@@panhuragan4388Serio? 15:48 tutaj masz w 45 sek wyjaśnione. Dane logowania admina do każdego serwera były podsłuchane. Tylko tyle i aż tyle. A potem? No cóż...kwestia wyobraźni.
Dzięki za swoje materiały. Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka
Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku. Dziękuję za kolejną świetną opowieść.
@@elaela6312 No to brawo Ty. Ja tylko kontekst. Ale gdzie on to w kodzie i jak pochował ni huhu. Ani w jakim protokole/repozytorium itp. Ja nawet nie amator w linuxie.
Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource
Bezos, Gates, Musk i wszystkie wielkie korporacje w stylu BlackRock ustawiają się w kolejce by mu dokopać za straty finansowe które mogły by ich dotknąć. A które nie dały centa by mógł zatrudnić kogoś do pomocy w projekcie. 😂
To jest absolutnie niesamowite. Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie. Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo. Dzięki za opracowanie!
I co by to dało? Przecież to wszystko było sprytnie ukryte. I niby czemu społeczność Open Source ma się bliżej przyglądać?? Co masz na myśli społeczność Open source? Jakaś organizacja czy człowiek hobbysta który za darmo sobie czyta kod go kontrolując czy nie ma błędów?? Tutaj nie jest problem przyglądania się jakiejś społeczności tylko problem w tym że całe SSH stoi na bibliotece tworzonej przez jednego człowieka, a korporacje korzystające z SSH nawet groszem nie wesprą twórcy ani sami nie pomogą z projektem np. przeglądając regularnie kod, czy pomagając rozwijać projekt. Możnaby nawet wyznaczyć/zatrudnić taką osobę w firmie do tego, albo zwyczajnie wesprzeć dotacją człowieka odpowiedzialnego za rozwój. Środowisko linuksowe GNOME dostało dotację chyba milion dolarów i chyba dodali ładne animacje do środowiska i nie potrzebowali nawet tak tej dotacji jak wiele projektów jak ten, który jest ważniejszy jak jakieś dodatkowe animacje do pulpitu.
jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia
Oglądałem kiedyś wywiad z Masą - takim gangsterem. Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji. Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk). Rozumiesz do czego zmierzam? Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku. Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉 No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem? Takie tam przemyślenia... Dzięki Mateusz za jak zawsze mega materiał! 👍
> Jak producenci (...) sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? xD widzę kolega nowy w branży;d polecam poszukać historii sprzed dwóch lat dla słów kluczowych "BIG sabotage: Famous npm package deletes files to protest Ukraine war" wiem że było tego więcej związanego z wojną właśnie ale to mi utkwiło w pamięci.
@@lis6502 To było raczej pytanie retoryczne / jako trigger do przemyśleń. Ale tego tematu o node-ipc faktycnie nie znałem - mocna rzecz! Dzięki za podrzucenie. Jeśli miałbyś więcej takich case'ów pod ręką, to chętnie uzupełnię wiedzę w tym obszarze. Dzięki za odpowiedź :)
@@CarsterPl nie ma sprawy. Jakoś nie zbieram tego namiętnie, ot czasem coś ciekawego wpadnie. Ale to dość powszechny model że bigtech czerpie garściami ze świata floss, np na stronie domowej curl'a w sekcji dokumentacji znajdziesz plik companies.html, polecam zajrzeć. Mateusz też w opisie dał bardzo wymowny i smutny w gruncie rzeczy komiks XKCD numer 2347 i jako ktoś kto z niejednego e-pieca chleb jadł potwierdzam, tak się buduje komercyjny soft.
I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)
Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów. Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa
konia zrzędę temu kto w tak generowanych plikach doszukiwałby się exploita;] testów się nie podejrzewa, testów się nie robi. Kolejny atak z cyku "surprise motherfucker" będzie zaszyty w dokumentacji i będzie się składał ze skryptu czytającego pliki translacyjne do języka Suomi.
