URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 133150
[ Назад ]
Исходное сообщение
"В Snap Store выявлены вредоносные приложения для работы с криптокошельками"
Отправлено opennews , 19-Мрт-24 09:44 
В  каталоге приложений Snap Store, сопровождаемом компанией Canonical и продвигаемом для использования в Ubuntu, выявлено 10 приложений, стилизованных под официальные клиенты для популярных криптовалютых кошельков, но на деле не имеющие отношения к разработчикам данных проектов и выполняющие вредоносные действия. Более того, в каталоге данные приложения снабжены меткой "Safe", которая создаёт иллюзию того, что приложение проверено и является безопасным...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60807

Содержание
Сообщения в этом обсуждении
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Bonbon , 19-Мрт-24 09:44 
Интересно, как подобные проблемы предотвращает Flathub?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 09:47 
Никак. Блобы все такие
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 09:50 
меньшей популярностью
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 17:06 
"безопасность через нахер-ненужность"(ц)
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 09:52 
Никак. Например, https://flathub.org/apps/io.exodus.Exodus хочешь доверяй, а хочешь нет. Никаких меток "Verified", говорящих что это проект от разработчиков Exodus там нет, как нет упоминаний наличия flatpak-пакета на  странице https://www.exodus.com/download/

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 10:06 
Ответ разработчиков Exodus

> Hey there! I can confirm that this flatpak is not maintained by us. We've been trying to get it removed from Flatpak, but to no avail. That said, we do occasionally check the authenticity of the Flatpak. It's always been an authentic copy of Exodus. We would just like it removed as we can't guarantee that this will always be an authentic copy since we aren't maintaining it.

Это конечно, круто. Послали их флатпаковцы на просьбу удалить.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено cheburnator9000 , 19-Мрт-24 11:09 
https://ludocode.com/blog/flatpak-is-not-the-future

Читайте абзац про Identifier Clashes.

Flatpak пакеты может создавать кто угодно для чего угодно, Федора это доказала на практике.

Как и https://github.com/flathub/io.exodus.Exodus/blob/master/io.e... некий tomaswarynyca, который вообще не известно кто это.

Именно по этому нужно пользоваться либо официальными сайтами ПО, либо репозиториями дистрибутива. И никак не Snap/Flatpak/AUR.

Посмотрите вот сюда https://github.com/flathub/io.exodus.Exodus/graphs/contributors ШЕСТНАДЦАТЬ аккаунтов имеют право коммитить в этот git проект. Придет время и "обиженный сотрудник" начнет коммитить трояны в эти флатпаки, это только вопрос времени.

А теперь почитайте вот это https://docs.flathub.org/docs/for-app-authors/submission/#so... надеюсь вы понимаете что это именно то чем занимаются веб сайты с каталогами софта, а также пиратского софта или пиратских сериалов/фильмов? У вас как автора софта не спросили разрешения желаете ли вы быть доступны через эти "каталоги". Ровно также как они нарушают EULA драйверов Nvidia, они просто их распространяют внутри flathub, по нормальному пользователь должен согласиться с EULA, но "свободный" и прекрасный флатпак просто навязал пользователю это соглашения без его ведома.

Помню когда наш софт размещали во Softpedia, то с главным разработчиком связывались по email люди из Softpedia.

Но флатхаб это просто паразиты.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено n00by , 19-Мрт-24 11:47 
А в случае с официальными репозиториями кто-то спрашивает? Только не надо мне отвечать "ты сам разрешил в лицензии". Мой опыт показал, что при отсутствии опубликованной лицензии "вопросы" выглядели примерно так: «приезжайте на конференцию по СПО» и «мне самому некогда это опакечивать, напиши Васяну, он тебе поможет». То есть некоторые майнтайнеры почему-то привыкли считать: если исходники открыты, то само собой разумеется, что автора можно не спрашивать.
"Ну ты даешь."
Отправлено cheburnator9000 , 19-Мрт-24 12:10 
Мейнтейнеры Debian и Fedora не опакечивают проприетарный софт в отличие от flathub. Если таковой имеется, то только в сторонних репозиториях (не официальных). Exudos проприетарный софт.
"Ну ты даешь."
Отправлено аннаним , 19-Мрт-24 15:35 
+, copr кстати неофициальный + и в нём есть опакеченные блобы
"Ну ты даешь."
Отправлено cheburnator9000 , 20-Мрт-24 00:30 
> +, copr кстати неофициальный + и в нём есть опакеченные блобы

А flatpak и snap продвигают как единственно верный способ установки ПО. Скоро в Gnome Software и Discover появится реклама на платную подписку к flathub тупо вопрос времени.

