본문으로 건너뛰기

2024-03-30

SSH 서버를 위협하는 xz/liblzma에서 발견된 치명적인 백도어

  • Openwall 프로젝트는 Linux OS, 비밀번호 크래커, 비밀번호 해싱 도구 등 서버 보안을 위한 무료 오픈소스 제품을 제공합니다.
  • xz/liblzma 패키지에서 백도어가 발견되어 glibc 기반 x86-64 Linux 시스템의 SSH 서버에 영향을 미치고 무단 액세스 또는 원격 코드 실행의 위험을 초래합니다.
  • 익스플로잇 코드는 특정 라이브러리를 표적으로 삼고 있어 Debian 및 Red Hat과 같은 배포판에서 이 문제를 해결해야 하며, 취약한 시스템은 긴급한 업그레이드가 필요합니다.

반응

  • 업스트림 xz/liblzma의 백도어로 인해 SSH 서버가 손상되어 계정이 정지되고 리포지토리에서 작성자의 키가 제거되면서 코드 복잡성과 오픈 소스 프로젝트에 대한 국가 행위자의 잠재적 개입에 대한 논의가 촉발되었습니다.
  • 즉각적인 업데이트가 이루어지지 않는 엔터프라이즈 Linux 배포판의 XZ 파일 형식 보안에 대한 우려가 제기되면서 YubiKey와 같은 방법을 통한 다단계 인증과 비상시를 대비한 TOTP 복구 비밀번호 저장의 중요성이 강조되고 있습니다.
  • 이중 인증의 효과, MFA의 한계, 비밀번호와 토큰을 동일한 디바이스에 저장할 때의 위험, 패스키 구현, 인증을 위한 하드웨어 키, 코딩 관행의 투명성에 대한 논의와 함께 커뮤니티의 경각심과 신속한 보안 취약점 해결에 대한 요청이 이어졌습니다.

루마니아에 '유럽의 옐로스톤'을 만드는 자선가

  • 한스외르크 비스의 자선가 그룹은 자연을 보존하고 생태관광을 활성화하며 지역 경제를 발전시키기 위해 루마니아의 광범위한 토지를 매입하여 카르파티아 산맥에 '유럽의 옐로스톤'을 조성하고 있습니다.
  • 재단은 27,027헥타르를 매입하여 20만 헥타르 규모의 보호 구역을 목표로 하고 있으며, 주민과 사냥 단체의 반대와 국립공원 설립에 어려움을 겪고 있습니다.
  • 조림, 야생동물 보호, 지역사회 참여를 통해 장애물을 해결하고 실행 가능한 보존 체계를 구축하기 위한 노력을 기울이고 있습니다.

반응

  • 야생동물의 행동, 자연 서식지에서의 인간의 존재, 관광, 보존, 루마니아의 경제적 어려움, 자본주의가 자연 자원에 미치는 영향을 강조하면서 들소를 재도입하기 위해 루마니아에 유럽 옐로스톤 국립공원을 설립하는 방안을 논의합니다.
  • 담론의 중심 주제로 야생동물과의 공존, 책임감 있는 행동, 자연 보호의 본질을 강조합니다.

신입 사원에게 더 많은 급여를 지급할 경우 최고 성과자는 사직할 수 있습니다.

  • 여러 산업 분야에서 임금 투명성이 높아지면서 기존 직원들은 신입사원과의 임금 격차를 체감하고 있습니다.
  • 연구에 따르면 신규 채용 후 기존 직원의 급여를 조정하지 않으면 최고 성과자가 퇴사할 수 있다고 합니다.
  • 고용주는 잠재적인 인재 손실을 방지하기 위해 일관된 임금 형평성 평가를 수행하고 임금을 즉시 수정하는 것이 좋습니다.

반응

  • 이 토론에서는 특히 신입 사원이 경력 사원보다 더 많은 급여를 받음으로써 최고 성과자가 떠나고 기존 직원이 자신의 가치를 저평가 받는다는 느낌을 받는 급여 격차의 문제를 강조합니다.
  • 급여의 투명성, 더 높은 급여 협상, 시장 상황이 보상에 미치는 영향의 중요성이 강조됩니다.
  • 이 토론에서는 고용 유지 전략, 경력 개발, 인력 인구 통계의 변화, 가족 계획, 지식 이전, 미국 내 부모의 경제적 어려움, 직장 내 세대 격차의 영향 등에 대해서도 다룹니다.

파산 위기 속에서도 산타바바라의 디지털 역사 보존하기

  • 유서 깊은 신문사인 산타바바라 뉴스-프레스가 파산을 선언하면서 디지털 아카이브가 유명 웹사이트를 SEO를 위한 '백링크 농장'으로 변질시킨 전력이 있는 외국 기업에 매각될 위기에 처했습니다.
  • 이러한 비윤리적인 SEO 관행에는 검색 엔진 순위를 조작하기 위해 유료 콘텐츠를 추가하여 커뮤니티 기록의 역사적 정확성을 잠재적으로 손상시키는 행위가 포함됩니다.
  • 시민들은 아카이브의 콘텐츠를 보호하고 악의적인 온라인 활동에 대한 개입을 막기 위해 아카이브 입찰에 참여해야 합니다.

반응

  • 데드스핀은 온라인 게임 제휴 업계의 투자자들에게 매각되어 커뮤니티 역사에 위험을 초래했습니다.
  • 노동자들은 산타바바라에서 노조 대표와 지역 뉴스 사이트와의 문제로 인해 Defector라는 협동조합을 만들었습니다.
  • 이 기사에서는 기업의 자산과 부채 분리, 내부자 거래, 가격 담합, 아카이브를 통한 문화유산 보존의 중요성 등을 다룹니다.

아파치 과카몰레: 클라이언트 없는 게이트웨이로 어디서나 데스크톱에 접속하기

  • 아파치 과카몰레는 웹 브라우저를 통해 원격 데스크톱 액세스를 위한 VNC, RDP, SSH와 같은 프로토콜을 지원하는 클라이언트 없는 원격 데스크톱 게이트웨이입니다.
  • 이 소프트웨어는 Apache 라이선스에 따라 오픈 소스이며 개발자 커뮤니티에서 지속적으로 개선하고 있으며, 다양한 애플리케이션과의 원활한 통합을 위해 문서화된 API를 제공합니다.
  • 아파치 과카몰레에는 커뮤니티 및 상업용 지원 옵션이 모두 제공됩니다.

반응

  • 웹 브라우저를 통해 원격 데스크톱에 액세스할 수 있는 클라이언트 없는 원격 데스크톱 게이트웨이로, 기능 및 사용자 지정에 대한 찬사를 받고 있는 Apache Guacamole입니다.
  • 사용자들은 과카몰리를 사용하는 동안 입력 지연 및 음질과 같은 문제를 보고했지만 교육 및 직장 환경에서 긍정적인 경험을 공유했습니다.
  • 일부 사용자들은 Java 독립적인 솔루션을 찾고 있으며, 이는 원격 데스크톱 액세스를 위한 Guacamole의 가치를 보여주는 것으로 BrowserBox, xpra, KasmWeb과 같은 대체 프로젝트가 논의되고 있습니다.

아이오와 비료 유출로 60마일 강변의 물고기가 황폐화되었습니다.

  • 아이오와주에서 발생한 비료 유출 사고는 밸브가 열려 액체 질소 비료가 누출되어 아이오와와 미주리 강에서 약 80만 마리의 물고기가 폐사한 사건입니다.
  • 아이오와주에서 가장 큰 물고기 떼죽음 사건 중 하나인 이 사건은 생태계가 완전히 회복되는 데 수년이 걸릴 수 있으며, 지속적인 수질 오염에 대한 우려를 강조합니다.
  • 이번 유출 사고는 농업 주에서 더 엄격한 규제를 시행하는 것이 얼마나 어려운지를 강조하며, 현재 진행 중인 수질 오염 문제를 조명합니다.

반응

  • 아이오와주에서 발생한 비료 유출 사고로 60마일에 이르는 강변의 물고기 대부분이 폐사했으며, 암모니아가 수생 생물에 영향을 미치는 주요 유해 성분으로 밝혀졌습니다.
  • 이 사건은 농업 관행과 관련된 환경 피해를 강조하며 이러한 재앙을 초래하는 사람들에게 더 엄격한 처벌을 부과하는 것에 대한 논쟁을 촉발시켰습니다.
  • 일부 논의는 환경 피해와 소프트웨어 보안 문제 사이의 유사점을 도출하여 이러한 문제를 해결하는 데 있어 서로 다른 시급성을 강조하는 방향으로 전환됩니다.

XZ 백도어 발견: 개별 기여자의 위험

  • Xz 소프트웨어의 백도어가 발견되었으며, 의심스러운 기여자인 Jia Tan이 유해한 코드를 변경하고 손상된 버전을 리포지토리에 푸시하는 데 중심적인 역할을 했습니다.
  • 이 게시물은 적절한 지원 없이 지아 탄과 같은 개인 기여자에게 크게 의존할 경우의 위험을 강조하며 업계 전반의 보안 우려를 제기합니다.
  • 블로그 게시물에서는 지아 탄과 관련된 의심스러운 LinkedIn 프로필과 잠재적인 신원 도용 문제도 다루고 있습니다.

