Это копия, сохраненная 31 июля 2021 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.
В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.
Вся суть. Опенсорс это когда тебя имеют впопь.
Джвачую. Впопкинсорс в большинстве дерьмо. Фаерфокс, блендер, крита... можно продолжать и продолжать, но от этого они лучше тех же проприетарный или полусвободных альтернатив не станут. Пора уже снять швабодкодебилам розовые очки, иначе так и останутся в манямирке.
>Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, принял решение запретить приём в ядро Linux любых изменений, поступающих из Университета Миннесоты, а также откатить все ранее принятые патчи и провести их повторное рецензирование. Причиной блокировки стала деятельность исследовательской группы, изучающей возможность продвижения скрытых уязвимостей в код открытых проектов. Указанная группа отправляла патчи, включающие различного рода ошибки, наблюдала за реакцией сообщества и изучала пути обмана процесса рецензирования изменений. По мнению Грега проведение подобных экспериментов по внедрению вредоносных изменений является неприемлемым и неэтичным.
>патчи были отправлены в ядро Linux
Пиздёж какой-то. Патчить ядро может только ограниченный круг проверенных людей, которые этим занимаются годами. А каких-то хуёв с горы, если они попытаются затащить в ядро свои патчи, просто пошлют нахуй. Бывало неоднократно.
Пхахаха, классическое ВРЕТИИИ от безмозглой промытки.
Читай оригинал, что ты тут школьникам доказывать хочешь, м?
Найс пердомантры.
Не считал что опенсорс гораздо безопасней закрытого софта. За что мне нравится опенсорс, так это за так называемое владение продуктом. То есть ты можешь посмотреть исходный код, сделать форк, сам поковырять и изменять. В закрытом же софте напротив, анальные права лицензий и по сути тебе просто предоставляют временное право пользования продуктом, а ты свой нос никуда совать не должен, иначе нарушение лицензионных прав.
я когда то писал здесь про уязвимости ядра и то, что наверняка там есть закладки, которые не заметили, на что натыкался на вопль и красные глаза сектантов "ВЫ ВСЕ ВРЕТЕ!11", "НАС МИЛЛИАН, МЫ ЗАМЕТИЛИ БЫ ВРЕДАНАСНЫЙ ПОТЧ".
в итоге - не заметили, но зная сектантов, те уйдут в отрицание, чем признают свое неправоту.
Но всё же, посмотреть что да как под капотом можно в любую минуту и любой желающий. А вот с виндой так не поступишь, жди ещё 16 лет пока откроют новый бэкдор, который за это время превратится в раздолбанную дырень.
Я вот тебе расскажу кое-что из практики организации, в которой работаю.
1. Проверка технических решений в общем случае гораздо более затратное дело, чем их принятие.
2. Оценка правильности, верности, надёжности и безопасности решения требует более высокой квалификации, чем требуют первые этапы проектирования (авантпроект, техпредложение, эскизпроект, рабочая документация, опытные образцы).
3. Существуют результаты, не поддающиеся прогнозированию вообще.
4. Существуют гипотетические результаты исследований, получение которых не окупает затрат на исследования.
То, что провернули китайцы — это не ай-ай-ай-откровение, а рядовая рутина для инженерной практики. У меня вот прямо сейчас в работе железяка, разработчики которой тупанули, спроектировав подсистему электромагнитной совместимости с ошибкой. Только поиск этой ошибки уже потребовал в разы больше ресурсов, чем проектирование (РКД+ОО) указанной подсистемы.
Так и живём.
>На этой борде полно поехавших промытых долбаёбов свято уверовавших в церковь открытого кода, каждый из них как мантру повторяет про МИЛЛИОНЫ ГЛАЗ которые все найдут и всех спасут.
Глаза просто оказались шоколадными.
> Глаза просто оказались шоколадными.
Глаза как раз нормальные оказались. Просто их всего пар сотни две и аудит патчей соответствующий. То, что аудит кода не окупается — это секрет полишинеля.
СРОЧНО СНЯТЬ ЛИНУТСА ТОРВАЛЬДСТА С ДОЛЖНОСТИ ПУСКАЙ ОТПРАВЛЯЕТСЯ К РМС НА ПЕНСИЮ ДЕДОК ДОРОГУ МОЛОДЫМ ЛИНУТС СПЕЦИАЛИСТАМ
Тут да, либо тысяча васянов и N трейторов коммитят в открытый впопенсорс, либо миллион индусов коммитят и кодревьютят закрытыю винду.
Ну, как теперь адепты божка-с-пальцем будут оправдываться?
> спроектировав подсистему электромагнитной совместимости с ошибкой.
Что это и нах это надо?
В измерительной технике частенько нужно синтезировать разновсяческие сигналы с наперёд известными автокорреляционными и спектральными характеристиками. Бывает, что к сигналам предъявляются высокие требования по дискретным составляющим в спектре, например, или по концентрации энериги вблизи несущей. Тогда радиотехнические средства, осуществляющие совместный синтез такого сигнала должны обладать электромагнитной совместимостью — т. е. не должны быть слишком чувствительными к внешним электромагнитным помехам и не должны создавать электромагнитные помехи, достаточно мощные, чтобы они приводили к наущению работы других средств.
Вот, стоят рядом модуль 1, модуль 2 и модуль 3. Каждый воспринимает помехи и излучает помехи. Если помехи достаточно мощные, то все они совместно не смогут синтезировать один качественный измерительный сигнал. Чтобы снизить и восприимчивость модулей к внешним помехам и уменьшить энергию излучаемых модулем помех, применяются специальные схемотехнические и конструкторские приёмы. Если в модуле элементы конструкции и компоненты, реализующие такие приёмы выполнены отдельно, то можно говорить о них как о подсистеме ЭМС.
Давай тебя разденут, завяжут руки и ноги, кинут где-то в людном месте и ебись с этим сам. Этично будет?
Как будет угодно.
Ты как сбежала из пораши, лахта?
Блядь, это ЭКСПЕРИМЕНТ. Ты сука понимаешь что его без обмана не провести? Менты когда делают контрольную закупку тоже ОБМАНЫВАЮТ.
Вот видишь. Оказывается, ты имеешь представление об этике, но выëбываешься.
Не этично так ебать раз-рабов швятого ленукса(ну по мнению самих рабов, конечно).
Мне гораздо интереснее как будут оправдываться российские военные, которые ентим самым ленупсом обмазывают своих сверхсекретные комплюхтеры.
Сектанты с лорами в соответствующем треде в основном визжат, что пизда универу, лол, яростно игнорируя главный факт.
У военных есть подписанные акты проверки на закладки от сертифицированных лаблаторий ФСТЭК. Формально они к таким экспериментам готовы.
На практике конечно нихуя эти лаборатории не выявят, но пока физически их не продырявят - оправдываться нет нужды.
>Мне гораздо интереснее как будут оправдываться российские военные, которые ентим самым ленупсом обмазывают своих сверхсекретные комплюхтеры.
В чëм они должны оправдываться? Они по-прежнему правы, что у них поддержка ПО и железа хотя бы частично локализована.
Какой? Что предатель может предать, а контролирующий может пропустить специально замаскированные ошибки? Или тот факт, что весь современный код, будь он свободный или собственнический, держится только на том, что большинство имеющих доступ к комитам выполняет свою работу добросовестно? Так это не новость. Всë наше современное общество держится как раз на том, что большинство людей будут тихими и послушными. Как следствие, есть предел, после которого при неповиновении достаточного количества граждан, силовики потеряют контроль и наступит махновщина.
> Дыропатчи с ядро на котором работает половина антарнета, 99%% шуперов из топ500 и треть обслуживающих финансовые транзакции мэйнфреймов
> Дыропатчи нашли и выкинул кем
> Университетская комиссия по этике не видит никаких проблем в умышленном засирании кода ядра
> Все коммиты от университета забанены пожизненно
Збс поэкспериментировали, впоследствии афтары могут оказаться трудоустроены или в Макдональдс или в М$.
