lo so che una roba del genere sarebbe un casino ma sarebbe figo se qualcuno facesse un video dove spiega e riproduce uno alla volta tutti i passagi tecnici della creazione della backdoor tipo cifratura del payload, generazione delle chiavi, ifunc ecc per poi arrivare a fare una demo funzionante con una vm di test
Interessante. Però questa back door doveva avere qualche bugs. Rendere così lento l'accesso al titolare dell' account per poi farsi scoprire... Mah. Sono curioso di sentire le prossime news a riguardo.
Gentoo è speciale perché con emerge sostanzialmente compila ogni pacchetto e non usa i compilati. Immagino sia per questo che pur includendo una versione compromessa di XZ, non aveva la backdoor. Sarebbe interessante un approfondimento su Gentoo
Non credo che sia per quello, visto che le release erano sempre sorgenti da compilare. Se emerge prende i sorgenti dal branch master (non credo, visto che non sono stabili), allora va bene. Ma se prende le release dai tar su github (che sono sempre sorgenti), allora c'era il pericolo. Visto che loro compilano sshd senza systemd-notify, allora se la sono scappata in questo modo XD
Correggimi se dico una sciocchezza: sono state colpite per lo più le rolling release e le beta. Se consideri che questa backdoor ha senso di funzionalità esclusivamente per i server con SSH esposto pubblicamente e che questi tipi di server, a logica, non usano beta o rolling release, nessuno ha subito un reale danno...
e dopo questa storia io mi sono ritrovato sulla mia opensuse più di 3000 pacchetti da aggiornare, praticamente hanno ricostruito l'intera distribuzione azz
Beh, sono state colpite per lo più le Rolling release e le beta. Se consideri che questa backdoor ha senso di funzionalità esclusivamente per i server con SSH esposto pubblicamente e che questi tipi di server, a logica, non usano beta o rolling release, nessuno ha subito un reale problema...
Molto bravo, sei riuscito a rendere chiaro l'argomento facendone capire la complessità.
Aspetto con estremo interesse la puntata su ciò che si sta ancora scoprendo, nel frattempo, grazie!
lo so che una roba del genere sarebbe un casino ma sarebbe figo se qualcuno facesse un video dove spiega e riproduce uno alla volta tutti i passagi tecnici della creazione della backdoor tipo cifratura del payload, generazione delle chiavi, ifunc ecc per poi arrivare a fare una demo funzionante con una vm di test
Interessante. Però questa back door doveva avere qualche bugs.
Rendere così lento l'accesso al titolare dell' account per poi farsi scoprire... Mah.
Sono curioso di sentire le prossime news a riguardo.
Gentoo è speciale perché con emerge sostanzialmente compila ogni pacchetto e non usa i compilati. Immagino sia per questo che pur includendo una versione compromessa di XZ, non aveva la backdoor. Sarebbe interessante un approfondimento su Gentoo
Non credo che sia per quello, visto che le release erano sempre sorgenti da compilare. Se emerge prende i sorgenti dal branch master (non credo, visto che non sono stabili), allora va bene. Ma se prende le release dai tar su github (che sono sempre sorgenti), allora c'era il pericolo. Visto che loro compilano sshd senza systemd-notify, allora se la sono scappata in questo modo XD
Correggimi se dico una sciocchezza: sono state colpite per lo più le rolling release e le beta. Se consideri che questa backdoor ha senso di funzionalità esclusivamente per i server con SSH esposto pubblicamente e che questi tipi di server, a logica, non usano beta o rolling release, nessuno ha subito un reale danno...
secondo alcuni questa vulnerabilità potrebbe essere stata pensata e operata da un governo in particolare, non credo siano in pochi.
e dopo questa storia io mi sono ritrovato sulla mia opensuse più di 3000 pacchetti da aggiornare, praticamente hanno ricostruito l'intera distribuzione azz
Beh, sono state colpite per lo più le Rolling release e le beta. Se consideri che questa backdoor ha senso di funzionalità esclusivamente per i server con SSH esposto pubblicamente e che questi tipi di server, a logica, non usano beta o rolling release, nessuno ha subito un reale problema...
Ma ormai lo sanno anche i sassi su...
Illuminaci con quell'occhio!