O víkendu probíhá v Bostonu, a také virtuálně, konference LibrePlanet 2024 organizovaná nadací Free Software Foundation (FSF).
Nová vývojová verze Wine 9.8 řeší mimo jiné chybu #3689 při instalaci Microsoft Office 97 nahlášenou v roce 2005.
Coppwr, tj. GUI nástroj pro nízkoúrovňové ovládání PipeWire, byl vydán v nové verzi 1.6.0. Zdrojové kódy jsou k dispozici na GitHubu. Instalovat lze také z Flathubu.
Byla vydána dubnová aktualizace aneb nová verze 1.89 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Vypíchnout lze, že v terminálu lze nově povolit vkládání kopírovaného textu stisknutím středního tlačítka myši. Ve verzi 1.89 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Proton, tj. fork Wine integrovaný v Steam Play a umožňující v Linuxu přímo ze Steamu hrát hry určené pouze pro Windows, byl vydán ve verzi 9.0-1 (𝕏). Přehled novinek se seznamem nově podporovaných her na GitHubu. Aktuální přehled her pro Windows běžících díky Protonu také na Linuxu na stránkách ProtonDB.
Byla vydána verze 1.78.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání na GitHubu. Vyzkoušet Rust lze například na stránce Rust by Example.
Služba Dropbox Sign (původně HelloSign) pro elektronické podepisování smluv byla hacknuta.
Byla vydána nová major verze 8.0 textového editoru GNU nano (Wikipedie). Podrobný přehled novinek a oprav v oznámení v diskusním listu info-nano nebo v souboru ChangeLog na Savannah. Volbou --modernbindings (-/) lze povolit "moderní" klávesové zkratky: ^C kopírování, ^V vložení, ^Z vrácení zpět, … Tato volba je aktivována také pokud binárka s nano nebo link na ni začíná písmenem "e".
Před 60 lety, 1. května 1964, byl představen programovací jazyk BASIC (Beginners' All-purpose Symbolic Instruction Code).
Byla vydána nová verze 12.0 minimalistické linuxové distribuce (JeOS, Just enough Operating System) pro Kodi (dříve XBMC) a multimediálního centra LibreELEC (Libre Embedded Linux Entertainment Center). Jedná se o fork linuxové distribuce OpenELEC (Open Embedded Linux Entertainment Center). LibreELEC 12.0 přichází s Kodi 21.0 "Omega".
"virus, červ a jiné neřádstvo" je zalezitost WindowsJá teda v konferenci debian-security vidím díry v linuxových programech zneužitelné ke vzdálenému spuštění kódu každou chvíli.
... opravdu není možné dojít k jeho přenosu z RAM na pevný disk?Asi bych řekl: To je špatně položená otázka. Protože, jak odpověď je to možné, tak i není to možné, je v zásadě správná. Virusy, červy a jiné neřádstvo není žádná démonická zvířena, ale prostě programy, které někdo vymyslel. Ty pracují v nějakém kontextu prostředí daném hlavně operačním systémem a mnohdy i prohlížečem, když běží uvnitř něj. Typicky mají nějakou distribuční část, které se stará o rozmnožování a akční část, která škodí, sbírá data, jinak útočí. Pravděpodobnost, že někomu bude stát za to psát program, který kromě standardního rozšiřování ve windows poběží i na linuxu, najde v linuxu disky, porozumí, který je systémový z win, připojí jej (popřípadě zvýší svá oprávnění tak, aby jej připojit mohl) a finálně vloží do disku takové změny, aby při přístím bootu byla win instalace zavirovaná je opravdu velmi velmi malá. do takovéhto situace se ta havěť během svých standardních distribučních cest dostávat nebude, a programátor svým úsilím precizovat a naprogramovat tuto část postupu rozšiřování havěti moc získávat nebude. Ale naprosto nulová nebude nikdy, motivovaný a finančně sliný tvůrce havěti může zahrnout i takovouto cestu.
na základě tajného zákonaZdroj? Jinak neomezoval bych se jenom na USA a VB, jinde třeba nemají tak agresivní státní složky, ale spousta malware vzniká i soukromě.
Zdroj.Tam se nepíše o tajných zákonech. To že při aplikaci udělají gag order jsem nerozporoval.
a nikdy jsem nic nechytilJak se to pozná?
