Passa al contenuto principale

2024-03-30

Scoperta una backdoor critica in xz/liblzma che minaccia i server SSH

  • Il progetto Openwall fornisce prodotti gratuiti e open-source per la sicurezza dei server, come un sistema operativo Linux, un cracker di password e strumenti di hashing delle password.
  • È stata scoperta una backdoor nel pacchetto xz/liblzma, che ha un impatto sui server SSH dei sistemi Linux x86-64 basati su glibc, creando un rischio di accesso non autorizzato o di esecuzione di codice remoto.
  • Il codice di exploit sta prendendo di mira librerie specifiche, spingendo distribuzioni come Debian e Red Hat ad affrontare il problema; i sistemi vulnerabili necessitano di aggiornamenti urgenti.

Reazioni

  • Una backdoor nell'upstream xz/liblzma ha portato alla compromissione dei server SSH, con conseguente sospensione degli account e rimozione della chiave dell'autore dai repository, scatenando discussioni sulla complessità del codice e sul potenziale coinvolgimento di attori statali nei progetti open-source.
  • Sono state sollevate preoccupazioni per la sicurezza del formato file XZ nelle distribuzioni Linux aziendali che mancano di aggiornamenti immediati, sottolineando l'importanza dell'autenticazione a più fattori con metodi come YubiKeys e la conservazione delle password di recupero TOTP per le emergenze.
  • Dibattiti sull'efficacia dell'autenticazione a due fattori, sui limiti dell'MFA, sui rischi della memorizzazione di password e token sullo stesso dispositivo, discussioni sull'implementazione dei Passkeys, sulle chiavi hardware per l'autenticazione e sulla trasparenza nelle pratiche di codifica, oltre all'invito della comunità a vigilare e a risolvere tempestivamente le vulnerabilità di sicurezza.

Un filantropo crea lo "Yellowstone europeo" in Romania

  • Il gruppo filantropico di Hansjörg Wyss sta acquisendo vasti terreni in Romania per creare una "Yellowstone europea" nei Carpazi, con l'obiettivo di conservare la natura, incentivare l'ecoturismo e migliorare l'economia della regione.
  • La fondazione ha acquistato 27.027 ettari e punta a un'area protetta di 200.000 ettari, incontrando l'opposizione dei residenti, dei gruppi di cacciatori e delle lotte per la creazione di un parco nazionale.
  • Gli sforzi includono la riforestazione, la conservazione della fauna selvatica e il coinvolgimento della comunità per affrontare gli ostacoli e stabilire un quadro di conservazione valido.

Reazioni

  • I colloqui si concentrano sulla creazione di un parco nazionale europeo di Yellowstone in Romania per reintrodurre i bisonti, evidenziando il comportamento della fauna selvatica, la presenza umana negli habitat naturali, il turismo, la conservazione, le lotte economiche in Romania e gli effetti del capitalismo sulle risorse naturali.
  • Sottolinea l'essenza della coesistenza con la fauna selvatica, dell'agire in modo responsabile e della conservazione della natura come temi centrali del discorso.

I top performer possono dimettersi se i nuovi assunti vengono pagati di più

  • La trasparenza delle retribuzioni è in aumento in tutti i settori, e fa sì che i dipendenti esistenti notino un divario salariale rispetto ai nuovi assunti.
  • Le ricerche indicano che se non si adeguano gli stipendi del personale attuale dopo le nuove assunzioni, i top performer potrebbero dimettersi.
  • Si consiglia ai datori di lavoro di effettuare valutazioni coerenti dell'equità retributiva e di modificare tempestivamente le retribuzioni per evitare la potenziale perdita di talenti.

Reazioni

  • La discussione mette in evidenza i problemi legati alle disparità salariali, in particolare quando i nuovi assunti guadagnano di più dei lavoratori esperti, con il risultato che i top performer se ne vanno e i dipendenti esistenti si sentono sottovalutati.
  • Si sottolinea l'importanza della trasparenza dei salari, della negoziazione di retribuzioni più elevate e dell'influenza delle condizioni di mercato sulla retribuzione.
  • Il dibattito riguarda anche le strategie di fidelizzazione, lo sviluppo delle carriere, i cambiamenti demografici della forza lavoro, la pianificazione familiare, il trasferimento delle conoscenze, le difficoltà economiche dei genitori negli Stati Uniti e l'impatto dei divari generazionali sul posto di lavoro.

