On 2016-03-24 23:24, Rafal Jankowski wrote:
> Chyba Cię jednak pamięć zawodzi bo mowa była o próbach wstawienia
> backdora do jądra z których żadna nie odniosła skutku (według ogólnej
> wiedzy, której prawdziwość czy raczej pewność parę osób kwestionowało).
> Czyli jest raczej oczywiste, że chodziło o kod źródłowy.

Ale dlaczego oczywiste?

> To o czym
> piszesz to zupełnie co innego, ale jak chcesz sobie dryfować na takie
> tematy to sobie dryfuj.

Piszę o realnych problemach współczesnych monolitycznych kerneli i
współczesnego hardware. Kod źrodłowy kernela jest bez znaczenia jako
źrodlo trojanów. Możesz sobie dryfować w kierunku oceny jakosci kernela
pod katem widoczności bądź nie kodu. Niestety główne i realne problemy
bezpieczeństwa znajdują się gdzie indziej i wynikają choćby z
monlityczności współczesnych kerneli.

> Jest pewna grupa osób, którym były one potrzebne dlatego próbowali je
> tam umieścić. Zresztą nie tylko w jądrze w SSLu i paru innych
> powszechnie stosowanych kawałkach softu również.

No i? niedawno jakas dystrybucja została zarażona trojanem i
udostępniona jako iso na stronie oficjalnej. No i? Zauważ że nie tak
dawno wymyślono sobie ze zarazi się środowisko programistyczne na maka
co wygenerowało masę aplikacji z trojanami bez wiedzy programistów. No
i? Czy już wspomniałem że *WSZYSTKIE* współczesne OSy sa gówno warte?

> Specjalnie mnie nie zmartwiłeś. Malware w jądrze to taki remote desktop.
> Możesz go użyć do wykonania przelewu albo czytania nieswojej poczty.
> Zależy co kto lubi.

No patrz, zupełnie jak zwykły kawalek kodu w userspace. Na co komu
kernelować kompila skoro wirusy albańskie są znacznie bardziej skuteczne?

do góry

On 2016-03-25 00:01, Rafal Jankowski wrote:
>> Czy rozumiesz dlaczego nazywam managerów i dyrektorów bankow idiotami
>> zajętymi wertowaniem katalogow z jachtami?
> Nie obrażaj ludzi którzy w miesiąc dymają więcej panienek i wpierdalają
> więcej kawioru i szampana niż Ty zapewne przez całe zycie.

No i proszę. Nie przypusczalem że tak łatwo dasz się złapać. Twoje
poglądy na to kogo trzeba szanować okazują się najzwyczajniej w świecie
gówniane. Na szczęscie internet nie zapomina.

> Problem polega na tym, że nie opisałeś szczegółowo całego procesu tylko
> rzuciłeś kilka haseł z których trzeba się domyślać Twojego toku
> rozumowania.

Jestesmy istotami rozumnymi. Zakładam (błednie zazwyczaj) że jesli
podejmuje się dyskusji na jakimś poziomie to nie muszę w szczegółach
tłumaczyć dlaczego szyfrowanie takie a takie działa tak i tak. Ale jak
widac muszę bo trole czepiają się słówek przez co uzyskują w ich
mniemaniu chwilową przewagę. Typowe korposzczurkowe zachowanie.

> Na razie zrozumiałem z niego tylko tyle, że zakładasz
> konieczność zaufania bankowi

Rzekłbym że to kluczowe, tak.

> Ja uważam, że bez specjalnego komplikowania
> procesu konieczność ufania bankowi można wyeliminować.

Nie da się. Oni mają twoje pienią^M^M^M wpisy w systemie informatycznym.
Ufasz nawe sprzątaczce w banku. Może nieświadomie, ale ufasz. Zawsze
pozostają skarpetki albo złoto w Amber Gold. A nie, czekaj ...

> Tak czy inaczej
> jednak trzeba jakoś cały ten proces zainicjować stawiając się w biurze
> banku z dowodem osobistym albo podpisując umowę z kurierem a to
> sprowadza się do tego, że ktoś to może zrobić w Twoim imieniu i cała
> Twoja absolutna pewność, matematyka itd. bierze w łeb

Czyżbym zapomniał że w administracji publicznej pracują tacy sami idioci
i do tej pory nie mamy dowodów z chipem? Problem debilomanagerów,
debilodyrektorów i debilonaczelników jest dośc szeroki i obejmuje
zarowno administrację jak i korporacje. Co zrobić, w końcu zabraknie
łopat do kopania rowów jak by ich pozwalniać.

> i sprowadza się do
> poziomu bezpieczeństwa przy wysyłaniu zlecenia przelewu faxem.

No. Brawo, nareszcie.

> Poza tym
> nigdy nie twierdziłem, że tokeny są złe, bez sensu ani nic w tym stylu.
> Wręcz przeciwnie.

Oczywiście że nie twierdziłeś. Od kilkunastu postów rozmawiam z ludzimi
którym tokeny dają się zlamać kilkoma przylutoeanymi kabelkami a ludzie
którzy wiedzą jak je zlamac najzwyczajniej masturbują się krzemem. Tak
że faktycznie, nic nie twierdziłeś. Ot, przyjacielska rozmowa dwóch
fachowców. Ba, nawet wręcz przeciwnie albo tak samo.

> Nie wiem co tam pijesz, może jakąś herbatkę ziołową, a jak pisałeś to na
> trzeźwo to tym gorzej dla Ciebie.

Ze mna nie może być już gorzej. Choć mam nadzieje ze weselej.

do góry

W dniu piątek, 25 marca 2016 19:19:56 UTC+1 użytkownik Sebastian Biały napisał:
> Ze mna nie może być już gorzej. Choć mam nadzieje ze weselej.
Jak ta czytam Twoją radosną twórczość w której większość to obrażanie wszystkich
naokoło to mam wrażenie że do jakiejś wymarzonej korporacji się nie dostałeś i teraz
Swoje żale wylewasz na lewo i prawo.
Wyluzuj
A może to da się leczyć?

do góry

On 2016-03-25 20:10, Kris wrote:
> W dniu piątek, 25 marca 2016 19:19:56 UTC+1 użytkownik Sebastian Biały napisał:
>> Ze mna nie może być już gorzej. Choć mam nadzieje ze weselej.
> Jak ta czytam Twoją radosną twórczość w której większość to obrażanie
> wszystkich naokoło

Możesz uzasadnić "wszystkich" oraz "większość" w kontekście obrażania?
Bo widzisz, zaraz ktoś Cie złapie za slowo i okaże się że natępny flame
gotowy i znowu bity zmarnowane.

> to mam wrażenie że do jakiejś wymarzonej korporacji się nie dostałeś

Nastepny psychiatra. Next!

PS. Jak na razie nie usłyszałem ani jednego agumentu *technicznego*
przeciwko stosowaniu autoryzacji elektronicznej.

Usłyszałem za to:
a) że bankowcy doskonale sie orientują w nowinkach technicznych
(doskonale: przynajmniej na poziomie akademickim, technologia: fizyka,
matematyka)
b) że chipy łamie się przylutowanymi drutami
c) że klucze lataja w te i wewte
d) że bardzo dobrze że okradli leminga
e) że bezrobotni są bezpieczni
f) że szacunek nalezy mieć do pijaczków z problemem seksualnym
śmierdzących kawiorem
g) że smsy są zajebiste bo tak
h) że tokeny są niezajebiste bo tak
i) że technologia touch z Rubina jest aktualna
j) że trojany kerneluja kompile i podmieniają inkludy
k) że w ogóle wszystko jest spoko, tylko troche kasy ubywa

Wybacz. To jakaś porażka. Jestes pewny że to *JA* powinienem się leczyć?
Możesz wskazać kogokolwiek kto ma *kontrargument* techniczny? Techniczny
potwarzam. Jakikolwiek, że tak w desperacji zapytam.

do góry

On Fri, 25 Mar 2016, Sebastian Biały wrote:

> PS. Jak na razie nie usłyszałem ani jednego agumentu *technicznego* przeciwko
> stosowaniu autoryzacji elektronicznej.

PS to Pre Scriptum?
Nie ważne, tak tylko czepiam się słówek :)

> Wybacz. To jakaś porażka. Jestes pewny że to *JA* powinienem się leczyć?
Co od razu leczyć, może najpierw przebadać :)

> Możesz wskazać kogokolwiek kto ma *kontrargument* techniczny? Techniczny
> potwarzam. Jakikolwiek, że tak w desperacji zapytam.

Czy dla Pana Technokraty (możesz sobie dopisać do długiej listy odznaczeń
którymi Cię wyróżniłem) argumenty Massachusetts Institute of *Technology*
są dość techniczne?

http://groups.csail.mit.edu/mac/classes/6.805/studen
t-papers/fall97-papers/fillingham-sig.html

Jak choćby:

- A handwritten signature is biologically linked to a specific
individual,[...]

- Handwritten signatures are under the direct control of the signer,
whereas digital signatures must be applied by a computer commanded by
the signer.

- Handwritten signatures can be witnessed, whereas digital signatures
cannot be - though they can be notarized.

do góry

On Fri, 25 Mar 2016, Sebastian Biały wrote:

> On 2016-03-24 23:24, Rafal Jankowski wrote:
>> Chyba Cię jednak pamięć zawodzi bo mowa była o próbach wstawienia
>> backdora do jądra z których żadna nie odniosła skutku (według ogólnej
>> wiedzy, której prawdziwość czy raczej pewność parę osób kwestionowało).
>> Czyli jest raczej oczywiste, że chodziło o kod źródłowy.
>
> Ale dlaczego oczywiste?

Chociażby dlatego, że mowa była o *nieudanych* próbach wprowadzenia do
kernela backdorów, a z przytoczonych przez Ciebie pewnie coś ok 100% było
udanych?

>
>> To o czym
>> piszesz to zupełnie co innego, ale jak chcesz sobie dryfować na takie
>> tematy to sobie dryfuj.
>
> Piszę o realnych problemach współczesnych monolitycznych kerneli i
> współczesnego hardware. Kod źrodłowy kernela jest bez znaczenia jako źrodlo
> trojanów. Możesz sobie dryfować w kierunku oceny jakosci kernela pod katem
> widoczności bądź nie kodu. Niestety główne i realne problemy bezpieczeństwa
> znajdują się gdzie indziej i wynikają choćby z monlityczności współczesnych
> kerneli.

Hm, tutaj to dyskutujesz sam ze sobą, nie będę przeszkadzać.

>> Jest pewna grupa osób, którym były one potrzebne dlatego próbowali je
>> tam umieścić. Zresztą nie tylko w jądrze w SSLu i paru innych
>> powszechnie stosowanych kawałkach softu również.
>
> No i? niedawno jakas dystrybucja została zarażona trojanem i udostępniona
> jako iso na stronie oficjalnej. No i? Zauważ że nie tak dawno wymyślono sobie
> ze zarazi się środowisko programistyczne na maka co wygenerowało masę
> aplikacji z trojanami bez wiedzy programistów. No i? Czy już wspomniałem że
> *WSZYSTKIE* współczesne OSy sa gówno warte?

Wiesz, jakiś czas temu było skompromitowane repozytorium nagiosa. Tylko
ile procent komputerów ma zainstalowanego nagiosa? A kernel Linuksa? Chyba
trochę więcej co nie? Więc sens wprowadzania backdora do kernala jest
taki, że zaafektuje to ogromną liczbę komputerów.

>
>> Specjalnie mnie nie zmartwiłeś. Malware w jądrze to taki remote desktop.
>> Możesz go użyć do wykonania przelewu albo czytania nieswojej poczty.
>> Zależy co kto lubi.
>
> No patrz, zupełnie jak zwykły kawalek kodu w userspace. Na co komu kernelować
> kompila skoro wirusy albańskie są znacznie bardziej skuteczne?

Oczywiście backdor w userspace tym badziej działający na prawach
roota/administratora jest równie dobry jak backdor w kernelu.

Ale Twoje albańskie wirusy są 8====0 warte, bo do uruchomienia wymagają
jeszcze interfejsu białkowego.

do góry

On Fri, 25 Mar 2016, Sebastian Biały wrote:

> On 2016-03-25 00:01, Rafal Jankowski wrote:
>> > Czy rozumiesz dlaczego nazywam managerów i dyrektorów bankow idiotami
>> > zajętymi wertowaniem katalogow z jachtami?
>> Nie obrażaj ludzi którzy w miesiąc dymają więcej panienek i wpierdalają
>> więcej kawioru i szampana niż Ty zapewne przez całe zycie.
>
> No i proszę. Nie przypusczalem że tak łatwo dasz się złapać. Twoje poglądy na
> to kogo trzeba szanować okazują się najzwyczajniej w świecie gówniane. Na
> szczęscie internet nie zapomina.

I bardzo dobrze, niech pamięta. W razie jak nasz bank będzie wysyłać
kluczowym klientom zaproszenia na biznesowy bankiecik to Pan dyrektor
będzie miał na uwadze, kto go wyzywał od debili.

A od moich norm moralnych się czep. Są wyrafinowane, ale rozumiem, że
pospólstwo może mieć problem z ich ogarnięciem.

>
>> Problem polega na tym, że nie opisałeś szczegółowo całego procesu tylko
>> rzuciłeś kilka haseł z których trzeba się domyślać Twojego toku
>> rozumowania.
>
> Jestesmy istotami rozumnymi. Zakładam (błednie zazwyczaj) że jesli podejmuje
> się dyskusji na jakimś poziomie to nie muszę w szczegółach tłumaczyć dlaczego
> szyfrowanie takie a takie działa tak i tak.

Słuchaj no ziomuś, tak się jakoś składa, że sedno sprawy tkwi nierzadko w
szczegółach, których Ty podawania unikasz.

> Ale jak widac muszę bo trole czepiają się słówek przez co uzyskują w
> ich mniemaniu chwilową przewagę. Typowe korposzczurkowe zachowanie.

Nie ma to jak przywalić głupotę, albo niedopowiedzenie a potem zarzucać
innym łapanie za słówka. Idź poskarżyć się Pani.

>> Na razie zrozumiałem z niego tylko tyle, że zakładasz
>> konieczność zaufania bankowi
>
> Rzekłbym że to kluczowe, tak.

Cieszę, się że coś udało nam się ustalić, teraz przynajmniej mogę otwarcie
storpedować głupotę tej teorii, a nie zakładać że to właśnie chciałeś
powiedzieć, ale nie powiedziałęś.

>
>> Ja uważam, że bez specjalnego komplikowania
>> procesu konieczność ufania bankowi można wyeliminować.
>
> Nie da się. Oni mają twoje pienią^M^M^M wpisy w systemie informatycznym.
> Ufasz nawe sprzątaczce w banku. Może nieświadomie, ale ufasz. Zawsze
> pozostają skarpetki albo złoto w Amber Gold. A nie, czekaj ...

Jak podpiszesz kluczem prywatnym transakcję to ni huhu nie powiedzą, że
tak pokazuje nasz system informatyczny, więc tak musi być. Transakcje
muszą być podpisane przez zleceniodawcę i on ma podpis banku o ich
odebraniu. Dzięki mnie od tej chwili możesz nazywać dyrektora banku
debilem i nie martwić się, że zaksięguje na Twoim koncie 100kPLN wydatków
na viagrę. Nie musisz dziękować

>> Tak czy inaczej
>> jednak trzeba jakoś cały ten proces zainicjować stawiając się w biurze
>> banku z dowodem osobistym albo podpisując umowę z kurierem a to
>> sprowadza się do tego, że ktoś to może zrobić w Twoim imieniu i cała
>> Twoja absolutna pewność, matematyka itd. bierze w łeb
>
> Czyżbym zapomniał że w administracji publicznej pracują tacy sami idioci i do
> tej pory nie mamy dowodów z chipem? Problem debilomanagerów, debilodyrektorów
> i debilonaczelników jest dośc szeroki i obejmuje zarowno administrację jak i
> korporacje. Co zrobić, w końcu zabraknie łopat do kopania rowów jak by ich
> pozwalniać.

Co do idiotów w administracji to w zasadzie zgoda. Ale obstawiam (choć
więcej jak flaszki dobrej siwuchy jednak bym nie postawił), że testamentu
podpisanego elektronicznie to żaden z nas nie dożyje.

>> i sprowadza się do
>> poziomu bezpieczeństwa przy wysyłaniu zlecenia przelewu faxem.
>
> No. Brawo, nareszcie.

Naprawdę w jakimś punkcie się ze mną zgadzasz? Jeszcze możesz to odwołać
(żeby potem nie było, że czepiam się słówek).

>
>> Poza tym
>> nigdy nie twierdziłem, że tokeny są złe, bez sensu ani nic w tym stylu.
>> Wręcz przeciwnie.
>
> Oczywiście że nie twierdziłeś. Od kilkunastu postów rozmawiam z ludzimi
> którym tokeny dają się zlamać kilkoma przylutoeanymi kabelkami a ludzie
> którzy wiedzą jak je zlamac najzwyczajniej masturbują się krzemem. Tak że
> faktycznie, nic nie twierdziłeś. Ot, przyjacielska rozmowa dwóch fachowców.
> Ba, nawet wręcz przeciwnie albo tak samo.

Wybacz, wiedzę na temat TPMów czerpałem z filmiku jaki mi podesłałeś :)

>> Nie wiem co tam pijesz, może jakąś herbatkę ziołową, a jak pisałeś to na
>> trzeźwo to tym gorzej dla Ciebie.
>
> Ze mna nie może być już gorzej. Choć mam nadzieje ze weselej.

Nie bądź takim pesymistą. Zawsze może być gorzej!

do góry

On 2016-03-25 21:22, Rafal Jankowski wrote:
>> PS. Jak na razie nie usłyszałem ani jednego agumentu *technicznego*
>> przeciwko stosowaniu autoryzacji elektronicznej.
> PS to Pre Scriptum?
> Nie ważne, tak tylko czepiam się słówek :)

Nie. PS dotyczy tych kilkunastu linijak niżej.

>> Możesz wskazać kogokolwiek kto ma *kontrargument* techniczny?
>> Techniczny potwarzam. Jakikolwiek, że tak w desperacji zapytam.
> Czy dla Pana Technokraty

No i jak widzisz, usilnie starasz sie moralizować i trzymać
profesjonalizm a tu okazuje się że garnitur przecieka.

> odznaczeń którymi Cię wyróżniłem) argumenty Massachusetts Institute of
> *Technology* są dość techniczne?
> http://groups.csail.mit.edu/mac/classes/6.805/studen
t-papers/fall97-papers/fillingham-sig.html

Zonk: 1997. To chyba jeszcze przed Jezusem. No no. Ale wiesz co? Ten
koleś jednak na koniec napisał:

[...] and over time, handwritten signatures gradually increased in the
frequency and scope of their usage. It is likely to be much the same
with digital signatures, which are the latest authentication tool in the
continuing advancement of communications technology.[...]

Latest ... ta ...

Przyznaje Ci racje, w 1997 roku faktycznie podpisy były dość dobre bo
nie bylo telefonów, gniazdek USB i kart chipowych, przynajmniej nie w
takiej ilości.

Czy ja dobrze zauważyłem że to konferencja dla studentów na temat Etyki
i Prawa? Ani słowa o oddziaływaniach słabych w kryształach
domieszkowanego krzemu w kontekście budowy zabezpieczen ukladow
scalonych? Może to i lepiej ze te głupie tępaki od fizyki się tam nie
dostały.

> Jak choćby:
> - A handwritten signature is biologically linked to a specific
> individual,[...]

Misiu złoty... A kto je sprawdza? Kasjer-grafolog wspomagany AI w
postaci dofinansowanych okularów? To nie jest argument *techniczny*
który powoduje że chipy są gorsze niż ręczne podpisy. Przedstaw argument
który powoduje że podpis ręczny posiada wyższy poziom bezpieczeństwa niż
chip, działa przez internet bez możliwości przechwycenia, jest trywialny
w pewnym sprawdzeniu przez inną jednostkę biologiczną, a najlepiej
sztuczną. Wiesz dlaczego? Bo cały ten p... wątek jest o kradzieży przez
internet.

> - Handwritten signatures can be witnessed, whereas digital signatures
> cannot be - though they can be notarized.

Bzdura. Świadek może kłamać z wysokim prawdopodobienstwem. Matematyka
nie - też z wysokim prawdopodobieństwem.

do góry

On 2016-03-25 21:42, Rafal Jankowski wrote:
>> No i proszę. Nie przypusczalem że tak łatwo dasz się złapać. Twoje
>> poglądy na to kogo trzeba szanować okazują się najzwyczajniej w
>> świecie gówniane. Na szczęscie internet nie zapomina.
> I bardzo dobrze, niech pamięta. W razie jak nasz bank będzie wysyłać
> kluczowym klientom zaproszenia na biznesowy bankiecik to Pan dyrektor
> będzie miał na uwadze, kto go wyzywał od debili.

Uuu zmartwie cie, do czytania newsów wymagana jest doskonala orientacja
w starynkach technicznych. Bankowcy się nie łapią.

> A od moich norm moralnych się czep. Są wyrafinowane, ale rozumiem, że
> pospólstwo może mieć problem z ich ogarnięciem.

:D Piękne. Dawaj jeszcze.

> Słuchaj no ziomuś

Łomatko, dawaj jeszcze!

>, tak się jakoś składa, że sedno sprawy tkwi nierzadko w
> szczegółach, których Ty podawania unikasz.

E tam, nie przypominam sobie żebym w tej dyskusji czegos unikał jakoś
specjalnie. Możesz wskazać palcem czego *unikam*?

>> Rzekłbym że to kluczowe, tak.
> Cieszę, się że coś udało nam się ustalić, teraz przynajmniej mogę
> otwarcie storpedować głupotę tej teorii, a nie zakładać że to właśnie
> chciałeś powiedzieć, ale nie powiedziałęś.

Torpeduj. Potem możesz przeprowadzić się do jaskini. We Francyji to
nawet jest oznaką hipsterstwa dostępna dla bogatszych (sprawdzić czy
jedzą kawior).

> Jak podpiszesz kluczem prywatnym transakcję to ni huhu nie powiedzą, że
> tak pokazuje nasz system informatyczny, więc tak musi być. Transakcje
> muszą być podpisane przez zleceniodawcę i on ma podpis banku o ich
> odebraniu. Dzięki mnie od tej chwili możesz nazywać dyrektora banku
> debilem i nie martwić się, że zaksięguje na Twoim koncie 100kPLN
> wydatków na viagrę. Nie musisz dziękować

To samo mogą powiedzieś teraz. Czyli jakiś misio może sfałszować Twój
podpis pod dokumentem. Jeśli wydaje Ci się to trudne do ogarnięcia to
zwracam uwagę że całkiem sporo kasjerów na przestrzeni kilkunastu lat to
zrobiło. Koledze dostało się po łbie kilkanascie tysięcy rachunków za
kilka telefonów, że tak przytocze realny przykład z okolicy choć może
nie z bankowości.

Tak, banki zdecydowanie bedą robiły wszystko żeby podrobić
niepodrabialny (w praktyce wystarczająco) podpis hardwareowy. Może nawet
jakiś kasjer wstawi kilka przypadkowych liczb żeby wyglądało że
podpisany! Złe, niedobre banki, nie cofna sie nawet przed złamaniem
krzywych eliptycznych z chęci zysku :(

>>> i sprowadza się do
>>> poziomu bezpieczeństwa przy wysyłaniu zlecenia przelewu faxem.
>> No. Brawo, nareszcie.
> Naprawdę w jakimś punkcie się ze mną zgadzasz? Jeszcze możesz to odwołać
> (żeby potem nie było, że czepiam się słówek).

Narzeksz na poziom bezpieczeństwa przelewów wysłanych faksem? Ja też.
Jak widzisz zgoda buduje. Ale poza stwierdzeniem że jest źle trzeba
czasem dostrzec alternatywę.

> Wybacz, wiedzę na temat TPMów czerpałem z filmiku jaki mi podesłałeś :)

Którego? Tego w którym ktoś lutował do kabelki do scalaka i wymieniał
klucze w te i wewte?

>> Ze mna nie może być już gorzej. Choć mam nadzieje ze weselej.
> Nie bądź takim pesymistą. Zawsze może być gorzej!

Nie, moja salowa mówi że nie. I Pan doktór też. A tabletki biorę.

do góry

On 2016-03-25 21:29, Rafal Jankowski wrote:
>>> Chyba Cię jednak pamięć zawodzi bo mowa była o próbach wstawienia
>>> backdora do jądra z których żadna nie odniosła skutku (według ogólnej
>>> wiedzy, której prawdziwość czy raczej pewność parę osób kwestionowało).
>>> Czyli jest raczej oczywiste, że chodziło o kod źródłowy.
>> Ale dlaczego oczywiste?
> Chociażby dlatego, że mowa była o *nieudanych* próbach wprowadzenia do
> kernela backdorów, a z przytoczonych przez Ciebie pewnie coś ok 100%
> było udanych?

Ja przytoczylem nieudaną, acz znaleziona przypadkiem. Problem jest w
czyms innym: nikt nie wprowadza backdoorów i trojanów od *lat* do jadra
linuxa, bsd. natomiast pociesze cie: istnieje spore prawdopodobieństwo
że niektóre elementy związane z kryptofrafią w OSach (okolice ipv6)
zostały dyskretnie skompromitowane w sposób matematyczny (np. poprzez
oslabienie generatora liczb losowych lub samych algorytmów). Najbardziej
zabawne jest nie to że ktoś to odkrył na code review. Najbardziej
zabawne jest to że nawet jesli wiesz ze to może tam być - nie potrafimy
tego znaleźć:

http://www.ipv6security.nl/?p=1238

Daj sobie spokój z trojanami w kodzie kernela. Komu to potrzebne.

> Wiesz, jakiś czas temu było skompromitowane repozytorium nagiosa. Tylko
> ile procent komputerów ma zainstalowanego nagiosa? A kernel Linuksa?
> Chyba trochę więcej co nie?

Niewiele. Chyba że dodamy androida. Ale w androidzie jest tak wiele
dziur w user space że nie ma to sensu.

> Więc sens wprowadzania backdora do kernala
> jest taki, że zaafektuje to ogromną liczbę komputerów.

Nie. Możesz co prawda wstawić trywialne = zamiast == i liczyć ze ktoś
nie zauważy ,ale problem infekcji tego systemu czymś *użytecznym* już
trywialny nie jest. Wsadzenie czegoś uzytecznego do kernela zostanie
natychmiast wykryte.

Wychodzi na to że zamiast wprowadzać dziury w kernel lepiej szukać dziur
już tam istniejących. Ryzyko wpadki mniejsze.

>> No patrz, zupełnie jak zwykły kawalek kodu w userspace. Na co komu
>> kernelować kompila skoro wirusy albańskie są znacznie bardziej skuteczne?
> Oczywiście backdor w userspace tym badziej działający na prawach
> roota/administratora jest równie dobry jak backdor w kernelu.
> Ale Twoje albańskie wirusy są 8====0 warte, bo do uruchomienia wymagają
> jeszcze interfejsu białkowego.

Intefejsy białkowe siedzace przy złomach od jakiś 15 lat mają średnie IQ
w okolicy 100. Czyli to tylko kwestia napisania maila. Ostatnie kampanie
mailowe sa bardzo interesujące. Sądząc po ilościach - zapewne przynoszą
spore zyski.

do góry