Утечка поисковых запросов пользователей Ubuntu
Администратор популярного сайта Reddit сообщил о факте утечки поисковых запросов пользователей Ubuntu.
Оказалось, что в журналы доступа web-сервера Reddit вместе со служебной информацией попал поисковый запрос, который не предназначался для поиска по Reddit:
«Я обнаружил интересный запрос, пришедший на сайт этим вечером. Сначала я подумал, что кто-то предпринимает попытку атаки, пока не увидел строку user agent. Как бы забавно:
[26/Apr/2014:00:07:19.266] frontend loggedout/app-18-8002 {unity-scope-reddit|www.reddit.com|} "GET /r/sudo%20apt-get%20install%20startupmanager/hot.json?limit=25 HTTP/1.1"»
Из текста запроса можно понять, что какой-то пользователь Ubuntu перепутал окно поиска с терминалом и ввел команду "sudo apt-get install startupmanager". По непонятным причинам, случилась утечка и запрос попал на сайт Reddit, хотя и не предназначался для него. Получается, что некоторые запросы в Unity могут стать доступными третьей стороне, хотя г-н Шаттлворт ранее заявлял, что поисковые запросы обрабатываются только серверами Canonical и никуда не передаются.
Слив пользовательских данных описан на багтрекере Ubuntu. Ошибке выставлен высокий уровень важности.
А Ричард Столлман предупреждал...
Еще 2 года назад легендарный RMS призвал отказаться от использования Ubuntu. По словам Столлмена, Ubuntu 12.10 содержит «шпионский код», что ставит эту систему в один ряд с Windows по части подсматривания за привычками и интересами пользователей.
А что говорит фонд Electronic Frontier Foundation, отстаивающий права и свободы пользователей в цифровую эпоху?
В 2012 году организация EFF предупредила пользователей Ubuntu: «проблема конфиденциальности не ограничивается конкретной ситуацией с Amazon, поскольку теперь через Dash пользовательские данные могут быть отправлены и другим «третьим лицам» (и использоваться там по усмотрению этих лиц)».
Умные выводы сделали давно, остальные продолжают пользоваться Ubuntu.
Комментарии
Texnoline
29 апреля, 2014 - 00:21
Ну бывает и так, поэтому первичные настройки ufw и iptables никто не отменял до настройки сетевых соединений:)))) с первичным удалением всех сетевых приложений, которые не необходимы пользователю, еще до обновлений...
Соловей-затейник
29 апреля, 2014 - 16:13
Можно ещё проще:
Параметры системы\ Защита и приватность\
Файлы и приложения\ Отслеживать использование файлов и приложений = 0
Поиск ( слева третья вкладка )\ Отображать результаты поиска в Интернете = 0
Это для любого здравомыслящего шаги минимума. Причем, без паранойи.
Texnoline
29 апреля, 2014 - 18:11
И то, что вы указали также в первых шагах, делаю всегда, начиная с Ubuntu 12.04 :))))) Но для ленивых есть красивый GUI — Gufw, и там легко и довольно комфортно настраиваются правила к службам и портам и ведется журнал соединений по протоколам и портам, так что всегда можно нагородить баррикад и рвов накопать, а уж для истинных эстетов — iptables!^)))))))))))))
Чингачгук
29 апреля, 2014 - 18:25
можно поставить много консольных утилит из репов стандартных даже, и мониторить и процессы и порты и службы....по максимуму, все добро занимает всего 100 метров на разделе, зато чуствуешь себя в бункере и можно спать почти спокойно, иногда просыпаясь...:))))
pomodor
29 апреля, 2014 - 18:34
Файерволом надежнее. Тем более, что все равно придется порезать всякие счетчики, виджеты соцсетей, рекламу и прочее говно. Заодно и сервера Шаттлворта для сбора данных можно порезать. ;)
Пользоваться гуем лично я не советую. Сначала удобно, потом возникает путаница и появляются накладки. Например, если юзер сначала настроил iptables через сторонний гуй, а потом установил какую-нибудь систему автоматического отстрела мудаков типа fail2ban.
Единственное, что советую прикрутить к iptables — программу iptables-persistent. Она позволяет работать с iptables как с сервисом. Это очень полезно, так как правила для фаейрвола слетят при первой же перезагрузке. Этот пакет позволяет делать так:
service iptables-persistent save
И после перезагрузки правила восстановятся. Все остальное на фиг не надо, ИМХО.
comrade
29 апреля, 2014 - 11:12
Кстати, возможно интересная идея – чтобы в поисковой строке можно было терминальные команды выполнять
(По нажатием рядом со строкой кнопочки "T" или какому-нибудь shift-enter'у, или какая там комбинация свободна...)
И чтобы терминал с результатами при этом раскрывался.
Или так уже сделано давно?
pomodor
29 апреля, 2014 - 19:33
Дружище, не ожидал этой идеи от Вас, от старого матерого линуксоида. Alt-F2 же. :)
comrade
29 апреля, 2014 - 21:42
Alt-F2 я пользуюсь, конечно.
И подобных симпатичных поисков уже несколько подобрал:
Вот и удивляюсь – неужели в поиске юнити так не сделано?
(Давненько уже не запускал юнити, не тянет что-то;-)
pomodor
29 апреля, 2014 - 22:01
Так это же опасно. Например, юзер желает почитать в интернете о команде "rm -rf /" и вводит строку в поисковой форме. Оболочка видит, что это корректная команда для терминала и исполняет ее.
comrade
29 апреля, 2014 - 22:07
Нее, поиск за пользователя думать не должен – чтобы строка сработала как терминал, должна быть другая кнопочка рядом с кнопкой «искать», и другая комбинация клавиш (не энтер, а шифт-энтер, например).
К тому же нефиг под рутом работать (и при этом внешним поиском пользоваться).
Тогда и
rm -rf /
не выполнится:))
pomodor
29 апреля, 2014 - 22:38
Таки выполнится и похерит все пользовательские данные в директории /home/user. Останутся системные файлы, принадлежащие root и которые можно легко восстановить с дистрибутива.
Если будет дополнительная кнопка, с помощью которой нужно трактовать запрос вручную, то у задумки теряется смысл. Проще вывести иконку терминала на панель запуска.
comrade
29 апреля, 2014 - 23:51
И все (доступные пользователю) диски из /media ?
Ой-ой! :-O
pomodor
30 апреля, 2014 - 00:20
Только что проверил на live-образе Tails. Как бы срабатывает защита от дурака и пользователя предупреждают, что ничего хорошего из этой затеи не получится. Если пользователь настаивает и добавляет опцию --no-preserve-root, то выпиливается всё, что доступно для удаления. :) После этого система продолжает работать как ни в чем не бывало. :)
Комментировать