ฝัง
- เผยแพร่เมื่อ 7 ก.พ. 2025
- ► WEBINAR
slackjeff.com....
Seja membro deste canal e ganhe benefícios:
/ @slackjeff
► MEUS CURSOS com preços ACESSÍVEIS:
slackjeff.com....
► OUTRAS PLATAFORMAS DE VIDEO QUE ESTOU:
Odysee: odysee.com/@sl...
► [CUPOM] de descontão NordVPN:
nordvpn.com/sl...
► [CUPOM] de descontão, Hostinger:
hostinger.com....
► Minha CHAVE GPG
slackjeff.com....
► Equipamento e Softwares utilizados:
Distribuição GNU/Linux: Slackware 15.0
Terminal: XTerm
Gerenciador de Janelas: I3 WM com i3 Status, ambos puros.
Gravador de tela: Obs Studio
Editor de Video: Kdenlive
Editor Markdown: Ghostwriter
Navegador: Brave
#slackjeff
Até que enfim alguém reportando a vulnerabilidade de forma correta. Parabéns.
Hô o barbudo do labs.
Não menosprezando outros canais técnicos, mas eu particularmente vi um alarde muito grande e muitas coisas erradas, parabéns por trazer um conteúdo de qualidade
Concordo mas o autor do virus pode ter incluído várias brechas para uma finalidade maior que ainda não se sabe.
@@edmundombrnão é um vírus. É um Backdoor
user-eq9pz7cv5u o problema é com as distribuições sem curadoria, como as que usam os repositórios dos autores de forma direta.
Eu tb parecia o fim do mundo... como postei acima 98 servidores testados e nenhum deles com a falha.
E as distros rolling releases ?
Excelente abordagem, deve ser uma organização mesmo por trás disso e infelizmente pode ter outras libs comprometidas. A questão agora será auditar buscando não só falhas propositais, como também outras contas que estão iserindo esses códigos maliciosos.
Esse é o trabalho das distribuições.
@@TheMarcodefreitas Auditoria?🤔
@@rikerlinux sim. Muita coisa é descoberta pelas distribuições, durante os testes pré-lançamento.
Mas não deixo de pensar que a NSA não possa estar envolvido nisso.
Mas que bom que isso que é a força do Código aberto, muita gente olhando e resolvendo os problemas
Não sou de pensar nessas teorias, pelo contrário, mas pensei a mesma coisa. É uma falha grande demais.
Eu li em algum lugar que a NSA já tentou implementar codigo malicioso pelo menos uma dezena de vezes no kernel do linux, não me recordo quem falou isso, talvez o Linus Torvalds em pessoa.
A principio parece ter sido a inteligência chinesa
@@joseb.junior1455Estados Unidos sempre querendo fazer merda.
Finalmente alguém passando um visão correta!! O pessoal do TH-cam estava passando como se fosse o fim dos tempos 😅
Não para um usuário comúm, mas é sim algo muito grave. Existe o risco de versões mais antigas estarem contaminadas, e como ele mesmo mencionou, também há a possibilidade de isso ser só uma faixada, mas são só teorias, fato é que esse foi um backdoor muito bem feito e organizado, os perpretadores com certeza estudaram muito para o implementar
Esse pessoal gosta de escandalizar tudo
Por mais análises racionais sobre vulnerabilidades!!!
Que os outros divulgadores de tecnologia se inspirem em ti!!!
Parabéns, guri!
Muito bom o vídeo. Obrigado. Tomei a liberdade de compartilhar em um artigo.
Houve informações que esse cara também contribuiu para o kernel... O que gera mais preocupação
vish, ta ficando mais complexo ainda as coisas, me passaram que puxaram ip de log do github e a maioria das conexoes era feitas aleatoriamente dos EUA, já pelo IRC a conexao que ele fez foi via singapura. A mesma conexao vinha de uma VPN e as outras conexoes dos EUA era de cafés e locais publicos
@@SlackJeff Vai vendo. E tem outros detalhes que ninguem esta comentando
Para se infiltrar é preciso criar reputação. E nada dá mais reputação do que contribuir, de forma legítima, para o kernel Linux. Com essa credencial no bolso é mais fácil "adotar" um projeto menor, com menos olhos sobre ele.
Revisão por pares, mesmo que tenha só um mantenedor, só poderia ser publicado após a revisão por algumas pessoas bem conceituadas e técnicas, fica a dica.
Obrigado por compartilhar isso conosco! Creio que coisas desses tipos, com mais profundida, deveriam ser compartilhado com maior amplitude.
