@@panhuragan4388Serio? 15:48 tutaj masz w 45 sek wyjaśnione. Dane logowania admina do każdego serwera były podsłuchane. Tylko tyle i aż tyle. A potem? No cóż...kwestia wyobraźni.
Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku. Dziękuję za kolejną świetną opowieść.
@@elaela6312 No to brawo Ty. Ja tylko kontekst. Ale gdzie on to w kodzie i jak pochował ni huhu. Ani w jakim protokole/repozytorium itp. Ja nawet nie amator w linuxie.
Bezos, Gates, Musk i wszystkie wielkie korporacje w stylu BlackRock ustawiają się w kolejce by mu dokopać za straty finansowe które mogły by ich dotknąć. A które nie dały centa by mógł zatrudnić kogoś do pomocy w projekcie. 😂
Oglądałem kiedyś wywiad z Masą - takim gangsterem. Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji. Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk). Rozumiesz do czego zmierzam? Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku. Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉 No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem? Takie tam przemyślenia... Dzięki Mateusz za jak zawsze mega materiał! 👍
> Jak producenci (...) sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja? xD widzę kolega nowy w branży;d polecam poszukać historii sprzed dwóch lat dla słów kluczowych "BIG sabotage: Famous npm package deletes files to protest Ukraine war" wiem że było tego więcej związanego z wojną właśnie ale to mi utkwiło w pamięci.
@@lis6502 To było raczej pytanie retoryczne / jako trigger do przemyśleń. Ale tego tematu o node-ipc faktycnie nie znałem - mocna rzecz! Dzięki za podrzucenie. Jeśli miałbyś więcej takich case'ów pod ręką, to chętnie uzupełnię wiedzę w tym obszarze. Dzięki za odpowiedź :)
@@CarsterPl nie ma sprawy. Jakoś nie zbieram tego namiętnie, ot czasem coś ciekawego wpadnie. Ale to dość powszechny model że bigtech czerpie garściami ze świata floss, np na stronie domowej curl'a w sekcji dokumentacji znajdziesz plik companies.html, polecam zajrzeć. Mateusz też w opisie dał bardzo wymowny i smutny w gruncie rzeczy komiks XKCD numer 2347 i jako ktoś kto z niejednego e-pieca chleb jadł potwierdzam, tak się buduje komercyjny soft.
Dzięki za swoje materiały. Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka
jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia
Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource
To jest absolutnie niesamowite. Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie. Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo. Dzięki za opracowanie!
I co by to dało? Przecież to wszystko było sprytnie ukryte. I niby czemu społeczność Open Source ma się bliżej przyglądać?? Co masz na myśli społeczność Open source? Jakaś organizacja czy człowiek hobbysta który za darmo sobie czyta kod go kontrolując czy nie ma błędów?? Tutaj nie jest problem przyglądania się jakiejś społeczności tylko problem w tym że całe SSH stoi na bibliotece tworzonej przez jednego człowieka, a korporacje korzystające z SSH nawet groszem nie wesprą twórcy ani sami nie pomogą z projektem np. przeglądając regularnie kod, czy pomagając rozwijać projekt. Możnaby nawet wyznaczyć/zatrudnić taką osobę w firmie do tego, albo zwyczajnie wesprzeć dotacją człowieka odpowiedzialnego za rozwój. Środowisko linuksowe GNOME dostało dotację chyba milion dolarów i chyba dodali ładne animacje do środowiska i nie potrzebowali nawet tak tej dotacji jak wiele projektów jak ten, który jest ważniejszy jak jakieś dodatkowe animacje do pulpitu.
I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)
Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów. Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa
konia zrzędę temu kto w tak generowanych plikach doszukiwałby się exploita;] testów się nie podejrzewa, testów się nie robi. Kolejny atak z cyku "surprise motherfucker" będzie zaszyty w dokumentacji i będzie się składał ze skryptu czytającego pliki translacyjne do języka Suomi.
@@MateuszChrobok Ken Thompson pisał gdzieś w latach 70-tych, że od kiedy programuje Unixa w C od tego momentu nigdy nie wiadomo co ktoś doklei na etapie kompilacji jeśli zostanie zmodyfikowany kompilator. To tylko ciekawostka taka. Kto z nas panuje całkowicie na używanym toolchainem i zależnościami. Ja nie znam
@@jaroslaww7764 Proszę, podaj źródło, bo jest to nieprawdopodobne. Lata 70-te to czasy asemblerów. C powstał z myślą bycia "portable assembler", żeby Unix mógł działać na wszystkim. I nie, ZAWSZE wiadomo co "ktoś dokleja" na etapie kompilacji. Jeśli tego nie wiesz, to nie wiesz jak działa twój toolchain i/lub build system. Szczerze wątpię, by ekspert pokroju K.T. wypowiedział kiedykolwiek te słowa w takim kontekście.
Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.
Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)
@@bogaczew cóż Mitnick działał w dużo "prostszym" środowisku, wiedz na temat takiego "hackowania" ludzi była zupełnie inna. Tu mamy zaplanowane długoterminowe działanie ale nadal opierające się na zdobyciu zaufania "celu" korzystając z socjotechniki
Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.
@@E.Wolfdale nie przesadzaj korpo zatrudniło gościa by mogli użyć darmowego kodu w swoich projektach i potem na tym zarabiać. Jego zasługa w porównaniu z innymi, w innych korpo którym to zwisa, jest taka, że myślał.
To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse. Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.
Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun! (No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)
Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota
Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)
Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia
Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić
Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤ Dzięki za ciekawy materiał!
Ktoś obeznany mógłby mi wytłumaczyć po co biblioteczka która od prehistorii implementuje ustandaryzowany algorytm kompresji w ogóle potrzebuje ciągłego aktualizowania?
Naprawa błędów głównie, czasem nowe funkcje które mogą się przydać. Oczywiście niektóre potrzebują mniej ale bardzo rzadko zdarza się że nie musisz nigdy aktualizować
Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł
Takie rozwiązanie byłoby dużo łatwiejsze do wykrycia bo ten dodatkowy proces po pierwsze sam w sobie w wzbudził podejrzenie po drugie musiałby nasłuchiwać na osobnym porcie albo samemu się łączyć ze wskazanym serwerem. W obu przypadkach by to mogło nie przejść przez firewall i zostać łatwiej wykryte w jakimś audycie
Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu. Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅
Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.
@@SlawcioD Mógł, ale to by była pewna nowość w sposobach działania chińskiego wywiadu. wbrew pozorom dobra praktyka wywiadowcza polega na zacieraniu śladów, a nie na tworzeniu zagadki w zagadkach.
Udało się, ale za to z Windowsem może być problem. Grupa od omawianego backdoora wprowadzała "poprawki" do libarchive, który jest wykorzystywany w Windows 11. Już wiadomo, że zamienili bezpieczną funkcję obsługującą łańcuchy znakowe na funkcję, przez którą może dojść do przepełnienia bufora. To wszystko z git, a co dodali do archiwów? Tykająca bomba, ale to dobrze, bo nikt poważny nie powinien używać Windowsa do poważnych rzeczy.
24 Minuty materiału ale nie powiedziałeś jakie by były konsekwencje gdyby Jia Tan rozprowadził ten kod backdoora. Wiec materiał nie kompletny bo mialobyć wytlumaczone co by stało gdyby temu „złemu” udało się przejąć kontrolę nad światem.
Być może nie wybrzmiało ale jest tu ruclips.net/video/44HSTVBvAO4/видео.html . Chodzi o to że można by przejąć kontrolę nad wszystkimi serwerami na świecie, które by miałe zainstalowane OpenSSH + XZ (w uproszczeniu)
Władzy nad światem nie przejmuje się robiąc end game, no bo można zrobić end game ale co potem? władze nad światem przejmuje się przesuwają świat na kolejny etap rozwoju na którym twoja władza jest większa, masz do dyspozycji komputery ale nie używasz ich bezpośrednio do walki z tymi którzy ich nie maja, tworzysz świat wykorzystujący komputery a ty zdobywasz dużo władzy, kiedy wszyscy już mają komputery to ty masz AI i znowu nie robisz end game, tworzysz świat oparty o AI , a twoja władza jest jeszcze większa niż w świecie z samymi komputerami, kiedy wszyscy już będą mieli AI to ty będziesz miał coś jeszcze bardziej potężnego i tak dekada po dekadzie, technologia po technologii bierzesz do końca cała władzę
Udało się utrzymać skupienie przez 24min. teraz nie wiem czy mam być dumny z samego siebie czy Ci pogratulować, a programistą nie jestem (raczej od lutownicy i wkrętaka) Pozdrawiam
Ciekawe czy sprawdzili także logi pozostałych komentujących nawołujących do zmiany ownera projektu… bo mogli być powiązani z tym który zmiany wprowadzał….
Czy tylko mi się tak wydaje, że to było wiekopomne wyrażenie, porównywalne do Katastrofy w Siewieromorsku - pożaru z 13 maja 1984 r., do którego doszło w porcie floty północnej, gdzie spaliły się zapasy rakiet i broni atomowej szykowane na WWIII?