>Дыропатчи нашли
Увидя исследование. Шоколадные глаза пропустили.
>впоследствии афтары могут оказаться трудоустроены или в Макдональдс или в М$.
В разведку пойдут, дырить ядро линупса. .
>Никто не ожидал такой неэтичной наглости.
Пиздец они там инфантилы. И этим школьникам ядро Линукса доверяют
>контролирующий может пропустить специально замаскированные ошибки
Вот этот факт да. Озаначает что ведру сейчас в приницпе доверять нельзя. Все кто хотел залить в пинус бекдры - сделал это лет десять как.
Так что теперь тебе надо уповать не на добросовестность апстримеров патчей, а на добросовестность эксплойтодержателей.
По ссылкам потыкай в новости тоже:
https://www.opennet.ru/opennews/art.shtml?num=55000
>>2973274
Разраб код видит, может заметить. Если не заметит сейчас, заметит потом. Если он не заметит, может найти любая компания ИБ.
Вот, например, кто-то проверял clang: https://habr.com/ru/company/pvs-studio/blog/525248/
Код открыт, любой может проверить.
Это все "совпало" с переходом к ним сотрудника который над этой длл работал.
Вообще по работе в компаниях скажу что везде все держится на волоске, т.к. если работать по правилам безопасности то никакой работы не будет. Вот все на нее и забивают.
Суть не в том, что мейнтейнеры охуели в край и на критику реагируют неадекватно. А не в том, что там, проебали тролльский коммит. Трольский коммит можно откатить как нехуй делать. А вот порваться на ровном месте - это значит показать себя с худшей стороны, как мудака показать.
>А что конкретно неэтично?
Заставлять коде ревьюреров шевелить мозгами и делать аудит каждой поступающей правки. То есть, заставлять работать свою работу. Это, блять, бесчеловечно!
Часть попала и была выявлена позже, часть не попала и патчи не были приняты сразу.
В данный момент весь код, присланный тем университетом, проверяют на всякий случай ещё раз.
Еще я слышал что если тебе под ноги бросают полотенце а ты на ровном месте его поднимаешь то ты петух.
Самый старый – 2014 года. Нашли в 2019 своими силами, с помощью этой штуки: https://www.kernel.org/doc/html/latest/dev-tools/kasan.html
Возможные последствия – отказ обслуживания ядра.
CVE обнаруженного (и уже исправленного) бага: https://security-tracker.debian.org/tracker/CVE-2019-12819
В Notes по ссылке результат работы KASAN.
> матан не изучал
А мнение о вероятностях имеешь.
> любой может закоммитить
> любой
Вот здесь ошибка. Не любой. Комиты делает ограниченный круг доверенных людей.
У тебя с головой всë в порядке? НИКАКОЙ софт от такого не застрахован. Это секрет полишинеля.
Именно так. Я тебе больше скажу. В электронике и машиностроении всë точно также. Безопасность и гарантии - это только на словах.
https://www.opennet.ru/opennews/art.shtml?num=55026
> Вызвавшее опасение исследование по продвижению скрытых уязвимостей было проведено в августе прошлого года и ограничилось отправкой трёх патчей с ошибками, ни один из которых не попал в кодовую базу ядра. Связанная с данными патчами активность ограничилась только обсуждением и продвижение патчей было остановлено на стадии до добавления изменений в Git. Код трёх проблемных патчей пока не приводится, так как это раскроет лица тех, кто проводил начальное рецензирование (информация будет раскрыта после получения согласия от разработчиков, не распознавших ошибки).
Кто-то нашёл, кто-то нет.
> Ошибкой было то, что исследование было проведено без получения разрешения и без уведомления сообщества.
И тут же
> Мотивом скрытой деятельности было желание добиться чистоты эксперимента, так как уведомление могло привлечь отдельное внимание к патчам и их оценке не на общих основаниях.
Таки я не понял - как можно было провести эксперимент, кого-то уведомляя?
И какие результаты исследования? Ревью работают или нет?
> продвижение патчей было остановлено на стадии до добавления изменений в Git.
Кем остановлено?
Кто может таки добавлятл код в ведро?
типичные линуксодебилы что в манямирок не вписывается игнорируется и запрещается. попнсеорс дауны как всегда
Я ситуацию вижу именно так - вскрыли очередной отсос попенсорца и прыщебляди окрысились. Пруф ми ронг.
они всегда крысятся на всё. из-за отсуствия нормальных драйверов для большинства устройств там многрие видюхи производительность теряют, отваливаются функции у тачпадов, лиунксо дерьмо сокращает срок службы батареи на ноутбуках, я вообще считаю что эту хуйню нужно исключить из официального списка ос, а сделать чем-то вроде васянской поделки.
Так ее и так никто кроме пары промытых пердоликов не считает за десктопную ос.
тем не менее производители сговорились и на 70% ноутбуков новых стоит этот кусок калла по умолчанию
Лол, я ещё вспомнил как с пруфами разъебал пердолика что под линуксом видеокарта из-за отсуствия нормальных драйверов производительность теряет, на что он мне сказал "А зачем тебе производительность на видюхе на линуксе же нету игр"
> Авторов поймали не после публикации статьи. Вы переписку-то почитайте в рассылки. Началось всё как раз с того, что кто-то начал ругаться на бессмысленный подозрительный коммит, а тот, кто его запостил (Aditya Pakki), стал отбиваться, мол, "у меня есть право на ошибку" и юлить всячески, изобрёл байку про новый статический анализатор, который он якобы разрабатывает и это, мол, анализатор предложил такой фикс, поймите правильно, он ещё совсем в ранней стадии разработки. Далее нашли и ревертнули ещё несколько его подобных коммитов и несколько похожих штук от других людей, в том числе задели пару невинных. И только через некоторое время Грег раскопал эту статью и уже после этого забанил университет и затеял масштабную проверку.
>
Прыщебляди таки соснули?
> All the bug-introducing patches stayed only in the email exchanges, without being adopted or merged into any Linux branch, which was explicitly confirmed by maintainers. Therefore, the bug-introducing patches in the email did not even become a Git commit in any Linux branch. None of the Linux users would be affected.
Или не соснули?
Зачем ты лезешь? Дай червям порадоваться, вон они какое празднество выше устроили. Наконец-то победа! И так скоро после провала с exchangeм.
Да мне похуй на вас, я разобраться хочу. Собсно, уже был обсер с опенссл который доказал кто открытые исходники не гарантируют вообще ничего.
В чем разобраться? В том что линукс соснул? Так ты уже разобрался. Тред зачем?
Ты так говоришь как будто всн посты в тред мои. И я не разобрался. Постов по теме здест ноль, проку от вас нихуя.
Windows сосала все 16 лет с дыренью, для которой вообще ничего не надо было практически, чтобы проникнуть к жертве. А сколько ещё таких дырок со времён палеозоя без раскрытия - страшно представить. На Linux оно хотя бы чаще и быстрее вскрывается, благодаря открытости кода любому желающе, а не только для особых лиц и под NDA. Ну и 2% не дают о себе знать.
По теме: никакие исходники(ни закрытые ни открыте) ничего не гарантируют. Можно лишь спорить какой механизм лучше. Но ни один на 100% не работает.
Ну адепты мозолей же тут орут с того что апинсорц лучше, апинсорц - это гарантия чивототам. Хуй вам за шиворот.
> Ну адепты мозолей же тут орут с того что апинсорц лучше, апинсорц - это гарантия чивототам
Тут — это в голове твоей? Или ссылки на посты доставишь? Вполне, допускаю, кстати, — неадекватов хватает.
В твоей, чмо. Ты первый день в инете? Мокрые письки сосут, а швабодка рулит, ведро безопасно по определению.
Красноглазик, своих не узнаешь?
