Jump to content

Najbolji članovi

Popularan sadržaj

Showing content with the highest reputation on 05/10/26 in Postovi

  1. Mikorist

    IT razno.

    Evo kako priča slična onoj iznad moće da dovede do kraha potpunoga........ Ovo je Veritasium video o XZ Utils backdoor-u (CVE-2024-3094) jednom od najozbiljnijih napada na Linux ikada. Brzi sažetak jer dave 30 minuta dok ne dođu na konkretnu stvar. Poenta je ova: gomila ključnih Linux stvari (tipa xz / liblzma za kompresiju) održavaju likovi volonteri. Znači nema plata, nema firma iza, nego dobra volja i entuzijazam. Sistem je bukvalno verujemo ti jer si tu dugo. Bitno je da si dobar magarac i da te jašu (ovo znam iz ličnoga iskustva) I tu kreće zajeb. Šta se desilo (2021–2024): Pojavi se neki lik ........Jia Tan....pitanje je ko je on..... možda država iza(Kina ili Rusija) možda ne ........ali nije ni bitno. Krene polako......... prvo sitni fixovi......... pa bug reportovi......... pa sve korisniji.......... pa svima gotivan......... I mic po mic.........postane nezamenljiv. Originalni maintainer? Pregoreo, nema vremena, zatrpan. Plus nije imao kinte od ovoga..... I na kraju ................ajde ti brate preuzmi. I ovaj preuzme. I ubaci backdoor u xz 5.6.0 i 5.6.1. Kako je backdoor radio (tehnički deo): Ciljao OpenSSH............ znači ulaz u server, srce sistema. Iskoristio systemd da ubaci liblzma u sshd proces (tiho, bez buke). Najluđe: malicious kod NIJE bio u git-u nego sakriven u tarball-u kao “test fajlovi” Znači ako gledaš source..........sve čisto........ ako builduješ release .....upao si u septičku jamu punu govana............ xz je SVUDA svaki distro skoro Da ovo nije provaljeno imali bi milione servera otvorenih ko trafika Špijunaža, ransomware, gašenje infrastrukture… sve moguće. Kako je otkriven (srećom)...........Andres Freund (Microsoft inženjer) primetio je da SSH login traje ~500ms duže nego inače. Počeo da debuguje............našao čudno ponašanje u liblzma i digao uzbunu. Backdoor je imao bug (segfault u ranijim buildovima), što je pomoglo otkrivanju. Ovo nije hakovanje u fazonu “upao sam kroz firewall”. Ovo je ljudska psihologija...........strpljenje.....sistem bez kontrole..... Projekat održava 1–2 čoveka (burnout zona) Niko ne plaća........nema odgovornosti....samo dobra volja. Lično sam učestvovao u sličnim stvarima. Pregoriš kao licna.... Pojavi se “super koristan lik” Postaje nezamenljiv Ostali počnu da zavise od njega Preuzme kontrolu To nije hakovanje. To je ljudska priroda + sistemska slabost. Napadač ne mora da bude genije mora da bude strpljiv i socijalno inteligentan.............. Elem.........Linux ne sme da zavisi od dobrote. Mora da zavisi od procesa i verifikacije. kompanije koje koriste (cloud, infra) moraju da plaćaju održavanje = infrastruktura, ne hobi
    4 poena
  2. Fazon je da se prvi probudis, imas par minuta mira...
    2 poena
  3. Dobro da nisu audiofilski, kostali bi $399
    1 poen
  4. Mikorist

    IT razno.

    Da.....Ovaj pregledač navodni Chromium klon sa pričom sve u jednom. Blokada reklama, preuzimanje videa i dodaci na mobilnom. Na papiru deluje kao da su rešili sve probleme mobilnog interneta, u praksi si samo ubacio još jedan sloj između sebe i mreže. Problem nije u funkcijama nego u modelu poverenja. Firma registrovana u UK je samo na papiru, zajednica puna pitanja, transparentnost slaba. To ne znači da je zlonamerni softver, ali znači da ne znaš jasno gde idu tvoji podaci i kako se obrađuju. Zatvoren kod (closed-source)....... Nema javnog GitHub repo-a niti verifikovanog FOSS projekta I to je suština koju ljudi preskaču.....nije pitanje da li radi, nego da li mu puštaš banku, mejl i logovanja kroz zatvoren sistem bez reputacije. Za svakodnevno testiranje i YouTube.....može. Za bilo šta ozbiljno Brave / Mullvad(oklopno vozilo) ili provereni Chromium fork .
    1 poen
  5. Doktor

    Šta trenutno slušam . . .

    Ako idemo na vhunski etno . . . . jedan je Nusrat.
    1 poen
  6. Brijac

    Novopridosle skalamerije

    Stiglo nesto i za dusu
    1 poen
  7. 0 poena
×
×
  • Kreiraj novo...