Hej, już na początku popełniłeś pewien błąd. Lasse nie jest odpowiedzialny za działanie oprogramowania zależnego. XZ jest na licencji GPL, która mówi wprost, że używasz danego oprogramowania na własną odpowiedzialność.
Póki co na dzień dzisiejszy za takimi działaniami po jednej i po drugiej stronie stoi człowiek ze wszystkimi swoimi słabościami i jak widać na tym przykładzie to różnie się to kończy. Niebawem sytuacja się odmieni. AI + komputery kwantowe zrobią wszystko bez naszego niepożądanego udziału. Nastąpi to szybciej niż nam się wydaje.
Potrzeba chyba zbanować pliki binarne w open sourcie i niech wszystko się buduję od zera. To jedyne skuteczne rozwiązanie, aby nie było możliwości przemycenia jakiś podatności, ponieważ reverse engineering każdego pliku zajmuje zbyt dużo czasu i nikomu się nie chce tego robić.
Słucha się jak kryminału ;)
Raczej jak: „Dzizus krajst!!! Its Dżejson Born!!!”😉
Nie dowiedziałem się po co oni to shackowali. Zgubiłem się w tym laniu wody
Sensacje XXI wieku - Bogusław Woło... wróć!
Mateusz Chrobok 😂
@@panhuragan4388Serio? 15:48 tutaj masz w 45 sek wyjaśnione. Dane logowania admina do każdego serwera były podsłuchane. Tylko tyle i aż tyle. A potem? No cóż...kwestia wyobraźni.
@@panhuragan4388 Ameryka uniknęła 3 dni ciemności
Najbardziej sensacyjne historie okazuje się, mogą się wydarzyć w niewyobrażalnie nudnym i nużącym świecie na peryferiach zdarzeń lub kodu - jak w tym przypadku.
Dziękuję za kolejną świetną opowieść.
Bardzo ciekawe. Choć zrozumiałem z 5% z tego co mówisz.
Dzięki, że się dzielisz taką wiedzą (w nomen omen w swoim wolnym czasie😉)
MoSSad
Kurczę, nie jestem programistką a wszystko zrozumiałam. Dzięki.
@@elaela6312 No to brawo Ty. Ja tylko kontekst. Ale gdzie on to w kodzie i jak pochował ni huhu. Ani w jakim protokole/repozytorium itp. Ja nawet nie amator w linuxie.
Czyli cały internet wisi na jednym gościu zwanym Lasse, któremu nikt nie płaci za robotę? Słodkie. 😎🤣🙈
its all about money Honey 🙃
Bezos, Gates, Musk i wszystkie wielkie korporacje w stylu BlackRock ustawiają się w kolejce by mu dokopać za straty finansowe które mogły by ich dotknąć. A które nie dały centa by mógł zatrudnić kogoś do pomocy w projekcie. 😂
ja to tu tylko zostawię: poszukaj 2347 xkcd. i wiedz że takich projetków jak xz jest więcej. dużo więcej.
@@zj7498 Ale tak rzeczywiście jest? Czy to żart? Czy komentarz na podstawie uprzedzeń?
@@damiansarnowski9966 Niech Ci inni wytłumaczą. Co to figura stylistyczna i jaką tu zastosowałem.
Bardzo fajnie się tego słuchało. Brawa dla osoby piszącej te teksty.
Czy to aby napewno osoba? ;)
@@robertratajczak1185 Nie no. Zespół półgłówków.
Jestem takiego samego zdania 🙃
Jak Mati wytłumaczy to nie ma trojana we wsi 💪
Oglądałem kiedyś wywiad z Masą - takim gangsterem.
Przeprowadzający wywiad pytał go o głośne przejęcie przez policję pewnego transportu pewnych nielegalnych substancji.
Odpowiedź Masy: "No, tak. Przejęli jeden transport. I co z tego? Setki albo i tysiące innych przeszły niezauważone." (nie pamiętam dokładnie cytatu, ale mniej więcej taki był jego wydźwięk).
Rozumiesz do czego zmierzam?
Chwała i cześć dla Adresa za wykrycie i znalezienie tego backdoora - to naprawdę dobrze, że społeczność się sprawdziła w tym przypadku.
Ale pytanie ile podobnych akcji jest podejmowanych i nie zostaje wykrytych. Mam nadzieję, że mało, ale podobno nadzieja matką... 😉
No i na koniec drażliwe pytanie. Jak producenci komercyjnych rozwiązań korzystających z tego całego otwartoźródłowego stacku technologicznego sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja?