Fala sobre Vuln CVE-2024-6387 OpenSSH RegreSSHion Vulnerability
Vlw jeff por trazer a notícia com essa excelente abordagem outros canais fizeram parecer o apocalipse tecnológico.
olha, por essa noticia em plena sexta feira eu não esperava kkkkkk
quando chegar em casa vou atualizar meu arch linux
Obrigado por explicar, eu vi o pessoal postando sobre o backdoor do XZ mas não tinha nenhuma explicação, os gringos são muito complicados pra passar info correta.
Primeiro video que vejo do canal, gostei do modo que foram apresentados os fatos, mais um inscrito!
Você se aprimorou bastante, parabéns.
Valeu Jeff, nada como uma explicação bem didática da coisa toda. Abraço!
Eu assisti a uns 4 anos um sisteminha que vinha com vários níveis de criptografia e compactação (não quero falar de 3 paises India, Russia, EUA, que fazem isso) onde determinava passos de junção de códigos, existem milhões de formas, seja fotos, audio, softwares piratinhas, addons, e até websites que tem uns safados pedindo autorização pra rodar cookies que fazem seu browser tornar minerador de bitcoin, sofri com opera, firefox e chrome, até perceber o aquecimento e entender, mas no caso do linux não muda muito pois muita gente tem ido pro sistema e crescido a comunidade pelo avanço e beleza de tanta distro recriada aos bebes usuários, uma pena estar agora amostrando isso pois já vem a anos sendo colocado tipos de invasão em Linux bota ai 10 anos pra cá e da mais dor de cabeça que Rwindows vai por mim, tem que entender, aprender, poderia mandar um alo ao Fabio Akita sobre, ou Gabriel pato especialista nestes assuntos de segurança, seria interessante ver a opinião deles, abraço e um alerta a comunidade...
Po, teu vídeo ficou show, parece investigação.
Ótimo vídeo Jeff. Parabéns pela pesquisa muito bem feita.
Para quem vive compilando códigos, especialmente os nightly builds, dá um friozinho na barriga. Se for pro lado da paranóia, acho que é ligeiramente mais seguro fazer o git clone e reset hard pro commit que você deseja ao invés de usar o tarball fornecido por qm faz o deploy. Pelo que entendi, a injeção de código malicioso acontecia na hora de preparar o tarball, e não no código direto do repositório git.
Excelente análise Jeff !
Like garantido pra esse garoto gente boa!, uso Alma Linux, então estou de boas.
Excelente conteúdo! Ganhou mais um seguidor 🙂
18:59
Jeff, alfum governinho maroto kkk rs
Pode ter ctz que vem mais 😂
12:39 surreal, talvez o próprio pessoal que introduziu esse backdoor, eram infiltrados no projeto
Talvez? ERA O CO-MANTENEDOR!
@@PenseBaixoNivel-TI To ligado, depois no final eu entendi. Surreal, os caras foram ganhando a confiança e depois atacaram. Por isso eu fico sempre com "pé atrás" quando o repositório é compartilhado. Não confio muito
@@FRNathan13 Exatamente, é o problema do tal do "Exercer a Liberdade" pessoal não sabe c, c++.. sabe porr@ nenhuma ai só vai dando ctrl c + v em diff.... ai tudo fica "contaminado" fora a parte de que engenharia social é algo mt velho ja, não é "Novidade" mas geral caindo nesse golpe ai!!!
Melhor canal do youtube !
Isso tem dedo de serviços de inteligência...
Par mim, a próxima vulnerabilidade se chama RUST. Uma virtual obrigatoriedade de utilização de uso dele com Google e a necessidade de instalação não transparente online(internet) do ambiente de desenvolvimento em maliciosa substituição ao C e C++ (nativos) é muito estranha.
Pode ter conexão com password bypass. Lembre-se de N S A / Snowden.
Realmente nos faz pensar mesmo…. #MEDO!
a linguagem rust? Se for realmente a linguagem rust é muito crítica. Ainda mais que tem gente conseguindo implementar cheats de jogos bypassando pelo anticheat. O que dirá fazer isso em larga escala.
Mas a migração de C ou C++ para Rust é por motivos de segurança e perfomance, ou isso é um motivo inventado pelas grandes empresas? Se for pesquisar, Rust realmente é melhor que C
@@PhilippusMage33 Sim é melhor mas em mãos de pessoas mal intencionadas rust é uma ferramenta poderosa... Igual os cheaters sendo feito em rust fazendo o anticheat não conseguir detectar ele de nenhuma forma...
@@PhilippusMage33não, C é melhor, a utilidade do rust é pelas empresas usarem C antigo e terem programadores com péssimos abitos.
parabéns pelo vídeo ficou excelente
Excelente analise
Up
Meu ArchLinux e meu Manjaro já estavam com a versão Comprometida do XZ... porém realizei a atualização, mas imagina se nao tivessem descoberto a tempo,,,, outro ponto, não foi alguem de seguranca que descobriu o problema, e nem dependeu do codigo fonte ser aberto para ele descobrir o problema, o codigo aberto ajudou a entender pq o SSHd estava se comportando de forma não esperada...
No meu Arch Linux a versão XZ 5.6.1 e a liblzma 5.6.1, esses estão comprometido?
Ops, olhei lá no site do Arch Linux.
@@wicosi sim estão, é preciso atualizar!
Quem sabe se essa descoberta aleatória do "agente da Microsoft" não foi tão aleatório assim.
Microsoft também tem Linux próprio.
Pode ser uma história um pouco diferente do que o cara falou.
@@pablue Tenho uma impressão parecida com a sua.
Baita análise, parabéns e obrigado!
Muito bom. Será que é uma cortina de fumaça mesmo para algo mais alarmante. Faz sentido pois levantam suspeitas, parecendo serem amadores para o nível do back door que implantaram e o tempo que foi investido. Só mesmo se tinham um prazo se esgotando.
POis é, mas um projeto de quase 3 anos para implementar e do nada da a louca para fazer a implementação... Isso que soa estranho, era mais simples implementar o backdoor e seguir normalmente.
Acho que tem algo a mais que vamos ver num futuro. vlw pelo comment
O Efeito Mula no Aeroporto. Todos indo ver o que não passou no raio-X, abandonando tudo o que ainda não passou.
Top
Não será o ultimo backdoor. Ao montar um sistema LFS nota-se que muitos pacotes estão "devagar". Os devs tem que viver e as vezes precisam priorizar outros projetos. Isso está sendo jogado pra debaixo do tapete, e claro, mais dia menos dia volta.
Acredito que o melhor na atualidade é ter um critério mais elevado de contribuição.
Tipo se só tem um mantenedor é por que já está morto.
Legal seria na humildade, subir para uma "fundação" e pedir ajuda quando só tem um mantenedor.
E com IA para fazer ofuscação mais refinada o nível de sofisticação só vai aumentar.
Avisa os caras lá! Sobre sua teoria.
Muito bem abordado‼👏👏👏
obrigado
Foi estabelecido que o arquivo malicioso introduzido no Tumbleweed não está presente no SUSE Linux Enterprise e/ou openSUSE Leap.
Por isso em alguns momentos é bom reconsiderar voltar para o OpenBsd :)
FreeBSD e OpenBSD estão se tornando ótimas opções.
@@marcosAmaranteC Eu diria apenas OpenBSD mesmo. No guix sempre estão mitigando os erros; eu pensava que o meu distro hopping terminaria no Gentoo... até conhecer o GUIX; melhor sistema já criado na minha opinião.
Nunca cogitei usar um free ou open(bsd), mas espero que esse problema seja resolvido mais rápido possível
Oo outro brabo aqui 💪
@@BrainFuck._ Tente algum, se já usa Linux a adaptação nem é tão complexa, principalmente se vier de um Arch, Gentoo ou distros mais enxutas que precisa de algum trabalho manual para adaptar para a sua máquina, se for o caso de um Ubuntu ou essas distros mais bloateds, a curva de aprendizado é um pouco maior.
@@marcosAmaranteC já usei por 2 anos gentoo, atualmente estou no arch, estava dando uma olhada no Guix, estou sem pendrive pra fazer um pen bootavel
boa
15:42 Vcs não acham curioso o cara fazer alterações em várias traduções de Man page com a maioria sendo idiomas do leste europeu? Muito estranho isso. Como o cara sabe várias línguas assim. Eu suspeitaria.
O que tem o Chuck Norris (Braddock) com o XZ? kkkkk
pergunta besta, mas que distro é essa que aparece os status da maquina no canto inferior? achei incrível
não confunda gui com distro, essa gui deve ser algum box da vida tipo openbox ou fluxbox...ainda mais por conta do nome do canal a distro deve ser slackware 🙂
Acho que é o window manager i3, i3-bar
@@hiddenni valeuzão
@@BTwoOne_ vou dar uma olhadinha
@@BTwoOne_ essa mesma ele falou nos comentarios 🙂
No site do Arch Linux :
"Openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.
Arch does not directly link openssh to liblzma, and thus this attack vector is not possible."
O bsd tbm sofreia da msm vulnerabilidade ? Ja que o mesmo compartilha alguns codigos que tbm estao no linux ?
No xz creio que sim, porem o codigo era voltado para linux especificamente para redhat e debian... Talvez se continuasse o backdoor sem ninguem ver talvez fosse expandido
Para chegar ao Debian, teria que passar despercebido por dois ou mais anos.
Para chegar aos *BSD, uns dez anos.
@@TheMarcodefreitas Na teoria seria. mas lembra do (OpenSSL Fiasco)? fico um tempo sem ninguem notar.
Felizmente por causa de 0.5ms o nosso amigo andres apurou. Se o backdoor fosse moldado melhor com o tempo dificilmente iria ser facil encontrar
a familia arch está exposta a este backdoor ou nao?
Eu fui pesquisar e o arch fez uma atualização do xz para a versão 5.6.1-2 onde ao que parece, corrigiram o problema. Sobre as demais distros baseadas no arch, olhando os fóruns, essa atualização do xz já está disponível.
Não, na Wiki diz que essa "lib não faz conexão direta com ssh, arch não faz isso, mas recomenda atualizar, caso algum pacote esteja infectado tbm"
@@arthurlourenco4318 certo, obrigado pela informação irmão
@@BrainFuck._ certo certo, obg pela informação irmão. Então cê recomenda atualizar ou não? Faz uns dias q n atualizo, mas dps dessa notícia, fiquei um pouco receoso
@@An0nuumnee próprio arch recomenda atualizar mesmo assim, ele vai fazer um downgrade eu acho do pacote, mas ele recomenda ver se a docker está infectado tbm.
Atualizando imagens de contêiner
Para descobrir se você está usando uma imagem de contêiner afetada, use
podman image history archlinux/archlinux
ou
docker image history archlinux/archlinux
dependendo se você usa podmanou docker.
Qualquer imagem de contêiner do Arch Linux mais antiga 2024-03-29ou mais recente 2024-02-24será afetada.
Execute também
podman image pull archlinux/archlinux
ou
docker image pull archlinux/archlinux
para atualizar as imagens de contêiner afetadas para a versão mais recente.
Depois disso, certifique-se de reconstruir todas as imagens de contêiner com base nas versões afetadas e também inspecionar todos os contêineres em execução!
Em relação ao desvio de autenticação sshd/execução de código
Do relatório upstream ( um ):
O openssh não usa diretamente o liblzma. No entanto, o debian e várias outras distribuições corrigem o openssh para suportar a notificação do systemd, e o libsystemd depende do lzma.
Arch não vincula diretamente o openssh ao liblzma e, portanto, esse vetor de ataque não é possível. Você pode confirmar isso emitindo o seguinte comando:
ldd "$(command -v sshd)"
Você usa distro louco por Linux?
Como eu faço para ver se algum server de minha empresa possui esse projeto XZ?
xz --version
@@MacielPortugal Obg pela resposta Maciel, eu ja tinha conseguido aqui, na verdade usei o "xz -V" mas é a mesma coisa.
Fiz um item no zabbix pra coletar isso e alertar caso algum fosse a versão mencionada. 98 servidores testados em 15 minutos :D
que interface gráfica é essa que vc usa ? estranho essa barra roxa só com caracteres
É um window manager chamado i3wm com i3status... É orientado a teclas tem video aqui no canal se precisar
Esse backdoor tem um cheiro de governo. (ou eu to muito paranoico?)
Hehehe isso foi viajado, mas não deixa de ser um palpite a ser aceito
Tudo gira em torno de GOVERNO, veja por exemplo como é o cérebro derretido dos militantes.
Acha mesmo que eles fazem isso de boa VONTADE? Onde eles aprenderam isso? Como ahir e como ARGUMENTAR.?
Suspeito disso também
Pra mim é só viagem mesmo
Quem mais tem tempo e dinheiro a vontade pra ficar elaborando planos maquiavélicos afim de controlar a porra toda?
Pow comprei seu curso mandei email e recebi o login e senha
vc nao recebeu o login e senha? reenvie para slackjeff@riseup.net
@@SlackJeff Enviei novamente. Usei um e-mail diferente também. Deve ser o o e-mail corporativo que não está recebendo seu e-mail estranho.
Isso cheira a Cozy Bear...
Kali Linux foi comprometido?
Até onde foi reportado, sim. Mas tem que dar uma olhada na versão do XZ que tá utilizando.