Автор Тема: Стряскащо  (Прочетена 2021 пъти)

4096bits

  • Напреднали
  • *****
  • Публикации: 6825
    • Профил
Стряскащо
« -: Jun 13, 2024, 10:18 »
Не бях чувал за този опит за хакване на системите. Всички линукс системи.

Направо стряскащо.
Учудвам се, че някакъв е успял да напише кода, да го качи и да убеди други да мерджнат, без, изглежда, някой да му прегледа работата.

https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

remotexx

  • Напреднали
  • *****
  • Публикации: 3708
    • Профил
Re: Стряскащо
« Отговор #1 -: Jun 13, 2024, 17:55 »
Е, поне Слакерите може да спят спокойно  ;D
“The attack was sneaky in that it only did the final steps of the backdoor if you were building the library on amd64 (intel x86 64-bit) and were building a Debian or a RPM package (instead of using it for a local installation),” he wrote.


Между другото още не се знае дали това е отделен човек или ККП
What more do we know about Jia Tan?

At the moment, extremely little, especially for someone entrusted to steward a piece of software as ubiquitous and as sensitive as xz Utils. This developer persona has touched dozens of other pieces of open source software in the past few years. At the moment, it’s unknown if there was ever a real-world person behind this username or if Jia Tan is a completely fabricated individual.
« Последна редакция: Jun 13, 2024, 17:58 от remotexx »
Активен

kuunlaaksot

  • Напреднали
  • *****
  • Публикации: 213
  • Distribution: CRUX
    • Профил
Re: Стряскащо
« Отговор #2 -: Jun 13, 2024, 18:05 »
ее, чак сега ли го чу това? беше голема патаклама преди 2 месеца. Даваха го тоя случай за пример, как злонамерен човек, в периода на няколко години, лека полека дописва злонамерен код. И, те тва е.

Иначе, не са всички Линукси. Не всички са със системд, примерно Slackware, CRUX, Void, Devuan,...
Активен

lunarvalleys

Nik123

  • Напреднали
  • *****
  • Публикации: 3689
  • Distribution: Mageia, Q4OS
    • Профил
Re: Стряскащо
« Отговор #3 -: Jun 13, 2024, 19:46 »
Оправя ли се с някакъв ъпдейт? Или още не са изчистили всички тия touched dozens of other pieces of open source software ?
« Последна редакция: Jun 13, 2024, 19:49 от Nik123 »
Активен

kuunlaaksot

  • Напреднали
  • *****
  • Публикации: 213
  • Distribution: CRUX
    • Профил
Re: Стряскащо
« Отговор #4 -: Jun 13, 2024, 21:09 »
отдавна го оправиха "from upstream"
Активен

lunarvalleys

4096bits

  • Напреднали
  • *****
  • Публикации: 6825
    • Профил
Re: Стряскащо
« Отговор #5 -: Jun 14, 2024, 16:39 »
Казвам всички, заради начинау, по който е осъществено.
Методът, който е използват може да се приложи на всеки линукс.
Има и социално инжинерство тук.

Но според мен не е бил човек, а група или организация.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

kuunlaaksot

  • Напреднали
  • *****
  • Публикации: 213
  • Distribution: CRUX
    • Профил
Re: Стряскащо
« Отговор #6 -: Jun 14, 2024, 17:54 »
ето информацията от извора (upstream):

https://tukaani.org/xz-backdoor/

> Методът, който е използват може да се приложи на всеки линукс.
методът, който е използван може да се приложи на всеки код. В отворения код, поне всеки може да го прегледа. Аз и ти, предполагам, едва ли ще хванем някаква пролука но има хора, будни другари, дето биха могли.  ;)
« Последна редакция: Jun 14, 2024, 18:07 от kuunlaaksot »
Активен

lunarvalleys

remotexx

  • Напреднали
  • *****
  • Публикации: 3708
    • Профил
Re: Стряскащо
« Отговор #7 -: Jun 14, 2024, 21:53 »
Той колегагата по-скоро се интересуваше дали вече "не са изчистили всички тия touched dozens of other pieces of open source software?" - става въпрос за JiaT75  т.е. всичките му промени по всички пакети на който е бил контрибутор ..как мислите дали си е играл някой да ги проверява (е освен трибуквените, ама те там каквото намерят ще го го оставят за тях си и ще се закачат към далаверката, че някой им написал безплатен софтуер за тях та да влизат и да /се/ бъркат където си искат)

и това е само един ник - един от многото (от ККП:P


П.П. И тяхната не е лесна

Китайците са успели да хакнат сървъра на Пентагона. Ето как са го постигнали:
1. Всеки китаец е трябвало да пробва една парола;
2. Всяка втора парола е била "Мао Дзедун";
3. На 743,571,812 опит сървъра се е съгласил, че паролата е "Мао Дзедун";


Труден избор (къде да ги таковат) на бачкане или затвора  :P

1. В затвора (по закон) на всеки се полагат пространство по 6 кв.м. На работата - по 1 кв.м.
2. В затвора ви хранят безплатно 3 пъти на ден. На работата имате само един обяд и той не е безплатен.
3. В затвора за добро поведение съкращават срока на наказанието. На работата за добро поведение ви дават допълнително работа.
4. В затвора охраната ходи след вас отваря и затваря всички врати. На работата само се сблъсквате с ключове и магнитни карти.
5. В затвора можете да играете карти и да разказвате вицове. На работата- получавате за това един по врата от началника ви.
6. В затвора могат да ви навестят роднини и приятели. На работата това не е позволено.
7. В затвора има измет от извратени и садисти. На работата ги наричат мениджъри.



П.П.П.
Q. What are the privacy implications? Isn’t this against GDPR?

A. I am not a privacy person or a legal person.

I will say that privacy people I’ve talked to are extremely worried about the impacts on households in domestic abuse situations and such.

Obviously, from a corporate point of view organisations should absolutely consider the risk of processing customer data like this — Microsoft won’t be held responsible as the data processor, as it is done at the edge on your devicesyou are responsible here.


- Едно не може да им се отрече - имат много добри адвокати  8) 8) 8)
за разлика от други https://www.youtube.com/watch?v=Pw9g7SFBvGo
« Последна редакция: Jun 15, 2024, 07:50 от remotexx »
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6825
    • Профил
Re: Стряскащо
« Отговор #8 -: Jun 15, 2024, 13:41 »
ее, чак сега ли го чу това? беше голема патаклама преди 2 месеца. Даваха го тоя случай за пример, как злонамерен човек, в периода на няколко години, лека полека дописва злонамерен код. И, те тва е.

Иначе, не са всички Линукси. Не всички са със системд, примерно Slackware, CRUX, Void, Devuan,...
Абсурд  :D

Сигурно е писано на С, а такова нещо не помня, кога съм поглеждал.
А и никога не съм писал код на С, та... Там картинката е плачевна, поне за мен
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.