Тема: Компилиране (Прочетена 2926 пъти)

phobot · « -: Sep 17, 2008, 03:16 »

Наскоро четох статия за сигурност и по размишлявах за дистрибутирания софтуер(двуичните пакети). Сега искам да попитам дали размишленията ми са правилни и за всякаква друга свързана информация. Та да започнем от проверката за "покварени" системни програми като

Примерен код

du, pidof, ps, netstat...

и още много когато проверяваме тяхната достоверност можем ли да се доверим че мирора от който сме ги дръпнали не е бил компрометиран в такъв случай дори hash проверка и проверката на размера на файла не могат да ни подскажат че става нещо гнило. И в такъв случай не е ли по-добре да компилираме от сорс такива важни приложения които използваме за критични наблюдения и маниполаций по системите си

'> И друг въпрос до къде сте готови да стигнете вие във параноичността си що се отнася за компютърна/мрежова сигурност?

dvbb · « **Отговор #1 -:** Sep 17, 2008, 04:08 »

Който най го е страх , се случва да гори най-често

'> Пожелавам на параноиците най-много издънки докато им дойде акъла да спрат с глупостите

'> Нямам нищо против параноиците просто ми е кеф като ви прецака някой

'> Айде пък вземете си поука

'>)

bulg · « **Отговор #2 -:** Sep 17, 2008, 04:35 »

Много болезнена тема.

Предимството на програмите с Отворен Код ...
Това с hash sum-a сигурно е възможно да се направи ...
Безспорно, разработчиците няма да си рискуват реномето, да качват на сайтовете си приложения с "нечисти стрингове", докато при prebuilt-натите package-та ...
Чел съм, че 'меките' "стимулирали" ключови фигури в Отвореното Общество, с цел алтернативните OS, образно, да буксуват; подобно и с купуването/спонсорирането на конкуриращи ги софтуерни компании, не толкова за да ги погълнат, а по-скоро за да ги дискредитират и затлачат ...

пп. На очителиа по балгарски и летература - слап 3!

'>

sdr · « **Отговор #3 -:** Sep 17, 2008, 11:40 »

Аз на товое място нямаше да се доверявам на никого - всичко щях да си пиша сам - от асемблера през компилатора, кернела та чак до ктрон-а ... всичко сам щото - врагът дебне!

elfenlied · « **Отговор #4 -:** Sep 17, 2008, 12:23 »

Цитат (dvbb @ Сеп. 17 2008,05:08)

Който най го е страх , се случва да гори най-често

'> Пожелавам на параноиците най-много издънки докато им дойде акъла да спрат с глупостите

'> Нямам нищо против параноиците просто ми е кеф като ви прецака някой

'> Айде пък вземете си поука

'>)

Хора вие сте параноици

'>
Аз с колкото хора съм се запознал работещи с отворен код нито един не е имал лоши намерения ( все пак това е целта )
Пък като сте толкова обсебени от своята лудост за мега, хипер сигурност вземете да си изградите сами ОС ( направо измислете нов вид пакетен мениджър а защо не и ново ядро )
Аз вярвам в хората на 100% (макар и така не трябва на сляпо да се вярва, но аз вярвам в тях и до сега не съм бил предаден)
Успех с прекомпилирането или измислянето на нова ОС!

triplek · « **Отговор #5 -:** Sep 17, 2008, 20:52 »

Девелопърите на големите дистрибуции сън не ги хваща да правят золуми. ':p'

phobot · « **Отговор #6 -:** Sep 18, 2008, 01:23 »

Никога не съм се съмнявал и за секунда в девелопърите и съпорт екипите на проектите с отворения код. Съмнявам се в безопасността на предварително компилираните двоични пакети които много лесно могат да бъдат компрометирани още в източника(мирора) от някой начетен недоброжелател. И тъй като сорса вече е бил компилиран(за да си спести време) човек няма как да е сигурен дали не използва компрометирана версия на openssh примерно.

plamen_f · « **Отговор #7 -:** Sep 18, 2008, 09:26 »

Не виждам защо другите (фрее) не могат да бъдат компроментирани също? Ти винаги ли си разглеждаш сорс кода и никога ли не ползваш "затоврени" пакети. Наистина ми е странна тази да не я казвам параноя защото не е. Май малко на гъзарство (с извинение) ми мирише. Но явно имате доста свободно време (не само свободен софтуер)....

gat3way · « **Отговор #8 -:** Sep 18, 2008, 10:32 »

До известна степен, SELinux предотвратява такива проблеми. Примерно някоя гадина вземе да пачне "du" по начин, по който ти bind-ва сокет, форква шел и му оправя stdin/stdout така че да може да се връзва към машината и да изпълнява команди без авторизация. Това нещо по някакъв начин успява да го сложи на репо-то и ти го смъкваш. С enforcing режим и достатъчно рестриктивно policy, този сокет няма да се създаде, отделно в audit-a ще отидат доста забавни съобщения.

Разбира се, това не е никаква панацея. Например ако злият хакер подмени пакета с kernel-a, selinux по никакъв начин няма да ти помогне когато го инсталираш и рестартираш системата, за да го заредиш.