Preservare la storia digitale di Santa Barbara tra le minacce di fallimento

  • Lo storico quotidiano Santa Barbara News-Press ha dichiarato bancarotta, mettendo a rischio la vendita del suo archivio digitale a un'azienda straniera con una storia di trasformazione di siti web affidabili in "backlink farm" per la SEO.
  • Questa pratica SEO non etica prevede l'aggiunta di contenuti a pagamento per manipolare le classifiche dei motori di ricerca, compromettendo potenzialmente l'accuratezza storica dei documenti della comunità.
  • I cittadini sono invitati a partecipare alle gare d'appalto per salvaguardare i contenuti dell'archivio e impedire il suo coinvolgimento in attività di sfruttamento online.

Reazioni

  • Deadspin è stato venduto a investitori del settore delle affiliazioni di giochi online, con conseguenti rischi per la storia della comunità.
  • I lavoratori hanno creato una cooperativa chiamata Defector a causa di problemi con la rappresentanza sindacale e i siti di notizie locali a Santa Barbara.
  • L'articolo tratta della separazione delle attività dalle passività nelle imprese, dell'insider trading, della fissazione dei prezzi e dell'importanza della conservazione del patrimonio culturale attraverso gli archivi.

Apache Guacamole: Accesso ai desktop ovunque con Clientless Gateway

  • Apache Guacamole è un gateway desktop remoto senza client che supporta protocolli come VNC, RDP e SSH, accessibile tramite un browser web per l'accesso al desktop remoto.
  • Il software è open source sotto licenza Apache, continuamente migliorato da una comunità di sviluppatori, con un'API documentata per una perfetta integrazione con varie applicazioni.
  • Per Apache Guacamole sono previste opzioni di supporto sia comunitario che commerciale.

Reazioni

  • Apache Guacamole è un gateway desktop remoto senza client per l'accesso ai desktop remoti tramite un browser web, che ha ricevuto elogi per la sua funzionalità e personalizzazione.
  • Gli utenti hanno segnalato problemi come l'input lag e la qualità del suono durante l'utilizzo di Guacamole, ma hanno condiviso esperienze positive in contesti educativi e lavorativi.
  • Sono stati discussi progetti alternativi come BrowserBox, xpra e KasmWeb, e alcuni utenti hanno cercato soluzioni indipendenti da Java, dimostrando il valore di Guacamole per l'accesso al desktop remoto.

La fuoriuscita di fertilizzanti in Iowa devasta i pesci in un tratto di fiume lungo 60 miglia

  • Una fuoriuscita di fertilizzante in Iowa ha causato la morte di quasi 800.000 pesci nei fiumi dell'Iowa e del Missouri a causa di una perdita di fertilizzante azotato liquido dovuta a una valvola aperta.
  • Questo incidente, una delle più grandi morie di pesci dell'Iowa, potrebbe richiedere anni prima che l'ecosistema si ripristini completamente, sottolineando le persistenti preoccupazioni per la contaminazione dell'acqua.
  • La fuoriuscita sottolinea le difficoltà nell'applicazione di normative più severe negli Stati agricoli, facendo luce sulle sfide in corso in materia di inquinamento delle acque.

Reazioni

  • Una fuoriuscita di fertilizzante in Iowa ha spazzato via la maggior parte dei pesci lungo un tratto di fiume di 60 miglia, con l'ammoniaca come componente nocivo principale che ha colpito la vita acquatica.
  • L'incidente sottolinea i danni ambientali legati alle pratiche agricole e ha suscitato dibattiti sull'applicazione di pene più severe per coloro che causano tali disastri.
  • Alcune discussioni si spostano sul parallelismo tra danni ambientali e problemi di sicurezza del software, evidenziando le diverse urgenze nell'affrontare questi problemi.

Scoprire la backdoor di XZ: Rischi dei singoli contribuenti

  • È stata scoperta una backdoor nel software Xz e Jia Tan, un collaboratore sospetto, ha svolto un ruolo centrale nell'apportare modifiche dannose al codice e nell'inserire versioni compromesse nei repository.
  • Il post evidenzia i rischi di dipendere pesantemente da singoli collaboratori come Jia Tan senza un supporto adeguato, sollevando preoccupazioni per la sicurezza del settore.
  • Nel blog post si parla anche di profili LinkedIn sospetti e di potenziali problemi di furto d'identità legati a Jia Tan.

