Debian - bye, bye Iceweasel

@Thetaworld
Evo da ti odgovorim.
Pošto jako puno znaš o sigurnosti, bezbednosti i svemu ostalom oko toga, kao i da je bolje da korisnik kontroliše programe, a ne programi korisnika i tome slično, to znači (barem po mojoj logici, možda mi je i logika u krivu, ne znam) da bi ti napravio Debian koji je extra siguran i čist od bilo kakvih neželjenih kodova. Najčistiji Debian na svetu, kao devica.
Tako da bih ja taj tvoj Debian instalirao samo tako i preporučio bih ga drugima. Evo čak i ovde javno.

Drugo pitanje koje se postavlja ovde jeste i da napišeš taj Debian i da ljudi počnu da ga instaliraju masovnije, šta ako ti dodje neko i ponudi par stotina hiljada € ili čak miliona da ubaciš nešto malo sitno unutar sistema?
Kako bi ti na to regaovao? Sa gnušanjem bi odbio ili bi prihvatio?

to su sve pitanja "da li bi..." i "šta ako..." i možemo na drugom mestu o njima filosofirati.
Sve što je @tuxserbia napisao u prethodnom odgovoru (tri posta iznad) potpisujem

---

Pa meni je svejedno. To je bilo hipotetičko pitanje. Ali, očevidno je da si razmišljao o tome, jer je to bila poenta pitanja.

Znači ti odlučuješ koje ćeš softverske pakete uzeti tako što koristiš faktor povjerenja. Pa, upravo to i ja govorim, ja isto koristim faktor povjerenja, jer nema šanse, da mogu da pregledam sav izvorni kod po pitanju sigurnosti. Naravno da vjeruje Theo De Raadtu po pitanju njegog sistema, jer sam OpenBSD još prije 15 godina koristio na više kompjutera. Danas ne koristim, ali koristim patch zakrpice koje naprave. Cijela zajednica od toga profitira.

Recimo koristim LibreSSL umjesto OpenSSL.

Ali ako razmišljamo logički, po čemu si se ti uvjerio ili mogao da se uvjeriš da Debian održavatelji tih paketa, ne prave papazjanije za koje bi se ti trebao uvjeriti prije nego što bi uzeo sistem koji bih ja napravio?

Znači apsolutno se nisi uvjerio. U Debian organizaciji postoji cijeli proces da se odobri određenim ljudima da uđu u organizaciju i da dobiju dozvole da postavljaju pakete.

Na primjer ne vjerujem da poznaješ ovog gospodina: Ahmed El-Said Atef El-Mahmoudy koji je u procesu: https://nm.debian.org/public/process/aelmahmoudy i više o procesu je ovde: https://wiki.debian.org/DebianMaintainer

Ali, ako u najvećim državnim organizacijama postoje uljezi, što ne bi bilo uljeza u Debianu? Pa, Debian ne provjerava svoje ljude kako recimo banka provjerava svoje klijente. To sve ide preko Interneta. Hahahaha. Koja sigurnost!?

Od 1000 ljudi, u svakom gradu na cijeloj zemaljskoj kugli, pronaći će se barem 5-10 ljudi kriminalaca na jedan ili na drugi način.

Ali, dovoljno je da je JEDAN od njih zloćudan.

i onda si rekao "eventualno što da ne?" -- pa zato što autori softvera, kojima isto tako svi moramo vjerovati na riječ da ne prave gluposti sa našim podacima, oni obično svoj softver potpisuju digitalnim potpisima, da bi mi znali da je to potpis od autora i da softver nije promijenjen. Dovoljna je mala promjena i podaci mogu da cure.

Zašto da ne -- to je olako rečeno. Ne treba nikome vjerovati da mu stavlja softver na računar, ako ima na tom računaru bilo kakve važne podatke, šifre, slike, dokumente.

Tokom mog kompajliranja sistema, u više navrata sam preuzeo istu verziju izvornog koda sa debian servera i usporedio MD5 hash-eve sa originalnom verzijom autora softvera i nisu bili isti. Na žalost nisam pravio zabilješke, da to zapamtim, na koje se to pakete odnosi. Ali krenuću opet kroz isti proces i usporediću onda MD5 sume sa raznim GNU/Linux distribucijama.

Ali dovoljno je da sam našao jedan paket koji nema istu sumu MD5 kao originalni autorov paket. To već znači da sistem nije siguran,

Šta to znači? Da je neko kod Debiana preuzeo pakete, prepakovao, pitanje je šta je stavio unutra i onda postavio kao originalnu verziju. Ja te provjere nisam radio radi sigurnosti, već čisto da usporedim imam li istu verziju, onda kad sam tražio sigurnosne zakrpice, koje Debian za mnoge pakete koristi.

I sad kad usporedim ovaj moj sistem, stabilniji je, barem kroz dojmove, 10 puta, starta se mnogo brže i nema baš nikakvih problema, dok sam sa Debianom imao.

Onda se pitam, ako mogu sam odraditi 400-450 glavnih paketa u par dana, zašto će mi Debian i povjerenje tim 1000 ljudi, od kojih ne znam ni koji od njih gdje živi niti šta radi niti kakve namjere ima.

Samo pogledaj koliko nesigurnosti ima kada se daje povjerenje tim hiljadu ljudi: https://duckduckgo.com/?q=debian+software+compromised&t=ffab

I koliko će se to puta desiti da se ni ne primjeti ko je upao u Debian.

Ako ja radim distribuciju GNU/Linuxa, onda je radim sam i povlačim pakete direktno od autora, nema 1000 ljudi između mene i autora. Znači povećana je sigurnost. Napraviću program tako da to svako sebi može da odradi, ali da može i da čita program i da razumije šta program radi tokom njegovog izvršavanja.

Ali ako to radi 1000 ljudi, a oni još kompajliraju i kod kuće, a nebitno je i što se većina toga kompajlira na Debian serverima, onda je to 1000 puta nesigurnije.

Zašto?

Ja koristim manje od 450 paketa. Neko može da provali u kuće autora i da preko autora napravi probleme ili sami autori mogu da budu zloćudni.

Debian ima hiljade i hiljade paketa i preko 1000 ljudi održava te pakete.

Dovoljno je jednom od tih hiljadu ljudi ponuditi nešto novaca i već se može napraviti mogućnost špijuniranja ne samo pojedinačnih korisnika, već jednog znatnog broja Internet servera. A, kriminalci će neke stvari uraditi i bez novaca od trećih, za svoje potrebe.

Slobodan softver je super stvar, sigurnost je sigurno bolja nego na vlasničkom softveru Windows, ali sudeći po linkovima i po tome koliko se tih "distribucija" kompromitiralo, onaj ko tome vjeruje, ne zna šta radi i nije svjestan problema.

---

Hmmmm ... Da vidimo, *(ovo pre svega nije odgovor na pitanje koje nije postavljeno meni, d se razumemo) Thetaworld radi kao (ako grešim, pardonirao bih - bez uzbuđavanja, pliz) agent nekretnina ili tome slično. Ima svoju firmu i sažet moto (ili slično tome) mu je ~radi malo imaj mnogo~ ... D:

@Thetaworld

Pretekao si me, nema veze, nadam se da nećeš shvatiti bilo šta kao napad ili bilo šta negativno.

---

To je trebalo biti pitanje, samo nisam razumio šta me pita. To je bilo hipotetički. Mi smo korisnici GNU/Linux sistema i slijepo vjerujemo ljudima koji održavaju distribucije. Ali, zar ti nije dovoljno da pogledaš ovu pretragu: https://duckduckgo.com/?q=linux+iso+compromised&t=ffab

Ili ovu za Debian:
https://duckduckgo.com/?q=debian+compromised&t=ffab

zar misliš da će na duže vremena biti nešto promijenjeno? To je nemoguće. Čak što je više ljudi u Debianu, to su veće šanse da bude nesigurnosti. Debian pokreće dosta Interneta. Hvala Bogu, pa ću ga obrisati sa svih svojih servera i postaviti u mojoj radionici sastavljen operativni sistem, ograničen i sa SHA256 oznakama svih datoteka koje se nalaze na sistemu. Napraviću program da svako može da to sastavi za sebe i da razumije cijeli proces.