Ну да, не то что EternalBlue через который юзеров Windows ебали целых 16 лет. А потом ещё через него WannaCry и Petya хуйнули по всему миру, ммм. А чего DoublePulsar только стоит... вообще ни разу не обосрались, да. Только ВЫИХРАЛИ!1
Таблетки прими, болезный.
Ну так патчы по игогу так и не попали в ядро, так как были спалены. И в иготе универ получил бан за служение ЗОГу. И теперь патчи будут еще более внимательно излучатся, так как уже есть инцидент.
В очередной раз превосходство попенсурса показала себя как лучшая основа для безопасности.
>>2973631
>Таки я не понял - как можно было провести эксперимент, кого-то уведомляя?
Легко, поставив в известность тех кто не ревьюет патчи и ядро, но мог донести по окончанию эксперимента истинные мотивы авторов и рассказать о скомпрометированных патчах.
Универ спалился служению спецслужбам, и от этого уже не отмазаться. Позор блять.
Ты сравниваешь целую винду с 1 библиотекой, и как же тысячи глаз, пердоля? Твои вири использовали уязвимости уже после патчей, т.е. "нагибали" всякое лошье, их не ставящее.
Мань, суть эксперимента - проверить качество ревью. Идеальный результат - уязвимость в ядре. Кого тут можно было уведомлять? Прыщехуесосы просто пытаются прикрыть свой обосрамс.
>Мань, суть эксперимента - проверить качество ревью. Идеальный результат - уязвимость в ядре. Кого тут можно было уведомлять?
Товарищ майор, я не хотел грабить банк, я работаю в университете Пахомии, суть эксперимента - проверить безопасностью банка, кого я должен был уведомлять?!
>Прыщехуесосы просто пытаются прикрыть свой обосрамс.
Так в чем обосрамс? Патч в ядро так и не пошел, не ушел в прод и тд. Как по мне обосрались именно "эксперементаторы".
>Так в чем обосрамс? Патч в ядро так и не пошел, не ушел в прод и тд. Как по мне обосрались именно "эксперементаторы".
Так мань, шоколадноглазые узнали об эксперименте из открытых источников. То есть, не будь открытых доков, прыщи бы так ничего и не узнали.
А это преступление? И да, есши выяснится, что можно просто подойти к инкассаторской машине и быстро забрать бабки - вора если найдут посадят, но инкассаторы сильно опозорятся.
Патч в ядро не прошел почему??? Отозвали авторы или ревью таки?
>Патч в ядро не прошел почему??? Отозвали авторы или ревью таки?
В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.
>Отозвали авторы или ревью таки?
>С лора
у тебя интересная и убогая интерепретация событий… KH психанул только тогда, когда прочитал исследование и соотнёс это с присылаемыми патчами.. то бишь суть в том, что весь процесс строился не на скрупулёзном анализе кода, а не беспочвенном доверии то ли за красивые глазки, то ли ещё за что… они поняли что происходит только на четвёртом патче, да и то только тогда, когда в рассылке (!) скинули ссылку на этот пдф… в противном случае они бы сразу не принимали ничего от этих ребят из универа, которые проводят исследование, логично же? в итоге начали строить из себя обиженок, зачем-то подняв вопрос об неэтичности… хотя суть совсем не в этом…
https://raw.githubusercontent.com/QiushiWu/qiushiwu.github.io/main/papers/OpenSourceInsecurity.pdf
Чини детектор долбоеб, я не с лора.
> весь процесс строился не на скрупулёзном анализе кода, а не беспочвенном доверии то ли за красивые глазки, то ли ещё за что…
То есть все как с опенссл, хуй какой-то закоммитил баганый код, даже и неумышленно, и все соснули?
>Чини детектор долбоеб, я не с лора.
не бомби, это текст с лора
>То есть все как с опенссл, хуй какой-то закоммитил баганый код, даже и неумышленно, и все соснули?
Таки да. Отсюда и бомбежка. Они утверждали что у них все схвачено, а на деле любой диверсант любой разведки может хуйни записать в ядро и никто не заметит.
А можно пруфы нк все жто для неверующих?
> он намного хуже проприетарного кода куда случайный васян с улицы не сможет добавить свою дыру.
Поэтому мы слепо должны довериться пипиетарным осям, куда неслучайный васян из АНБ или МГБ КНР точно также может пропихнуть бэкдор в такой же гигантский по объёмам проект (и не надо тут толкать телеги про высококлассных оплачиваемых специалистов на код ревью, это такой же манямир, как и с миллионами глаз).
Нигга, будь я гебня — у меня бы треть лошков-погромистов из Мелкософта или Ябла была подвербована: кто просто за лишний прайс, кто идейно, кто подвешен за яйца компроматом. Даже своего васяна-резидента пропихивать не надо.
Так Сноуден же придал огласке перечень компаний и дат начала их сотрудничества с АНБ. Нет? Или это Ассанж был?
Какой манямир? Поехавший чтоле? В больших конторах все на подпорках из стекла и похуизме держится. Критика линукс ядра это конеш хорошо(они не такие безопасные как говорят школотуны) но в частных корпорациях все это просто скрыто.
Да кагебе это еще такое. Вот с Петей например неплохо было, когда вирус пришел от изначально доверенного приложения госуровня дальше полез через дыры в винде и админку актив директори а все антивирусы начали детектировать его лишь через сутки. Это же была реально катастрофа показывающая то как хрупок информационный мир(причем опенсорс здесь никаким боком, наоборот большую роль сыграла патентованная проприетарная АД)
firefox не щитается.
>ниверю
>миркописька корпорация добра и не может работать с АНБ!!!
Отрицание программы призм и есть манямирок, ты обосрался, Петя.
Микрописька годами ведет близкую дейтельность со спецслужбами, чекай сливы которые добрые люди сливают годами, хотя такому узколобому барану наверно насрать на принципы неприкосновенности личной жизни и приватности. Твой уровень - злобно тявкать на открытый софт, при этом сидя с разьебаным очком от зондов китайцев и дяди сэма.
>Твой уровень - злобно тявкать на открытый софт, при этом сидя с разьебаным очком от зондов китайцев и дяди сэма.
Есть факты о том, что открытый софт не лежит под дядей сэмом и АНБ? Как там Столман поживает ?
Разработчики свободного ПО восстали против основателя Фонда СПО Ричарда Столлмана. В сентябре 2019 г. он покинул его из-за травли по поводу своих высказываний в Сети, но 21 марта 2021 г. вновь вернулся в него. Разработчики видят в нем угрозу для всего сообщества из-за его предвзятого отношения к инвалидам и трансгендерам и требуют его ухода из Фонда, но на деле их доказательства «вины» Столлмана вырваны из контекста.
Вернуться, чтобы уйти
Главный евангелист идеи свободного программного обеспечения Ричард Столлман (Richard Stallman) столкнулся с невероятных масштабов травлей сразу после своего возвращения в совет директоров Фонда свободного программного обеспечения (СПО, Free Software Foundation, FSF), им же и основанного. Он вернулся в него 21 марта 2021 г., и буквально через два дня на принадлежащем Microsoft ресурсе GitHub адепты СПО разместили открытое письмо за его увольнение из совета Фонда и заодно со всех руководящих должностей, включая проект GNU.
Авторы письма также требуют отставки всего нынешнего совета директоров Фонда. На момент публикации материала письмо собрало свыше 650 подписей разработчиков ПО с открытым кодом, и еще 115 подписей ждали утверждения.
Что же такого наделал Столман, что его гнобят свои же ?
>Есть факты о том, что открытый софт не лежит под дядей сэмом и АНБ?
Да, сам код. Ты можешь его лично САМ просмотреть и сделать вывод.
Если сам на это не способен, то кроме доверия у тебя ничего нет. За попенсурсом комьюнити и репутация, СПО не был ни разу замечен в установке каких-либо зондов, особенно бекдоров.
А что за стоит мелкописьками? Дырки, бэкдоры, участие в ПРИЗМ, безпощадная телеметрия даже в открытых продуктах собственного производства.
>Как там Столман поживает ?
