Ga naar hoofdinhoud

2024-03-30

Kritieke backdoor ontdekt in xz/liblzma bedreigt SSH-servers

  • Het Openwall-project biedt gratis en open-source producten voor serverbeveiliging, zoals een Linux OS, een wachtwoordkraker en tools voor het hashen van wachtwoorden.
  • Er is een achterdeur ontdekt in het xz/liblzma pakket, die SSH-servers op glibc-gebaseerde x86-64 Linux-systemen beïnvloedt en een risico op ongeautoriseerde toegang of code-uitvoering op afstand creëert.
  • Exploitcode richt zich op specifieke bibliotheken, waardoor distributies als Debian en Red Hat het probleem aanpakken; kwetsbare systemen moeten dringend worden geüpgraded.

Reacties

  • Een achterdeur in upstream xz/liblzma leidde tot compromittering van SSH-servers, wat resulteerde in schorsingen van accounts en het verwijderen van de sleutel van de auteur uit repositories, wat discussies op gang bracht over complexiteit van code en mogelijke betrokkenheid van staatsactoren bij open source-projecten.
  • Bezorgdheid over de beveiliging van het XZ-bestandsformaat in Linux-distributies voor bedrijven die onmiddellijke updates missen, waarbij het belang wordt benadrukt van multi-factor authenticatie met methoden zoals YubiKeys en het opslaan van TOTP herstelwachtwoorden voor noodgevallen.
  • Debatten over de effectiviteit van twee-factor authenticatie, beperkingen van MFA, risico's van het opslaan van wachtwoorden en tokens op hetzelfde apparaat, discussies over de implementatie van Passkeys, hardwaresleutels voor authenticatie en transparantie in codeerpraktijken, samen met de oproep van de gemeenschap om waakzaam te zijn en kwetsbaarheden in de beveiliging snel aan te pakken.

Filantroop creëert 'Europees Yellowstone' in Roemenië

  • De filantropengroep van Hansjörg Wyss verwerft uitgestrekte grond in Roemenië om een 'Europees Yellowstone' te stichten in de Karpaten, met als doel de natuur te behouden, ecotoerisme te stimuleren en de economie van de regio te versterken.
  • De stichting heeft 27.027 hectare aangekocht en streeft naar een beschermd gebied van 200.000 hectare, maar stuit daarbij op verzet van de bewoners, jachtgroepen en de strijd om het opzetten van een nationaal park.
  • De inspanningen omvatten herbebossing, behoud van wilde dieren en betrokkenheid van de gemeenschap om obstakels aan te pakken en een levensvatbaar kader voor natuurbehoud op te zetten.

Reacties

  • De gesprekken richten zich op het opzetten van een Europees Yellowstone National Park in Roemenië om bizons te herintroduceren, met aandacht voor het gedrag van wilde dieren, de menselijke aanwezigheid in natuurlijke habitats, toerisme, natuurbehoud, de economische strijd in Roemenië en de effecten van het kapitalisme op natuurlijke hulpbronnen.
  • Benadrukt de essentie van het samenleven met wilde dieren, verantwoordelijk handelen en natuurbehoud als centrale thema's in het discours.

Toppers nemen mogelijk ontslag als nieuwe medewerkers meer betaald krijgen

  • Salaristransparantie neemt toe in verschillende sectoren, waardoor bestaande werknemers salarisverschillen opmerken met nieuwe werknemers.
  • Onderzoek toont aan dat als de salarissen voor het huidige personeel niet worden aangepast na de aanwerving van nieuw personeel, toppresteerders ontslag kunnen nemen.
  • Werkgevers wordt geadviseerd om consequent de loongelijkheid te beoordelen en de lonen onmiddellijk aan te passen om mogelijk verlies van talent te voorkomen.

Reacties

  • De discussie belicht de uitdagingen van salarisverschillen, vooral wanneer nieuwe werknemers meer verdienen dan ervaren werknemers, waardoor toppresteerders vertrekken en bestaande werknemers zich ondergewaardeerd voelen.
  • Het belang van transparantie in salarissen, onderhandelen over hogere salarissen en de invloed van marktomstandigheden op compensatie worden benadrukt.
  • Het debat gaat ook over retentiestrategieën, loopbaanontwikkeling, veranderende demografie van het personeelsbestand, gezinsplanning, kennisoverdracht, de economische problemen van ouders in de VS en de impact van generatiekloven op de werkplek.

Behoud van de digitale geschiedenis van Santa Barbara temidden van dreigend faillissement

  • De Santa Barbara News-Press, een historische krant, heeft het faillissement uitgesproken, waardoor het digitale archief gevaar loopt te worden verkocht aan een buitenlands bedrijf met een geschiedenis in het transformeren van gerenommeerde websites in "backlink farms" voor SEO.
  • Deze onethische SEO-praktijken omvatten het toevoegen van betaalde inhoud om zoekmachinerankings te manipuleren, waardoor de historische nauwkeurigheid van de records van de gemeenschap in gevaar kan komen.
  • Burgers worden opgeroepen mee te bieden op het archief om de inhoud ervan te beschermen en de betrokkenheid bij exploitatieve online activiteiten tegen te gaan.

Reacties

  • Deadspin werd verkocht aan investeerders in de online game-industrie, wat risico's opleverde voor de geschiedenis van de gemeenschap.
  • Werknemers richtten een co-op op met de naam Defector vanwege problemen met vakbondsvertegenwoordiging en lokale nieuwssites in Santa Barbara.
  • Het artikel gaat over het scheiden van activa en passiva in bedrijven, handel met voorkennis, prijsafspraken en het belang van het bewaren van cultureel erfgoed door middel van archieven.

Apache Guacamole: Overal toegang tot desktops met Clientless Gateway

  • Apache Guacamole is een clientloze remote desktop gateway die protocollen zoals VNC, RDP en SSH ondersteunt en toegankelijk is via een webbrowser voor toegang tot het bureaublad op afstand.
  • De software is open source onder de Apache-licentie, wordt voortdurend verbeterd door een gemeenschap van ontwikkelaars en heeft een gedocumenteerde API voor naadloze integratie met verschillende toepassingen.
  • Er worden zowel communautaire als commerciële ondersteuningsopties aangeboden voor Apache Guacamole.

Reacties

  • Apache Guacamole is een clientloze remote desktop gateway voor toegang tot externe desktops via een webbrowser, en wordt geprezen om zijn functionaliteit en aanpasbaarheid.
  • Gebruikers hebben problemen gemeld zoals inputvertraging en geluidskwaliteit tijdens het gebruik van Guacamole, maar ze hebben positieve ervaringen gedeeld in het onderwijs en op de werkplek.
  • Alternatieve projecten zoals BrowserBox, xpra en KasmWeb zijn besproken, waarbij sommige gebruikers op zoek waren naar Java-onafhankelijke oplossingen, wat de waarde van Guacamole voor externe desktoptoegang aantoont.

Lekkage kunstmest in Iowa verwoest vissen in 60-mijl lange rivier

  • Een kunstmestlek in Iowa leidde tot de dood van bijna 800.000 vissen in de rivieren van Iowa en Missouri door een lekkage van vloeibare stikstofkunstmest door een open klep.
  • Dit incident, een van de grootste vissterftegevallen in Iowa, kan jaren duren voordat het ecosysteem zich volledig hersteld heeft.
  • De lekkage benadrukt de problemen bij het afdwingen van strengere regelgeving in landbouwstaten en werpt een licht op de voortdurende uitdagingen op het gebied van watervervuiling.

Reacties

  • Een lekkage van kunstmest in Iowa roeide de meeste vissen uit langs een 60 mijl lange rivier, waarbij ammoniak het belangrijkste schadelijke bestanddeel was dat het waterleven aantastte.
  • Het incident onderstreept de milieuschade die verband houdt met landbouwpraktijken en heeft discussies aangewakkerd over het opleggen van zwaardere straffen aan de veroorzakers van dergelijke rampen.
  • Sommige discussies verschuiven naar het trekken van parallellen tussen milieuschade en zorgen over softwarebeveiliging, waarbij de verschillende urgenties om deze problemen aan te pakken worden benadrukt.

Het ontdekken van de XZ achterdeur: Risico's van individuele donateurs

  • Er werd een achterdeur in de Xz-software ontdekt, waarbij Jia Tan, een verdachte medewerker, een centrale rol speelde bij het aanbrengen van schadelijke codewijzigingen en het pushen van gecompromitteerde versies naar repositories.
  • Het bericht benadrukt de risico's van het sterk afhankelijk zijn van individuele medewerkers zoals Jia Tan zonder adequate ondersteuning, waardoor beveiligingszorgen in de hele sector ontstaan.
  • Verdachte LinkedIn profielen en mogelijke identiteitsdiefstal in verband met Jia Tan komen ook aan bod in de blogpost.