Pa, to sam ja upravo spomenuo u prethodnom odgovoru. Ja sam takav da se ne prodajem ni za kakve pare. Ali, koliko je takvih ljudi? Vrlo malo. Znači sa 1000 ljudi u Debianu, čak i bez para će barem 1-2 njih da počne da pravi zloćudne akcije. Nije bez potrebe uvedena procedura provjere osoba prije nego što počnu da sastavljaju Debian pakete. Znači postoji procedura, ako procedura postoji, to znači da ima zloćudnih ljudi. To je dobro da postoji procedura, ali sistem Debian je davno prešao kritičnu masu sigurnosti.

Moje mišljenje je da je Debian ekstremno nesiguran sistem. Kao korisnik Debiana od 1999. godine, iako sam počeo sa RedHat, koristio sam Debian, radi velikog broja paketa i radi principa stabilne distribucije. Postoji velika baza korisnika od kojih su mnogi jako dobri i vole da pomažu kada nekome nešto zatreba, preko IRC-a ili preko bug sistema. Bio sam među prvima da otkrijem neke Debianove propuste, recimo kod SSL certifikata od kojih su neki izbačeni bez ikakvog proučavanja, pa nakon mojih izvještaja su opet ubačeni. To meni dovoljno govori o tome da je to organizacija gdje se ne zna ni ko pije ni ko plaća. Kad se radi o važnim stvarima kao SSL certifikati, to je odlučio njih jedan ili dva održavatelja da izbace neke root certifikate. I da onda ubace taj paket u "stabilnu distribuciju". Nakon toga, oni ljudi koji možda šalju SMS ili imaju takve aplikacije na serverima da se povezuju sa drugim ljudima, njima se kompletne aplikacije blokiraju jer se certifikati više ne prepoznaju kao provjereni.

Twilio je SMS i telefonska firma www.twilio.com i ova cijela prepiska je počela kad sam to otkrio:
https://github.com/twilio/twilio-php/issues/285
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=812488

I sad ja trebam da čekam na šta? Da mi neko tamo od debilijana (pogrdno) napravi običnu datoteku koju svako drugi na svojoj distribuciji ima kako treba?

Ili šta trebam da radim, downgrade?

Ako je to nekome "sigurnost", meni nije. Kažem oni koji gledaju video i slušaju muziku, njima je svejedno. Neko piše par dokumenata i pisama, njemu je svejedno. Meni je ovde danas poslano 410 emaila, ljudi mi šalju važne dokumente, neki serveri moraju da primaju stalno informacije ili da šalju SMS-ove. To je jedna mala sitnica, ali mala sitnica je POKOSILA cijeli niz servera koji su vrednovali taj Debian princip korištenja stabilne distribucije.

---

@Thetaworld
zašto uvek moja pitanja ignorišeš. :( mnogo sam tužan zbog toga.
kad god sam ti posatavio neko konkrektno pitanje, dobjem tvoju pisaniju od jedne A4 strane sa nekim linkovima ka negde i raznim objašnjenjima o slobodnom software-u,
o Ahmed El-Said Atef El-Mahmoudy -u i tome slično.
ma nisam te to pitao, ali hvala na objašnjenju. nego da citiram sebe



@tuxserbia
posle ovoga me tuci :D

---

@Thetaworld
Izvinajvam se. hvala na odgovoru

---

To si pogrešno shvatio, ja sam samo mislio u smislu šta ako softver dolazi sa neprovjerene strane, recimo moje. Da li bi ga onda instalirao, to je bilo moje hipotetičko pitanje.

