-
Data: 2016-03-29 00:24:03
Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Sebastian Biały <h...@p...onet.pl> writes:
> Robie code review *ogromnej* aplikacji od wielu lat jako normalna
> czynność związaną z wykonywanym zawodem. Daje Ci gwarancje że jesli
> chce mieć zle zamiary to przejdę i code review bo milion oczu nie
> oznacza milikon razy dokładniej. Co prawda zdarzają się przykłady
> pozytywne (i przypadkowo odkryte):
>
> https://freedom-to-tinker.com/blog/felten/the-linux-
backdoor-attempt-of-200/3
To akurat nie miało żadnego związku z code review, w tamtych czasach
Linus i sp. używali takiego narzędzia "BitKeeper", a dla osób, które nie
chciały tego używać (np. ze względu na brak źródeł, albo na
12-miesięczny zakaz pracy przy "konkurencyjnych projektach"), był
automatyczny mirror w CVSie. I do tego ostatniego ktoś się włamał.
Nikt, kto nie korzystał z tego serwera CVS, nie dostał tego backdoora.
Zostało to odkryte przez przypuszczalnie LMcV przez proste porównanie
zawartości bitmovera i cvsa.
Duuużo bardziej niebezpieczne było późniejsze włamanie do *.kernel.org,
w którym atakujący mieli dostęp do całego archiwum, a także chyba do
kluczy używanych do generowania podpisów .sig. Na szczęście to były
czasy gita i żadne numery z wstawieniem czegoś do repozytorium już nie
przechodziły.
Tak czy owak, code review taki jak tu daje szansę wykrycia backdoora,
ale jaka to jest szansa - taka sobie.
> Ale od tamtego czasu kernel jest znacznie większy a część kodu
> wychodzi poza kontrolę (sterowniki kart graficznych).
Binarne sterowniki kart graficznych do Linuksa były dużo wcześniej,
jeszcze w ubiegłym wieku. Sam się na nie nadziałem, więc pamiętam im to
aż za dobrze.
> Być może. Niestety zmartwie Cie: żadko ktore malware zajmuje się
> pierdołami typu lamanie roota. Do wykradzenia pieniędzy wystarczy byle
> gówno napisane przez imbecyla w VisualBasicu w postaci exe w mailu. W
> temacie problemów z tego watku kernel mode jest nieistotny.
To jest akurat prawda.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 29.03.16 00:24 Rafal Jankowski
- 29.03.16 00:39 Krzysztof Halasa
- 29.03.16 00:44 Krzysztof Halasa
- 29.03.16 00:45 Krzysztof Halasa
- 29.03.16 13:35 Krzysztof Halasa
- 29.03.16 15:39 Rafal Jankowski
- 29.03.16 20:36 Sebastian Biały
- 29.03.16 20:42 Sebastian Biały
- 29.03.16 20:46 Sebastian Biały
- 29.03.16 21:00 Sebastian Biały
- 31.03.16 20:27 Krzysztof Halasa
- 31.03.16 21:08 Krzysztof Halasa
- 31.03.16 21:32 Sebastian Biały
- 01.04.16 16:28 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
- Zapamiętana karta w aplikacji
- Velo -- zgłoszenie incydentu
- Velo -- kradzież czy bałagan?...
- Velo bank nie odpuszcza?...
- Velo jak zwykle bredzi...
- Od setki do setki...
- Velo ostrzega przed sobą?
- Nest -- polecenie
Najnowsze wątki
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem
- 2024-09-12 Zapamiętana karta w aplikacji
- 2024-09-11 Velo -- zgłoszenie incydentu
- 2024-09-10 Velo -- kradzież czy bałagan?...
- 2024-09-10 Velo bank nie odpuszcza?...
- 2024-09-05 Velo jak zwykle bredzi...
- 2024-09-01 Od setki do setki...
- 2024-08-30 Velo ostrzega przed sobą?
- 2024-08-29 Nest -- polecenie