Jednoduše neposíláš spam, nic z PC nezmizí, nic se nikam samo neodešle sám PC nekomunikuje s internetem......Analyzovat veškerý provoz počítače jsem zkoušel, ale byl to takový bordel, že v tom nebylo nic vidět. Navíc u TLS nedej bože s forward secrecy se to dělá dost blbě. Co k tomu používáš?
Potkal jsem už pár firem, které čas od času zapínají monitoring firewalu. s tím, že odsledují všechen IP provoz (hlavička IP + vloženého protokolu), a pak to proženou dataminingem.A jak řeší TLS (opravdu dělají na všechno MITM?) nebo nedej bože steganografii?
Podobně jako je to v kontextu internetových televizí. Tam si už žádný trochu znalý informatik nedovolí připojit televizi bez monitoringu, co dělá.To mi vždycky přijde zábavné (nebo spíš smutné) jaký taneček se dělá kolem televizí a přitom vůbec nikdo neřeší smartphony.
A jak řeší TLS (opravdu dělají na všechno MITM?) nebo nedej bože steganografii?Nějak nerozumím cestě tvé argumentace. Moje argumentace byla ta, že pokud systém by aktivně komunikoval ven, tak se to na stacionárních linkách najde. Mnoho firem (nezávislých) má dost prvku infrastruktury a v první fázi jde především o to identifikovat, zda probíhá komunikace pro niž nemám vysvětlení. Je jedno jestli na TLS, ftp či jakkoliv jinak. Pokud myslíš generování slabě lámatelné kryptografie tak tam ta identifikace je problematičtější, ale asi ne zcela nemožná, mnohé bezpečnostní firmy a akademické pracoviště si jednou subsystémy své sítě jako testovací podhoubí. A i ta steganografie by byla problematická, dokážu si představit modus operandi s automatickým vkládáním informace třeba do obrázků, ale ne moc jak to dostat ven.
To mi vždycky přijde zábavné (nebo spíš smutné) jaký taneček se dělá kolem televizí a přitom vůbec nikdo neřeší smartphony.S tím souhlasím. Smartphony jsou bezpečnostní problém, protože tam pro uživatele není žádná infrastruktura, kterou by mohl monitorovat. Okamžitě z mobilu nad kterým nemá vládu odejdou data do sítě operátora, nad kterým také nemá vládu. Možná jedině cyanogen.
Nějak nerozumím cestě tvé argumentace. Moje argumentace byla ta, že pokud systém by aktivně komunikoval ven, tak se to na stacionárních linkách najde.Já tvrdím, že se to v bordelu který generuje třeba webový prohlížeč ztratí. V podstatě libovolná stránka (nebo různé regulérní programy které si kontrolují aktualizace) dneska vyrobí TLS spojení na nějaké velké cloudové providery. Ovládací centrum malware bude pravděpodobně hostováno taky na nějakém Amazon AWS. A tohle v traffic dumpu alespoň já nejsem schopen rozlišit.
Možná jedině cyanogen.Ten má bohužel různé bloby, které také komunikují s operátorem. Nebo baseband komunikuje přes DMA, takže operátor může číst a zapisovat kousky paměti. Atd.
Účty v bance taky zůstanou netknuté......(jako tvůrce malware který jde po informacích mě fakt nezajímají nějaké peníze v bance)
chytil jsem v něm "policejní virus", proto ten dotazHustý, nebyl by prosím vzorek? :)
Myslím bez mého vstupu na ten diskNějaký tvůj vstup je tomu viru úplně fuk.
Protože klíčový krok (připojení disků) závisí na zneužití nějaké chyby pro získání práv roota, mělo by šance na úspěšný útok snížit pravidelné instalování bezpečnostních aktualizací.Live distribuce většinou po nabootování běží pod uživatelem který má sudo práva bez hesla nebo mají na roota triviální heslo ("toor", "slax", "ubuntu").
# find /boot /etc /var /lib /usr | wc -l 702017… to jsi se opravdu moc nenažral Tohle udržet plně důvěryhodné je prakticky nereálné. Hodně mohou pomoci reprodukovatelné buildy, ale ani tehdy to nebude stoprocentní.
Kdyby to někdo myslel s bezpečností doopravdy vážně, asi by používal rovnou nějaký bezdiskový netbook.Na CCC byla přednáška o instalování malware do flashky která je na desce.
Tiskni Sdílej: