O Linux, o sistema operacional de código aberto mais usado no mundo, escapou por pouco de um ataque cibernético massivo no fim de semana de Páscoa, tudo graças a um voluntário.
Tech
Como um voluntário impediu que um backdoor expusesse sistemas Linux em todo o mundo
/cdn.vox-cdn.com/uploads/chorus_asset/file/23318435/akrales_220309_4977_0232.jpg)
O backdoor está incluído em uma versão recente do formato de compactação Linux chamado XZ Utils, uma ferramenta pouco conhecida fora do mundo Linux, mas usada em quase todas as distribuições Linux para compactar arquivos grandes, facilitando sua transferência. Se o vírus tivesse se espalhado de forma mais ampla, inúmeros sistemas poderiam ter permanecido vulneráveis durante anos.
E como Ars Técnica notado em Resumo abrangenteO perpetrador estava trabalhando no projeto em público.
A vulnerabilidade, que foi introduzida no login remoto do Linux, expôs-se apenas a uma única chave, para que pudesse ocultar-se de verificações de computadores públicos. como Ben Thompson escreve Strachry. “A maioria dos computadores do mundo estará vulnerável e ninguém saberá.”
A história da descoberta do backdoor XZ começa na manhã de 29 de março como o desenvolvedor da Microsoft baseado em São Francisco Anders Freund postou no Mastodon e eu enviei um email Para a lista de discussão de segurança do OpenWall com o título: “backdoor upstream xz/liblzma leva ao comprometimento do servidor ssh.”
Freund, que é voluntário como “supervisor” no PostgreSQL, um banco de dados baseado em Linux, percebeu algumas coisas estranhas nas últimas semanas enquanto executava testes. Logins criptografados na liblzma, parte da biblioteca de compactação XZ, consumiam uma quantidade significativa de CPU. Nenhuma das ferramentas de performance que ele usou revelou nada”, escreveu Freund no Mastodon. Isso imediatamente despertou suas suspeitas, e ele se lembrou de uma “queixa estranha” de um usuário do Postgres algumas semanas antes sobre o Valgrind, um programa Linux que verifica erros de memória.
Após alguma investigação, Freund finalmente descobriu o que estava errado. “XZ Warehouse e XZ Tar Balls fecharam”, observou Freund em seu e-mail. O código malicioso estava presente nas versões 5.6.0 e 5.6.1 das ferramentas e bibliotecas xz.
Pouco depois, a empresa de software de código aberto Red Hat enviou uma mensagem Alerta de segurança de emergência Para usuários do Fedora Rawhide e Fedora Linux 40. No final das contas, a empresa concluiu que o Fedora Linux 40 beta contém duas versões afetadas das bibliotecas xz. É possível que as versões do Fedora Rawhide também tenham recebido as versões 5.6.0 ou 5.6.1.
Pare imediatamente de usar qualquer produto FEDORA RAWHIDE para atividades comerciais ou pessoais. O Fedora Rawhide será revertido para xz-5.4.x em breve e, uma vez feito isso, as instâncias do Fedora Rawhide poderão ser reimplantadas com segurança.
Embora a versão beta do Debian, uma distribuição Linux gratuita, contenha pacotes comprometidos por sua equipe de segurança Eu agi rapidamente Para voltar a eles. “No momento, nenhuma versão estável do Debian foi afetada”, escreveu Salvatore Bonaccorso do Debian em um alerta de segurança aos usuários na noite de sexta-feira.
Mais tarde, Freund identificou a pessoa que enviou o código malicioso como um dos dois principais desenvolvedores do xz Utils, conhecido como JiaT75 ou Jia Tan. “Dado que a atividade vem acontecendo há várias semanas, o perpetrador estava diretamente envolvido ou houve um grave comprometimento do seu sistema. Infelizmente, esta última parece ser a explicação menos provável, dado que eles falaram em diferentes listas de 'correções'. ' mencionado acima”, escreveu Freund em seu livro. análiseapós vincular diversas soluções feitas pelo JiaT75.
JiaT75 era um nome familiar: eles trabalharam ao lado do desenvolvedor original do formato de arquivo .xz, Lasse Collin, por um tempo. Como o programador Ross Cox apontou em seu livro calendárioJiaT75 começou a enviar patches aparentemente legítimos para a lista de discussão XZ em outubro de 2021.
Outros braços do esquema foram revelados alguns meses depois quando duas outras identidades Jigar Kumar e Dennis Ince Reclamações começaram a ser enviadas por e-mail Ao Colin sobre os erros e a lentidão no desenvolvimento do projeto. No entanto, como observado em relatórios Evan Buhs Outros, “Kumar” e “Ins” nunca foram vistos fora da comunidade XZ, levando os investigadores a acreditar que ambos são falsos e existem apenas para ajudar Jia Tan a acessar sua localização para entregar o código da porta dos fundos.
“Sinto muito pelos seus problemas de saúde mental, mas é importante estar ciente dos seus limites. “Sei que este é um projeto de hobby para todos os colaboradores, mas a comunidade quer mais”, escreveu Ince em uma mensagem, enquanto Kumar disse em outro: “O progresso não acontecerá.” Até que haja um novo supervisor.”
Em meio a idas e vindas, Collins escreveu: “Não perdi o interesse, mas minha capacidade de cuidar tem sido um tanto limitada devido a problemas de saúde mental de longo prazo, mas também a algumas outras coisas”, e sugeriu que Jia Tan assumisse um papel maior. “Também é bom ter em mente que este é um projeto de hobby não remunerado”, concluiu. Os e-mails de Kumar e Ens continuaram até que Tan foi adicionado como moderador no final daquele ano, para poder fazer modificações e tentar introduzir o pacote backdoor nas distribuições Linux com mais autoridade.
O incidente do backdoor xz e suas consequências são um exemplo da beleza do código aberto e da incrível vulnerabilidade da infraestrutura da Internet.
Um desenvolvedor do FFmpeg, um popular pacote de mídia de código aberto, destacou o problema Em um tweet“O fiasco xz mostrou como depender de voluntários não remunerados pode causar grandes problemas. Empresas de trilhões de dólares esperam apoio gratuito e urgente dos voluntários. Elas trouxeram recibos indicando como lidaram com um bug de 'alta prioridade' que afetava o Microsoft Teams.
Apesar da confiança da Microsoft em seu software, o desenvolvedor escreveu: “Depois de solicitar educadamente um contrato de suporte da Microsoft para manutenção de longo prazo, eles ofereceram um pagamento único de alguns milhares de dólares… Os investimentos em manutenção e sustentabilidade não são atraentes e um gerente intermediário provavelmente não conseguirá.” Por sua promoção, ele até pagará mil vezes ao longo de muitos anos.
Detalhes sobre quem está por trás do JiaT75, como seu plano será executado e a extensão dos danos foram revelados por um exército de desenvolvedores e profissionais de segurança cibernética, tanto nas redes sociais quanto em fóruns online. Mas isto acontece sem o apoio financeiro direto de muitas empresas e organizações que beneficiam da capacidade de utilizar software seguro.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
Continue Reading
O CEO da Apple (AAPL), Tim Cook, reservou algum tempo durante a teleconferência de resultados do segundo trimestre da empresa, na quinta-feira, para criar entusiasmo pelas próximas ofertas generativas de IA da fabricante do iPhone.
Nas suas observações, Cook disse aos ouvintes que a empresa está optimista em relação às oportunidades oferecidas pela inteligência gerada pela IA e está a fazer investimentos significativos na tecnologia.
“Acreditamos no poder transformador e na promessa da IA e acreditamos que temos vantagens que nos diferenciarão nesta nova era, incluindo a combinação única da Apple de integração perfeita entre hardware, software e serviços líderes da Apple com nosso silício líder do setor; Neural Engine; e nosso foco”, disse Cook Firm sobre privacidade.
Antes da ligação, a Apple reportou ganhos e receitas melhores do que o esperado, apesar das vendas do iPhone terem caído cerca de 10% ano após ano.
A Apple sediará sua conferência anual de desenvolvedores WWDC em junho, que deverá servir como plataforma de lançamento para as ambições de IA da empresa. Os analistas esperam que a IA generativa possa desencadear outro superciclo de vendas do iPhone. Mas, até agora, esta tecnologia não parece estar a aumentar as vendas de smartphones concorrentes como Samsung e Google.
Cook tem sido relativamente tímido em relação aos planos generativos de IA da Apple, divulgando informações sobre os investimentos da empresa aqui e ali. Esta é a primeira vez que ele fala vigorosamente sobre como a Apple pode se diferenciar de seus grandes rivais tecnológicos no campo da IA generativa.
Wall Street aguarda ansiosamente o anúncio da inteligência artificial da Apple. A empresa não lançou nenhum produto generativo de IA desde que a tecnologia se tornou viral no final de 2022.
Enquanto isso, os concorrentes, incluindo Amazon, Google, Meta e Microsoft, lançaram uma série de recursos e produtos generativos de IA, incluindo chatbots e otimizações de mecanismos de pesquisa. A Microsoft, em particular, adicionou IA generativa diretamente ao Windows 11 por meio do Windows 11 Copilot.
Se os planos de IA generativa da Apple quiserem atender às expectativas de Wall Street, será necessário habilitar alguns tipos de recursos necessários que os usuários não conseguem obter em seus dispositivos atuais. Descobriremos o que a Apple está planejando no próximo mês.
Envie um e-mail para Daniel Howley em [email protected]. Siga-o no Twitter em @Daniel Holly.
Para obter os relatórios e análises de lucros mais recentes, rumores e previsões de lucros e os ouvidos da empresaNing Notícias, clique aqui.
Leia as últimas notícias financeiras e de negócios do Yahoo FinanM.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25430184/SNW_USJMerch_Key_904x705_1.jpg)
A inauguração da área Super Nintendo World no Universal Studios em Orlando no próximo ano incluirá todas as atrações dos parques temáticos de Hollywood e do Japão — incluindo o primeiro mundo Donkey Kong Country nos Estados Unidos. Depende O último teaser da Universal para seu quarto parque em Orlando, Epic Universe, que oferece alguma clareza sobre o que os visitantes podem esperar no dia da inauguração em 2025.
Universal Orlando também sediará a primeira edição A jornada de aventura de Yoshi No Japão, uma experiência interativa focada na família que combina veículos descartáveis com o tema Yoshi com uma caça ao tesouro por ovos brilhantes. Outras atrações interativas chamadas “Master Challenges” também serão implantadas no território temático da Nintendo. Esses desafios de minijogos oferecem aos visitantes chaves digitais que podem ser usadas para jogar Bowser Jr. Shadow Showdown, onde a Universal diz que você “lutará para recuperar o Golden Mushroom de Bowser Jr.”
Mário-Comida temática estará disponível para compra no Toadstool Café. O menu ainda não está disponível para navegação, mas parece que as ofertas serão Semelhante ao que o Toad realmente cozinha No Parque Hollywood. Na tradição típica dos parques temáticos, encontros com personagens podem ser realizados durante todo o dia para tirar selfies com Mario, Luigi, Princesa Peach e Toad.
Super Nintendo World é tecnicamente um terreno com duas regiões. Donkey Kong Country – separado de Super Mario Land por um distinto túnel “tubular” verde – é descrito como tendo uma “vibração mais tropical”. A Universal não forneceu detalhes adicionais sobre quais atrações esta seção do parque conterá além do passeio principal Mine-Cart Madness, mas diz que compartilhará mais detalhes “nos próximos meses”.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
Já houve uma quantidade recorde de perdas de empregos na indústria de jogos este ano, e essa tendência infelizmente parece destinada a continuar com a Bloomberg anunciando o fechamento de mais dois estúdios.
De acordo com “documentos revisados pela Bloomberg”, a Take-Two Interactive Software anunciou que fechará sua divisão privada com sede em Londres e subsidiária Roll7 (olê olê, Rollerdrome) e a Programa espacial Kerbal 2 Desenvolvedor Intercept Games, com sede em Seattle.
“A primeira empresa é a Roll7, com sede em Londres, uma desenvolvedora de jogos de ação Rollerdrome, de acordo com um memorando à equipe. A Take-Two planeja fechar o estúdio e oferecerá acordos de rescisão aos seus funcionários.
“A outra é a Intercept Games, com sede em Seattle, criadora do jogo de simulador de vôo espacial Programa espacial Kerbal 2, de acordo com um aviso apresentado ao Departamento de Segurança do Trabalho do Estado de Washington na segunda-feira. O aviso revelou que a Take-Two planeja fechar um escritório em Seattle e cortar 70 empregos, ou aproximadamente o número de pessoas que trabalhavam na Intercept Games.
De acordo com o vice-presidente de comunicações da Take-Two, o Kerbal Space Program 2 continuará recebendo atualizações.
Esta última rodada de demissões vem na esteira de muitas outras histórias semelhantes este ano, incluindo algumas maiores e menores – desde demissões em massa na Microsoft e na Sony até o cancelamento de projetos em equipes menores.
“Entusiasta de viagens ruins. Viciado em internet nojento e vil. Álcool sem motivo.
-
Economy3 anos ago
O bitcoin pode chegar a US $ 37.000, mas o trader afirma que o preço do bitcoin será maior ‘Um número que você não consegue entender’
-
sport3 anos ago
Os Nets estão tentando adquirir Kevin Love dos Cavaliers, Isaiah Hartenstein
-
Tech2 anos ago
Mike Frasini, presidente da Amazon Games, deixa o cargo
-
science2 anos ago
Rússia ameaça sequestrar o telescópio espacial alemão
-
science2 anos ago
Finalmente sabemos como a lagarta do pesadelo cria presas de metal
-
science2 anos ago
Astrofísicos podem ter encontrado um buraco negro de massa intermediária na galáxia de Andrômeda
-
Tech4 meses ago
ZOTAC confirma que quatro dos nove modelos Geforce RTX 40 SUPER terão preço MSRP
-
sport10 meses ago
USMNT empata com a Jamaica na primeira partida da Copa Ouro da CONCACAF: o que isso significa para os Estados Unidos