Może trochę się czepiam, bo tutaj w sumie można powiedzieć że wykazał się Google. Choć pytanie na ile to co robił Andres było jego pracą (częścią procedury testowania oprogramowania z łańcucha dostaw Google), a na ile własnym zaangażowaniem?
Takie tam przemyślenia...
Dzięki Mateusz za jak zawsze mega materiał! 👍
Zacznijmy od tego że Google to CIA
YT to Google więc nie próbuj być fajny bo widać że niewiele zrozumiałeś
> Jak producenci (...) sprawdzają wszystkie biblioteki ze swojego łańcucha dostaw za każdym razem kiedy jest wprowadzana nowa wersja?
xD widzę kolega nowy w branży;d
polecam poszukać historii sprzed dwóch lat dla słów kluczowych "BIG sabotage: Famous npm package deletes files to protest Ukraine war"
wiem że było tego więcej związanego z wojną właśnie ale to mi utkwiło w pamięci.
@@bardoIX Będę miał to na uwadze pisząc coś o Google następnym razem. Dziękuję za odpowiedź i zwrócenie uwagi :)
@@lis6502 To było raczej pytanie retoryczne / jako trigger do przemyśleń. Ale tego tematu o node-ipc faktycnie nie znałem - mocna rzecz! Dzięki za podrzucenie. Jeśli miałbyś więcej takich case'ów pod ręką, to chętnie uzupełnię wiedzę w tym obszarze. Dzięki za odpowiedź :)
@@CarsterPl nie ma sprawy. Jakoś nie zbieram tego namiętnie, ot czasem coś ciekawego wpadnie. Ale to dość powszechny model że bigtech czerpie garściami ze świata floss, np na stronie domowej curl'a w sekcji dokumentacji znajdziesz plik companies.html, polecam zajrzeć. Mateusz też w opisie dał bardzo wymowny i smutny w gruncie rzeczy komiks XKCD numer 2347 i jako ktoś kto z niejednego e-pieca chleb jadł potwierdzam, tak się buduje komercyjny soft.
Dzięki za swoje materiały.
Rozumiem z nich prawie nic, jestem kurierem, nigdy nie byłem związany z IT(no może poza graniem w csa na informatyce), ale słucham tego jz napięciem jak w dobrym thrillerze. Pozdrowionka
jako admin z boskiego nadania a bezpiecznik-hobbysta szanuę w opór że uproszczenia były uzasadnione a linkownica w opisie jest dla każdego na dowolnym etapie wtajemniczenia
Kapitalny materiał. Kiedyś słyszałem podobną historię ale o jakiejś paczce do javascirptu gdzie ktoś zrobił forka z jakiegos repo, dodał back-doora i wrzucił swoją wersję pod delikatnie zmienioną nazwą, bez spacji w nazwie czy coś takiego, i dzięki temu był pierwszy w wyszukiwarce. Trzeba się pilnować jeśli chodzi o OpenSource
To jest absolutnie niesamowite.
Nie mogę uwierzyć jakie trzeba mieć hobby żeby sobie testować w wolne biblioteki na swoim testowym debianie.
Mam nadzieję, że zainspiruje to społeczność Open Source do bliższego przyglądania się swoim repo.
Dzięki za opracowanie!
I co by to dało? Przecież to wszystko było sprytnie ukryte. I niby czemu społeczność Open Source ma się bliżej przyglądać?? Co masz na myśli społeczność Open source? Jakaś organizacja czy człowiek hobbysta który za darmo sobie czyta kod go kontrolując czy nie ma błędów?? Tutaj nie jest problem przyglądania się jakiejś społeczności tylko problem w tym że całe SSH stoi na bibliotece tworzonej przez jednego człowieka, a korporacje korzystające z SSH nawet groszem nie wesprą twórcy ani sami nie pomogą z projektem np. przeglądając regularnie kod, czy pomagając rozwijać projekt. Możnaby nawet wyznaczyć/zatrudnić taką osobę w firmie do tego, albo zwyczajnie wesprzeć dotacją człowieka odpowiedzialnego za rozwój. Środowisko linuksowe GNOME dostało dotację chyba milion dolarów i chyba dodali ładne animacje do środowiska i nie potrzebowali nawet tak tej dotacji jak wiele projektów jak ten, który jest ważniejszy jak jakieś dodatkowe animacje do pulpitu.
@@prometeusz1984 co
Niewiele zrozumiałem, ale słuchałem z zapartym tchem. Bardzo interesujące.