Reacties

  • Een mogelijk achterdeurtje in de xz compressiesoftware doet zorgen rijzen over een inlichtingendienst die OpenSSH als doelwit heeft.
  • Vermoedens suggereren een gecoördineerde poging om de software te compromitteren, mogelijk door een agentschap van een natiestaat, wat de noodzaak van robuuste beveiligingsmaatregelen benadrukt.
  • Het bericht onderstreept het belang van het hebben van meerdere beheerders voor kritieke open-source projecten om beveiligingsrisico's effectief te beperken.

Een DDoS-storm doorstaan met eenvoudig ontwerp en krachtige frameworks

  • De blog gaat over een DDoS-aanval op de server van het bedrijf en benadrukt hun keuze om niet in te grijpen omdat hun systeem de aanval kon weerstaan.
  • Hun veerkracht tijdens de aanval is te danken aan hun ongecompliceerde, monolithische servicestructuur en het gebruik van efficiënte frameworks zoals Golang en Rust.
  • Ze benadrukken het belang van goede implementatiestrategieën en pleiten voor het gebruik van binaries in plaats van containers en het verbeteren van de prestaties door het omzeilen van tussenlagen.

Reacties

  • Tableplus.com bespreekt DDoS-aanvallen, kwetsbaarheden van websites, verkeerspieken, het inzetten van applicaties in containers en beveiligingsmaatregelen zoals de modus "Under Attack".
  • Onderwerpen zijn onder andere het bouwen van monolithische services met Golang, het beheren van hoge aanvraagvolumes en het debat over monolithische vs. microservices-architectuur.
  • Er worden meningen gedeeld over het verbeteren van de beveiliging, het vereenvoudigen van de implementatie en het aanpakken van organisatorische uitdagingen bij het kiezen van architectuurstrategieën.

De levensduur van de Raspberry Pi maximaliseren: Werken met alleen-lezen root-bestandssysteem

  • Het draaien van een Raspberry Pi met een alleen-lezen rootbestandssysteem kan de levensduur van de SD-kaart verlengen door het aantal schrijfbewerkingen te verminderen.
  • De gids biedt gedetailleerde instructies voor verschillende stappen, waaronder het verwijderen van onnodige software, het configureren van alleen-lezen bestandssysteem, het beheren van programma's geïnstalleerd via snap, het gebruik van tmpfs voor RAM gegevensopslag en het beperken van de ruimte gebruikt door journald.
  • Het behandelt ook het omgaan met fouten van processen die mogelijk niet correct werken op een alleen-lezen bestandssysteem, waardoor een uitgebreide aanpak wordt geboden voor het optimaliseren van de prestaties en efficiëntie van de Raspberry Pi.

Reacties

  • Het artikel onderzoekt het draaien van een Raspberry Pi met een alleen-lezen root bestandssysteem, waarbij SquashFS en EROFS worden voorgesteld als bestandssystemen.
  • Gebruikers delen hun ervaringen met verschillende besturingssystemen en instellingen voor alleen-lezen Pi's en bevelen tools aan zoals Alpine Linux.
  • Aanbevelingen zijn onder andere industriële SD-kaarten, betrouwbare voedingen en strategieën voor de levensduur van SD-kaarten om gegevenscorruptie te voorkomen, samen met het gebruik van overlay bestandssystemen zoals overlayfs met tmpfs voor het maken van afbeeldingen.

Werons WebRTC overlay netwerken verkennen

  • Weron is een op WebRTC gebaseerd overlay-netwerk dat toegang mogelijk maakt tot nodes achter NAT, beveiligde thuisnetwerken en het omzeilen van censuur, en biedt een eenvoudige API voor peer-to-peer protocollen.
  • Gebruikers kunnen Weron installeren via gecontaineriseerde OCI-images of statische binaries, waarbij de signaleringsserver wordt gebruikt om peers te verbinden, gemeenschappen te beheren en latency- en doorvoermetingen op het netwerk uit te voeren.
  • De tekst behandelt het creëren van Layer 3 en Layer 2 overlay netwerken met Werons VPN, het opzetten van een Layer 2 Ethernet overlay netwerk en het maken van aangepaste protocollen met wrtcconn, samen met richtlijnen voor het gebruik van weron, inclusief commandoregel argumenten, omgevingsvariabelen en licentie details.

Reacties

  • De discussie richt zich op WebRTC voor peer-to-peer internetcommunicatie, waarbij technologieën zoals SimplePeer, GCM, MLS en WebTorrent worden genoemd, samen met uitdagingen op het gebied van server- en browserondersteuning.
  • Er wordt gespeculeerd over de afkeer van Apple om webtechnologieën zoals WebTransport en WebRTC te ondersteunen, mogelijk om zijn app-winkel te promoten. Dit heeft geleid tot discussies over het vereenvoudigen van peer-onderhandelingen en het verbeteren van de beveiliging door middel van open-source WebRTC-videoconferentieoplossingen.
  • Ontwikkelaars wegen de efficiëntie van STUN en WebRTC af bij NAT traversal, waarbij ze zich zorgen maken over beveiliging en bruikbaarheid.

Demis Hassabis: Leidt Google's AI-push

  • Demis Hassabis, de oprichter van DeepMind, leidt het AI-onderzoek van Google om de concurrentiepositie op dit gebied te behouden.
  • DeepMind's doorbraken zoals AlphaGo en AlphaFold hebben hun AI-expertise gevestigd, maar een communicatiekloof met OpenAI zorgde voor uitdagingen in generatieve modellen.
  • Hassabis werkt aan Gemini, een taalmodel dat moet concurreren met de GPT-modellen van OpenAI, naast het ontwikkelen van autonome agentensystemen, wat aangeeft dat hij meer waarde hecht aan onderzoek dan aan het mogelijk worden van CEO van Google.

Reacties

  • Het artikel bespreekt uitdagingen bij het implementeren van boomzoekalgoritmen in grote taalmodellen bij Google en benadrukt het belang van training voor nieuwheid.
  • Het onderzoekt het leiderschap van Google, het streven naar Artificial General Intelligence (AGI) en de zorgen over de invloed van bedrijven, samen met de potentiële impact van AI op verschillende industrieën.
  • De tekst belicht ook de beperkingen en haalbaarheid van AI-technologie, waargenomen mislukkingen van de CEO van Google en de rol van DeepMind binnen het bedrijf.

Ontdek de achterdeur van xz-utils: Dringend beveiligingsadvies

  • Op 29 maart 2024 is een achterdeur gevonden in xz-utils, die van invloed is op systemen met versies 5.6.0 of 5.6.1 van xz of liblzma. Deze achterdeur wordt geactiveerd door systemen zonder privilege die op afstand verbinding maken met openbare SSH-poorten.
  • De exploit gebruikt glibc, systemd en specifieke configuraties om OpenSSH's verificatieprocedures aan te vallen, waardoor mogelijk verificatieprocessen kunnen worden omzeild.
  • De beheerders van xz-utils werken actief aan patches en benadrukken de urgentie voor gebruikers met publiek toegankelijke SSH om hun systemen snel bij te werken.

Reacties

  • Er is een achterdeur, xz-utils, gevonden in de xz/liblzma bibliotheek, waardoor SSH servers gecompromitteerd kunnen worden wanneer de procesnaam overeenkomt met /usr/bin/sshd.
  • De aanvaller plaatste de exploit in de testmap van de compressiebibliotheek, wat een discussie op gang bracht over de beveiligingspraktijken van software in open en gesloten bronomgevingen.
  • Lopende gesprekken richten zich op de implicaties van commits uit het verleden en benadrukken de voortdurende noodzaak voor waakzame softwareontwikkeling en distributiemethoden om zulke compromissen te voorkomen.

Bannerblindheid bestrijden: Inzicht in gebruikersgedrag en advertentie-effectiviteit

  • Van bannerblindheid, voor het eerst genoemd in 1998, is sprake wanneer bezoekers bannerachtige informatie op websites negeren vanwege factoren als afkeer van rommel en bekendheid met de site.
  • De interactie van gebruikers met banneradvertenties wordt sterk beïnvloed door de bekendheid met de website, wat een invloed heeft op weergaven en klikken.
  • Factoren zoals congruentie, oproepen tot actie, animatie en personalisatie beïnvloeden de effectiviteit van online advertenties, waarbij gepersonaliseerde advertenties meer aandacht trekken en irrelevante advertenties frustratie veroorzaken.

Reacties

  • Het forum bespreekt Banner Blindness, waarbij mensen waarschuwingssignalen negeren, vooral in noodsituaties, als gevolg van gedrag op de automatische piloot of het opzettelijk overtreden van regels.
  • Suggesties zijn onder andere om borden visueel opvallender te maken door fysieke barrières te gebruiken of door het ontwerp van deuren aan te passen om de aandacht te trekken.
  • Gebruikers hebben het ook over verschillen in geslacht, berispingen voor veiligheidsovertredingen, de invloed van advertenties op online inhoud en het gebruik van advertentieblokkers voor zelfbescherming.