Jak pół sekundy uratowało świat przed zagładą?

Рет қаралды 124,936

Күн бұрын

🐼 Jak przejąć władzę nad światem? Cóż. Być może wystarczą lata cierpliwości, olbrzymie umiejętności i bardzo głębokie kieszenie. Ale przede wszystkim trzeba nie mieć pecha, bo to w sumie właśnie łut szczęścia uratował nas wszystkich przed katastrofą. O co chodzi?
Źródła:
🐦 Strona projektu Tukaani, którego częścią jest xz
tukaani.org/xz-backdoor/
🤯 backdoor in upstream xz/liblzma leading to ssh server compromise oss-security@openwall.com
www.openwall.com/lists/oss-se...
🐛 Debian Bug report logs - #778913 openssh-server: init (at least systemd) doesn't notice when sshd fails to start and reports success
bugs.debian.org/cgi-bin/bugre...
👀 Techies vs spies: the xz backdoor debate
lcamtuf.substack.com/p/techno...
🔧 OSS backdoors: the folly of the easy fix
lcamtuf.substack.com/p/oss-ba...
🚨 xz-utils: New upstream version available
bugs.debian.org/cgi-bin/bugre...
🙈 xz/liblzma: Bash-stage Obfuscation Explained
gynvael.coldwind.pl/?lang=en&...
🚪 The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
www.wired.com/story/jia-tan-x...
🤔 Everything I Know About the XZ Backdoor
boehs.org/node/everything-i-k...
⏳ XZ Backdoor: Times, damned times, and scams
rheaeve.substack.com/p/xz-bac...
🐘 Brian Krebs @Mastodon
infosec.exchange/@briankrebs/...
🐝 GitHub: lockness-Ko/xz-vulnerable-honeypot
github.com/lockness-Ko/xz-vul...
🐂 Bullying in Open Source Software Is a Massive Security Vulnerability
www.404media.co/xz-backdoor-b...
⏲️ Alex Volkov (Thursd/AI) @Twixxer
/ 1774504915357892688
🪲 CVE-2024-3094 w bazie NIST
nvd.nist.gov/vuln/detail/CVE-...
📊 Infografika prezentująca schemat ataku, Thomas Roccia @Twixxer
/ 1774342248437813525
🚫 Atak na xz to nie obejście kontroli dostępu. To RCE.
bsky.app/profile/filippo.abys...
‼️ Afera wokół XZ. Próba zaminowania cyfrowego świata
www.ciemnastrona.com.pl/cyfro...
🤖 Jak próbowano zaatakować f-droida?
social.librem.one/@eighthave/...
Relevant xkcd: xkcd.com/2347/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi / mateuszemsi
Twitterze @MateuszChrobok / mateuszchrobok
Mastodonie infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok / mateuszchrobok
Patronite @MateuszChrobok patronite.pl/MateuszChrobok
Podcasty na:
Anchor anchor.fm/mateusz-chrobok
Spotify open.spotify.com/show/6y6oWs2...
Apple Podcasts apple.co/3OwjvOh
Rozdziały:
00:00 Intro
02:01 Timeline
07:11 Wielkanoc
11:33 Mechanizm
17:16 Atrybucja
22:01 Co Robić i Jak Żyć?
#xz #ssh #atak #APT #linux

Пікірлер: 332

@dariuszjablonski1969 3 ай бұрын

Słucha się jak kryminału ;)

@dlugas1982 3 ай бұрын

Raczej jak: „Dzizus krajst!!! Its Dżejson Born!!!”😉

@panhuragan4388 3 ай бұрын

Nie dowiedziałem się po co oni to shackowali. Zgubiłem się w tym laniu wody

@HuatengChen 3 ай бұрын

Sensacje XXI wieku - Bogusław Woło... wróć! Mateusz Chrobok 😂

@HuatengChen 3 ай бұрын

@@panhuragan4388Serio? 15:48 tutaj masz w 45 sek wyjaśnione. Dane logowania admina do każdego serwera były podsłuchane. Tylko tyle i aż tyle. A potem? No cóż...kwestia wyobraźni.

