Nakon videa koji je postao @Gjuroo:



... u Vikalici, i moja dva linka:

www.zetter-zeroday.com/apple-chips/

gofetch.fail/

... na temu hardverskog problema u M1, M2 i M3 čipovima, otvaram temu u kojoj možete stavljati linkove i informacije na koje naletite, a vežu se za sigurnost i sigurnosne propuste u hardveru i softveru.

Da ne ostane samo na tih par linkova koje smo stavili u Vikalici, početi ću temu sa puno gorim propustom koji je otrkriven prije par dana (29. ožujka), a koji je bio potencijalno puno veća kakica za cijeli svijet jer se ipak većina poslužitelja vrti na Linuxu.

Uglavnom da ne dužim, kome se čita, ispod imate post od Andresa Freunda (inače djelatnika Microsofta) koji je uočio problem koji je analizom problema doveo do otkrivanja namjerno ubačenog expolita.

www.openwall.com/lists/oss-security/2024/03/29/4

... i još malo o tome (jednostavnijim rječnikom) što na problem kažu u RedHatu:

www.redhat.com/en/blog/urgent-security-a...41-and-rawhide-users

PS. Nisam se sjetio smislenijeg naslova teme, no ako nekome padne na pamet nešto bolje, promijenimo

Uljuljkali smo se u "sigurno Apple okruženje", a, eto, "neprijatelj" ne spava
Dobro je ponoviti da smo online svi ranjivi i da se ne svodi sve na mailove od "afričkog princa s pozamašnom ostavštinom" ili ucjene u smislu objavljivanja "škakljivih" snimaka nastalih tijekom pregledavanja stranica sa škakljivim sadržajem.
Štono bi se reklo - threat is real. S novim tehnologijama dolaze i novi načini eksploatacije tih tehnologija.
Politika je kurva, a Jabučnjak nije zaboravio zašto postoji!!!
POWER TO THE... ZERO-DAY!!!

Što se mene tiče, naziv teme je odličan, al možda ne bude prvi izbor u tražilici

Neprijatelj nije nikada spavao samo što danas može i drijemati jer je ljudska glupost postala veća od svemira, ok ima tu i dosta nebrige i umišljenosti ali glupost prevladava.

Još se sjećam onog petka u svibnju 2017. kad je svijet poharao WannaCry ransomware.
Radio sam taj dan i vidio određene anomalije u intranet mreži (dobro sam napisao, intranet mreži, ne internet mreži) koje nisam mogao prokljuviti pa sam se oko podneva čuo sa par poznanika i oni su potvrdili da je kakica u Španjolskoj i Italiji, ali isto nisu mogli uhvatiti uzrok. Naivan kakav jesam telefonom sam kontaktirao informatičare u firmi i rekao im da pripaze jer se događa nešto čudno na što su rekli da je kod njih sve OK. Oko 15,30 su kod nas već neke državne firme i institucije bile dobrano načete pa sam ponovno zvao informatičare koji su me otpilili kad sam predložio da se pogase sva računala i rekli mi da napravim screenshote logova i pošaljem im na mail #helpdeska pa će pogledati (u ponedjeljak) u čemu je problem.
U 18,00 su nam sva aktivna (upaljena) računala u firmi bila zaražena

Nakon toga sam otvorio temu sličnu ovoj na službenom forumu firme u kojoj sam prenosio informacije do kojih bi došao no prestao sam nakon nekih pola godine jer je tema bila svima nezanimljiva,... jbg, tako je to kad je glupost>svemir.

"Kod nas sve šljaka" - klasični informatičarski odjeb

Jesam li dobro shvatio - ne možemo učiniti ništa? Jedino biti svjesni rizika kod kriptografskih operacija, osobito s kriptovalutama?

Ok, ovo može biti zamka na koju će nasjesti mnogi generic korisnici, ali ne vidim to kao neki stvarni problem za iskusne korisnike jer dobro znamo da je baš svaka službena poruka od banke, teleoperatera, pošte, Applea ili bilo koga bitnog - potencijalni scam i da treba dobrano paziti.

Ovo je sada koristan info da poruke izgledaju još službenije ako dolaze tako direktno. Osobno teško da bih nasjeo, ali znam mnoge koji bi.

Timeline of the xz open source attack ... sad samo još netko treba film snimiti

Bertone kaže:


Daj prevedi. Što se događa? Jel opet Y2K katastrofa? 21.12.2012. kataklizma? Općenito apokalipsa?
Nisam stručan, al sam pogledao i zaključio da je tu previše izraza koji mi nisu u svakodnevnom vokabularu

Ne, poanta je da je još 2008, netko ugradio backdoor u kod za komprimiranje podataka koji je onda čučao i prošao sve stupnje verifikacije prije nego je pušten u Linux cca 10-ak godina kasnije te je tek nakon aktivacije (još 3-4 godine kasnije) otkriven.

Evo, @Djuro te je utješio pa ne moraš više trčati oko stola s rukama podignutim u zrak i vikati: "Došao je smak svijeta)" Usput, hvala @Djuri g. što je jednostavno i sažeto objasnio ovaj filmski scenarij

S obzirom da ne znam koliko si potkovan s Linuxom, ja ću probati objasniti jednostavnim riječima što se moglo dogoditi no za početak moraš pročitati ovaj osvrt na razlike između SysVinit-a, Upstart-a i Systemd-a jer su oni bitan faktor.

