Názory k článku Postřehy z bezpečnosti: nová aktivně zneužívaná zranitelnost Androidu

Ohledně Pythonu "Překontrolujte, zda tyto zákeřné knihovny omylem nepoužíváte. Pokud ano, nahraďte je a změňte všechny SSH a PGP klíče, které jste během minulého roku používali."

Já teda vůbec nemám přehled, která aplikace na Linuxu mi běží v Pythonu, ale jsem si jistý, že jich několik bude (sám si aktivně Python neinstaluji, ale dostane se mi tam přes systém dependencí, nebo už v Ubuntu byl) a že jsem i nějakou mohl spustit. A ostatní uživatelé na tom budou stejně.

Instrukci si teda překládám tak, že si v podstatě všichni uživatelé Linux mají změnit své ssh klíče.

To varování je spíš cíleno na lepiče, kteří se po dvouhodinovém youtube tutoriálu "Introduction to Django" prohlásí za backend developery. Ve webovém vývoji je bohužel běžná praxe používat správce balíčků třetích stran, kterým se předkládají seznamy závislostí někde sebrané z webu (requirements.txt u Pythonu, obdoba pro JS u npm, atd.). Repozitáře, ze kterých tyto nástroje čerpají, jsou často volně přístupné, kdokoliv může publikovat.

Běžně vídám situace, kdy vývojář chce něco zkusit, tak si vytvoří čistý virtualenv, do něj nasype requirements.txt toho, co ho zajímá, spustí na to `pip` a pak to všechno spustí pod rootem, aby mu to mohlo obsadit port 80 :-) virtualenv nijak neřeší přístup do filesystemu, takže v tu chvíli má úplně cizí kód root přístup a může si dělat co chce.

Ve světě Javascriptu je situace ještě absurdnější, tam mají i triviální aplikace graf závislostí se stovkami uzlů. Samostatný balíček pro červenou barvu atd. :-D

U systémových aplikací (těch v Pythonu, co máte v Ubuntu) se prakticky nikdy nepoužívají jiné balíčky, než ty systémové (v systémovém správci balíčků), takže by osudovou chybu musel udělat vývojář dané distribuce, což je daleko méně pravděpodobné.

Jednalo se o "typosquatting“ metodu. Tedy preklep. Rekl bych, ze "lepic" je paradoxne vice safe, nez rucne zadane typo ''datautil" etc.

to je jen otázka odkud to ten lepič získá. Tyhle balíčky se objevily v požadavcích na mirror na lokální pip repo na jednom projektu od několika vývojářů, takže někde nějaký ukázkový kód existoval. Tenhle problém nastává dlouhodobě u jakéhokoliv komunitního repa.

Mimochodem, tohle je vtipný problém "bezpečného" linuxu, všechny spuštěné procesy si prostě mohou přečíst bez problémů privátní klíče, knowhosts a spousty dalších důvěrných informací. Ten, kdo šifruje privátní klíč zase používá agenta, což je z bláta do louže.

Proto se postupně zavádí sandboxing. Unixový model důvěry v dnešní době (kdy každý denně stahujeme cizí kód a spouštíme ho pod svým účtem) už nefunguje, to mělo smysl na mainframech v dobách, kdy nebyly prohlížeče a web plný javascriptu.

Záleží, kde hostujete zdrojové kódy. Github requirements.txt kontroluje a posílá upozornění, když je tam verze s chybou.

jinak, váš příspěvek je takový zbytečný hejt na balíčkovací systémy.

@Jan [...] Instrukci si teda překládám tak, že si v podstatě všichni uživatelé Linux mají změnit své ssh klíče.

Ja si teda prekladam tak, ze v pripade ze neinstaluju python nebo jeho soucasti pouze ze systemoveho repositare za pomoci systemoveho nastroje pro spravu balicku ALE instaluju z python repositare PyPI pomoci python nastroje pro spravu "balicku" pip A zaroven sem timto pip instaloval "python3-dateutil" nebo "jeIlyfish"...
Protoze zakerne "balicky" NEbyli v systemovem, ale prave v tom PyPI repositari...

... doplněk údajně posílal zpětnou vazbu o vaší internetové historii...

Proč údajně?

https://palant.de/2019/10/28/avast-online-security-and-avast-secure-browser-are-spying-on-you/
https://palant.de/2019/12/03/mozilla-removes-avast-extensions-from-their-add-on-store-what-will-google-do/

PS (diskuse): https://www.lupa.cz/aktuality/firefox-zablokoval-ctyri-rozsireni-od-ceskeho-avastu-pry-jde-o-spyware/

9. 12. 2019, 10:24 editováno autorem komentáře

Ještě si dovolím upozornit na rozhovor s nějakým hlavounem Avastu v Respektu, který "nápadně" upozorňuje" na zlé globální šmíráky a "nenápadně" naznačuje, že to vyřeší instalace antiviru.
(je jasné, který je ten "správný" antivirus)

https://www.respekt.cz/tydenik/2019/48/na-internetu-zijeme-kazdy-ve-vlastnim-svete

(četl jsem to papírově, online to možna nebude celé)

O to větší legrace, když teď na Avast vyplavalo, že jejich extension do browseru odesílá všechno kamsi. :-)

https://palant.de/2019/12/03/mozilla-removes-avast-extensions-from-their-add-on-store-what-will-google-do/

Strasne by ma zaujimalo ako blockchain dokaze znizit/zefektiv­nit/zlacnit tym ze sa sleduje trasa potravin. IOT + AI si viem predstavit ze dokaze zeefektivnit vyrobu (lepsie hnojenie, krmenie, etc..) ale blockchain? Co pisu v tom clanku je o trackingu nie o zlacnovani resp. vyssej efektivite. Ono nieco podobne sa deje od roku 2017 vo farmacii. Vsetky lieky v EU maju unikatny kod a je mozne ich trackovat od jednej flasticky cez lekaren, prepravcu, sklady az po latky ktore su v tej konkretnej vyrobnej davke pouzite (Batch). Neviem si ale predstavit kto by to zaplatil a ako by to fungovalo v maloobchode. Uz vyrobca by musel trackovat, logovat, prepravcovia a sklady tiez a nakoniec maloobchod. Do toho nieaka ta aplikacia pre uzivatela aby to vedel v realnom case vytrackovat a to uz stoji nieake to E. Kto to bude cele platit? Kto a ako to bude kontrolovat? / validovat?

To je docela hloupé zjednodušení.
Jsou uživatelé s woknous, kterým je (třeba teď konkrétně ten Avast) prezentován jako úžasný antivirus, který je "zadarmo"...

Na Androidu je nejzajímavější, jak v každé nové verzi jsou přidány opatření zvyšující bezpečí uživatele... Ve výsledku vývojář před vydánám nové verze Androidu jenom přidá podmínku if (API_XX){}, která "opatření" obejde a uživatel je stejně nahraný.

Bohužel, důsledek toho že Google dostává peníze od vývojářů aplikací a nikoliv přímo od uživatelů. Vývojář, i ten dodávající zákeřný kód, bude vždy ve výhodě.

Jeden z důvodů, proč mi v dnešní době dávají smysl telefony jako Librem 5 nebo PinePhone.. Prostě co si zaplatíte, to dostanete (v případě PinePhone je to jen HW s drivery, ale pořád lepší než Android, na který čistý linux stěží dostanete)..