@@MateuszChrobok Ken Thompson pisał gdzieś w latach 70-tych, że od kiedy programuje Unixa w C od tego momentu nigdy nie wiadomo co ktoś doklei na etapie kompilacji jeśli zostanie zmodyfikowany kompilator. To tylko ciekawostka taka. Kto z nas panuje całkowicie na używanym toolchainem i zależnościami. Ja nie znam
@@jaroslaww7764 Proszę, podaj źródło, bo jest to nieprawdopodobne. Lata 70-te to czasy asemblerów. C powstał z myślą bycia "portable assembler", żeby Unix mógł działać na wszystkim. I nie, ZAWSZE wiadomo co "ktoś dokleja" na etapie kompilacji. Jeśli tego nie wiesz, to nie wiesz jak działa twój toolchain i/lub build system. Szczerze wątpię, by ekspert pokroju K.T. wypowiedział kiedykolwiek te słowa w takim kontekście.
Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.
Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.
@@E.Wolfdale nie przesadzaj korpo zatrudniło gościa by mogli użyć darmowego kodu w swoich projektach i potem na tym zarabiać. Jego zasługa w porównaniu z innymi, w innych korpo którym to zwisa, jest taka, że myślał.
Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota
Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)
@@bogaczew cóż Mitnick działał w dużo "prostszym" środowisku, wiedz na temat takiego "hackowania" ludzi była zupełnie inna. Tu mamy zaplanowane długoterminowe działanie ale nadal opierające się na zdobyciu zaufania "celu" korzystając z socjotechniki
To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse. Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.
Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun! (No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)
Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤ Dzięki za ciekawy materiał!
Ktoś obeznany mógłby mi wytłumaczyć po co biblioteczka która od prehistorii implementuje ustandaryzowany algorytm kompresji w ogóle potrzebuje ciągłego aktualizowania?
Naprawa błędów głównie, czasem nowe funkcje które mogą się przydać. Oczywiście niektóre potrzebują mniej ale bardzo rzadko zdarza się że nie musisz nigdy aktualizować
Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu. Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅
Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić
Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł
Takie rozwiązanie byłoby dużo łatwiejsze do wykrycia bo ten dodatkowy proces po pierwsze sam w sobie w wzbudził podejrzenie po drugie musiałby nasłuchiwać na osobnym porcie albo samemu się łączyć ze wskazanym serwerem. W obu przypadkach by to mogło nie przejść przez firewall i zostać łatwiej wykryte w jakimś audycie
Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.
@@SlawcioD Mógł, ale to by była pewna nowość w sposobach działania chińskiego wywiadu. wbrew pozorom dobra praktyka wywiadowcza polega na zacieraniu śladów, a nie na tworzeniu zagadki w zagadkach.
Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia
A jak to się w takim razie ma do bezpieczeństwa open sourcowych języków oprogramowania i ich bibliotek, które są przecież promowane przez wielkie firmy jak np. Python ?
3:12 nieprawda, to że sobie coś zrobił a reszta używala nie czyni go w żaden sposób odpowiedzialnym, zresztą socjotechnika tego ataku też na tym bazowała właśnie
Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)
A teraz wyobraźmy sobie, że ten ktoś, komu zależało na uzyskaniu takiego dostępu do wielu serwerów, wykazałby się jeszcze jedną niewielką ilością kreatywności i cierpliwości. Bo ta podwójna weryfikacja klucza publicznego mogła być zrobiona w ten sposób, że nie od razu po updacie by działała, ale powiedzmy dopiero po 4-5 tygodniach by startowała.... wtedy nie byłoby na starcie tej pół-sekundy, na którą ktoś zwrócił uwagę i zaczął sprawdzać! Mamy naprawdę szczęście, że hakerzy, kimkolwiek byli, nie byli wystarczająco kreatywni/cierpliwi i chcieli swój sukces od razu skonsumować... cóż. Już byli w ogródku, już witali się z gąską ;-)
Potrzeba chyba zbanować pliki binarne w open sourcie i niech wszystko się buduję od zera. To jedyne skuteczne rozwiązanie, aby nie było możliwości przemycenia jakiś podatności, ponieważ reverse engineering każdego pliku zajmuje zbyt dużo czasu i nikomu się nie chce tego robić.
