Gå til hovedinnhold

2024-03-30

Kritisk bakdør oppdaget i xz/liblzma som truer SSH-servere

  • Openwall-prosjektet tilbyr gratis produkter med åpen kildekode for serversikkerhet, for eksempel et Linux-operativsystem, passordknekker og verktøy for passordhashing.
  • Det ble oppdaget en bakdør i xz/liblzma-pakken som påvirker SSH-servere på glibc-baserte x86-64 Linux-systemer, noe som skaper en risiko for uautorisert tilgang eller ekstern kjøring av kode.
  • Utnyttelseskoden er rettet mot spesifikke biblioteker, noe som har fått distribusjoner som Debian og Red Hat til å ta tak i problemet; sårbare systemer må oppgraderes raskt.

Reaksjoner

  • En bakdør i oppstrøms xz/liblzma førte til kompromittering av SSH-servere, noe som resulterte i at kontoer ble suspendert og forfatterens nøkkel ble fjernet fra repositoriene, noe som utløste diskusjoner om kodekompleksitet og potensielle statlige aktørers involvering i åpen kildekode-prosjekter.
  • Bekymringer knyttet til sikkerheten i XZ-filformatet i Linux-distribusjoner for bedrifter som mangler umiddelbare oppdateringer, noe som understreker viktigheten av flerfaktorautentisering med metoder som YubiKeys og lagring av TOTP-gjenopprettingspassord i nødstilfeller.
  • Debatter om effektiviteten av tofaktorautentisering, begrensningene ved MFA, risikoen ved å lagre passord og tokens på samme enhet, diskusjoner om implementering av Passkeys, maskinvarenøkler for autentisering og åpenhet i kodepraksis, samt samfunnets oppfordring til årvåkenhet og rask håndtering av sikkerhetssårbarheter.

Filantrop skaper et "europeisk Yellowstone" i Romania

  • Hansjörg Wyss' filantropiske gruppe er i ferd med å kjøpe opp store landområder i Romania for å etablere et "europeisk Yellowstone" i Karpatene. Målet er å bevare naturen, fremme økoturisme og styrke økonomien i regionen.
  • Stiftelsen har kjøpt 27 027 hektar og har som mål å opprette et verneområde på 200 000 hektar, men har møtt motstand fra innbyggere, jaktgrupper og har kjempet for å opprette en nasjonalpark.
  • Innsatsen omfatter skogplanting, bevaring av dyreliv og samfunnsengasjement for å takle hindringer og etablere et levedyktig rammeverk for bevaring.

Reaksjoner

  • Samtalene fokuserer på etableringen av en europeisk Yellowstone-nasjonalpark i Romania for å gjeninnføre bisonokser, og belyser dyrelivets atferd, menneskets tilstedeværelse i naturlige habitater, turisme, naturvern, økonomiske problemer i Romania og kapitalismens innvirkning på naturressursene.
  • Sentralt i diskursen står sameksistens med dyrelivet, ansvarlig opptreden og bevaring av naturen.

De beste medarbeiderne sier kanskje opp hvis nyansatte får høyere lønn

  • Lønnstransparensen øker i ulike bransjer, noe som fører til at eksisterende ansatte merker lønnsforskjeller i forhold til nyansatte.
  • Forskning tyder på at uten å justere lønnen til nåværende ansatte etter nyansettelser, kan det føre til at de beste medarbeiderne sier opp.
  • Arbeidsgivere rådes til å foreta konsekvente vurderinger av likelønn og raskt endre lønningene for å forhindre tap av talenter.

Reaksjoner

  • Diskusjonen setter søkelyset på utfordringer knyttet til lønnsforskjeller, særlig når nyansatte tjener mer enn erfarne medarbeidere, noe som fører til at de beste slutter og eksisterende ansatte føler seg undervurdert.
  • Det legges vekt på betydningen av åpenhet om lønn, forhandlinger om høyere lønn og hvordan markedsforholdene påvirker lønnen.
  • Debatten omfatter også strategier for å holde på folk, karriereutvikling, endringer i arbeidsstyrkens demografi, familieplanlegging, kunnskapsoverføring, foreldres økonomiske problemer i USA og effekten av generasjonskløftene på arbeidsplassen.

