Это он про MitM вообще, или вы о чём-то более конкретном говорили?

Ппц, спроси его, может он ещё и в фейсбуке сидит?

@minoru О том, что любую дженту можно порутать митмом.

@l29ah Между чем и чем?

@l29ah Даже Hardened?

свободно

@goren между пиздой и анусом

@minoru даже аллаха

@kurkuma забыл как называется, ну где лизать короче

@goren Между гентой и сервером апдейтов.

@kurkuma taint

@minoru Да, если он обновляется.

@238328 http://taint.jpg.to/ ппц

@kurkuma пук

@l29ah А что, в генте нет всяких там цифровых подписей репозиториев итп?

@goren двачую, даже в арче есть

@goren Нет. Есть подписи хешей пакетов, но они не проверяются (лол).

@l29ah И далеко не всегда присутствуют.

[15:40:10]<pcreech> L29Ah: angry_vincent has a point. I'm not really sure what the paranoia over portage tree sync mitm would bring. [15:40:25]<pcreech> L29Ah: It's like worrying about a MITM for a google search [15:41:29]<pcreech> L29Ah: if you're that concerned, set up a cache tree sync in the dmz that you scan then sync from that

@238328 и что там и где подписывают?

@nebeda подписывают пакеты правда в стандартных настройках пакмана проверка как бы неполная https://www.archlinux.org/pacman/pacman.conf.5.html#_package_and_database_signature_checking

@238328 кто подписывает, кто отдаёт отпечатки?

юзай фанту, там гит с блокчейном

@hate-engine Это копипаста с канала фанты. Началось всё с этого: [11:04:35]<L29Ah> are there fresh alternatives to http://github.com/funtoo/portage? [11:06:46]<meingtsla> Hmmmmmmmmm, not that I'm aware of :E [11:07:32]<L29Ah> :( [11:07:35]<L29Ah> maybe http://www.funtoo.org/Portage_Tree needs an update then [11:08:29]<L29Ah> is there a way to remove portage-specific hacks from the funtoo tree? [12:41:29]<tuxtor> L29Ah, why remove funtoo hacks instead of use gentoo directly? [12:43:27]<L29Ah> because i don't know how to sync gentoo portage in a mitm-proof way [12:46:58]<tuxtor> oh I see

@hate-engine [16:05:45]<pcreech> L29Ah: mitm attacks aren't a trivial item over WAN. They usually require BGP engineering [16:07:12]<pcreech> typically, unless they are targeting you specifically, or gentoo servers in the area specifically, they'll be sniffing for things like credit cards [16:07:15]<pcreech> ssns [16:07:30]<pcreech> data to cause an ROI [16:08:51]<pcreech> it's like making your daily driver bulletproof because people own guns [16:09:26]<L29Ah> do you use ssh? [16:09:41]<L29Ah> telnet is much simpler [16:09:55]<L29Ah> using ssh is like… [16:10:09]<L29Ah> and u know, mitm attacks aren't a trivial item over WAN! [16:13:30]<pcreech> L29Ah: the point is, what would an attacker really gain from your system by investing huge resources to divert your gentoo rsync traffic and inject somehing in an ebuild you are hopefully using over wan? [16:14:03]<pcreech> Unless you're running some servers for the NSA or paypal, they probably wouldn't gain much. [16:15:17]<angry_vincent> there a foil for such case [16:15:24]<angry_vincent> wrap the body [16:15:38]<angry_vincent> prevent any mitm attacks forever [16:15:54]<angry_vincent> pcreech: does build.funtoo.org work now? [16:16:10]<pcreech> angry_vincent: yes it does! drobbins got it working for me last night. Thanks! [16:16:33]<pcreech> well, off to work for the day! [16:17:03]<pcreech> L29Ah: It's ok to wear a seatbelt, just don't go bulletproofing the car unless you have a good reason. В общем, гента не готова к прайвеси и секьюрити.

@l29ah >investing huge resources я думаю проблему можно было бы решить значительно проще --- сделать чтобы ebuild digest всегда требовал pgp ключа алсо, я вижу тысячи подписанных ебилдов в booboo, лавашик

@hate-engine Их не умеет подписывать paludis, и никто не умеет проверять, так что делать подписи пока бессмысленно. Алсо, booboo раздаётся по HTTPS, так что тебе по меньшей мере придётся взломать гитхаб или достать сертификат на имя гитхаба от доверенного CA, что требует куда больше напряга, чем одна строчка в iptables и поднятый rsync в случае основного дерева.

@l29ah Типикал неуловимый джо.

@l29ah гитхаб один, а портажных зеркал - сотни >так что тебе по меньшей мере придётся взломать гитхаб зачем взламывать гитхаб, чтобы получить доступ к твоей репе? это необязательно

@hate-engine И что? Я тупо могу попросить iptables перекидывать на меня любое rsync-соединение с gentoo или portage в тексте. Ну или меня взломать.

