The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Snap Store выявлены вредоносные приложения для работы с криптокошельками

19.03.2024 09:15

В каталоге приложений Snap Store, сопровождаемом компанией Canonical и продвигаемом для использования в Ubuntu, выявлено 10 приложений, стилизованных под официальные клиенты для популярных криптовалютных кошельков, но на деле не имеющие отношения к разработчикам данных проектов и выполняющие вредоносные действия. Более того, в каталоге данные приложения снабжены меткой "Safe", которая создаёт иллюзию того, что приложение проверено и является безопасным.

Приложения опубликованы пользователем digisafe00000 под именами, подобными "exodus-build-96567", но в списке приложений выглядят как обычные криптовалютные приложения Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche и Trustwallet.

В настоящее время указанные приложения уже удалены из каталога Snap Store, но почти сразу после их удаления они были размещены заново под новым пользователем codeguard0x0000 c немного изменёнными именами пакетов (например, "exodus-build-71776" и "metamask-stable28798").

Похожая активность наблюдалась в феврале и привела к краже около 9 биткойнов (примерно 500 тысяч долларов) у пользователя, установившего поддельный клиент Exodus. Так как авторы вредоносных приложений легко обходят автоматическую систему проверки публикуемых пакетов в форуме компании Canonical некоторые участники предлагают вообще запретить в Snap Store публикацию неверифицированных приложений, связанных с криптовалютой, по аналогии с тем, как в 2022 году в платформе совместной разработки SourceHut была запрещена публикация криптовалютных проектов.

Приложения представляют собой муляжи, выводящие web-страницы с внешнего сайта (например, "http://89.116.xxx.145:5000/public/exodus/index.html") при помощи обёртки на базе WebKit GTK, симулирующей работу обычного настольного приложения (в февральском инциденте использовались фиктивные приложения, написанные на Flutter). Из функций работает только операция импортирования ключей и восстановления кошелька, а попытки создания нового кошелька завершаются выводом ошибки.

В случае если пользователь выполнит операцию импорта уже существующего кошелька, то связанные с ним фраза восстановления ключей отправляется на сервер злоумышленников, а пользователю показывается сообщение об ошибке восстановления кошелька. Получив доступ к ключам атакующие затем выводят все средства с кошелька жертвы.



  1. Главная ссылка к новости (https://popey.com/blog/2024/03...)
  2. OpenNews: В Ubuntu Snap Store выявлены вредоносные пакеты
  3. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  4. OpenNews: Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений
  5. OpenNews: Canonical готовит вариант Ubuntu Desktop, содержащий только пакеты Snap
  6. OpenNews: Root-уязвимость в инструментарии управления пакетами Snap
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60807-snap
Ключевые слова: snap, mallware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (141) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Bonbon (?), 09:44, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Интересно, как подобные проблемы предотвращает Flathub?
     
     
  • 2.2, Аноним (2), 09:47, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Никак. Блобы все такие
     
  • 2.4, iPony129412 (?), 09:50, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +9 +/
    меньшей популярностью
     
     
  • 3.103, Аноним (103), 17:06, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "безопасность через нахер-ненужность"(ц)
     
  • 2.7, Аноним (7), 09:52, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Никак. Например, https://flathub.org/apps/io.exodus.Exodus хочешь доверяй, а хочешь нет. Никаких меток "Verified", говорящих что это проект от разработчиков Exodus там нет, как нет упоминаний наличия flatpak-пакета на  странице https://www.exodus.com/download/

     
     
  • 3.13, iPony129412 (?), 10:06, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Ответ разработчиков Exodus

    > Hey there! I can confirm that this flatpak is not maintained by us. We've been trying to get it removed from Flatpak, but to no avail. That said, we do occasionally check the authenticity of the Flatpak. It's always been an authentic copy of Exodus. We would just like it removed as we can't guarantee that this will always be an authentic copy since we aren't maintaining it.

    Это конечно, круто. Послали их флатпаковцы на просьбу удалить.

     
  • 3.22, cheburnator9000 (ok), 11:09, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +9 +/
    https://ludocode.com/blog/flatpak-is-not-the-future

    Читайте абзац про Identifier Clashes.

    Flatpak пакеты может создавать кто угодно для чего угодно, Федора это доказала на практике.

