0
Ja mogę tylko dodać jeszcze od siebie jedną rzecz, a konkretnie to pytanie -- co rozumiemy przez "zaufane źródło"? Czy to jest dev z ubuntu czy debiana, którego nigdy na oczy nie widzieliśmy i nawet nie wiedzieliśmy o jego istnieniu, do momentu przeczytania kilu liter w stosownym polu w wyniku apt cache...? Bo jeśli tak, to nie jest to zaufane źródło i nigdy takim nie powinno się dla nas stać.
Znów weźmy przykład androida, bo jest on wszędzie i każdy z niego korzysta. Każdy kto choć trochę siedzi na telefonie, prędzej czy później będzie chciał mieć na nim dostęp root (ten sam root, którego google pozbawiło androida, bo trza użytkownika chronić przed nim samym, a jak wiadomo jak użytkownik ma root, to syf się rozprzestrzenia). Powstał projekt Magisk, którego pewnie większość ludzi kojarzy, bo to on umożliwia root'owanie telefonu i uzyskiwanie praw admina. Jakiś czas temu dev'y Magiska zostały złowione przez google (zapłacili im i zatrudnili w google), no i od tego czasu są problemy związane z kwestią ukrywania przed google faktu, że ma się roota w telefonie, przez co nasz system nie przechodzi testów safetynet (sam rozwój Magiska, też dramatycznie został spowolniony).
Hajs korumpuje, a hajs absolutny korumpuje absolutnie wszystkie zaufane źródła, nawet te otwartoźródłowe
To może kolejny przykład -- youtube vanced. Pewnie też sporo ludzi o nim słyszało ale już ten projekt nie istnieje. Podobnie jak w przypadku Magisk'a, devy yt vanced zostały złowione przez google, tj. zatrudnione i opłacone ale musieli zlikwidować projekt. No projekt zniknął w zasadzie od razu po zatrudnieniu devów przez google, także łatwo poszło.
No to może jeszcze jeden przykład -- renomowany ROM LineageOS -- też słyszeliście o nim pewnie, że to opensource android bez syfu, bez google appsów może działać. No tylko jest jeden problem -- LineageOS w swoich kernelach wstawia frazę "linageos", czyli jak my na debianie mamy coś w stylu Linux ... 6.11.6... , to w Androidzie mamy coś na wzór Linux ... 6.11.6-lineageos... . Gdy urządzenia z dnia na dzień przestały przechodzić testy safetynet bez wprowadzania w tych urządzeniach jakichkolwiek zmian, zaczęto szukać przyczyny. No i znaleźli -- google od jakiegoś czasu banuje frazy custom ROM'ów obecne w kernelu, więc jak ktoś ma ROM LineageOS, to testów safetynet nie przejdzie. Ludzie pisali do devów LineageOS w tej sprawie, by wprowadzili poprawkę w procesie budowania kernela i usunęli tę frazę. Ale devy LineageOS odmówiły. Ciekawe dlaczego? it's a feature request, not a bugreport, which we don't take . No... No.
To może jeszcze inny przykład -- kiedyś były otwartoźródłowe aplikacje na fona spod znaku SimpleMobileTools. Te aplikacje były w pełni otwartoźródłowe, i osoby korzystające z repozytorium F-droid mogły mieć wersje premium za free (ci z google play musieli płacić jakąś tam symboliczną kwotę). Któregoś dnia, ktoś zauważył pewną anomalię, mianowicie, zamiast SimpleMobileTools, było chyba SimpleTools albo MobileTools przy tych aplikacjach w Google Play. Ale jak to, ktoś zapyta, atak? Nic bardziej mylnego. Dev tych aplikacji, który przez lata tworzył te otwartoźródłowe alternatywy dla przepchanych syfem "aplikacji głównego nurtu" , postanowił te aplikacje sprzedać firmie, która no będzie teraz user'om serwować reklamy, telemetrie i na nich zarabiać. W zasadzie, to wprowadzi z grubsza ten syf, z którym ten dev walczył. Dlaczego? No hajs chłopaki, firma mu zapłaciła trochę grosza i sprzedał jej te swoje apki. Nie było by afery, gdyby te appki nie miały wielu mln pobrań (galeria miała chyba 80mln) i gdyby nie odbyło się to za plecami użytkowników. Dev do końca robił dobrą minę i jak ktoś zauważył, że podmiot się po cichu zmienił w Google, to dev się przyznał. Tak wygląda uczciwość ludzi w świecie opensource, gdy w grę wchodzi hajs liczony w 7 cyferkowych kwotach. No i ludzie mieli prawo się wkurzyć, bo przecie słali PR na gicie, gonili za błędami, zgłaszali różne rzeczy (w tym i ja), a on ich po prostu przy pierwszej lepszej okazji wydymał i sprzedał (tak czuję się wydymany przez tego dev'a).