@dariuszjablonski1969 3 ай бұрын

@@panhuragan4388 Ameryka uniknęła 3 dni ciemności

@MichaTerajewicz 3 ай бұрын

Czyli cały internet wisi na jednym gościu zwanym Lasse, któremu nikt nie płaci za robotę? Słodkie. 😎🤣🙈

@grzegorzwieczorek3703 3 ай бұрын

its all about money Honey 🙃

@zj7498 3 ай бұрын

Bezos, Gates, Musk i wszystkie wielkie korporacje w stylu BlackRock ustawiają się w kolejce by mu dokopać za straty finansowe które mogły by ich dotknąć. A które nie dały centa by mógł zatrudnić kogoś do pomocy w projekcie. 😂

@lis6502 3 ай бұрын

ja to tu tylko zostawię: poszukaj 2347 xkcd. i wiedz że takich projetków jak xz jest więcej. dużo więcej.

@damiansarnowski9966 3 ай бұрын

@@zj7498 Ale tak rzeczywiście jest? Czy to żart? Czy komentarz na podstawie uprzedzeń?

@zj7498 3 ай бұрын

@@damiansarnowski9966 Niech Ci inni wytłumaczą. Co to figura stylistyczna i jaką tu zastosowałem.

@andrzejt5570 3 ай бұрын

Bardzo fajnie się tego słuchało. Brawa dla osoby piszącej te teksty.

@robertratajczak1185 3 ай бұрын

Czy to aby napewno osoba? ;)

@zj7498 3 ай бұрын

@@robertratajczak1185 Nie no. Zespół półgłówków.

@zuzanka4554 2 ай бұрын

Jestem takiego samego zdania 🙃

@maciejratajczyk4690 3 ай бұрын

Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku. Dziękuję za kolejną świetną opowieść.

@rafalnieckarz 3 ай бұрын

Jak Mati wytłumaczy to nie ma trojana we wsi 💪

@dlugas1982 3 ай бұрын

Bardzo ciekawe. Choć zrozumiałem z 5% z tego co mówisz. Dzięki, że się dzielisz taką wiedzą (w nomen omen w swoim wolnym czasie😉)

@panpunkt5185 3 ай бұрын

MoSSad

@elaela6312 3 ай бұрын

Kurczę, nie jestem programistką a wszystko zrozumiałam. Dzięki.

@dlugas1982 3 ай бұрын

@@elaela6312 No to brawo Ty. Ja tylko kontekst. Ale gdzie on to w kodzie i jak pochował ni huhu. Ani w jakim protokole/repozytorium itp. Ja nawet nie amator w linuxie.

@natural76 3 ай бұрын

Fajna koszulka.

@ukash-jf4dw 3 ай бұрын

Dokładnie, team BIOTAD PLUS💪

@lis6502 3 ай бұрын

jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia

@TheJerzon94 3 ай бұрын

Dzięki za swoje materiały. Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka

@CarsterPl 3 ай бұрын

Oglądałem kiedyś wywiad z Masą - takim gangsterem. Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji. Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk). Rozumiesz do czego zmierzam? Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku. Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉 No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem? Takie tam przemyślenia... Dzięki Mateusz za jak zawsze mega materiał! 👍

@bardoIX 3 ай бұрын

Zacznijmy od tego że Google to CIA YT to Google więc nie próbuj być fajny bo widać że niewiele zrozumiałeś

@lis6502 3 ай бұрын

> Jak producenci (...) sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? xD widzę kolega nowy w branży;d polecam poszukać historii sprzed dwóch lat dla słów kluczowych "BIG sabotage: Famous npm package deletes files to protest Ukraine war" wiem że było tego więcej związanego z wojną właśnie ale to mi utkwiło w pamięci.

