Προχθές ο μικρός μου αδελφός έμαθε στο σχολείο για τον Δούρειο Ίππο.
Κατά σύμπτωση, το απογευματάκι, μεταξύ άλλων ερωτήθηκε και το παρακάτω στο IRC:
<dizzy74> exw brei kapoies symboyles gia ta repos alla pws tha kserw oti einai swstes? <stavrosg> apo to kata poso empisteyesai tin pigi
Είμαι πεπεισμένος οτι είναι θέμα χρόνου να εμφανιστεί κάποιο κακόβουλο repository σε δημοφιλές site διανομής που απευθείνεται κατά βάση σε αρχάριους. Και όλοι θα εκπλαγούν.
Πολύ περισσότερο όσοι διαφημίζουν το linux ως “virus free” (κάτι που δεν ισχύει κυριολεκτικά έτσι κι αλλιώς)
Εντάξει, φυσικά και δεν πρόκειται να μετατραπεί αυτόματα σε spambot (ή χειρότερα) ένα μηχάνημα δεπτερόλεπτα αφού βγει on-line απροστάτευτο όπως συμβαίνει κάπου αλλού, αλλά ας μην πάμε και στην άλλη πλευρά, της υπερβολικής σιγουριάς, γιατί και αυτό είναι κακό.
Fuzz | 15-Mar-08 at 1:31 am | Permalink
Έχει ήδη γίνει, πριν 2 χρόνια περίπου κάποιος θέλοντας να τονίσει ακριβώς αυτό το πρόβλημα (με απλά λόγια το ότι το μεγαλύτερο κενό ασφαλείας είναι ο τελικός χρήστης) έβαλε σε ένα repo για ubuntu που διατηρούσε ένα πακέτο που άλλαζε το wallpaper με το παρακάτω: http://www.flickr.com/photos/trevi55/296804891/
Το θέμα είχε λάβει μια σχετική δημοσιότητα, νομίζω είχε δημοσιευτεί και στο slashdot.
stavros | 15-Mar-08 at 6:40 am | Permalink
Αχά! Για κάποιο λόγο δεν είχε πέσει στην αντίληψή μου το συγκεκριμένο συμβάν. Σε ευχαριστώ για την υπόδειξη.
Και σε κάθε περίπτωση, αυτό ενισχύει το συλλογισμό μου, εφόσον θα έπρεπε να είναι γνωστό γενικά, συνοδεύοντας τις προτάσεις για πηγές τρίτων.
fog | 16-Mar-08 at 6:59 am | Permalink
Το θυμάμαι, είχε γίνει χαμός στα ubuntuforums. Καμμιά προστασία δεν μπορεί να μας προστατέψει από τη “φυσική βλακεία”. Η στραβή μπορεί να έρθει από οπουδήποτε. Θα έρθει όμως μια ώρα αρχίτερα αν δεν προσέχουμε.
Το ότι κάτι είναι πιο δύσκολο να γίνει στο linux, δεν σημαίνει ότι δεν μπορεί.
cortlinux | 16-Mar-08 at 1:51 pm | Permalink
Μπορείς μήπως να εξηγήσεις περισσότερο τι είναι αυτό στο οποίο αναφέρεσαι και πως λειτουργεί;
Αυτό που κατάλαβα εγώ είναι ότι υπάρχει κάποιο κενό ασφαλείας… Λάθος;
stavros | 16-Mar-08 at 5:05 pm | Permalink
Το κενό ασφαλείας υπάρχει, ναι, και είναι δυστυχώς αδύνατο να κλείσει.
Αυτό το κενό λέγεται “άνθρωπος”.
Δηλαδή, το λειτουργίκο μπορεί να είναι όσο ασφαλές μπορεί να γίνει.
Ο διαχειριστής του εγκαθιστά κάποιο πρόγραμμα που υποτίθεται ότι κάτι που είναι επιθυμητό, ένα παιχνίδι για παράδειγμα.
Το πρόβλημα εντοπίζεται στο ότι το παιχνίδι μπορεί να συνοδεύεται και από μια λειτουργία που ΔΕΝ είναι επιθυμητή: Μια ρουτίνα αποστολής e-mail που λαμβάνει από κάποιο τρίτο πρόσωπο εν άγνοια του χρήστη.
Ή μπορεί να εγκαθιστά ένα keylogger, οπότε όταν εντοπίσει οτι βάζεις τον κωδικό για να συνδεθείς στο paypal ή συμπληρώνεις τα στοιχεία της πιστωτικής σου κάρτας να τα στέλνει πίσω στο δημιουργό του.
Τα παραπάνω είναι ο ορισμός του λεγόμενου trojan horse.
Φαντάσου τώρα οτι το παιχνίδι αυτό είναι ένα πολύ γνωστό παιχνίδι ανοικτού κώδικα και φυσικά τέτοιες ρουτίνες ΔΕΝ υπάρχουν στον κώδικά του. Και πως κάποιος φτιάχνει ένα πακέτο για το παιχνίδι που το μοιράζει μέσω κάποιου forum, στο οποίο όμως έχει προσθέσει τα προαναφερόμενα.
Πόσοι θα το κατεβάσουν πριν γίνει αντιληπτός; Εγώ λέω πολλοί.
stavros | 16-Mar-08 at 5:09 pm | Permalink
Ίσως όχι πάρα πολλοί για να αξίζει τον κόπο, και γι’αυτό δεν έγινε, αλλά εφόσον βρισκόμαστε ακόμα σε μικρό σχετικά στάδιο ανάπτυξης όσον αφορά το deksktop linux, θα πρέπει να διατηρήσουμε στο γενικό υποσυνείδητο οτι ΔΕΝ ΒΑΖΟΥΜΕ ΠΑΚΕΤΑ ΠΟΥ ΔΕΝ ΕΜΠΙΣΤΕΥΟΜΑΣΤΕ ΤΗΝ ΠΗΓΗ ΤΟΥΣ (δηλαδή που προέρχονται από μη επίσημα αποθετήρια). Υπάρχει βέβαια και ο κνδυνος κατάληψης κάποιου mirror από κάποιον που στη συνέχεια θα αντικαταστήσει τα πακέτα με άλλα, μολυσμένα, αλλά με την ψηφιακή υπογραφή των πακέτων αυτός ο κίνδυνος ελαχιστοποιείται (ως και αποσοβείται), γι’αυτό και άρχισε να εφαρμόζεται έτσι κι αλλιώς.