Bevaring av Santa Barbaras digitale historie midt i en konkurstruet situasjon

  • Den historiske avisen Santa Barbara News-Press har gått konkurs, og det digitale arkivet står dermed i fare for å bli solgt til et utenlandsk selskap som har en historie med å forvandle anerkjente nettsteder til "backlink farms" for SEO.
  • Denne uetiske SEO-praksisen innebærer blant annet å legge til betalt innhold for å manipulere søkemotorrangeringer, noe som kan gå ut over den historiske nøyaktigheten i nettsamfunnets arkiver.
  • Innbyggerne oppfordres til å delta i budrunden for å sikre arkivets innhold og hindre at det blir involvert i utnyttende aktiviteter på nettet.

Reaksjoner

  • Deadspin ble solgt til investorer i nettspillbransjen, noe som førte til risiko for nettsamfunnets historie.
  • På grunn av utfordringer med fagforeningsrepresentasjon og lokale nyhetssider i Santa Barbara har arbeiderne opprettet et kooperativ kalt Defector.
  • Artikkelen handler om å skille eiendeler fra gjeld i bedrifter, innsidehandel, prissamarbeid og betydningen av å bevare kulturarv gjennom arkiver.

Apache Guacamole: Få tilgang til datamaskiner hvor som helst med klientløs gateway

  • Apache Guacamole er en klientløs gateway for eksternt skrivebord som støtter protokoller som VNC, RDP og SSH, og som er tilgjengelig via en nettleser for tilgang til eksternt skrivebord.
  • Programvaren er åpen kildekode under Apache-lisensen, videreutvikles kontinuerlig av et utviklerfellesskap og har et dokumentert API for sømløs integrering med ulike applikasjoner.
  • Apache Guacamole tilbyr både fellesskapsstøtte og kommersiell støtte.

Reaksjoner

  • Apache Guacamole er en klientløs fjernskrivebordsgateway for tilgang til eksterne skrivebord via en nettleser, og har fått mye ros for sin funksjonalitet og tilpasning.
  • Brukere har rapportert om problemer med input-forsinkelse og lydkvalitet ved bruk av Guacamole, men har også delt positive erfaringer i utdannings- og arbeidssammenheng.
  • Alternative prosjekter som BrowserBox, xpra og KasmWeb har blitt diskutert, og noen brukere har søkt Java-uavhengige løsninger, noe som viser Guacamoles verdi for ekstern skrivebordstilgang.

Utslipp av kunstgjødsel i Iowa ødelegger fisken i en 60 kilometer lang elvestrekning

  • Et utslipp av kunstgjødsel i Iowa førte til at nesten 800 000 fisk døde i elver i Iowa og Missouri på grunn av lekkasje av flytende nitrogengjødsel fra en åpen ventil.
  • Denne hendelsen, som er en av Iowas største fiskedødsfall, kan ta mange år før økosystemet er fullstendig gjenopprettet, noe som understreker bekymringen for vedvarende vannforurensning.
  • Utslippet understreker vanskelighetene med å håndheve strengere regler i landbruksstater, og belyser de pågående utfordringene med vannforurensning.

Reaksjoner

  • Et utslipp av kunstgjødsel i Iowa utslettet det meste av fisken langs en 60 kilometer lang elvestrekning, og ammoniakk var den viktigste skadelige komponenten som påvirket livet i vannet.
  • Hendelsen understreker miljøskadene knyttet til landbrukspraksis og har utløst en debatt om strengere straffer for dem som forårsaker slike katastrofer.
  • Noen av diskusjonene går over til å trekke paralleller mellom miljøskader og programvaresikkerhet, noe som understreker at det haster med å løse disse problemene.

Avdekking av XZ-bakdøren: Risikoen ved individuelle bidragsytere

  • En bakdør i Xz-programvaren ble oppdaget, og Jia Tan, en mistenkelig bidragsyter, spilte en sentral rolle i å gjøre skadelige kodeendringer og legge ut kompromitterte versjoner i depotene.
  • Innlegget setter søkelyset på risikoen ved å være avhengig av enkeltbidragsytere som Jia Tan uten tilstrekkelig støtte, noe som gir grunn til bekymring for sikkerheten i hele bransjen.
  • Mistenkelige LinkedIn-profiler og potensielle problemer med identitetstyveri knyttet til Jia Tan tas også opp i blogginnlegget.

Reaksjoner

  • En potensiell bakdør i xz-komprimeringsprogramvaren vekker bekymring for at en etterretningstjeneste har OpenSSH som mål.
  • Mistanken tyder på at det har vært en koordinert innsats for å kompromittere programvaren, muligens fra en nasjonalstat, noe som understreker behovet for robuste sikkerhetstiltak.
  • Innlegget understreker betydningen av å ha flere ansvarlige for kritiske åpen kildekode-prosjekter for å redusere sikkerhetsrisikoen på en effektiv måte.

Forhindrer DDoS-storm med enkel design og rammeverk med høy ytelse

  • Bloggen tar for seg et DDoS-angrep på selskapets server og fremhever at de valgte å ikke gripe inn på grunn av systemets evne til å motstå angrepet.
  • Deres motstandsdyktighet under angrepet tilskrives deres ukompliserte, monolittiske tjenestestruktur og bruk av effektive rammeverk som Golang og Rust.
  • De understreker betydningen av gode distribusjonsstrategier og anbefaler å bruke binære filer fremfor containere og å forbedre ytelsen ved å unngå mellomlag.

Reaksjoner

  • Tableplus.com diskuterer DDoS-angrep, sårbarheter på nettsteder, trafikktopper, distribusjon av applikasjoner i containere og sikkerhetstiltak som "Under angrep"-modus.
  • Blant temaene er bygging av monolittiske tjenester med Golang, håndtering av store forespørselsvolumer og debatten om monolittisk vs. mikrotjenestearkitektur.
  • Det deles meninger om hvordan man kan forbedre sikkerheten, forenkle distribusjonen og håndtere organisatoriske utfordringer ved valg av arkitekturstrategier.

Maksimering av Raspberry Pis levetid: Kjører med skrivebeskyttet rotfilsystem

  • Hvis du kjører Raspberry Pi med et skrivebeskyttet rotfilsystem, kan du forlenge SD-kortets levetid ved å redusere antall skriveoperasjoner.
  • Veiledningen inneholder detaljerte instruksjoner om ulike trinn, blant annet fjerning av unødvendig programvare, konfigurering av skrivebeskyttet filsystem, håndtering av programmer som er installert via snap, bruk av tmpfs for lagring av RAM-data og begrensning av plass brukt av journald.
  • Den tar også for seg håndtering av feil fra prosesser som kanskje ikke fungerer korrekt på et skrivebeskyttet filsystem, og gir en omfattende tilnærming til optimalisering av Raspberry Pi-ytelse og -effektivitet.

Reaksjoner

  • Artikkelen utforsker hvordan man kjører en Raspberry Pi med et skrivebeskyttet rotfilsystem, og foreslår SquashFS og EROFS som filsystem.
  • Brukere deler sine erfaringer med ulike operativsystemer og oppsett for skrivebeskyttet Pi-drift, og anbefaler verktøy som Alpine Linux.
  • Anbefalingene omfatter industrielle SD-kort, pålitelige strømforsyninger og strategier for SD-kortets levetid for å unngå datakorrupsjon, samt bruk av overleggsfilsystemer som overlayfs med tmpfs for bildeproduksjon.

Utforsking av Werons WebRTC-overlay-nettverk

  • Weron er et WebRTC-basert overlay-nettverk som gjør det mulig å få tilgang til noder bak NAT, sikre hjemmenettverk og omgå sensur, og som tilbyr et enkelt API for peer-to-peer-protokoller.
  • Brukere kan installere Weron via containeriserte OCI-images eller statiske binære filer, med detaljer om bruken av signaleringsserveren for å koble til jevnaldrende, administrere fellesskap og utføre latens- og gjennomstrømningsmålinger i nettverket.
  • Teksten dekker opprettelse av lag 3- og lag 2-overlay-nettverk med Werons VPN, etablering av et lag 2-ethernet-overlay-nettverk og utarbeidelse av egendefinerte protokoller med wrtcconn, sammen med veiledning i bruk av weron, inkludert kommandolinjeargumenter, miljøvariabler og lisensdetaljer.

Reaksjoner

  • Diskusjonen fokuserer på WebRTC for peer-to-peer-kommunikasjon på Internett, og nevner teknologier som SimplePeer, GCM, MLS og WebTorrent, samt utfordringer knyttet til server- og nettleserstøtte.
  • Det spekuleres i Apples motvilje mot å støtte webteknologier som WebTransport og WebRTC, muligens for å markedsføre appbutikken sin, noe som har ført til debatter om forenkling av peer-forhandlinger og forbedring av sikkerheten gjennom WebRTC-videokonferanseløsninger med åpen kildekode.
  • Utviklere vurderer effektiviteten til STUN og WebRTC når det gjelder NAT-traversering, og bekymrer seg samtidig for sikkerheten og brukervennligheten.

Demis Hassabis: Leder Googles satsing på kunstig intelligens

  • Demis Hassabis, DeepMinds grunnlegger, leder Googles AI-forskning for å opprettholde konkurransekraften på området.
  • DeepMinds gjennombrudd som AlphaGo og AlphaFold har etablert deres ekspertise innen kunstig intelligens, men et kommunikasjonsgap med OpenAI skapte utfordringer for generative modeller.
  • Hassabis jobber med Gemini, en språkmodell som skal konkurrere med OpenAIs GPT-modeller, samtidig som han utvikler autonome agentsystemer, noe som viser at han er mer opptatt av forskning enn av å bli Googles administrerende direktør.

Reaksjoner

  • Artikkelen diskuterer utfordringer med å implementere tresøksalgoritmer i store språkmodeller hos Google og understreker betydningen av å trene på nyhet.
  • Den utforsker Googles lederskap, jakten på AGI (Artificial General Intelligence), bekymringen for bedriftens innflytelse og den potensielle AI-påvirkningen på ulike bransjer.
  • Teksten belyser også AI-teknologiens begrensninger og gjennomførbarhet, Googles administrerende direktørs opplevde feil og DeepMinds rolle i selskapet.

Avdekking av xz-utils-bakdøren: Hastende sikkerhetsrådgivning

  • Den 29. mars 2024 ble det funnet en bakdør i xz-utils som påvirket systemer med versjon 5.6.0 eller 5.6.1 av xz eller liblzma, utløst av eksterne uprivilegerte systemer som koblet til offentlige SSH-porter.
  • Utnyttelsen bruker glibc, systemd og spesifikke konfigurasjoner for å angripe OpenSSHs autentiseringsprosedyrer, noe som potensielt gjør det mulig å omgå autentiseringsprosessene.
  • De som vedlikeholder xz-utils jobber aktivt med oppdateringer, og understreker at det haster for brukere med offentlig tilgjengelig SSH å oppdatere systemene sine.

Reaksjoner

  • En bakdør, xz-utils, ble funnet i xz/liblzma-biblioteket, noe som kan kompromittere SSH-servere når prosessnavnet samsvarer med /usr/bin/sshd.
  • Angriperen plantet angrepet i kompresjonsbibliotekets testmappe, noe som utløste en debatt om sikkerhetspraksis for programvare med åpen og lukket kildekode.
  • Pågående samtaler fokuserer på konsekvensene av tidligere commits og understreker det kontinuerlige behovet for årvåken programvareutvikling og distribusjonsmetoder for å forhindre slike kompromitteringer.

Bekjempelse av bannerblindhet: Forståelse av brukeratferd og annonseeffektivitet

  • Bannerblindhet, som første gang ble omtalt i 1998, er når besøkende ignorerer bannerlignende informasjon på nettsteder på grunn av faktorer som uoversiktlighet og brukerens kjennskap til nettstedet.
  • Brukernes interaksjon med bannerannonser påvirkes i stor grad av hvor kjent nettstedet er, noe som igjen påvirker antall visninger og klikk.
  • Faktorer som kongruens, oppfordringer til handling, animasjon og personalisering påvirker effekten av nettannonser. Personaliserte annonser får mer oppmerksomhet, mens irrelevante annonser skaper frustrasjon.

Reaksjoner

  • Forumet diskuterer bannerblindhet, der folk ignorerer faresignaler, spesielt i nødsituasjoner, på grunn av autopilotatferd eller bevisst regelbrudd.
  • Blant forslagene er å gjøre skiltene mer synlige ved hjelp av fysiske barrierer eller ved å tilpasse dørdesignet for å fange oppmerksomheten.
  • Brukerne tar også opp kjønnsforskjeller, irettesettelser for sikkerhetsbrudd, annonsers innflytelse på nettinnhold og bruk av annonseblokkere for å beskytte seg selv.