Magvas gondolat

Fél net a kernel.org törésétől hangos. A legtöbb hozzászólás, parázás arról szól, hogy mi van ha backdoort, malwaret, exploitot injektáltak a kernelbe. Az jutott eszembe, hogy mi van ha mégsem az volt a célpont? Bár az Androiddal jelentős teret nyert a Linux, egy olyan platformon, ami különösen alkalmas személyes adatok megszerzésére. Viszont a kernelbe való egyszeri belehackkelésnek, hosszútávon nincs értelme, hiszen a törés után a paranoid felhasználó inkább vár egy vagy két verziószámot. Emiatt kicsi az esélye, hogy az injectált kód elérje a célját.
Mi van, ha nem a kernel volt a célpont, hanem a git?
A kernel git alatt van tartva, mint ahogy több száz más project is. Ennek a meghackkelése nem csak a kernelhez biztosít kódinjektálási lehetőséget, hanem a többi kódhoz is. Ráadásul a git ugyanott van hostolva. Elég ha csak pár fejlesztő, vagy disztribúció tölti le a kódot és innen kezdve eggyel magasabb biztonsági szintről indulhatnak hackkerek, lévén egy projecthez commitolási lehetőséggel rendelkező user eleve megbízhatóbbnak számít.
Úgyhogy, azt mondom, vigyázó szemeiteket GIT-re vessétek.

( wachag | 2011. 09. 01., cs – 16:44 )

Mondjam, hogy épp most rakok fel egy git-et az otthoni szerverre? :-)

( Nyosigomboc v | 2011. 09. 01., cs – 17:25 )

Ezzel is ugyanaz a baj, mint a kernel kodjanak modositasaval: hogy az egesz repo ott van az osszes fejlesztonel, szoval az aldozatul esett gepeket ujrahuzzak, es felteszik valamelyik backupbol a teljes repot.

Raadasul egy ilyen kozvetett, git-en keresztuli tamadas eseteben sokkal tovabb kell, hogy eszrevetlen maradjon a backdoor.

--
Always remember you’re unique, just like everyone else.

( uid_6846 | 2011. 09. 02., p – 14:30 )

Célpont a felhasználó. Vigasztaljon minket annak reménysége, hogy "a Droidikákkal nem bírnak el".

( wwrreecckk | 2011. 09. 02., p – 17:49 )

Mivel git elosztott verziókezelő, szvzsz sokkal nehezebb úgy kompromittálni a commitokat, mint egy cvs esetén.