"Ну ты даешь."
Отправлено iPony129412 , 20-Мрт-24 06:55 
как-то незаметно
всё же модель бесплатный тестовый полигон
А так вот: "Flatpak 1.6 Released With Bits For Supporting Paid App Store - 20 December 2019".
Спустя четыре с половиной года как-то незаметно, что бы это двигалось к ачивке "первое платное приложение в FlatHub".
У SNAP та же история - лавным давно как бэ сделали черновое API. И забросили.
"Ну ты даешь."
Отправлено n00by , 20-Мрт-24 11:43 
Ну я не со странами загнивающего капитализма проводил опыт, а с местными заместителями.)
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:02 
во

Можно, скорее всего, "в". Извините )

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено helloworld , 19-Мрт-24 18:58 
А AUR здесь каким боком?

Просто надо смотреть PKGBUILD перед сборкой. Те, кто не смотрят - ССЗБ

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:52 
Интересно, что на Флатхабе тоже есть метки "Verified", с тултипом "The ownership of the blah-blah-blah ID has been manually verified by the Flathub team", например у Firefox. Но их очень мало. Может и правда вручную проверяли?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:53 
Есть даже раздел: https://flathub.org/apps/collection/verified
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 12:10 
Это относительно недавно ввели в новом модном сайте.
Раньше такого не было. Понятное дело, что проверяют.

Хотя вон тот же qBittorrent, значится как "Verified".
А на оф ресурсах qBittorent слово "semi-officially".
Хотя в таких проектах, вон вчера он левый чувак, а сегодня официальный контрибьютор с весомым вкладом.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 10:23 
Хотя в том же Flathub есть премодерация. Да, там не проведут секурный аудит, но хотя бы явнуя зловредную подделку сделанную на тяп-ляп засекут.
В Snap Store - нет.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено test , 19-Мрт-24 10:51 
Сам flatpack и все что во FlatHub это юзерские ДЕ приложения и работают они от юзера, так что не очень страшно ...
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 11:10 
Сабж - наглядная демонстрация что нет.
Вводишь свои секреты-пароли, и несколько милилонов уже нет.
Но зато ОС цела 😀

Что-то из xkcd
https://xkcd.com/1200/

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 11:23 
Да и для троянов рут не нужен
Затолкает этак средний Flatpak в пользовательскую автозагрузку ~/.config/autostart/ троянчика
И будет он хулиганить имея доступ ко всем пользовательским файлам и сети. Всё что надо для счастья есть и без рута.

Конечно, можно всяко разно обезопаситься. Но это дефолт.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:39 
Просто пришли все свои пароли мне. Нет данных/крипты и беспокоится тебе будет не очем.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 08:33 
Контейнер флатпака не даст ему запихнуть этот файл (конечно если ревьюеры не просмотрели строчку такого пермишшена при добавлении во Flathub)
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 20-Мрт-24 10:06 
Так доступ к HOME есть у всех кому не лень в Flatpak


"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 10:10 
Неправда. Ревьюеры следят за тем чтобы приложения не запрашивали такие широкие права. Хотя могут и допускать в крайних случаях
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 20-Мрт-24 10:15 
> Врёте!

ссылка внизу

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 20-Мрт-24 10:10 
https://hanako.codeberg.page/

Это же задолбаешься сделать нормальную инфраструктуру с кучей приложений - поэтому изоляция на бумаге.
А на практике "ревьюеры просмотрели строчку такого пермишшена при добавлении во Flathub"

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено X86 , 22-Мрт-24 06:20 
Очень классно, что юзерское приложение, укравшее твою крипту, не получит рут и не сможет навредить ядру твоей ОС)
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 09:50 
никогда такого не было и опять
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено pic , 19-Мрт-24 14:37 
Да ладно, поставь Касперский, :)
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено EULA , 20-Мрт-24 06:20 
Он флакснапы не проверяет. Другие апчхивирусы так же не проверяют
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 09:51 
Вот так вот!
Ничего лучше реп от знаменитых дистров ещё не придумано. Хотя для убунтоидов очень популярны ppa репы с троянами от васянов!
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:40 
Снап Сторе - фактически и есть репа от "знаменитого дистра". Хотя и в обычных репах есть мусорные приложения.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 20:10 
> Снап Сторе - фактически и есть репа от "знаменитого дистра".

