Názor k článku Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou od D.A.Tiger - [CPU] V prve rade si nemyslim, ze to byl...

[CPU]

V prve rade si nemyslim, ze to byl zpackanej utok nejakych script kidies. Tohle vypada na peclive naplanovanou a profesionalni akci. Utok byl miren na ssh a byl veden pres prostrednika (xz) a skodlivy kod se do programu dostal z testu. Myslim, ze tohle by ani toho nejsilenejsiho bezpecnostniho analytika, ani v tom nejhorsi nocni mure, pri vsi paranoii, ktere jsou takovy lide schopni, proste ani nenapadlo a utocnici to evidentne vedeli. Navic priprava jedne jedine zaskodnicke akce, trvala nekolik let, na to nemaji takovy lide trpelivost. A navic, nejvetsi hruza, ktera z toho plyne je ve dvou vecech: principialni jednoduchosti a zaroven v neuveritelnem dopadu.

Tvoje navrhy jsou sice krasne, ale maji - podle meho nazoru - dve zasadni chyby: Zavadeji do stavajiciho -jiz tak dost komplexniho - systemu dalsi urovne slozitosti a jaksi automaticky predpokladaji, ze jej budou vsichni respektovat. Jenze vyssi slozitost znamena dalsi riziko, vice moznosti pro utocnika a mensi pravdepodobnost odhaleni. A s tou nucenou spolupraci to ve sfere opensource neni - jak se uz leta ukazuje - taky tak zdaleka ruzove. Je naivni si myslet, ze to vsichni budou takto delat. To prepoklada vzajemnou dohodu, kooperaci, respektovani pravidel a standardu (a jejich tvorbu a udrozovani) a to jsou - aspon to tak vypada v dnesnim svete Linuxu - temer sprosta slova...

Ac beru v potaz, ze mas urcite kus pravdy, tak jsem presvedceny, ze reseni chce chladnou hlavu a hlavne spis zjednodusovani a vetsi transparentnost celeho systemu ...

30. 3. 2024, 22:39 editováno autorem komentáře