"Russian Oracle" - прикольно

User avatar
Siberian Cableman
Уже с Приветом
Posts: 1222
Joined: 02 Jan 2002 10:01
Location: Bellevue, WA

Post by Siberian Cableman »

Давайте по пунктам:

Давайте
- не в курсе про закладки, но вот недокументированные возможности в ОС фирмы майкрософт - это ее фирменная черта, начиная с ДОСа. О чем она кстати неоднокрадтно и говорила в заявлениях о том, что ее приложения должны работать на ее ОС лучше всех, за счет использования таких возможностей.

Я писал про то что ГосTехКоммисии России для получения сертификата предоставили ВЕСь код, со всеми API-ями, документированными и недокументированными. Кроме этoго вес или кусками етот код имеется еще у кучи контор, которые работают с Микрософтом. Примет извесной утечки кода nt4 и w2к это наглядно показывает, ушел он из MainSoft с машины под управлением 7-ого Red Hat-a :-). Кроме этого этот код целиком или кусками имеют университеты. Подозреваю, что наверное только Американские, но имеют. Что касается кто где быстрее работает, то Вы ведь не думаете что в начале людого приложения от Микрософта надо вызывать MainTurbo() API, и все полетит в 20 раз быстрее. Наверное что-то eсть, но существует полно програм которые в СВОЕЙ нише бьют Микрософт и без всяких недокументированных API-ев. Извините, но я не могу глубже поднимать эту тему поскольку связан обязательствами.

- Как это не знаем что имеется в Линуксе? Вы настолько плохо себе представляете процесс разработки ядра Линукса? В нем принятие решений предельно централизовано - решения для данной ветки ядра принимает один человек. Он же просматривает ВСЕ патчи. При этом каждый кусок кода обсуждается. Популярные места - широко обсуждаются. Причем весь код доступен и организован так, что нужное место в нем находится за секунды.

Поскольку Вы код виндов не видели, а я все-таки частью видел, то могу сказать что он тоже органозован вполне прилично. Под зoопарком я имел в виду сравниe прикладных программ, а не кернела, так что бы на выходе иметь функциональность Виндовс. Она уже у нас не разбираемая. Так вот там и проявляется весь заопарк, когда что-то с такой-то версией не работает, а она требует еще чего-то, и т.д. Ну обо всем написано уже кучи страниц. В Виндах, МС худо бедно, но следит что бы АПИ-и работали во всех виндах, и не надо было что-то добавлять или переставлять. При известной правильности рук, можно избежать 99% проблем. Ставить Линух с нуля приятно, но увольте там что-то менять на новые версии. Выползет куча проблем. И об етом уже тоже тонны страниц исписаны.
В виндовсе наоборот, как принимаются решения - никто не знает. Снаружи ничего не видно, кроме ряда противоречивых заявлений. К тому же существует практика замены системных DLL при установке соята от MS. Учитывая общий бардак, который царит в системе, когда установлено много софта, Вы никгда с полной уверенностью не можете сказать, откуда взялся тот или иной бинарный! файл.

Мне важно что вероятность того, что зловредный сотрудник МС что-то гадкое в систему засунет, гораздо меньше чем та, что какой-нибуд' хакер подсунет что-то в Линух. Под Линуксом, я понимаю, не пустой кернал, а весь set. Нафиг никому не нужен надзираюший за кернелом "один человек", если зловредный код будет в коде OpenSSL например. Совсем недавно, что-то такое было, буквально несколько строк. И славо богу, что нашли, но ведь ето говорит о том, что может существовать куча того, что не нашли. Верно? Уж в чем МС не обвиняли и в багах, и монополизме, но в том, что он закладки устанавливает вроде никогда :-)
Насчет закладок. Нужно ли вставлять закладки в саму систему? Или просто воспользоваться дырой в безопасности, как делают это многочисленные вирусы? Специально я не изучал, но у меня такое ощущение, что та волна спама, которая поднялась в последний год, основана как раз на дырках в виндовсе.