    Как и https://github.com/flathub/io.exodus.Exodus/blob/master/io.exodus.Exodus.json некий tomaswarynyca, который вообще не известно кто это.

    Именно по этому нужно пользоваться либо официальными сайтами ПО, либо репозиториями дистрибутива. И никак не Snap/Flatpak/AUR.

    Посмотрите вот сюда https://github.com/flathub/io.exodus.Exodus/graphs/contributors ШЕСТНАДЦАТЬ аккаунтов имеют право коммитить в этот git проект. Придет время и "обиженный сотрудник" начнет коммитить трояны в эти флатпаки, это только вопрос времени.

    А теперь почитайте вот это https://docs.flathub.org/docs/for-app-authors/submission/#someone-else-has-put надеюсь вы понимаете что это именно то чем занимаются веб сайты с каталогами софта, а также пиратского софта или пиратских сериалов/фильмов? У вас как автора софта не спросили разрешения желаете ли вы быть доступны через эти "каталоги". Ровно также как они нарушают EULA драйверов Nvidia, они просто их распространяют внутри flathub, по нормальному пользователь должен согласиться с EULA, но "свободный" и прекрасный флатпак просто навязал пользователю это соглашения без его ведома.

    Помню когда наш софт размещали во Softpedia, то с главным разработчиком связывались по email люди из Softpedia.

    Но флатхаб это просто паразиты.

     
     
  • 4.39, n00by (ok), 11:47, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А в случае с официальными репозиториями кто-то спрашивает? Только не надо мне отвечать "ты сам разрешил в лицензии". Мой опыт показал, что при отсутствии опубликованной лицензии "вопросы" выглядели примерно так: «приезжайте на конференцию по СПО» и «мне самому некогда это опакечивать, напиши Васяну, он тебе поможет». То есть некоторые майнтайнеры почему-то привыкли считать: если исходники открыты, то само собой разумеется, что автора можно не спрашивать.
     
     
  • 5.52, cheburnator9000 (ok), 12:10, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мейнтейнеры Debian и Fedora не опакечивают проприетарный софт в отличие от flathub. Если таковой имеется, то только в сторонних репозиториях (не официальных). Exudos проприетарный софт.
     
     
  • 6.99, аннаним (?), 15:35, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    +, copr кстати неофициальный + и в нём есть опакеченные блобы
     
     
  • 7.123, cheburnator9000 (ok), 00:30, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > +, copr кстати неофициальный + и в нём есть опакеченные блобы

    А flatpak и snap продвигают как единственно верный способ установки ПО. Скоро в Gnome Software и Discover появится реклама на платную подписку к flathub тупо вопрос времени.

     
     
  • 8.129, iPony129412 (?), 06:55, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    как-то незаметно всё же модель бесплатный тестовый полигон А так вот Flatpak 1... текст свёрнут, показать
     
  • 6.149, n00by (ok), 11:43, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я не со странами загнивающего капитализма проводил опыт, а с местными заместителями.)
     
  • 4.65, Аноним (65), 13:02, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    во

    Можно, скорее всего, "в". Извините )

     
  • 4.106, helloworld (?), 18:58, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А AUR здесь каким боком?

    Просто надо смотреть PKGBUILD перед сборкой. Те, кто не смотрят - ССЗБ

     
  • 3.42, Аноним (-), 11:52, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, что на Флатхабе тоже есть метки "Verified", с тултипом "The ownership of the blah-blah-blah ID has been manually verified by the Flathub team", например у Firefox. Но их очень мало. Может и правда вручную проверяли?
     
     
  • 4.44, Аноним (-), 11:53, 19/03/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.51, iPony129412 (?), 12:10, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это относительно недавно ввели в новом модном сайте.
    Раньше такого не было. Понятное дело, что проверяют.

    Хотя вон тот же qBittorrent, значится как "Verified".
    А на оф ресурсах qBittorent слово "semi-officially".
    Хотя в таких проектах, вон вчера он левый чувак, а сегодня официальный контрибьютор с весомым вкладом.

     
  • 2.15, iPony129412 (?), 10:23, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя в том же Flathub есть премодерация. Да, там не проведут секурный аудит, но хотя бы явнуя зловредную подделку сделанную на тяп-ляп засекут.
    В Snap Store - нет.
     
