Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.
Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.
Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.
Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.
PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.
Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.
Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.
Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.
Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.
Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.
iptables -A syn_flood -p tcp --dport 22 -m limit --limit 1/s --limit-burst 1 -j RETURN(Nová ne-SYN TCP spojení jsou zahozena a všechno ostatní prochází syn_floodem). Dlouho byly všechny
Authentication failure v logu jen moje překlepy v hesle, teď se vyskytly za poslední dva měsíce dokonce dva útoky - celkem závratných 184 řádků v logách.
Boti se s touto konfigurací ani nesnaží o kulometnou palbu a s dalším pokusem čekají desítky sekund až minuty.
Our customer informed us yesterday that this abuse problem has beens solved. Cracked computer was the reason. Customer improved also their firewall to avoid these in the future. Over all customer acted as a very good example how these things should be dealed cause their contacted personaly to every whois abuse contact which were cracked by their computer... which I must say is a very good thing to see =)To člověku v boji s větrnými mlýny hned zvedne náladu.
Přesně tak. Obvykle se jedná o napadené staré neudržované stroje (to jsou ti debianisti, co tvrdí cosi o fungujících věcech).Nekdy mlceti zlato.
Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.A nekdy naopak ne.
Hmm... já zrovna na serveru používám Debian a jak vidím, tak OpenSSH pěkně a ochotně sděluje kromě své verze i jméno distribuce. Díval jsem se, jak to přenastavit, ale kromě rekompilace (nebo editace binárky - fuj!) jsem žádnou možnost neobjevil. BSD systémy mají alespoň volbu "VersionAddendum", ale ta v Debianu není. Docela by mne zajímalo, jak moc veliký bezpečnostní problém tento únik informací představuje, zejména pak, pokud mám aktuální systém (Etch) a pravidelně (denně) aktualizuji.Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.A nekdy naopak ne.
Skryvani identity je kravinaAle co budu mít jako provozovatel ze zveřejnění používaného SW? A hlavně konkrétní verze? "security by obscurity" je samozřejmě špatný přístup a nikdy bychom se na něj neměli spoléhat, ale: systém bychom měli navrhnout tak, aby byl bezpečný bez jakýchkoli obscurit a věřili jsme mu. Následně pak můžeme některé skutečnosti zakrýt, abychom bezpečnost systému zvýšili ještě dále nad požadovanou úroveň (přičemž na požadované úrovni bezpečnosti by ten systém měl být i bez jakýchkoli schovávaček). Když máme bezpečný systém a rozhodujeme se, zda přidat ještě nějaké skrývání identity, máme na vahách na jedné straně nulové přínosy (z neskrývání) a na druhé straně pochybné a malé přínosy (ze skrývání). A je jasné, že něco, i když jakkoli malého, bude vážit více než nic. Proto považuji za chybu, když OpenSSH server vykecá verzi operačního systému. V době mezi objevením chyby a vydáním opravy (resp. aktualizací aplikace) prozrazení přesné verze programu zvyšuje pravděpodobnost průniku do systému.
V době mezi objevením chyby a vydáním opravy (resp. aktualizací aplikace) prozrazení přesné verze programu zvyšuje pravděpodobnost průniku do systému.
Vzhledem k tomu, že bannery se dají falšovat a útočníci to vědí, lze předpokládat, že zkušenější útočník se pokusí využít mnoha dostupných zranitelností bez ohledu na banner. A hloupý útočník se zase třeba na bannery vůbec dívat nebude a prostě jen zkusí nějaký exploit. A ono to třeba vyjde. Čili, dopad pravdivosti banneru na pravděpodobnost průniku do systému je IMO značně spekulativní.
SSH-2.0-OpenSSH_4.6p1 Debian-5build1. Opravdu si myslíš, že druhá strana musí vědět, že používám Debian, aby se mnou mohla komunikovat??
It helps auditing a large farm of Debian machines. For example, there is currently no reliable way to remotely tell if a box running OpenSSH 1.2.3 is using an up-to-date Debian version with the security fix. An attacker will simply try all his exploits and move to the next machine if they are unsuccesful. The good guys can do that, too, but they cannot be sure if they just got the offsets wrong or something like that, so that the machine is vulnerable despite the attack was not successful.A samozřejmě, pokud vyjde nová verze OpenSSH s opravenou bezpečnostní chybou, Debian stable nepovýší verzi balíčku, ale opatchuje stávající verzi OpenSSH. Takže v banneru zůstane stará verze, o které se bude útočník moci domnívat, že je zranitelná, a pokusí se ji napadnout. Pokud tam ovšem uvidí, že se jedná o Debian, který opravu chyby backportoval do této starší verze, může jít jinam a nebude zbytečně zatěžovat server. Pokud tedy banneru věří. Ovšem takový útočník bude útočit i v případě, že v banneru zmínka o Debianu nebude.
Dec 18 09:15:10 ssh sshd[1762]: Failed password for invalid user sleeper from 60.250.118.78 port 40749 ssh2 Dec 18 09:15:14 ssh sshd[1764]: Nasty PTR record "60" is set up for 60.250.118.78, ignoring Dec 18 09:15:14 ssh sshd[1764]: User root from 60.250.118.78 not allowed because not listed in AllowUsers... a to sa opakuje pre 400 rôznych IP adries.
Útoky většinou přicházely v noci a trvaly kolem hodiny.
# Block SSH brutal force attack insmod ipt_recent iptables -N SSHSCAN iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j SSHSCAN iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSHSCAN iptables -A SSHSCAN -m recent --set --name SSH iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 5 --name SSH -j LOG --log-level info --log-prefix "SSH SCAN blocked: " iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 5 --name SSH -j DROP iptables -A SSHSCAN -j ACCEPT
Tiskni
Sdílej: