[ home ] [ indice ] [ b / s / x / hd / 420 ] [ aco / v / cul / yt / ck / mu / pol ]

/cul/ - Cultura

/film/ + /lit/ + /scr/ e roba pretenziosa
Nome
Email 
Messaggio

File
Embed
Password

  [Vai in fondo]   [Catalogo]   [Torna]   [Archivio]

File: quuwqen.jpg (103,82 KB, 600x400)

 No.11860

Filo backdoor XZ perché è inutile parlarne su /b/

 No.11861

File: hx1c32i.jpg (44,45 KB, 385x489)

Sinceramente, non c'è molto da dire che non sia già stato detto altrove e da persone più competenti.

L'ho vissuto come una storia pazzesca, ho visto come i vari layer dell'operazione sono stati scoperti piano piano, tipo questo post che si lamentava genericamente dell'entitlement della gente che interagisce con i maintaner OSS
https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/
Ma immediatamente dopo si sono accorti che la pressione sul maintainer era tutta una marionettata parte della stessa operazione.

Siamo stati a poche settimane da un'effettiva potenziale catastrofe informatica mondiale, e l'abbiamo potuta seguire in diretta. Davvero pazzesco. Saranno interessanti gli sviluppi futuri e magari, vista la dose di fortuna e coincidenze che sono state necessarie a questo giro, scoprire che backdoor simili esistono già (molto probabilmente) in tutto quello che usiamo.


Timeline accurata qui comunque https://research.swtch.com/xz-timeline

 No.11862

>>11861
Quello che secondo me non è stato detto (o chiesto) è se la backdoor avrebbe potuto influire su gli altri sistemi operativi

 No.11863

File: habkibv.jpg (885,32 KB, 1829x2560)

>>11862
È stato abbastanza detto, il target è sshd via systemd e ci sono altre varie restrizioni su libc e architettura.

>This attack thusly seems to be targeted at amd64 systems running glibc using either Debian or Red Hat derived distributions.


>We're reasonably sure the following things need to be true for your system to be vulnerable:

>You need to be running a distro that uses glibc (for IFUNC)
>You need to have versions 5.6.0 or 5.6.1 of xz or liblzma installed (xz-utils provides the library liblzma) - likely only true if running a rolling-release distro and updating religiously.
>We know that the combination of systemd and patched openssh are vulnerable but pending further analysis of the payload, we cannot be certain that other configurations aren't.

https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

 No.11864

È stato utile per dimostrare che tutti i segoni sull'opensource più sicuro, più bello, più più più più più in realtà sono solo dei meme e ormai la sola cosa che differenzia il software closed source da quello open source è la velocità con cui si patchano le falle.
Anzi, Windows con tutti gli zingari ninja hacker che gli fanno le pulci è forse forse più sicuro di Linux.

 No.11865  SALVIA!

>>11864
>>>/b/ per cortesia

 No.11866  SALVIA!

>>11864
Post troppo stupido per non essere una trollata

 No.11872  SALVIA!

>>11867
Si capisce che stai trollando ulteriormente perché sei l'unico che risponde alla baita con un'altra baita e senza salvia, poi uno dice hurr i thread seri fuori da /b/

 No.11876

>>11861
>poche settimane da un'effettiva potenziale catastrofe informatica mondiale
E lo vengo a sapere su diochan, perdio
Di informatica so solo le basi, ho giochicchiato un po' con ubuntu riuscendo addirittura far funzionare audio e wifi a botte di guide online e un po' di ragionamento; che cosa si rischiava nel concreto? Dalla combinazione di architettura e software si può cercare di capire quali sistemi erano nel mirino? Server, roba governativa, salcazzo?
Che cazzo succede se salta fuori un altro caso simile? L'opensource può sopravvivere senza fiducia?

 No.11879  SALVIA!

>>11876
>L'opensource può sopravvivere senza fiducia?
Non succede nulla, l'opensource andrà avanti come sempre ha fatto, questa cosa dimostra solo che l'opensource non è sicuro "di natura" solo perché non c'è quel cattivone di Bill Gates che sgancia i soldi. È un bel bagno di realtà per i fanboy di Linux, che ovviamente appena gli si fa notare la cosa ti accusano subito di baitare.

 No.11880

>>11876
>Dalla combinazione di architettura e software si può cercare di capire quali sistemi erano nel mirino? Server, roba governativa, salcazzo?
Nel mirino erano i sistemi che usano una libreria di compressione dati chiamata xz, cioè… quasi tutti. Letteralmente. Non solo i server e centri dati, anche tantissimi modem, router e switch (quindi avrebbe indirettamente colpito anche gli utenti Windows). Difficile stabilire esattamente quanti sistemi sarebbero stati affetti perché alcune distribuzioni di Linux e *BSD fanno le cose in maniera leggermente diversa, ma tra le distribuzioni che sarebbero state colpite ci sono quelle che di fatto messe assieme coprono il 90% delle installazioni, cioè Debian, Ubuntu e Fedora (e loro derivativi). >>11861 non esagera quando la definisce una "potenziale catastrofe informatica mondiale".


