Byl vydán Mozilla Firefox 126.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Vylepšena byla funkce "Zkopírovat odkaz bez sledovacích prvků". Přidána byla podpora zstd (Zstandard). Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 126 je již k dispozici také na Flathubu a Snapcraftu.
Grafana (Wikipedie), tj. open source nástroj pro vizualizaci různých metrik a s ní související dotazování, upozorňování a lepší porozumění, byla vydána ve verzi 11.0. Přehled novinek v aktualizované dokumentaci.
Byla vydána nová verze 24.0 linuxové distribuce Manjaro (Wikipedie). Její kódové jméno je Wynsdey. Ke stažení je v edicích GNOME, KDE PLASMA a XFCE.
Byla představena oficiální rozšiřující deska Raspberry Pi M.2 HAT+ pro připojování M.2 periferii jako jsou NVMe disky a AI akcelerátory k Raspberry Pi 5. Cena je 12 dolarů.
V Praze o víkendu proběhla bastlířská událost roku - výstava Maker Fair v Praze. I strahovští bastlíři nelenili a bastly ostatních prozkoumali. Přijďte si proto i vy na Virtuální Bastlírnu popovídat, co Vás nejvíce zaujalo a jaké projekty jste si přinesli! Samozřejmě, nejen českou bastlířskou scénou je člověk živ - takže co se stalo ve světě a o čem mohou strahováci něco říct? Smutnou zprávou může být to, že provozovatel Sigfoxu jde do
… více »Kam asi vede IllllIllIIl.llIlI.lI? Zkracovač URL llIlI.lI.
Společnost OpenAI představila svůj nejnovější AI model GPT-4o (o jako omni, tj. vše). Nově také "vidí" a "slyší". Videoukázky na 𝕏 nebo YouTube.
Ondřej Filip publikoval reportáž z ceremonie podpisu kořenové zóny DNS. Zhlédnout lze také jeho nedávnou přednášku Jak se podepisuje kořenová zóna Internetu v rámci cyklu Fyzikální čtvrtky FEL ČVUT.
Společnost BenQ uvádí na trh novou řadu monitorů RD určenou pro programátory. První z nich je RD240Q.
Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem nadále zůstává Frontier od HPE (Cray) s výkonem 1,206 exaFLOPS. Druhá Aurora má oproti loňsku přibližně dvojnásobný počet jader a dvojnásobný výkon: 1,012 exaFLOPS. Novým počítačem v první desítce je na 6. místě Alps. Novým českým počítačem v TOP500 je na 112. místě C24 ve Škoda Auto v Mladé Boleslavi. Ostravská Karolina, GPU
… více »Stále častěji se poslední dobou objevují zmínky o zajímavém útoku, o kterém se podle mě příliš nemluví. Co vím, používají ho především „složky vyšší moci“ pro získání přístupu do počítačů zájmových osob. Samozřejmě pouze na soudní příkaz :).
Známé implementace:
Nevím o žádné hotové open-source implementaci. V případě nutnosti lze znásilnit Metasploit a Squid, ale něco komplexnějšího by bodlo. Námět na semestrálku? :)
Při stahování nějakého kódu z Internetu (windowsáci .msi a .exe instalátory, jablíčkáři .dmg obrazy, linuxáci tarbally se zdrojáky a klonování git/svn/cvs repozitářů) je dost obtížné ověřit jeho integritu. Na Windows se na to AFAIK kašle skoro vždycky, jablíčka moc neznám a linuxáci si můžou spočítat hash nebo GPG podpis, ale stejně nemají, jak ověřit protistranu. Otevírá se nám tu proto attack vector.
(na Linuxu se většinou ověřují balíčky z repozitářů automaticky, ale třeba Arch to má pořád takové všelijaké a ten prvotní podpis stejně musíte nějak ověřit a to se dělá blbě)
Útočník, který může udělat man-in-the-middle (což typicky státní složka může), pak už jenom „cinkne“ procházející soubory a doufá, že si toho nikdo nevšimne a že to na druhé straně někdo spustí. Tu upraví nepodepsanou binárku s aktualizací, tu přidá jeden řádek do Makefile, onde vloží do flashového přehrávače z YouTube 0day. Typická školní demonstrace se provádí na oblíbeném skriptu alsa-info.sh, který se tahá přes čisté HTTP a spouští ho kdejaký začátečník, kterému to poradili ve fóru. Napsat filtr do Privoxy, který do takového souboru vloží náš kód, je otázka pěti minut.
Co jsem tak pozoroval kolem sebe, náchylní k tomuto útoku jsou snad všichni. Jen by exploitnutí někdy vyžadovalo delší práci sociálního inženýra. Pak je otázkou, jestli útočník nepoužije radši rychlejší metody zahrnující fyzické násilí, ale předpokládejme, že v civilizovaných státech se nic takového neděje :).
Dá se vyrobit trusted systém, u kterého se riziko tohoto útoku minimalizuje. Je potřeba ho nabootstrapovat z „trusted“ instalačních souborů, které se získájí třeba tak, že se tentýž instalátor stáhne z domova, u kamaráda a přes nějakou VPN v Tramtárii a porovná se to. Doufáme při tom, že tentýž útočník nemá pod palcem všechno.
Práce s takovým systémem je pak značně omezující, minimálně třeba já dost často potřebuju něco, co naprosto důvěryhodné není (posledně třeba toolchain OpenWRT). Proto je vhodné nainstalovat si do virtualizace „špinavý“ systém a pak používat vnější systém pro práci s citlivými informacemi a virtualizovaný pro to ostatní. Je to otrava a ne vždy to jde použít. Navíc virtualizace žere část výkonu. Varianta pro chudé jsou alespoň oddělené uživatelské účty, ale aplikace pak samozřejmě nemůže požadovat roota.
Tiskni Sdílej:
Jinak v hlubinách IRC tamtamy vyprávějí, že podobný útok je podnikán v masovém měřítku na uživatele TORu, kteří se připojují přes exit nody ven - live vkládání sploitů do stahovaných médií a úpravy spustitelných/scriptovacích souborů.No, nic takového jsem nezaregistroval.
Na Windows se na to AFAIK kašle skoro vždyckyTohle už není tak docela pravda. Pokud má uživatel Win7 a IE 9 ve výchozím nastavení, tak při pokusu stáhnout a spustit (ještě ani ne nainstalovat, jen spustit) exáč nebo MSI s "nedostatečnou reputací" mu IE nabídne volby "Nespouštět" a "Smazat". Dostat se k volbě spuštění dá práci a mnozí uživatelé z něj mají skutečně strach. Prakticky nutnou a nikoli postačující podmínkou, aby IE dovolil spuštění je, aby byl ten soubor podepsaný důvěryhodným podpisem.
soubor podepsaný důvěryhodným podpisem.Což pro státní šmírtoritu (kříženec šmíráka a autority) není problém, protože si prostě vyžádá kořenový a co se kradou certifikáty jak tužky v práci, tak už snad skoro pro nikoho, kdo věcem trochu rozumí...