Fedora осталась без инструментов аудита безопасности по дурости разработчиков

Драма в дистрибутиве Fedora в нескольких частях. Части 1 и 2.

На состоявшемся на днях совещании управляющего комитета проекта Fedora Linux была отвергнута заявка на включение в дистрибутив приложения SQLninja, распространяемого в рамках лицензии GPLv2 и формально предназначенного для тестирования безопасности СУБД. Кроме таких функций как проверка на возможность подстановки SQL-кода, перебор типовых паролей для подключения с БД и сканирование портов, утилита поддерживает ряд возможностей, направленных на получение shell-доступа и оставления лазейки во взломанной системе. Именно наличие этих функций и привело к запрещению поставки данной программы в составе дистрибутива, несмотря на выполнение лицензионных требований и соответствие категории "утилиты для тестирования безопасности".

Рассмотрение проблемы подтолкнуло совет переосмыслить правила приема программ в дистрибутив и после обсуждения принять решение об ужесточении требований к включаемым в дистрибутив программам. В ходе обсуждения были рассмотрены типичные доводы, такие как "если у человека есть пистолет, то не значит, что он намерен убить кого-нибудь из него". Но в итоге, превалировало мнение, что нахождение подобных утилит слишком рискованно, так как наиболее вероятно, что приложение будет использовано для совершения нелегальных и опасных действий.

В правила приема пакетов будет добавлен пункт, запрещающий прием программ, которые с большой долей вероятности будут использованы только в целях, связанных с осуществлением нелегальных операций, которые считаются противозаконными в одной или нескольких крупных стран в которых распространяется или используется Fedora Linux, что в конечном итоге может привести возникновению риска юридических преследований по отношению к распространителям дистрибутива.

Джаред Смит (Jared Smith), лидер проекта Fedora, опубликовал пояснение, связанное с отклонением включения программы SQLninja в состав дистрибутива и изменением правил в направлении запрещения приема программ, связанных с осуществлением нелегальных операций. Вокруг данного решения развернулось много споров, которые свидетельствуют о неверном толковании пользователями принятого решения. Мнение, что запрету подлежат все утилиты для проверки безопасности и, что при желании любое ПО можно использовать со злым умыслом не применимо к решению совета, рассматривающего конкретный продукт - SQLNinja и подразумевающего только подобные ему программы.

При рассмотрении инструмента SQLNinja совет разместил на одной чаше весов "инструмент для проверки безопасности", а на другой "оружие для cкрипт-кидди". От других утилит для исследования безопасности, таких как tcpdump, SQLNinja отличается явной направленностью на совершение атаки, внедрения в систему и оставлению там бэкдора. Более того, не удалось найти ни одного профессионального эксперта по компьютерной безопасности, который бы активно использовал в своей практике SQLNinja.

При принятии решения рассматриваются следующие вопросы:

  • Есть ли потенциальная угроза юридических преследований Fedora?
  • Есть ли легитимная область применения приложения, кроме осуществления атак?
  • Как разработчики позиционируют свою программу, как утилиту для тестирования безопасности или как инструмент для нападения на другие системы?
  • Какая необходима квалификация для совершения атаки, дает ли инструмент возможность необдуманного использования неквалифицированными новичками?
  • Достаточно ли размещение приложения в сторонних репозиториях, вместо официальных репозиториев Fedora?

Кроме того, можно отметить некоторые кадровые перестановки в проекте: Группу по управлению выпуском релизов возглавил Дэннис Гильмор (Dennis Gilmore), который заменил на посту Джесси Кетинга (Jesse Keating), который будет занят следующий год внутренними делами Red Hat. Кроме того, Робин Бергерон (Robyn Bergeron) заменил Джона Поелстра (John Poelstra) на должности Fedora Program Manager, которая оплачивается компанией Red Hat и подразумевает слежение за выполнением расписания подготовки релиза, координацию различных совещаний разработчиков и контроль за своевременным исправлением блокирующих релиз ошибок. Вакантной остается должность системного администратора по поддержанию сервисов и инфраструктуры Fedora.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Продолжение скорее всего следует: за дело взялся Red Hat.

Ваша оценка: Нет
a

Зря убрали, хоть было бы более серьезное воздействие
на программеров. Смотришь и улучшилось бы качество написания, так что это шаг назад.

Ваша оценка: Нет
8

Ну и идиотизм. Для нарушения закона можно использовать что угодно. Было бы желание. Давайте уж тогда и лопаты с кухонными ножами запретим. С их помощью тоже можно совершать незаконные действия.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
8
comrade

<<Более того, не удалось найти ни одного профессионального эксперта по компьютерной безопасности, который бы активно использовал в своей практике SQLNinja>>

"-А ну, быстро, подбери кошелёк!
-Да что б я сам себе срок намотал?! Начальник, в натуре!"

___________
В "демократических" США презумпцию невиновности понимают своеобразно - "мог, значит сделал!".
А дальше предлагают "сделку со следствием" - ты "признаёшься" и летишь "за свою кражёнку в родную зону на N лет белым лебедем".
Или не признаёшься ...во всех возможных преступлениях;) - неуважение к суду, явный враг общества! 200 лет очереди на электрический стул, и всё такое... Так что там тюрьмы самые загруженные в мире!

Вон сейчас этого Бута будут по такой схеме раскручивать:

Не продал оружие агентам, но разговор был - значит мог продать!
Могли ли на месте американских агентов, изображавших колумбийских повстанцев, быть настоящие повстанцы? - Могли бы!
Могли бы эти гипотетические повстанцы воевать этим оружием против правительства? - Могли бы!
Могли бы доблестные американские военные прийти на помощь колумбийскому правительству? - Могли бы!
А значит, разговоры Бута с американскими правительственными агентами - это вооружённая агрессия против США!
5 пожизненных + 2 смертельных инъекции и электрический стул :-||
Либо ...сделка со следствием ((((-;

А что не совершённое преступление не совершено ни против США, ни на его территории, не имеет значения.

_______________________
Тоталитарная страна! Никто там не хочет попадать под колёса "юридической системы". Подстраховываются, "дуют на воду".
Ну, это их дела! Хотят себе в механизм песок сыпать, пусть сыплют...

Ваша оценка: Нет
a

Кто заинтересовался, всем сюда

Ваша оценка: Нет
a

Там старая-престарая версия. Новую можно найти на sf.net, где это прога и базируется.

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования