Introducing a new Hashtag: #BigJiaTanVibes To be used when someone tries to put abusive pressure on a maintainer to make way for whatever feature (or obfuscated backdoor) they claim is needed.
Can also be used in a positive way, e.g. when after many years a truly helpful feature gets included as a result of the negative outcome of said hashtag.
Example for the positive version: systemd notify is now implemented natively, without dependency, to #OpenSSH.
(This, IMHO, truly relevant change will mostly go unnoticed by the tech media, unfortunately. Which is a pity, as it shows how the FOSS immune system works and how an 8 year old issue suddenly gets solved, simply because it now makes sense. That’s how our ecosystem works. I’ll repeat. The biggest superpower in the world is patience)
@jwildeboer
I love the idea of JiaTanning as a term.
And yes, maybe we find a term and tag similiar to "Ask for Angela" to signal for maintainers and others that they need help https://en.wikipedia.org/wiki/Ask_for_Angela
So people can ask for help and people actually step in. Not everyone is able to ask for help early and w/o loosing face in a lot of situations.
I have the real way to prevent #openssh backdoors. Never enable sshd on a system and instead go back to the old tried and true method of communicating remotely over physical RS-232 instead.
🔓Technologist vs spy: the xz backdoor debate | lcamtuf
「 Up to that point, xz had a single maintainer — Lasse Collin — who was dealing with health issues and wasn’t fully engaged. Shortly after the arrival of “Jia”, several apparent sock puppet accounts showed up and started pressuring Lasse to pass the baton; it appears that he relented at some point in 2023 」
what's really wild is that I bet state actors could just find and offer money to unscrupulous open source contributors instead of wasting years on infiltration.
I bet somebody like that has his DMs open right now and state actors just have to be brave enough to reach out.
heck, state actors, I bet the answer is right in front of your eye sacks.
to repeat, the ANSWER is in front of your EYE SACK...
I'm not saying I would be willing to be an unregistered state actor for cheap, but I'm not NOT saying that I have an addiction to gambling on snooker and horse races
Lasse Colin posted an update on the #xz#openssh backdoor situation. It doesn't give a lot of details, but still useful as a primary source of information.
TL;DR: Damage control is underway in the project, but it's been somewhat inhibited by #Github taking it down and suspending Lasse's account.
@vwbusguy I don't know if starting at the end and cleaning things up is going to be enough to restore trust. They might have to roll back to before Jia got the commit bit. And even then ensure that no force pushes occurred or whatever.
@aburka It's too early to know how this is going to play out and too complex for anyone to know the extent of anything yet, especially given the allegations of potentially other pseudonyms used and access in other projects (Debian, Arch AUR, etc).
L’ #informatica sta completamente esplodendo nell’ultima settimana… ciò è molto buffo, ma anche #preoccupante. E siamo appena a sabato mattina… c’è tutto il tempo per far andare storto anche qualcos’altro! Siamo messi veramente di cacca. 😬️
Prima è uscito fuori un #bug che colpisce tutte le CPU Apple Silicon, simile a cosa fu Spectre anni fa, quindi ovviamente #hardware, e chissà se sarà o meno patchabile via software in realtà in futuro (ma in tal caso, il vostro bel #computer con la mela girerà 3 volte peggio, soldi buttati). Fanno proprio schifo ‘sti #processori#moderni, tutti indistintamente, finiscono sempre per avere una caterva di #falle strane perché implementano #hack bruttissime a livello di progettazione per girare più veloci… dovremmo tornare onestamente al 6502. Il sito ufficiale è https://gofetch.fail, e #LowLevelLearning ha ovviamente parlato della cosa: https://youtube.com/watch?v=-D1gf3omRnw 🍎️
Poi una #falla di incremento dei privilegi a livello kernel in #Linux… è complicatissimo, ma un #ProofOfConceptè stato pubblicato qui (assieme al #writeup), e in pratica si può sfruttare un #problemino nello stack di rete per diventare #root… mi chiedo se si potrà magari utilizzare per rootare sistemi embedded ristretti (telefonini coff coff, ma non solo), anche se dice di colpire tra v5.14 e v6.6 quindi non ho molte speranze. Qui un #video se vi interessa comprendere il #glitch in modo umano: https://youtube.com/watch?v=ixn5OygxBY4 💣️
E infine, #notizia di ieri, cosa estremamente grave perché è stata fatta apposta, è stata inserita una #backdoor nella libreria di compressione #XZ. Lo ha scoperto un certo #AndresFreund, che non è un ricercatore di #sicurezza, ma era semplicemente diventato estremamente salty dopo aver visto che i suoi login ad SSH facevano schizzare alle stelle l’uso di risorse del sistema, oltre ad essere stranamente più lenti. Quindi ha scavato un po’, pensando ci fosse qualche #problema benigno, ma in realtà ha scoperto che qualche stronzo ha inserito #malware nel processo di build della libreria, nascondendolo tra le cose relative al testing. Mi sarebbe piaciuto navigare tra #issue e pull request per vedere l’utente che ha mandato ‘sta merda al progetto, ma GitHub come al solito si dimostra la piattaforma di condivisione di codice più stupida al mondo, e ha sospeso tutte le repo per “violazione dei Termini di Servizio”… razza di scimmie imbananate che non siete altro, ma credete davvero che i mantenitori di #Tukaani abbiano fatto entrare codice malevolo nelle loro repo consapevolmente? È ovvio che nessuno se n’è accorto, che bisogno c’è di punire chi non ha colpa allora? (Tra l’altro, il loro sito era ospitato lì, quindi ora manco quello è più online… almeno hanno un mirror Git, ma è solo source lì). Mi piacerebbe proprio tanto fare una chiacchierata con il vero colpevole, e di persona, sia ben chiaro, non dietro una tastiera dove questo si crederebbe ovviamente Dio… “eh ma io so fare gli exploit io so programmare meglio di te io io” sei un coglione, questo sei se fai queste cose, scommetto che non riusciresti nemmeno a parlare faccia a faccia. Persino io con le mie manie di protagonismo non mi sognerei mai di fare qualcosa per garantirmi una backdoor nei server #SSH di tutto il mondo, e che cazzo… 💀️
"This dependency existed not because of a deliberate design decisionby the developers of OpenSSH, but because of a kludge added by some Linux distributions to integrate the tool with the operating system’s newfangled orchestration service, systemd."
A Backdoor in XZ Utils was found!
To know if you are affected rune:
xz -V in your terminal
if like me you have XZ 5.6.0 or XZ 5.6.1 downgrade XZ Utils to an earlier version, such as 5.4.6 (Stable) or disable ssh
reading more about this wild xz hack, it sounds so complex given the number of system level dependencies that exist. kudos to the people who have found it and are working to protect the community.
@deshipu you and me both, i love that the EU is pushing for stronger protections in the digital world, as it were. i wish my government would step up...
Arch just today had xz rebuilt from git instead of the usual tarball, which is confusing as to whether the rogue code is in the one and not the other.
In either case I never use systemd, runit and s6, but it would be nice to have xz clean again. zstd being facebook's "product" never appealed to me much.
@yianiris The writeup seems to clarify that point.
"That line is not in the upstream source of build-to-host, nor is build-to-host used by xz in git. However, it is present in the tarballs released upstream, except for the "source code" links, which I think github generates directly from the repository contents"