Słucha się jak kryminału ;)

Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku. Dziękuję za kolejną świetną opowieść.

Bardzo fajnie się tego słuchało. Brawa dla osoby piszącej te teksty.

Czyli cały internet wisi na jednym gościu zwanym Lasse, któremu nikt nie płaci za robotę? Słodkie. 😎🤣🙈

Bardzo ciekawe. Choć zrozumiałem z 5% z tego co mówisz. Dzięki, że się dzielisz taką wiedzą (w nomen omen w swoim wolnym czasie😉)

Dzięki za swoje materiały. Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka

jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia

To jest absolutnie niesamowite. Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie. Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo. Dzięki za opracowanie!

Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource

Oglądałem kiedyś wywiad z Masą - takim gangsterem. Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji. Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk). Rozumiesz do czego zmierzam? Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku. Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉 No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem? Takie tam przemyślenia... Dzięki Mateusz za jak zawsze mega materiał! 👍

Jak Mati wytłumaczy to nie ma trojana we wsi 💪

Fajna koszulka.

Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów. Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa

Niewiele zrozumiałem, ale słuchałem z zapartym tchem. Bardzo interesujące.

Nie mam zielonego pojęcia o materii, słuchałem zaś z zaciekawieniem Gratulacje, wyrósł nam drugi Wołoszański :)

Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.

I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)

Ależ to dobre - fajnie opowiedziane, doskonale wytłumaczone, historia niesamowita. Dzięki!

Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.

1 piwiczak pokrzyzował plany illuminati z cyberlockdownem xD

Zajebiscie powiedziane. Dziekuje!

Świetny materiał Dziękuję za dobrą robotę

Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun! (No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)

Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)

To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse. Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.

Nie mam pojęcia o czym mówisz ale tak zajebiście opowiadasz że super się słucha. 👍👍👍

Czekałem na ten film 💜

To był najpoważniejszy dotąd atak _o_jakim_wiemy_.

Ależ znakomity materiał. Jestem zwykłym szarym zjadaczem internetu i słuchałem niczym fragmentu thrillera science-fiction. Wspaniale nagranie! Gratuluję i dziękuję.

ten kanał to jest złoto...

Genialne są te twoje materiały. Mateuszu pisz trylogię sensacyjna o tematyce, na który się znasz. Kupuje w przed sprzedaży.

Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤ Dzięki za ciekawy materiał!

Świetnie przedstawiona historia. Niesamowicie opowiedziałeś : ) Będę miał dobrą historię dla dzieci przed snem :)

Grubo! W obecnych czasach faktycznie nie ma pewności czy to Izrael czy może Rosjanie.

Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia

Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota

Mateusz, nie znam drugiego takiego człowieka jak Ty. NIC nie rozumiem, a słucham z gęsią skórką.

Z tego co się orientuję, to podatność była w debianie sid - którego jak wiemy nie powinno się używać na produkcji.

Bardzo ciekawe i jednocześnie straszne. Super odcinek

Piękny i przerażający film :D Brawo

Nic nie panimaju w tym wszystkim, ale poziom powalający z nóg!

Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić

Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł

Świetny materiał.

Świetny materiał :)

Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.

Extra odcinek. Jam tylko laik z bezpieki ale aż mi tętno i ciśnienie wzrosło :)

Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu. Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅

Temat ciekawy, ale to Ty Mateuszu - Ty umiesz opowiadać!

Grubo! To się nadaje jako materiał na pełnometrażowy thriller szpiegowski.

Jak zwykle genialny materiał. Jestem zawsze pewien podziwu dla ludzi, geeków którzy nie mogą spać po nocy wiedząc, że coś potrwało o 500ms za długo 😆

Bardzo ciekawe dzieki Mati 🙂

to jest materiał na film sensacyjny😮

Kolejny świetny materiał, pozdrawiam.

Swietny materiał, polecam każdemu.

Udało się utrzymać skupienie przez 24min. teraz nie wiem czy mam być dumny z samego siebie czy Ci pogratulować, a programistą nie jestem (raczej od lutownicy i wkrętaka) Pozdrawiam

Bardzo dobry materiał 👏👏👏

Świetny materiał Mateusz! :)

brawo za materiał! :)

🤖 No to gruuuubo. A choć tego nie kumam zbytnio, to wydawało mi się że zrozumiałem ten wykład. 😉🤗

Fascynujące. Słuchałam 2x,niewiele zrozumiałam 🤪

Póki co na dzień dzisiejszy za takimi działaniami po jednej i po drugiej stronie stoi człowiek ze wszystkimi swoimi słabościami i jak widać na tym przykładzie to różnie się to kończy. Niebawem sytuacja się odmieni. AI + komputery kwantowe zrobią wszystko bez naszego niepożądanego udziału. Nastąpi to szybciej niż nam się wydaje.

Pracownik Microsoft uratował serwery na Linux 🤣

Super materiał ❤

Świetny materiał. Leci sub

Ktoś obeznany mógłby mi wytłumaczyć po co biblioteczka która od prehistorii implementuje ustandaryzowany algorytm kompresji w ogóle potrzebuje ciągłego aktualizowania?

dobra historia, ciekawy scenariusz na film

Pół sekundy to strasznie długo... Czyżby atakujący, przy całej maestrii reszty operacji, wpadli przez porównanie napisane "na odwal"? 😅

Potrzeba chyba zbanować pliki binarne w open sourcie i niech wszystko się buduję od zera. To jedyne skuteczne rozwiązanie, aby nie było możliwości przemycenia jakiś podatności, ponieważ reverse engineering każdego pliku zajmuje zbyt dużo czasu i nikomu się nie chce tego robić.

a to nie było wtedy, gdy szły w prasie informacje, że na słońcu są wybuchy, które mogą odłączyć internet? Piękna przykrywka by była na atak.