Takich przykładów można mnożyć w świecie opensource bez końca. Ludzie to tylko ludzie, a gdy w grę wchodzi szmal, nie licz, że nie zostaniesz sprzedany jak bydło na targu przez tych, których tak bardzo sobie cenisz jako zaufane źródła. Zawczasu się zabezpiecz, i nigdy nie mów, że jakiś projekt jest bezpieczny czy zaufany, tylko dlatego, że za nim stoi jakiś chłop co nosi koszulkę z pingwinem.
Poza tym wciąż pozostają inne kwestie związane z przesyłaniem plików przez sieć, np. załączniki w mailach z adresów, które wyglądają wiarygodnie, np. adresu twojego banku czy jakiejkolwiek instytucji/podmiotu, z która masz podpisaną umowę. Pod taki podmiot można się podszyć, czego dowodzą choćby wyglądające wiarygodnie adresy email -- kto z was patrzy w nagłówki email czy ten mail od banku, który otrzymaliśmy jest faktycznie od banku? Osobiście nie znam nikogo kto by to robił, poza samym sobą. A już taka weryfikacja uwali 99% ataków via mail i linux nie da nikomu więcej czy mniej w kwestii bezpieczeństwa, bo taką weryfikację nagłówków się przeprowadza na poziomie klienta pocztowego, a nie na poziomie systemu operacyjnego.
Ehh znów się rozpisałem ale ja to mogę o bezpieczeństwie gadać bez końca.
P.S.
Tak mi się jeszcze przypomniało? Pamiętacie skrypt forum phpBB modified by Przemo ? Tak to od tego backdora, zaimplementowanego na prośbę policji by walczyć ze starszymi panami lubiącymi młodszych osobników.
Znów weźmy przykład androida, bo jest on wszędzie i każdy z niego korzysta. Każdy kto choć trochę siedzi na telefonie, prędzej czy później będzie chciał mieć na nim dostęp root (ten sam root, którego google pozbawiło androida, bo trza użytkownika chronić przed nim samym, a jak wiadomo jak użytkownik ma root, to syf się rozprzestrzenia). Powstał projekt Magisk, którego pewnie większość ludzi kojarzy, bo to on umożliwia root'owanie telefonu i uzyskiwanie praw admina. Jakiś czas temu dev'y Magiska zostały złowione przez google (zapłacili im i zatrudnili w google), no i od tego czasu są problemy związane z kwestią ukrywania przed google faktu, że ma się roota w telefonie, przez co nasz system nie przechodzi testów safetynet (sam rozwój Magiska, też dramatycznie został spowolniony).
Hajs korumpuje, a hajs absolutny korumpuje absolutnie wszystkie zaufane źródła, nawet te otwartoźródłowe
To może kolejny przykład -- youtube vanced. Pewnie też sporo ludzi o nim słyszało ale już ten projekt nie istnieje. Podobnie jak w przypadku Magisk'a, devy yt vanced zostały złowione przez google, tj. zatrudnione i opłacone ale musieli zlikwidować projekt. No projekt zniknął w zasadzie od razu po zatrudnieniu devów przez google, także łatwo poszło.