Не волнуйтись пофиксают баги, поставят firewall на входе и все будет, как у людей :-). Соларис до версии 2.4, кажется, был тоже плохой ОС, а сейчас одна из лучших Униксов. Так и с виндами будет.
User avatar
f_evgeny
Уже с Приветом
Posts: 10367
Joined: 12 Apr 2001 09:01
Location: Lithuania/UK

Post by f_evgeny »

Siberian Cableman wrote:
Давайте по пунктам:

Я писал про то что ГосTехКоммисии России для получения сертификата предоставили ВЕСь код, со всеми API-ями, документированными и недокументированными. Кроме этoго вес или кусками етот код имеется еще у кучи контор, которые работают с Микрософтом. Примет извесной утечки кода nt4 и w2к это наглядно показывает, ушел он из MainSoft с машины под управлением 7-ого Red Hat-a :-). Кроме этого этот код целиком или кусками имеют университеты. Подозреваю, что наверное только Американские, но имеют. Что касается кто где быстрее работает, то Вы ведь не думаете что в начале людого приложения от Микрософта надо вызывать MainTurbo() API, и все полетит в 20 раз быстрее. Наверное что-то eсть, но существует полно програм которые в СВОЕЙ нише бьют Микрософт и без всяких недокументированных API-ев. Извините, но я не могу глубже поднимать эту тему поскольку связан обязательствами.
.....
Поскольку Вы код виндов не видели, а я все-таки частью видел, то могу сказать что он тоже органозован вполне прилично. Под зoопарком я имел в виду сравниe прикладных программ, а не кернела, так что бы на выходе иметь функциональность Виндовс. Она уже у нас не разбираемая. Так вот там и проявляется весь заопарк, когда что-то с такой-то версией не работает, а она требует еще чего-то, и т.д. Ну обо всем написано уже кучи страниц. В Виндах, МС худо бедно, но следит что бы АПИ-и работали во всех виндах, и не надо было что-то добавлять или переставлять. При известной правильности рук, можно избежать 99% проблем. Ставить Линух с нуля приятно, но увольте там что-то менять на новые версии. Выползет куча проблем. И об етом уже тоже тонны страниц исписаны.
.....
Мне важно что вероятность того, что зловредный сотрудник МС что-то гадкое в систему засунет, гораздо меньше чем та, что какой-нибуд' хакер подсунет что-то в Линух. Под Линуксом, я понимаю, не пустой кернал, а весь set. Нафиг никому не нужен надзираюший за кернелом "один человек", если зловредный код будет в коде OpenSSL например. Совсем недавно, что-то такое было, буквально несколько строк. И славо богу, что нашли, но ведь ето говорит о том, что может существовать куча того, что не нашли. Верно? Уж в чем МС не обвиняли и в багах, и монополизме, но в том, что он закладки устанавливает вроде никогда :-)

- Наверное Вы полохо знаете историю продуктов Майкрософт. Я помню недокументированные возможности доса. С тех пор я стараюсь поменьше иметь дела с продуктами МС
- Я конечно Вас уважаю и Вам верю, но все-таки это только слова. То же, что Вы написали про Линукс, это не совсем правда, или выражаясь более определенно - совсем неправда. Нет никакой путаницы с версиями. Пока Вы пользуетесь софтом, поставляемым дистрибутивом, все работает из коробки. Если Вы ставите сторонний софт, необходимо иметь нужные версии используемых библиотек и т.д. Но, насколько мне известно это везде так, даже и в Виндовс. Кстати возможностей по настройке системы на работу с разными версиями библиотек в Линуксе побольше, технических и оргинизационных.
- Насчет вероятности закладок. Я тут ради любопытства набрал в Гугле Microsoft+"back door" и вытащил ссылку:
"Microsoft secret file could allow access to Web sites"
http://news.com.com/2100-1001-239273.html?legacy=cnet
Это правда? От себя же могу прокомментировать, что в своем родном дистрибутиве для людей, ответственных за устанавливаемый мной софт прослеживается короткая и прозрачная цепочка (Автор софта) -> (майнтанер софта в дистрибутиве, в данном случае в Дебиане) Имена и фамилии указаны прямо в пакете. Так что, в случае обнаружения закладок, я могу в течении получаса устроить дикий скандал с рассылкой писем автору софта, майнтанеру и руководству дистрибутива. В случае же с МС - есть только анонимный "сотрудник фирмы Майкрософт"
8K
Уже с Приветом
Posts: 5552
Joined: 20 Mar 2001 10:01
Location: SFBA

Post by 8K »

Siberian Cableman wrote:существуюшя практика development процесса в Микрософте, например, практически исключает ситуацию, что отдельный индивидуум, по собственному желанию засунет что-то гадкое в код

Блажен, кто верит.
Увидев друга, Портос вскрикнул от радости...
User avatar
Strannik223
Уже с Приветом
Posts: 569
Joined: 14 Dec 2003 04:06
Location: Львов->Киев->Торонто

Post by Strannik223 »

8K wrote:
Siberian Cableman wrote:существуюшя практика development процесса в Микрософте, например, практически исключает ситуацию, что отдельный индивидуум, по собственному желанию засунет что-то гадкое в код

Блажен, кто верит.


Дело в том что опытный програмист может замаскировать backdoor как багу и попробуй пойми было ли это намерено. Но это касается любых програм, независимо от метода разработки.
Никакой разрухи нет. (с) Проф. Преображенский.
User avatar
Siberian Cableman
Уже с Приветом
Posts: 1222
Joined: 02 Jan 2002 10:01
Location: Bellevue, WA

Post by Siberian Cableman »

8K wrote:
Siberian Cableman wrote:существуюшя практика development процесса в Микрософте, например, практически исключает ситуацию, что отдельный индивидуум, по собственному желанию засунет что-то гадкое в код

Блажен, кто верит.

Андрей, я ведь не зря написал практически, а не 100% процентов. Какая по Вашему вероятность что это сделает сотрудник Микрософта поставив под удар свою работу, карьеру, и так далее против того, что какой-то хакер анонимнозасунет закладку в Униксы? Уж Вы то прекрасно знаете, что не так много народу имеет код всего большого продукта целиком, чаще частями, что так же уменьшает вероятность гадости.
User avatar
Strannik223
Уже с Приветом
Posts: 569
Joined: 14 Dec 2003 04:06
Location: Львов->Киев->Торонто

Post by Strannik223 »

Siberian Cableman wrote:Какая по Вашему вероятность что это сделает сотрудник Микрософта поставив под удар свою работу, карьеру, и так далее против того, что какой-то хакер анонимнозасунет закладку в Униксы? Уж Вы то прекрасно знаете, что не так много народу имеет код всего большого продукта целиком, чаще частями, что так же уменьшает вероятность гадости.


1. Есть примеры когда чья то каръера и т д пострадала из за critical security bug? Поделитесь.

2. Зачем иметь код целиком для того что бы сделать закладку?
В OpenSource за каждую подсистему есть ответственный и если без его ведома вносятся изменения то уже этот факт приводит как минимум к выяснению отношений. Любой может сделать изменения в чужом коде но на это надо иметь серьезный повод и разрешение ответственного. В CVS цепляются тригера и ты следишь за изменениями подсистем которые тебе интересны и за которые ты ответсвенный.
Никакой разрухи нет. (с) Проф. Преображенский.
User avatar
f_evgeny
Уже с Приветом
Posts: 10367
Joined: 12 Apr 2001 09:01
Location: Lithuania/UK

Post by f_evgeny »

Siberian Cableman wrote:Андрей, я ведь не зря написал практически, а не 100% процентов. Какая по Вашему вероятность что это сделает сотрудник Микрософта поставив под удар свою работу, карьеру, и так далее против того, что какой-то хакер анонимнозасунет закладку в Униксы? Уж Вы то прекрасно знаете, что не так много народу имеет код всего большого продукта целиком, чаще частями, что так же уменьшает вероятность гадости.