Bardzo ciekawy material.

Bardzo ciekawy odcinek dzięki ❤🎉

Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)

Czy tylko mi się tak wydaje, że to było wiekopomne wyrażenie, porównywalne do Katastrofy w Siewieromorsku - pożaru z 13 maja 1984 r., do którego doszło w porcie floty północnej, gdzie spaliły się zapasy rakiet i broni atomowej szykowane na WWIII?

*_Kto dziś robi DKPLC?_* _Jako dinozaur komputerowy czasem sobie disasembluję kody MIPSa i MIPSela by zobaczyć nieznaczne różnice._

Ledwo ogarniam podstawowe zagadnienia IT, ale dobrze wiedzieć o takich rzeczach

A teraz wyobraźmy sobie, że ten ktoś, komu zależało na uzyskaniu takiego dostępu do wielu serwerów, wykazałby się jeszcze jedną niewielką ilością kreatywności i cierpliwości. Bo ta podwójna weryfikacja klucza publicznego mogła być zrobiona w ten sposób, że nie od razu po updacie by działała, ale powiedzmy dopiero po 4-5 tygodniach by startowała.... wtedy nie byłoby na starcie tej pół-sekundy, na którą ktoś zwrócił uwagę i zaczął sprawdzać! Mamy naprawdę szczęście, że hakerzy, kimkolwiek byli, nie byli wystarczająco kreatywni/cierpliwi i chcieli swój sukces od razu skonsumować... cóż. Już byli w ogródku, już witali się z gąską ;-)

Ciekawe czy sprawdzili także logi pozostałych komentujących nawołujących do zmiany ownera projektu… bo mogli być powiązani z tym który zmiany wprowadzał….

W takich chwilach przypomina mi sie Mr. Robot

gruby temat, myślałem, ze to będzie kolejny materiał w necie o niedokonanym ataku atomowym miedzy rosją a usa 😂

genialne podsumowanie

przecież żadna poażna dystrybucja nie wzięła tego do wersji stabilnej. a produkcje trzymać na experimentalach... no cóż.

Nie że sieje teorie spiskowe, ale jak za tym stał wywiad jakiegoś kraju, to wspomniane mental issues to dla takich graczy bardzo prosta do zorganizowania sprawa. Tak „zająć” developera żeby nie myśl już czasu i podsunąć mu „wybawienie” w postaci następcy…

widze ze nie tylko ja mam wrazenie "Sensacji..." i kryminału :D slucha sie genialnie ;)

LOL :D dobrze ze moje SSH nie są dostępne publicznie od tak z sieci ;) ale przeraża skala zjawiska i możliwy armageddon :D

Wow. Dla zasięgów.

Super ciekawe :-)

fajnie pomyślany atak, ciekawe ilu ludzi w tym maczało "paluszki"

Czyli jak sobie wiszę na Manjaro 6.5.13-7 to jestem bezpieczny czy jak? Czy to dotyczy wyłącznie serwerowni?

Hej, już na początku popełniłeś pewien błąd. Lasse nie jest odpowiedzialny za działanie oprogramowania zależnego. XZ jest na licencji GPL, która mówi wprost, że używasz danego oprogramowania na własną odpowiedzialność.

Robisz świetną robotę

Bpże jak sie ciesze że nic z tego nie rozumiem. Jak pomyśle, że musiałbym wyhodować kucyka żeby ukrywać pod nim garba to mnie opuchlizna na wątrobie swędzi

Słuchanie tego podkastu w pracy powinno być obowiązkowe;)

Władzy nad światem nie przejmuje się robiąc end game, no bo można zrobić end game ale co potem? władze nad światem przejmuje się przesuwają świat na kolejny etap rozwoju na którym twoja władza jest większa, masz do dyspozycji komputery ale nie używasz ich bezpośrednio do walki z tymi którzy ich nie maja, tworzysz świat wykorzystujący komputery a ty zdobywasz dużo władzy, kiedy wszyscy już mają komputery to ty masz AI i znowu nie robisz end game, tworzysz świat oparty o AI , a twoja władza jest jeszcze większa niż w świecie z samymi komputerami, kiedy wszyscy już będą mieli AI to ty będziesz miał coś jeszcze bardziej potężnego i tak dekada po dekadzie, technologia po technologii bierzesz do końca cała władzę

A jak to się w takim razie ma do bezpieczeństwa open sourcowych języków oprogramowania i ich bibliotek, które są przecież promowane przez wielkie firmy jak np. Python ?

Siema byku, słuchałem Cię dzisiaj w RMF24

Zapewne bardzo ciekawe. Ale chyba tylko dla programistów i osób wiedzących o co chodzi. Absolutnie tego nie krytykuję, bo jest tak, jak autor chce (co jest normalne). Ja niestety, mimo że siedzę w IT, nic z tego nie zrozumiałem, programowanie to nie moja działka. Ale widzę pasję w opowiadaniu o linijkach kodu i to cenię.

Podobno TrueCrypt przez to upadl, bo duze firmy zaczely od nich wymagac roznych dziwnych rzeczy za nic nie placac. A truecrypta nie bylo stac na prawnikow jakby cos zlego siie stalo. Ale to "tylko" oficjalna wersja, sa tez takie w stylu conspiracy theory. Inny bardzo ciekawy temat to Stuxnet, tam bylo prawie jak u jemsa bonda (no prawie) :D

Była kiedyś też historia z PHP i próbą dodania Backdoor'a

Furtka jak furtka, były, są i pewnie będą. Póki "służby" mają to w łapach to w zależności od narodowości służb zagrożenie dla chlebojadów (jak ja) jest minimalne. Co nie zmienia powagi sytuacji i świadczy źle o naszej (ludzkiej) mentalności.