I weź tu teraz rób na spokojnie update w swoim homelabie XD Bardzo dobrze się tego słuchało, więcej ^^ Oby mniej o atakach, ciekawe o ilu jeszcze nawet nie wiemy ;)
Homelab homelabem ale weź pod uwagę kluczowe usługi kierowane do mas ludzi :)
Fajna koszulka.
Dokładnie, team BIOTAD PLUS💪
Atak przeszedł niezauważony przez nieumiejętne obchodzenie się z binarnymi blobami. Ktoś coś dołożył, co miało wyglądać na specjalnie uszkodzone archiwum do testów.
Wiem, że łatwo post factum dywagować. Ale gdyby taki plik był podczas wykonywania testów generowany przez skrypty, problemu pewnie by nie było. Blobów w kernelu sie nie akceptuje, także z właśnie z powodów bezpieczeństwa
Ja podziwiam sam pomysł. Bo w kodzie było jak na dłoni a tak wyglądało logicznie
konia zrzędę temu kto w tak generowanych plikach doszukiwałby się exploita;] testów się nie podejrzewa, testów się nie robi. Kolejny atak z cyku "surprise motherfucker" będzie zaszyty w dokumentacji i będzie się składał ze skryptu czytającego pliki translacyjne do języka Suomi.
@@MateuszChrobok Ken Thompson pisał gdzieś w latach 70-tych, że od kiedy programuje Unixa w C od tego momentu nigdy nie wiadomo co ktoś doklei na etapie kompilacji jeśli zostanie zmodyfikowany kompilator. To tylko ciekawostka taka. Kto z nas panuje całkowicie na używanym toolchainem i zależnościami. Ja nie znam
@@jaroslaww7764 Proszę, podaj źródło, bo jest to nieprawdopodobne.
Lata 70-te to czasy asemblerów. C powstał z myślą bycia "portable assembler", żeby Unix mógł działać na wszystkim.
I nie, ZAWSZE wiadomo co "ktoś dokleja" na etapie kompilacji. Jeśli tego nie wiesz, to nie wiesz jak działa twój toolchain i/lub build system.
Szczerze wątpię, by ekspert pokroju K.T. wypowiedział kiedykolwiek te słowa w takim kontekście.
@@Momentvm Ken Thompson "Reflections on Trusting Trust " 1984
Fakt - data publikacji to jedna dekada później niż podałem, mój błąd
Ależ to dobre - fajnie opowiedziane, doskonale wytłumaczone, historia niesamowita. Dzięki!
Nie mam zielonego pojęcia o materii, słuchałem zaś z zaciekawieniem
Gratulacje, wyrósł nam drugi Wołoszański :)
Coś podobnego, ale na mniejszą skalę stało się kiedyś na jednym z największych serwerów minecrafta 2b2t. Wprowadzili oni exploit dzięki któremu mogli określić lokalizację gracza w dowolnym momencie. Nazywali to NOCOM z tego co pamiętam.
Świetny materiał Dziękuję za dobrą robotę
Zajebiscie powiedziane. Dziekuje!
Czekałem na ten film 💜
Szczerze mówiąc, spodziewałem się wcześniej ;)
Btw to nie było tylko opóźnienie tylko błędy Valgrinda.
Poza tym, OpenSSH daje radę z SysV.
Tak sobie słucham i pomijając już sam know how od strony technicznej, to sam sposób na zdobycie zaufania trochę kojarzy mi się z Kevinem Mitnickiem i jego zagrywki w czasach "świetności" ;)
dokładnie - słabość człowieka jest kluczem
w jaki sposób to podobne? Kevin miał gadane, potrafił oczarować w kilkuminutowej rozmowie, tu masz kilkuletni proces
@@bogaczew cóż Mitnick działał w dużo "prostszym" środowisku, wiedz na temat takiego "hackowania" ludzi była zupełnie inna. Tu mamy zaplanowane długoterminowe działanie ale nadal opierające się na zdobyciu zaufania "celu" korzystając z socjotechniki
Dziękuję za świetny materiał! Z podobnych głośnych historii open source warto wspomnieć "The Heartbleed Bug" ... też ogólnie idealiści oddają swoją pracę za darmo, reszta nie docenia, tylko co najwyżej wyrzuty. Z kompresją sytuacja się poprawia - raczej już dominują rozwijane przez duże zespoły, jak zstd czy JPEG XL.
Piękny i przerażający film :D Brawo
Świetnie przedstawiona historia. Niesamowicie opowiedziałeś : ) Będę miał dobrą historię dla dzieci przed snem :)
1 piwiczak pokrzyzował plany illuminati z cyberlockdownem xD
Heros naszych czasów.