반응

  • xz 압축 소프트웨어의 잠재적인 백도어로 인해 정보 기관이 OpenSSH를 노린다는 우려가 제기되고 있습니다.
  • 국가 기관이 소프트웨어를 손상시키기 위해 조직적으로 노력했을 가능성이 있다는 의혹이 제기되면서 강력한 보안 조치의 필요성이 강조되고 있습니다.
  • 이 게시물은 보안 위험을 효과적으로 완화하기 위해 중요한 오픈소스 프로젝트에 여러 명의 관리자를 두는 것이 중요하다는 점을 강조합니다.

단순한 설계와 고성능 프레임워크로 DDoS 폭풍을 극복하기

  • 이 블로그는 회사 서버에 대한 디도스 공격을 다루며, 공격에 견딜 수 있는 시스템 성능 때문에 개입하지 않기로 결정했다는 점을 강조합니다.
  • 공격 중에도 회복력을 유지할 수 있었던 것은 복잡하지 않은 단일화된 서비스 구조와 Golang 및 Rust와 같은 효율적인 프레임워크를 활용했기 때문입니다.
  • 이들은 건전한 배포 전략의 중요성을 강조하면서 컨테이너보다 바이너리를 사용하고 중간 계층을 우회하여 성능을 향상시킬 것을 옹호합니다.

반응

  • Tableplus.com에서는 DDoS 공격, 웹사이트 취약성, 트래픽 급증, 컨테이너 내 애플리케이션 배포, '공격 중' 모드와 같은 보안 조치에 대해 설명합니다.
  • 주제에는 Golang으로 모놀리식 서비스 구축, 대용량 요청 관리, 모놀리식 대 마이크로서비스 아키텍처에 대한 논쟁이 포함됩니다.
  • 아키텍처 전략을 선택할 때 보안 강화, 배포 간소화, 조직의 과제 해결에 대한 의견을 공유합니다.

라즈베리파이의 수명 극대화하기: 읽기 전용 루트 파일 시스템으로 실행하기

  • 읽기 전용 루트 파일 시스템으로 라즈베리 파이를 실행하면 쓰기 작업을 줄여 SD 카드의 수명을 연장할 수 있습니다.
  • 이 가이드는 불필요한 소프트웨어 제거, 읽기 전용 파일 시스템 구성, 스냅을 통해 설치된 프로그램 관리, RAM 데이터 저장을 위한 tmpfs 활용, journald가 사용하는 공간 제한 등 다양한 단계에 대한 자세한 지침을 제공합니다.
  • 또한 읽기 전용 파일 시스템에서 올바르게 작동하지 않을 수 있는 프로세스에서 발생하는 오류를 처리하는 방법도 다루며, 라즈베리파이의 성능과 효율성을 최적화하기 위한 포괄적인 접근 방식을 제공합니다.

반응

  • 이 문서에서는 읽기 전용 루트 파일 시스템으로 라즈베리 파이를 실행하는 방법을 살펴보고, 파일 시스템으로 SquashFS와 EROFS를 제안합니다.
  • 사용자들은 읽기 전용 Pi 작동을 위한 다양한 OS 및 설정에 대한 경험을 공유하며 알파인 리눅스와 같은 도구를 추천합니다.
  • 권장 사항에는 산업용 SD 카드, 안정적인 전원 공급 장치, 데이터 손상을 방지하기 위한 SD 카드 수명 연장 전략, 이미지 제작에 tmpfs와 같은 오버레이 파일 시스템 사용 등이 있습니다.

Werons WebRTC 오버레이 네트워크 살펴보기

  • Weron은 NAT 뒤에 있는 노드에 액세스하고, 홈 네트워크를 보호하며, 검열을 우회할 수 있는 WebRTC 기반 오버레이 네트워크로, P2P 프로토콜을 위한 간단한 API를 제공합니다.
  • 사용자는 컨테이너화된 OCI 이미지 또는 정적 바이너리를 통해 Weron을 설치하여 피어 연결, 커뮤니티 관리, 네트워크의 지연 시간 및 처리량 측정을 위한 시그널링 서버 사용량을 자세히 확인할 수 있습니다.
  • 이 본문에서는 명령줄 인수, 환경 변수, 라이선스 세부 정보 등 weron 사용에 대한 지침과 함께 Werons VPN으로 레이어 3 및 레이어 2 오버레이 네트워크 생성, 레이어 2 이더넷 오버레이 네트워크 설정, wrtcconn으로 사용자 지정 프로토콜 제작에 대해 설명합니다.