Debian GNU/Linux je odličan operativni sistem. Ima svoje probleme i ima načine da riješava te svoje probleme. Ne kažem i ne tvrdim da bih mogao odjednom da napravim bolje u tom smislu da napravim neki novi Debian.

Imam u planu da napravim jedan program, program koji pravi operativni sistem na vlastitom računaru ili na serverima. Program bi skinuo sve pakete i ponudio korisnicima da dobro provjereo dakle ti paketi dolaze, pokazao bi korisnicima koje se komande izvršavaju, imao bi mogućnost da bude interaktivan da se može vidjeti šta se izršava i kako se stvara operativni sistem, odakle dolazi softver. Onda bi bio više interaktivan da korisnici mogu baš svaki dio tog programa da provjere, naravno radi sigurnosti. I onda bi bila opcija da mogu da puste program da sam radi.

Sebi sam tako uradio i ne pada mi na pamet da se vratim na korištenje distribucija. Sad mi je sistem na MMC kartici, mogu ga kopirati na USB, radi. Mogu na eksterni disk, radi. Instalacija je jednostavna, samo kopiranje, nema instalacionog procesa. Kopiram cijeli sistem, uđem na hard disk preko chroot komande, pokrenem GRUB ako želim da pokrećem sistem sa eksternog diska ili sa USB-a, gotovo. Mogu kopirati USB nazad na kompjuter kao ISO i prekopirati ga dalje neograničeno.

Debian instalacija mi je uvijek bila najsigurnija za razliku od drugih instalacija. Ali zar nije još jednostavnije samo kopirati sistem sa MMC, ili USB diska na hard disk i gotova stvar. Malo GRUB-a i namještanja particija kao i obično je potrebno naravno.

---

Gospodin mi je ponudio da mu napravim neke skripte za instaliranje letsencrypt, da sve ide automatski kad se sistem pokrene, napravio sam mu. Onda mi je ponudio da mu provjerim ecryptfs i kako radi na XFS sistemu datoteka, provjerio sam mu. Onda mi je ponudio da mu napravim ISO GNU/Linux sistema, posebno za njega. Naravno da bi mi čovjek platio.

Rekao sam mu, ako ti tamo u Americi vjeruješ nekome preko Interneta, da ti pravi ISO, u kojem ne znaš šta ti je stavio u ISO, niti si čovjeka upoznao, uz to prodaješ taj ISO kao usluge da šifriraš drugim ljudima PostgreSQL, MySQL i druge baze podataka i tvrdiš da nudiš sigurnost, onda si ili lud ili grabežljiv za novcima. Prije će biti ovo drugo. Nije se uvrijedio. Nastavili smo saradnju. Platio je usluge. Ali, šta da se desi nešto u tom ISO sistemu, onda bi mogao reći, pa to nismo mi, mi smo platili tom čovjeku tamo, pitajte njega. Ne, ne, mogu mu napraviti program da sebi napravi ISO, ali da mu ja pravim ISO, to sigurno ne. Radi moje sigurnosti, ali i radi njegove i radi sigurnosti njegovih klijenata.

Onda je došao sa nekim vlasničkim programom, kompajliranim da ne zna niti šta taj program radi. Da ga provjerim i da mu pošaljem izvještaje, sve na Debian sistemima i na raznim drugim, na udaljenim serverima. Naravno da ne mogu da objavim o kome se radi. Ali mogu da pišem ovako uopšteno.

Na lijep način sam mu rekao "da nemam vremena za to". Jer zašto? Jer prodaje maglu. Ima veću firmu i vjeruju mu države, organizacije, bolnice, molim te lijepo. U Americi postoje obaveze da se baze podataka drže šifrovane. Podrazumijeva se. Uprkos tome, njemu biznis ide, jer baze nisu šifrovane. Bolnice prelaze na taj sistem. Njemu navodno vjeruje i Paypal, Medtronic, Air Malta, Ixaris. U firmi mu je čovjek koji je napravio jednu od sigurnosnih modula za Linux jezgru.

