Доступны предварительные результаты обратного инжиниринга вредоносного объектного файла, встроенного в liblzma в результате кампании по продвижению бэкдора в пакет xz. Изначально предполагалось, что бэкдор позволяет обойти аутентификацию в sshd и получить доступ к системе через SSH. Более детальный анализ показал, что это не так и бэкдор предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60885
Так то красиво.... не васян делал, контора
Очень сильно повезло что тормозило и стали копать.Как понимаю, дистры будут закручивать гайки после такого.
Интересно, как именно они будут это делать. Требовать паспорт с каждого разраба каждого пакета? Типа KYC идентификация.
Такая бюрократия не спасёт от криптопаяльника
Пришлось испытать на себе
KYC уже есть. Debian идентифицирует личности участников проекта, большое число проектов уже давно требуют DCO и/или CLA. Чтобы если с ними кто судиться вздумает — стрелки на автора патча перевести, это не проект нарушил ворох патентов, а автор патча!
Что интересно, это не помогло им протащить дырень в дистрибутив) Суть дебиана в бумажной работе.
OpenPGP ключи: https://www.opennet.ru/openforum/vsluhforumID3/133256.html#47
Нельзя исключать, что тормозило вот в том блоке, где while ( 1 ), намеренно. Это позволило убрать бэкдор после того, как кого надо поломали. Вроде-бы невыгодно, гораздо выгоднее убрать по-тихому, не привлекая лишнего внимания и не паля технику ... но кто знает, может весь этот шум ради чего-то затевался, напр. ради паралича опенсорс-экосистемы из-за закручивания гаек.
Цель явно была протащить это в стабильный ветки дистров, т.е. это было только начало.
Ну так АНБ вроде не просто так опубликовало документ о нулевой терпимости к анонимам. У них там целая стратегия как разных людей идентифицировать. В их идеале вообще неидентфицированных не останется.
А если за идентифицируемым можно следить и влиять на такого человека, так это вообще заявка на бога.
> Очень сильно повезло что тормозило и стали копать.а где описаны подробности, как спалили?
https://www.opennet.ru/opennews/art.shtml?num=60877
https://habr.com/ru/news/804163/
У этого кода была куча проблем, потому и нашли. Не особо и качественный, получается. Профессионалы таких косяков не допускают. А ведь достаточно было проверять исходники на соответствие и сканировать их на предмет мутных eval.
Скрипт расшифровки и запуска payload был спрятан в архиве с исходниками, в репозитории его не было. Так что это можно было распознать автоматическим сравнением коммита репозитория и архива с исходниками. GitHub и так делает архив со снимком исходников для каждого релиза, но любители системы сборки Autotools стремятся засунуть в архив с исходниками сгенерированный скрипт "configure" якобы для упрощения процеса сборки что в результате создаёт вектор атаки и упрощает сокрытие вредоносного кода.
Ну почему? В 90-х, например, были очень красивые полиморфные и шифрующиеся вирусы под MS-DOS, так что не стоит недооценивать силу Васянов)
Да и сейчас такое есть. Экзешник немного модифицируется и ни один антивирь его не палит, а если не палит, можно уже устраивать атаки уже на него. Единственная проблема доставка пользователю.
наоборот, у антивирусов это первая проверка по базе md5 (контрольных сумм) чистых экзе^W бинарников.
Одно другому не мешает, не то чтобы можно не проверять уже известный бинарь и не то чтобы можно было проанализировать все миллиарды новых присылаемых бинарей каждый день.
На борьбе с которыми поднялись конторы вроде кашперовского и теперь в каждом стандарте по ИБ значится, что их продукты (с закрытым проприетарным кодом) должны стоять на каждой машине каждого периметра всех объектов КИИ.
Никакого заговора, просто васяновщина...
Настроил такой идеальный, абсолютно защищенный сервер. Все запатчено, весь код просмотрен, подписан и верифицирован, все файрволы настроены. В общем идеал идеалович.
И тут приходит безопасник и говорит, что я обязан поставить на этот сервак антивирус (и это не только наши фсб-шные хотелки, это и nist и pci), который будет на регулярной обязательной основе скачивать какой-то код из интернета, который невозможно никак проверить, и исполнять этот код внутри себя каким-то своим особым образом. И никакого заговора, чистая васяновщина, да.
Довольный-лысый-мужик-потирает-щёчки.jpg
На рабочий ставьте, только пусть безопасник это не говорит, а напишет приказ.
Приходилось ставить Касперского одному заказчику по требованию их безопасников.
Касперский в Linux, модульно работает. В нём есть разные модули, например сканнер сетевого трафика, который режет пакеты и ломает сеть. Пришлось отключить соответствующий модуль.
На серверах БД, часто возникала проблема, что активно работающие БД сильно тормозил Касперский своими сканированиями, пришлось задать в специальное исключение пути и процессы БД, чтобы он оставил их в покое.
Таким образом мы фактически свели на нет его работу, он как бы и установлен по требованию безопасников, но толку от него нет, ему выкрутили максимально руки.
Видел Linux сервера, где Касперский установлен, но из его модулей работает только модуль проверки его лицензии, все другие модули отключены...
Зато безопасники спокойны, что соблюли требования какие то :)
Если вы устанавливаете этот антивирус на сервер, вы (какая ирония!) открываете его для дополнительных бэкдоров, созданных благодаря Антивирусу Касперского. Смех, да и только!
Тут главное, что это всех устраивает, бекдор никого не волнует.Это стандартная практика, когда security софт ставят не сами безопасники, они, как правило, не хотят сами ничего такого делать. Им важен отчёт для галочки, больше ничего. Хотя, если к безопасности подходить по уму надо вообще кардинально по другому всё делать, антивируса недостаточно, нужно систему максимально хардерить (о слова Hardening), а безопасники на это положить... если они вообще знают, что это такое.
Тут главное иметь письменный приказ безопасника, чтобы не быть виноватым.
Ну у современных безопасников часто бывает "для галочки". Порой эти введения больше мешают работать, чем реально добавляют безопасности.Всё потому что безопасностью никто не хочет заниматься. Это скучная и неблагодарная работа, которую незаметно на первый взгляд. Поэтому туда и идут только специалисты второго сорта, которых не взяли в разрабы/девопсы или вовсе бывшие чекисты.
Хотелось бы переломить эту ситуацию, но пока имеем что имеем.
> безопасники, они, как правило, не хотят сами ничего такого делатьО, как это знакомо! В нашей конторе отдел безопасников это искусственное инордное образофание, внедренное для дополнительного контроля ИТ-направления и мал-мала махинаций с госзакупками; состоит из гебешников, у них такая командировка называется, кажется, "Аппарат прикомандированных сотрудников" (АПС) или "Офицеры действующего резерва" (ОДР) - типа, "мы тожа кагбэ Штирлицы, но на родной скотобазе", плюс несколько спецов-айтишников, которые тянут на себе всю работу. Квалификация такого отдела в целом, конечно, ниже плинтуса. Думаю, в РФ везде такое же.
В большинстве мест, где я работал - безопасники выдавали требования (Вида чрезвычайно расплывчатого, полученные путем выкопировки из мутных документов госорганов) под которые можно было подтянуть примерно все, что угодно - и "Контрольные функции оставляю за собой".
Вы там эта... сделайте все хорошее против всего плохого - а если что, то мы вас накажем(Ц)
> Таким образом мы фактически свели на нет его работу, он как бы и установлен по требованию безопасников, но толку от него нет, ему выкрутили максимально руки.Могу вас поздравить, вы "стрелочник", когда будет ЧП, к вам в дверь стучать будут.
> Могу вас поздравить, вы "стрелочник", когда будет ЧП, к вам в дверь стучать будут.Не, я "прохаваный". Разумеется, я все аппрувы на эти действия получил от всех и ответственность не на мне.
> Не, я "прохаваный".Ну "спите спокойно", а шо там с "безопасТностью" дело последнее.
А нельзя ли безопасникам донести что лучше удалить бесполезный антивирь? Или до руководства что толку от такой безопасности не много. Ну или работу поменять. Зачем так жить?
> Ну или работу поменять. Зачем так жить?ну да в место настройщика стать безопасТником :)
> Настроил такой идеальный, абсолютно защищенный сервер. В общем идеал идеалович.Так вы настройщик или идеал-идеалович безопасТник?
> И тут приходит безопасник и говорит
И с какого бодуна, усли вы настройщик-идеал-идеалович безопасник.
пс: Настройщик ведь исполняет требования, в том числе и требования безопасников.
Ну кроме крутилок гаек и любителей копипаст с консультант.ру есть ещё там всякие профессионалы, эксперты, аналитики, просто хорошие умные люди.
Даже не все бесполезники плохие, они часто транслируют не своё мнение, а то что написано в принятых на высшем уровне стандартах. Одно "импортозамещение" чего стоит. Когда-нибудь видели счастливого от импортозамещения безопасника? Рыдают от счастья просто.