     
  • 3.18, test (??), 10:51, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Сам flatpack и все что во FlatHub это юзерские ДЕ приложения и работают они от юзера, так что не очень страшно ...
     
     
  • 4.23, iPony129412 (?), 11:10, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Сабж - наглядная демонстрация что нет.
    Вводишь свои секреты-пароли, и несколько милилонов уже нет.
    Но зато ОС цела 😀

    Что-то из xkcd
    https://xkcd.com/1200/

     
  • 4.28, iPony129412 (?), 11:23, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да и для троянов рут не нужен
    Затолкает этак средний Flatpak в пользовательскую автозагрузку ~/.config/autostart/ троянчика
    И будет он хулиганить имея доступ ко всем пользовательским файлам и сети. Всё что надо для счастья есть и без рута.

    Конечно, можно всяко разно обезопаситься. Но это дефолт.

     
     
  • 5.32, Аноним (32), 11:39, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Просто пришли все свои пароли мне. Нет данных/крипты и беспокоится тебе будет не очем.
     
  • 5.133, Аноним (133), 08:33, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Контейнер флатпака не даст ему запихнуть этот файл (конечно если ревьюеры не просмотрели строчку такого пермишшена при добавлении во Flathub)
     
     
  • 6.143, iPony129412 (?), 10:06, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так доступ к HOME есть у всех кому не лень в Flatpak


     
     
  • 7.145, Аноним (133), 10:10, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Неправда. Ревьюеры следят за тем чтобы приложения не запрашивали такие широкие права. Хотя могут и допускать в крайних случаях
     
     
  • 8.146, iPony129412 (?), 10:15, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ссылка внизу ... текст свёрнут, показать
     
  • 6.144, iPony129412 (?), 10:10, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://hanako.codeberg.page/

    Это же задолбаешься сделать нормальную инфраструктуру с кучей приложений - поэтому изоляция на бумаге.
    А на практике "ревьюеры просмотрели строчку такого пермишшена при добавлении во Flathub"

     
  • 4.163, X86 (ok), 06:20, 22/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень классно, что юзерское приложение, укравшее твою крипту, не получит рут и не сможет навредить ядру твоей ОС)
     

  • 1.3, iPony129412 (?), 09:50, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    никогда такого не было и опять
     
     
  • 2.91, pic (?), 14:37, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да ладно, поставь Касперский, :)
     
     
  • 3.127, EULA (?), 06:20, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он флакснапы не проверяет. Другие апчхивирусы так же не проверяют
     

  • 1.6, Аноним (6), 09:51, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот так вот!
    Ничего лучше реп от знаменитых дистров ещё не придумано. Хотя для убунтоидов очень популярны ppa репы с троянами от васянов!
     
     
  • 2.59, Аноним (59), 12:40, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Снап Сторе - фактически и есть репа от "знаменитого дистра". Хотя и в обычных репах есть мусорные приложения.
     
     
  • 3.112, Аноним (112), 20:10, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Снап Сторе - фактически и есть репа от "знаменитого дистра".

    Нет, дружок, это не репа, а помойка без какой-либо модерации.

     
  • 2.124, Аноним (124), 00:30, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    AppImage от разработчика софта, как вариант. И даже кажется меньше какает в систему, но это не точно.
     

  • 1.8, Аноним (8), 09:53, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Я не знаю, что нужно иметь вместо мозга, чтобы доверять приложениям, которые собирает васян. Тем более таким, которые связаны с деньгами. Именно поэтому Win и Mac кошерны - ты качаешь бинарники с сайтов разработчиков или из магазина со строгой модерацией.
     
     
  • 2.14, iPony129412 (?), 10:18, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так вот многоие линуксоиды не понимают, что это собирал васян

    Они заходят в магазин, а там зелённая иконка "Safe (Confined)" в магазине Canonical. Всё круто и хорошо.

    Так же мне раз десять тут утверждали, что вот как популярен Faltpak у разработчиков. Не понимают, что это не разработчики, а их творения пакуют васяны.

     
     
  • 3.21, scriptkiddis (?), 11:00, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, пони же так не делаю, ага.
     
  • 3.36, Аноним (-), 11:44, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Основная масса там пакуется либо разработчиками, либо связанными с ними людьми. Проблема, что не запрещены иные варианты.
     
