Как добавить свой бэкдор в ядро линукс да и любое ПО с открытым исходным кодом

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

Перевожу на русский. Что произошло.

Линукс пишут всем миром (но по факту 90% исправлений вносит персонал 10 крупнейших ИТ компаний), любой разработчик может прислать исправления в проект. В команде разработки сидят специальные люди, которые проверяют и тестируют исправления от таких вот разработчиков. И вот, два разработчика прислали патчи с заранее встроенными уязвимостями, и они мало того, что не были найдены, а были приняты и отправлены в основной репозиторий, об этих уязвимостях команде разработчиков сообщили сами разработчики патчей. Т.е. уязвимости так и не были найдены.

В ответ разработчики ПО встали в позу и забанили всех разработчиков данного ВУЗа.

Реальность линукса, представляет собой конфликт интересов. Внезапно выяснилось, что любой разраб может отправить в ядро любые бэкдоры и уязвимости, и они прокатывают. То есть хваленая безопасность линукса, как бы контролируемая сообществом, это лживый миф. А сколько таких бэкдоров и уязвимостей уже есть в ядре?

Неужели всё так и было задумано с самого начала?

Возникает интересный вопрос о реальных выгодоприобретателях этого бардака... Открытого и бесплатного линукса.

Ранее на эту тему :

В 2011 году никому неизвестный разработчик пропатчил OpenSSL протокол и внёс бэкдор - уязвимость не была обнаружена до 2014 года - с помощью банного бэкдор можно было ломать Банки, платёжные сервисы, удалённый доступ к любым сайтам. Естественно этот протокол пристально анализировался спецслужбами, хакерами, сотрудниками антивирусных компаний и мошенникам и т.п. скорей всего кто то её нашёл раньше и эксплуатировал. но тем не менее в тщательно анализируемом критически важном коде бэкдор просуществовал 3,5 года!!

33
Начать дискуссию