>Когда-нибудь видели счастливого от импортозамещения безопасника?а вы видели когда-нибудь сытого африканца?
>Одно "импортозамещение" чего стоит.
Самодурство, есть такое прекрасное слово.
пс: В лес беги, когда дурак свалился с печи!
сколько себя помню, clamav'ом затыкали бюрократическую дыру в pci dss.
> сколько себя помню, clamav'ом затыкали бюрократическую дыру в pci dss.а шо есть псиай дсс апрувед антивири?
>> сколько себя помню, clamav'ом затыкали бюрократическую дыру в pci dss.
> а шо есть псиай дсс апрувед антивири?нет. а шо?
а то, вспомнилась шутка про жвачку и дырку на МКС :)
> а то, вспомнилась шутка про жвачку и дырку на МКС :)это больше говорит о вашем (не)понимании предмета. требования сертификации пишут одни люди, имплементируют другие. огороженому unix-серверу антивирус как пятая нога, поэтому аудиторам замазывают глаза для галочки кламавом на каком-нибудь майлсервере уже хз сколько лет, везде, все.
Про каких-нибудь, прости господи, виндузятников не говорю. У них там своя кухня. Жвачка это или нет - опять же, ваше непонимание предмета. Объяснять почему не буду, не в коня лопата. :)
> поэтому аудиторам замазывают глаза для галочкиаа вот оно что, я то думал они с "залитыми" уже приходят :)
>> поэтому аудиторам замазывают глаза для галочки
> аа вот оно что, я то думал они с "залитыми" уже приходят
> :)зависит от страны, наверное) я пахал на загнивающем в основном. трудно обмылить всё до аудита, если аудит заказывают сами инвесторы, причем с двумя разными инфосек компаниями. Это если я тя правильно понял. :-D
Т.е. я правильно понимаю ситуацию - какой-то ноунейм пришёл и без проблем напросился мейнтейнером в проект, используемый в практически любом дистре, подмял его под себя, засунул туда бекдор и ни у кого не возникало никаких вопросов? При этом выяснилось все благодаря чистой случайности. Ноунейм накосячил в своём бекдоре, что привлекло внимание чела из майкрософта и он со скуки таки раскопал что к чему. А если бы не накосячил, или тот чел из майкрософта решил пойти попить пива вместо ковыряния в коде xz, то никто ничего не обнаружил бы.
Страшно представить, сколько таких ноунеймов сидят во всей этих тысячах опенсорсных проектов и ждут своего часа выкатить вредоносный патч.
Разумеется, без проблем. Потому что под дурака косить — это обно из любимых самооправданий злоумышленников.
А прикинь сколько таких бекдоров уже зашито? Не все же неудачники как он
Ну и не факт, что он только в одном проекте сидел. Может у него ещё десяток таких, где он пока не спалился. А если там ещё и целая компания таких бекдорщиков...
А если это акция МС? Вон и в венде libarchive с бэкдорами нашли уже, они либо совсем поехавшие эту дрянь кривую тянуть вообще куда-то, либо целенаправленно выбирают максимально грязный опенсорс.
по-моему не кривая и удобная либа.
> по-моему не кривая и удобная либа.https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=libarchive
М это только малая часть творящегося в ней ужаса, волосы стоят дыбом когда видишь как её пихают повсюду. А ещё она битые файлы собственного формата продуцирует.
Тысячи дистрибутивов, сотни мейнтейнеров, весь исходный код доступен и открыт и при этом вообще никто не проверяет НИЧЕГО. Тысячи глаз... скорее 1 случайность. За что они вообще пожертвования получают?
Всё так. Мантра про опенсорс открытый значит кто угодно может прочитать и потому там не может быть уязвимостей - не более чем буллшит. Никто ничего не читает, и открытость кода гарантирует ровно ничего.
И всё равно это лучше, чем проприетарщина.
Разарбов проприетарщины ты хоть, в большинстве случаев, к юридической ответственности принудить можешь, особенно если они продают свое поделие легальными способамиА что ты можешь сказать условному человеку, который мало того что через 3 впна сидит, так еще и успел создать трех твинков что бы стравить прошлого мейнттейнера?
> Никто ничего не читаетЭто правда
> и открытость кода гарантирует ровно ничего.
А это ложь. Открытость кода гарантирует, что код открыт. В закрытом коде даже прятать и извращаться с шелл-скриптами не пришлось бы
> Никто ничего не читает, и открытость кода гарантирует ровно ничего.Ответьте на один простой вопрос: зачем код закрывать?
Чтобы продать. Не все же воздухом свободы питаются.
> Чтобы продать. Не все же воздухом свободы питаются.Во-от. О том и речь. Код закрывается исключительно для получения личной наживы, больше ни для чего. И это на самом деле - воровство. В любом случае. Потому что вы берёте всё, что было создано людьми за всё время их существования и говорите: "Это моё, и только моё!" Но оно ведь не ваше - в этом мире нет вообще ничего вашего. Даже то, к чему вы приложили свой труд - не ваше. По одной простой причине - чтобы вы могли прилагать свой труд, вас сначала нужно вырастить, воспитать и обучить. А также предоставить вам необходимые инструменты - компьютер, язык программирования, компилятор/интерпретатор, операционную систему, еду, воду, жильё, рабочее место, электроэнергию. Всё это сделано, произведено и доставлено вам, но не лично вами. А значит и всё, что вы производите - уже не только ваше. Потому что без перечисленного выше списка предоставленных вам обществом ресурсов вы ничего создать не сможете.
Теперь касательно оплаты. Действительно, никто ни "воздухом свободы", ни святым духом питаться не может. Т.е. в обмен на ваш труд вы должны от общества получать необходимые для вашего существования ресурсы. В каком объёме? А пропорционально затраченному вами на труд времени. Кто будет платить? Вопрос чуть сложнее - с одной стороны по идее это должны делать непосредственно пользователи вашей программы. С другой - а сколько конкретно каждый будет платить? Вы затратили на создание программы n часов, и, допустим, первый же пользователь оплачивает ваш труд полностью. Тогда получается, что все затраты ложатся только на него. Но ведь могут быть и другие. В таком случае нужно распределять вашу зарплату и на них. Однако это сделать невозможно - мы не знаем, сколько всего их будет. Каков же выход? А он очень простой на самом деле - распределить вашу зарплату на всё общество целиком. Потому что, создав программу, вы помогаете не только её непосредственным пользователям, но и всему обществу в целом - пользователи ведь создадут свою продукцию с помощью вашей программы, она пригодится кому-то ещё, и т.д. Как создать такую экономическую систему, чтобы всё сказанное работало - подумайте сами, будет полезно.
> Даже то, к чему вы приложили свой труд - не ваше.Молодец. Номер карты, фио, дату и cvc напишите, пожалуйста. Ведь деньги на ней всё равно ваши...
"Не ваши", хотел написать. Яндекс клавиатура в сравнении с Xperia - ужас.
> "Не ваши", хотел написать. Яндекс клавиатура в сравнении с Xperia - ужас.Да, не мои. Но. Что такое деньги? Это средства обмена ресурсами (если коротко, подробней - смотрите здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml#TOC_id2...). Что показывают деньги в моих руках (на карте/в кошельке - неважно)? Что я осуществил некий общественно полезный труд и теперь имею право получить от общества определённое количество ресурсов для поддержания собственного существования. Это в идеале. Однако здесь нужно учитывать современный механизм ценообразования - цена отражает не объективные трудозатраты на производство товара, а лишь то, что мы думаем о его ценности для нас. Тогда как значение имеют именно трудозатраты, а точнее - рабочее время, потраченное на производство чего-либо. И именно за него мы платим на самом деле. Но это я немного в сторону отклонился.
Так вот - деньги не мои, но общество должно выделить мне необходимые для моего существования ресурсы. Потому что я трудился, внёс свой вклад в "общую" копилку, и теперь мне нужно скомпенсировать мои трудозатраты. Иначе я тупо сдохну. А это уже не в интересах общества - чем больше людей, тем больше они производят, тем больше прибавочный продукт, а значит - тем больше количество материальных и не материальных благ, доступных каждому члену общества. Т.е. я имею право на получение денег, а также на их трату по своему усмотрению. Но при этом они моей собственностью не являются.
А какой
> некий общественно полезный трудОсуществили и прочие лица, у которых "средств обмена ресурсами" больше, чем у всех нас?
* Олигархи и прочие лица...
> * Олигархи и прочие лица...Не в бровь, а в глаз. Я не зря написал выше про механизм ценообразования. Именно он позволяет получить в личный доступ человека ресурсов гораздо больше, чем было произведено им ранее (по эквиваленту). И это ни что иное, как паразитизм. Обсуждение того, что с этим делать и как, сегодня осуждается УК большинства стран мира (про все утверждать не возьмусь - кто его знает, что там и где понаписано). Но один вариант известен - поинтересуйтесь историей за 1917 год (это ответ на вопрос "Как?"). Не обязательно точь-в-точь, но, боюсь, в текущих реалиях чего-то подобного происходившему тогда уже не избежать никак.
