что, во-первых, большинство пользователей не разбираются в программировании, во-вторых, нужна какая-то координация, чтобы за каждым проектом следило определенное число глаз. И, самое главное, нужно много мотивированных людей, которые будут делать это регулярно, словно работу. Непонятно, где их взять.
Вот такие ситуации всё же несколько мотивируют. Сам иногда после того или иного инцидента скачиваю те или иные исходники, хотя, признаюсь, глубоко не копаю, ну просто может посмотрю несколько файлов, попытаюсь понять логику кода, или посмотрю на то, что меняют те или иные коммиты. Просто тут вопрос ещё и в том, что некоторые могли бы поглядывать на код того или иного проекта, но просто не задумываются об этом.
Сам иногда после того или иного инцидента скачиваю те или иные исходники
Это как устраивать тотальные проверки ТЦ после очередного крупного пожара — по факту, глобально ни на что не влияет.
Когда ожидают проверку, какие-то вещи всё-таки приводят в порядок. Ну и хуже в любом случае не будет, а польза есть: кто-то повысит свою квалификацию, изучая чужой код, а кто-то может действительно найдёт ошибку или бэкдор. Понятно, что это не панацея, но это всё же тот случай, когда лучше делать, чем не делать.
Проблема ещё и в том, что подавляющее число пользователей разбирающихся в программировании, читая этот код не увидит проблемы, не зная, что она там есть.
Пример Heartbleed показывает, что это не панацея. Да и проанализировать достаточно подробно весь используемый код вряд ли кто-то сможет. И уязвимости бывают достаточно неочевидные; регулярно выходящие статьи про ошибки, находимые статическими анализаторами кода, тому подтверждение.
Меня сейчас заклюют, но это решается отказом от анонимности. Не обязательно путём регистрации на гитхабе через госуслуги или аналоги, а по принципу FIDO.
Да, возможность "подделки" личности ещё останется, но это станет многократно сложнее.
Остаётся только гадать сколько там всего уже заложено не замеченного никем
В ходе тестирования было обнаружено довольно длительное (полсекунды) подвисание процесса liblzma, к которому обращался демон sshd.
Погодите, подвисание чего? Процесса liblzma? Это что за процесс такой-то?
Пожалуй, надо подрядить какойнить ЧатЖПТ на вычитку исходников и поиск закладок в них.
А я-то думаю, что случилось?
Их репозиторий на github заблокирован
"https://github.com/tukaani-project/xz"
Целую статью написали про liblzma, а истинную причину того, что сделало возможным эту атаку так и не назвали. Рукосуи из дебиана напатчили в sshd зависимость libsystemd, которая сама уже линкуется с десятками других всякоразных либ, в т.ч. liblzma. Глядя на это безобразие на протяжении многих лет, вполне естественно появились желающие провернуть такую атаку. Не удивлюсь, если у системгэ окажется ещё пяток либ, протрояненных подобным же образом.
Security Week 2414: последствия взлома xz-utils