Обаче струва ли си такава параноя, не знам. Като стане, стане, какво да се прави. След като не си застрахован да те блъсне камион примерно докато пресичаш улицата, не виждам какъв проблем е да свалиш компрометиран пакет.

Отделно това е много сложна схема, пакетите вече се подписват с личен ключ и хахорът ще види бая зор да се сдобие с него. Поне deb и rpm пакетите де, за онези BSD пакети не знам да имат такива наклонности

'>

triplek · « **Отговор #9 -:** Sep 19, 2008, 00:20 »

В момента съм с Убунту. Т.е. ползвам apt като пакетен мениджър, който за всеки пакет проверява тези:

Size: 16976
MD5sum: bb43e40933ddc73d85c0048839358a2b
SHA1: c85f464e3515fbcb3153d4abb089d95b289ee2c3
SHA256: 79e01e2e05575ade314c82df63b7c170d4986e1c74d827f883dcf2442836ca11

Копирах го от инфото за произволен пакет. Ползвал съм дженту, който ползва portage и там със сигурност мога да кажа че се проверяват тия суми защото съм едитвал сорс който така и не можах да подкарам през пакетната система заради тях. При слак също мисля се чекват тия работи при pkgadd. rpm-ите не ги знам макар че практиката ми с линукс започна със сузе.

Като цяло едва ли има дистро при което не се проверяват тези неща.

Така че и да си счупи ръцете от писане никой хахор не може да ги докара. ':p'

Та...остава девелопърите, пък то те както казах сън не спат да правят золуми.

'>

bulg · « **Отговор #10 -:** Sep 19, 2008, 09:35 »

Вчера правих upgrade на едно opensuse и въпреки, че не са правени промени в адресите на repositories имаше едно ф`иле, което не беше подписано, с опция да продължи без да пита за неподписани.
Според мен, за да се избегне подмяната/промяната (примерно от някой недоволен от заплатата си в NOVELL или на някой programmer, притиснат от кредиторите си, 'другаде'

'>) на signed file(и/или данните за него), "требе да има запитване за сравняване" към 3 независими хранилища, да речем, и ако има разлика да праща доклад. Разбира се и това не е панацея, ако файлът е "добре подменен".

Nikolavp · « **Отговор #11 -:** Sep 19, 2008, 12:23 »

Цитат (triplek @ Сеп. 19 2008,01:20)

Копирах го от инфото за произволен пакет. Ползвал съм дженту, който ползва portage и там със сигурност мога да кажа че се проверяват тия суми защото съм едитвал сорс който така и не можах да подкарам през пакетната система заради тях. При слак също мисля се чекват тия работи при pkgadd. rpm-ите не ги знам макар че практиката ми с линукс започна със сузе.

За Gentoo понеже съм го мислил преди време, но просто усетих, че няма какво да направя и то става като с автобуса

'>. Ето ти какво може да се направи:

1. прави ти се poisoning да свалиш portage дървото от друго място(DNS poisoning например)
2. Вътре има един много приятен patch, който ти се качва и заопчва да прави каквото си иска вече. Сумите се проверяват само за сорсчетата и то трябва да е минало през ebuild blabla.ebuild digest.

bulg · « **Отговор #12 -:** Sep 20, 2008, 01:39 »

Най-лесният начин за навлизане в "Зоната на здрача". Измайстори си, к'от ти е на душа и го предостав`и на другите... ама после, що така стан`а..

'>

'>
А маймунки винаги ще има ..

'>
------------------------------

p.s. Рано или късно, (по-... хора) ще предпочетат Debian free community: Нема да до'е утре началникът и да гъгне на програмиста, че ако не incud-не "Нещото" нема да има премии, или пък той сам(шефът) да си го "направи"... примерно.

'>

bulg · « **Отговор #13 -:** Sep 28, 2008, 18:23 »

Нещо по въпроса, със закъснение:

Цитат

Red Hat призна за пробив в сървърите си

Red Hat потвърди, че хакери са атакували инфраструктурни сървъри принадлежащи на компанията и проекта Fedora, включително системи използвани да подписват Fedora пакети. В атаката срещу Fedora, от Red Hat твърдят, че хакерите не са достигнали до “фразата използвана да защити Fedora пакетния подписващ ключ”. Въпреки това, компанията е създала нови подписващи ключове.

В атаката срещу Red Hat проникналият в системата е имал възможност да подпише малък брой от OpenSSH пакети свързани с Red Hat Enterprise Linux 4 (i386 и x86_64 архитектури само) и Red Hat Enterprise Linux 5 (x86_64 архитектура само).

Като предпазна мярка Red Hat пусна обновена версия на тези пакети, списък на засегнатите пакети и скрипт, който проверя дали някои от тези пакети е инсталиран.

(24.08.2008)

http://news.idg.bg/?call=USE~newsmsg;&t=idgbg&msgid=40750

//добавено
Ха сега, деца, кажете: Кой има интерес да се занимава с дискредитиране на linux компании, и с кой най се "тачи" RH?

'>

gat3way · « **Отговор #14 -:** Sep 28, 2008, 20:17 »

Честно казано не разбрах какво искаш да кажеш, давай директно

'>

Автор Тема: Компилиране (Прочетена 2926 пъти)