🐼 Jak przejąć władzę nad światem? Cóż. Być może wystarczą lata cierpliwości, olbrzymie umiejętności i bardzo głębokie kieszenie. Ale przede wszystkim trzeba nie mieć pecha, bo to w sumie właśnie łut szczęścia uratował nas wszystkich przed katastrofą. O co chodzi?
Źródła:
🐦 Strona projektu Tukaani, którego częścią jest xz
https://tukaani.org/xz-backdoor/
🤯 backdoor in upstream xz/liblzma leading to ssh server compromise [email protected]
https://www.openwall.com/lists/oss-security/2024/03/29/4
🐛 Debian Bug report logs - #778913 openssh-server: init (at least systemd) doesn't notice when sshd fails to start and reports success
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=778913#45
👀 Techies vs spies: the xz backdoor debate
https://lcamtuf.substack.com/p/technologist-vs-spy-the-xz-backdoor
🔧 OSS backdoors: the folly of the easy fix
https://lcamtuf.substack.com/p/oss-backdoors-the-allure-of-the-easy
🚨 xz-utils: New upstream version available
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708
🙈 xz/liblzma: Bash-stage Obfuscation Explained
https://gynvael.coldwind.pl/?lang=en&id=782
🚪 The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
https://www.wired.com/story/jia-tan-xz-backdoor/
🤔 Everything I Know About the XZ Backdoor
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
⏳ XZ Backdoor: Times, damned times, and scams
https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and
🐘 Brian Krebs @Mastodon
https://infosec.exchange/@briankrebs/112197305365490518
🐝 GitHub: lockness-Ko/xz-vulnerable-honeypot
https://github.com/lockness-Ko/xz-vulnerable-honeypot
🐂 Bullying in Open Source Software Is a Massive Security Vulnerability
https://www.404media.co/xz-backdoor-bullying-in-open-source-software-is-a-massive-security-vulnerability/
⏲️ Alex Volkov (Thursd/AI) @Twixxer
https://twitter.com/altryne/status/1774504915357892688
🪲 CVE-2024-3094 w bazie NIST
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
📊 Infografika prezentująca schemat ataku, Thomas Roccia @Twixxer
https://twitter.com/fr0gger_/status/1774342248437813525
🚫 Atak na xz to nie obejście kontroli dostępu. To RCE.
https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
‼️ Afera wokół XZ. Próba zaminowania cyfrowego świata
https://www.ciemnastrona.com.pl/cyfrowy_feudalizm/2024/03/31/xz-backdoor.html
🤖 Jak próbowano zaatakować f-droida?
https://social.librem.one/@eighthave/112194828562355097
Relevant xkcd: https://xkcd.com/2347/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/
Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok
Mastodonie https://infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/
Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok
Podcasty na:
Anchor https://anchor.fm/mateusz-chrobok
Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR
Apple Podcasts https://apple.co/3OwjvOh
Rozdziały:
00:00 Intro
02:01 Timeline
07:11 Wielkanoc
11:33 Mechanizm
17:16 Atrybucja
22:01 Co Robić i Jak Żyć?
#xz #ssh #atak #APT #linux