"Правильный" же вариант ответа на вопрос "Что должно получиться в итоге?": сколько отработал человек, столько и получил. Независимо от занимаемой должности, или от чего-либо ещё. Количество отработанного измеряется рабочим временем. Там также нужно учитывать производительность труда, чтобы всё нормально работало, но это вы, если интересно, можете найти по ссылке из предыдущего моего поста - мне в десятый раз одно и то же переписывать лень.
> Количество отработанного измеряется рабочим временем.шахтёр вкалывал неделю в забое, потом спустил почти всё заработанное на час возни с красивой бабой. равноценный обмен?
> шахтёр вкалывал неделю в забое, потом спустил почти всё заработанное на час
> возни с красивой бабой. равноценный обмен?Во-первых, пример неудачный. Потому что если будет реализовано всё предложенное, и как надо реализовано, то у женщины не возникнет необходимости продавать себя за деньги.
Во-вторых, нет - не равноценный. Мадам работала один час, значит и должна получить столько же, сколько получает шахтер за час, а не за неделю.
> я осуществил некий общественно полезный труд и теперь имею право получить от общества определённое количество ресурсов для поддержания собственного существованияПрава тоже не имеешь. Может быть ты сможешь меня убедить продать тебе хлеб за рупь. А может и не сможешь, и купишь за пять. А может и вовсе вот тебе лично не продам, и попробуй меня заставить. И другим тоже скажу чтобы тебе не продавали. Они как и я, сами себе на уме, но иногда мы прислушиваемся к советам друг друга, особенно когда дело касается таких вот как ты, любителей посчитать чужое.
> Права тоже не имеешь.Почему вдруг не имею? Покупать что-либо я ведь буду у государства, а не у вас лично. И продавать тоже - государству. И зарплату мне тоже будет платить государство. Как и вам за ваш хлеб. И заставлять мне никого не придётся. Вам комбайн нужен, чтобы зерно для изготовления хлеба получить? Нужен. А я (гипотетически) рабочий на заводе, который эти комбайны изготавливает. И без меня никакого комбайна не будет - гайки крутить кто-то должен.
Если хотите подробней - смотрите здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml
"Профессор" разрешите спросить: что было первым, курица или яйцо??
> "Профессор" разрешите спросить: что было первым, курица или яйцо??Вы как-то слишком издалека заходите. Говорите прямо, чего хотите сказать, или не морочьте всем голову.
PS
Первой однозначно была курица (при этом она был не совсем курица) - эволюционная биология вам в помощь.
>> "Профессор" разрешите спросить: что было первым, курица или яйцо??
> Вы как-то слишком издалека заходите. Говорите прямо, чего хотите сказать, или не
> морочьте всем голову.
> PS
> Первой однозначно была курица (при этом она был не совсем курица) -
> эволюционная биология вам в помощь."профессор" а откуда взялась ПЕРВАЯ курица?? Я к тому что теория эволюции - дьявольская ложь.
Если человек произошел от обезьяны (а они не скрещиваются) то укажите от кого произошли шимпанзе??
И, будьте любезны - укажите предков дельфинов и китов - тоже МЛЕКОПИТАЮЩИХ...Что посеешь - то и пожнешь
> "профессор" а откуда взялась ПЕРВАЯ курица?? Я к тому что теория эволюции
> - дьявольская ложь.
> Если человек произошел от обезьяны (а они не скрещиваются) то укажите от
> кого произошли шимпанзе??
> И, будьте любезны - укажите предков дельфинов и китов - тоже МЛЕКОПИТАЮЩИХ...Что
> посеешь - то и пожнешьИ бог(боги), и дьявол существуют лишь у вас в голове. По остальному - почитайте учебники (рекомендую начать со школьных, затем перейти к вузовским, также рекомендую почитать Достающее звено С.В. Дробышевского). И да, на сколько мне известно, человек не происходил от обезьяны. У нас были общие предки, но обезьянами в строгом смысли они не являются. С шимпанзе наши дорожки "разошлись", если опять же правильно помню, порядка десяти миллионов лет назад. Всё это известно уже не одно десятилетие, подтверждено многочисленными находками. Разница может быть только в деталях - за давностью лет и из-за особенностей эволюционного процесса точные даты вряд ли когда-то станут известны. Ну и по мере накопления научных данных кое-что уточняется. Но сам принцип и так сказать схема процесса никаких сомнений не вызывают. Если кто-то утверждает обратное, он либо мошенник, либо невежда, либо сумасшедший.
>[оверквотинг удален]
> также рекомендую почитать Достающее звено С.В. Дробышевского). И да, на сколько
> мне известно, человек не происходил от обезьяны. У нас были общие
> предки, но обезьянами в строгом смысли они не являются. С шимпанзе
> наши дорожки "разошлись", если опять же правильно помню, порядка десяти миллионов
> лет назад. Всё это известно уже не одно десятилетие, подтверждено многочисленными
> находками. Разница может быть только в деталях - за давностью лет
> и из-за особенностей эволюционного процесса точные даты вряд ли когда-то станут
> известны. Ну и по мере накопления научных данных кое-что уточняется. Но
> сам принцип и так сказать схема процесса никаких сомнений не вызывают.
> Если кто-то утверждает обратное, он либо мошенник, либо невежда, либо сумасшедший."профессор" по существу ответьте - не уходите в сторону. Для справки - у меня высшее образование. Вы и воздуха не видите: что же его не существует?? Так как первокурица появилась??
Проблема: чтобы появилась ДНК нужна другая ДНК. Вопрос: как возникли первоДНК??(Ведь когда-то вселенной не было - то что мы подразумеваем под вселенной - четырехмерный пространственно-временной континуум. Когда-то и планеты Земля и Солнца не было...) Ответьте?? И еще: живое зарождается ТОЛЬКО от живого (опыты Пастера - это после выхода книжонки Дарвина доказано).
Таких фактов вагон и телега. Посмотрите фильм Яхья - Крах теории эволюции (стамбульский УНИВЕРСИТЕТ)
> "профессор" по существу ответьте - не уходите в сторону.Уже ответил - учебники вам в помощь. Или психиатр. Я бы на всякий случай сходил сначала ко второму. Если всё в порядке, тогда занялся бы первым. Если ни то, ни другое не поможет, то у меня для вас плохие новости...
>> "профессор" по существу ответьте - не уходите в сторону.
> Уже ответил - учебники вам в помощь. Или психиатр. Я бы на
> всякий случай сходил сначала ко второму. Если всё в порядке, тогда
> занялся бы первым. Если ни то, ни другое не поможет, то
> у меня для вас плохие новости...Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...
> Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...Да я не намекаю, я практически открытым текстом говорю)) А по остальному - попробуйте М. Никитина "Происхождение жизни. От туманности до клетки". Но лучше всё же для начала учебники - там достаточно сложная биохимия, без подготовки не разберётесь.
>> Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...
> Да я не намекаю, я практически открытым текстом говорю)) А по остальному
> - попробуйте М. Никитина "Происхождение жизни. От туманности до клетки". Но
> лучше всё же для начала учебники - там достаточно сложная биохимия,
> без подготовки не разберётесь.хорошо просмотрю - при условии что и вы посмотрите УНИВЕРСИТЕТСКИЙ фильм Харун Яхья - Крах теории эволюции. Устроит??
> хорошо просмотрю - при условии что и вы посмотрите УНИВЕРСИТЕТСКИЙ фильм Харун
> Яхья - Крах теории эволюции. Устроит??Забавно)) Мы не на торге, не хотите читать - не читайте. Мне всё равно - это вам надо, а не мне.
>> Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...
> Да я не намекаю, я практически открытым текстом говорю)) А по остальному
> - попробуйте М. Никитина "Происхождение жизни. От туманности до клетки". Но
> лучше всё же для начала учебники - там достаточно сложная биохимия,
> без подготовки не разберётесь.Для справки: я - победитель районки по биологии и республики по физике
> Для справки: я - победитель районки по биологии и республики по физикеИ это ровно ни о чём не говорит. Всё течёт, всё изменяется.
"Профессор" разрешите спросить: что было первым, курица или яйцо??
> Молодец. Номер карты, фио, дату и cvc напишите, пожалуйста. Ведь деньги на
> ней всё равно ваши...Что сказать то хотели, уважаемый?
говорит, что похоже на рассуждения грязных хиппи.
> говорит, что похоже на рассуждения грязных хиппи.А какая разница - чьи рассуждения? Как это влияет на их истинность/ложность?
Туда их, капиталистов
Надеюсь ты всю жизнь работал бесплатно.
И от пенсии тоже отказался, тк ты апросто взял "всё, что было создано людьми за всё время их существования" и возможно добавиль чуть-чуть сверху.
И то не факт, что оно было полезное.
> Надеюсь ты всю жизнь работал бесплатно.
> И от пенсии тоже отказался, тк ты апросто взял "всё, что было
> создано людьми за всё время их существования" и возможно добавиль чуть-чуть
> сверху.А это всё здесь причём?