Ok, jesi,... sad znaš da danas prevladava Systemd (iako mi prelazak na njega osobno nije bio drag kako što mi danas nije drago što se sve više stvari tj. aplikacija guraju kao SNAP), ali to je za neku drugu temu jer sam opet odlutao,... uglavnom iz članka si naučio da Systemd kod pokretanja OS-a učitava sve bitne komponente kako bi korisnik na kraju ispred sebe imao funkcionalan OS (u priloženom članku si mogao pročitati na kraju teksta što sve radi) i tu je problem što Systemd prilikom pokretanja učitava i libove u kojima su bile skrivene skripte kojima bi ovaj strpljivi lik (“Jia Tan”) ili skupina, imali aktivan/otvoren prolaz za "SSH" (SSH tunneling). Ak ne znaš kaj je SSH (Secure Shell) evo još jedan dobar i jednostavan članak koji to pojašnjava, a dalje upotrijebi svoju maštu što se sve može napraviti kad imaš direktni i neometani pristup serveru.

Bertone kaže:


Djurin odgovor i ovo boldano je sasvim dovoljno za moj mali mozak

Hvala obojici na odgovorima. Idem nastaviti trčati oko stola čist da nasekiram komšije

Gjuroo kaže:


Lako ti je sad trčati oko stola kad si napunio mali mozak, gdje se nalazi centar ravnoteže...sad trebaš uključiti veliki mozak, pa postaviti neko smisleno pitanje, pa da svi još nešto naučimo

cariblanco kaže:


Veliki mozak mi služi samo za zajebanciju

www.reddit.com/r/iphone/comments/1c10jai..._from_apple_stating/

www.reddit.com/r/apple/comments/1c1bumb/...ations_to_mercenary/

> From the article: Apple sent threat notifications to iPhone users in 92 countries on Wednesday, warning them that may have been targeted by mercenary spyware attacks.

>The company sent the alerts to individuals in 92 nations at 12pm Pacific Time Wednesday. It did not disclose the attackers’ identities or the countries where users received notifications.

> “Apple detected that you are being targeted by a mercenary spyware attack that is trying to remotely compromise the iPhone associated with your Apple ID -xxx-,” it wrote in the warning to affected customers.

@Gjuroo, vidim da si se sad opustio jer nema kataklizme pa ću biti zločest i uputiti te na novi razlog za brigu, a on se zove "Problem 2038. godine" (Problem Y2038)...



... a evo i štivo za upoznavanje pa slobodno uznemiruj susjede

Bertone kaže:


O, sunce ti kalajsano, čim vidim da nešto odbrojava, odma krene vrištanje
Daj, Bertone, imam dijagnosticiranu tjeskobu. Molim te da mi ovakve šokantne objave razrijediš na barem desetak postova. Kao, "Gjuroo, moram ti reći lošu vijest. Cijena nafte po barelu je porasla 0,1%". Tu ja vidim da porast cijene sigurno nije dobra vijest, al, ajd, ne pogađa me tako strašno. Onda ti kažeš "E, al to nije sve...". I tako doziraš malo po malo do Y2K38

No, čim vidim 3:14, odma mi je lakše jer sam si dobar s 3:14.
Molim te da me za 14 godina samo podsjetiš da počnem paničariti

Gjuroo kaže:


Za 14 godina tko živ tko mrtav

Idem u penziju (ako ne umrem prije) 14. kolovoza 2036 najkasnije, tako da jbsmeni. Ali šteta, jer se na Y2K bugu baš baš dobro zaradilo. Skoro pa bolje nego na corona panici. Strah je uvijek super motivacija za kupovinu.

I mene baš briga kaj će biti 2036. jer mi stara roza vozačka vrijedi do 2035. (iako ću je po sili zakona morati promijeniti u veljači 2033.)

Bertone kaže:


Mene živcira ta roza vozačka, a i splašim se svoje slike s 18; košulja ala drvosječa i rockabilly frizura tako da razmišljam lijepo naručiti novu.
Samo nisam provjerio ima li caka s obaveznim liječničkim, ograničenim trajanjem i produživanjem ili nešto slično... A bilo bi zbilja glupo da se zbog komocije uvalim u dodatne troškove i financijski i sa osobnim slobodnim vremenom zbog birokracije.

Roza vozačka vrijedi do 65. rođendana (ali, kako kaže Bertone, ukinut će je nešto ranije, što se mog rođendana tiče). Nove vozačke vrijede po 5 godina. Dakle, svakih 5 godina - nova vozačka.

EDIT:

Sad me kći ispravila, ona ju je dobila 2022. i vrijedi joj 2032. dakle 10 godina.
Hja, onda je i meni vrijeme za novu vozačku...

Ako imate samo A ili B kategoriju onda po novom vrijede 10 godina i ako nemate prethodnih ograničenja ne treba ići na liječnički (ako je ranije bilo upisano neko ograničenje - treba),... ali ja imam A, B i C kategoriju i meni bi "nova vozačka" vrijedila smo 5 godina i morao bi ići na liječnički svakih pet godina ako je želim produžiti.

Bertone kaže:


Moja roza vrijedi do 2041. a vidim, treba ih promijeniti do 19.01.2033. Ipak, pametni neće čekati zadnji čas

Meni piše "nošenje slušnog aparata" i ništa drugo, a u međuvremenu sam počeo i naočale nositi; tak da, čekati ću 2032 i tek onda ići zamijeniti za novu. Tada bum imal 56 i onda s novom sam miran do 66, ako ne krepam prije.

Čuvaj samo još tu staru i baš te briga,... ja da nemam tu staru rozu ne bi mi djeca ni znala da im je tata nekad imao kosu

Da je ja nemam, ne bi moja djeca znala da sam nekad bio mršav i zgodan.

Koga zanima, 15-ak minuta o Crowdstrike problemu od nekidan

Usput, link na dans objavljeni članak pod nazivom: "Rust doesn't solve the CrowdStrike outage" iz kojeg se može dosta naučiti kako i što radi Falcon.

www.securitymagazine.com/articles/101447...ux-and-macos-systems