Автор Тема: Безопасно ли обновляться из Сизифа сейчас?  (Прочитано 5702 раз)

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Поэтому стандартная практика при релизе софта проверять его различными анализаторами и набором антивирусных программ.
Стандартная практика при релизе вируса - проверять его на антивирусах. То есть антивирусы начинают детектировать после успешного начала атаки. Пример - Rustock.C, который искали якобы несколько лет (про сроки - вопрос спорный, но из всей индустрии нашёл его только Dr.Web). Микрософту пришлось применять админ ресурс и ФБР, что бы уничтожить ботнет, т.е. технических средств не хватило.

В случае свободного софта исходники должен просматривать мантейнер пакета перед сборкой. И подобное выявлять.
Атаки будут через неявные ошибки типа переполнения стека или буфера. Подобно как коммитеры из университета Миннесоты внедряли в ядро. Если бы такое могли выявлять во всех случаях, CVE бы не было.
« Последнее редактирование: 19.03.2022 08:53:17 от trs »

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
Атаки будут через неявные ошибки типа переполнения стека или буфера.

Тогда ничего не поменяется. Такого рода были, есть и будут.
Это точно не вирусы, антивирусники бесполезны.

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Тогда ничего не поменяется.
Уже изменилось отношение "прогрессивного" общества к авторам атак. Если раньше было порицание, то теперь один из крупнейших  спонсоров СПО Марк Цукерберг (запрещён в РФ как террорист, призывающий убивать по национальному признаку) одобряет.

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
Уже изменилось отношение "прогрессивного" общества к авторам атак. Если раньше было порицание, то теперь один из крупнейших  спонсоров СПО Марк Цукерберг (запрещён в РФ как террорист, призывающий убивать по национальному признаку) одобряет.

Сделать дыру, которая будет дырой только для России, проблематично. Дыра она для всех. Поэтому вредоносный код будут пихать больные на голову во всякие npm пакеты.

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
неявные ошибки типа переполнения стека или буфера.
Такие ошибки как раз отлавливаются статическими и динамическими анализаторами кода.

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Прикрепляю реальный пример. Данный patch внедрил только для России переполнение стека в пакетном менеджере. Не утверждаю, что помимо отказа в обслуживании возможна эксплуатация с исполнением кода (автор не ставил такой цели, а я не проверял), но данные на стеке зависят от содержимого пакета. Кто-то увидит ошибку? Она очевидна.
« Последнее редактирование: 20.03.2022 11:44:53 от trs »

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Первое, что бросается в глаза - я не понимаю, для какой версии этот патч. Даты, версии, пути к файлам - ничего вместе не совпадает.

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 91
Уже изменилось отношение "прогрессивного" общества к авторам атак.
.. один из крупнейших  спонсоров СПО XXX ... одобряет.

1. "изменилось отношение" - нет
   оно всегда было таким - "XXX - превыше всего"
     текущая сетуация ничего не изменила.
      а только подчеркнула то, что было прежде.
   
   оговорка: это в среднем, в частности может быть наоборот

2. "спонсор XXX" - это не автор кода, а денежный мешок

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Первое, что бросается в глаза - я не понимаю, для какой версии этот патч. Даты, версии, пути к файлам - ничего вместе не совпадает.
Нет необходимости понимать версию (впрочем, она указана прямо в наименовании патча). Просто смотрится файл и ошибку сразу видно, но почему-то не всем (патч прошёл "аудит" и QA, дошёл до пользователей).

"спонсор XXX" - это не автор кода, а денежный мешок
То есть мотиватор для множества авторов.

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Мне уже любопытно, какая же целевая версия для патча?  :-D

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Мне уже любопытно, какая же целевая версия для патча?  :-D
Я же пишу, указана в наименовании: rpm-5.4.10
Вы хотите накатить патч и прогнать под "статическими и динамическими анализаторами кода"? Поздно, патч был давно принят другими людьми. Это просто пример, с которым лично сталкивался, и который показывает, что оптимизма может быть многовато.

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
накатить патч и прогнать под "статическими и динамическими анализаторами кода"
От Вас ничего не скроешь.  :-)  Верно, хотел. Беда в том, что эти программы, особенно которые находят реальные проблемы в коде, стоят немалых денег.

Но я искренне не понимаю, о какой версии идёт речь. Пусть даже там этот патч накатили или откатили, куски кода, названия функций или хотя бы имена файлов должны совпадать.
Чтобы точно говорить об одном и том же, у Вас под рукой есть ссылка на репозиторий, где найти эту версию?

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 91
То есть мотиватор для множества авторов.

Укажите пожалуйста, место в коде в репозитории Альта
 где какой нибудь автор под влиянием "мотиватора XXX"
  внёс вредоносные изменения

Вы нарушаете правила форума.
 (приводите примеры уязвимостей не относящиеся к ALT Linux).
« Последнее редактирование: 20.03.2022 14:40:59 от буратино-42 »

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Простите, что плохого в обсуждении уязвимостей?
Говоря простым языком, все берут код "из одной коробки". Будь то github.com, git.kernel.org или sourceforge.net.
Крупные разработчики их ещё и модифицируют, выпускают внутренние патчи под конкретных клиентов, портируют новые фичи в старые версии. Как, например, RHEL годами сидит на одном ядре, вытаскивая их новых нужные исправления.

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 91
Простите, что плохого в обсуждении уязвимостей?

обсуждать нужно в соответсвующей теме.
здесь - не место.

Иначе складывается впечатление
 что речь идёт об уязвимостях в Сизифе.