Jak pół sekundy uratowało świat przed zagładą?

Słucha się jak kryminału ;)

Czyli cały internet wisi na jednym gościu zwanym Lasse, któremu nikt nie płaci za robotę? Słodkie. 😎🤣🙈

Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku.
Dziękuję za kolejną świetną opowieść.

Bardzo ciekawe. Choć zrozumiałem z 5% z tego co mówisz.
Dzięki, że się dzielisz taką wiedzą (w nomen omen w swoim wolnym czasie😉)

Bardzo fajnie się tego słuchało. Brawa dla osoby piszącej te teksty.

Dzięki za swoje materiały.
Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka

To jest absolutnie niesamowite.
Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie.
Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo.
Dzięki za opracowanie!

Oglądałem kiedyś wywiad z Masą - takim gangsterem.
Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji.
Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk).
Rozumiesz do czego zmierzam?
Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku.
Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉
No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja?
Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem?
Takie tam przemyślenia...
Dzięki Mateusz za jak zawsze mega materiał! 👍

jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia

Fajna koszulka.

Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource

Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów.
Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa

1 piwiczak pokrzyzował plany illuminati z cyberlockdownem xD

Jak Mati wytłumaczy to nie ma trojana we wsi 💪

Nie mam zielonego pojęcia o materii, słuchałem zaś z zaciekawieniem
Gratulacje, wyrósł nam drugi Wołoszański :)

Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.

Niewiele zrozumiałem, ale słuchałem z zapartym tchem. Bardzo interesujące.

Świetny materiał Dziękuję za dobrą robotę

I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)

Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.

Piękny i przerażający film :D Brawo

Zajebiscie powiedziane. Dziekuje!

Świetnie przedstawiona historia. Niesamowicie opowiedziałeś : ) Będę miał dobrą historię dla dzieci przed snem :)

To był najpoważniejszy dotąd atak _o_jakim_wiemy_.

Kolejny świetny materiał, pozdrawiam.

Nie mam pojęcia o czym mówisz ale tak zajebiście opowiadasz że super się słucha. 👍👍👍

Czekałem na ten film 💜

Extra odcinek. Jam tylko laik z bezpieki ale aż mi tętno i ciśnienie wzrosło :)

Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)

Świetny materiał Mateusz! :)

Bardzo ciekawy odcinek dzięki ❤🎉

Bardzo ciekawe i jednocześnie straszne. Super odcinek

Bardzo ciekawe dzieki Mati 🙂

Świetny materiał. Leci sub

Świetny materiał :)

Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D
A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota

Genialne są te twoje materiały. Mateuszu pisz trylogię sensacyjna o tematyce, na który się znasz. Kupuje w przed sprzedaży.

Bardzo dobry materiał 👏👏👏

Grubo! W obecnych czasach faktycznie nie ma pewności czy to Izrael czy może Rosjanie.

brawo za materiał! :)

Świetny materiał.

Bardzo ciekawy material.

Super materiał ❤

🤖 No to gruuuubo. A choć tego nie kumam zbytnio, to wydawało mi się że zrozumiałem ten wykład. 😉🤗

Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun!
(No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)

Z tego co się orientuję, to podatność była w debianie sid - którego jak wiemy nie powinno się używać na produkcji.

Nic nie panimaju w tym wszystkim, ale poziom powalający z nóg!

Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)

Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia

To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse.
Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.

Pracownik Microsoft uratował serwery na Linux 🤣

Swietny materiał, polecam każdemu.

Ależ znakomity materiał. Jestem zwykłym szarym zjadaczem internetu i słuchałem niczym fragmentu thrillera science-fiction. Wspaniale nagranie!
Gratuluję i dziękuję.

Grubo! To się nadaje jako materiał na pełnometrażowy thriller szpiegowski.

genialne podsumowanie

ten kanał to jest złoto...

Fascynujące. Słuchałam 2x,niewiele zrozumiałam 🤪

dobra historia, ciekawy scenariusz na film

Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu.
Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅

Jak zwykle genialny materiał. Jestem zawsze pewien podziwu dla ludzi, geeków którzy nie mogą spać po nocy wiedząc, że coś potrwało o 500ms za długo 😆

to jest materiał na film sensacyjny😮

Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤
Dzięki za ciekawy materiał!

Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić

skąd kupiłeś koszulkę?

A jak to się w takim razie ma do bezpieczeństwa open sourcowych języków oprogramowania i ich bibliotek, które są przecież promowane przez wielkie firmy jak np. Python ?

Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł

Ktoś obeznany mógłby mi wytłumaczyć po co biblioteczka która od prehistorii implementuje ustandaryzowany algorytm kompresji w ogóle potrzebuje ciągłego aktualizowania?

Wow. Dla zasięgów.

LOL :D dobrze ze moje SSH nie są dostępne publicznie od tak z sieci ;) ale przeraża skala zjawiska i możliwy armageddon :D

widze ze nie tylko ja mam wrazenie "Sensacji..." i kryminału :D slucha sie genialnie ;)

Temat ciekawy, ale to Ty Mateuszu - Ty umiesz opowiadać!

Robisz świetną robotę

dobra robota

Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.

fajnie opowiedziałeś, pozdro

Super materiał jak zawsze, tylko "baekdor nie bekdór" :P:P

Ledwo ogarniam podstawowe zagadnienia IT, ale dobrze wiedzieć o takich rzeczach

bardzo ciekawe

gruby temat, myślałem, ze to będzie kolejny materiał w necie o niedokonanym ataku atomowym miedzy rosją a usa 😂

Czyli jak sobie wiszę na Manjaro 6.5.13-7 to jestem bezpieczny czy jak? Czy to dotyczy wyłącznie serwerowni?

Pół sekundy to strasznie długo... Czyżby atakujący, przy całej maestrii reszty operacji, wpadli przez porównanie napisane "na odwal"? 😅

W takich chwilach przypomina mi sie Mr. Robot

Opowiesz coś kiedyś o BSD, albo BeOS/Haiku :)?

fajnie pomyślany atak, ciekawe ilu ludzi w tym maczało "paluszki"

Udało się, ale za to z Windowsem może być problem. Grupa od omawianego backdoora wprowadzała "poprawki" do libarchive, który jest wykorzystywany w Windows 11. Już wiadomo, że zamienili bezpieczną funkcję obsługującą łańcuchy znakowe na funkcję, przez którą może dojść do przepełnienia bufora. To wszystko z git, a co dodali do archiwów? Tykająca bomba, ale to dobrze, bo nikt poważny nie powinien używać Windowsa do poważnych rzeczy.

Nieźle :)

Ciekawe czy sprawdzili także logi pozostałych komentujących nawołujących do zmiany ownera projektu… bo mogli być powiązani z tym który zmiany wprowadzał….

Czy tylko mi się tak wydaje, że to było wiekopomne wyrażenie, porównywalne do Katastrofy w Siewieromorsku - pożaru z 13 maja 1984 r., do którego doszło w porcie floty północnej, gdzie spaliły się zapasy rakiet i broni atomowej szykowane na WWIII?

Piękny kadr na bluebox 😮

Póki co na dzień dzisiejszy za takimi działaniami po jednej i po drugiej stronie stoi człowiek ze wszystkimi swoimi słabościami i jak widać na tym przykładzie to różnie się to kończy. Niebawem sytuacja się odmieni. AI + komputery kwantowe zrobią wszystko bez naszego niepożądanego udziału. Nastąpi to szybciej niż nam się wydaje.

Potrzeba chyba zbanować pliki binarne w open sourcie i niech wszystko się buduję od zera. To jedyne skuteczne rozwiązanie, aby nie było możliwości przemycenia jakiś podatności, ponieważ reverse engineering każdego pliku zajmuje zbyt dużo czasu i nikomu się nie chce tego robić.

*_Kto dziś robi DKPLC?_*
_Jako dinozaur komputerowy czasem sobie disasembluję kody MIPSa i MIPSela by zobaczyć nieznaczne różnice._

Czy tylko ja mam tak ze nic z tego nie zrozumialem ale i tak mi się podobało? :-)

Teraz już wszyscy wiemy, że żyjemy w "Matrix'e". Jestem programistą. Zaczynałem, gdy "super komputer" miał 32kB RAM...
P.S. Co do używania obcych bibliotek, to zawsze staram się do nich zajrzeć 😎. Jak mi się coś w niej nie podoba, to piszę własną,

śmiechłem mocno z koszulki xD

Siema byku, słuchałem Cię dzisiaj w RMF24

👍👍👍

co to za model monitorów, widzę, że benQ, ale nic poza tym, z gory dzieki! :)

To był prawdziwy Śmingus-Dyngus dla adminów.

Była kiedyś też historia z PHP i próbą dodania Backdoor'a