Как это вообще соотносится с темой обсуждения? Заговор против Столлмана? Возможно. В таком случае это говорит только в пользу СПО, и что проприетарный код - черный ящик.
Пиздец у тебя швабодка головного мозга. Наверное ещё живёшь по поддельному паспорту, не используешь гос. услуги и скрываешь лицо под маской проходя каждый раз под камерой? А почему ты используешь дырявый, зацензуренный и помойный WWW вместо GNUnet или Solid? А железо у тебя тоже свободное вплоть до модулей связи? Как борешься с триангуляцией, проходя мимо каждой вышки?
Два вопроса:
1. Почему ты порвался?
3. Почему ты считаешь, что вправе указывать людям, как им жить?
Твои заявления о свободе это всего лишь пыль в глаза и борец за неё из тебя такой, как из меня балерина. Эти сказки ты можешь рассказывать лишь своим протыклассникам на переменке, дабы потешить своё нитакойкакфсе и я у мамы илитка. Съеби, клоун.
> Apple GayPhone: Safari
> нитакойкакфсе и я у мамы илитка
> Съеби, клоун
> из меня балерина
> протыклассникам на переменке
Так и проступает через такое культурный пользователь Яббла, страдающий на всю голову самоуважением.
> Твои заявления
Первая ошибка.
> всего лишь пыль в глаза
> Эти сказки
Мнение, необоснованное.
> своим протыклассникам на переменке
> борец за неё из тебя такой
Какой? Что ты знаешь обо мне?
> Ты можешь его лично САМ просмотреть и сделать вывод.
Вся суть впопенсорса, каждый надеется что кто то другой что нибудь посмотрит и всем расскажет не жалея своего времени на это. Но в лучших традициях базарной разработки, в говнокоде все равно десятилетиями продолжают висеть дыры.
На самом деле куда хуже. Даже если кто-то обнаружит, и даже исправит и предложит правки, всё равно будет проигнорирован или послан нахуй владельцами, и баги и дыры так и будут висеть годами, потому что "мой код, не нравится, нахуй следуете, ".
>Firefox based
Просто ебаный в рот лолкек.
>>2975674
>На самом деле куда хуже. Даже если кто-то обнаружит, и даже исправит и предложит правки, всё равно будет проигнорирован или послан нахуй владельцами, и баги и дыры так и будут висеть годами, потому что "мой код, не нравится, нахуй следуете, ".
Дурачок, ты бы молчал лучше, может за умного сошел. Какие нахуй владельцы? Скачал сорцы ядра, выбрал то, что тебе надо, проверил (ну это не про тебя конечно), собрал ядро и установил в систему. ЭТО ТВОЁ ЯДРО. У него нет владельцев, ты можешь его изменять как угодно, раздавать кому хочешь, не имеешь только использовать в закрытых программах. Все это описано в лицензии GPL. То же самое ты можешь делать и с BSD системами, но там уже не требуется открывать весь код программы, а только ту часть, которую ты взял для разработки (так делает Apple). И только говноеды из мелкософта (которые тебе анальные зонды в жопень вставили и там проворачивают) копротивляются изо всех сил. А ты пердишь здесь о том, чего не знаешь, и баренам подмахиваешь.
>я когда то писал здесь про уязвимости ядра и то, что наверняка там есть закладки, которые не заметили, на что натыкался на вопль и красные глаза сектантов "ВЫ ВСЕ ВРЕТЕ!11", "НАС МИЛЛИАН, МЫ ЗАМЕТИЛИ БЫ ВРЕДАНАСНЫЙ ПОТЧ".
>в итоге - не заметили, но зная сектантов, те уйдут в отрицание, чем признают свое неправоту.
Хуйню ты несешь, потому что дебил и читать не умеешь
Следом за открытым письмом с извинениями группа исследователей из Университета Миннесоты, приём изменений в ядро Linux от которой был заблокирован Грегом Кроа-Хартманом, раскрыла детальную информацию об отправленных разработчикам ядра патчах и связанную с этими патчами переписку с мэйнтейнерами.
Примечательно, что все из проблемных патчей были отвергнуты по инициативе мэйнтейнеров, ни один из патчей не был одобрен. Указанный факт даёт понять, почему Грег Кроа-Хартман поступил столь жёстко, так как непонятно как поступили бы исследователи, если бы патчи были одобрены мэйнтейнерами. Задним числом они утверждали, что намеревались сообщить об ошибке и не допустили бы поступление патчей в Git, но непонятно как они поступили бы на самом деле и насколько далеко могли зайти.
https://www.opennet.ru/opennews/art.shtml?num=55041
Китайско-индийская компашка публично жидко обосралась, а ты им задаром подсираешь, но так как твой анус конкретно раздолбан зондами - то срешь ты себе в шаровары.
Вот это дух свободы! А если что мы можем и васянский ФОРК сделать пока каникулы идут!
на самом деле те же зашоренные мантры уверующего пердоблядка
743 Кб, 600x800> Эксперты обнаружили критическую уязвимость в sudo, баг в утилите был с 2011 года
https://habr.com/ru/news/t/539526/
>Microsoft Windows 10: Firefox based
Ты зачем так рвешься? Пушто на лисе сидишь, а не на дырявом Internet Explote? Или не на попенсорсной EDGE?
https://github.com/MicrosoftEdge
Тред отсоса Швятого попенсорса. LOL БЛЕАДЬ!
>>2975716
>Ох дааа, детка
Тебе же в статье по ссылке объяснили, куда идти? На хуй. Или в дурку.
Чтобы вирус в линуксе работал, его надо скомпилировать и запустить под рутом
>Какие нахуй владельцы?
Прямые владельцы кода и соответственно репозитория с этом кодом, с которого собирается программа. Владельцы шлют нахуй замечания. предложения, правки, что угодно, потому что это их личное детище и срать они на посторонних хотели, даже если там сплошные дыры, им просто похуй: "МОЁ, как хочу, так и ворочу" и всё тут.
И то, что посторонний человек может скачать код и исправить совсем не помогает, потому что это придется делать каждому пользователю и еще постоянно следит ь на обновлениями и мержить со своими правками и пересобирать, и так ВСЕ программы. Это просто физически невозможнол, да и не нужно. Нахуя тебе ебаться с чужой программой, когда её хозяева ложат хуй и на неё и на тебя и всех остальных пользователей? В итоге никто ничего не делает, за исключением единиц реально жизненно необходимых, что ты вынужден их тянуть как бурлак на волге, тратя время и силы.
> Специалисты Qualys проверили эксплойты с уязвимостью на дистрибутивах Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) и Fedora 33 (sudo 1.9.2). В этих дистрибутивах они получили полные привилегии в системе. Уязвимости подвержены и другие дистрибутивы Linux с утилитой sudo всех версий от 1.8.2 до 1.8.31p2 (legacy) и от 1.9.0 до 1.9.5p1 (stable).
> нищитова, не порвали ничё
> В ЯДРО ШЛЯЛИКСА БЫЛО ЗАКОМИЧЕНЫ УЯЗВИМОСТИ И НИКТО ИХ НЕ НАШЕЛ.
На самом деле ни один не попал: https://www.opennet.ru/opennews/art.shtml?num=55041
> Примечательно, что все из проблемных патчей были отвергнуты по инициативе мэйнтейнеров, ни один из патчей не был одобрен.
> Первый проблемный патч устранял утечку памяти, добавляя вызов kfree() перед возвращением управления в случае ошибки, но создавал условия для обращения к области памяти после её освобождения (use-after-free). Указанный патч был отвергнут сопровождающим (Jiri Slaby), который определил наличие проблемы и указал, что год назад кто-то уже пытался предложить подобное изменение и оно было вначале принято, но в тот же день отброшено после выявления условий появления уязвимости.