> И то не факт, что оно было полезное.
Это не мне решать))
> А это всё здесь причём?А при том, что ты обвиняешь людей, которые создают что-то новое (да, на фундаменте, но все равно новое) в воровстве.
> Код закрывается исключительно для получения личной наживы, больше ни для чего. И это на самом деле - воровство.И я надеюсь что такой честный человек как вы, ничего не украли, и работали исключительно бесплатно всю жизнь.
> Потому что вы берёте всё, что было создано людьми за всё время их существования и говорите: "Это моё, и только моё!" Но оно ведь не ваше - в этом мире нет вообще ничего вашего.
Я беру фундамент старого дома и строю на нем новый.
А иногда приходится и сам фундамент выкорчевывать, тк его строили плохо.> Даже то, к чему вы приложили свой труд - не ваше.
А тут я могу просто и без зазрений совести постать тебя на Хурд, к прочим коммунякам.
Т.к я свой труд ценю. Я много учился чтобы делать качественно. А тут такие заявления.
> А при том, что ты обвиняешь людей, которые создают что-то новое (да,
> на фундаменте, но все равно новое) в воровстве.Если они не закрывают код - нет не обвиняю. В противном случае - это именно воровство. Можете опровергнуть - опровергайте. Пока никаких аргументов против этого утверждения вы так и не привели.
> И я надеюсь что такой честный человек как вы, ничего не украли,
> и работали исключительно бесплатно всю жизнь.Воровать - не воровал никогда. А вот насчёт работать бесплатно - с чего бы вдруг? По-моему я довольно наглядно описал, почему каждый трудящийся имеет право на получение ресурсов за свой труд. И в каком именно количестве.
> Я беру фундамент старого дома и строю на нем новый.
> А иногда приходится и сам фундамент выкорчевывать, тк его строили плохо.И что? Вы всё равно базируетесь на знаниях, накопленных за всю историю человечества. И дом вы строите не с нуля. Вы же сами глину не добываете? Разработав перед этим все необходимые инструменты и изготовив их? Или быть может вы строите дом голышом? Или всё же в одежде? Которую для вас кто-то сшил?
> А тут я могу просто и без зазрений совести постать тебя на
> Хурд, к прочим коммунякам.
> Т.к я свой труд ценю. Я много учился чтобы делать качественно. А
> тут такие заявления.Да, конечный продукт вашего труда - не ваш. Если быть до конца точным - он принадлежит обществу. Членом которого вы являетесь, т.е. - и ваш тоже. Но полностью вам он принадлежать не может. Общество может доверить вам распоряжаться им по своему усмотрению, но при этом он отнюдь не переходит в вашу собственность.
В остальном - вы можете посылать меня куда угодно, от меня не убудет. Или обвинять коммунистов в чём угодно - от них тоже. Суть от этого не поменяется: коммунисты дали людям космос, ГОЭЛРО, мирный атом, города. А такие, как вы - множество войн, нацизм, фашизм, разруху и вымирание целых народов.
> Если они не закрывают код - нет не обвиняю. В противном случае - это именно воровство. Можете опровергнуть - опровергайте. Пока никаких аргументов против этого утверждения вы так и не привели.Бремя доказательства лежит на обвиняющем. Вы обвиняете меня и прочих людей в воровстве.
Ладно если бы в нежелании делиться, но нет, именно в воровстве.
Может у вас свое "особенное" определение воровства, которое отличается от всего что мне попадалось что в УК, что в религиозных книгах.
Так докажите, что это воровство!> Воровать - не воровал никогда. А вот насчёт работать бесплатно - с чего бы вдруг? По-моему я довольно наглядно описал, почему каждый трудящийся имеет право на получение ресурсов за свой труд. И в каком именно количестве.
То что было написано "В каком объёме? А пропорционально затраченному вами на труд времени." это реально 'тут мерилом работы считают усталость')).
Возьмем 2 рабочих. Один из них будет 10 часов носить кирпичи, а второй возьмет тачку и сделает работу за 2 часа и лежит книжки читает. По вашей логике больше "ресурсов" должен первый.
Или взять меня, который для того чтобы делать работу быстро и качественно учился 10 лет. А мой сокурсник тоже учился 10 лет, но работает продавцом на рынке.
Как определить сколько "ресурсов" должен получать каждый?> И что? Вы всё равно базируетесь на знаниях, накопленных за всю историю человечества. И дом вы строите не с нуля. Вы же сами глину не добываете? Разработав перед этим все необходимые инструменты и изготовив их? Или быть может вы строите дом голышом? Или всё же в одежде? Которую для вас кто-то сшил?
И? Это не делает дом достоянием общественности.
> Да, конечный продукт вашего труда - не ваш.
Звучит как бред)
> Если быть до конца точным - он принадлежит обществу. Членом которого вы являетесь, т.е. - и ваш тоже. Но полностью вам он принадлежать не может.
Я могу приготовить пирожок и сьесть в одно лицо.
И обществу достанутся только отходы моей жизнедеятельности (это конечно тоже удобрение, но я бы его за пирожок не считал).> Общество может доверить вам распоряжаться им по своему усмотрению, но при этом он отнюдь не переходит в вашу собственность.
Еще как переходит. Я сделал себе палку копалку, и никому ее просто так не отдам.
> Суть от этого не поменяется: коммунисты дали людям космос, ГОЭЛРО, мирный атом, города. А такие, как вы - множество войн, нацизм, фашизм, разруху и вымирание целых народов.
Так коммми и шашики это братья!
Кто был союзником с 39 по 41год? С кем делили полльяков? Кто и с кем проводил парад в Бресте?
А массовые уббийства и терррор? Лагеря смерти гуллагга?
Шарашки, где убивали лучших людей типа Королева? Насильственное переселение целых народов?
Я уже молчу, что коммми хватило только на земную орбиту, а капитализм доставил человека на луну.
> Так докажите, что это воровство!Уже доказал (если нужно ещё подробней, то читайте здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml#TOC_id2...). А вот вы никаких контраргументов так и не привели.
> То что было написано "В каком объёме? А пропорционально затраченному вами на
> труд времени." это реально 'тут мерилом работы считают усталость')).
> Возьмем 2 рабочих. Один из них будет 10 часов носить кирпичи, а
> второй возьмет тачку и сделает работу за 2 часа и лежит
> книжки читает.2 часа работал - получит за два часа. Или мне нужно очевидные вещи объяснять? Тогда это уже не ко мне - я к сфере медицины и к психиатрии никакого отношения не имею, с такими людьми работать не обучен.
> И? Это не делает дом достоянием общественности.
Ещё как делает. Потому что без "общественности" не было бы вас и ресурсов, необходимых для постройки, а значит и дома.
> Звучит как бред)
Обоснуйте. Иначе это просто попытка оскорбить собеседника. Оскорбление - признание собственно неправоты. В общем-то на этом можно было бы и закончить, однако мне скучно, поэтому - продолжим.
> Я могу приготовить пирожок и сьесть в одно лицо.
> И обществу достанутся только отходы моей жизнедеятельности (это конечно тоже удобрение,
> но я бы его за пирожок не считал).И что? Я разве не написал выше, что общество должно выделять вам ресурсы для поддержания вашего существования? Это в его же интересах.
> Еще как переходит. Я сделал себе палку копалку, и никому ее просто
> так не отдам.Если вы живёте один - никаких проблем. А если в группе, понадобится - заберут, и ничего спрашивать не будут. Если так решит группа. Почему так - тоже не вариант, читайте здесь: http://samlib.ru/editors/b/bobylew_j_w/cap.shtml.
> Так коммми и шашики это братья!
Да что вы говорите)) "Вот ты и попался, гад ползучий". А если серьёзно - дайте определение фашизму и коммунизму, потом поговорим.
> Кто был союзником с 39 по 41год? С кем делили полльяков? Кто
> и с кем проводил парад в Бресте?Союзником, серьёзно? Садитесь - по истории у вас кол, оставляем на второй год. И это уже почти не шутка - почитайте, что реально тогда происходило, потом поговорим. Заодно потом друзьям объясните разницу между союзом и пактом о ненападении.
> А массовые уббийства и терррор? Лагеря смерти гуллагга?
Этот бред разобран уже сотни раз, с научными обоснованиями и документальными свидетельствами. Поэтому я даже ничего писать тут не буду - захотите, сами найдёте, нет - жизнь всё равно рано или поздно покажет кто был прав, а кто - нет. Правда, не факт, что все ученики доживут до момента осмысления полученных уроков - жизнь очень жестокий учитель.
> Шарашки, где убивали лучших людей типа Королева? Насильственное переселение целых народов?
