Кручина о компроментации transmission на OS X
Вчера в ночи взглянул на свежий коммит nas4free Upgrade transmission to 2.92 - и удивился. Вроде только что была версия 2.90, ничего полезного для себя там не увидел - что ещё случилось? Погуглил и нашёл
Время было позднее, OS X у меня нету, как нет и transmission 2.9 (на моём nas4free бегает 2.84), поэтому почесал репу и не поверил. Троян-шифровальщик для мака в трансмишн? Больно круто, чтоб быть правдой. Решил - может сайт transmissionbt.com и не официальный, на память-то не помню. И лёг спать.
Сегодня только ленивый не написал о событии - как же, первый реально действующий вирус-шифровальщик на макинтоше! (Исходная инфа от Palo Alto). Три дня сидит в засаде тихо, потом шифрует пользовательские данные и за расшифровку требует биткойн (около 400 баксов на минуточку). Пользователям форточек не привыкать, для мак сообщества новинка. Тут бы самое время сплясать на тему использования валидного сертификата от Apple. Но меня интересует более общая тема.
Хотя дрянь попала только в маковскую версию transmission - не ясно как именно она туда попала. Очень вероятно - был скомпрометирован офсайт transmission. Они сами ничего не пишут, я, во всяком случае, не нашёл. То есть завтра может выскочить ещё какая бяка.
Помню, когда с год назад было подозрение на возможную компроментацию FreeBSD, там выжгли напалмом всё, что могло хотя бы в принципе быть затронуто. Перестроили механику доставки софта. Тут ничего близко подобного не вижу. О! можно сплясать на тему дырявости их офсайта. Но тоже не интересно. Софт в наше время обновляется по нескольку раз в день, любое устройство дай волю - качает как не в себя. Число репозитариев, откуда что-то качается, велико. Не один - так другой, и откуда с следующий раз вылезет - никто не знает. Что-то кажется мне, это не о transmission и не об Apple. Это о кризисе современной модели создания програмного обеспечения.
Если у вас куплена железка и в ней вылез косяк - производитель отвечает (как минимум - в цивилизованных странах, Россия сплошь и рядом тоже сюда попадает). Машины, к примеру, отзываются и чинятся за счёт производителя. Если вы попали на деньги или, не дай бог, здоровье из-за косяка в железке - суд может присудить огромную компенсацию. А вот с софтом сложилось совсем иначе. Производитель не отвечает ни за что. Баги прут широким нескончаемым потоком. Исправляются, на их месте создаются всё новые и новые. Бесплатный софт? Но в платном та же хрень! Когда-то нас убедили, что так и надо. Что иначе невозможно.
Думаю - враньё. Если бы софт АЭС, крылатых ракет или диспетчеризации авиасообщения работал на тех же принципах - мы бы уже по три раза сгорели, взорвались и утонули.
Может я, конечно, и не прав - но с интересом приценился бы к мобиле, которая точно не приютит вирус, интересующийся моей банковской карточкой. А если приютит - то отвечает производитель. Я бы заинтересовался таким даже если свистелок-перделок для такого телефона будет не 100 000 как в хрена-аппсторе-плей, а всего дюжина.
Время было позднее, OS X у меня нету, как нет и transmission 2.9 (на моём nas4free бегает 2.84), поэтому почесал репу и не поверил. Троян-шифровальщик для мака в трансмишн? Больно круто, чтоб быть правдой. Решил - может сайт transmissionbt.com и не официальный, на память-то не помню. И лёг спать.
Сегодня только ленивый не написал о событии - как же, первый реально действующий вирус-шифровальщик на макинтоше! (Исходная инфа от Palo Alto). Три дня сидит в засаде тихо, потом шифрует пользовательские данные и за расшифровку требует биткойн (около 400 баксов на минуточку). Пользователям форточек не привыкать, для мак сообщества новинка. Тут бы самое время сплясать на тему использования валидного сертификата от Apple. Но меня интересует более общая тема.
Хотя дрянь попала только в маковскую версию transmission - не ясно как именно она туда попала. Очень вероятно - был скомпрометирован офсайт transmission. Они сами ничего не пишут, я, во всяком случае, не нашёл. То есть завтра может выскочить ещё какая бяка.
Помню, когда с год назад было подозрение на возможную компроментацию FreeBSD, там выжгли напалмом всё, что могло хотя бы в принципе быть затронуто. Перестроили механику доставки софта. Тут ничего близко подобного не вижу. О! можно сплясать на тему дырявости их офсайта. Но тоже не интересно. Софт в наше время обновляется по нескольку раз в день, любое устройство дай волю - качает как не в себя. Число репозитариев, откуда что-то качается, велико. Не один - так другой, и откуда с следующий раз вылезет - никто не знает. Что-то кажется мне, это не о transmission и не об Apple. Это о кризисе современной модели создания програмного обеспечения.
Если у вас куплена железка и в ней вылез косяк - производитель отвечает (как минимум - в цивилизованных странах, Россия сплошь и рядом тоже сюда попадает). Машины, к примеру, отзываются и чинятся за счёт производителя. Если вы попали на деньги или, не дай бог, здоровье из-за косяка в железке - суд может присудить огромную компенсацию. А вот с софтом сложилось совсем иначе. Производитель не отвечает ни за что. Баги прут широким нескончаемым потоком. Исправляются, на их месте создаются всё новые и новые. Бесплатный софт? Но в платном та же хрень! Когда-то нас убедили, что так и надо. Что иначе невозможно.
Думаю - враньё. Если бы софт АЭС, крылатых ракет или диспетчеризации авиасообщения работал на тех же принципах - мы бы уже по три раза сгорели, взорвались и утонули.
Может я, конечно, и не прав - но с интересом приценился бы к мобиле, которая точно не приютит вирус, интересующийся моей банковской карточкой. А если приютит - то отвечает производитель. Я бы заинтересовался таким даже если свистелок-перделок для такого телефона будет не 100 000 как в хрена-аппсторе-плей, а всего дюжина.