Нет, дружок, это не репа, а помойка без какой-либо модерации.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 00:30 
AppImage от разработчика софта, как вариант. И даже кажется меньше какает в систему, но это не точно.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 09:53 
Я не знаю, что нужно иметь вместо мозга, чтобы доверять приложениям, которые собирает васян. Тем более таким, которые связаны с деньгами. Именно поэтому Win и Mac кошерны - ты качаешь бинарники с сайтов разработчиков или из магазина со строгой модерацией.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 10:18 
Так вот многоие линуксоиды не понимают, что это собирал васян

Они заходят в магазин, а там зелённая иконка "Safe (Confined)" в магазине Canonical. Всё круто и хорошо.

Так же мне раз десять тут утверждали, что вот как популярен Faltpak у разработчиков. Не понимают, что это не разработчики, а их творения пакуют васяны.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено scriptkiddis , 19-Мрт-24 11:00 
Да, пони же так не делаю, ага.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:44 
Основная масса там пакуется либо разработчиками, либо связанными с ними людьми. Проблема, что не запрещены иные варианты.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:37 
Ну за программы размещенные в магазине платной ОС несут ответственность авторы ОС, т.е. есть договор между авторами ОС и пользователями. А какую ответственность несут Canonical за то что размещено в Ubuntu Store?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено soarin , 19-Мрт-24 16:24 
Это типа на халяву и уксус сладкий?
Как-то глупо рассуждать в юридическом поле по понятиям. Юридически решает принятие лицензионного соглашения и законы. Нет такого что бесплатно – можно что хочешь воротить, а 5 рублей берут - это уже другое, ответственность большая.

Тем более, покупая сертифицированный ноутбук с Ubuntu, пользователь и оплачивает эту сертификацию.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Zulu , 19-Мрт-24 23:48 
> Ну за программы размещенные в магазине платной ОС несут ответственность авторы ОС

Нет. Аппл прямо в своем апп стор полиси пишет

Apple assumes no responsibility with regard to the selection, performance, or use of third-party websites or products.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 14:42 
Ага, особенно в Microsoft Store строже некуда.
https://www.ghacks.net/2019/06/17/fake-commercial-versions-o.../
https://news.thewindowsclub.com/malware-enters-the-microsoft.../

Ну и да, в линуксах тоже ничто не мешает качать бинарники с сайта разработчика.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено crypt , 19-Мрт-24 22:05 
> Именно поэтому Win и Mac кошерны - ты качаешь бинарники с сайтов разработчиков или из магазина со строгой модерацией.

но эту идею они позаимствовали как раз из репозитариев Linux'a... они по сути и сделали репозиторий с графическим интерфейсом... но когда Linux начинают превращать в ОС а-ля Windows для таких, как ты, то выходит то, что выходит...

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 20-Мрт-24 07:17 
Это идею репозитариев и магазинов в линуксы записал?
фанатично...
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 09:56 
https://forum.snapcraft.io/t/store-policing/9681/4

Всем всё равно

> A very old outdated insecure Bitcoins wallet named Electrum still in the snap store. This wallet have a known bug that allows for stealing funds that is being used in the wild and many have lost their money.

Хотя теперь возможно оно вообшще не работает.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:51 
Подожжи, японец.

Электрум свежий вышел 14 марта:

https://github.com/spesmilo/electrum/blob/master/RELEASE-NOTES

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 11:58 
Какого года?

В Sтap там сборка 2017 года от фурри

https://snapcraft.io/electrum

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 09:58 
> Приложения представляют собой муляжи, выводящие web-страницы с внешнего сайта (например, "http://89.116.111.145:5000/public/exodus/index.html") при помощи обёртки на базе WebKit GTK, симулирующей работу обычного настольного приложения

Ахахах. Лишнее подтверждение, что все крупные капиталы делаются не совсем законно. А заработать... заработать можно только гeмоppoй!

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:09 
> А заработать... заработать можно только гeмоppoй!

Не только. Моххамед Клей, например..