Ciekawe czy sprawdzili także logi pozostałych komentujących nawołujących do zmiany ownera projektu… bo mogli być powiązani z tym który zmiany wprowadzał….
Bpże jak sie ciesze że nic z tego nie rozumiem. Jak pomyśle, że musiałbym wyhodować kucyka żeby ukrywać pod nim garba to mnie opuchlizna na wątrobie swędzi
Czy tylko mi się tak wydaje, że to było wiekopomne wyrażenie, porównywalne do Katastrofy w Siewieromorsku - pożaru z 13 maja 1984 r., do którego doszło w porcie floty północnej, gdzie spaliły się zapasy rakiet i broni atomowej szykowane na WWIII?
Hej, już na początku popełniłeś pewien błąd. Lasse nie jest odpowiedzialny za działanie oprogramowania zależnego. XZ jest na licencji GPL, która mówi wprost, że używasz danego oprogramowania na własną odpowiedzialność.
8:58 chyba raczej chodziło o tarballe ze źródłami w odróżnieniu od pobierania przez Gita (lub tarballi, które Github automatycznie generuje z gitowego źródła)
Póki co na dzień dzisiejszy za takimi działaniami po jednej i po drugiej stronie stoi człowiek ze wszystkimi swoimi słabościami i jak widać na tym przykładzie to różnie się to kończy. Niebawem sytuacja się odmieni. AI + komputery kwantowe zrobią wszystko bez naszego niepożądanego udziału. Nastąpi to szybciej niż nam się wydaje.
Słucha się jak kryminału ;)
Raczej jak: „Dzizus krajst!!! Its Dżejson Born!!!”😉
Nie dowiedziałem się po co oni to shackowali. Zgubiłem się w tym laniu wody
Sensacje XXI wieku - Bogusław Woło... wróć!
Mateusz Chrobok 😂
@@panhuragan4388Serio? 15:48 tutaj masz w 45 sek wyjaśnione. Dane logowania admina do każdego serwera były podsłuchane. Tylko tyle i aż tyle. A potem? No cóż...kwestia wyobraźni.
@@panhuragan4388 Ameryka uniknęła 3 dni ciemności
Dzięki za swoje materiały.
Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka
Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku.
Dziękuję za kolejną świetną opowieść.
Bardzo fajnie się tego słuchało. Brawa dla osoby piszącej te teksty.
Czy to aby napewno osoba? ;)
@@robertratajczak1185 Nie no. Zespół półgłówków.
Jestem takiego samego zdania 🙃
Bardzo ciekawe. Choć zrozumiałem z 5% z tego co mówisz.
Dzięki, że się dzielisz taką wiedzą (w nomen omen w swoim wolnym czasie😉)
MoSSad
Kurczę, nie jestem programistką a wszystko zrozumiałam. Dzięki.
@@elaela6312 No to brawo Ty. Ja tylko kontekst. Ale gdzie on to w kodzie i jak pochował ni huhu. Ani w jakim protokole/repozytorium itp. Ja nawet nie amator w linuxie.
Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource
Czyli cały internet wisi na jednym gościu zwanym Lasse, któremu nikt nie płaci za robotę? Słodkie. 😎🤣🙈
its all about money Honey 🙃
Bezos, Gates, Musk i wszystkie wielkie korporacje w stylu BlackRock ustawiają się w kolejce by mu dokopać za straty finansowe które mogły by ich dotknąć. A które nie dały centa by mógł zatrudnić kogoś do pomocy w projekcie. 😂
ja to tu tylko zostawię: poszukaj 2347 xkcd. i wiedz że takich projetków jak xz jest więcej. dużo więcej.
@@zj7498 Ale tak rzeczywiście jest? Czy to żart? Czy komentarz na podstawie uprzedzeń?
@@damiansarnowski9966 Niech Ci inni wytłumaczą. Co to figura stylistyczna i jaką tu zastosowałem.
To jest absolutnie niesamowite.
Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie.
Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo.
Dzięki za opracowanie!
I co by to dało? Przecież to wszystko było sprytnie ukryte. I niby czemu społeczność Open Source ma się bliżej przyglądać?? Co masz na myśli społeczność Open source? Jakaś organizacja czy człowiek hobbysta który za darmo sobie czyta kod go kontrolując czy nie ma błędów?? Tutaj nie jest problem przyglądania się jakiejś społeczności tylko problem w tym że całe SSH stoi na bibliotece tworzonej przez jednego człowieka, a korporacje korzystające z SSH nawet groszem nie wesprą twórcy ani sami nie pomogą z projektem np. przeglądając regularnie kod, czy pomagając rozwijać projekt. Możnaby nawet wyznaczyć/zatrudnić taką osobę w firmie do tego, albo zwyczajnie wesprzeć dotacją człowieka odpowiedzialnego za rozwój. Środowisko linuksowe GNOME dostało dotację chyba milion dolarów i chyba dodali ładne animacje do środowiska i nie potrzebowali nawet tak tej dotacji jak wiele projektów jak ten, który jest ważniejszy jak jakieś dodatkowe animacje do pulpitu.
@@prometeusz1984 co
jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia
Nie mam zielonego pojęcia o materii, słuchałem zaś z zaciekawieniem
Gratulacje, wyrósł nam drugi Wołoszański :)
Niewiele zrozumiałem, ale słuchałem z zapartym tchem. Bardzo interesujące.
Oglądałem kiedyś wywiad z Masą - takim gangsterem.
Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji.
Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk).
Rozumiesz do czego zmierzam?
Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku.
Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉
No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja?
Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem?
Takie tam przemyślenia...
Dzięki Mateusz za jak zawsze mega materiał! 👍
Zacznijmy od tego że Google to CIA
YT to Google więc nie próbuj być fajny bo widać że niewiele zrozumiałeś
> Jak producenci (...) sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja?
xD widzę kolega nowy w branży;d
polecam poszukać historii sprzed dwóch lat dla słów kluczowych "BIG sabotage: Famous npm package deletes files to protest Ukraine war"
wiem że było tego więcej związanego z wojną właśnie ale to mi utkwiło w pamięci.
@@bardoIX Będę miał to na uwadze pisząc coś o Google następnym razem. Dziękuję za odpowiedź i zwrócenie uwagi :)
@@lis6502 To było raczej pytanie retoryczne / jako trigger do przemyśleń. Ale tego tematu o node-ipc faktycnie nie znałem - mocna rzecz! Dzięki za podrzucenie. Jeśli miałbyś więcej takich case'ów pod ręką, to chętnie uzupełnię wiedzę w tym obszarze. Dzięki za odpowiedź :)
@@CarsterPl nie ma sprawy. Jakoś nie zbieram tego namiętnie, ot czasem coś ciekawego wpadnie. Ale to dość powszechny model że bigtech czerpie garściami ze świata floss, np na stronie domowej curl'a w sekcji dokumentacji znajdziesz plik companies.html, polecam zajrzeć. Mateusz też w opisie dał bardzo wymowny i smutny w gruncie rzeczy komiks XKCD numer 2347 i jako ktoś kto z niejednego e-pieca chleb jadł potwierdzam, tak się buduje komercyjny soft.
I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)
Homelab homelabem ale weź pod uwagę kluczowe usługi kierowane do mas ludzi :)
Jak Mati wytłumaczy to nie ma trojana we wsi 💪
Ależ to dobre - fajnie opowiedziane, doskonale wytłumaczone, historia niesamowita. Dzięki!
Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów.
Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa
Ja podziwiam sam pomysł. Bo w kodzie było jak na dłoni a tak wyglądało logicznie
konia zrzędę temu kto w tak generowanych plikach doszukiwałby się exploita;] testów się nie podejrzewa, testów się nie robi. Kolejny atak z cyku "surprise motherfucker" będzie zaszyty w dokumentacji i będzie się składał ze skryptu czytającego pliki translacyjne do języka Suomi.