Прям убивали)) Так, что Солженицына аж от рака зачем-то вылечили. Наверное, чтобы удовольствие растянуть. А переселение народов - да, было. И на мой взгляд - это ошибка и трагедия. Но судить я никого не возьмусь - я тогда не жил, и не видел, что происходило. А также читал например "Стратегический очерк Великой Отечественной войны 1941-1945 гг.", подготовленный для Генштаба. И у меня волосы на голове шевелились. А ведь там ничего такого, просто сухое изложение событий и фактов. Если же потом послушать рассказы, например людей, переживших блокаду Ленинграда... Честно - таких, как вы, удавить хочется. Но я этого не делаю, потому что понимаю, что состояние вашей головы - это не только ваша вина.
> Я уже молчу, что коммми хватило только на земную орбиту, а капитализм
> доставил человека на луну."Луна" - пишется с большой буквы. Если вы конечно имели ввиду спутник Земли. А по сути вопроса: если не дурак, ответ найдёте сами, почему получилось именно так, а не иначе. Нет - да мне в общем без разницы, что вы об этом думаете. В конце концов поговорка "Жизнь дураков ничему не учит" - вполне верная.
>> Так докажите, что это воровство!
> Уже доказал (если нужно ещё подробней, то читайте здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml#TOC_id2...).
> А вот вы никаких контраргументов так и не привели.Разве?
Я могу приверсти как аргумент статью 158 УК РФ, или даже библию (чего мне делать не хотелось бы).
Там четко написано что такое воровство, а что такое нет.
Считать доказательством какую-то книжку в интернете - это слишком круто.> 2 часа работал - получит за два часа. Или мне нужно очевидные вещи объяснять? Тогда это уже не ко мне - я к сфере медицины и к психиатрии никакого отношения не имею, с такими людьми работать не обучен.
Понятно.
Т.е мы будем награждать не за объем выполенного труда, а за просиживание штанов.
Штож, медицина тут бессильна, боюсь даже психиатрия не поможет.
Зато становится ясно, почему совок развалился)> Ещё как делает. Потому что без "общественности" не было бы вас и ресурсов, необходимых для постройки, а значит и дома.
А если я попал на необитаемый остров в одних драных труселях и пострил дом там?
Что ж вы крутителсь как уж на сковородке? Боитесь признать что я, постороивший дом, ничего этому обществу не должен?>> Звучит как бред)
> Обоснуйте. Иначе это просто попытка оскорбить собеседника. Оскорбление - признание собственно неправоты.А не это же самое вы написали чуть выше? Попытка принизить собеседника: "Или мне нужно очевидные вещи объяснять? Тогда это уже не ко мне - я к сфере медицины и к психиатрии никакого отношения не имею"
Я построил дом, своими руками.
Ресурсы на его постройку я зарабатывал сам или получил от моих родителей.
С какого перепугу он теперь общественный?> И что? Я разве не написал выше, что общество должно выделять вам ресурсы для поддержания вашего существования? Это в его же интересах.
А кто будет определять кол-во ресурсов? А кто будет их распределять?
Уже проходили страшные дни, когда рабочий люд получает клеб с опилками, а ЧКшник получает мясо.
Возможно вы жили в какой-то идеальной стране и вам не приходилось стоять в очередях часами за дефицитом, договариваться за товары "из-под-полы" или стоять в очереди за автомобилем 8 лет.
Что ж, я могу позавидовать вашей сытой жизни!>> Еще как переходит. Я сделал себе палку копалку, и никому ее просто > так не отдам.
> Если вы живёте один - никаких проблем. А если в группе, понадобится - заберут, и ничего спрашивать не будут. Если так решит группа.А если группа решила "каждый себе сделавший копалку, ею обладает и никто не може у него ее забрать, а то его всей группой бить будем" ?
Что в общем-то подпадает под свод законов и правил.>> Так коммми и шашики это братья!
> Да что вы говорите)) "Вот ты и попался, гад ползучий". А если серьёзно - дайте определение фашизму и коммунизму, потом поговорим.Так поэтому и братья, а не знак равенства!
А общего у них довольно много.
Например если посмотреть на фашизм Муссолини, то он начинал с социализма, но когда пришел к фашизму, то програма его партии включала в частности: "создание органов власти, управляемых представителями рабочих", "принуждение землевладельцев обрабатывать свои земли либо экспроприация земель с последующей передачей кооперативам фермеров", "установление прогрессивного налога на капитал, эквивалентного одноразовой частичной экспроприации всех богатств".
Что-то напоминает, не правда ли?Если говорить про нацизм гитлеровской германии, то тут тоже есть довольно интересные пересечения: например, отец нации который почти бог, единая партия, единая официальная идеология, поиск врагов внешних и внутренних, политика террора, широтое использование лагерей (в частности лагерей смерти).
>> Кто был союзником с 39 по 41год? С кем делили полльяков? Кто и с кем проводил парад в Бресте?
> Союзником, серьёзно? Садитесь - по истории у вас кол, оставляем на второй год. И это уже почти не шутка - почитайте, что реально тогда происходило, потом поговорим.Хм.. давайте посмотрим.
Есть два стула, т.е два государства.
Они заключают пакт, в секретных протоколах договариваются о разделе третего государства.
Договариваются напасть одновременно (одни в силу безалаберности опаздывают на 17 дней, а может делает специально).
После этого они захватывают страну, немцы передают советам бресткую крепость и проводят, под предводительством генералов Хайнца Гудериана и Семёна Кривошеина совместный германо-советскоий военный парад в Брест-Литовске.
Очевидно что они не были союзниками, и все произошедшее это просто случайность! (сарказм если что).> Заодно потом друзьям объясните разницу между союзом и пактом о ненападении.
А протоколы к пакту вы учитываете или нет?
>> А массовые уббийства и терррор? Лагеря смерти гуллагга?
> Этот бред разобран уже сотни раз, с научными обоснованиями и документальными свидетельствами.
> Поэтому я даже ничего писать тут не буду - захотите, сами найдёте, нет - жизнь всё равно рано или поздно покажет кто был прав, а кто - нет.Да, конечно никаких лагерей не было. И массовых убийств тоже не было.
Так просто откуда-то появились братские могилы с черепами застрелиеными в затылок.> Правда, не факт, что все ученики доживут до момента осмысления полученных уроков - жизнь очень жестокий учитель.
Согласен, к сожалению многие ничему не научились.
И теперь уже новый фашизм напал на соседнюю страну рано утром, как завещал фюррер.> Прям убивали)) А переселение народов - да, было. И на мой взгляд - это ошибка и трагедия. Но судить я никого не возьмусь - я тогда не жил, и не видел, что происходило.
О, эталонное "всей правды мы никтогда не узнаем" помноженное на "на верху знают что делают"
> А также читал например "Стратегический очерк Великой Отечественной войны 1941-1945 гг.", подготовленный для Генштаба. И у меня волосы на голове шевелились. А ведь там ничего такого, просто сухое изложение событий и фактов.
Это вы про то как в начале войны массово сдавались в плен?
Или как потом заваливали мясов окопы врага? Без обмундирования и оружия?> Если же потом послушать рассказы, например людей, переживших блокаду Ленинграда... Честно -
> таких, как вы, удавить хочется. Но я этого не делаю, потому что понимаю, что состояние вашей головы - это не только ваша вина.А там было про меню в столовой Смольного? Или это неудобная правда)?
Я уже молчу что на нюрнбергском процессе прокурорам СССР не удалось доказать вину немцев.
Неужели вы их обвините в предвзятости или халатности?
Или будете отрицать результаты Нюрнбергского процесса?А вот в начале 50х было "Ленинградское дело", может вы о нем слышали. Где оказалось что куча народу работавших во время блокады секретарями райкомов партии, председателями райисполкомов и даже более высокие должности оказались предателями.
Какая неожиданность.
(Это я к распределению ресурсов за труд и то кто и как будет их распределять)
Правда буквально через 4 года, после смерти усцатого тирана в своей же луже, оказалось что признания из них добавались пытками...> Нет - да мне в общем без разницы, что вы об этом думаете.
А чего так много написали?))
> В конце концов поговорка "Жизнь дураков ничему не учит" - вполне верная.Согласен, а у нас на руси их на 100 лет вперед припасено.
Сейчас они удобряют соседские черноземы, я а не знаю как буду друзьям в глаза смотреть. Если они доживут до момента, когда мы наконец-то сможем встретиться.
А что, есть много желающих купить _код_? На ум приходят примерно 3,5 проекта типа Винды, у которых исходники представляют какой-то интерес, да и то больше с целью поиска уязвимостей, нежели пересборки для последующей перепродажи. Код как таковой давно уже никому не интересен, интересно только оптимальное решение бизнес-задач при имеющихся ограничениях. Поэтому Azure и O365 приносят за год Майкрософту больше денег, чем весь остальной их бизнес вместе взятый.
> А что, есть много желающих купить _код_?а эту вот страницу тебе _код_ рисует? исходный? или всё-таки сделанный из него *продукт* (браузер называется)?
понятно, что на ланете "Опенсорс" эти понятия почти тождественны (как мука и хлеб из неё), но Вселенная Софта всё же пошире вашей планеты...