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:51 
Стиви, мать его, Балмер.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Михаил Сергеевич , 19-Мрт-24 21:31 
Так кто-то из толстосумов как раз и говорил, что готов отчитаться за каждый свой мильёнЪ, кроме первого... (:
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 10:04 
ПО идее нужен отдельный дистрибутив для работы с криптой.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено аннаним , 19-Мрт-24 11:33 
Тогда уж отдельный комп на чём то параноидальном. Бсд?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:44 
само собою что отдельный, illumos.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:01 
Есть уже, называется Linux From Scratch. Сначала создаешь базовый дисковый образ с помощью инструкций из книги LFS, потом ставишь иксы с помощью инструкций из книги ULFS, потом устанавливаешь блобы кошельков с официального сайта или собираешь их вручную.

Если есть желание и возможности, можешь под каждый кошелек виртуалку держать.

Кошельки с миллионами баксов доверять первому встречному дистрибутиву - глупая затея. Нужно работать только с официальными сайтами разработчиков.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:42 
Ну да. И закачиваешь чудеса из репов питона.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 09:28 
Я пользуюсь Tails для этого.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 10:26 
Когда в Snap Store добавят приложение ЦБ для цифрового рубля? Уже выстроилась очередь для фишинга.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:13 
Как только цифровой рубль попрёт в массы. Поймёте по возрастающей инфляции.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Neon , 19-Мрт-24 11:16 
Так он давно цифровой. Бумажные многие и забыли когда держали. За всё картами расплачиваемся и электронно. Что то прущей инфляции не наблюдается
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Анонимус3000 , 19-Мрт-24 10:56 
В этой новости прекрасно всё: пометка "Safe", переопубликация малвари сразу после удаления, пользователи не использующие аппаратные кошельки при работе с суммами в пол миллиона долларов.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено нах. , 19-Мрт-24 11:42 
> пользователи не использующие аппаратные кошельки при работе с суммами в пол миллиона долларов.

так хоть хорошим людям достались. А с твоей аппаратной кошелкой - при ее взбрыке, который случится рано или поздно, потому что надежность и наколеночные васяноподелки живут в разных мирах, твои денежки просто повисают навечно в блокчейне мертвым грузом.
(ну мы же не будем рассматривать те варианты аппаратных кошелок которые "сохраняют возможность восстановления" куда-то там в облачкаааааа?)

  

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 09:29 
А разве у них нельзя сохранить сид-фразу?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено нах. , 20-Мрт-24 10:35 
в облачко.

Самое то. Я видел какие-то которые даже автоматически это за тебя делали. Вот удобно!

Если сид-фраза позволяет восстановить закрытый ключ - это полный эквивалент закрытого ключа. Ну и зачем тебе была супер-пупер поделка, если ключ - спокойно лежит под ковриком?

Еще хуже тот момент что эквивалент-то она эквивалент но заправить в другую аналогичную зверушку - скорее всего не получится, там ключ из нее вычисляют как-нибудь по другому. А будет ли в продаже именно та от которой у тебя ключ под ковриком - неведомые васяны конечно могут пообещать, но с них потом спросить не получится.

При этом экспорт именно ключей - чаще всего наглухо непредусмотрен, этожнебезопастно!

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Anonim , 19-Мрт-24 11:32 
В калоникал затесались "агенты влияния". Возможно и из MS (не до смеха). Иначе то, что там происходит, мне объяснить не удается. Версии убунту меньше 20-ки еще на некоторых серверах у меня крутятся. Более новые версии просто стремно использовать.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:36 
Пока не перейдёшь в облако MS, не отстанут. Готовь денежки, все знают, они у тебя есть.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 19-Мрт-24 12:03 
Элементарно всё обьясняется. И никаих заговоров.
Деньги стали экономить. Не вечно же вбухивать в непонятный этот десктоп.

http://www.opennet.dev/opennews/art.shtml?num=46326
https://www.opennet.dev/opennews/art.shtml?num=46443

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Anonim , 19-Мрт-24 13:00 
Если бы они экономили, то поджались бы как бздишники, и пилили только само важно и нужное, а не всякую сомнительную муть
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:03 
Последней версией Ubuntu, под которой работал клиент 1С, была 18.04. Симптоматично.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:16 
А сейчас под чем?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 14:30 
ох уж эти конспирологи... Всё очень просто, в linux зарабатывают на поддержке! Соответственно продукт выкатывают соответствующий.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:49 
Вот он, самый главный симптом популярности Linux.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 11:52 
Ля Лих и безопасность, ржу.

