יותר תלויות יותר בעיות

[Nuke1985]

יש חברות שזה לא כזה נורא אם יפרצו להם ולכן משתמשים כמעט בכל אופן סורס שאפשר למצוא תחת הרשיונות הסטנדרטיים שלא מטילים מגבלות בעיתיות (אפאצ'י, מוזילה, MIT, LGPL וכו').

אני תוהה כמה מפתחים מודעים לסיכונים שבפרצת אבטחה ,גם אם תקח איזה אתר כביכול חסר חשיבות שנפרץ ונראה שהמידע המשמעותי היחידי שבו הוא האי מייל והסיסמה , יש אנשים שמשתמשים באותה סיסמה בכמה אתרים ואז אפשר להשתמש בזה כדי לפרוץ (בגדול להיכנס) לאתרים שכן יש להם מידע משמעותי (אם אני לא טועה זה מה שקרה ב icloud hack המפורסם).

כשהחברה מגיעה לגודל מסויים, ממנים את האנשים המתאימים ועושים בחינה מעמיקה של כל הספריות, מחליפים מה שצריך, קובעים גרסאות, מקשיחים וכו'.

אתה ייכול להרחיב על זה? מה התהליך? באמת עוברים על כל שורת קוד?

 

[user32]

זה שמשתמשים חופשי בחבילות קוד פתוח לא אומר שמתעלמים מהנושא של אבטחה. סיסמאות למשל תמיד יישמרו hashed. במערכות שאני מפתח ויודע מראש שיש סיכוי לא רע לפרצות (מהסיבות שהזכרתי), אנחנו נערכים מראש למצב שבו יפרצו למערכת: הדאטהבייס מגובה למקרה של גניבה/חטיפה/מחיקה, סיסמאות כאמור נשמרות מעורבלות, סיסמאות ומפתחות למערכות חיצוניות לא נשמרות אצלינו אלא בצד ג' שאפשר לסמוך עליו.
אז כן, זה מבאס אם יגנבו את הסטוריית התשלומים או את דוחות המלאי אבל לא ימצאו אצלינו כרטיסי אשראי, סיסמאות, ופרטים אישיים למעט דברים שאפשר למצוא במקורות גלויים (כתובת, טלפון ואימייל). לא שאני מזלזל, אבל זה סיכון סביר ששווה לקחת.

לגבי התהליך: הייתי בסטארטאפ שנמכר לחברה אמריקאית גדולה. יום אחד קיבלנו מייל מהמחלקה המשפטית והצטרכנו לעבור חבילה חבילה, לשלוח לינק לאתר של מפתחי החבילה ולספק את הרשיון. אחר כך זה נמסר לחברת אבטחה שמתמחה בהערכת סיכונים של חבילות אופן סורס וכו'. אם אני זוכר נכון זה נגמר בהחלפה של 2-3 חבילות שלא קיבלו אישורים.

 

[BismarkReborn]

את אותו הדבר אפשר לטעון לגבי מערכת ההפעלה - מישהו הולך לבדוק את כל השלשול הטקסטואלי של ההתקנות כל פעם שעושים apt-get install? בסוף מי שזה ממש קריטי לו בודק בנרות או כותב לבד, בשביל כל השאר, "יהיה בסדר".

 

[Nuke1985]

למערכת הפעלה מבוססת לינוקס בדרך כלל יש איזה חברה מספקת לה אחריות, כמו canonical במקרה של Ubuntu או RHEL במקרה של Red Hat. וכן יש ניסיון לעשות התקנה מינימלית (בטח בלי GUI אבל גם דברים אחרים שאולי לא הכרחיים) בשביל להפחית את הattack surface.

 

[BismarkReborn]

הכל נכון אבל קח בתור דוגמא את המערכת שרצה לי על הלפטופ - UI של cinaamon על לינוקס מינט שמתבסס על חבילות אובונטו עם קרנל לינוקס שקיבל פאטצ' של אינטל בשביל לתמוך ב-wifi של killer + אלוהים יודע מה של אנווידיה + סאונד מעל pulseaudio שזה כבר די קרוב לבחור מנברסקה בקומיקס. (וזה עוד לפני שדיברנו על חבילות, ל opencv יש ארגון רציני וגב של אינטל... וגם מלא קוד שנדחף לשם ע"י סטודנטים ב google summer of code).

בקיצור, נראה לי שבכמעט כל רמה שתבחר אתה בסוף תתכנס ל"יהיה בסדר".

 

[Nuke1985]

cinnamon כן מפותח על ידי מפתחים במשרה מלאה, וזה פרוייקט יחסית מוכר שהספיק לצבור מוניטין (בעייתי משהו, היה להם איזה פירצת אבטחה שנוצלה ולדעתי הוא פחות איכותי מהפרוייקטים הגדולים יותר כמו gnome או kde). pulseaudio אכן בעייתי אבל יש פרוייקט שנועד להחליף אותו (pipewire) שנראה לי שred hat כן הולכים להשקיע בו יותר. שאר מה שכתבת נראה לי כמו ניהול סיכונים סביר וכולנו מבינים שבחיים צריכים לקחת סיכונים סבירים (כמו שכולנו עלולים להרצח, אבל ברוב העולם החליטו שלתת לאנשים להתגונן על ידי זה שכל אחד יוכל להחזיק אקדח או אפילו נשק אוטומטי זה לא הגיוני).

אגב הלינוקס דסקטופ הוא לא ממש מודל לחיקויי . אנחנו ב2021 אבל אני עדיין מקבל screen tearing שאני רואה סירטונים בפיירפוקס על KDE (אני לא מדבר על איזה window manager זניח שמישהו כתב בשביל הכיף). wayland אמור לפתור את זה אבל זה בפיתוח כבר כמה שנים ועדיין זה לא production ready. זה דומה לזה שעדיין יש עבודה על שיפור האבטחה של הלינוקס (לדוגמה בגלל ש LSM stacking לא עובד הכי טוב זה מפריע לאבטחה של snap בהפצות לינוקס שמשתמשות בselinux).

אם השנים נהייתי יותר מודע לנושא של אבטחת מידע ולסיכונים שבבעיות אבטחת מידע אז נהייתי יותר זהיר , לדוגמה אני מנסה באתרים שבהם אני רוצה להיות אנונימי להשתמש באי מייל שונה מזה שבאתרים שבהם אני בזהות גלוייה (כמו facebook או linkedin).