A zwał się Andres Freund 💪
Tak, piwniczak pracujący dla MS za kasę MS używający w ich projektach "wolnego oprogramowania". Przynajmniej taki był jego wkład.
@@E.Wolfdale nie przesadzaj korpo zatrudniło gościa by mogli użyć darmowego kodu w swoich projektach i potem na tym zarabiać. Jego zasługa w porównaniu z innymi, w innych korpo którym to zwisa, jest taka, że myślał.
@@zj7498 wypełnianie obowiązków moim zdaniem nie powinno zmniejszać zasług.
Nie mam pojęcia o czym mówisz ale tak zajebiście opowiadasz że super się słucha. 👍👍👍
To teraz ciekawe ilu jeszcze twórców pada łupem takiego profilowania, jak Lasse.
Ile projektów zostało zinfiltrowanych i przejętych przez służby/organizacje? Łatwo sobie wyobrazić jakiś genialny/udany projekt, który szybko zyskuje uznanie, a potem dzieją się w nim dziwne rzeczy, które zbierają niezłe żniwo. ot, Murderfs też miał taki potencjał.
To był najpoważniejszy dotąd atak _o_jakim_wiemy_.
Bardzo ciekawe i jednocześnie straszne. Super odcinek
Genialne są te twoje materiały. Mateuszu pisz trylogię sensacyjna o tematyce, na który się znasz. Kupuje w przed sprzedaży.
Jak ja cenię takich ludzi, którzy nie potrafią spać po nocach jak im "500ms" nie pasuje do tego co już wiedzą o świecie. Szacun!
(No i wielkie wyrazy ubolewania dla tych, którzy stojąc przy wiekopomnych odkryciach, woleli je "kopnąć pod szafę" bo nie pasowały im do tego, co już wiedzieli o świecie...)
Extra odcinek. Jam tylko laik z bezpieki ale aż mi tętno i ciśnienie wzrosło :)
Z technikaliów nawet ledwo kojarzę czym jest GitHuB. Ale wytłumaczone na tyle jasno, że zrozumiałem główny sens, więc niesamowite :D
A i nie ma clicbaitowego tytułu co jest mega rzadkością, mega robota
ten kanał to jest złoto...
Świetny materiał.
Temat ciekawy, ale to Ty Mateuszu - Ty umiesz opowiadać!
Mateusz, nie znam drugiego takiego człowieka jak Ty. NIC nie rozumiem, a słucham z gęsią skórką.
Z tego co się orientuję, to podatność była w debianie sid - którego jak wiemy nie powinno się używać na produkcji.
Ludziska! Dawać łapki w górę pod filmem bo może go to nakręci do dalszego działania i rozwoju! Ja ze swojej strony mogę ukręcić sałatkę jarzynową. Albo solnik mogę zrobić, taki tradycyjny :)
Aaa, klasyka.
Ależ znakomity materiał. Jestem zwykłym szarym zjadaczem internetu i słuchałem niczym fragmentu thrillera science-fiction. Wspaniale nagranie!
Gratuluję i dziękuję.
Ciekawe ile jest takich niewykrytych backdooró wprowadzonych w podobny sposób :P Bo skoro tutaj udało się to wykryć przez właściwie przypadek, to jest dość duża szansa że w wielu innych bibliotekach nie było tyle szczęścia
Kolejny świetny materiał, pozdrawiam.
Grubo! W obecnych czasach faktycznie nie ma pewności czy to Izrael czy może Rosjanie.
Świetny materiał :)
Świetny materiał Mateusz! :)
Nic nie panimaju w tym wszystkim, ale poziom powalający z nóg!
Bardzo ciekawe dzieki Mati 🙂
Pracownik Microsoft uratował serwery na Linux 🤣
Chyba nie bardzo się orientujesz...
Microsoft od lat używa linuksowych serwerów.
Z czego słyszałem to w Microsoft korzystają z Linuxa bo windows tak zbiera dane i je udostępnia ponad 800 firmą że sami nie chcą tego używać 😅
Super ciekawe :-)
Ja też zauważyłem dłuższe logowanie się do mojego domowego serwera ale nie zwróciłem na to uwagi fajnie by było jakbyś nagrał film jak przywrócić starszą wersję tej biblioteki bo może niektórzy nie będą tego umieli zrobić
Bardzo dobry materiał 👏👏👏
brawo za materiał! :)
Świetny materiał. Leci sub
Super materiał ❤
Grubo! To się nadaje jako materiał na pełnometrażowy thriller szpiegowski.