@l29ah и что? нужно юзать pgp прост

@hate-engine И всё, тот парень запускает у меня свои башескрипты от рута. Ты меня доебал своей неконструктивностью, пора тебя заблеклистить обратно.

@l29ah >И всё, тот парень который "тот"? тебе же сказали, что mitm на wan работает хуйово >запускает у меня свои башескрипты от рута сендбокс в портаже? >Ты меня доебал своей неконструктивностью, пора тебя заблеклистить обратно. похоже у тебя багет от твоей неспособности отстаивать свою позицию

@hate-engine похоже, у тебя антипозиция вместо мозга

@hate-engine ХУЙОВО)))))))))))))) Можешь в истории ::booboo найти ебилд gentoo-sucks и поставить, он тебя порадует.

@nebeda это профессиональная деформация программистов

@hate-engine вряд ли

@l29ah We couldn't find any code matching 'gentoo-sucks'

@nebeda зато годная рационализация

@hate-engine > в истории [16:53:36]<bnw.im> OK. Blacklist updated.

@l29ah бабах!!!

@nebeda путин

@l29ah Ох ебать. Не буду слазить с доебана.

@komar у тебя там всё ещё хуже, лолд

@nebeda Лолшто?

@komar что у тебя подписывается, кем и как это проверяется?

@komar Кстати, я таки выяснил, что у гентардов есть снепшоты portage, которые подписываются PGP меинтейнера, и paludis даже умеет дёргать gpg чтобы проверить их валидность.

@nebeda Небо с аллахом. https://wiki.debian.org/SecureApt

@komar твой секурапт сосёт, я смотрел. подписано полтора пакета нормально, остальные - хуй знает кем, хуй знает как проверяется, например, никак

@nebeda удобно

@nebeda Вообще-то подписана вся репа.

@komar чем? ключом автора репы? я тебе так три трояна подпишу с удовольствием

@nebeda Да. А что?

@komar подпишу.

@nebeda Ну подпиши. И устрой мне MitM.

@komar я просто устрою свою репу и честно подпишу всё своим авторореповским ключом. что будет? алсо, прозреваю, в репу берут как обычно что попало и секурно чтопопало подписывают

@nebeda Если ты устроишь свою репу, то мне придется руками ее прописывать в апт и руками добавлять твой ключ. Может, мне еще руками твой троян скачать и запустить?

@komar ну, ты это сделаешь, как только тебе захочется что-то из моей репы. плюс как ты проверишь, что в репе нет хуйни? аккуратно подписанной хуйни. во всех репах это другой бинарь, а тут такой. подписанный, блядь. хуй знает кем. как?

@nebeda > алсо, прозреваю, в репу берут как обычно что попало и секурно чтопопало подписывают А еще в дебиане часть маинтейнеров сатанисты, а часть — пидорасы. И питонософт в репы берут. Блядь, небеда, ну ебаный в рот.

@nebeda > ну, ты это сделаешь, как только тебе захочется что-то из моей репы. плюс как ты проверишь, что в репе нет хуйни? Какой «хуйни»? Софта на питоне?

@komar нет ты ёбаный в рот.

@komar скайпа >< ты тупой?

@nebeda Блядь, поговорил с небедой. Какое отношение скайп имеет в MitM?

@nebeda вопрос о доверии к репе или о доверии к каналу получения?

@komar я несколько раз пеарил концепцию особого протокола сверки хэшей пакетов вне репозитариев, на юзерах. kindof WOT, если коротко. без него всё это хуйня тупая

@komar ты тупой

@hate-engine к пришедшему пакету, в итоге

@nebeda Не отходи от темы, пожалуйста.

@komar >Не отходи от темы, пожалуйста. >Какой «хуйни»? Софта на питоне?

@komar ты не понял. да, в доебане хоть что-то подписано. вот только мало и хуй знает кем, это и у нас есть. только в доебане всё ещё хуже - если ты добавил ключ ХуйзнаетКого, то тупой доебан доверяет ему почти при всех операциях апта. секуре, блядь.

@nebeda какие ты предлагаешь поставить ограничения?

@hate-engine ну хотя бы на репу было бы логично. идеально было бы вообще забить на репострадания и выпрашивать подписи у авторов, но это малореально. зато тогда репа бы просто верифицировала и ставил свою подпись в знак проверенности, а я мог бы легко легитимность обоих проверить. имея ключ автора, который распространяется только на его софт и ключ репы, который распространяется только на софт из этой репы и ваще необязателен

@nebeda Небеда, ты хочешь мне сказать, что от того, что в доебане подписывают пидорасы, кто угодно может организовать MitM? Или ты хочешь сказать, что кто угодно может организовать MitM, насильно добавив юзеру свой ключ?