No to może jeszcze jeden przykład -- renomowany ROM LineageOS -- też słyszeliście o nim pewnie, że to opensource android bez syfu, bez google appsów może działać. No tylko jest jeden problem -- LineageOS w swoich kernelach wstawia frazę "linageos", czyli jak my na debianie mamy coś w stylu Linux ... 6.11.6... , to w Androidzie mamy coś na wzór Linux ... 6.11.6-lineageos... . Gdy urządzenia z dnia na dzień przestały przechodzić testy safetynet bez wprowadzania w tych urządzeniach jakichkolwiek zmian, zaczęto szukać przyczyny. No i znaleźli -- google od jakiegoś czasu banuje frazy custom ROM'ów obecne w kernelu, więc jak ktoś ma ROM LineageOS, to testów safetynet nie przejdzie. Ludzie pisali do devów LineageOS w tej sprawie, by wprowadzili poprawkę w procesie budowania kernela i usunęli tę frazę. Ale devy LineageOS odmówiły. Ciekawe dlaczego? it's a feature request, not a bugreport, which we don't take . No... No.
To może jeszcze inny przykład -- kiedyś były otwartoźródłowe aplikacje na fona spod znaku SimpleMobileTools. Te aplikacje były w pełni otwartoźródłowe, i osoby korzystające z repozytorium F-droid mogły mieć wersje premium za free (ci z google play musieli płacić jakąś tam symboliczną kwotę). Któregoś dnia, ktoś zauważył pewną anomalię, mianowicie, zamiast SimpleMobileTools, było chyba SimpleTools albo MobileTools przy tych aplikacjach w Google Play. Ale jak to, ktoś zapyta, atak? Nic bardziej mylnego. Dev tych aplikacji, który przez lata tworzył te otwartoźródłowe alternatywy dla przepchanych syfem "aplikacji głównego nurtu" , postanowił te aplikacje sprzedać firmie, która no będzie teraz user'om serwować reklamy, telemetrie i na nich zarabiać. W zasadzie, to wprowadzi z grubsza ten syf, z którym ten dev walczył. Dlaczego? No hajs chłopaki, firma mu zapłaciła trochę grosza i sprzedał jej te swoje apki. Nie było by afery, gdyby te appki nie miały wielu mln pobrań (galeria miała chyba 80mln) i gdyby nie odbyło się to za plecami użytkowników. Dev do końca robił dobrą minę i jak ktoś zauważył, że podmiot się po cichu zmienił w Google, to dev się przyznał. Tak wygląda uczciwość ludzi w świecie opensource, gdy w grę wchodzi hajs liczony w 7 cyferkowych kwotach. No i ludzie mieli prawo się wkurzyć, bo przecie słali PR na gicie, gonili za błędami, zgłaszali różne rzeczy (w tym i ja), a on ich po prostu przy pierwszej lepszej okazji wydymał i sprzedał (tak czuję się wydymany przez tego dev'a).
Takich przykładów można mnożyć w świecie opensource bez końca. Ludzie to tylko ludzie, a gdy w grę wchodzi szmal, nie licz, że nie zostaniesz sprzedany jak bydło na targu przez tych, których tak bardzo sobie cenisz jako zaufane źródła. Zawczasu się zabezpiecz, i nigdy nie mów, że jakiś projekt jest bezpieczny czy zaufany, tylko dlatego, że za nim stoi jakiś chłop co nosi koszulkę z pingwinem.
Poza tym wciąż pozostają inne kwestie związane z przesyłaniem plików przez sieć, np. załączniki w mailach z adresów, które wyglądają wiarygodnie, np. adresu twojego banku czy jakiejkolwiek instytucji/podmiotu, z która masz podpisaną umowę. Pod taki podmiot można się podszyć, czego dowodzą choćby wyglądające wiarygodnie adresy email -- kto z was patrzy w nagłówki email czy ten mail od banku, który otrzymaliśmy jest faktycznie od banku? Osobiście nie znam nikogo kto by to robił, poza samym sobą. A już taka weryfikacja uwali 99% ataków via mail i linux nie da nikomu więcej czy mniej w kwestii bezpieczeństwa, bo taką weryfikację nagłówków się przeprowadza na poziomie klienta pocztowego, a nie na poziomie systemu operacyjnego.
Ehh znów się rozpisałem ale ja to mogę o bezpieczeństwie gadać bez końca.
P.S.
Tak mi się jeszcze przypomniało? Pamiętacie skrypt forum phpBB modified by Przemo ? Tak to od tego backdora, zaimplementowanego na prośbę policji by walczyć ze starszymi panami lubiącymi młodszych osobników.