На заседании Европарламента, на котором разбирались факты неконтролируемой массовой слежки спецслужбами США, был затронут вопрос (http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-... внедрения бэкдоров в широко распространённое программное обеспечение. В частности, представитель Пиратской партии Швеции указал (http://youtu.be/EkpIddQ8m2s?t=3h06m58s) на то, что в открытом ПО имеется возможность проверить наличие закладок, в то время как в чистоте закрытого программного обеспечения не может быть никакой уверенности. По чего представителю Microsoft было предложено рассказать о том, есть ли бэкдоры в Windows. На что не было получено ответа.
Далее, слово взял (http://youtu.be/EkpIddQ8m2s?t=3h09m06s) депутат Европарламента от Финляндии и привёл пример положительного ответа на подобный вопрос, подтверждающий информацию о том, что спецслужбы США ищут пути по внедрению бэкдоров в распространённые проекты. Депутат указал на недавнее выступление (https://www.opennet.ru/opennews/art.shtml?num=37947) Линуса Торвальдса на конференции LinuxCon, на котором тот в шутливом тоне ответил на вопрос обращались ли к нему представители спецслужб по вопросам интеграции бэкдора в ядро. Линус ответил "нет", при этом с иронией кивая головой в знак согласия (24:15 на ролике (http://www.youtube.com/watch?v=84Sx0E13gAo&t=24m15s)). По мнению депутата, данный жест ясно дал всем понять как обстоят дела на самом деле (примечание: не принято во внимание то, что после того как зал утих, Линус уже серьёзно сказал "нет"). Подобное цитирование можно было принять за неверное трактование шутки Линуса, если бы не тот факт, что слова исходили от Нильса Торвальдса (http://ru.wikipedia.org/wiki/%D0%A2%D1%8... отца Линуса Торвальдса.
URL: http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=38451
Оппа!
> есть ли у компании полномочия раскрыть сведения о попытках внедрить бэкдоры
> в её продукты. На что не было получено ответа.Ага. Ну вот что-то такое от них и ожидалось...
Клан Торвальдцов захватывает Галактику. США и Европа уже под контролем. Непал в опасности!!!---
Честно говоря, для меня новость, то что для Европы это новость! :)
Ангела Меркель в панике - выбросила уже две мобилы,
Европарламент в шоке - стирает учётки из фейсбуков...
У них там ваще спецслужбы есть?
> У них там ваще спецслужбы есть?А мозги им на что?
>> У них там ваще спецслужбы есть?
> А мозги им на что?Вот ты сюды написал, ты знаешь как работает вся цепочка от мысли в голове до отображение на мониторе?
Типа: нейросигнал -> область мозга -> хим. процессы -> передача сигнала к указательному пальцу,
а не на расслабление анальных мышц -> гликолиз -> цикл Кребса -> фероконтакты на клаве, тачскрин, ->
устройство контроллера клавы, -> кодирование -> схему триггерной памяти -> булеву алгебру ->
... кодирование в сетевухах, HTTP протокол, вызовы ядра,...
Дяденька, Вы это сейчас с кем разговаривали?
дядя, а нейросигнал откуда? Дано Свыше?
Ну ты посмотри как вопрос задан и какие последствия будут от ответа (любого ответа), тогда сразу поймёшь почему ответа не последовало.
Молодцы МСовцы, не поймались, а то опять бы весь интернет бы визжал как свиньи.Ну а то, что там закладки - наверно есть, не даром ФСБ требовало исходники винды. Впрочем эти закладки есть в любом мобильном телефоне. Я мог бы добавить "всё ради вашей безопасности", но не буду - сочтут троллем..
Ну толсто же :-)
С ником троль - сочтут тролем :-)
> С ником троль - сочтут тролем :-)s/сочтут/сотрут/ :-)
> Ну а то, что там закладки - наверно есть, не даром ФСБ
> требовало исходники винды. Впрочем эти закладки есть в любом мобильном телефоне.Да вообще то надо быть полнейшим идиотом что бы НЕ напихать закладки в мало мальски популярное ПО
Вы бы на месте всяких АНБ ФСБ сделали бы апсолютно так же
А так же ну что тут удивительного
В ядро Linux уже столько всего интересного понапихали что там даже аудит уже не поможетЗаставить кодера написать модули в ядро и вот она дополнительная строчка в коде уже под видом банальной ошибки и будет лазейкой
Пишут же всем миром и это уже контролировать практически невозможноДа взять на примере любой дистрибутив Linux - даже при минимальной установке там уже чего только нет
А возьмите ту же самую OpenBSD - там уже надо все русками доустанавливать
Ну пусть они верят в безопасность опенсорса. Может хоть использовать начнут, а там что-нибудь придумаем.
Беру я дистрибутив Archlinux и не вижу, что-бы в него что-то было напихано, всё надо ручками доустанавливать. Про генту и вовсе говорить нечего.
> Беру я дистрибутив Archlinux и не вижу, что-бы в него что-то было
> напихано, всё надо ручками доустанавливать. Про генту и вовсе говорить нечего.Юныша
вы повидимому не знакомы с Gentoo или OpenBSD
Наоборот, вероятно. Поскольку в Дженте в чистом виде нет даже Cron и Logrotate. А то, что есть в stage3, можно посмотреть глазами - там немного.
> ... А то, что есть в stage3, можно посмотреть глазами - там немного.хватит /boot/vmlinuz-`uname -r`
Исходники тут https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git проверяй!
> Да вообще то надо быть полнейшим идиотом что бы НЕ напихать закладки в мало мальски популярное ПОЗачем?
Хм... Кто как. Но приличные люди там не работают.
Ниже упоминалось «свидетельство канарейки». Вот это, похоже, оно самое в действии.
В смысле, оппа? А были сомнения? 0_о
Если чуть более-менее продвинутый народ без проблем пишет руткиты под Винды, то Microsoft'у это вообще как два пальца об асфальт...
Перечитал новость ещё раз и не понял, всё таки это была шутка или нет?
И откуда взялся отец Торвальдса? Он в европарламенте выступал или раскрывал шутливость/серьёзность Линусового ответа?
Отец Линуса депутат Европарламента и, вообще, очень известный в Европе политический деятель.
Спасибо за инфу! Это полезно знать :)
Я думаю "Линусовое лобби" значит имеет место быть со стороны старшего Торвальдса. Неспроста в Европе так много внимания открытому ПО уделяют, дело не только в том что все там умные, а скорей потому что есть как минимум один но очень активный и имеющий "доступ к телу" европарламентарий.
там так не принято
Как там не принято? Лоббировать хорошие идеи?
1. Отец Линуса - в европарламенте
2. Его сын - видный деятель и активист в мире открытого ПО.
3. Использование открытого ПО как мы знаем - это во всех смыслах хорошо
4. Это самое "хорошо" старший Торвальдс продвигает используя своё положение и имея некоторую обратную связь с сыном.
5. Это в каком-то смысле именно лоббирование, другое дело что это лоббирование - полезно для всех, кроме некоторых корпораций.
Да, Нильс лично меня подкупил чтоб я код писал в ядро. Это же коррупция!
> Да, Нильс лично меня подкупил чтоб я код писал в ядро. Это
> же коррупция!Вроде ни в одном из пунктов я никого кроме Линуса и его отца не указывал. Откуда подкуп лично вас всплыл? :)
Не обращай внимания, у парня Нильс с дичайшими гусями в голове... путешествует, так что всё нормально. Нильс его подкупает, каждый день, серебряными монетками, а ворон Фумле-Друмле у него их опять отбирает.
лоббировать интересы родственников.лоббирование СПО и лоббирование конкретно линукса вещи совершенно разные. Второе это конфликт интересов и так там не принято.
за это какой-нибудь сраный m$ давно бы уже утопил их в дерьме.
Ну так я нигде не сказал о лоббировании Linux, я же написал:
>Неспроста в Европе так много внимания открытому ПО уделяютОткрытое ПО - это не Linux и не Линус, но Linux - это открытое ПО.
И думаю Линус как чертовски адекватный дядька - сторонник продвижения открытого ПО а не фанат своего ядра Linux.
ну ок.
>Как там не принято? Лоббировать хорошие идеи?Какие «хорошие»? Далеко не факт что Торвальдс не пошутил, а оговорился. Если бы так «пошутили» в майкрософт, а потом сказали что это шутка, то представляю какой бы тут стоял вой.
Двойные стандарты так двойствены.
И вообще, это работа парламентариев — принимать хорошие идеи, их не нужно лоббировать. Лоббирование — это узаконенная западом коррупция. Только у нас это называется «взятка» и преследуется по закону (эффективность работы закона не обсуждаю, просто сам факт привожу), а у них это же называется «лобби» и не осуждается в принципе.
Не меряйте всё своими взглядами: если вокруг вас всё устраивается через личные связи (в России это почти всегда работает), то не факт, что в другом месте будет так же.
Абрамович в своё время весьма и весьма не слабо ублажал сэров и пэров, а в итоге был "обломан".
Доступ к какому телу?