Czytam komentarze i stwierdzam, że nie jestem tu sam - jest jeszcze kilkanaście osób co siedzą jak na tureckim kazaniu ale oglądają zawzięcie 😂❤
Dzięki za ciekawy materiał!
Bardzo ciekawy material.
Ktoś obeznany mógłby mi wytłumaczyć po co biblioteczka która od prehistorii implementuje ustandaryzowany algorytm kompresji w ogóle potrzebuje ciągłego aktualizowania?
Naprawa błędów głównie, czasem nowe funkcje które mogą się przydać. Oczywiście niektóre potrzebują mniej ale bardzo rzadko zdarza się że nie musisz nigdy aktualizować
Kurcze genialna sprawa. Gdybym miał coś takiego zrobić to raczej postawiłbym na otwarcie osobnego procesu/sesji dla atakującego żeby normalny użytkownik się nie połapał. Ciekawe czy ktoś już wpadł na taki pomysł
Myślę że jak ty wpadłeś to ktoś dawno wpadł, tak to właśnie wygląda
Takie rozwiązanie byłoby dużo łatwiejsze do wykrycia bo ten dodatkowy proces po pierwsze sam w sobie w wzbudził podejrzenie po drugie musiałby nasłuchiwać na osobnym porcie albo samemu się łączyć ze wskazanym serwerem. W obu przypadkach by to mogło nie przejść przez firewall i zostać łatwiej wykryte w jakimś audycie
Bardzo ciekawy odcinek dzięki ❤🎉
to jest materiał na film sensacyjny😮
Swietny materiał, polecam każdemu.
Fajnie wytłumaczone jak dla kogoś ze szczątkową wiedzą o programowaniu.
Może jakiś materiał o Warpcast? Dziwnie, wybiórczo, preferuje tylko jeden portfel z którym chce pracować 😅
Pół sekundy to strasznie długo... Czyżby atakujący, przy całej maestrii reszty operacji, wpadli przez porównanie napisane "na odwal"? 😅
widze ze nie tylko ja mam wrazenie "Sensacji..." i kryminału :D slucha sie genialnie ;)
Sądząc po sposobie przeprowadzenia ataku to stał za tym wywiad. Ostrożność przypominała wywiad chiński, ale wtedy nie byłoby tropów prowadzących do Chin. Rosjanie też takie rzeczy robili, tyle że sposób ataku jest dość uniwersalny, sam wpadłem na podobny pomysł ze 20-25 lat temu. Innymi słowy zrobić to mógł każdy z odpowiednim finansowaniem.
dlaczego nie :)? chińczyk nie mógł udawać udawanego chińczyka ;)?
@@SlawcioD Mógł, ale to by była pewna nowość w sposobach działania chińskiego wywiadu. wbrew pozorom dobra praktyka wywiadowcza polega na zacieraniu śladów, a nie na tworzeniu zagadki w zagadkach.
Fascynujące. Słuchałam 2x,niewiele zrozumiałam 🤪
Siema byku, słuchałem Cię dzisiaj w RMF24
o/
gruby temat, myślałem, ze to będzie kolejny materiał w necie o niedokonanym ataku atomowym miedzy rosją a usa 😂
a to nie było wtedy, gdy szły w prasie informacje, że na słońcu są wybuchy, które mogą odłączyć internet? Piękna przykrywka by była na atak.
Wow. Dla zasięgów.
genialne podsumowanie
dobra historia, ciekawy scenariusz na film
Udało się, ale za to z Windowsem może być problem. Grupa od omawianego backdoora wprowadzała "poprawki" do libarchive, który jest wykorzystywany w Windows 11. Już wiadomo, że zamienili bezpieczną funkcję obsługującą łańcuchy znakowe na funkcję, przez którą może dojść do przepełnienia bufora. To wszystko z git, a co dodali do archiwów? Tykająca bomba, ale to dobrze, bo nikt poważny nie powinien używać Windowsa do poważnych rzeczy.
Nikt poważny? Zobacz gdzie nadal XP pracuje 😂
@@ajwaj9290Wszystkie bankomaty mowią dzień dobry gdy je mijasz 😉
@@ajwaj9290 pewnie tam, gdzie jest odcięty od internetu. :)
@@michasmarzewski3670 dokładnie
XP pracują podpięte do internetu i to masa
24 Minuty materiału ale nie powiedziałeś jakie by były konsekwencje gdyby Jia Tan rozprowadził ten kod backdoora. Wiec materiał nie kompletny bo mialobyć wytlumaczone co by stało gdyby temu „złemu” udało się przejąć kontrolę nad światem.