  • 3.75, Аноним (75), 13:37, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну за программы размещенные в магазине платной ОС несут ответственность авторы ОС, т.е. есть договор между авторами ОС и пользователями. А какую ответственность несут Canonical за то что размещено в Ubuntu Store?
     
     
  • 4.101, soarin (ok), 16:24, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это типа на халяву и уксус сладкий?
    Как-то глупо рассуждать в юридическом поле по понятиям. Юридически решает принятие лицензионного соглашения и законы. Нет такого что бесплатно – можно что хочешь воротить, а 5 рублей берут - это уже другое, ответственность большая.

    Тем более, покупая сертифицированный ноутбук с Ubuntu, пользователь и оплачивает эту сертификацию.

     
  • 4.120, Zulu (?), 23:48, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну за программы размещенные в магазине платной ОС несут ответственность авторы ОС

    Нет. Аппл прямо в своем апп стор полиси пишет

    Apple assumes no responsibility with regard to the selection, performance, or use of third-party websites or products.

     
  • 2.94, Аноним (94), 14:42, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, особенно в Microsoft Store строже некуда.
    https://www.ghacks.net/2019/06/17/fake-commercial-versions-of-open-source-appl
    https://news.thewindowsclub.com/malware-enters-the-microsoft-store-infects-ove

    Ну и да, в линуксах тоже ничто не мешает качать бинарники с сайта разработчика.

     
  • 2.119, crypt (ok), 22:05, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Именно поэтому Win и Mac кошерны - ты качаешь бинарники с сайтов разработчиков или из магазина со строгой модерацией.

    но эту идею они позаимствовали как раз из репозитариев Linux'a... они по сути и сделали репозиторий с графическим интерфейсом... но когда Linux начинают превращать в ОС а-ля Windows для таких, как ты, то выходит то, что выходит...

     
     
  • 3.131, iPony129412 (?), 07:17, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это идею репозитариев и магазинов в линуксы записал?
    фанатично...
     

  • 1.10, iPony129412 (?), 09:56, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://forum.snapcraft.io/t/store-policing/9681/4

    Всем всё равно

    > A very old outdated insecure Bitcoins wallet named Electrum still in the snap store. This wallet have a known bug that allows for stealing funds that is being used in the wild and many have lost their money.

    Хотя теперь возможно оно вообшще не работает.

     
     
  • 2.41, Аноним (41), 11:51, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Подожжи, японец.

    Электрум свежий вышел 14 марта:

    https://github.com/spesmilo/electrum/blob/master/RELEASE-NOTES

     
     
  • 3.46, iPony129412 (?), 11:58, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какого года?

    В Sтap там сборка 2017 года от фурри

    https://snapcraft.io/electrum

     

  • 1.11, Аноним (8), 09:58, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Приложения представляют собой муляжи, выводящие web-страницы с внешнего сайта (например, "http://89.116.111.145:5000/public/exodus/index.html") при помощи обёртки на базе WebKit GTK, симулирующей работу обычного настольного приложения

    Ахахах. Лишнее подтверждение, что все крупные капиталы делаются не совсем законно. А заработать... заработать можно только гeмоppoй!

     
     
  • 2.67, Аноним (65), 13:09, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А заработать... заработать можно только гeмоppoй!

    Не только. Моххамед Клей, например..

     
     
  • 3.82, Аноним (82), 13:51, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Стиви, мать его, Балмер.
     
  • 2.118, Михаил Сергеевич (?), 21:31, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так кто-то из толстосумов как раз и говорил, что готов отчитаться за каждый свой мильёнЪ, кроме первого... (:
     

  • 1.12, Аноним (75), 10:04, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ПО идее нужен отдельный дистрибутив для работы с криптой.
     
     
  • 2.30, аннаним (?), 11:33, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж отдельный комп на чём то параноидальном. Бсд?
     
     
  • 3.37, Аноним (75), 11:44, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    само собою что отдельный, illumos.
     
  • 2.48, Аноним (-), 12:01, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть уже, называется Linux From Scratch. Сначала создаешь базовый дисковый образ с помощью инструкций из книги LFS, потом ставишь иксы с помощью инструкций из книги ULFS, потом устанавливаешь блобы кошельков с официального сайта или собираешь их вручную.

    Если есть желание и возможности, можешь под каждый кошелек виртуалку держать.

    Кошельки с миллионами баксов доверять первому встречному дистрибутиву - глупая затея. Нужно работать только с официальными сайтами разработчиков.

     
     
  • 3.60, Аноним (59), 12:42, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да. И закачиваешь чудеса из репов питона.
     
  • 2.136, Аноним (-), 09:28, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я пользуюсь Tails для этого.
     

  • 1.17, Аноним (17), 10:26, 19/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     

     ....ответы скрыты (2)

  • 1.19, Анонимус3000 (?), 10:56, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    В этой новости прекрасно всё: пометка "Safe", переопубликация малвари сразу после удаления, пользователи не использующие аппаратные кошельки при работе с суммами в пол миллиона долларов.
     
     
  • 2.33, нах. (?), 11:42, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > пользователи не использующие аппаратные кошельки при работе с суммами в пол миллиона долларов.

    так хоть хорошим людям достались. А с твоей аппаратной кошелкой - при ее взбрыке, который случится рано или поздно, потому что надежность и наколеночные васяноподелки живут в разных мирах, твои денежки просто повисают навечно в блокчейне мертвым грузом.
    (ну мы же не будем рассматривать те варианты аппаратных кошелок которые "сохраняют возможность восстановления" куда-то там в облачкаааааа?)

      

     
     
  • 3.137, Аноним (-), 09:29, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А разве у них нельзя сохранить сид-фразу?
     
     
  • 4.147, нах. (?), 10:35, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    в облачко.

    Самое то. Я видел какие-то которые даже автоматически это за тебя делали. Вот удобно!

    Если сид-фраза позволяет восстановить закрытый ключ - это полный эквивалент закрытого ключа. Ну и зачем тебе была супер-пупер поделка, если ключ - спокойно лежит под ковриком?

    Еще хуже тот момент что эквивалент-то она эквивалент но заправить в другую аналогичную зверушку - скорее всего не получится, там ключ из нее вычисляют как-нибудь по другому. А будет ли в продаже именно та от которой у тебя ключ под ковриком - неведомые васяны конечно могут пообещать, но с них потом спросить не получится.

    При этом экспорт именно ключей - чаще всего наглухо непредусмотрен, этожнебезопастно!

     

  • 1.29, Anonim (??), 11:32, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В калоникал затесались "агенты влияния". Возможно и из MS (не до смеха). Иначе то, что там происходит, мне объяснить не удается. Версии убунту меньше 20-ки еще на некоторых серверах у меня крутятся. Более новые версии просто стремно использовать.
     
     
  • 2.31, Аноним (32), 11:36, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока не перейдёшь в облако MS, не отстанут. Готовь денежки, все знают, они у тебя есть.
     
  • 2.49, iPony129412 (?), 12:03, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Элементарно всё обьясняется. И никаих заговоров.
    Деньги стали экономить. Не вечно же вбухивать в непонятный этот десктоп.

    http://www.opennet.me/opennews/art.shtml?num=46326
    https://www.opennet.me/opennews/art.shtml?num=46443

     
     
  • 3.64, Anonim (??), 13:00, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы они экономили, то поджались бы как бздишники, и пилили только само важно и нужное, а не всякую сомнительную муть
     
  • 2.66, Аноним (59), 13:03, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Последней версией Ubuntu, под которой работал клиент 1С, была 18.04. Симптоматично.
     
     
  • 3.68, Аноним (65), 13:16, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А сейчас под чем?
     
  • 2.89, Аноним (89), 14:30, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ох уж эти конспирологи... Всё очень просто, в linux зарабатывают на поддержке! Соответственно продукт выкатывают соответствующий.
     

  • 1.40, Аноним (41), 11:49, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот он, самый главный симптом популярности Linux.

     
  • 1.43, Аноним (43), 11:52, 19/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     

     ....ответы скрыты (6)

  • 1.45, vitalif (ok), 11:57, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто не должно существовать в мире не-опенсорса, вот и всё)
     
     
  • 2.50, Аноним (50), 12:07, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вы все сами из исходников собираете, которые предварительно ревьюите? А то ведь даже если проект открыт, обычно нет гарантий, что собирали из данных исходников.
     