> Отец Линуса депутат Европарламента и, вообще, очень известный в Европе политический деятель.Ага. Коммунист до мозга костей, в свое время в СССР даже приглашался в гости в Москву...
>> Отец Линуса депутат Европарламента и, вообще, очень известный в Европе политический деятель.
> Ага. Коммунист до мозга костей, в свое время в СССР даже приглашался
> в гости в Москву...В Москву приглашают(и ли) всех подряд, включая откровенных засранцев. Коммунистом для этого быть не обязательно.
Ну а subj, по данным википедии, сейчас не является членом КП (а какой-то Шведской фашистской^Wнациональной партии). Откуда суровая "костяная" информация?
Отец Торвальдса взялся из бабушки Торвальдса
Из всех финнов только у Линуса есть чувство юмора )))
Даже на петросяновщину не тянет
> Даже на петросяновщину не тянетЛинус веселее - один раз палец показал - нвидия до сих пор глупо смеется.
> Линус веселее - один раз палец показал - нвидия до сих пор глупо смеется.Ага,выпиливая OpenCL из своих дров.=)
возможно потому, что он швед.
... Родители Торвальдса, финские шведы Нильс и Анна Торвальдсы, были в 1960-х годах студентами-радикалами, отец был коммунистом, в середине 1970-х проведшим вместе с Линусом год в Москве ...
Линус тоже коммунист, т.к. принцип разработки СПО вполне себе коммунистический.
Всё, выпущенное под БСД, можно считать выброшенным. Кто подобрал — тому и принадлежит.
> Всё, выпущенное под БСД, можно считать выброшенным. Кто подобрал — тому и принадлежит.Понятие "свобода" у каждого своё. И БСД в своей непривязанности к результатам труда находит свой профит. Да и вообще - это как-то по буддистски, наверное. :)
P.S. Вот загнул! :D
> Угу. Например у ГПЛ проектов хорошим тоном считается стащить из бсд- или
> апач-проекта код и не возвращать производное решение в родительский проектЭто как-то нарушает BSD-лицензию? Ах нет, тогда до-свидания.
> мотивируя это тем что «Не нравится — меняйте лицензию».
Что вам не нравится? Вы может и хотите, чтобы ваш труд безнаказанно
эксплуатировался корпорациями, которые закрывают доступ к своим последующим
модификациям. Но не всем людям такое понравится, так что мотивация имеет право.
Возможно родители не финские, а болгарские шведы. Получается болгарский утвердительный нет Линуса ;)
На самом деле оно ещё есть у его папаши, только в силу опыта более тонкое, поэтому его приколы не все понимают.
Так и представил: Торвальдс-старший в европарламенте показывает палец АНБ.
Это был бы могущественный амулет - замаринованный в формалине палец АНБ.
Ну если это так и есть. Это нормальное положение вещей. Привыкайте, детки.
Вот это поворот!
Это ситуация, известная как «уловка 22». К счастью, существует один способ, как компания может элегантно обойти такой запрет. Это так называемое «свидетельство канарейки» (warrant canary), когда передача информации осуществляется через молчание или отрицание.
В блобах линукс драйвера может быть впринципе любой эксплоит
Зачем обращаться к Линусу если можно просто внедрить под видом полезного кода?
Линус окончательно утверждает патчи.
утверждение смешнее и наивнее некуда (утверждение, что это является гарантом исключения возможности внедрения зонда). Если Линус такой всемогущий (в том гигантском объеме кода способен разглядеть любой бэкдор), то почему же он пропускает банальные баги? Все силы на блокировку бэкдоров уходят? Или вы думаете там прям в названии функции будет слово "backdoor"?
не "backdoor", a "linux backdoor" -- сокращено lib
-- посмотри вот сколько их есть! ::::
-------------------
# aptitude search ^lib |grep -vc ^v
26475
-------------------
> утверждение смешнее и наивнее некуда (утверждение, что это является гарантом исключения
> возможности внедрения зонда). Если Линус такой всемогущий (в том гигантском объеме
> кода способен разглядеть любой бэкдор), то почему же он пропускает банальные
> баги? Все силы на блокировку бэкдоров уходят? Или вы думаете там
> прям в названии функции будет слово "backdoor"?Я не говорил, что это гарантия защиты или отсутствия багов, смотрите выше на что я ответил.
Я имел ввиду, что без него патчи не утверждаются, т.е. обойти его нельзя.
> Я не говорил, что это гарантия защиты или отсутствия багов, смотрите выше
> на что я ответил.Попробую объяснить еще раз на уровне дошкольника: реальный бекдор неотличим от бага. Иной вариант в OSS просто не пройдет в принципе.
Пропустит Линус кусок кода с жирной надписью "здесь бекдор" или нет - абсолютно не играет роли. Такой проект моментально форкнут, а к старому мейнтейнеру пришлют цветы в благодарность и сиделку, ибо он явно заработался дошел уже до стадии маразма.
> Я имел ввиду, что без него патчи не утверждаются, т.е. обойти его нельзя.
Это и не нужно. Малыш, ты понял?
...
Не могу всерьез воспринимать человека, который в одну кучу кладет баги и бэкдоры.
Несколько напоминает "Хакеры, крекеры, спамы, куки".
> Не могу всерьез воспринимать человека, который в одну кучу кладет баги и бэкдоры.А в чем проблема? Вполне себе соотносящиеся кучи, жирным образом пересекающиеся в современном мире (хотя есть баги, которые практически невозможно эксплуатировать как бекдоры; равно как и бекдоры в качестве штатного и даже документированного функционала).
Для OSS именно это пересечение и представляет наибольшую опасность, т.к. иначе бекдор внедрить там нельзя.
> Несколько напоминает "Хакеры, крекеры, спамы, куки".Да вы, батенька, ветеран, раз такое помните)
>> Несколько напоминает "Хакеры, крекеры, спамы, куки".
> Да вы, батенька, ветеран, раз такое помните)Этому мему 10 лет отсилы.
Русская вики в своем стиле:
Турвальдс, Нильс
Семья
Сын — Линус Торвальдс (р. 1969), финский программистПросто таки типичный программист. Хоть в англоязычной написали что автор линя.
Почему-же?
Во-первых, на обсуждаемой странице wikipedia имя Линуса Торвальдса является ссылкой. Кто хочет узнать - узнает. Во-вторых на обсуждаемой странице есть предложение дополнить эту страницу. А так-то да, ругаться на опеннете гораздо комфортней, чем чинить википедию.
Вот это Санта Барбара.По теме: http://www.linux.org.ru/forum/talks/9365517?cid=9365638
Вам не надоело этот бред везде цитировать ? Яркий пример, когда не разобравшись ламеры лезут строить гипотезы о бэкдорах. В документации на openSSH об этом подробно написано. Самое интересное, что этот fake.pw_passwd необходим для защиты, без связанного с ним кода можно было бы говорить о наличии дыры для вычисления существующих пользователей.
> auth.c
> fake.pw_passwd =
> "$2a$06$r3.juUaHZDlIbQaO2dS9FuYxL1W9M81R1Tc92PoSNmzvpEqLkLGrK";fake.pw_passwd используется как фиктивная запись для несуществующих в /etc/passwd пользователей. Нужно это для нормализации времени вычислений, чтобы избежать timing-атак, которые могут определить существование логинов на основе оценки времени реакции сервера. Для недоверяющих документации можно легко проследить логику использования fake.pw_passwd в коде.
Если бы придумали клятву "Гипократа" для прогеров, то было бы клёво. Компу можно было бы доверять. А теперь уже никому нельзя.
>>> Если бы придумали клятву "Гипократа" для прогеров ...... прогеры, как и сисадмины, не заказывают музыку ...
все врачи давали клятву, но многим из них это не мешает лечить вас от болезней, которыми вы не болеете, лекарствами, которые лечат одно и одновременно калечат другое. это просто бизнес, ничего личного.
никто в наше время клятву Гиппократа не дает с врачей, это еще средневековая традиция
Можно подумать, клятва кого-то остановила бы...
>Если бы придумали клятву "Гипократа" для прогеров, то было бы клёво.Все военные приносят присягу. Но непорядочных она не останавливает.
А ты пробовал не принимать? Я во время срочной пробовал, могу поделиться впечатлениями. Ну и на чем я такую присягу вертел.
> Если бы придумали клятву "Гипократа" для прогеров, то было бы клёво. Компу
> можно было бы доверять. А теперь уже никому нельзя.Вы про программеров или про компы?
Напишите "Клятву Гипократа" для компа и доверяйте!"Клятва Гипократа" программера простая -- "Или ты заработаеш, тупая прога, или я тебя..."
-- прога верит и начинает работать!
Я вас умоляю. И вы таки верите врачам?
Вот правильно сказано чуть ранее в блобах можно спрятать все что угодно. Ну а то что популярное привлекает не только потребителя но и других, это очевидно и Linux не исключение. По мимо существования блобов которых не мало, есть ядро и множество других компонентов системы, код которых хоть и публичный но аудит каждый день ни кто не проводит )))
NVIDIA?
envidia f, Существительное
зависть
страстное желание
> envidia f, Существительное
> зависть
> страстное желаниепотому и зелёная…
В каждой шутке есть доля шутки. Я не поверю что при том огромном количестве комитов и их объеме которые принимаются в ядро, и огромном количестве разработчиков из самых разных мест и фирм, АНБ не смогло завербовать хотя бы одного(!) учасника разработки, который положил бы в патч то что им нужно. На код можно смотреть и проверять его долго, а одной строки достаточно, чтоб сделать дело. При чём, если что, можно сказать в посследствии, что это банальная ошибка программиста (как это уже раз было в давнем, но известном случае с FreeBSD который детально разбирался экспертами). Доказать, что это со злым умыслом не возможно в принципе, и никто ничем не рискует.
Тут кстати единственный плюс, что кроме АНБ любая другая разведка может сделать тоже самое, тут никто ничем не ограничен, завербовав какого нибудь разработчика. Код в ядро поступает из всех уголков мира ))) я не вижу никаких причин почему бы этим до сих пор не воспользовались. Посему, отношусь к этой проблеме как к скорее всего свершившимуся факту. Да, аудит кода возможен, но он не дает никакой гарантии, разве что от самых наглых и грубых вещей. То что можно взглянуть на сложный чужой код и быстро понять, что глубоко в дебрях замаскирован например бэкдор - фикция. Тем более стопроцентно узнать и доказать, что это сделанно злонамеренно.
Так что ставим приходящие обновления безопасности в дистре и не паримся )))
Если б я был на месте АНБ, то, прежде всего, полагался бы на бэкдоры, лежащие на самом низком уровне - на аппаратном. С одной стороны их особо прятать не надо, а с другой - код не может что-либо "утаить" от того, на чем он исполняется. Принципиально.
Аппаратный бекдор наверняка будет обламываться в куче ситуаций. Ладно еще - TPM так забекдорить, но что-то большее...
У производитей современных процессоров хватает инженерных ресурсов на кристаллы с миллиардами транзисторов, но с инжекцией спайварного модуля из, допустим, спрятанной на кристалле EEPROM-памяти непосредственно в ядро у них конечно же непреодолимейший затык. Вы как-то странно однобоко понимаете слово аппаратный.
Таки ежели мне память не изменяет, в проекте GnuPG был очень интересный коммит, который довольно неплохо мог бы кореллировать с интересами NSA.
Это какой?
читаю вот форум и думаю.. про пословицу о шиле в мешке вы все позабыли... когда каждый более менее грамотный айтишник, чуть ли ни своим долгом считает покопаться в работе линукса на своем компе, мне говорят что закладка где то будет, что то делать без моего ведома.. ну ну..
я не увижу, увидит другой.. это точно..
было время при написании модуля в ядро пообщался с народом который туда годами пишет...
с кем сейчас не вспомню уже, но могу сказать точно, там шило не скроешь.. а вот негатив от ребят получишь на всю жизнь.. гарантирую...
Да в принципе никто не мешает просмотреть код на предмет вызова нужных функций сначала на С/С++, потом на уровне асемберного(обьектного) кода поискать функции обращения к пересылкам по сети. Сравнить с предидущим вариантом. Не , в Линух впихнуть что нибудь дэкдорное или троянское и не попасться невозможно. Код надо уметь писать, код надо уметь писать. Кто у мет писать, тот умеет и читать, и находить то чего находить не совсем надо.
Может Сынок Папе и сказал в привтной беседе что его пресуют АНБ, от чего Папа и сделал такое заявление.
Нужна армия достаточно узкоспециализированных экспертов для того, чтобы эффективно вычитывать этот, мягко сказать, немалых размеров код, попадающий в ядро с каждым новым коммитом, не находите?
Не неповерю. Если знать что искать, шаблон, то не совсем узкоспециализированных спецов то и надо. Инструктаж часа два, плюс разрезанный кусок кода. Если есть удобный инструмент - в одно лицо можно посмотреть.
А ещё лучше - дать это на распил школьникам/студентам .. за зачет там чего нить, и кто найдет берет бэкдор на диплом, и зачеты автоматом. Поверьет и не такое найдут.
Какие ещё школьники, когда Linux и её старики
http://www.computerra.ru/88131/linux-aging/
уже давно понятно если бинарник компилируемый, то он может не соответствовать исходникам. Та думаю даже в интерпретируемый питон можно на лету что-то всунуть.
бекдор нужно спрятать в сам компилятор/интерпретатор, тогда много людей с ума посходят
> если бинарник компилируемый---
The file you are referring to is actually a binary distribution
that does not need to be compiled anymore.
-- Lenz Grimmer
---