@komar я говорю не только и не столько про митм, я говорю про то, что у всех, поголовно всех линупсов с безопасностью передачи устанавливаемого говна пиздец

@nebeda Это у тебя такой способ вести дискуссию — прыгать с темы на тему? Давай сразу про то, что у меня ебало перекошено.

@komar у тебя ебало перекошено потому что тебя слишком часто били когда ты нес хуйню но всё равно, этого битья было недостаточно

@hate-engine Спасибо, заблеклистил.

@l29ah лол

@komar чото у мудаков сегодня обострение какое-то полнолуние штоле

@hate-engine гм, полнолуние только послезавтра

@l29ah Но ведь он прав: стоимость атаки не должна превышать стоимость её результатов. Иначе она бессмысленна, это тривиальный экономический факт.

@ulidtko это смотря какие цели преследуются

В общем, удваиваю про дебиан, тут полущ. (даже доебало слегка `--allow-unauthenticated` в некоторых случаях совать) // и небеда чото как-то слился комару выше

@ulidtko Какая разница, в доебане пидорасы и небеду не слушают, а гента православна, потому что гента.

@l29ah БА-БАХ

@hate-engine он про то, что ментейнер - хуй собачий и его подпись хуйня, которая устраняет только mitm между репой и тобой. пакеты должны подписываться их разработчиками

@hate-engine пруф или аутист

@kurkuma разработчиками оригинального софта? этого не будет никогда

@kurkuma всмысле ни кто не будет делать пакеты под дистр васи пупкина и подписывать их

@hate-engine подписал код, подписал бинарь. остальное оставить репе. но это тоже утопия

@hate-engine Бан.

@ulidtko какой ща курс у баттхертов?

@hate-engine кто заставляет делать? можно просто проверять что нет отсебятины и подписывать. энивей подпись ментейнера/репы нихуя не стоит

@nebeda пажжите, кто что подписал, у нас тут как минимум разраб софта и мейнтейнер репы разраб софта объективно может подписать только свой код. компилить и подписывать бинари под стопиццот дистров он не будет меинтейнер может собрать бинарь, который может подписать юзер может скачать либо бинарь и доверять меинтейнеру (который доверяет разрабу) либо скочать ебилд + сорцы (где он доверяет соотственно меинтейнеру и разрабу софта)

@hate-engine >конпелять под дистры у разных дистров разные процессоры, я не понял? amd64 i386 соберёт и хуй с ним.

@kurkuma меинтейнер - это человек, который собирает бинарь в репу/пишет ебилд > энивей подпись ментейнера/репы нихуя не стоит "я скачал, проверил подпись разраба, скомпилял и выложил бинарь" -- вот его подпись

@nebeda у разных дистров - разные версии либ, доброе утро

@hate-engine всмысле ABI разный ну короче в генте есть @preserved-rebuild, а тут они просто новую версию дистра делают

@nebeda Ебать ты неграмотный хуй. Никогда не задумывался, почему тебе иногда приходится что-то пересобрать на своей генточке?

@l29ah я чаще всего либы выношу как можно отдельней

@nebeda Че.

@hate-engine А как же патчи? В Debian к сорцам автора может применяться целая куча патчей. В Gentoo такого нет, вы собираете ванильный код?

@nebeda Некоторые дистры поддерживают больше двух архитектур, и не зря. То, что у тебя нет железа на арме или mips не значит, что эти архитектуры не нужны.

@minoru это означает, что пусть качают сорцы

@ulidtko То есть генту нельзя использовать ни для каких задач, стоимость которых превышает день работы скрипткиддисов?

@minoru кстати лол, всю эту ораву автоматически подписывает и берёт на себя мэйнтейнер, а ведь это даёт повод даже бинарям легитимно отличаться от репы к репе. пойду наложу троянопатч, как будто кто-то будет читать

@kurkuma Опять же, я не знаю как в генте, но вот, скажем, в дибилиане майнтейнер — это в первую очередь ответственное лицо. Если что-то с пакетом не так, пинать будут именно его.

@goren ну блять ну охуеть ответственное лицо. давайте ему отсосем теперь. нахуй нужно майнить когда можно посадить ответственное лицо подписывать блоки

@goren Он мне вернёт мои украденные десять биткоинов?

@l29ah он лично напишет тебе письмо с извинениями

@l29ah В суд подай, лол.

@goren THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

@goren пруф или найми братков, пусть разберутся по рыночным понятиям

@kurkuma Бан,

@goren NO WARRANTY ONSOSITE ITS ALL ABOUT TRUST ЗДЕСЬ УЯЗВИМО ВСЁ БРЮС ШНАЙЕР ОН ЗНАЛ

@hate-engine бля ток не бан плиз, это не по рынку