так вот, вне вашейесли у тебя нет муки, хлеб ты сможешь изпечь разве что из спор грибов. но всегда можешь купить готовый хлеб да...
да что ж такое...* вне вашей планеты
а если кому-то хлеб покажется особенно вкусным - можно ему продать весь хлебозавод...
Поставьте нормальную клавиатуру
Плохой аргумент про муку и хлеб: код не является физическим объектом, как и созданные из него артефакты. Так что да, эту страницу мне рисует код. Исходный. После обработки другим исходным кодом, и так до самого ALU, где можно наконец-то впервые разглядеть какое-то физическое явление, да и то происходящее в микромире, в котором понятия «мука» и «хлеб» определить невозможно.
> За что они вообще пожертвования получают?А сколько Ваших пожертвований они получили?
ну а кто должен за тебя проверять. ты же не стал
>какой-то ноунейм пришёл и без проблем напросился мейнтейнером в проект, используемый в практически любом дистре, подмял его под себяУбедл предшествующего мейнтейнера в его некомпетентности и неспособности руководить проектом. Тот безропотно согласился и добровольно ушёл.
Вот в чём сила CoC, брат!
Если мейнтейнер тряпка, то что с CoCом, что без CoCа он бы свой проект отдал.А может человек просто устал и ему проект просто надоел, но врожденная обязательность не позволяла бросить.
Но это уже не важно, тк это просто показало, как супер-важный-пакет пилится двумя васянами, один из которых аноним, да еще и засланец.
> мейнтейнер тряпкаОн просто устал и мухожук.
> Если мейнтейнер тряпкаУ него проблемы со здоровьем:
"... I haven't lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things. Recently I've worked off-list a bit with Jia Tan on XZ Utils and perhaps he will have a bigger role in the future, we'll see.
It's also good to keep in mind that this is an unpaid hobby project..."
В целом, это атака не на конкретного ментейнера или конкретный код, а на модель bazaar как таковую. Опенсорс — он весь построен из таких кубиков, которые берутся в расчёте на добросовестность изготовителей этих кубиков.
Впрочем, нынче количество опенсорсных библиотек таково, что в самой лютой проприетарщине они используются.
>JavaScript RequiredНифига не доступны.
> shell-скрипт
> grep head tail tr sed awkможет, пора уже выпилить этот колхоз из системы?
Согласен, одно баша было бы достаточно, а пользователи устаревших шеллов пусть страдают.
>Согласен, одно bat было бы достаточно
Хм, придумал для троллинга: там где сделали Sed, Мелкомягких хватило только на Bat. Когда Билл Г. понял бесповоротность случившегося плохого, то отошёл от дел и крупно занялся благотворительностью.Вот так вот: Венда - это трагедия неудачи. ;)))))))))))))))))
Подсказать систему без этого колхоза? Там, правда, сделали аналог и туда сунули сразу дотнет, чтоб неповадно было.
> может, пора уже выпилить этот колхоз из системыНет, не пора.
Этими инструментами работы с текстами пользуются талантливые разработчики. Остальным _кажутся_ не нужным.
Ещё это функционал API администрирования. Утилиты текстом сообшают в std. out. и std. err., а эти утилиты служат для разбора ответа.
Что точно пора, так это перестать программировать на шелл и идти учить саму систему и язык системы Си и Раст.
PLOT TWISTВыясняется что это АНБ, оно отправляет зондеркоманду к исходному автору ХЗ, и он впиливает обратно более лучшую версию бэкдора :DD
>> более лучшуюТак нельзя. Просто "лучшую" или "более хорошую".
А в принципе вообще лишняя зависимость (и неоправданно тормозная), везде где было lzma вместо deflate, сейчас заменяется на zstandard. Если так смотреть, то в основном помойные пакеты завязаны, вроде гнома и гномолиб на расте (вместе с самим растом). Пара околосистемных либ тоже правда.
app-arch/xz-utils-5.4.2 pulled in by:
@system requires app-arch/xz-utils
app-accessibility/at-spi2-core-2.50.2 requires app-arch/xz-utils
app-arch/libarchive-3.7.2-r2 requires >=app-arch/xz-utils-5.2.5-r1[abi_x86_64(-)]
app-misc/mc-4.8.30-r2 requires app-arch/xz-utils
app-portage/eix-0.36.7-r1 requires app-arch/xz-utils
app-portage/elt-patches-20240324 requires app-arch/xz-utils
cross-i686-linux-musl/linux-headers-6.6-r1 requires app-arch/xz-utils
cross-x86_64-linux-musl/linux-headers-6.6-r1 requires app-arch/xz-utils
dev-build/gtk-doc-am-1.33.2 requires app-arch/xz-utils
dev-debug/gdb-14.2 requires app-arch/xz-utils
dev-lang/python-3.11.8_p1 requires app-arch/xz-utils:=, app-arch/xz-utils:0/0=
dev-lang/rust-1.76.0-r1 requires >=app-arch/xz-utils-5.2
dev-libs/boost-1.84.0-r3 requires app-arch/xz-utils:0/0=[abi_x86_64(-)], app-arch/xz-utils:=[abi_x86_64(-)]
dev-libs/elfutils-0.191 requires >=app-arch/xz-utils-5.0.5-r1[abi_x86_64(-)]
dev-libs/glib-2.78.4-r1 requires app-arch/xz-utils
dev-libs/gmp-6.3.0-r1 requires app-arch/xz-utils
dev-libs/gobject-introspection-1.78.1 requires app-arch/xz-utils
dev-libs/gobject-introspection-common-1.78.1 requires app-arch/xz-utils
dev-libs/isl-0.26 requires app-arch/xz-utils
dev-libs/json-glib-1.8.0 requires app-arch/xz-utils
dev-libs/libltdl-2.4.7-r1 requires app-arch/xz-utils
dev-libs/libxml2-2.12.6 requires app-arch/xz-utils
dev-libs/libxslt-1.1.39 requires app-arch/xz-utils
dev-libs/libzip-1.9.2 requires app-arch/xz-utils
dev-perl/Compress-Raw-Lzma-2.206.0 requires app-arch/xz-utils
dev-python/pygobject-3.46.0 requires app-arch/xz-utils
dev-util/desktop-file-utils-0.27-r1 requires app-arch/xz-utils
dev-util/diffball-1.0.1-r2 requires app-arch/xz-utils
dev-util/gdbus-codegen-2.78.4-r1 requires app-arch/xz-utils
dev-util/glib-utils-2.78.4 requires app-arch/xz-utils
dev-util/perf-6.8 requires app-arch/xz-utils
dev-util/rizin-0.7.1 requires app-arch/xz-utils
dev-util/xdelta-3.0.11-r1 requires app-arch/xz-utils:=, app-arch/xz-utils:0/0=
games-emulation/pcsx2-1.7.5312 requires app-arch/xz-utils
games-simulation/openttd-13.4 requires app-arch/xz-utils
gnome-base/gsettings-desktop-schemas-45.0 requires app-arch/xz-utils
gnome-base/librsvg-2.57.3 requires app-arch/xz-utils
kde-frameworks/karchive-5.115.0 requires app-arch/xz-utils
media-gfx/gimp-2.10.36-r2 requires app-arch/xz-utils
media-gfx/imagemagick-7.1.1.25 requires app-arch/xz-utils
media-gfx/pngcrush-1.8.13 requires app-arch/xz-utils
media-libs/flac-1.4.3 requires app-arch/xz-utils
media-libs/gexiv2-0.14.2 requires app-arch/xz-utils
media-libs/libcanberra-0.30-r7 requires app-arch/xz-utils
media-libs/tiff-4.6.0 requires >=app-arch/xz-utils-5.0.5-r1[abi_x86_64(-)]
media-sound/moc-2.6_alpha3-r6 requires app-arch/xz-utils
net-irc/hexchat-2.16.2 requires app-arch/xz-utils
net-libs/glib-networking-2.78.1 requires app-arch/xz-utils
net-libs/libtirpc-1.3.4-r2 requires app-arch/xz-utils
net-misc/aria2-1.37.0 requires app-arch/xz-utils
net-misc/wget-1.21.4 requires app-arch/xz-utils
net-misc/whois-5.5.21 requires app-arch/xz-utils
sci-libs/mkl-2023.0.0.25398 requires app-arch/xz-utils[extra-filters]
sys-apps/coreutils-9.5 requires app-arch/xz-utils
sys-apps/ethtool-6.7 requires app-arch/xz-utils
sys-apps/file-5.45-r4 requires app-arch/xz-utils[abi_x86_64(-)]
sys-apps/iproute2-6.6.0-r3 requires app-arch/xz-utils
sys-apps/kmod-32-r1 requires >=app-arch/xz-utils-5.0.4-r1
sys-apps/man-db-2.12.0 requires app-arch/xz-utils
sys-apps/net-tools-2.10 requires app-arch/xz-utils
sys-apps/sandbox-2.38 requires app-arch/xz-utils
sys-apps/shadow-4.14.6 requires app-arch/xz-utils
sys-devel/crossdev-20240209 requires app-arch/xz-utils
sys-devel/m4-1.4.19-r2 requires app-arch/xz-utils
sys-fs/ddrescue-1.27 requires >=app-arch/xz-utils-5.4.0
sys-kernel/linux-headers-6.6-r1 requires app-arch/xz-utils
sys-libs/gpm-1.20.7-r6 requires app-arch/xz-utils
x11-libs/gdk-pixbuf-2.42.10-r1 requires app-arch/xz-utils
x11-libs/gtk+-2.24.33-r3 requires app-arch/xz-utils
x11-libs/gtk+-3.24.41 requires app-arch/xz-utils
x11-libs/wxGTK-3.2.2.1-r3 requires app-arch/xz-utils
x11-themes/gnome-themes-standard-3.28 requires app-arch/xz-utils
x11-themes/gtk-engines-adwaita-3.28 requires app-arch/xz-utils
x11-themes/hicolor-icon-theme-0.17 requires app-arch/xz-utils
И шлак вроде Ark зависит от liarchive, значит, сабж не удалить:app-arch/libarchive-3.7.2-r2 pulled in by:
dev-build/cmake-3.29.0 requires >=app-arch/libarchive-3.3.3:0/13=, >=app-arch/libarchive-3.3.3:=
dev-libs/appstream-glib-0.8.2 requires app-arch/libarchive:=, app-arch/libarchive:0/13=
dev-qt/qtbase-6.6.3 requires app-arch/libarchive[zstd]
kde-apps/ark-23.08.5 requires >=app-arch/libarchive-3.5.3:0/13=[bzip2,lzma], >=app-arch/libarchive-3.5.3:=[bzip2,lzma]
kde-apps/kbackup-23.08.5 requires app-arch/libarchive:0/13=, app-arch/libarchive:=
kde-frameworks/extra-cmake-modules-5.115.0 requires app-arch/libarchive[bzip2]
media-sound/hydrogen-1.2.2-r1 requires app-arch/libarchive
Код же открыт, возьми да исправь (на zstd)
> И шлак вроде Ark зависит от liarchiveПочему шлак? Распаковывать архивы - это его задача.
К примеру, не поддерживает "забавные" имена файлов, это позор. Часто даже не может распаковать zip, приходится распаковывать 7z.
Это только начало. По умолчанию можно считать весь opensource скомпрометированным. Привет китайским и северокорейским друзьям.
> Привет китайским и северокорейским друзьям.И европейским. И американским.
О! А вот и представитель КН(Д)Р нарисовался))) Позвольте с вами не согласиться, т.к. коммунизм - однозначно лютое зло и должен подохнуть в любом его проявлении, а демократия - хоть как-то отстаивает права и свободы своих граждан. И не надо мне втирать дичь про вселенское зло и загнивающий запад... Жил в СССР, на собственной шкуре ощутил все "прелести" коммунизма, которые (не будем тыкать пальцами кто) хотят выпустить на свободу и т.д. мне этого кала нафиг не нужно, закапывайте обратно.
Это вы из телевизора взяли? Жить в виртуальном мире вредно. Реальность такова что при власти демократов вы даже и не пискнете о своём недовольствии. Я от уже третий год живу в селе и дальше дома выйти не могу. А те кто особо против и выражают недовольство — запугали или вывозят в поле, а там винтовка судит.
Господа живущие в Америке имеют неплохой уровень жизни, тем не менее и там не все всем довольны, а никто даже и не пикнет. Поэтому со временем некоторые особо хитрые начинают говорить о том что выражать свой негатив по отношению к своему государству — дурной тон. Так-что вы в этой демократии просто можете не прижиться, поэтому будете лишний. Их логика такова, поэтому маленькое количество людей туда могут уехать и жить, а большое они стараются уничтожить. Вы для них все-равно чужой.
Переезжай в Беларусь.
> Реальность такова что при власти демократов вы даже и не пискнете о своём недовольствии.Это тебе телевизер рассказал?
> Я от уже третий год живу в селе и дальше дома выйти не могу. А те кто особо против и выражают
> недовольство — запугали или вывозят в поле, а там винтовка судит.Даже не представляют где ты живешь. А может ты просто сочиняешь. Или живешь под власть главного либерала.
Но возможно у тебя никакой демократии нету, а просто власть военных.
> Господа живущие в Америке имеют неплохой уровень жизни, тем не менее и там не все всем довольны, а никто даже и не пикнет.Вранье. Когда людям что-то не нравится, то они выходят на улицы и об этом сообщают власти.
Такое было и штатах, и в европе, и в израиле.
Даже в Иране и Ираке народные протесты это практически обыженноя явление.> Так-что вы в этой демократии просто можете не прижиться, поэтому будете лишний. Их логика такова, поэтому маленькое количество людей туда могут уехать и жить, а большое они стараются уничтожить. Вы для них все-равно чужой.
Что-то я живу в демократии. И меня никто винтовкой не пугает.
И лишним себя не чувствую)
>а демократия - хоть как-то отстаивает права и свободы своих граждан.Как там насчёт Сноудена? Все кто по его словам нарушал права граждан уже наказаны? А Сноуден награждён за раскрытие преступлений?
*Весь софт.
Добавьте ко всем ссылкам на Mastodon /embed в конец, чтобы открывалось без JS. За метод спасибо https://news.ycombinator.com/item?id=35885621
Не должно быть блобов в СПО. Блоб == закладка.
Аккуратненький выход за границы буфера и вот тебе зонд о котором знаешь только ты. А найдут его только через миллион лет археологи безопасники. Пусть даже твой код пишут на билбордах по всему городу. Если не хочешь эксплуатировать продай кому-нибудь они на конкурсе безопасников выиграют денежный приз.
Многие языки программирования, например, Groovy, Hack, Mojo и Nim, управляют выделением памяти автоматически, что делает ошибки, связанные с переполнением буфера, маловероятными или невозможными.
Да, главное в это верить и никогда-никогда не искать какие-нибудь "JVM memory corruption" в базе CVE.
> Да, главное в это веритьНу так покажи мне выход за пределы буфера на Java.
> и никогда-никогда не искать какие-нибудь "JVM memory corruption" в базе CVE.
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=JVM+memory+...
Ну, и?
А понял: опеннетный эксперт уверен, что Java рантайм написан на Java, правильно?
Напомни зачем тебе писать уязвимость по выходу за границу буфера на языке в котором "нельзя" выйти да границу буфера? Когда можно сразу писать на языке в котором можно выйти за границу буфера. Или это какой то телевизорный прикол самому себе палки в колеса ставить?
СПО не должно быть :)
Произвольный код, если он не ограничен SELinux.
You think right, Anonymous.
А чем и как в данном случае помог бы селялекс?
селинух не ограничивает код. Он для дачи доп возможностей юзерам без выдачи оным рута.
Хорошо бы добавить в этот анализ упоминание, что все изложенное не имеет отношения к исходному openssh и применимо *исключительно* к патченой (systemd-notify) версии.
Легче не становится от этого. sshd выбран похоже чисто как транспорт для shell-кода, а по факту скомпрометированна вся система: 1) sshd запущен в 99% случаев от root, бэкдор мог бы накуралесить чего-то ещё в системе при загрузке liblzma; 2) systemd по сути тоже скомпрометирован, и он в 100% случаев запущен от root; 3) liblzma может пользоваться и другими программами, и все они могли быть скомпрометированы. Единственное, что подозрительно (если читать только статью с опеннета) - это что в бекдоре не было запасного метода получения команд, только sshd и только при определённых обстоятельствах.
>sshd выбран похоже чисто как транспорт для shell-кодаВовсе не "чисто как транспорт". Вся эта исторяи стала возможна исключителько благодаря патчу systemd-notify.
В самом openssh тщательно продуманная с точки зрения security архитектура и алгоритмы: pre-auth - chroot - privelege separation - auth. Тут появляются распальцованные "васяны" (другого слова не нахожу) и вкрячивают в эту цепочку libsystemd.
Зависимости openssh (libcrypto, libkrb5) все относятся к категории high security и их действительно мониторят тысячи глаз. В то время как архиваторы, прилинкованные к systemd, - на переферии внимания.
ИМХО, не было бы патча systemd-notify, ни кто не стал бы тратить годы на liblzma, потому как незачем.
Так его выявили не тысячи глаз читающие код. Бекдор выявил жор ресурсов https://mastodon.social/@AndresFreundTec/11218040614269... нет Жора нет бекдора, народная мудрость.
Вспоминается вирус для Deplhi который кучу времени никто не находил похожим образом. При запуске программ с вирусом он заражал Deplhi на компьютере и все программы которые Delphi были с таким же вирусом, и больше ничего не делал. Никто ничего не замечал, обнаружили случайно так как вроде появились баги в скомпилированных программах поражённые вирусом.
Вообще то это они как раз и есть.
