Автор Тема: Безопасно ли обновляться из Сизифа сейчас?  (Прочитано 5710 раз)

Оффлайн viacheslav

  • Давно тут
  • **
  • Сообщений: 76
    • Email
Про-укровские активисты начали вставлять злонамеренный код в исходники различных проектов на github, который активируется по IP из России или Белоруссии, временной зоне и пр. региональным признакам. Уже нашли вывод политических воззваний, проигрывание выступлений Зеленского, стирание файлов, повышенную загрузку процессора... Иногда это делают сами авторы проектов!

https://github.com/vuejs/vue-cli/issues/7054

https://github.com/vshymanskyy/StandWithUkraine
https://github.com/chernivtsijs/made-in-ukraine (Проекты, которые могут стать ареной борьбы)

https://www.linux.org.ru/news/opensource/16820186 (если можете прочесть скрытое обсуждение) 
https://www.linux.org.ru/forum/security/16819987


Могут ли сборщики всех пакетов проверить код обновлений после 7 марта 24 февраля? Думаю нет...
Есть ли аудит кода всех изменений во всех новых пакетах? Вряд-ли.
Может ли Альт гарантировать отсутствие таких закладок хотя бы в основных пакетах?
Может ли Альт заморозить обновление подозрительных проектов до аудита? Наверняка.

Главный вопрос: Безопасно ли делать автообновление Сизифа сейчас?
« Последнее редактирование: 18.03.2022 16:56:54 от viacheslav »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
При таком уровне доверия не пользуйтесь компьютерами.
Андрей Черепанов (cas@)

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Главный вопрос: Безопасно ли делать автообновление Сизифа сейчас?
Автообновление всегда небезопасно. Абсолютно в любом случае и в любые времена.

Оффлайн viacheslav

  • Давно тут
  • **
  • Сообщений: 76
    • Email
При таком уровне доверия не пользуйтесь компьютерами.
Не переводите, пожалуйста, проблему в абстрактную плоскость. Возникла новая реальная опасность, связанная с текущими политическими обстоятельствами. Есть растущее число проектов, в исходники которых упоротые авторы и "активисты" вносят зловреды.  Это не имеет отношения к доверию в общем смысле. Речь идет о том, в курсе ли сборщики пакетов, и будет ли Альт лучше, скажем, Федоры в отношении проверки гадких патчей после 24 февраля 2022 и до окончания маразма.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Это не совсем праздные вопросы...
Например noscript внезапно захотел доступ к IP-адресу и имени компьютера, хотя для блокировки скриптов этого совсем не требуется.
Закладки скорее всего будут. Поэтому обновления без причины, ради только лишь новой версии лучше не делать.

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 92
Не переводите, пожалуйста, проблему в абстрактную плоскость...
 .. будет ли Альт лучше, скажем, XXX.....

1. Пожалуйста не будьте абстрактны -
     преведите реальный, свежий, пример взлома Альта.
       
2. Не указывайте здесь проблемы в чужих дистрибутивы.
    Здесь они не интересны.(см. правила форума)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Я бы сформулировал вопрос в конструктивном русле немного иначе.
Какими решениями, если не секрет, пользуются в компании в качестве автоматического анализа кода?
Klocwork, Solar? Если не секрет, конечно.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Никакими.
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
- Страшно, наверное?
- Да.

 ;-D
Фильм "Холоп".

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
- Страшно, наверное?
- Да.

 ;-D
Фильм "Холоп".
Иногда лучше перебдеть, чем недобдеть! ;-)

Оффлайн viacheslav

  • Давно тут
  • **
  • Сообщений: 76
    • Email
1. преведите реальный, свежий, пример взлома Альта.
Вопрос о потенциальной возможности и вероятности просачивания закладок в Сизиф, и есть ли у нас какие-либо основания считать, что русский дистрибутив Альт предохранит нас хотя бы от некоторых подлянок.
Некоторое количество закладок уже выявлено в исходниках на github-е. Несколько ссылок было дано. Число упоротых проектов, где они появляются, растет. Некоторые могут быть случайно пропущены в новые версии пакетов в Сизифе.
       
2. Не указывайте здесь проблемы в чужих дистрибутивы.
Речи о других дистрибутивах не идет. Прочтите, пожалуйста, вопрос и беседу выше. Для других сама проблема может быть неактуальной, так как эти подлянки активируются по географическому или языковому признаку.

Какими решениями, если не секрет, пользуются в компании в качестве автоматического анализа кода?
Никакими.
ОК. Тогда может быть стоит временно ввести политику карантина для новых версий исходников/пакетов?
  • Составить список пакетов, чьи авторы/комиттеры имеют явное отношение к Украине при неизвестных полит. взглядах и/или отметились заявлениями типа SupportUkraine.
  • Проверить,какие из уже засветившихся проектов собираются в Сизиф.
  • Не пропускать в репозиторий никакие новые версии подозрительных проектов до проверки изменений в них после 24 февраля.
  • Организовать анализ кода (если это реально).
Естественно, это только предложение.

* Для интересующихся параметрами черепа сообщаю, что имею родственников на Украине, и некоторые из них относятся к враждебному лагерю.
« Последнее редактирование: 18.03.2022 23:44:36 от viacheslav »

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Поэтому стандартная практика при релизе софта проверять его различными анализаторами и набором антивирусных программ.

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
 :-) Короче, не паникуем, но держим в голове, что разного рода "закладки" были, есть и будут! Другой вопрос когда их активируют и активируют-ли. Вот вчера-позавчера был "привет" от одного известного разработчика браузера...

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
Поэтому стандартная практика при релизе софта проверять его различными анализаторами и набором антивирусных программ.

В случае свободного софта исходники должен просматривать мантейнер пакета перед сборкой. И подобное выявлять.

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 92
    Составить список .. авторы .. имеют явное отношение к XXX

1. Это называется "расжигание национальной розни" (см. правила форума)

Некоторое количество закладок уже выявлено в исходниках на XXX.

2. Вы про продолжаете рассказывать нам о проблемах в чужих
    репозиториях.