Один умник мне доказывал, что де в Линуксе всё хорошо, после 150 надстроек: https://www.opennet.dev/opennews/art.shtml?num=60794

Интересно, какие нужны надстройки, чтобы не нарваться на malware с Snap/FlatPak stores.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Anonim , 19-Мрт-24 11:59 
openbsd безопастна, тупо потому-что гигиену соблюдают и не тащат в OS всякую пакость
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:12 
Цифровая подпись у бинарников есть? Нет?

Как вы проверите целостность системы без переустановки с нуля с чистого носителя и чистого boot?

Потому что переустановка файлов внутри работающей системы ничего не гарантирует.

Если у вас в этом момент rootkit, всё, приехали.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Anonim , 19-Мрт-24 12:21 
https://undeadly.org/cgi?action=article&sid=20140502103355
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:46 
Пакеты подписаны, щастье, бинарники - нет.

Если в системе malware, значит, никакой гарантии целостности и безопасности нет.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено anonymous , 19-Мрт-24 13:17 
Вы этот пакет тащите со снапа по tls с подписью сервера.

Ну бинарник вам тоже сервер может подписать, с примерно тем же результатом.

Будет у вас бинарник зловреда, подписанный.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:44 
Это уже вопросы к владельцам FlatPak/Snap что подписывать, а что нет.

Microsoft сама malware не подписывает, но у них есть удостоверяющей центр, чтобы упростить задачу.

Сертификат, заверенный MS для подписывания (Windows signing certificate), можно купить за сколько-то баксов, не помню, вроде $200 в год, но, если вас MS поймает на распространении malware, его тут же отзовут.

Сумма вроде небольшая, но и немаленькая, чтобы script-kiddies не смогли.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено vitalif , 19-Мрт-24 11:57 
Просто не должно существовать в мире не-опенсорса, вот и всё)
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:07 
А вы все сами из исходников собираете, которые предварительно ревьюите? А то ведь даже если проект открыт, обычно нет гарантий, что собирали из данных исходников.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:15 
> А вы все сами из исходников собираете, которые предварительно ревьюите? А то ведь даже если проект открыт, обычно нет гарантий, что собирали из данных исходников.

Это касается почти всех дистров, кстати.

Мейнтейнеры просто берут и выкатывают новый пакет из upstream, ничего вообще не проверяя.

Что там upstream нафигачил - никто не знает.

Open Sauce (да, соус, именно так) и безопасность. Ржу.

А ещё примерно 99% пользователей Линукс отключают Secure Boot. Потому что геморр. ZFS не работает, VirtualBox не работает, их китай USB wi-fi адаптер не работает.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:32 
А зачем мэйнтейнерам что-то проверять в исходниках? Это задача принимающего коммит и рецензентов.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:43 
> А зачем мэйнтейнерам что-то проверять в исходниках? Это задача принимающего коммит и рецензентов.

Чья чья задача? Вы в своём уме?

Мейнтейнеры в большинстве дистров - независимые люди. Нажимают git push, кто-то, если повезёт, проверяет, чтобы зависимости не слетели и в вашем дистре оно появилось. Всё. Безопасность в Ля Лихе. Piздец, а не безопасность.

Единственный продукт, где нет такого безобразия - RHEL и, может быть, SLES. Там проверяют досконально, поэтому так мало пакетов.

Все остальные дистры чисто васянские, включая бубунту.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:30 
ты хоть понял, что тебе написали?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Anonim , 19-Мрт-24 13:39 
>Единственный продукт, где нет такого безобразия - RHEL и, может быть, SLES.

Оракловый линукс. Там тоже в официальных репах васянских закладок не будет. Будут закладки звездно-полосатого тащмайора, но ему твои крохи не вперлись

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:46 
Так это же repackaged RHEL, нет?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Anonim , 19-Мрт-24 13:51 
>Так это же repackaged RHEL, нет

Да. Но там сборщиком пакетов выступает оракел и собирает на своих серверах своими скриптами. Всяко больше доверия чем васяноарчам и васянодебианам.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено аннаним , 21-Мрт-24 01:06 
В RHEL не знаю как, но вот как  проверяют в Федора можно посмотреть на https://bodhi.fedoraproject.org/updates/?status=testing
тестеров мало, очень часто пакет идет в релиз по таймату с нулем голосовавших.  


