|
|
Пишет Русскоязычное Linux-сообщество (![[info]](http://lj.rossia.org/img/syndicated.gif){kind=small} lj_ru_linux)@ 2013-11-03 22:07:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Способ просунуть что угодно от имени "root"-a, который вы не заметили
Выходные пришли, а наброса в ru_linux нет. Непорядок.
Я уже публиковал посты по вопросам компьютерной безопасности
и о намеренном подрыве "честного computing'а" большими
корпорациями, действующими согласованно по общему плану.
Одно из таких направлений - лишение вас контроля за "вашим
собственным", якобы, компьютером, за который вы заплатили
свои деньги и которым как бы владеете.
Этот вопрос поднимал Ричард Столлман еще в начале 2000х.
Вот один простой пример: я хочу скачать и установить
какую-то программу. Какой будет технически оправданная
последовательность действий?
Таким менеджером является например "paco".
Он когда вы отдаете команду "make install"
(или любую другую, например, "cp xx /usr/local/bin")
автоматически перехватывает обращения к libc, связанные
с копированием, и автоматически создает список
файлов, принадлежащих пакету.
Никаких предварительных прописываний ничего при этом
не нужно.
ТЕПЕРЬ посмотрим на первую ступень подрыва технически
необходимой процедуры:
сайты начинают раздавать уже скомпилированные программы,
а менеджеры пакетов превращаются в копирователей с веб сайтов.
При этом происходят 2 вещи:
Это первая ступень подрыва. Red Hat (довольно давно, тогда
еще только начинавший свои игры), например, добавил к этой
схеме и еще несколько черт. Например, вместо использования
"открытого" формата пакетов, он сделал их "закрытыми" -
вместо стандартного tar'a or cpio он припихнул нечто
в начало cpio архива, сделав его нечитаемым стандартными
unix utilities.
(Еще Red Hat тогда же gratuitously, без технической нужды,
поперемещал библиотеки так, что его пакеты стали работать
на его машинах, но не на других (без каких-то заборов из
soft links, чтобы криво поправить ситуацию), даже при
полном совпадении версий библиотек.
Интересно, что многие пре-компилированные программы также
без нужды требуют совпадения точных малых версий библиотек,
т.е. используются для еще одной ступени подрыва технически
чистой системы -- вынуждения к upgrades, выгодных прежде
всего коммерческим компаниям, создавших этот метод
саботажа и выдавливания денег.
НО НА ЭТОМ КОММЕРЧЕСКИЙ ГЛИСТ НЕ ОСТАНОВИЛСЯ.
Следующая ступень саботажа, еще не слишком распространенная
в мире Линукса, но повсеместная в мире Windows - вообще
отказать в возможности скачать даже бинарник напрямую.
То есть:
В чем идея?
Во-первых, прокладка подпихивает вам дополнительные
"услуги" от Майкрософта, часто в виде, выдаваемом за
необходимые части целевой программы.
Но ГЛАВНОЕ В ТОМ, ЧТО скачав программу самостоятельно,
вы имеете возможность установить ее отключившись от сети.
(Т.е. я скачал как обычный пользователь, отрубил сеть,
запустил tcpdump, ставлю программу как root
(если опасаюсь, в root jail) и смотрю что она хочет
делать, куда стучится и т.д.) Я все еще - если подозреваю
нехорошее - могу до какой-то степени посмотреть что происходит.
Этот же порядок заставляет вас запустить программу-установщик
под "root"-ом, одновременно дав ему выход в сеть,
не оставляя вам альтернатив (кроме как иметь отдельный подопытный экземпляр ОС).
Таким образом ваша машина оказывается полностью открытой для
любых воздействий со стороны бинарного пакета, который
никто никогда (в отличие от программ в исходниках) даже
потенциально исследовать не может.
но практически никто из обычных пользователей, и даже
администраторов, особенно сегодня, в мире, где мозг линуксоидам
промывают мерзавцы из Убунту, этого не понимает
----------------------------------------
P.S. Понятно, что и это не конец истории. Несколько лет назад
я несколько месяцев работал не под линуксом, как всю свою
сознательную жизнь, а из-под Windows. Для меня стало откровением
то, что W. самостоятельно при моем выходе в сеть начинали
сгружать иногда больше десятка мегабайт неизвестного мне
мусора и устанавливать его на моей машине без моего спроса.
Несмотря на отмену мной всех доступных "upgrades" и т.д.
Понятно, что сегодня в коммерческом мире сами программы ходят
шпионить, стучать на якобы "хозяина" комьпютера и программ на
нем на сайты корпораций, и те могут отключать удаленно
части функциональности "вашего" компьютера или его целиком.
Этот хорошо спланированный, преднамеренный отъём у вас
права владеть и распоряжаться "вашим" имуществом есть
характернейшая черта западной "рыночной", т.е. паразитической
экономики. В ней проявляется общий закон паразитирования
как подрыва технически, инженерно выдуманных и обоснованных
процедур ради выгоды паразита.
Выходные пришли, а наброса в ru_linux нет. Непорядок.
Я уже публиковал посты по вопросам компьютерной безопасности
и о намеренном подрыве "честного computing'а" большими
корпорациями, действующими согласованно по общему плану.
Одно из таких направлений - лишение вас контроля за "вашим
собственным", якобы, компьютером, за который вы заплатили
свои деньги и которым как бы владеете.
Этот вопрос поднимал Ричард Столлман еще в начале 2000х.
Вот один простой пример: я хочу скачать и установить
какую-то программу. Какой будет технически оправданная
последовательность действий?
- (а) я пользуюсь веб браузером, либо чем-то вроде
wget, curl чтобы взять с сайта-распространителя
исходники и SHA1/MD5 checksums.
(b) проверив совпадение, я компилирую программу
и устанавливаю её на машине посредством некоего
менеджера пакетов/программ, который позволяет
мне следить за этим хозяйством.
Таким менеджером является например "paco".
Он когда вы отдаете команду "make install"
(или любую другую, например, "cp xx /usr/local/bin")
автоматически перехватывает обращения к libc, связанные
с копированием, и автоматически создает список
файлов, принадлежащих пакету.
Никаких предварительных прописываний ничего при этом
не нужно.
ТЕПЕРЬ посмотрим на первую ступень подрыва технически
необходимой процедуры:
сайты начинают раздавать уже скомпилированные программы,
а менеджеры пакетов превращаются в копирователей с веб сайтов.
При этом происходят 2 вещи:
- (а) я уже не знаю, что внутри скомпилированного. Точно
повторить компиляцию так, чтобы контрольные суммы совпадали,
для разного набора потрохов разных компютеров (даже одной
архитектуры), слегка разных версий библиотек и т.д.,
оказывается слишком громоздко.
Я могу только ВЕРИТЬ в то, что распространитель программ
"хороший"
(б) Меня "запирают" в точное соответствие большому числу
файлов данной distribution. Пакеты от Debian or RedHat
могут заработать или не заработать на моей Slackware.
Это первая ступень подрыва. Red Hat (довольно давно, тогда
еще только начинавший свои игры), например, добавил к этой
схеме и еще несколько черт. Например, вместо использования
"открытого" формата пакетов, он сделал их "закрытыми" -
вместо стандартного tar'a or cpio он припихнул нечто
в начало cpio архива, сделав его нечитаемым стандартными
unix utilities.
(Еще Red Hat тогда же gratuitously, без технической нужды,
поперемещал библиотеки так, что его пакеты стали работать
на его машинах, но не на других (без каких-то заборов из
soft links, чтобы криво поправить ситуацию), даже при
полном совпадении версий библиотек.
Интересно, что многие пре-компилированные программы также
без нужды требуют совпадения точных малых версий библиотек,
т.е. используются для еще одной ступени подрыва технически
чистой системы -- вынуждения к upgrades, выгодных прежде
всего коммерческим компаниям, создавших этот метод
саботажа и выдавливания денег.
НО НА ЭТОМ КОММЕРЧЕСКИЙ ГЛИСТ НЕ ОСТАНОВИЛСЯ.
Следующая ступень саботажа, еще не слишком распространенная
в мире Линукса, но повсеместная в мире Windows - вообще
отказать в возможности скачать даже бинарник напрямую.
То есть:
- (a) web site организуется с 'автоматикой' - автоматически
определяется ваша ОС. Найти директорию с файлами или невозможно,
или головная боль.
(б) вам предлагается скачать файл, обманно названный как
ваша программа (какой-нибудь skype.exe), которая на самом
деле является обманной ПРОКЛАДКОЙ:
это "менеджер скачиваний".
(в) он сам в процессе "установки" скачивает то, что вам надо
и проводит все процедуры установки, активации и т.д.
В чем идея?
Во-первых, прокладка подпихивает вам дополнительные
"услуги" от Майкрософта, часто в виде, выдаваемом за
необходимые части целевой программы.
Но ГЛАВНОЕ В ТОМ, ЧТО скачав программу самостоятельно,
вы имеете возможность установить ее отключившись от сети.
(Т.е. я скачал как обычный пользователь, отрубил сеть,
запустил tcpdump, ставлю программу как root
(если опасаюсь, в root jail) и смотрю что она хочет
делать, куда стучится и т.д.) Я все еще - если подозреваю
нехорошее - могу до какой-то степени посмотреть что происходит.
Этот же порядок заставляет вас запустить программу-установщик
под "root"-ом, одновременно дав ему выход в сеть,
не оставляя вам альтернатив (кроме как иметь отдельный подопытный экземпляр ОС).
Таким образом ваша машина оказывается полностью открытой для
любых воздействий со стороны бинарного пакета, который
никто никогда (в отличие от программ в исходниках) даже
потенциально исследовать не может.
но практически никто из обычных пользователей, и даже
администраторов, особенно сегодня, в мире, где мозг линуксоидам
промывают мерзавцы из Убунту, этого не понимает
----------------------------------------
P.S. Понятно, что и это не конец истории. Несколько лет назад
я несколько месяцев работал не под линуксом, как всю свою
сознательную жизнь, а из-под Windows. Для меня стало откровением
то, что W. самостоятельно при моем выходе в сеть начинали
сгружать иногда больше десятка мегабайт неизвестного мне
мусора и устанавливать его на моей машине без моего спроса.
Несмотря на отмену мной всех доступных "upgrades" и т.д.
Понятно, что сегодня в коммерческом мире сами программы ходят
шпионить, стучать на якобы "хозяина" комьпютера и программ на
нем на сайты корпораций, и те могут отключать удаленно
части функциональности "вашего" компьютера или его целиком.
Этот хорошо спланированный, преднамеренный отъём у вас
права владеть и распоряжаться "вашим" имуществом есть
характернейшая черта западной "рыночной", т.е. паразитической
экономики. В ней проявляется общий закон паразитирования
как подрыва технически, инженерно выдуманных и обоснованных
процедур ради выгоды паразита.