Это как? Что-то я не понимаю. Например у меня есть проект. Ко мне в квартиру проползает по-пластунски хакер, включает ночью компьютер, логинится, вставляет закладку в CVS-дереве, в моей рабочей копии и в бэкапе, подчищает логи и исчезает через унитаз.
Или логинится через интернет и два файервола и проделывает то же самое?
А иначе я ведь обязательно замечу.
Ну предположим, я вставляю закладку сам. Как минимум могу предположить, что если моим софтом пользуются, то через неделю-две мне этот софт в лицо кинут и позора будет на весь интернет.
User avatar
Siberian Cableman
Уже с Приветом
Posts: 1222
Joined: 02 Jan 2002 10:01
Location: Bellevue, WA

Post by Siberian Cableman »

Ну вот Вам еще один пример, когда засунули что-то в код КDE, и все секюрити чеки и ответственные не помогли:

Code: Select all

Извините, конечно, за такую тупость, но мне просто стало интересно, насколько надежен метод разработки свободного софта и таких вещей, как совместная работа многих разработчиков и внесение ими множества изменений в код. Главная моя цель - узнать, насколько долго могут остаться незамеченными внедренные вредоносные коды. В тексте выше используется сохраненный пользователем пароль, поэтому можно было бы внедрить сюда вредоносный код. Но это уже уголовщина какая-то, поэтому я просто пишу тут невинный текст. Пользуясь, случаем, передаю привет: 1) ЛОРу 2) Самой лучшей девушке на земле - моей дорогой Кумке.

Взято с http://www.securitylab.ru/45100.html или
diff log: http://webcvs.kde.org/cgi-bin/cvsweb.cg ... =1.176&f=h
User avatar
zhitkoff
Уже с Приветом
Posts: 571
Joined: 13 Dec 2000 10:01
Location: Minsk ... Charlotte, NC

Post by zhitkoff »

Siberian Cableman wrote:Ну вот Вам еще один пример, когда засунули что-то в код КDE, и все секюрити чеки и ответственные не помогли:

Code: Select all

Извините, конечно, за такую тупость, но мне просто стало интересно, насколько надежен метод разработки свободного софта и таких вещей, как совместная работа многих разработчиков и внесение ими множества изменений в код. Главная моя цель - узнать, насколько долго могут остаться незамеченными внедренные вредоносные коды. В тексте выше используется сохраненный пользователем пароль, поэтому можно было бы внедрить сюда вредоносный код. Но это уже уголовщина какая-то, поэтому я просто пишу тут невинный текст. Пользуясь, случаем, передаю привет: 1) ЛОРу 2) Самой лучшей девушке на земле - моей дорогой Кумке.

Взято с http://www.securitylab.ru/45100.html или
diff log: http://webcvs.kde.org/cgi-bin/cvsweb.cg ... =1.176&f=h


Самое главное опустили :nono#:

Цитата из вашей-же ссылки:

В понедельник, 3 мая, русский хакер внедрил в исходный код KDE небольшое тестовое сообщение, целью которого была проверка “насколько надежен метод разработки свободного софта и таких вещей, как совместная работа многих разработчиков и внесения ими множества изменений в код”. Сообщение обнаружили спустя полтора часа после его внедрения.
tacmd
Roy
Уже с Приветом
Posts: 1234
Joined: 24 Nov 1999 10:01
Location: Seattle

Post by Roy »

У нас в группе не то, что закладку/троян - даже комментарии фривольные добавить не удастся. Каждый check-in проверяется двумя людьми. Начальство за этим следит весьма сильно. Насколько я знаю, в Виндоуз группе с этим ещё серьёзнее.

Return to “Вопросы и новости IT”