> Второй патч также содержал условия возникновения проблемы use-after-free. Указанный патч не был принят сопровождающим (Dan Carpenter), который отклонил патч из-за возникающей другой проблемы с list_add_tail, но не обратил внимание на то, что в функции put_device может быть освобождён указатель "chdev", который ниже используется в вызове dev_err(&chdev->dev..). Тем не менее, патч не был принят, хоть и по причине, не связанной с уязвимостью.
> Третий патч также не был принят мэйнтейнером (Miquel Raynal) из-за наличия другой ошибки, не связанной с уязвимостью (двойной вызов put для pdev).
Да ОПу лишь бы покудахать.
Удивительно, но исследование, ставившее целью выявить слепоту «тысячи глаз», выявило как раз внимательность этих глаз.
>нищитова, не порвали ничё
Пруфы, что порвали, или пошел нахуй, пиздобол.
>>2975766
>Аноним (Microsoft Windows 10: Firefox based)
Зонды из своей жопы вынь, тогда тебя перестанет трясти.
Есть отличный попенсорсный браузер от твоего анального господина, Edge называется, все расширители сфинктера от Chrome подходят, да еще и Internet Exploiter в нем можно запускать - нет, сидит на вражьей лисе. Долбоеб? Долбоеб.
>Прямые владельцы кода и соответственно репозитория с этом кодом
Чего блядь? Ты идиот? Посмотри на mirror.yandex.ru - чем Яндекс там владеет? Каким "кодом"
>И то, что посторонний человек может скачать код и исправить совсем не помогает, потому что это придется делать каждому пользователю и еще постоянно следит ь на обновлениями и мержить со своими правками и пересобирать, и так ВСЕ программы.
Интересно, все говноеды-виндопидоры такие долбоебы, или через одного? Как тогда появились сотни дистрибутивов, и каждый день появляются? Альт, РОСА, Астра, Рунту, Calculate? РусБСД? Генту Деня Робинс вообще в одну каску пилил до 2004 года
>В итоге никто ничего не делает, за исключением единиц реально жизненно необходимых
Ну вот Швятой Гейбушка оплатил разработку "жизненно необходимой" SteamMashine (и охуительнейшего контроллера под нее) и как то мелкософты стали под себя гадить и дристать от страха, а пердолики гонять в "экскклюзивы" вендекапца
Поздно, транзакция на 15 рублей уже зачислена. После драки кулаками не машут, пердолики опять соснули 0/
>Даже если кто-то обнаружит, и даже исправит и предложит правки, всё равно будет проигнорирован или послан нахуй владельцами, и баги и дыры так и будут висеть годами
Ахахаха, то-ли дело майкрософт, гугл, эпл и т.д у которых известные баги по несколько лет не закрываются, потому что хуй знает почему.
>известные баги по несколько лет не закрываются, потому что хуй знает почему.
Если ты тупой дебил. А так, причина очевидна, они держат баги, чтобы был стимул переходить на новые версии их продуктов. Ведь если в старой всё исправить и будет заебись, получится, что новое не нужно. А им это не выгодно.
Ты моженшь сказать "ну вот! какие они плохие!", но у попенсурца всё куда хуже, там эти баги не по объективным причинам, а просто потому что похуй, "не нравится - исправьие сами". Мало того, что со стороны пользователя это так не работрает, как я уже расписал >>2975744 , вдобавок и пофигизм со стороны самих разработчиков "не хочу=не буду, потому что ты меня не заставишь". Детский сад дегенератов. Что такие хорошего высрут? ничего, это по факту невозможно.
Какой злой и глупый пердоль
> как я уже расписал >>2975744 , вдобавок и пофигизм со стороны самих разработчиков "не хочу=не буду, потому что ты меня не заставишь". Детский сад дегенератов. Что такие хорошего высрут? ничего, это по факту невозможно.
Ты второй пост подряд хуйню несешь. Нет никаких владельцев кода. Если ты знаешь, что в коде дыра и никто её не закрывает, всегда можно сделать форк.
>пофигизм со стороны самих разработчиков "не хочу=не буду, потому что ты меня не заставишь". Детский сад дегенератов. Что такие хорошего высрут? ничего, это по факту невозможно.
https://www.youtube.com/watch?v=yR3XMYA0Vtk
> RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
> Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года.
Ежедневный бэкдор в коде который может посмотреть каждый (но не смотрит)
Дырявый, спок.
У тебя цитата подобрана в постмодернистском стиле говносми вроде медузы, новой газеты или цензорнета. Такой стиль подсказывает мне, что из новости удалены важные подробности, позволяющие изложить смысловую часть с точностью до наоборот.
Итак, у нас есть 200 уязвимостей/багов в Линуксе и столько же в Винде.
В Линуксе люди находят 190 багов, но все орут что багов дохера из-за оставшихся 10.
В Винде разрабы нашли 10 багов, из которых 8 объявили фичами, один закрыли и на один забили. НО про оставшиеся хрен кто узнает, ибо проприетарка.
> Итак, у нас есть 200 уязвимостей/багов в Линуксе и столько же в Винде.
Разве хацкерам не сложнее писать вирусы под уязвимости в закрытом ПО? Ну они же тип исходного кода не знают.
Если уязвимость найдена, то как она там написана- до пизды. Код нужен тем, кто эту уязвимость закрывать будет. Большую часть уязвимостей находят методом тыка изначально, перебирая теоретические варианты.
Это если они не знают. Есть такие баги, про которые знает кто надо. Плюс "закрытые" баги эпичней, вроде мельтдауна\спектра например
> НО про оставшиеся хрен кто узнает, ибо проприетарка.
Вот и остается только маняфантазировать о чем не знаешь.
>маняфантазировать
Читать новости
https://www.justice.gov/opa/press-release/file/1386631/download
> Итак, у нас есть 200 уязвимостей/багов в Линуксе и столько же в Винде.
> compromised Microsoft Exchange
Желательно еще не жопой
>ряяя, вы не можете знать про уязвимости в проприетари, поэтому у вас одни маняфантазии!
>новость двухнедельной давности про уязвимость в проприетари
>это не та проприетарь! Про ту вы ничего знать не можете!
Ну что ты кричишь как глупый, сам начал говорить про баги в венде, а аргументом бэкдора приводишь почтовый сервер.
Не обращай внимание на всякую шизанутую шваль. Они будут до конца маняврировать как подобает их манямиру, а могли бы это время с пользой провести (например, постирать свои обосранные портки).
Ебать ты калека на разум. Тебе только в вин10 треде сидеть, там IQ>30 хвастаются. Ну ты не беспокойся, ты прав, все хорошо, а он долбоеб, которому до тебя далеко. Скушай вкусных розовых таблеток и погамай в весёлую ферму с яркими цветами. Можешь ещё в десктоп тред протечь и аниме обоями похвастаться.
Бедняга, ты даже жалость со злобой путаешь. Надеюсь хоть свой рот с анусом не путаешь, когда кушаешь. Улыбайся, маши, скачи! Всё у тебя хорошо, Роман, мир прекрасен.
Как хорошо жить в манямире фанатзий, придумываешь баги из багтрекера который никогда не видел и одни программы выдаешь за другие. Получается что ты прав в том что сам придумал и доказал на пальцах уничтожив логику и аргументы.
>>2972162
>>2972102 (OP)
Самое главное в этой новости.
Разработчики которые ДОЛЖНЫ проверять комиты на наличие в них ошибок и закладок ОБИДЕЛИСЬ на исследователей безопасности подсунувшим им НЕСКОЛЬКО ВРЕДОНОСНЫХ КОММИТОВ ВСЕ ИЗ КОТОРЫХ БЫЛИ ПРОПУЩЕНЫ.
Нет, исследователи конечно поступили неэтично НО НЕ В ЭТОМ ДЕЛО!
А в том что КОД КОТОРЫЙ КОММИТЯТ В ЛИНУКС НЕ ПРОХОДИТ РЕВЬЮ.
255 Кб, 1024x1016>
>Универ спалился служению спецслужбам, и от этого уже не отмазаться. Позор блять.
Ого ДА ТЫ ЛОБОТОМИРОВАНЫЙ.
Университет РАСКРЫЛ СПОСОБЫ РАБОТЫ СПЕЦСЛУЖБ ЧЕМ НАНЁС УЩЕРБ ИХ РЕАЛЬНОЙ ДЕЯТЕЛЬНОСТИ ПО ВНЕДРЕНИЮ ВРЕДОНОСНОГО КОДА В ЛИНУКС.
ИЗ ЗА ЭТОГО И РАЗДУЛИ СКАНДАЛ.
В чем вообще смысл подобного эксперимента? Что код ревьювер может обосраться? Это можно без всякого эксперимента сказать. Тем более тут ещё вредоносность коммитов по итогу была обнаружена и они не были замержены лел
Нормальных научных работ в вуз не завезли, что ли
думаю, смысл в том, что ревьювер, судя по всему, обсирается с вероятностью близкой к 100%
Это можно было еще сто лет назад без всяких экспериментов сказать. В машиностроении, например, в большинстве случаев к моменту проверки проекта, денег уже не остаëтся. Исключения бывают.
Ядро Астры обновляется вручную оно вообще не обновляется из-за тупой ошибки с контрольной суммой, допущенной в самом начале производства.
Ебать там Путин нашелся. Послали бы его нахуй и воспользовались его методами.
> Выявлены две новые уязвимости в подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT. Обе уязвимость дают возможность выполнить свой код с правами ядра, вне изолированной виртуальной машины eBPF.
Как можно продолжать верить в подобную чушь, после очередной новости про уязвимость 15 летней давности в ядре?
Ты совсем ебо-бо? EternalBlue был 0-day уязвимостью на протяжении 10 лет. Просто в паблик сам эксплойт в 2017 выложили добрые хацкеры, а вот когда его написали и начали использовать - вопрос открытый. Плюс в винде есть изначально неисправленная фигня как хранение паролей в открытом виде в памяти процесса LSA и Pass-the-Hash в RDP и SMB. О которых все знают на протяжении уже 20 лет, но Майкрософт похер.
Мимо капчую с чужого ПК
А отсос openssl сколько лет зиродеем был? Или ты думаешь что у АНБ нет бюджета на ревьюеров? Достаточное количество через него нагнули только когда он попал в паблик. Eternalblue через smb распространяется? Он наружу везде закрыт.
Pass the hash - следствие challenge-response, но ты слишком тупой, чтобы знать что это.
EternalBlue наружу везде закрыт потому что провайдеры теперь додумались по умолчанию 139 и 445 порты закрывать для пользователей. В 2017 открытых 139 и 445 было вагон и тележка, плюс ничто не мешает взломать роутер или использовать эту уязвимость в локальных сетях. А касаемо Pass-the-Hash: что мешало Microsoft по умолчанию сделать SMB с шифрованием? Например SMB over TLS. Сам способ эксплуатации pass-the-Hash известен с 1999 и Майкрософт очень по умному решили использовать выполнение команд на удаленном ПК через SMB. А про LSA ты ничего даже вякнуть не посмел. И не тебе меня учить о challenge-response, клован.
Как погода в прыщемирке? Фаерволл есть с xp sp3 + везде нат рутеры стоят + иногда нат уже от провайдера. Это троллинг тупостью?
Открыть их наружу можно только в офисном лане без ната. Но эпидемии смб червей начались в 2003.
А вот с отсосом опенссл веб сервер можно было любой ебать не отходя от кассы.
> В 2017 открытых 139 и 445 было вагон и тележка,
Можно я их тоже как-то увижу?
> А касаемо Pass-the-Hash: что мешало Microsoft по умолчанию сделать SMB с шифрованием?
И потом выдавать приемлемую скорость на гигабитке? Сам-то спидтест ссл погоняй. Алсо не вижу в данном случае разницы.
> А про LSA ты ничего даже вякнуть не посмел. И не тебе меня учить о challenge-response, клован.
Че ты расхрюкалось? В чем проблема паролей открытым текстом в процессе системы? И как бы ты их по-другому хранил, клован?
Чего тебя оно вообще так волнует, не пойму?
>Можно я их тоже как-то увижу?
https://opendata.rapid7.com/sonar.tcp/2021-04-29-1619729798-tcp_smb_139.csv.gz
https://opendata.rapid7.com/sonar.tcp/2021-04-29-1619726881-tcp_smb_445.csv.gz
Ну и шодан тебе в руки, если есть подписка
Нихуя себе мантры, дефолтный фаерволл винды полное гавно, как и то что уязвимостей в прошивках роутеров вагон и тележка. Посмотреть порты ты мог просто сканирую сети nmap`ом, или посмотри старые результаты из shodan.
>Че ты расхрюкалось? В чем проблема паролей открытым текстом в процессе системы? И как бы ты их по-другому хранил, клован?
Чего тебя оно вообще так волнует, не пойму?
А здесь ты обосрался по полной. Изначально винда хранит пароли в SAM файлах в хешируемом виде, чушка ты ебаная. Ты хоть понимаешь как это облегчает работу хакерам, которым хочется получить пароли в чистом виде? Я надеюсь что ты не программист, иначе не представляю какие у вас там баги.
А то как ты игнорируешь факт того, что Майкрософт запилила выполнение команд через SMB, ты даже вякнуть не посмел. Как и то что майкрософт не додумался запилить хотя бы опциональное для SMB шифрование.
Ты так гонишься за мыслью что любой винда-хейтер является линуксоидом, что это даже смешно. Тебе в голову не приходит что я хейтер винды т.к. я по работе занимаюсь вещами более сложными чем настройка AD для говноконторы и вижу как винда сосет в самых интересных местах. Уверен что ты даже не знаешь про то как взламывают большинство компаний через вредоносные ворд документы, и openssl здесь неактуален уже давно.
И не забывай что EternalBlue попал в паблик так как была утечка в АНБ. Или ты думал что у них нет секретных договором с Майкрососфт?
Вот тебе https://www.exploit-db.com/ и смотри сколько эксплойтов для винды в одном только паблике, маня
24 Кб, 407x160Ну хуй знает. Может если бы там наоборот старые пердуны сидели, а не диверсити хаярз, то такой хуни бы не было.
Прыщедебил, нахуц ты лезешь обсуждать винду, в которой не шаришь ВООБЩЕ? Виндовый фаерволл был добавлен именно для блокировки входящих соединений. Пруф что он их не блокирует или обоссан.
>>2991332 и это почитай
>>2991379
> А то как ты игнорируешь факт того, что Майкрософт запилила выполнение команд через SMB, ты даже вякнуть не посмел.
Ты че раскукарекался? Смб и создавался втч для удаленного управления. Зачем я с тобой дураком говорю? Ты даже sysinternals suite не видел походу.
Как это относится к червям? Ты понимаешь дебилушка что пароль хранится в памяти процесса с правами системы и 100% если его ввели, на винте он не хранится.
У кого у нас блядь? Я не работаю в мс.
> Ты так гонишься за мыслью что любой винда-хейтер является линуксоидом,
А кто еще любит рассуждать про винду не зная ее?
> Вот тебе https://www.exploit-db.com/ и смотри сколько эксплойтов для винды в одном только паблике, маня
и хуй теперь? Они запатчены. Че ты мне втолковать пытаешься, петушок? Сраку свою зашить? Не пойму. Еще раз: черви использовали уже запатченый eternalblue. Кто не ставит патчи - сам виноват.
> Вот тебе https://www.exploit-db.com/ и смотри сколько эксплойтов для винды в одном только паблике, маня
А линукс это только ведро и поэтому уязвимостей там почти нет. Знакомая мантра. С чем ты тогда собрался сравнивать винду?
> Виндовый фаерволл был добавлен именно для блокировки входящих соединений
А виндовый антивирус для защиты от червей и винлокеров
А виндовый центр обновлений для своевременного получения апдейтов и затыкания анальных дыр спермоворам лол
>>2991479
>А линукс это только ведро и поэтому уязвимостей там почти нет. Знакомая мантра.
