b******3
发帖数: 4385 | 1 linux的creator 现在已经入美国国籍,而且到目前为止还在管理着linux内核的主要架
构,虽说是程序是开放的,但是做个隐蔽的后门应该不是太难的事情,linux 在很多国
家服务器甚至军方系统中大量运用,美国中情局难道不会请喝喝茶什么的? |
n*****8
发帖数: 19630 | |
b******3
发帖数: 4385 | 3 芯片里面肯定也是有的哦
【在 n*****8 的大作中提到】
: 做在芯片里更隐蔽。
: :)
|
m****n
发帖数: 2754 | |
d*b
发帖数: 21830 | 5 linux的内核再鸡巴复杂,source code都是公开的,linux也不提供编译好的内核,内
核都是各个发行版自己编译的。
所以,linux这种完全公开的玩意要留后门不是那么容易的。似乎历史上也从来没有发
生过。
【在 b******3 的大作中提到】
: linux的creator 现在已经入美国国籍,而且到目前为止还在管理着linux内核的主要架
: 构,虽说是程序是开放的,但是做个隐蔽的后门应该不是太难的事情,linux 在很多国
: 家服务器甚至军方系统中大量运用,美国中情局难道不会请喝喝茶什么的?
|
r**********g
发帖数: 22734 | 6 ssl那么大一个洞,忘记得真快
【在 d*b 的大作中提到】
: linux的内核再鸡巴复杂,source code都是公开的,linux也不提供编译好的内核,内
: 核都是各个发行版自己编译的。
: 所以,linux这种完全公开的玩意要留后门不是那么容易的。似乎历史上也从来没有发
: 生过。
|
g******e
发帖数: 3760 | 7 漏洞跟后门两码事吧
【在 r**********g 的大作中提到】
: ssl那么大一个洞,忘记得真快
|
t********e
发帖数: 880 | 8 谁知道这是不是就是故意留的后门
【在 g******e 的大作中提到】
: 漏洞跟后门两码事吧
|
m********5
发帖数: 17667 | 9 没法躲
9x年时候就闹清查开源, 因为爆出不少核心程序员从一个神秘部门领取经费,故意植入
很多漏洞,但无果!
最后一帮人退守openBSD
当然现在知道这个部门是NSA
【在 b******3 的大作中提到】
: linux的creator 现在已经入美国国籍,而且到目前为止还在管理着linux内核的主要架
: 构,虽说是程序是开放的,但是做个隐蔽的后门应该不是太难的事情,linux 在很多国
: 家服务器甚至军方系统中大量运用,美国中情局难道不会请喝喝茶什么的?
|
m********5
发帖数: 17667 | 10 怎么没有?
基本上千疮百孔,9x年的时候就闹过运动,你们玩开源的年纪轻,不知道罢了
这次的OpenSSL Heartbleed存在多少年了,还不是才发现
【在 d*b 的大作中提到】
: linux的内核再鸡巴复杂,source code都是公开的,linux也不提供编译好的内核,内
: 核都是各个发行版自己编译的。
: 所以,linux这种完全公开的玩意要留后门不是那么容易的。似乎历史上也从来没有发
: 生过。
|
|
|
m********5
发帖数: 17667 | 11 对于没办法一一看代码的人来说办法只有一个,尽量避免功能性升级,只打补丁
但是也没用,很多bug如果有心植入,很难通过看代码看出来
一般都是测试才测出来
台湾政府部门一直有一大群人在搞各种测试
后来大陆也送了不少人来美国培训,找各种常用基础工具的bug
大陆好像哪个军校还专门有个中心做这个
内核植入我觉得意义不大,在基础工具上植入的意义更大
【在 m****n 的大作中提到】
: open source
: 你不会自己编译吗?
|
s******c
发帖数: 1920 | 12 这你就外行了. 1983年图灵奖得住Ken Thompson就专门讲过自己怎么在Unix里面不改动
源码(开始也改过源码, 被同事发现了)而植入后门让自己任意用管理员账号登陆. 诀窍
就是在编译器里面留后门.
非常经典的lecture, 非常经典的论文(很短):
http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.
【在 d*b 的大作中提到】
: linux的内核再鸡巴复杂,source code都是公开的,linux也不提供编译好的内核,内
: 核都是各个发行版自己编译的。
: 所以,linux这种完全公开的玩意要留后门不是那么容易的。似乎历史上也从来没有发
: 生过。
|
s******c
发帖数: 1920 | 13 碰上编译器后门一样挂. 谁知道gcc里面有没有NSA的后门
【在 m****n 的大作中提到】
: open source
: 你不会自己编译吗?
|
m********5
发帖数: 17667 | 14 你说对了编译器后门现在是重中之重,看到国防科大有好多人搞这个
重点关照还有grep,vi之类的
【在 s******c 的大作中提到】
: 这你就外行了. 1983年图灵奖得住Ken Thompson就专门讲过自己怎么在Unix里面不改动
: 源码(开始也改过源码, 被同事发现了)而植入后门让自己任意用管理员账号登陆. 诀窍
: 就是在编译器里面留后门.
: 非常经典的lecture, 非常经典的论文(很短):
: http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.
|
m********5
发帖数: 17667 | 15 不过还是比windows 好多了,闭源的基本没可能发现真实问题
中多少招才能发现一次
【在 s******c 的大作中提到】
: 这你就外行了. 1983年图灵奖得住Ken Thompson就专门讲过自己怎么在Unix里面不改动
: 源码(开始也改过源码, 被同事发现了)而植入后门让自己任意用管理员账号登陆. 诀窍
: 就是在编译器里面留后门.
: 非常经典的lecture, 非常经典的论文(很短):
: http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.
|
s******c
发帖数: 1920 | 16 信息技术上中美差距太大.
tg浑身上下肯定早就被美帝看了通透了.
估计习core头天看个女优的av, 巴马第二天就知道了
【在 m********5 的大作中提到】
: 不过还是比windows 好多了,闭源的基本没可能发现真实问题
: 中多少招才能发现一次
|
m********5
发帖数: 17667 | 17 说不定全方位Data mining
习core今天才看AV,巴马上周就通过习core的生活习惯预测到了
【在 s******c 的大作中提到】
: 信息技术上中美差距太大.
: tg浑身上下肯定早就被美帝看了通透了.
: 估计习core头天看个女优的av, 巴马第二天就知道了
|
n****l
发帖数: 3375 | 18 必须有
很多committer是NSA的卧底
专门负责在里面植入漏洞
比如openbsd著名的ipsec漏洞,就是FBI植入的
十多年没被发现 |
q****n
发帖数: 4574 | 19 好像很多企业,如GOOGLE,还有马云的什么东西,是在它的基础上,有关核心代码会换
掉。 |
P***y
发帖数: 2885 | 20 linux的g++的源代码也是开放的?
【在 d*b 的大作中提到】
: linux的内核再鸡巴复杂,source code都是公开的,linux也不提供编译好的内核,内
: 核都是各个发行版自己编译的。
: 所以,linux这种完全公开的玩意要留后门不是那么容易的。似乎历史上也从来没有发
: 生过。
|
|
|
G*****h
发帖数: 33134 | 21 那是当然
现在还有 llvm
【在 P***y 的大作中提到】
: linux的g++的源代码也是开放的?
|
s******c
发帖数: 1920 | 22 编译器就算开放源码也未必安全. 因为新版本编译器的binary要用老版本编译器编译出
来.
如果最初bootstrap的编译器里就有后门的话, 后面可以一直继承这个后门.
【在 G*****h 的大作中提到】
: 那是当然
: 现在还有 llvm
|
G*****h
发帖数: 33134 | 23 gcc 就算有后门,llvm 就算也有后门
把 gcc 源码用 llvm 编译一遍
没有 gcc 的后门了吧
再用这个新的 gcc 把 llvm 的源码编译一遍
这新的 llvm 就也没有老 llvm 里的后门了
再用这个把 gcc 编译一遍
就都干净了吧
【在 s******c 的大作中提到】
: 编译器就算开放源码也未必安全. 因为新版本编译器的binary要用老版本编译器编译出
: 来.
: 如果最初bootstrap的编译器里就有后门的话, 后面可以一直继承这个后门.
|
s******c
发帖数: 1920 | 24 如果后门足够智能也未必管用啊:
识别当前源代码, 如果判断是编译器(不管是llvm还是gcc),
就注入自己这段代码.
比如我之前说的ken thompson给UNIX加后门的例子就是让编译器识别是不是在编译
login这个function. 如果是, 就加后门
【在 G*****h 的大作中提到】
: gcc 就算有后门,llvm 就算也有后门
: 把 gcc 源码用 llvm 编译一遍
: 没有 gcc 的后门了吧
: 再用这个新的 gcc 把 llvm 的源码编译一遍
: 这新的 llvm 就也没有老 llvm 里的后门了
: 再用这个把 gcc 编译一遍
: 就都干净了吧
|
G*****h
发帖数: 33134 | 25 怎么识别是不是在编译一个编译器
你倒是说点儿道道看看
【在 s******c 的大作中提到】
: 如果后门足够智能也未必管用啊:
: 识别当前源代码, 如果判断是编译器(不管是llvm还是gcc),
: 就注入自己这段代码.
: 比如我之前说的ken thompson给UNIX加后门的例子就是让编译器识别是不是在编译
: login这个function. 如果是, 就加后门
|
s******c
发帖数: 1920 | 26 比如看见大量是lex,yacc,bison之类词法语法分析的工具生成的C代码, 就是一个
indicator啊
【在 G*****h 的大作中提到】
: 怎么识别是不是在编译一个编译器
: 你倒是说点儿道道看看
|
n****l
发帖数: 3375 | 27 其实问题出在code review
软件开发团队在做Code Review的真相是:当你写的代码行只有50行以内的时候,别人
会给你提10个comments,当你写的代码行超过500行以上的时候,别人的Comments通常
都是“Looks fine!” |
J*******i
发帖数: 2162 | 28 bingo
【在 n****l 的大作中提到】
: 其实问题出在code review
: 软件开发团队在做Code Review的真相是:当你写的代码行只有50行以内的时候,别人
: 会给你提10个comments,当你写的代码行超过500行以上的时候,别人的Comments通常
: 都是“Looks fine!”
|
G*****h
发帖数: 33134 | 29 公司里混饭吃的当然这样了
给linux 把关的那些人可不至于这样
再说code 不算多得看不完的程度
【在 n****l 的大作中提到】
: 其实问题出在code review
: 软件开发团队在做Code Review的真相是:当你写的代码行只有50行以内的时候,别人
: 会给你提10个comments,当你写的代码行超过500行以上的时候,别人的Comments通常
: 都是“Looks fine!”
|