반응

  • 토론은 P2P 인터넷 통신을 위한 WebRTC에 초점을 맞추고 서버 및 브라우저 지원의 문제점과 함께 SimplePeer, GCM, MLS, WebTorrent와 같은 기술에 대해 언급합니다.
  • 애플이 앱 스토어를 홍보하기 위해 웹트랜스포트 및 웹RTC와 같은 웹 기술을 지원하지 않는 것이 아니냐는 추측이 제기되면서 오픈 소스 웹RTC 화상 회의 솔루션을 통해 동료 협상을 간소화하고 보안을 강화하는 것에 대한 논의가 활발하게 이루어지고 있습니다.
  • 개발자들은 NAT 통과 시 STUN과 WebRTC의 효율성을 비교하며 그 과정에서 보안과 사용성에 대한 우려를 제기합니다.

데미스 하사비스: 구글의 AI 푸시 선도

  • 딥마인드의 창립자인 데미스 하사비스는 이 분야의 경쟁력을 유지하기 위해 구글의 AI 연구를 이끌고 있습니다.
  • 알파고와 알파폴드 같은 딥마인드의 혁신은 AI 전문성을 확립했지만, OpenAI와의 커뮤니케이션 격차로 인해 생성 모델에 어려움을 겪었습니다.
  • 카사비스는 자율 에이전트 시스템 개발과 함께 OpenAI의 GPT 모델과 경쟁하기 위한 언어 모델인 Gemini를 개발 중이며, 이는 잠재적으로 구글의 CEO가 되기 위해 연구에 매진하고 있음을 보여줍니다.

반응

  • 이 문서에서는 Google에서 대규모 언어 모델에서 트리 검색 알고리즘을 구현할 때의 어려움을 논의하고 신규성을 위한 학습의 중요성을 강조합니다.
  • 구글의 리더십, 인공 일반 지능(AGI)의 추구, 기업의 영향력에 대한 우려와 함께 다양한 산업에 미칠 수 있는 AI의 잠재적 영향에 대해 살펴봅니다.
  • 이 글은 또한 AI 기술의 한계와 실현 가능성, 구글 CEO의 실패, 회사 내에서 딥마인드의 역할에 대해 강조합니다.

xz-utils 백도어 발견: 긴급 보안 권고

  • 2024년 3월 29일에 xz-utils에서 백도어가 발견되었으며, 권한이 없는 원격 시스템이 공용 SSH 포트에 연결하여 트리거되는 5.6.0 또는 5.6.1 버전의 xz 또는 liblzma가 설치된 시스템에 영향을 미칩니다.
  • 이 익스플로잇은 glibc, systemd 및 특정 구성을 사용하여 OpenSSH의 인증 절차를 대상으로 하며, 잠재적으로 인증 프로세스를 우회할 수 있습니다.
  • xz-utils의 유지 관리자는 공개적으로 액세스할 수 있는 SSH를 사용하는 사용자가 시스템을 즉시 업데이트해야 한다고 강조하면서 적극적으로 패치 작업을 진행하고 있습니다.

반응

  • 프로세스 이름이 /usr/bin/sshd와 일치하는 경우 SSH 서버가 손상될 위험이 있는 백도어인 xz-utils가 xz/liblzma 라이브러리에서 발견되었습니다.
  • 공격자는 압축 라이브러리의 테스트 폴더에 익스플로잇을 심어 오픈 소스 및 비공개 소스 환경의 소프트웨어 보안 관행에 대한 논쟁을 촉발시켰습니다.
  • 현재 진행 중인 논의는 과거 커밋의 의미에 초점을 맞추고 이러한 침해를 방지하기 위해 소프트웨어 개발 및 배포 방법을 지속적으로 경계해야 함을 강조합니다.

배너 블라인드 방지: 사용자 행동과 광고 효과에 대한 이해

  • 1998년에 처음 등장한 배너 블라인드(banner blindness)는 방문자가 어수선함 혐오, 사이트에 대한 사용자 친숙도 등의 요인으로 인해 웹사이트의 배너와 같은 정보를 무시하는 현상을 말합니다.
  • 배너 광고와 사용자의 상호 작용은 웹사이트 친숙도에 크게 영향을 받아 조회수와 클릭에 영향을 미칩니다.
  • 일치성, 클릭 유도 문안, 애니메이션, 개인화 등의 요소는 온라인 광고 효과에 영향을 미치며, 개인화된 광고는 더 많은 관심을 끌지만 관련 없는 광고는 불만을 유발합니다.

반응

  • 이 포럼에서는 특히 긴급 상황에서 자동 조종 장치 작동이나 의도적인 규칙 위반으로 인해 사람들이 경고 신호를 무시하는 배너 블라인드에 대해 논의합니다.
  • 물리적 장벽을 사용하여 간판을 시각적으로 더 눈에 띄게 만들거나 문 디자인을 조정하여 주의를 끌 수 있도록 하는 등의 제안이 있습니다.
  • 또한 성별 차이, 안전 위반에 대한 질책, 온라인 콘텐츠에 대한 광고의 영향, 자기 보호를 위한 광고 차단기 사용 등에 대해서도 다룹니다.