Странно, за 20 лет ни разу не видел работающего вируса на машине с Linux. А вот из MS-DOS и других поделий микрософта всякое говно приходилось вычерпывать вёдрами, причём никакие антивирусы и фаерволы не спасали от криворучек-школьников и тупорогих тётейсрак. Это потому что спермоворы - сплошь тупое ламьё? Ну раз приложения Linux, по-твоему, не имеет никаких преимуществ перед мокрописьками?
> спермоворам
Пердолики.txt
А я десткопы на прыщах видел только в вузе и то на нашем факе. Откуда возьмутся вирусы на несуществующей оси? А вот на серваках и эмбеде все по-другому. С ботнета на рутерах просканировали весь ipv4. Ой, да, линупс же это ядро, он не виноват.
> Это потому что спермоворы - сплошь тупое ламьё?
Это все чем ты можешь гордиться, прыщехуесосина? Что осилил 2%-ную ось, кривую как хуй и глючную?
Фаервол стоит начиная с xp sp3. От смб червей поможет, ясен хер.
>я десткопы на прыщах видел только в вузе и то на нашем факе
Кто-то виноват, что ты говно без задач?
>2%-ную ось, кривую как хуй и глючную?
>Google Android: Mobile Safari
Я же говорю, спермоворы - тупые обсосы, ты в курсе, что андроид - всего лишь надстройка над ядром Линукс? Как и гейось использует ядро БСДи (ну это у них просто половая дезориентация близкая лол)
Даже Билли Гейц не постеснялся спиздить у IBM ядро и файловую систему для винды НТ из OS/2, как и раньше наработки CP/M и DR-DOS.
Вор на воре сидит, и вором погоняет.
И ты, петушок, сиди кукарекай на прошивке для вирусов.
> Кто-то виноват, что ты говно без задач?
Кто это спязданул? ТЫ хто?
> андроид - всего лишь надстройка над ядром Линукс?
Ахахахахах :Ddddd Ну надстрой свою настройку, ведро же анальное. Да, дебил?
Так уязвимости андроида считать уязвимостями прыщей или нет?
> Вор
В суд подай, пидорасина.
>Кто это спязданул? ТЫ хто?
Вот ты ебанашка - спрашивать на анонимной борде "ты кто"
>>2991541
>уязвимости андроида считать уязвимостями прыщей или нет?
Ну а ты как думаешь, баклан тупоголовый? Если говноед вроде тебя зальет в бензобак Мустанга мазут, кто будет виноват, Генри Форд?
Уже все крупные игроки рынка IT признали Linux отличным продуктом, делают на нем бизнес, создают программные решения всех уровней, от дебилофона для школоты до суперкомпьютеров, даже блядь мелкософт встраивает подсистему Linux в свою недоось - нет, найдется копротивленец против на доске для анимуёбов и прочих пидарастов.
>>2991541
>В суд подай
Верховный суд США оставил в силе решение, вынесенное против Microsoft судами апелляционной и нижних инстанций в патентном споре с компанией i4i.
Решение суда будет стоить компании 290 миллионов долларов.
Суд счел, что Microsoft преднамеренно нарушила патент, принадлежащий небольшой канадской компании. Суд запретил с 11 января продажу пакетов программ Microsoft Office 2003 и 2007.
Так и без меня мелкософт ебут во все дыры кому ни попадя, несмотря на то что она как подорванная скупает все патенты, до которых может дотянуться.
Да, блядь, спросил, ТЫ хто такой, что на меня потяфкиваешь тут? Клоун-пердодик? Дите недоебаное?
> Так и без меня мелкософт ебут во все дыры кому ни попадя,
Покажи сколько ты денег заработал, мы и сравним кто кого ебет. Все, кыщ нахуй, долбоеб малолетний.
Тупорылая долбоебина вот тебе уязвимость для виндо фаерволла https://nvd.nist.gov/vuln/detail/CVE-2019-0637, опубликованная на сайте национальной лаборатории США. А SMB за выполнение комманд я обоссываю т.к. эта функциональность позволяет отлично поднимать свои привилегии внутри виндо сетей. При этом ты ничего не сказал про более безопасные способы удаленного выполнения команд на винде типа использования WinRM, которая включается опционально, но очевидно что ты петух который знает про администрирование винды только на словах и оправдывает косяки винды фразами "ну раз так придумали то наверно так и надо" и считает использование говна вроде psexec золотыми стандартами администрирования. А если тебе интересно почему я начал тему про пароли в процессах то гугли про mimikatz, безпруфная ты ссанина.
>хто такой
Твой вероятный дедушка, хорошо что в аптеках послесовка вовремя презервативы появились
Хотя от появления тебя, гандона дырявого, это не спасло
>>2991552
>Покажи сколько ты денег заработал
Лол нищееб считает деньги в чужих карманах. А находит только залупу себе на воротник, чтобы шею не натирало
> За что мне нравится опенсорс
> То есть ты можешь посмотреть исходный код
Сколько исходных кодов уже просмотрел? Все выходные небось на это уходят? Или ты манятеоретик "миллионы мух глаз не могут просмотреть троян", как и остальные попенсорсники?
> A security feature bypass vulnerability exists when Windows Defender Firewall incorrectly applies firewall profiles to cellular network connections
Ты свои ссылки сам-то читаешь, дегенерат?
> ты петух который знает про администрирование винды только на словах
Я не админ, но ты даже этого не знаешь.
> А SMB за выполнение комманд я обоссываю т.к. эта функциональность позволяет отлично поднимать свои привилегии внутри виндо сетей.
Каким образом, петуз?
>>2991602
Выблядыш, ты мозги не еби. ТЫ кто такой? Давай рассказывай про свой опыт, админ локалхоста хуев. Ты моська блядь анонимная.
>>2991806
Сюда паста Карманова нужна.
Т.е. тот факт что фаерволл херово обрабатывает правила уже не бага? Хуясе у тебя маневры. Ты можешь только громко и безпруфно кукарекать. Вот тебе пример техники атаки через SMB чтобы захватывать хеши https://book.hacktricks.xyz/pentesting/pentesting-smb#smb-trap, обтекай манька
>Каким образом
Не образом, а кое чем похожим на свечку. Ты же охуенне знаток всего на свете, вот и покукарекай, как вирусы попадают на спермомойшинки и в жопы спермоюзверей.
>ты мозги не еби.
Откуда у тебя мозги, чмоня?
А то что у тебя в нижних полужопиях никак на мозги не потянет.
>Давай рассказывай про свой опыт
Рассказал тебе за щеку, хватит, или еще добавить?
Дебил, ты с разными людьми общаешься. А насчет баг в винде тебе уже тысячу раз говорили про Eternalblue и прочие из утечки от АНБ. Тогда весь мир на уши встал, не то что чтение памяти openssl. И не забывай что если ты заблочишь файерволлом 445 и 139 то тогда твое хваленые тулзы вроде psexec только громко пукнут. Прикладываю способы взлома пароля в винде тебе за щеку https://xakep.ru/2017/06/30/windows-privilege-bypass/ Наслаждайся тем как "хорошо" винда хранит пароли
1,6 Мб, 1280x720>Это ОДИН баг за все годы и тот с мобильными сетями?
ЛОЛБЛЯДЬ
https://www.youtube.com/watch?v=jMToNsCyFQU
https://www.youtube.com/watch?v=hPAqra8zCnk
> Наслаждайся тем как "хорошо" винда хранит пароли
У меня ни один из перечисленных способ не показал пароль ни от чего в системе. Там в половине случаев нужно запустить какое то васянское говно в который ты сам введешь пароль, в других сразу запускать от админа. Где тут уязвимости? Ты сам ввел свои данные хуй знает куда.
бля как же ору с виндоблядей.
уязвимости в винде существуют со времён 3.1, и ВСЕМ ПОХУЙ.
в то же время, когда в лине нашли уяз, который никогда никто не юзал и его тут же закрыли: АЫАЫАЫААЫАЫАЫАЫАЫАЫААЫАЫА ШВЯТОЙ ПАПИНСУГС ПАСАСАЛ!11!11!!11!11111111!1!
>уязвимости в винде существуют со времён 3.1, и ВСЕМ ПОХУЙ.
Все же Шин3.1 это просто надстройка над мс дос с нескучными обоями, и ее косяки связаны с проблемами совместимости в работе реального и защищенного режима. А вот 95 - уже настоящий БСОДо-генератор и дырка тухлозадая.
Только в манямире спермоблядей, которые перезапускали систему 100500 раз на дню.
>В 1995 году
О5 спермоглот себе в штаны насрал лол
В 1995 году официально вышла новая версия Windows — Windows 95. На пресс-конференции, посвящённой её выходу, Билл Гейтс заявил, что с вирусной угрозой теперь покончено. Действительно, на момент выхода Windows была весьма устойчива к имеющимся вирусам для MS-DOS. Однако уже в августе появляется первый вирус для Microsoft Word (Concept).
В 1996 году появился первый вирус для Windows 95 — Win95.Boza. В марте 1996 года на свободу вырвался Win.Tentacle, заражающий компьютеры под управлением Windows 3.1. Эта была первая эпидемия, вызванная вирусом для Windows. Июль 1996 отмечен распространением Laroux — первого вируса для Microsoft Excel. В декабре 1996 появился Win95.Punch — первый резидентный вирус для Win95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В феврале 1997 года отмечены первые макровирусы для Office 97. Первые из них оказались всего лишь «отконвертированными» в новый формат макровирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97. Март 1997: ShareFun — макровирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail[en]. Он по праву считается первым mail-червём. В июне появляется и первый самошифрующийся вирус для Windows 95.
В апреле 1997 года появляется и первый сетевой червь, использующий для своего распространения File Transfer Protocol (ftp). Так же в декабре 1997: появилась новая форма сетевых вирусов — черви mIRC.
Начало 1998 года отмечено эпидемией целого семейства вирусов Win32.HLLP.DeTroie, не только заражавших выполняемые файлы Win32, но и способных передать своему «хозяину» информацию о заражённом компьютере.
Февраль 1998: обнаружен ещё один тип вируса, заражающий формулы в таблицах Excel — Excel4.Paix. В марте 1998 года появился и AccessiV — первый вирус для Microsoft Access, также в марте был обнаружен и Cross — первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились ещё несколько макровирусов, переносящих свой код из одного Office-приложения в другое.
В феврале-марте 1998 отмечены первые инциденты с Win95.HPS и Win95.Marburg — первыми полиморфными Win32-вирусами. В мае 1998 началась эпидемия RedTeam, который заражал EXE-файлы Windows, и рассылал заражённые файлы при помощи электронной почты Eudora.
В июне началась эпидемия вируса Win95.CIH (из-за даты активации 26 апреля также известного как «Чернобыль»), ставшая самой разрушительной за все предшествующие годы. Вирус уничтожал информацию на дисках и перезаписывал Flash BIOS, что вызвало физические неисправности у сотен тысяч компьютеров по всему миру.
В августе 1998 появилась широко известная утилита BackOrifice (Backdoor.BO), применяемая для скрытого администрирования удалённых компьютеров и сетей. Следом за BackOrifice были написаны несколько других аналогичных программ: NetBus, Phase и прочие
Случаи обнаружения антивирусами вирусов для Linux «вживую» («in the wild») либо не имели места, либо о них не известно
>В 1995 году
О5 спермоглот себе в штаны насрал лол
В 1995 году официально вышла новая версия Windows — Windows 95. На пресс-конференции, посвящённой её выходу, Билл Гейтс заявил, что с вирусной угрозой теперь покончено. Действительно, на момент выхода Windows была весьма устойчива к имеющимся вирусам для MS-DOS. Однако уже в августе появляется первый вирус для Microsoft Word (Concept).
В 1996 году появился первый вирус для Windows 95 — Win95.Boza. В марте 1996 года на свободу вырвался Win.Tentacle, заражающий компьютеры под управлением Windows 3.1. Эта была первая эпидемия, вызванная вирусом для Windows. Июль 1996 отмечен распространением Laroux — первого вируса для Microsoft Excel. В декабре 1996 появился Win95.Punch — первый резидентный вирус для Win95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В феврале 1997 года отмечены первые макровирусы для Office 97. Первые из них оказались всего лишь «отконвертированными» в новый формат макровирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97. Март 1997: ShareFun — макровирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail[en]. Он по праву считается первым mail-червём. В июне появляется и первый самошифрующийся вирус для Windows 95.
В апреле 1997 года появляется и первый сетевой червь, использующий для своего распространения File Transfer Protocol (ftp). Так же в декабре 1997: появилась новая форма сетевых вирусов — черви mIRC.
Начало 1998 года отмечено эпидемией целого семейства вирусов Win32.HLLP.DeTroie, не только заражавших выполняемые файлы Win32, но и способных передать своему «хозяину» информацию о заражённом компьютере.
Февраль 1998: обнаружен ещё один тип вируса, заражающий формулы в таблицах Excel — Excel4.Paix. В марте 1998 года появился и AccessiV — первый вирус для Microsoft Access, также в марте был обнаружен и Cross — первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились ещё несколько макровирусов, переносящих свой код из одного Office-приложения в другое.
В феврале-марте 1998 отмечены первые инциденты с Win95.HPS и Win95.Marburg — первыми полиморфными Win32-вирусами. В мае 1998 началась эпидемия RedTeam, который заражал EXE-файлы Windows, и рассылал заражённые файлы при помощи электронной почты Eudora.
В июне началась эпидемия вируса Win95.CIH (из-за даты активации 26 апреля также известного как «Чернобыль»), ставшая самой разрушительной за все предшествующие годы. Вирус уничтожал информацию на дисках и перезаписывал Flash BIOS, что вызвало физические неисправности у сотен тысяч компьютеров по всему миру.
В августе 1998 появилась широко известная утилита BackOrifice (Backdoor.BO), применяемая для скрытого администрирования удалённых компьютеров и сетей. Следом за BackOrifice были написаны несколько других аналогичных программ: NetBus, Phase и прочие
Случаи обнаружения антивирусами вирусов для Linux «вживую» («in the wild») либо не имели места, либо о них не известно
А что там с эксплойтами под жопенсорс? Все так же стабильно в два раза больше, чем под виндовый софт?
>А что там с эксплойтами под жопенсорс? Все так же стабильно в два раза больше, чем под виндовый софт?
Виндовый софт опенсорс.
И сама винда опенсорс код в себе имеет.
Шизя))))
Бесплатный сыр, результат закономерен. Но вирусов конечно нет.
> В ядре Linux выявлена уязвимость (CVE-2021-3609), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана состоянием гонки в реализации протокола CAN BCM и проявляется в выпусках ядра Linux с 2.6.25 по 5.13-rc6. В дистрибутивах проблема пока остаётся неисправленной (RHEL, Fedora, Debian, Ubuntu, SUSE, Arch).
очередные миллионы глаз смотрели куда то не туда...
> Исследователи безопасности из компании Qualys раскрыли детали двух уязвимостей, затрагивающих ядро Linux и системный менеджер systemd. Уязвимость в ядре (CVE-2021-33909) позволяет локальному пользователю добиться выполнения кода с правами root через манипуляции с каталогами большой вложенности.
> Проблема проявляется с июля 2014 года и затрагивает выпуски ядра начиная с 3.16. Исправление уязвимости было скоординировано с сообществом и принято в состав ядра 19 июля. Основные дистрибутивы уже сформировали обновления пакетов с ядром (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch).
Сегодня линукс сообщество может спать спокойно.
Это копия, сохраненная 31 июля 2021 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.