Исходное сообщение
"Ретроспектива продвижения бэкдора в пакет xz" Отправлено Аноним, 31-Мрт-24 17:54
Это может работать только в том случае, если такие атаки действительно можно проводить массово и дёшево. И если возможные методы защиты от такого зашкаливающе дороги. Вот этот джун тан спалился и что будет дальше, как ты думаешь? Народ для начала разберёт как этот джун тан действовал, как он мог действовать эффективнее, и начнёт прикрывать лазейки. Начнёт, например, использовать статические анализаторы в принудительном порядке, и исправлять все варнинги, которые те дают, чтобы сделать обфускацию ещё сложнее. Начнёт все обновления пакетов гонять под валгриндом, требуя отсутствие варнингов. Будет тестовые программы autotools и cmake прогонять через статические анализаторы, приводя их к единому стилю. Проводить аудиты пакетов. Писать спецификации и проверять код на соответствие спецификациям. ... Это всё обойдётся атакуемому не бесплатно, но вероятности успеха вычурных планов уменьшатся на пару порядков и мало того реализация каждого плана станет дороже, потому что одного джуна тана будет уже недостаточно. А если атакующий будет настаивать, то система защиты будет набирать датасет о попытках атак, и оттачивать стратегию, вплоть до тренировки AI, который будет мониторить всё и вызывать команду аудиторов на любой подозрительный коммит. Подковёрные атаки могут работать пока они подковёрные, как только они прекращают быть подковёрными, они в пролёте. И в данном случае, защищающаяся сторона оказывается в выигрыше, потому что она будет в результате разрабатывать методы разработки надёжного софта, в то время как атакующая сторона будет отрабатывать навыки, которые абсолютно бесполезны за пределами этой узкой сферы деятельности. Вычурные планы работают только в художественных произведениях, потому что реальные дела слишком скучны. Минимизация рисков, минимизация потерь, постоянные оптимизации, длинные подготовки... 90% этой деятельности слишком скучна для художественного произведения, а то что не скучно понятно только специалисту.