I sve to tako lijepo, ali onda traži mene, koji sam mu praktično anoniman, da mu sastavim neke vitalne komponente tog sistema.

Sad on može da ponudi koliko god hoće novaca, ja sam korisnik slobodnog softvera, ne mogu podržavati čovjeka koji želi da stavi pod kontrolu cijeli niz bolnica, da bi koristili softver za šifrovanje na GNU/Linux sistemima, koji je ionako ugrađen u te GNU/Linux sisteme. Nije loš model, ljudi to ne znaju, prodajem ti šifrovanje podataka za 100 dolara po bazi podataka mjesečno, 100 baza, 10000 dolara mjesečno za ništa.

I šta još radi? Čuva ključeve za šifrovanje kod sebe, na svom Cloudu.

Toliko o sigurnosti. Stvarno sam bio ljubazan prema njemu, odbio sam ga na lijep način, ne javlja se, meni je dobro jer ne želim da učestvujem u takvim nesigurnostima ni za koju cijenu.

---

Onog gospodina poznajem koliko i tebe. Tačnije, njemu bar znam ime.

Što se tiče sigurnosti, tu možemo naširoko. I svako ima neki svoj sistem reagovanja na isti. Downgrade, ni u suludom besu. Kad se pojave prve naznake o kompromitovanom paketu, aplikaciji, bilo čemu, prva stavka je zaustaviti servis, odnosno preusmeriti ili blokirati prilaz. Nakon toga, proučavanje problema. Sledeće je, ako si mrzešljiv, čekaš da ti padne s neba, ako ne dovučeš izvorni kod, promeniš šta treba i kompajliraš sam. Na kraju ga isporučiš pogođenim sistemima. Od onih Debianovih falinki, koliko je stvarno bilo da su oni nešto loše uradili? Ne branim konkretno Debian i njihove servere i programere, uzmi bilo koju distribuciju, isto je. Milion i kusur je bilo da je otkriven propust u samom jezgru. Agilni administratori odmah reaguju, zatvore rupu, promene fajl, i kraj priče. Oni drugi, beh. Skeniraj internet, ima ih tušta i tma sa verzijama od pre sto godina. Apache isto. Sertifikati, neću ni da počinjem o tome. Gde je tu konkretno krivica Debiana i/ili nekog od crnaca što crnče? SSL je bušan (skoro) ko windows, pa ga svi teraju samo tako. SSH, onaj komercijalni isto. OpenBSD i bratija pokušavaju na finjaka da promene "idiličnu" sliku mreže, ali im nešto mnogo slabo ide. Očigledno ni oni zaduženi za sigurnost, kojima ti i ja verujemo, banke, policija, država na kraju krajeva, zapošljava mrzešljive, prinaučene administratore, pa nam ide kako nam ide. Ne pričam o Srbiji, nego baš o celom svetu. Ko nije gledao, mala preporuka

http://www.imdb.com/title/tt0387808/

ovaj scenario nas čeka stodva posto, hteo neko da prizna to ili ne. Šta ćeš ti da uradiš po tom pitanju je na tebi. Boriš se da ono što radiš ostane koliko toliko normalno, a bujica gde te ponese, ionako nemaš mnogo uticaja na to. Lepo je ako pokušaš da edukuješ ljude, ali jednostavno nemožeš da UTERUJEŠ nekome pamet. Jednostavno ne ide, čak rizikuješ potpuno suprotan efekat.

Šta znam, za sada moj sistem rada prilično dobro funkcioniše, klijenti se ne žale, malo gunđaju kad nešto naprasno prestane da radi, ali vrlo brzo ga vratim u normalu. Za ostale, opet kažem, malo sam umoran od uterivjavanja na silu ( 'bem ti sunac, pomisliće neko da sam registered sex offender)

---

Tema: Debian - bye, bye Iceweasel

Smarate više. Otvorite novu temu pa tamo raspredajte nadaleko i naširoko ...

---