     
  • 3.54, Аноним (43), 12:15, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы все сами из исходников собираете, которые предварительно ревьюите? А то ведь даже если проект открыт, обычно нет гарантий, что собирали из данных исходников.

    Это касается почти всех дистров, кстати.

    Мейнтейнеры просто берут и выкатывают новый пакет из upstream, ничего вообще не проверяя.

    Что там upstream нафигачил - никто не знает.

    Open Sauce (да, соус, именно так) и безопасность. Ржу.

    А ещё примерно 99% пользователей Линукс отключают Secure Boot. Потому что геморр. ZFS не работает, VirtualBox не работает, их китай USB wi-fi адаптер не работает.

     
     
  • 4.57, Аноним (32), 12:32, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем мэйнтейнерам что-то проверять в исходниках? Это задача принимающего коммит и рецензентов.
     
     
  • 5.61, Аноним (43), 12:43, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А зачем мэйнтейнерам что-то проверять в исходниках? Это задача принимающего коммит и рецензентов.

    Чья чья задача? Вы в своём уме?

    Мейнтейнеры в большинстве дистров - независимые люди. Нажимают git push, кто-то, если повезёт, проверяет, чтобы зависимости не слетели и в вашем дистре оно появилось. Всё. Безопасность в Ля Лихе. Piздец, а не безопасность.

    Единственный продукт, где нет такого безобразия - RHEL и, может быть, SLES. Там проверяют досконально, поэтому так мало пакетов.

    Все остальные дистры чисто васянские, включая бубунту.

     
     
  • 6.72, Аноним (17), 13:30, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ты хоть понял, что тебе написали?
     
  • 6.76, Anonim (??), 13:39, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Единственный продукт, где нет такого безобразия - RHEL и, может быть, SLES.

    Оракловый линукс. Там тоже в официальных репах васянских закладок не будет. Будут закладки звездно-полосатого тащмайора, но ему твои крохи не вперлись

     
     
  • 7.81, Аноним (43), 13:46, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так это же repackaged RHEL, нет?
     
     
  • 8.83, Anonim (??), 13:51, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да Но там сборщиком пакетов выступает оракел и собирает на своих серверах своим... текст свёрнут, показать
     
  • 6.151, аннаним (?), 01:06, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В RHEL не знаю как, но вот как  проверяют в Федора можно посмотреть на https://bodhi.fedoraproject.org/updates/?status=testing
    тестеров мало, очень часто пакет идет в релиз по таймату с нулем голосовавших.  


    [сообщение отредактировано модератором]

     
  • 3.85, ИмяХ (ok), 13:59, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, ещё и компилятор предварительно дизассеблируем и вручную просматриваем на предмет троянов.
     
  • 3.116, Михаил Сергеевич (?), 20:30, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В этом весь цимес опенсорса. Никто ни при чём, даже если там дьявол затаится. В отличии от проприетарных продуктов, где репутация может пострадать, да и юридические последствия не отменяли.
     
  • 2.56, Аноним (56), 12:24, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно хороши проприетарные протрояненные сборки каких-нибудь опенсорсных влц и гимпа с первых 10 страниц выдачи поисковика, что уж говорить о чём-нибудь менее популярном, где приходится по случайным варезникам искать этот опенсорс.
     
  • 2.70, anonymous (??), 13:19, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Датычо.

    Я тут на сервере обнаружил криптомайнер, работающий на неизвестного бенефициара. Опенсорсный. Можно скачать, и изучить исходник.

     

  • 1.58, 12yoexpert (ok), 12:38, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    давайте, фанатики снапов, флэтпаков, апъимэджэй и прочего тормозного засирания диска, расскажите мне, как плохо пользоваться пакетным менеджером
     
     
  • 2.110, Михаил Сергеевич (?), 19:34, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > как плохо пользоваться пакетным менеджером

    А пакеты собирает кто? Правильно. Такой же васян. За редким исключением.

     

  • 1.71, Аноним (65), 13:20, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И куда крестьянину?
     
     
  • 2.114, Аноним (114), 20:25, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >И куда крестьянину?

    Вестимо в поля-с..Нынче посевная на носу.
    А если серьезно - используйте Windows.

     
     
  • 3.152, Аноним (152), 13:58, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж, ведь там зловредов поменьше, чем в Linux /s
     

  • 1.86, ИмяХ (ok), 14:00, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Linux это безопасно, говорили они. Криптовалюты это тоже безопасно и надёжно, говорили они.
     
