>В последнее время прослеживаются тенденции в попытке организации распространения
>злонамеренного кода именно через обновления пакетовВ общем то логично, ибо удобный канал для массового заражения. Но дело в том что системы обновления в принципе создавались с учетом таких возможностей и неплохо держатся против таких реалий. Взлом сервера - даже не полдела. А подписать пакеты правильным ключом? А вот к таковым ключам обычно относятся довольно щепетильно и прецедентов чтобы кто-то смог раздать свой правильно подписанный пакет правильным ключом я что-то не припоминаю.
> или новые версии программ.
Опять же в теории - возможно. На практике - в изменения между версий смотрят майнтайнеры и просто кучи любопытных. А какие-нибудь дебианщики еще и потормозят пару лет до интеграции новой версии апстрима, спортировав секурити фиксы в древнюю версию программы.В итоге стройной скоординированной атаки скорее всего не выйдет и вообще будет обнаружено быстрее чем хотелось бы хакерам, имхо.
>Вскрывшиеся попытки взлома инфраструктур известных проектов подтверждают эти подозрения.
По-моему, заранее было понятно что инфраструктуры известных проектов будут ломать - вкусные мишени. Можно рассматривать это как хороший признак - открытые проекты становятся популярны. И - да, им придется учиться с этим жить, а это подразумевает и пристальное внимание хакеров.
>Один подкупленный, невнимательный или озлобленный человек в среде разработчиков
>и миллионы пользователей могут ничего не подозревая установить обновление с закладкой.
Не все так просто - коммиты обычно читает немало народа а бинарные пакеты подписаны. Посему закладка в сорцах апстрима имеет все шансы быть обнаруженной. Особенно какими-нибудь дебианщиками с их нудной и геморной практикой debdiff'ов, которая тем не менее, дает понимание что, где и нафига было изменено в новой версии.В бинарных обновлениях?Просто сломать сервера - не вариант, приватный ключ от этого у хакера не появится.Саботаж со стороны того у кого есть доступ к такому ключу?Возможен.Но оно такое у всех возможно - если вы не доверяете никому - не надо результатами их труда пользоваться.Вдруг они там мину подложили? :)
>Open source сообщество у всех на виду, организовать внедрение злонамеренного кода
>в легитимный продукт вполне реально,
Только вот в силу открытости это как раз обычно весьма быстро обнаруживается. Я помню только 1 случай поимения через официальный сайт которое имело какой-то успех - мозильщики и вьетнамский перевод FF. Почему-то тем не менее это был виндовый инсталлер :)
> радует только то, что и обнружить это внедрение значительно проще. Но и пугает
>ненулевая верятность того, что могут и не обраружить вовремя.
Жить вообще страшно - от этого умирают. Что предлагается? Я вижу несколько опций, и ни одна из них панацеей не является.
1) Можно самому стать майнтайнером и проверять все и вся лично за апстримами ну а по части управления версиями в системе будет некого винить кроме себя. Только вот голова вспухнет: трудозатраты нереальные в случае "боевых" систем на более-менее разлапистых конфигурациях. Самолично отслеживать жизнь кучи программ и все изменения в них и их проблемы - опухнуть можно.
2) Можно не ставить апдейты. Но тогда у вас будут известные дыры. И вас через них могут поиметь, собственно. Вариант для камикадзе которые боятся майнтайнеров больше чем хакеров.
3) Можно ставить апдейты, допустив что майнтайнеры и авторы все-таки не козлы а добавочные проверки изменений в процессе разными людьми сделают свое дело. Как правило это наиболее вменяемый вариант из всех. Можно включить режим параноика - проверять какие апдейты и нафига. Если повезет то это попроще 1) т.к. к какомунить debian stable их не так уж много.
>А была ли ошибка в openssl пакете Debian случайной ?
Я так не считаю. Это - логичное следствие политики дебианщиков "мы - святее папы римского".В смысле, они себя считают правильнее чем апстрим.Но криптографический код - это не то что можно трогать своими руками просто так, не будучи экспертом в области криптографии.Криптография этого не прощает.И сделав казалось бы совсем безобидное изменение можно крепко порушить криптографический алгоритм.Поэтому писать и изменять криптографический код должны только те кто хорошо разбирается в криптографии и отдает себе отчет какие последствия его действия несут с точки зрения криптографии.Дебианщики забили на это правило.За что и поплатились - небольшой и казалось бы безобидный патч очень дорого обошелся с точки зрения криптографии.Те кто интересовался криптографией знают что совать лапы в криптографический код - чреватая затея в случае если вы вдруг не Шнайер.Ну а дебианщики наступили на те грабли на которые и должны были наступить.И это не случайность а закономерное следствие из политики "мы святее папы римского".
>Вообще, разбирая уязвимости, не так редко возникает впечатление,
>что некоторые из них созданы специально.
В случае OpenSSL скорее похоже на то что некоторые не поняли что криптография ошибок не прощает но зато свою стандартную политику "мы святее папы римского aka наших апстримов" применить не забыли. Это IMHO не саботаж а обычное такое раздолбайство по части криптографии. Хотя результат в сумме и одинаковый, да.
>Вот несколько ссылок для размышления:
Ссылки то полезные. Вы б еще сказали - что по вашему мнению стоит делать :)
Для лично себя я придумал примерно такой подход в случаях когда паранойя долбит: побить все виртуализацией на минимальные контейнеры по принципу 1 контейнер - один сервис, которые просто мониторить на изменения и аномальную активность. При этом отловить аномалии просто и в конечном итоге не так уж важно чем они вызваны - внутренним саботажем с бэкдором или внешним вторжением. Отловится и то и другое. Скажем поведение вебсервера - оно заведомо известно. И если вебсервер вдруг зачем-то юзанул системную утилиту, открыл левый порт, запустил странный процесс или сунулся в /etc/passwd например - значит не такой уж он и вебсервер каким кажется, а? :)