Reazioni

  • Una potenziale backdoor nel software di compressione xz solleva il dubbio che un'agenzia di intelligence abbia preso di mira OpenSSH.
  • I sospetti suggeriscono uno sforzo coordinato per compromettere il software, forse da parte di un'agenzia di uno Stato nazionale, sottolineando la necessità di solide misure di sicurezza.
  • Il post sottolinea l'importanza di avere più manutentori per i progetti open-source critici per mitigare efficacemente i rischi di sicurezza.

Resistere a una tempesta DDoS con un design semplice e strutture ad alte prestazioni

  • Il blog affronta un attacco DDoS al server dell'azienda, evidenziando la scelta di non intervenire grazie alla capacità del sistema di resistere all'assalto.
  • La loro resilienza durante l'attacco è attribuita alla loro struttura di servizio monolitica e non complicata e all'utilizzo di framework efficienti come Golang e Rust.
  • Sottolineando l'importanza di valide strategie di distribuzione, essi sostengono la necessità di utilizzare i binari rispetto ai container e di migliorare le prestazioni aggirando i livelli intermedi.

Reazioni

  • Tableplus.com discute degli attacchi DDoS, delle vulnerabilità dei siti web, dei picchi di traffico, della distribuzione delle applicazioni nei container e delle misure di sicurezza come la modalità "Under Attack".
  • Gli argomenti trattati comprendono la costruzione di servizi monolitici con Golang, la gestione di elevati volumi di richieste e il dibattito sull'architettura monolitica e microservizi.
  • Vengono condivise opinioni sul miglioramento della sicurezza, sulla semplificazione dell'implementazione e sulle sfide organizzative nella scelta delle strategie architettoniche.

Massimizzare la durata di vita di Raspberry Pi: Esecuzione con file system di root di sola lettura

  • L'esecuzione di un Raspberry Pi con un filesystem root di sola lettura può prolungare la durata della scheda SD riducendo le operazioni di scrittura.
  • La guida offre istruzioni dettagliate su vari passaggi, tra cui la rimozione del software non necessario, la configurazione del filesystem di sola lettura, la gestione dei programmi installati tramite snap, l'utilizzo di tmpfs per l'archiviazione dei dati RAM e la limitazione dello spazio utilizzato da journald.
  • Inoltre, tratta la gestione degli errori dei processi che potrebbero non funzionare correttamente su un filesystem di sola lettura, fornendo un approccio completo all'ottimizzazione delle prestazioni e dell'efficienza di Raspberry Pi.

Reazioni

  • L'articolo analizza l'esecuzione di un Raspberry Pi con un filesystem root di sola lettura, suggerendo SquashFS e EROFS come filesystem.
  • Gli utenti condividono le loro esperienze con vari sistemi operativi e configurazioni per il funzionamento del Pi in sola lettura, consigliando strumenti come Alpine Linux.
  • Le raccomandazioni includono schede SD industriali, alimentatori affidabili e strategie per la longevità delle schede SD per evitare la corruzione dei dati, oltre all'uso di filesystem di sovrapposizione come overlayfs con tmpfs per la produzione di immagini.

Esplorazione delle reti di sovrapposizione WebRTC di Werons

  • Weron è una rete overlay basata su WebRTC che consente l'accesso a nodi dietro NAT, reti domestiche sicure e aggiramento della censura, offrendo un'API semplice per i protocolli peer-to-peer.
  • Gli utenti possono installare Weron tramite immagini OCI containerizzate o binari statici, dettagliando l'uso del server di segnalazione per connettere i peer, gestire le comunità e condurre misure di latenza e throughput sulla rete.
  • Il testo tratta la creazione di reti overlay Layer 3 e Layer 2 con Werons VPN, la creazione di una rete overlay Layer 2 Ethernet e la creazione di protocolli personalizzati con wrtcconn, oltre a indicazioni sull'uso di weron, compresi gli argomenti della riga di comando, le variabili d'ambiente e i dettagli sulla licenza.

Reazioni

  • La discussione si concentra su WebRTC per la comunicazione Internet peer-to-peer, citando tecnologie come SimplePeer, GCM, MLS e WebTorrent, insieme alle sfide del supporto di server e browser.
  • Si specula sull'avversione di Apple a sostenere tecnologie web come WebTransport e WebRTC, forse per promuovere il suo app store, e si discute sulla semplificazione della negoziazione tra pari e sul miglioramento della sicurezza attraverso soluzioni di videoconferenza WebRTC open-source.
  • Gli sviluppatori valutano l'efficienza di STUN e WebRTC nell'attraversamento del NAT, sollevando nel contempo preoccupazioni per la sicurezza e l'usabilità.