@CarsterPl 3 ай бұрын

@@bardoIX Będę miał to na uwadze pisząc coś o Google następnym razem. Dziękuję za odpowiedź i zwrócenie uwagi :)

@CarsterPl 3 ай бұрын

@@lis6502 To było raczej pytanie retoryczne / jako trigger do przemyśleń. Ale tego tematu o node-ipc faktycnie nie znałem - mocna rzecz! Dzięki za podrzucenie. Jeśli miałbyś więcej takich case'ów pod ręką, to chętnie uzupełnię wiedzę w tym obszarze. Dzięki za odpowiedź :)

@lis6502 3 ай бұрын

@@CarsterPl nie ma sprawy. Jakoś nie zbieram tego namiętnie, ot czasem coś ciekawego wpadnie. Ale to dość powszechny model że bigtech czerpie garściami ze świata floss, np na stronie domowej curl'a w sekcji dokumentacji znajdziesz plik companies.html, polecam zajrzeć. Mateusz też w opisie dał bardzo wymowny i smutny w gruncie rzeczy komiks XKCD numer 2347 i jako ktoś kto z niejednego e-pieca chleb jadł potwierdzam, tak się buduje komercyjny soft.

@stefannazwisko2920 3 ай бұрын

Świetny materiał Dziękuję za dobrą robotę

@ineedsolution 3 ай бұрын

Zajebiscie powiedziane. Dziekuje!

@truebzyq 3 ай бұрын

Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource

@CryptoC4T Ай бұрын

Ależ to dobre - fajnie opowiedziane, doskonale wytłumaczone, historia niesamowita. Dzięki!

@bebokRZly 3 ай бұрын

Piękny i przerażający film :D Brawo

@boguslawbyrski 3 ай бұрын

Niewiele zrozumiałem, ale słuchałem z zapartym tchem. Bardzo interesujące.

@max-pax 3 ай бұрын

Nie mam zielonego pojęcia o materii, słuchałem zaś z zaciekawieniem Gratulacje, wyrósł nam drugi Wołoszański :)

@Vladhin 3 ай бұрын

To jest absolutnie niesamowite. Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie. Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo. Dzięki za opracowanie!

@prometeusz1984 12 күн бұрын

I co by to dało? Przecież to wszystko było sprytnie ukryte. I niby czemu społeczność Open Source ma się bliżej przyglądać?? Co masz na myśli społeczność Open source? Jakaś organizacja czy człowiek hobbysta który za darmo sobie czyta kod go kontrolując czy nie ma błędów?? Tutaj nie jest problem przyglądania się jakiejś społeczności tylko problem w tym że całe SSH stoi na bibliotece tworzonej przez jednego człowieka, a korporacje korzystające z SSH nawet groszem nie wesprą twórcy ani sami nie pomogą z projektem np. przeglądając regularnie kod, czy pomagając rozwijać projekt. Możnaby nawet wyznaczyć/zatrudnić taką osobę w firmie do tego, albo zwyczajnie wesprzeć dotacją człowieka odpowiedzialnego za rozwój. Środowisko linuksowe GNOME dostało dotację chyba milion dolarów i chyba dodali ładne animacje do środowiska i nie potrzebowali nawet tak tej dotacji jak wiele projektów jak ten, który jest ważniejszy jak jakieś dodatkowe animacje do pulpitu.

@Vladhin 10 күн бұрын

@@prometeusz1984 co

@maciej4179 3 ай бұрын

Kolejny świetny materiał, pozdrawiam.

@mmgsmadminbass6889 3 ай бұрын

Świetnie przedstawiona historia. Niesamowicie opowiedziałeś : ) Będę miał dobrą historię dla dzieci przed snem :)

@qutodiamum 3 ай бұрын

Bardzo ciekawe dzieki Mati 🙂

@Ambiens 3 ай бұрын

Czekałem na ten film 💜

@ftrdtuh4827 3 ай бұрын

Szczerze mówiąc, spodziewałem się wcześniej ;) Btw to nie było tylko opóźnienie tylko błędy Valgrinda. Poza tym, OpenSSH daje radę z SysV.

@Niko-1906 3 ай бұрын

Nie mam pojęcia o czym mówisz ale tak zajebiście opowiadasz że super się słucha. 👍👍👍

@areksawicz 3 ай бұрын

Extra odcinek. Jam tylko laik z bezpieki ale aż mi tętno i ciśnienie wzrosło :)

@FromZeroToJunior 3 ай бұрын

Świetny materiał :)

@lena-and-dominik 3 ай бұрын

Świetny materiał Mateusz! :)

@combinio9533 3 ай бұрын

Świetny materiał. Leci sub

@DawidChorabik 3 ай бұрын

Bardzo ciekawe i jednocześnie straszne. Super odcinek

@kamilw.9256 3 ай бұрын

brawo za materiał! :)

@paweciosek489 3 ай бұрын

Bardzo dobry materiał 👏👏👏

@mirot8153 3 ай бұрын

Super materiał ❤

@nataze6127 3 ай бұрын

Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.

@irvingirving6275 3 ай бұрын

Świetny materiał.

@Piorun1 3 ай бұрын

Bardzo ciekawy odcinek dzięki ❤🎉

@byKOGR 3 ай бұрын

I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)

@gogota_ 3 ай бұрын

Homelab homelabem ale weź pod uwagę kluczowe usługi kierowane do mas ludzi :)

@DudaJarek 3 ай бұрын

Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.

@Momentvm 3 ай бұрын

Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów. Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa

@MateuszChrobok 3 ай бұрын

Ja podziwiam sam pomysł. Bo w kodzie było jak na dłoni a tak wyglądało logicznie

@lis6502 3 ай бұрын

konia zrzędę temu kto w tak generowanych plikach doszukiwałby się exploita;] testów się nie podejrzewa, testów się nie robi. Kolejny atak z cyku "surprise motherfucker" będzie zaszyty w dokumentacji i będzie się składał ze skryptu czytającego pliki translacyjne do języka Suomi.

@jaroslaww7764 3 ай бұрын

@@MateuszChrobok Ken Thompson pisał gdzieś w latach 70-tych, że od kiedy programuje Unixa w C od tego momentu nigdy nie wiadomo co ktoś doklei na etapie kompilacji jeśli zostanie zmodyfikowany kompilator. To tylko ciekawostka taka. Kto z nas panuje całkowicie na używanym toolchainem i zależnościami. Ja nie znam

@Momentvm 3 ай бұрын

@@jaroslaww7764 Proszę, podaj źródło, bo jest to nieprawdopodobne. Lata 70-te to czasy asemblerów. C powstał z myślą bycia "portable assembler", żeby Unix mógł działać na wszystkim. I nie, ZAWSZE wiadomo co "ktoś dokleja" na etapie kompilacji. Jeśli tego nie wiesz, to nie wiesz jak działa twój toolchain i/lub build system. Szczerze wątpię, by ekspert pokroju K.T. wypowiedział kiedykolwiek te słowa w takim kontekście.

@jaroslaww7764 3 ай бұрын

@@Momentvm Ken Thompson "Reflections on Trusting Trust " 1984 Fakt - data publikacji to jedna dekada później niż podałem, mój błąd

@Ed123 3 ай бұрын

Bardzo ciekawy material.

@coolftp Ай бұрын

Super ciekawe :-)

@omszaek1783 3 ай бұрын

Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota

@sawekky2392 3 ай бұрын

Swietny materiał, polecam każdemu.

@damiannawiesniak1021 3 ай бұрын

Genialne są te twoje materiały. Mateuszu pisz trylogię sensacyjna o tematyce, na który się znasz. Kupuje w przed sprzedaży.

@PlayerHD3000 3 ай бұрын

ten kanał to jest złoto...

@davideczek 3 ай бұрын

genialne podsumowanie

@j.3378 3 ай бұрын

🤖 No to gruuuubo. A choć tego nie kumam zbytnio, to wydawało mi się że zrozumiałem ten wykład. 😉🤗

@TheMaciek1307 3 ай бұрын

to jest materiał na film sensacyjny😮

@MrValgard 3 ай бұрын

1 piwiczak pokrzyzował plany illuminati z cyberlockdownem xD

@E.Wolfdale 3 ай бұрын

Heros naszych czasów.

@viro_ 3 ай бұрын

A zwał się Andres Freund 💪

@zj7498 3 ай бұрын

Tak, piwniczak pracujący dla MS za kasę MS używający w ich projektach "wolnego oprogramowania". Przynajmniej taki był jego wkład.