> В самом openssh тщательно продуманная с точки зрения security архитектураБывает правда, ложь, наглая ложь, статистика и комментарии на опеннет. Не, в OpenSSH нет тщательно продуманной архитектуры. С любой точки зрения.
>os.path.isfileСразу видно лудита.
Во всем виноват чертов системд комбайн. Если бы там не было всё так связано в одно месиво из сервисов, а каждый компонент был отдельно, то таких проблем бы не было. Слишком много прав - слишком много потенциальных проблем и уязвимостей. Рано закопали принцип Кисс в линуксах, а зря.
Systemd точно так же состоит из кучи отдельных процессов и утилит, как какая-нибудь *BSD. И точно так же как и в *BSD весь код этих отдельных системных компонентов собран в одном месте по причине тесной интеграции на уровне интерфейсов взаимодействия. В *BSD в эту кучу ещё и ядро входит. Только про *BSD никто не бегает и не кричит, что это не юникс-вей и нарушение принципов KISS, а про systemd кричат.
это совершенно неверно. systemd нарушает KISS, в то время как BSD нет. и тебе на практике показали, что это не так. по списку линковки ты можешь посмотреть, с чем слинкованы UNIX утилиты, а потом сравнить, с чем слинкованы systemd утилиты.
тут Лёня Поттеринг высказался в ответ на критику своего любимого детища:Uh. systemd documents the protocol at various places and the protocol is trivial: a single text datagram sent to am AF_UNIX socket whose path you get via the NOTIFY_SOCKET. That's trivial to implement for any one with some basic unix programming knowledge. And i tell pretty much anyone who wants to listen that they should just implement the proto on their own if thats rhe only reason for a libsystemd dep otherwise. In particular non-C environments really should do their own native impl and not botjer wrapping libsystemd just for this.
But let me stress two other things:
Libselinux pulls in liblzma too and gets linked into tons more programs than libsystemd. And will end up in sshd too (at the very least via libpam/pam_selinux). And most of the really big distros tend do support selinux at least to some level. Hence systemd or not, sshd remains vulnerable by this specific attack.https://news.ycombinator.com/item?id=39867126
libselinux тоже прекрасный вектор для этой атаки -- тоже связан с liblzma
>systemd documents the protocol at various places and the protocol is trivialДо тех пор пока какой-нибудь конкурент Редхата не завяжется на него, тогда, конечно, stable API is nonsense.
Уже все давно наигрались в эти игры с протоколами, голосованием сообщества и free as in freedom. Ментально сильные деды постепенно вымирают, а им на смену приходят кокоугодные, крикливые наёмники, готовые перегрызть глотку любому на кого укажет партия/корпорация.
> тут Лёня Поттеринг высказался в ответ на критику своего любимого детища:NOTABUG, ес-но! мы и так знаем, что он скажет. справедливости ради, когда переходишь на FreeBSD, избавляешься сразу и от systemd, и от selinux.
В принципе, нет никаких сомнений, зачем его внедряли сразу во все дистрибутивы. Вот именно для этого самого!
В чем проблема встроить такой же бекдор в sysvinit? В 1000 строчную портянку для сервиса.
>В чем проблема встроить такой же бекдор в sysvinit?в этом:
$ ldd /sbin/init
linux-vdso.so.1 (0x00007ffc0b74b000)
libc.so.6 => /lib/libc.so.6 (0x00007f28fec0c000)
/lib/ld-linux-x86-64.so.2 => /lib64/ld-linux-x86-64.so.2 (0x00007f28fee0e000)>В 1000 строчную портянку для сервиса.
ты вообще понимаешь о чем речь? какие портянки, бешеный? :-D
SystemD всё равно лучше!
Проблема в отходе от unixway и в тотальном enshittification в современном ПО, от которого не спасает даже opensource. Когда фичи добавляются ради абстрактного прогресса. А в enshittification всегда рано или поздно заведутся паразиты.
> Проблема в отходе от unixwayМожешь раскрыть тему? При чем здесь Unix way?
Windows-way - это давно уже обязательный антивирус в системе. Линуксоиды пока ещё обходятся без обязательного антивируса.
>> При чем здесь Unix way?
> Линуксоиды пока ещё обходятся без обязательного антивируса.Чел, с тобой все хорошо? Как Винда и ее антивирусы относятся к вопросу и теме новости?
>> Проблема в отходе от unixway
> Можешь раскрыть тему? При чем здесь Unix way?у UNIX утилит функционал поделен очень узко и они линкуются с очень малым числом библиотек.
Именно! Во времена Unix не было ни интернета, ни lzma. А теперь они есть и используются, вместо простых локальных систем с вводом через перфокарты/телетайпы. lzma и Интернет — две большие ошибки, приведшие к отходу от Unix Way!
Кажется, этот случай - самый лучший пример того, что сборщик вашего проекта должен выглядеть как один Makefile, один shell скрипт или ещё что-то однофайловое, что можно открыть и прочитать, что должно происходить, перед тем как вообще запускать сборку. Если это выглядит как cmake поверх autoconf поверх ещё целой папки с скриптами и в конце генерится нечитаемый Makefile - всю систему сборки можно отправлять в топку и переписывать начисто так, чтобы всё, что происходило - это билдились нужные elf-файлики запуском cc. Сами исходники xz по-факту чистые, бекдор весь в тестах лежал.
А прикинь, оно так и было в годах этак 80х... Да и сейчас так же — в разных консольных хеллоувордах. Но как только хочется чего-то большего, чем пялиться в святую консоль — оно почему-то не работает...
Тогда мы засунем бэкдор в make
Ну и пиши свои хэллоуворлды так.
Зачем других заставлять копать яму ложкой вместо экскаватора ?
Глупости. Однофайловое сложнее читать, сложнее управлять, сложнее сопровождать. И это никак не избавит от подобных проблем, зато серьёзно понизит переносимость и универсальность. К тому же, в исходниках была ослаблена куча защит и проверок, что позволяет целый перечень атак, не сказал бы, что они чистые.
Всё к линуксу/системд прибито уже давно. О какой переносимости идет речь? Куда переносить?
> Всё к линуксу/системд прибито уже давно. О какой переносимости идет речь? Куда
> переносить?Линукс это только ядро. И нет, не прибито.
Интересно кто-нибудь сделает разбор вирусов внедряемых Лабораторией Касперского на машины с Windows.
Практика умышленного внедрения дыры под уже заготовленный эксплоит - рабочий метод. Чем тратить силы на поиски потенциальных уязвимостей в популярных пакетах, как оказалось проще, намного проще добавить в исходники.
кто бы сомневался
Потому что autotools.
Никто не хочет читать что там на m4 понаписано, потому что оно всё выглядит одинакого крипово.
В cmake тоже самое
Тогда проект обречён :)
Во фряхе взяли только нужные для сборки файлы и написали свои make файлы, как чувствовали :))))
ещё один довод за дебиан (олд)стейбл
>ещё один довод за дебиан (олд)стейблАга, довод за дикую фрагментацию пакетов и за кривые патчи.
За Devuan.
А если нейронки пустить анализировать актуальный код и те перелопатят это все, так и хакером не нужно быть
У меня только один вопрос к коллегам. В Astra Linux попало?
Конечно
В 1.7.5 SE не попало.
В репозиториях версия 5.2.4
Интересует только 1.7.3 SE. Причина - это последняя версия, в которой работает клиент 1С. Во всех более новых версиях, начиная с 1.7.4, не работает (к тому же в новых версиях битый установщик). На Альт не хотелось бы переходить (хотя в Альте все в порядке), т.к. за лицензионную Астру уже уплачены немалые деньги.
Зато в Базальте ПОКА Нет (слава в Троице славивому Богу)
выкладываю apt-cache show xz
Version: 5.2.5-alt2
УЯЗВИМЫЕ - 5.6.0 и 5.6.1
https://xakep.ru/2024/04/01/xz-utils-backdoor/
Похоже, на Альт 10 надо переходить (не дома - в конторе, естественно).
> Похоже, на Альт 10 надо переходить (не дома - в конторе, естественно).Я у них не работаю. Но техподдержка на ФОРУМЕ Базальта лучше аналогичной у Астры: быстрее откликаются, больше сообщество АКТИВНЫХ волонтеров
После появления подробного анализа действительно очень подготовленная атака. И цепочка случайностей, почти отвязали liblzma от libsystemd, спалились на valgrind, которая чуть не загубила весь план, но в итоге случилась другая случайность, которая и раскрыла план.
Можно отметить что первый коммит в m4 сам по себе довольно странный. grep, tr и eval сразу намекает на обфускацию, но для остальных m4 сборок это видимо норма. Во-вторых как не обнаружили что tar архив с файлами для сборки отличается от того, что находится в репозитории. Подумаешь несколько файлов добавилось и изменилось, где контрольные суммы, где подписанные коммиты, если можно в tar положить левые файлы.
И главное о чём не упомянуто в новости, в конце скрипта бекдор подчищал Makefile от следов, после того как произошло внедрение в скомпилированный объектный файл.