🐼 Jak przejąć władzę nad światem? Cóż. Być może wystarczą lata cierpliwości, olbrzymie umiejętności i bardzo głębokie kieszenie. Ale przede wszystkim trzeba nie mieć pecha, bo to w sumie właśnie łut szczęścia uratował nas wszystkich przed katastrofą. O co chodzi?

Źródła:

🐦 Strona projektu Tukaani, którego częścią jest xz

https://tukaani.org/xz-backdoor/

🤯 backdoor in upstream xz/liblzma leading to ssh server compromise [email protected]

https://www.openwall.com/lists/oss-security/2024/03/29/4

🐛 Debian Bug report logs - #778913 openssh-server: init (at least systemd) doesn't notice when sshd fails to start and reports success

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=778913#45

👀 Techies vs spies: the xz backdoor debate

https://lcamtuf.substack.com/p/technologist-vs-spy-the-xz-backdoor

🔧 OSS backdoors: the folly of the easy fix

https://lcamtuf.substack.com/p/oss-backdoors-the-allure-of-the-easy

🚨 xz-utils: New upstream version available

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708

🙈 xz/liblzma: Bash-stage Obfuscation Explained

https://gynvael.coldwind.pl/?lang=en&id=782

🚪 The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind

https://www.wired.com/story/jia-tan-xz-backdoor/

🤔 Everything I Know About the XZ Backdoor

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

⏳ XZ Backdoor: Times, damned times, and scams

https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and

🐘 Brian Krebs @Mastodon

https://infosec.exchange/@briankrebs/112197305365490518

🐝 GitHub: lockness-Ko/xz-vulnerable-honeypot

https://github.com/lockness-Ko/xz-vulnerable-honeypot

🐂 Bullying in Open Source Software Is a Massive Security Vulnerability

https://www.404media.co/xz-backdoor-bullying-in-open-source-software-is-a-massive-security-vulnerability/

⏲️ Alex Volkov (Thursd/AI) @Twixxer

https://twitter.com/altryne/status/1774504915357892688

🪲 CVE-2024-3094 w bazie NIST

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

📊 Infografika prezentująca schemat ataku, Thomas Roccia @Twixxer

https://twitter.com/fr0gger_/status/1774342248437813525

🚫 Atak na xz to nie obejście kontroli dostępu. To RCE.

https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b

‼️ Afera wokół XZ. Próba zaminowania cyfrowego świata

https://www.ciemnastrona.com.pl/cyfrowy_feudalizm/2024/03/31/xz-backdoor.html

🤖 Jak próbowano zaatakować f-droida?

https://social.librem.one/@eighthave/112194828562355097

Relevant xkcd: https://xkcd.com/2347/

© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.

❤️ Dziękuję za Waszą uwagę.

Znajdziecie mnie również na:

Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/

Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok

Mastodonie https://infosec.exchange/@mateuszchrobok

LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/

Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok

Podcasty na:

Anchor https://anchor.fm/mateusz-chrobok

Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR

Apple Podcasts https://apple.co/3OwjvOh

Rozdziały:

00:00 Intro

02:01 Timeline

07:11 Wielkanoc

11:33 Mechanizm

17:16 Atrybucja

22:01 Co Robić i Jak Żyć?

#xz #ssh #atak #APT #linux

https://www.youtube.com/watch?v=44HSTVBvAO4