@zj7498 3 ай бұрын

@@E.Wolfdale nie przesadzaj korpo zatrudniło gościa by mogli użyć darmowego kodu w swoich projektach i potem na tym zarabiać. Jego zasługa w porównaniu z innymi, w innych korpo którym to zwisa, jest taka, że myślał.

@E.Wolfdale 3 ай бұрын

@@zj7498 wypełnianie obowiązków moim zdaniem nie powinno zmniejszać zasług.

@rafalski573 3 ай бұрын

Wow. Dla zasięgów.

@GrzecznyPan 3 ай бұрын

Ależ znakomity materiał. Jestem zwykłym szarym zjadaczem internetu i słuchałem niczym fragmentu thrillera science-fiction. Wspaniale nagranie! Gratuluję i dziękuję.

@Monika-di2nv 3 ай бұрын

Fascynujące. Słuchałam 2x,niewiele zrozumiałam 🤪

@lukelektryczny 3 ай бұрын

Robisz świetną robotę

@patrykp8460 3 ай бұрын

dobra robota

@82kris 3 ай бұрын

Nieźle :)

@Szklana147 3 ай бұрын

Grubo! To się nadaje jako materiał na pełnometrażowy thriller szpiegowski.

@AdamKlobukowski 3 ай бұрын

To był najpoważniejszy dotąd atak _o_jakim_wiemy_.

@obikonik 3 ай бұрын

fajnie opowiedziałeś, pozdro

@jerzyj.8455 3 ай бұрын

dobra historia, ciekawy scenariusz na film

@dakaraleksander4335 2 ай бұрын

Nic nie panimaju w tym wszystkim, ale poziom powalający z nóg!

@SystemyWbudowane 3 ай бұрын

Jak zwykle genialny materiał. Jestem zawsze pewien podziwu dla ludzi, geeków którzy nie mogą spać po nocy wiedząc, że coś potrwało o 500ms za długo 😆

@daap007 3 ай бұрын

Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun! (No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)

@scarabaee 3 ай бұрын

Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu. Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅

@white-in-china6713 3 ай бұрын

bardzo ciekawe

@krzysztofmazurkiewicz5270 3 ай бұрын

Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)

@grzegorzwieczorek3703 3 ай бұрын

dokładnie - słabość człowieka jest kluczem

@bogaczew 3 ай бұрын

w jaki sposób to podobne? Kevin miał gadane, potrafił oczarować w kilkuminutowej rozmowie, tu masz kilkuletni proces

@krzysztofmazurkiewicz5270 3 ай бұрын

@@bogaczew cóż Mitnick działał w dużo "prostszym" środowisku, wiedz na temat takiego "hackowania" ludzi była zupełnie inna. Tu mamy zaplanowane długoterminowe działanie ale nadal opierające się na zdobyciu zaufania "celu" korzystając z socjotechniki

@KrokodyliSwiat 3 ай бұрын

Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤ Dzięki za ciekawy materiał!

@kopieckosciuszki76 3 ай бұрын

Grubo! W obecnych czasach faktycznie nie ma pewności czy to Izrael czy może Rosjanie.

@danieldolebski2689 2 ай бұрын

gruby temat, myślałem, ze to będzie kolejny materiał w necie o niedokonanym ataku atomowym miedzy rosją a usa 😂

@franciszek2005 3 ай бұрын

Temat ciekawy, ale to Ty Mateuszu - Ty umiesz opowiadać!

@Banan_od_nazwiska 3 ай бұрын

Mateusz, nie znam drugiego takiego człowieka jak Ty. NIC nie rozumiem, a słucham z gęsią skórką.

@sianuszko 3 ай бұрын

To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse. Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.

@glazury_leciny 3 ай бұрын

Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)

@MateuszChrobok 3 ай бұрын

Aaa, klasyka.