@@MateuszChrobok Ken Thompson pisał gdzieś w latach 70-tych, że od kiedy programuje Unixa w C od tego momentu nigdy nie wiadomo co ktoś doklei na etapie kompilacji jeśli zostanie zmodyfikowany kompilator. To tylko ciekawostka taka. Kto z nas panuje całkowicie na używanym toolchainem i zależnościami. Ja nie znam
@@jaroslaww7764 Proszę, podaj źródło, bo jest to nieprawdopodobne.
Lata 70-te to czasy asemblerów. C powstał z myślą bycia "portable assembler", żeby Unix mógł działać na wszystkim.
I nie, ZAWSZE wiadomo co "ktoś dokleja" na etapie kompilacji. Jeśli tego nie wiesz, to nie wiesz jak działa twój toolchain i/lub build system.
Szczerze wątpię, by ekspert pokroju K.T. wypowiedział kiedykolwiek te słowa w takim kontekście.
@@Momentvm Ken Thompson "Reflections on Trusting Trust " 1984
Fakt - data publikacji to jedna dekada później niż podałem, mój błąd
Zajebiscie powiedziane. Dziekuje!
Fajna koszulka.
Dokładnie, team BIOTAD PLUS💪
Świetny materiał Dziękuję za dobrą robotę
Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.
Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.
Świetnie przedstawiona historia. Niesamowicie opowiedziałeś : ) Będę miał dobrą historię dla dzieci przed snem :)
Nie mam pojęcia o czym mówisz ale tak zajebiście opowiadasz że super się słucha. 👍👍👍
Czekałem na ten film 💜
Szczerze mówiąc, spodziewałem się wcześniej ;)
Btw to nie było tylko opóźnienie tylko błędy Valgrinda.
Poza tym, OpenSSH daje radę z SysV.
1 piwiczak pokrzyzował plany illuminati z cyberlockdownem xD
Heros naszych czasów.
A zwał się Andres Freund 💪
Tak, piwniczak pracujący dla MS za kasę MS używający w ich projektach "wolnego oprogramowania". Przynajmniej taki był jego wkład.
@@E.Wolfdale nie przesadzaj korpo zatrudniło gościa by mogli użyć darmowego kodu w swoich projektach i potem na tym zarabiać. Jego zasługa w porównaniu z innymi, w innych korpo którym to zwisa, jest taka, że myślał.
@@zj7498 wypełnianie obowiązków moim zdaniem nie powinno zmniejszać zasług.
Piękny i przerażający film :D Brawo
Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D
A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota
Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)
dokładnie - słabość człowieka jest kluczem
w jaki sposób to podobne? Kevin miał gadane, potrafił oczarować w kilkuminutowej rozmowie, tu masz kilkuletni proces
@@bogaczew cóż Mitnick działał w dużo "prostszym" środowisku, wiedz na temat takiego "hackowania" ludzi była zupełnie inna. Tu mamy zaplanowane długoterminowe działanie ale nadal opierające się na zdobyciu zaufania "celu" korzystając z socjotechniki
Genialne są te twoje materiały. Mateuszu pisz trylogię sensacyjna o tematyce, na który się znasz. Kupuje w przed sprzedaży.
Bardzo ciekawe i jednocześnie straszne. Super odcinek
Extra odcinek. Jam tylko laik z bezpieki ale aż mi tętno i ciśnienie wzrosło :)
ten kanał to jest złoto...
Ależ znakomity materiał. Jestem zwykłym szarym zjadaczem internetu i słuchałem niczym fragmentu thrillera science-fiction. Wspaniale nagranie!
Gratuluję i dziękuję.
To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse.
Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.
Świetny materiał Mateusz! :)
Świetny materiał :)
Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun!
(No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)
Świetny materiał.
Kolejny świetny materiał, pozdrawiam.
🤖 No to gruuuubo. A choć tego nie kumam zbytnio, to wydawało mi się że zrozumiałem ten wykład. 😉🤗
Bardzo ciekawe dzieki Mati 🙂
brawo za materiał! :)
Bardzo dobry materiał 👏👏👏
Super materiał ❤
Świetny materiał. Leci sub
to jest materiał na film sensacyjny😮
Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤
Dzięki za ciekawy materiał!
Grubo! To się nadaje jako materiał na pełnometrażowy thriller szpiegowski.
Swietny materiał, polecam każdemu.
Bardzo ciekawy odcinek dzięki ❤🎉
Bardzo ciekawy material.
Ktoś obeznany mógłby mi wytłumaczyć po co biblioteczka która od prehistorii implementuje ustandaryzowany algorytm kompresji w ogóle potrzebuje ciągłego aktualizowania?
Naprawa błędów głównie, czasem nowe funkcje które mogą się przydać. Oczywiście niektóre potrzebują mniej ale bardzo rzadko zdarza się że nie musisz nigdy aktualizować
Temat ciekawy, ale to Ty Mateuszu - Ty umiesz opowiadać!
Nic nie panimaju w tym wszystkim, ale poziom powalający z nóg!
Fascynujące. Słuchałam 2x,niewiele zrozumiałam 🤪
Z tego co się orientuję, to podatność była w debianie sid - którego jak wiemy nie powinno się używać na produkcji.
To był najpoważniejszy dotąd atak _o_jakim_wiemy_.
dobra historia, ciekawy scenariusz na film
Super ciekawe :-)
Jak zwykle genialny materiał. Jestem zawsze pewien podziwu dla ludzi, geeków którzy nie mogą spać po nocy wiedząc, że coś potrwało o 500ms za długo 😆
Grubo! W obecnych czasach faktycznie nie ma pewności czy to Izrael czy może Rosjanie.
Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu.
Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅
Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić
genialne podsumowanie
Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł
Myślę że jak ty wpadłeś to ktoś dawno wpadł, tak to właśnie wygląda
Takie rozwiązanie byłoby dużo łatwiejsze do wykrycia bo ten dodatkowy proces po pierwsze sam w sobie w wzbudził podejrzenie po drugie musiałby nasłuchiwać na osobnym porcie albo samemu się łączyć ze wskazanym serwerem. W obu przypadkach by to mogło nie przejść przez firewall i zostać łatwiej wykryte w jakimś audycie
Wow. Dla zasięgów.
Czy te czerwone tło jest prawdziwe czy to greenscreen? Pytam bo np w 15:43 dzieją się na tym tle za Mateuszem ciekawe rzeczy. Ktoś coś...?
Robisz świetną robotę
Mateusz, nie znam drugiego takiego człowieka jak Ty. NIC nie rozumiem, a słucham z gęsią skórką.
LOL :D dobrze ze moje SSH nie są dostępne publicznie od tak z sieci ;) ale przeraża skala zjawiska i możliwy armageddon :D
Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.
dlaczego nie :)? chińczyk nie mógł udawać udawanego chińczyka ;)?
@@SlawcioD Mógł, ale to by była pewna nowość w sposobach działania chińskiego wywiadu. wbrew pozorom dobra praktyka wywiadowcza polega na zacieraniu śladów, a nie na tworzeniu zagadki w zagadkach.
gruby temat, myślałem, ze to będzie kolejny materiał w necie o niedokonanym ataku atomowym miedzy rosją a usa 😂
Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia
widze ze nie tylko ja mam wrazenie "Sensacji..." i kryminału :D slucha sie genialnie ;)
A jak to się w takim razie ma do bezpieczeństwa open sourcowych języków oprogramowania i ich bibliotek, które są przecież promowane przez wielkie firmy jak np. Python ?
fajnie opowiedziałeś, pozdro
Super materiał jak zawsze, tylko "baekdor nie bekdór" :P:P
3:12 nieprawda, to że sobie coś zrobił a reszta używala nie czyni go w żaden sposób odpowiedzialnym, zresztą socjotechnika tego ataku też na tym bazowała właśnie
Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)
Aaa, klasyka.
a to nie było wtedy, gdy szły w prasie informacje, że na słońcu są wybuchy, które mogą odłączyć internet? Piękna przykrywka by była na atak.
A teraz wyobraźmy sobie, że ten ktoś, komu zależało na uzyskaniu takiego dostępu do wielu serwerów, wykazałby się jeszcze jedną niewielką ilością kreatywności i cierpliwości.
Bo ta podwójna weryfikacja klucza publicznego mogła być zrobiona w ten sposób, że nie od razu po updacie by działała, ale powiedzmy dopiero po 4-5 tygodniach by startowała.... wtedy nie byłoby na starcie tej pół-sekundy, na którą ktoś zwrócił uwagę i zaczął sprawdzać!
Mamy naprawdę szczęście, że hakerzy, kimkolwiek byli, nie byli wystarczająco kreatywni/cierpliwi i chcieli swój sukces od razu skonsumować... cóż. Już byli w ogródku, już witali się z gąską ;-)
dobra robota
Czyli jak sobie wiszę na Manjaro 6.5.13-7 to jestem bezpieczny czy jak? Czy to dotyczy wyłącznie serwerowni?
Potrzeba chyba zbanować pliki binarne w open sourcie i niech wszystko się buduję od zera. To jedyne skuteczne rozwiązanie, aby nie było możliwości przemycenia jakiś podatności, ponieważ reverse engineering każdego pliku zajmuje zbyt dużo czasu i nikomu się nie chce tego robić.
Też jestem fanem gentoo
Ciekawe czy sprawdzili także logi pozostałych komentujących nawołujących do zmiany ownera projektu… bo mogli być powiązani z tym który zmiany wprowadzał….
skąd kupiłeś koszulkę?
Bpże jak sie ciesze że nic z tego nie rozumiem. Jak pomyśle, że musiałbym wyhodować kucyka żeby ukrywać pod nim garba to mnie opuchlizna na wątrobie swędzi
Czy tylko mi się tak wydaje, że to było wiekopomne wyrażenie, porównywalne do Katastrofy w Siewieromorsku - pożaru z 13 maja 1984 r., do którego doszło w porcie floty północnej, gdzie spaliły się zapasy rakiet i broni atomowej szykowane na WWIII?
Pół sekundy to strasznie długo... Czyżby atakujący, przy całej maestrii reszty operacji, wpadli przez porównanie napisane "na odwal"? 😅
Ledwo ogarniam podstawowe zagadnienia IT, ale dobrze wiedzieć o takich rzeczach
Hej, już na początku popełniłeś pewien błąd. Lasse nie jest odpowiedzialny za działanie oprogramowania zależnego. XZ jest na licencji GPL, która mówi wprost, że używasz danego oprogramowania na własną odpowiedzialność.
Czyli na Androidzie można normalnie VPNować?
8.24 zużycia procesora? Chyba chodzi o użycia procesora.
8:58 chyba raczej chodziło o tarballe ze źródłami w odróżnieniu od pobierania przez Gita (lub tarballi, które Github automatycznie generuje z gitowego źródła)
przecież żadna poażna dystrybucja nie wzięła tego do wersji stabilnej. a produkcje trzymać na experimentalach... no cóż.
To samo miałem na myśli "koniec świata , koniec świata , koniec świata"... really ?! Chyba dla amatorów.
Pracownik Microsoft uratował serwery na Linux 🤣
Chyba nie bardzo się orientujesz...
Microsoft od lat używa linuksowych serwerów.
Z czego słyszałem to w Microsoft korzystają z Linuxa bo windows tak zbiera dane i je udostępnia ponad 800 firmą że sami nie chcą tego używać 😅
Póki co na dzień dzisiejszy za takimi działaniami po jednej i po drugiej stronie stoi człowiek ze wszystkimi swoimi słabościami i jak widać na tym przykładzie to różnie się to kończy. Niebawem sytuacja się odmieni. AI + komputery kwantowe zrobią wszystko bez naszego niepożądanego udziału. Nastąpi to szybciej niż nam się wydaje.
*_Kto dziś robi DKPLC?_*
_Jako dinozaur komputerowy czasem sobie disasembluję kody MIPSa i MIPSela by zobaczyć nieznaczne różnice._
Szanuje
Była kiedyś też historia z PHP i próbą dodania Backdoor'a
Siema byku, słuchałem Cię dzisiaj w RMF24
o/