>>11879
Ha provato proprio il contrario ed è il perfetto esempio della Legge di Linus: "given enough eyeballs, all bugs are shallow". Se non fosse stato open source nessuno l'avrebbe mai scoperto. Per la Microsoft lavorano migliaia di stranieri, molti dei quali russi, cinesi e iraniani, cioè gli "state actors" di cui parlano ultimamente. Vai a sapere quante backdoor c'avranno messo (dico a parte quelle conosciute e richieste dalla NSA) e nessuno ne sa un cazzo perché, appunto, è tutto closed source e tutto l'auditing viene fatto in-house, quindi se la cantano e se la suonano da soli.

 No.11881

>>11879
ma quale catastrofe, gli admin seri non lasciano certo le porte ssh aperte sui sistemi pubblici. Ci hanno lavorato due anni e li hanno sgamati in due settimane. Nel frattempo i windows shop pagano fior di riscatti per i ransomware, vedi le ASL, vedi i minchioni di westpole

 No.11882

>>11879
Il tuo è un ragionamento da ritardato quindi per forza ti si accusa di baitare.

>questa cosa dimostra solo che l'opensource non è sicuro "di natura" solo perché non c'è quel cattivone di Bill Gates che sgancia i soldi.

Questa non è un'opinione seria/comune nel mondo vero o nel mondo open source.
>È un bel bagno di realtà per i fanboy di Linux
Tipo chi? E cosa c'entra Linux? Seriamente credi che qualcuno di rilevante e non ritardato fosse dell'opinione che il software open source fosse immune da backdoor?

>>11881
>gli admin seri non lasciano certo le porte ssh aperte sui sistemi pubblici
Sì, beh, ok, credo però esistano decine di milioni di dispositivi con ssh aperto al pubblico, magari su porte non standard. E occhio che questo avrebbe avuto implicazioni anche in LAN/reti interne aziendali.

 No.11883

>>11876
>che cosa si rischiava nel concreto?
Accesso non autorizzato su centinaia di migliaia di macchine direi, minimo.

>Che cazzo succede se salta fuori un altro caso simile?

Niente, stringiamo il culo, qualche miglioria e andiamo avanti. Trusting trust è un problema noto dagli anni 80.

>L'opensource può sopravvivere senza fiducia?

Non credo la domanda sia corretta, il software closed source ha lo stesso problema, con in più l'impossibilità di fare auditing delle modifiche.

 No.11901

>>11883
Forse la domanda corretta è l'opensource può sopravvivere senza committenti che mettano molto denaro per portare avanti i vari progetti?

 No.11902

File: 26nd6ms.jpg (103,07 KB, 942x319)

>>11901
Direi di no, ormai i grandi progetti OS o sono mandati avanti in gran parte da aziende (vedi il kernel Linux, pittura relata) o da fondazioni che ricevono contributi di vario tipo da un misto di utenti e aziende (Blender, Godot, Krita, ecc).

 No.11907

>>11902
Mi sembra una bella cosa no? Loro pagano meno tasse e tutti possono accedere a software open-source e strumenti che altrimenti costerebbero cifre astronomiche vedi maya, photoshop, unity, et cetera

Poi dipende dalle dimensioni del software e dall'importanza, alcuni sono finanziati tramite donazioni di privati

 No.11908

>>11907
Sì, certo, non era una critica, solo una constatazione. Tutti parlano male delle malvagye aziende multinazionali (e non) ma oggettivamente senza i contributi corporate il mondo open sorcio sarebbe rimasto indietro di decenni.

 No.11909

>>11908
Stai invertendo le cose.
Non contribuiscono per bontà, hanno vantaggi più grossi di quanto contribuiscono.

Certo, poi potevano comunque non contribuire, ma ci avrebbero perso e non sarebbero dove sono. Mica è beneficenza.

 No.11910

>>11909
Ovvio, dove ho scritto che lo fanno per bontà? A me non importa nulla se fanno profitto (anzi, meglio così sono incentivati a continuare). È che molte persone sono ancora convinte che l'OS sia o debba essere una specie di rivolta del bobolo contro il capitale o roba del genere.

 No.11911

>>11910
>molte persone sono ancora convinte che l'OS sia o debba essere una specie di rivolta del bobolo contro il capitale o roba del genere
Non so che circoli bazzichi ma queste persone io non le vedo dal 1998, e pure lì erano in minoranza. A quali comunità ti riferisci?

 No.11912  SALVIA!

>>11910
Alert: sono l'anon di >>11907 quello che ti ha risposto dopo sta palesemente trollando: consigliato l'astenersi dal rispondere o cambiare topic

 No.11924  SALVIA!

>>11912
Chi starebbe trollando e perché?



[Torna in cima] [Catalogo] [Torna][Invia una Risposta]
Elimina post [ ]
[ home ] [ indice ] [ b / s / x / hd / 420 ] [ aco / v / cul / yt / ck / mu / pol ]