@mbnqpl 3 ай бұрын

Super materiał jak zawsze, tylko "baekdor nie bekdór" :P:P

@sarajakas2001 3 ай бұрын

LOL :D dobrze ze moje SSH nie są dostępne publicznie od tak z sieci ;) ale przeraża skala zjawiska i możliwy armageddon :D

@rudsonowa5534 3 ай бұрын

widze ze nie tylko ja mam wrazenie "Sensacji..." i kryminału :D slucha sie genialnie ;)

@walkon23 3 ай бұрын

Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia

@Tomasz_M 3 ай бұрын

Dobrzeżewieczór!

@jackimode 3 ай бұрын

Z tego co się orientuję, to podatność była w debianie sid - którego jak wiemy nie powinno się używać na produkcji.

@Piter_FPV 3 ай бұрын

Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić

@Diabelo 3 ай бұрын

skąd kupiłeś koszulkę?

@theNikonist 3 ай бұрын

śmiechłem mocno z koszulki xD

@roksymfoniczny 3 ай бұрын

Piękny kadr na bluebox 😮

@podroznik2214 3 ай бұрын

Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł

@CrawdadSoftware001 3 ай бұрын

Myślę że jak ty wpadłeś to ktoś dawno wpadł, tak to właśnie wygląda

@BxOxSxS 3 ай бұрын

Takie rozwiązanie byłoby dużo łatwiejsze do wykrycia bo ten dodatkowy proces po pierwsze sam w sobie w wzbudził podejrzenie po drugie musiałby nasłuchiwać na osobnym porcie albo samemu się łączyć ze wskazanym serwerem. W obu przypadkach by to mogło nie przejść przez firewall i zostać łatwiej wykryte w jakimś audycie

@symonides666 3 ай бұрын

👍👍👍

@szymon1051tv 3 ай бұрын

Pracownik Microsoft uratował serwery na Linux 🤣

@epolpier 3 ай бұрын

Chyba nie bardzo się orientujesz...

@PiotrPilinko 3 ай бұрын

Microsoft od lat używa linuksowych serwerów.

@matimm319 3 ай бұрын

Z czego słyszałem to w Microsoft korzystają z Linuxa bo windows tak zbiera dane i je udostępnia ponad 800 firmą że sami nie chcą tego używać 😅

@kamilgerc1 3 ай бұрын

Czy tylko ja mam tak ze nic z tego nie zrozumialem ale i tak mi się podobało? :-)

@stanislawbotowski7300 3 ай бұрын

Piękna katastrofa!

@rufur2 3 ай бұрын

Ledwo ogarniam podstawowe zagadnienia IT, ale dobrze wiedzieć o takich rzeczach

@btmpirx6117 3 ай бұрын

To był prawdziwy Śmingus-Dyngus dla adminów.

@lTwojaStara 3 ай бұрын

Siema byku, słuchałem Cię dzisiaj w RMF24

@MateuszChrobok 3 ай бұрын

@stormShadow64 3 ай бұрын

Prze kozak

@CykPykMyk 3 ай бұрын

Opowiesz coś kiedyś o BSD, albo BeOS/Haiku :)?

@st.john_one 3 ай бұрын

fajnie pomyślany atak, ciekawe ilu ludzi w tym maczało "paluszki"

@danmetoo1537 3 ай бұрын

Czyli jak sobie wiszę na Manjaro 6.5.13-7 to jestem bezpieczny czy jak? Czy to dotyczy wyłącznie serwerowni?

@ukaszduczmanski6278 3 ай бұрын

świetna koszulka

@szesz0290 3 ай бұрын

czekam na materiał o pandabuy :))

@efte6624 3 ай бұрын

👍

@karolg631 3 ай бұрын

A jak to się w takim razie ma do bezpieczeństwa open sourcowych języków oprogramowania i ich bibliotek, które są przecież promowane przez wielkie firmy jak np. Python ?

@longinzaczek5857 3 ай бұрын

Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.

@SlawcioD 3 ай бұрын

dlaczego nie :)? chińczyk nie mógł udawać udawanego chińczyka ;)?

@longinzaczek5857 3 ай бұрын

@@SlawcioD Mógł, ale to by była pewna nowość w sposobach działania chińskiego wywiadu. wbrew pozorom dobra praktyka wywiadowcza polega na zacieraniu śladów, a nie na tworzeniu zagadki w zagadkach.