[сообщение отредактировано модератором]

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено ИмяХ , 19-Мрт-24 13:59 
Да, ещё и компилятор предварительно дизассеблируем и вручную просматриваем на предмет троянов.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Михаил Сергеевич , 19-Мрт-24 20:30 
В этом весь цимес опенсорса. Никто ни при чём, даже если там дьявол затаится. В отличии от проприетарных продуктов, где репутация может пострадать, да и юридические последствия не отменяли.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 12:24 
Особенно хороши проприетарные протрояненные сборки каких-нибудь опенсорсных влц и гимпа с первых 10 страниц выдачи поисковика, что уж говорить о чём-нибудь менее популярном, где приходится по случайным варезникам искать этот опенсорс.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено anonymous , 19-Мрт-24 13:19 
Датычо.

Я тут на сервере обнаружил криптомайнер, работающий на неизвестного бенефициара. Опенсорсный. Можно скачать, и изучить исходник.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено 12yoexpert , 19-Мрт-24 12:38 
давайте, фанатики снапов, флэтпаков, апъимэджэй и прочего тормозного засирания диска, расскажите мне, как плохо пользоваться пакетным менеджером
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Михаил Сергеевич , 19-Мрт-24 19:34 
> как плохо пользоваться пакетным менеджером

А пакеты собирает кто? Правильно. Такой же васян. За редким исключением.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 13:20 
И куда крестьянину?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 20:25 
>И куда крестьянину?

Вестимо в поля-с..Нынче посевная на носу.
А если серьезно - используйте Windows.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 13:58 
Да уж, ведь там зловредов поменьше, чем в Linux /s
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено ИмяХ , 19-Мрт-24 14:00 
Linux это безопасно, говорили они. Криптовалюты это тоже безопасно и надёжно, говорили они.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 14:33 
> Криптовалюты это тоже безопасно и надёжно, говорили они.

Не считая дикой волатильности, вполне.

Ну и не считая васянские крипты-однодневки, но надо быть идиотом, чтобы верить, что это гумно выстрелит.

Есть некий набор крипт, который существует очень долго и себя зарекомендовал: bitcoin, ethereum, ха, на этом всё. Всё остальное это шиткойны по большому счёту.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 20:27 
>Есть некий набор крипт, который существует очень долго и себя зарекомендовал: bitcoin, ethereum, ха, на этом всё.

Это вы ещё "цифровой рубль"® и "цифровой  юань"® не видели..

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 09:36 
Монере ещё.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено X86 , 22-Мрт-24 06:26 
Кто-то уже сюда каспу причисляет
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 14:38 
Просто линукс это про свободу!!! В линукс все делают что хотят, включая и способ заработка.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Zulu , 19-Мрт-24 23:50 
> Криптовалюты это тоже безопасно и надёжно, говорили они

Найди "их" и плюнь в лицо. Криптовалюты это что угодно кроме безопасности и надежности.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 14:04 
А если начнут не такие наивные фишинговые прогу грузить, а те что реально сложно вычислить? Любая софтина же может стырить файлики с ключами и т д или что-то перехватить.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 14:39 
А вы просто прав на чтение файлов не выдавайте.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено iPony129412 , 20-Мрт-24 07:08 
Надо проверять мейнтейнера и/или автора приложения. Вообще для любых ОС хорошая практика.
Васян-аноним - низкий уровень доверия.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 15:04 
Что делать если в репозитории найдены вредоносы? Праильна! Забить и ждать следующего раза.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 15:11 
Случаев появления зловредов в нормальных репозиториях не припоминаю. Значит что-то в традиционной системе дистрибуции ПО сделано правильно.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 17:59 
Так Каноникл и заявлял достоинством: возможность в снепе не заниматься контролем содержимого. Ну и - вот, оказалось, да, можно.

Чего автор намесил в контейнер, то интерес автора и пользователя, а сообщество операционки может бросить тратить время на качество репозитория.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 15:16 
Принудительное использование Scam Store на фоне таких новостей выглядит феерично.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено semester , 19-Мрт-24 15:21 
Как защититься от всего этого? Может есть какой то файрволл приложений?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 16:18 
Виртуалка.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 16:27 
Без доступа в сеть?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено аннаним , 19-Мрт-24 17:51 
без электричества
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено _kp , 20-Мрт-24 12:37 
И в сейфе, что б злоумышленник не влючил, и не всунул флешку.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 09:43 
Есть новые операционные системы, сочетающие безопасность на основе возможностей, изолированные драйверы устройств и виртуальные машины. Sculpt OS, к примеру.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено X86 , 07-Апр-24 08:22 
> Есть новые операционные системы, сочетающие безопасность на основе возможностей, изолированные
> драйверы устройств и виртуальные машины. Sculpt OS, к примеру.

