Citat:
tuxserbia: Zaboravljaš jednu sitnicu - poverenje. JA sam odlučio da verujem paketima koji dođu iz Debian i OpenBSD kuhinje. Za tvoj rad, mora da prođe neko vreme, da se JA uverim da nisi tamo neki, koji uvaljuje crypto-ransom-mal-ad i ostale papazjanije. To dođe vremenom, iskustvom, ili nedostatkom istog, šta znam.
Eventualno, što da ne?!?
Pa meni je svejedno. To je bilo hipotetičko pitanje. Ali, očevidno je da si razmišljao o tome, jer je to bila poenta pitanja.
Znači ti odlučuješ koje ćeš softverske pakete uzeti tako što koristiš faktor povjerenja. Pa, upravo to i ja govorim, ja isto koristim faktor povjerenja, jer nema šanse, da mogu da pregledam sav izvorni kod po pitanju sigurnosti. Naravno da vjeruje Theo De Raadtu po pitanju njegog sistema, jer sam OpenBSD još prije 15 godina koristio na više kompjutera. Danas ne koristim, ali koristim patch zakrpice koje naprave. Cijela zajednica od toga profitira.
Recimo koristim LibreSSL umjesto OpenSSL.
Ali ako razmišljamo logički, po čemu si se ti uvjerio ili mogao da se uvjeriš da Debian održavatelji tih paketa, ne prave papazjanije za koje bi se ti trebao uvjeriti prije nego što bi uzeo sistem koji bih ja napravio?
Znači apsolutno se nisi uvjerio. U Debian organizaciji postoji cijeli proces da se odobri određenim ljudima da uđu u organizaciju i da dobiju dozvole da postavljaju pakete.
Na primjer ne vjerujem da poznaješ ovog gospodina: Ahmed El-Said Atef El-Mahmoudy koji je u procesu:
https://nm.debian.org/public/process/aelmahmoudy i više o procesu je ovde:
https://wiki.debian.org/DebianMaintainer
Ali, ako u najvećim državnim organizacijama postoje uljezi, što ne bi bilo uljeza u Debianu? Pa, Debian ne provjerava svoje ljude kako recimo banka provjerava svoje klijente. To sve ide preko Interneta. Hahahaha. Koja sigurnost!?
Od 1000 ljudi, u svakom gradu na cijeloj zemaljskoj kugli, pronaći će se barem 5-10 ljudi kriminalaca na jedan ili na drugi način.
Ali, dovoljno je da je JEDAN od njih zloćudan.
i onda si rekao "eventualno što da ne?" -- pa zato što autori softvera, kojima isto tako svi moramo vjerovati na riječ da ne prave gluposti sa našim podacima, oni obično svoj softver potpisuju digitalnim potpisima, da bi mi znali da je to potpis od autora i da softver nije promijenjen. Dovoljna je mala promjena i podaci mogu da cure.
Zašto da ne -- to je olako rečeno. Ne treba nikome vjerovati da mu stavlja softver na računar, ako ima na tom računaru bilo kakve važne podatke, šifre, slike, dokumente.
Tokom mog kompajliranja sistema, u više navrata sam preuzeo istu verziju izvornog koda sa debian servera i usporedio MD5 hash-eve sa originalnom verzijom autora softvera i nisu bili isti. Na žalost nisam pravio zabilješke, da to zapamtim, na koje se to pakete odnosi. Ali krenuću opet kroz isti proces i usporediću onda MD5 sume sa raznim GNU/Linux distribucijama.
Ali dovoljno je da sam našao jedan paket koji nema istu sumu MD5 kao originalni autorov paket. To već znači da sistem nije siguran,
Šta to znači? Da je neko kod Debiana preuzeo pakete, prepakovao, pitanje je šta je stavio unutra i onda postavio kao originalnu verziju. Ja te provjere nisam radio radi sigurnosti, već čisto da usporedim imam li istu verziju, onda kad sam tražio sigurnosne zakrpice, koje Debian za mnoge pakete koristi.
I sad kad usporedim ovaj moj sistem, stabilniji je, barem kroz dojmove, 10 puta, starta se mnogo brže i nema baš nikakvih problema, dok sam sa Debianom imao.
Onda se pitam, ako mogu sam odraditi 400-450 glavnih paketa u par dana, zašto će mi Debian i povjerenje tim 1000 ljudi, od kojih ne znam ni koji od njih gdje živi niti šta radi niti kakve namjere ima.
Samo pogledaj koliko nesigurnosti ima kada se daje povjerenje tim hiljadu ljudi:
https://duckduckgo.com/?q=debian+software+compromised&t=ffab
I koliko će se to puta desiti da se ni ne primjeti ko je upao u Debian.
Ako ja radim distribuciju GNU/Linuxa, onda je radim sam i povlačim pakete direktno od autora, nema 1000 ljudi između mene i autora. Znači povećana je sigurnost. Napraviću program tako da to svako sebi može da odradi, ali da može i da čita program i da razumije šta program radi tokom njegovog izvršavanja.
Ali ako to radi 1000 ljudi, a oni još kompajliraju i kod kuće, a nebitno je i što se većina toga kompajlira na Debian serverima, onda je to 1000 puta nesigurnije.
Zašto?
Ja koristim manje od 450 paketa. Neko može da provali u kuće autora i da preko autora napravi probleme ili sami autori mogu da budu zloćudni.
Debian ima hiljade i hiljade paketa i preko 1000 ljudi održava te pakete.
Dovoljno je jednom od tih hiljadu ljudi ponuditi nešto novaca i već se može napraviti mogućnost špijuniranja ne samo pojedinačnih korisnika, već jednog znatnog broja Internet servera. A, kriminalci će neke stvari uraditi i bez novaca od trećih, za svoje potrebe.
Slobodan softver je super stvar, sigurnost je sigurno bolja nego na vlasničkom softveru Windows, ali sudeći po linkovima i po tome koliko se tih "distribucija" kompromitiralo, onaj ko tome vjeruje, ne zna šta radi i nije svjestan problema.