     
  • 2.90, Аноним (43), 14:33, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Криптовалюты это тоже безопасно и надёжно, говорили они.

    Не считая дикой волатильности, вполне.

    Ну и не считая васянские крипты-однодневки, но надо быть идиотом, чтобы верить, что это гумно выстрелит.

    Есть некий набор крипт, который существует очень долго и себя зарекомендовал: bitcoin, ethereum, ха, на этом всё. Всё остальное это шиткойны по большому счёту.

     
     
  • 3.115, Аноним (114), 20:27, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Есть некий набор крипт, который существует очень долго и себя зарекомендовал: bitcoin, ethereum, ха, на этом всё.

    Это вы ещё "цифровой рубль"® и "цифровой  юань"® не видели..

     
  • 3.139, Аноним (-), 09:36, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Монере ещё.
     
  • 3.164, X86 (ok), 06:26, 22/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то уже сюда каспу причисляет
     
  • 2.92, Аноним (89), 14:38, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто линукс это про свободу!!! В линукс все делают что хотят, включая и способ заработка.
     
  • 2.121, Zulu (?), 23:50, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Криптовалюты это тоже безопасно и надёжно, говорили они

    Найди "их" и плюнь в лицо. Криптовалюты это что угодно кроме безопасности и надежности.

     

  • 1.87, Аноним (87), 14:04, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А если начнут не такие наивные фишинговые прогу грузить, а те что реально сложно вычислить? Любая софтина же может стырить файлики с ключами и т д или что-то перехватить.
     
     
  • 2.93, Аноним (89), 14:39, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А вы просто прав на чтение файлов не выдавайте.
     
  • 2.130, iPony129412 (?), 07:08, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Надо проверять мейнтейнера и/или автора приложения. Вообще для любых ОС хорошая практика.
    Васян-аноним - низкий уровень доверия.
     

  • 1.95, Аноним (95), 15:04, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что делать если в репозитории найдены вредоносы? Праильна! Забить и ждать следующего раза.
     
  • 1.96, Аноним (95), 15:11, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Случаев появления зловредов в нормальных репозиториях не припоминаю. Значит что-то в традиционной системе дистрибуции ПО сделано правильно.
     
     
  • 2.160, Аноним (160), 17:59, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так Каноникл и заявлял достоинством: возможность в снепе не заниматься контролем содержимого. Ну и - вот, оказалось, да, можно.

    Чего автор намесил в контейнер, то интерес автора и пользователя, а сообщество операционки может бросить тратить время на качество репозитория.

     

  • 1.97, Аноним (95), 15:16, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Принудительное использование Scam Store на фоне таких новостей выглядит феерично.
     
  • 1.98, semester (ok), 15:21, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как защититься от всего этого? Может есть какой то файрволл приложений?
     
     
  • 2.100, Аноним (100), 16:18, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Виртуалка.
     
     
  • 3.102, Аноним (95), 16:27, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Без доступа в сеть?
     
     
  • 4.105, аннаним (?), 17:51, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    без электричества
     
     
  • 5.150, _kp (ok), 12:37, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И в сейфе, что б злоумышленник не влючил, и не всунул флешку.
     
  • 2.140, Аноним (-), 09:43, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть новые операционные системы, сочетающие безопасность на основе возможностей, изолированные драйверы устройств и виртуальные машины. Sculpt OS, к примеру.
     
     
  • 3.165, X86 (ok), 08:22, 07/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть новые операционные системы, сочетающие безопасность на основе возможностей, изолированные
    > драйверы устройств и виртуальные машины. Sculpt OS, к примеру.

    И чем она поможет в случае установки вредоносного криптокошелька или банковского приложения?

     
  • 2.159, Аноним (160), 17:56, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Как защититься от всего этого? Может есть какой то файрволл приложений?

    Думать своей головой и не спешить.

     

  • 1.108, Аноним (-), 19:03, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов? Одно дело качать с официального сайта разработчика, другое - доверять неизвестным людям.
     
     
  • 2.113, Михаил Сергеевич (?), 20:18, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов?

    Ты не понимаешь. Это ДРУГОЕ.