Demis Hassabis: Alla guida della spinta di Google verso l'intelligenza artificiale

  • Demis Hassabis, fondatore di DeepMind, sta guidando la ricerca sull'IA di Google per mantenere la competitività nel settore.
  • Le scoperte di DeepMind, come AlphaGo e AlphaFold, hanno affermato la loro competenza in materia di IA, ma il divario di comunicazione con OpenAI ha creato problemi nei modelli generativi.
  • Hassabis sta lavorando a Gemini, un modello linguistico in grado di competere con i modelli GPT di OpenAI, oltre a sviluppare sistemi di agenti autonomi, indicando il suo impegno nella ricerca rispetto alla possibilità di diventare amministratore delegato di Google.

Reazioni

  • L'articolo illustra le sfide poste dall'implementazione degli algoritmi di ricerca ad albero nei modelli linguistici di grandi dimensioni di Google e sottolinea l'importanza dell'addestramento alla novità.
  • La relazione esplora la leadership di Google, il perseguimento dell'Intelligenza Artificiale Generale (AGI) e le preoccupazioni per l'influenza delle aziende, oltre al potenziale impatto dell'AI su diversi settori industriali.
  • Il testo evidenzia anche i limiti e la fattibilità della tecnologia AI, i fallimenti percepiti dal CEO di Google e il ruolo di DeepMind all'interno dell'azienda.

Scoperta la backdoor di xz-utils: Avviso di sicurezza urgente

  • Il 29 marzo 2024 è stata individuata una backdoor in xz-utils, che colpisce i sistemi con le versioni 5.6.0 o 5.6.1 di xz o liblzma, attivata da sistemi remoti non privilegiati che si connettono a porte SSH pubbliche.
  • L'exploit utilizza glibc, systemd e configurazioni specifiche per colpire le procedure di autenticazione di OpenSSH, consentendo potenzialmente di bypassare i processi di autenticazione.
  • I manutentori di xz-utils stanno lavorando attivamente alle patch, sottolineando l'urgenza per gli utenti con SSH accessibile pubblicamente di aggiornare tempestivamente i loro sistemi.

Reazioni

  • È stata trovata una backdoor, xz-utils, nella libreria xz/liblzma, che rischia di compromettere i server SSH quando il nome del processo corrisponde a /usr/bin/sshd.
  • L'attaccante ha inserito l'exploit nella cartella di test della libreria di compressione, scatenando un dibattito sulle pratiche di sicurezza del software in ambienti open e closed source.
  • I colloqui in corso si concentrano sulle implicazioni dei commit passati e sottolineano la continua necessità di vigilare sullo sviluppo del software e sui metodi di distribuzione per prevenire tali compromissioni.

Combattere la cecità da banner: Comprendere il comportamento degli utenti e l'efficacia degli annunci pubblicitari

  • La cecità da banner, definita per la prima volta nel 1998, si verifica quando i visitatori ignorano le informazioni di tipo banner sui siti web a causa di fattori quali l'avversione al disordine e la familiarità dell'utente con il sito.
  • L'interazione degli utenti con i banner pubblicitari è fortemente influenzata dalla familiarità con il sito web, che incide sulle visualizzazioni e sui clic.
  • Fattori come la congruenza, gli inviti all'azione, l'animazione e la personalizzazione influenzano l'efficacia degli annunci online: gli annunci personalizzati raccolgono maggiore attenzione, mentre quelli irrilevanti causano frustrazione.

Reazioni

  • Nel forum si parla di Banner Blindness, in cui le persone ignorano i segnali di pericolo, soprattutto in caso di emergenza, a causa del comportamento del pilota automatico o della violazione intenzionale delle regole.
  • I suggerimenti includono la possibilità di rendere i cartelli più evidenti utilizzando barriere fisiche o modificando il design delle porte per attirare l'attenzione.
  • Gli utenti si soffermano anche sulle variazioni di genere, sui rimproveri per le violazioni della sicurezza, sull'influenza degli annunci pubblicitari sui contenuti online e sull'uso degli ad blocker per autoproteggersi.