Developer koji je spasio milijune Linuxaša: ne zna

Očekivano,

I rekao bih da je ovaj backdoor zapravo bug ili nesigurnost u sistemu github.

jer : 

  Normally upstream publishes release tarballs that are different than the automatically generated ones in GitHub. In these modified tarballs, a malicious version of build-to-host.m4 is included to execute a script during the build process.

Ili prevedeno korisnik ide na download release paketa, a on ne mora odgovarati onome što je u source kodu.

Doslovno u release možeš staviti bilo kakav malware i nitko ne provjerava.

Već dugo nismo imalo ovako sočnu informatičku vijest! 

Pohvale za ekipu iza Jia T75. Pravi špijuski poduhvat s tihom infiltracijom, zadobivanjem povjerenja zajednice i onda ubacivanjem svojeg koda. 

Naravno, veće priznanje ide Andreasu,koji je ovdje ispao pravi James Bond, imao je "nos za" pronaći problem.

Kod mene na poslu pola softwarea su Open Source 3th-party biblioteke. Neke naše mušterije pozivaju se na ugovor i očekuju da se mi brinemo da je sve OK. Druge pak skeniraju naš software i propituju zašto nismo aktualizirali neke biblioteke. Treći pak zahtvjeaju da koristimo isključivo biblioteke iz njihovog repozitorija i kad želiomo noviju verziju prvo se moramo s njim dogvooriti.

 Možda na Bug-u ali razni stručljaci već znaju sve : 

 There’s a lot more. The sophistication of both the exploit and the process to get it into the software project scream nation-state operation. It’s reminiscent of Solar Winds, although (1) it would have been much, much worse, and (2) we got really, really lucky.

This particular guru suspects that the SVR, the Russian foreign intelligence service behind the SolarWinds penetration of US government networks, might even have played a role in the attack.

 Prvi dio je apsolviran u ovom članku. A nije da pratim samo BUG, čitao sam o tome već puno prije u ozbiljnim zapadnim novinama.

Druga rečenica je samo bacanje udica; nitko na zapadu ne tvrdi da ima ikakve dokaze o identietu i to je taj dio tišine koji glasno viče onima koji su voljni slušati. Sjeti se kako je išla storija sa miniranjem Sjevernog toka. 

 Ide to u oba smjera, ako sam dobro shvatio šta želiš reći.

Drugo, ljudi općenito moraju koristiti ono što ne razumiju; svijet je previše kompliciran ili sofisticiran da bi svi razumjeli sve s čime moraju imati posla.

Koji dio ne razumijete? Microsoft je hakiran, u linux je ubačen maliciozni kod od JiaT75. Ajmo zavjere oko svega, Linus Torvalds je sam ubacio maliciozni kod da se potpiri priča o sigurnosti... U realnosti kinezi i rusi udaraju kako god mogu.

 Ista stvar. Ništa nije isključeno. Ali, kad znamo kako javni dio priče funkcionira, uzmemo u obzir prethodne događaje i REAKCIJU na njim te ekstremno napetu situacije između tri glavna igrača, moj zaključak je najvjerojatniji. Uz ogradu - prema onom što je do sada objavljeno. Postoji mogućnost da je dio priče zamagljen kako bi se nekoga uhitilo u skorije vrijeme, ali otom-potom

Koristim Linux već godinama, i ne bih se mogao pohvalit da znam teoriju kako se vodi Open Source projekt, a još manje kako se započinje.

A još manje konkretno tko vodi Debian Linux na primjer. 

Ali mislim da je u srži svega taj source tarball, kojeg kontrolira vođa projekta,

ostali samo povuku source tarball nešto izmjene i šalju natrag razliku. (preko e-maila često)

Onda ovaj vođa odluči hoće li "spojiti" sa svojim tarball-om. ili neće.

A hardwer to se zna, to proizvode kinezi, taiwanci po naruđbi zapadnjaka.

Ne znam je li čudo ili nije što išta funkcionira. Mislim da nije. jer se sve sastoji od manjih blokova koji su vrlo dobro provjereni, razumljivi i testirani.

 Mossad ima šest solova! :-)