Vesti iz sveta slobodnog softvera

[tablet]

Oni koji ne proveravaju hash su isti kao oni sto pokrecu svaki program bez razmisljanja i provere, daju admin/root prava svakoj aplikaciji i/ili klikcu na svaki link iz mail-a (poznatih i nepoznatih posiljaoca podjednako). To nisu prosecni korisnici (ili pocetnici) vec prosecni debili.

[Neutrino]

Citat:

tablet kaže:

Oni koji ne proveravaju hash su isti kao oni sto pokrecu svaki program bez razmisljanja i provere, daju admin/root prava svakoj aplikaciji i/ili klikcu na svaki link iz mail-a (poznatih i nepoznatih posiljaoca podjednako). To nisu prosecni korisnici (ili pocetnici) vec prosecni debili.

Za razliku od tebe koji verovatno pre nego što uradi update kernela prođe kroz kompletan source kod a onda ga sam iskompajlira jel tako? Nešto najgluplje što sam u životu pročitao.

[ColdBoot]

A ja ne razumem koja je "komplikacija" proveriti hash? Traje do pola minuta. Pri tom, dok je rezanje na cd/dvd bilo aktuelno, k3b ga je pokazivao kad mu se poturi iso fajl.

[LoneWolf]

Mislim da veliki broj ljudi ne provjerava hasheve upravo zato što podrazumjevaju da je fajl uredan nakon downloada - još ako ga odmah pokrenu u virtuelnoj mašini i radi, puna kapa. S druge strane, sad kad se ovo desilo sa Mintom pod Wordpressom, znači li to da nijedan Linux distro čiji je website zasnovan na Wordpressu nije siguran od hakera? Ako je tako, šta ostaje sigurno, Arch?

[ColdBoot]

A otkud ti to da većinu sajtova distroa tera WP? Skidaš preko torenta i miran si.

[LoneWolf]

Ne znam da li ih tjeraju na WP, zato pitah Btw, kakvi to "hakeri" napadaju opensource OS?

[ColdBoot]

Citat:

LoneWolf kaže:

Ne znam da li ih tjeraju na WP, zato pitah Btw, kakvi to "hakeri" napadaju opensource OS?

...i još podmeće svoj "punjeni" iso na bugarskom serveru... neko reko m$???

[LoneWolf]

M$ nema bugarske servere, a znajući M$ - oni čak i kad bi poslali neke "hakere", onemogućio bi ih neki BSOD sigurno, jer karma je čudo😀

[Neutrino]

Citat:

ColdBoot kaže:

A ja ne razumem koja je "komplikacija" proveriti hash? Traje do pola minuta. Pri tom, dok je rezanje na cd/dvd bilo aktuelno, k3b ga je pokazivao kad mu se poturi iso fajl.

U većini slučajeva hash nije dostupan na sajtu ili prosto ne postoje generisani eksterni .sfv, .md5 ili .sha fajlovi pa moraš sam da ih generišeš za preuzeti fajl i zatim ručno uporediš generisan hash sa onim koji je naveden na sajtu. To je nepotrebna komplikacija.

Debian recimo nudi download eksterno generisanih hash fajlova pa čak i hash za hash-ove fajlova! Ista stvar za recimo openSUSE itd.

Citat:

LoneWolf kaže:

Ne znam da li ih tjeraju na WP, zato pitah Btw, kakvi to "hakeri" napadaju opensource OS?

Onog trenutka kada cilj opravda sredstvo uvek će biti ljudi koji će se potruditi da ostvare cilj. Mint i Ubuntu imaju najveći market share na tržištu "noob friendly" Linux distribucija. Sasvim je logično da će to neko iskoristiti. I situacija će postajati sve gora i gora jer će Linux sve više prolaziti kroz ono kroz šta je prolazio Microsoft skoro dve decenije, i još uvek prolazi. Linux postaje isplativa meta. Počinje da se piše malware specifično za Linux, cryptolockeri, IRC botovi, trojanci...

[ColdBoot]

Znači da je zastupljenost ipak veća od navođene statističke greške.

A takođe, mislim da je isti scenario otežan činjenicom da se softver uglavnom preuzima iz zvaničnih repoa. Što manje kojekakvih ppa i aur-a i to onda nije isti rizik kao kad se skida bilo odakle.

[acinic]

Samo su pogođeni korisnici koji su preuzimali 20.02 iso slike. Lako se proverava da li imate bekdor ili ne.

Once in the live session, if there is a file in /var/lib/man.cy, then this is an infected ISO.

[LoneWolf]

Objašnjenje i utjeha k'o sa telešopa: skinuli ste zaražen ISO, ali ne tugujte, vratite se na naše servere, skinite čist ISO ponovo a na poklon dobijate magičnu krpu, crkveni kalendar i tablete za potenciju😀

[Neutrino]

Komentar osobe koja je odgovorna za hakovanje Mint-a na temu provere hash-eva

Citat:

"Who the f**k checks those anyway?"

Kako god okrenem iskreno drago mi je što sam polako počeo da se udaljavam od Mint-a i vraćam openSUSE-u. Posebno sada kad je KDE uspeo da napravi prvi WM (Plasma) od kojeg mi se ne prevrće stomak. Na kraju krajeva nije WM jedini razlog. To nepotrebno konstantno kasapljenje zvaničnih Ubuntu repozitorijuma i polisa distroa mi je već polako dojadilo.

[LoneWolf]

Šta ima OpenSuse što nema Mint? Ne flejmujem, stvarno me zanima jer i ja bih da ga batalim i pređem na nešto sigurnije, stabilnije i pouzdanije, ako već postoji.

[Neutrino]

Citat:

LoneWolf kaže:

Šta ima OpenSuse što nema Mint? Ne flejmujem, stvarno me zanima jer i ja bih da ga batalim i pređem na nešto sigurnije, stabilnije i pouzdanije, ako već postoji.

YasT, software.opensuse.org, openSUSE Leap 42.1 koji po prvi put koristi SUSE Enterprise Linux kao osnovu, neuporedivo bolja zajednica (forumi, IRC) i generalni osećaj da iza distroa stoji velika i dobro organizovana zajednica.

Ništa te ne košta da probaš openSUSE Leap 42.1 u virtuelnoj mašini i vidiš da li ti odgovara. Možeš i Tumbleweed koji je rolling-release bleeding-edge verzija ako si avanturistički raspoložen. Preporuka samo da umesto šugavog VirtualBox-a koristiš VMware player pošto VirtualBox opasno brljavi u poslednje vreme.

[GoranSTX]

I sad se vraćamo na vesti, kako naslov teme kaže, a ostalu diskusiju prebacujemo u odgovarajuće teme...

Hvala.

[Neutrino]

Posle skoro cele decenije Debian i Mozilla zakopavaju ratne sekire oko brandinga Firefox-a - Iceweasel je sada Firefox i na Debianu.

http://www.pcworld.com/article/30365...illa-thaw.html

Zvaničan zahtev za promenu naziva u repou.
https://bugs.debian.org/cgi-bin/bugr...cgi?bug=815006

[Neutrino]

Otkrivena dva nova ozbiljna propusta u OpenSSL-u.

CVE-2016-0702 ("CacheBleed") - https://ssrg.nicta.com.au/projects/TS/cachebleed/

CVE-2016-0800 ("Drown") - https://drownattack.com/

[ColdBoot]

^Evo sad stiže apdejt i okrpljeno.

[Neutrino]

Citat:

ColdBoot kaže:

^Evo sad stiže apdejt i okrpljeno.

Patch ne menja činjenicu da će kao i u slučaju Heartbleed-a trebati meseci da se pokrpi bar većina sistema koji koriste OpenSSL.

Ono što je ipak najgore u celoj priči je činjenica da se za moguću zloupotrebu znalo još 2004. godine ali da su kriptografi odbijali da ugrade bilo kakvu zaštitu jer se verovalo da exploit nije praktično upotrebljiv. Sada se 2016. logično postavlja pitanje da li je i gde sve exploit upotrebljen pre nego što se javno saznalo za njega. A izvođenje napada je, nažalost, krajnje trivijalno.

Lista poznatih sajtova koja je podložna DROWN napadu u trenutku objave.