LINUX.ORG.RU
ФорумSecurity

Отдельный аспект ситуации с внедрением бэкдора в xz

 , ,


0

3

Привет, ЛОР. Извини, что отвлекаю от обсуждения бэкдора в xz.

Мне не дает покоя один момент, а именно, рассказ о том, как забивший тревогу чувак вообще заподозрил существование дыры. Вот фрагмент его письма:

I was doing some micro-benchmarking at the time, needed to quiesce the system to reduce noise. Saw sshd processes were using a surprising amount of CPU, despite immediately failing because of wrong usernames etc.

Скажите, я правильно понимаю то, что он просто ковырял систему на предмет «веди себя потише» и искал разные причины просыпания или жужжания кулеров, или чего-то вроде этого? А бэкдор просто был кривоват и необоснованно нагружал проц при определенных обстоятельствах? И чувак заметил нагрузку на проц от ssh лишь потому, что тестировал неправильный логин, или вообще просто ошибся при вводе учетных данных? Может быть, кто-то с ним переписывается в мастодоне, например, и может уточнить?

Просто, если это действительно так, то можно лишь восхищаться тем, насколько тонка та сопля, на которой повисла вся эта наша безопасная безопасность. И тем, что боженька все равно не допустил расползания дырищи по всем системам.

Джулс Виннфилд, увидев подобное, завязал с плохим поведением. Ну и вообще, это просто красиво.

★★★★★

Последнее исправление: thesis (всего исправлений: 1)

Показаны ответы на комментарий. Показать все комментарии.
Ответ на: комментарий от Vsevolod-linuxoid

Да говна. Пресловутый «миллион глаз» подразумевает разглядывание СОРЦОВ, а не поведения готового бинарника на системе конечного пользователя. А вот сорцы как раз весь миллион глаз успешно проморгал.

thesis ★★★★★
() автор топика
Ответ на: комментарий от thesis

А вот сорцы как раз весь миллион глаз успешно проморгал.

Давайте начнем с того, что «миллионы глаз» - это не какая-то специальная организация, а в первую очередь мы с вами, т.е. пользователи. Лично вы просматриваете код каждой утилиты/библиотеки, которую используете или имеете у себя в системе? Лично мне не стыдно признаться, что я это делаю довольно редко, потому что зачастую не имею нужной квалификации в конкретной области, да и банально лень.

anonymous
()
Ответ на: комментарий от anonymous

Байка про миллионы глаз всегда была лишь байкой для доверчивых баранов. Подавляющее большинство пользователей Линукса не способны ни понять, ни тем более пофиксить сорцы системных компонентов. Многие не могут компилять софт из сорцов, писать элементарные скрипты автоматизации. Все эти завывания про «потенциальную возможность» уже давно кроме зевоты ничего не вызывают.

P.S. На Рутрекере полста гигов сорцов Винды разных версий вместе с видеоинструкцией, как скомпилять рабочую Хрюшу. Что-то никто пока бэкдоры не нашел.

anonymous
()
Ответ на: комментарий от anonymous

«миллионы глаз» - это не какая-то специальная организация, а в первую очередь мы с вами

Я об этом и говорю. Нам п&$%#ц по определению, но позавчера мы стали свидетелями натурального чуда. И почему-то никто, кроме меня, не восхищается красотой момента.

thesis ★★★★★
() автор топика
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

И почему-то никто, кроме меня, не восхищается красотой момента.

Ну почему. Я, допустим, отдаю должное «талантам» тех кто это затеял. Там по ссылке на openwall в соседней новости в треде народ высказывает предположения что это могло быть «state-sponsored», что возможно соответствует действительности. Это ж надо было пару лет повтираться в доверие, стать майнтейнером с правом коммитов, сделать закладку (причём так что её все проморгали). И я так понимаю спалились на сущей мелочи - слишком много дополнительной нагрузки привнесли, настолько что это стало заметно.

bugfixer ★★★★★
()
Последнее исправление: bugfixer (всего исправлений: 1)
Security