Być może nie wybrzmiało ale jest tu ruclips.net/video/44HSTVBvAO4/видео.html . Chodzi o to że można by przejąć kontrolę nad wszystkimi serwerami na świecie, które by miałe zainstalowane OpenSSH + XZ (w uproszczeniu)
Jak zwykle genialny materiał. Jestem zawsze pewien podziwu dla ludzi, geeków którzy nie mogą spać po nocy wiedząc, że coś potrwało o 500ms za długo 😆
🤖 No to gruuuubo. A choć tego nie kumam zbytnio, to wydawało mi się że zrozumiałem ten wykład. 😉🤗
Władzy nad światem nie przejmuje się robiąc end game, no bo można zrobić end game ale co potem? władze nad światem przejmuje się przesuwają świat na kolejny etap rozwoju na którym twoja władza jest większa, masz do dyspozycji komputery ale nie używasz ich bezpośrednio do walki z tymi którzy ich nie maja, tworzysz świat wykorzystujący komputery a ty zdobywasz dużo władzy, kiedy wszyscy już mają komputery to ty masz AI i znowu nie robisz end game, tworzysz świat oparty o AI , a twoja władza jest jeszcze większa niż w świecie z samymi komputerami, kiedy wszyscy już będą mieli AI to ty będziesz miał coś jeszcze bardziej potężnego i tak dekada po dekadzie, technologia po technologii bierzesz do końca cała władzę
Zapomniałeś, że niektórzy ludzie po prostu chcą patrzeć, jak świat płonie.
@@MichaTerajewicz sam chętnie popatrzę
Udało się utrzymać skupienie przez 24min.
teraz nie wiem czy mam być dumny z samego siebie czy Ci pogratulować,
a programistą nie jestem (raczej od lutownicy i wkrętaka)
Pozdrawiam
Ledwo ogarniam podstawowe zagadnienia IT, ale dobrze wiedzieć o takich rzeczach
Ciekawe czy sprawdzili także logi pozostałych komentujących nawołujących do zmiany ownera projektu… bo mogli być powiązani z tym który zmiany wprowadzał….
Czy tylko mi się tak wydaje, że to było wiekopomne wyrażenie, porównywalne do Katastrofy w Siewieromorsku - pożaru z 13 maja 1984 r., do którego doszło w porcie floty północnej, gdzie spaliły się zapasy rakiet i broni atomowej szykowane na WWIII?
Robisz świetną robotę
LOL :D dobrze ze moje SSH nie są dostępne publicznie od tak z sieci ;) ale przeraża skala zjawiska i możliwy armageddon :D
Piękny kadr na bluebox 😮
W takich chwilach przypomina mi sie Mr. Robot
Hej, już na początku popełniłeś pewien błąd. Lasse nie jest odpowiedzialny za działanie oprogramowania zależnego. XZ jest na licencji GPL, która mówi wprost, że używasz danego oprogramowania na własną odpowiedzialność.
śmiechłem mocno z koszulki xD
co to za model monitorów, widzę, że benQ, ale nic poza tym, z gory dzieki! :)
Normalnie łeb puchnie !
Straszne i Pozytywne !
Póki co na dzień dzisiejszy za takimi działaniami po jednej i po drugiej stronie stoi człowiek ze wszystkimi swoimi słabościami i jak widać na tym przykładzie to różnie się to kończy. Niebawem sytuacja się odmieni. AI + komputery kwantowe zrobią wszystko bez naszego niepożądanego udziału. Nastąpi to szybciej niż nam się wydaje.
fajnie opowiedziałeś, pozdro
Super materiał jak zawsze, tylko "baekdor nie bekdór" :P:P
Potrzeba chyba zbanować pliki binarne w open sourcie i niech wszystko się buduję od zera. To jedyne skuteczne rozwiązanie, aby nie było możliwości przemycenia jakiś podatności, ponieważ reverse engineering każdego pliku zajmuje zbyt dużo czasu i nikomu się nie chce tego robić.
Też jestem fanem gentoo
👍👍👍
Czy te czerwone tło jest prawdziwe czy to greenscreen? Pytam bo np w 15:43 dzieją się na tym tle za Mateuszem ciekawe rzeczy. Ktoś coś...?
fajnie pomyślany atak, ciekawe ilu ludzi w tym maczało "paluszki"
*_Kto dziś robi DKPLC?_*
_Jako dinozaur komputerowy czasem sobie disasembluję kody MIPSa i MIPSela by zobaczyć nieznaczne różnice._
Szanuje
dobra robota