И чем она поможет в случае установки вредоносного криптокошелька или банковского приложения?

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 17:56 
> Как защититься от всего этого? Может есть какой то файрволл приложений?

Думать своей головой и не спешить.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 19-Мрт-24 19:03 
А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов? Одно дело качать с официального сайта разработчика, другое - доверять неизвестным людям.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Михаил Сергеевич , 19-Мрт-24 20:18 
> А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов?

Ты не понимаешь. Это ДРУГОЕ.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Zulu , 19-Мрт-24 23:52 
> А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов?

deb из репозитария подписан ментейнером. Ментейнер в дебиане должен предъявить документы, физически, чтоб ключ приняли. Так что вставить-то криптоскам можно, но только потом спрятаться гораздо тяжелее, чем этому fix0000 или как он звался.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Михаил Сергеевич , 20-Мрт-24 01:11 
Да вы святая наивность... (:
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 06:28 
Какие тебе гарантии нужны? Он же своей репутацией в сообществе отвечает. Спалится на нехорошем - придётся снова региться под другим ником, что невероятно сложно и практически нереализуемо, поскольку за право бесплатно что-нибудь пакетить и сопровождать в очередном васянодистре царит лютая конкуренция. 666 человек на место конкурс и когда счастливчик определяется, то у него и ДНК на анализ берут, и отпечатки пальцев со снимком радужки.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 10:55 
> А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов? Одно дело качать с официального сайта разработчика, другое - доверять неизвестным людям.

Ты неправильно ставишь вопрос. Гарантии нет даже если качать с официального сайта, ибо сервер можно скомпрометировать?

Правильно спрашивать: где легче впоймать малварь:

* В репе дистрибутива, где есть модерация и несколько месяцев "настаивания" до публикации пакета.

* В Snap store, где нет вообще никакой модерации и любой хер с улицы может загрузить бинарь и
даже получить пометку "Safe".

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 14:15 
Гарантий нет. В официальных репозиториях такого просто не происходит почему-то.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 17:54 
> А есть ли гарантия, что deb пакет собранный васяном-мейнтейнером в официальном репозитории не имеет внедрённых зловредов?

Есть, более высокая, чем со снепами. Требований к автору больше, порог входа сложнее.

Одна из фишек дистрибутива, когда васян-мэйнтейнеров не пускают в репо дистрибутива. А у тех, кого впустили, есть много нормальных интересных занятий для зарабатывания спокойной пенсии.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено darkshvein , 19-Мрт-24 19:31 
apt remove snap
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 17:49 
И LMDE - https://linuxmint.com/download_lmde.php
И всё хорошо. Никто не пристаёт с монетизацией накопленного навыка костылей поверх Дебиана.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 08:52 
Подумаешь, криптокошелек.
Вон вообще тему установил человек, и на всех дисках слегка поубавилось информации:
https://www.reddit.com/r/openSUSE/comments/1biunsl/hacked_in.../
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 09:50 
Ужасно. Был ли включён у него SELinux?
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 14:12 
- Больной сильно потел перед смертью?
- Да.
- Это очень хорошо!
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 21:58 
Это же openSUSE, там AppArmor, а не SELinux. С SELinux такое не было бы возможно: https://en.m.wikipedia.org/wiki/Security-Enhanced_Linux#Comp...
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 08:58 
Видимо в brew на macOS это чуть более безопасно, потому что никаких verified/confirmed там нет.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 14:11 
Железная конечно логика.
"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 20-Мрт-24 09:45 
Они же, вроде как, обещали ещё в прошлый раз залатать эту дыру.

Делаем ставки, когда каноникал, снова, обосрутся на этом же.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 17:46 
Это не-затыкаемая дыра: чужой бинарный блоб с зависимостями в одном контейнере невесть от кого без особых проверок. Канониклу проверять тяжко, не станут/не смогут. Чай - не Гyгл по масштабу. А сообщество, сообщество автора не проверяло перед впусканием пакета в репозиторий.

Максимум антивирус какой-нибудь что-то проверит. Но, зато, отвественности перед клиентом типа можно не признать.

"В Snap Store выявлены вредоносные приложения для работы с кр..."
Отправлено Аноним , 21-Мрт-24 18:08 
> легко обходят автоматическую систему проверки публикуемых пакетов

Основное, что надо знать про современный Canonical и новое пакетирование.