     
  • 2.122, Zulu (?), 23:52, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов?

    deb из репозитария подписан ментейнером. Ментейнер в дебиане должен предъявить документы, физически, чтоб ключ приняли. Так что вставить-то криптоскам можно, но только потом спрятаться гораздо тяжелее, чем этому fix0000 или как он звался.

     
     
  • 3.125, Михаил Сергеевич (?), 01:11, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да вы святая наивность... (:
     
  • 2.128, Аноним (128), 06:28, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Какие тебе гарантии нужны? Он же своей репутацией в сообществе отвечает. Спалится на нехорошем - придётся снова региться под другим ником, что невероятно сложно и практически нереализуемо, поскольку за право бесплатно что-нибудь пакетить и сопровождать в очередном васянодистре царит лютая конкуренция. 666 человек на место конкурс и когда счастливчик определяется, то у него и ДНК на анализ берут, и отпечатки пальцев со снимком радужки.
     
  • 2.148, Аноним (148), 10:55, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов? Одно дело качать с официального сайта разработчика, другое - доверять неизвестным людям.

    Ты неправильно ставишь вопрос. Гарантии нет даже если качать с официального сайта, ибо сервер можно скомпрометировать?

    Правильно спрашивать: где легче впоймать малварь:

    * В репе дистрибутива, где есть модерация и несколько месяцев "настаивания" до публикации пакета.

    * В Snap store, где нет вообще никакой модерации и любой хер с улицы может загрузить бинарь и
    даже получить пометку "Safe".

     
  • 2.155, Аноним (95), 14:15, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Гарантий нет. В официальных репозиториях такого просто не происходит почему-то.
     
  • 2.158, Аноним (160), 17:54, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов?

    Есть, более высокая, чем со снепами. Требований к автору больше, порог входа сложнее.

    Одна из фишек дистрибутива, когда васян-мэйнтейнеров не пускают в репо дистрибутива. А у тех, кого впустили, есть много нормальных интересных занятий для зарабатывания спокойной пенсии.

     

  • 1.109, darkshvein (ok), 19:31, 19/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    apt remove snap
     
     
  • 2.157, Аноним (160), 17:49, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И LMDE - https://linuxmint.com/download_lmde.php
    И всё хорошо. Никто не пристаёт с монетизацией накопленного навыка костылей поверх Дебиана.
     

  • 1.134, Аноним (134), 08:52, 20/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Подумаешь, криптокошелек.
    Вон вообще тему установил человек, и на всех дисках слегка поубавилось информации:
    https://www.reddit.com/r/openSUSE/comments/1biunsl/hacked_installed_a_global_t
     
     
  • 2.142, Аноним (-), 09:50, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ужасно. Был ли включён у него SELinux?
     
     
  • 3.154, Аноним (152), 14:12, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    - Больной сильно потел перед смертью?
    - Да.
    - Это очень хорошо!
     
  • 3.162, Аноним (-), 21:58, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это же openSUSE, там AppArmor, а не SELinux. С SELinux такое не было бы возможно: https://en.m.wikipedia.org/wiki/Security-Enhanced_Linux#Comparison_with_AppArm
     

  • 1.135, Аноним (135), 08:58, 20/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видимо в brew на macOS это чуть более безопасно, потому что никаких verified/confirmed там нет.
     
     
  • 2.153, Аноним (152), 14:11, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Железная конечно логика.
     

  • 1.141, Аноним (141), 09:45, 20/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Они же, вроде как, обещали ещё в прошлый раз залатать эту дыру.

    Делаем ставки, когда каноникал, снова, обосрутся на этом же.

     
     
  • 2.156, Аноним (160), 17:46, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это не-затыкаемая дыра: чужой бинарный блоб с зависимостями в одном контейнере невесть от кого без особых проверок. Канониклу проверять тяжко, не станут/не смогут. Чай - не Гyгл по масштабу. А сообщество, сообщество автора не проверяло перед впусканием пакета в репозиторий.

    Максимум антивирус какой-нибудь что-то проверит. Но, зато, отвественности перед клиентом типа можно не признать.

     

  • 1.161, Аноним (160), 18:08, 21/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > легко обходят автоматическую систему проверки публикуемых пакетов

    Основное, что надо знать про современный Canonical и новое пакетирование.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру