Ciekawe, czy w tego typu obiektach są prowadzone jakiekolwiek pentesty. Mam wrażenie, że wszystko w sieci wewnętrznej chodziło na domyślnych hasłach.
Jak rozumiem, pierwszych “klastrów aktywności” na systemie nikt nie zauważył/zgłosił?

Sploitigate też wie najlepiej, czym się zająć w pierwszej kolejności. Może i mają podatności, ale przynajmniej da się łatwo eksfiltrować dane na Slacka.

Nie wiedziałem, że istnieje coś takiego jak pamięć podręczna zdalnego pulpitu i że można tam znaleźć nawet zrzuty starych sesji.

Co do sprawy, to zostaje jeszcze NIK.

Jeśli komuś będzie się chciało walczyć o tę sprawę.
Ja ten raport traktuje jako ciekawostkę, bo przedstawione wnioski były dość zaskakujące.

Nie znam rozwiązania umożliwiającego podgląd kodu i jednocześnie blokującego utworzenie kopii w jakiejkolwiek formie.
Wydaje mi się, że nazwiska programistów można dość trywialnie zastąpić identyfikatorami.
Pliki konfiguracyjne narzędzi mogłyby znajdować się w oddzielnym repozytorium.
Jeśli kod jest nieużywany, to dobrą praktyką jest jego usunięcie.

Z mojego punktu widzenia, jeśli ekspertyza musiała być objęta tajemnicą państwową, to faktycznie wolę chyba pozostać przy klasycznych dokumentach. :-)
Nie chciałbym mieć materiałów stanowiących potencjalnie tajemnicę państwową na swoim telefonie.

Integrację kilku komponentów (rozwijanych w innych zespołach) w gotowy produkt.
Ten etap produkcji software’u to jest takie piekiełko, gdzie wychodzą wszystkie niedociągnięcia i braki testów we wcześniejszych etapach. W żadnym innym projekcie nie spędziłem tyle czasu nad debuggerem.

Nauczyłem się też, że nie każðy jest skłonny bez “walki” zaakceptować istnienie błędu w swoim komponencie. Czasem trzeba było spędzić kilka godzin na dokumentowaniu scenariusza reprodukcji buga, bo wskazanie złej logiki w kodzie nie wystarczało.
Krótko mówiąc “keep calm and blame frontend” (chociaż nie robiliśmy nawet UI).

Podobnie każde przekroczenie deadline’u przez którykolwiek “upstreamowy” zespól stawało się na końcu twoim własnym problemem. Pytania od kierowników odpowiedzialnych za release pojawiały się zanim uzyskaliśmy wszystkie zależności.

Po tym projekcie doszedłem do wniosku, że absolutnie nie sprawdza się “potokowy” model produkcji software’u, jak przy taśmie w fabryce.
Każdy zespół musi wertykalnie odpowiadać za swój produkt, albo cykle wydawnicze każdego komponentu muszą być niezależne (tak żeby downstreamowy projekt mógł odrzucić niedziałające wersje zależności).

Moja przygoda z tą branżą sprawiła, ze słowo “cybersecurity” w ofercie zacząłem traktować jako sygnał negatywny.
Nigdzie indziej nie czułem takiego braku sprawczości i ignorowania głosu pracowników aż do momentu, gdy problem zgłaszał klient.
To było bardzo frustrujące doświadczenie, ale akurat pod względem finansowym wszystko było w porządku.

Czy polskie służby opublikowały metody deszyfrowania tego ransomware’u?
Znalazłem opis na stronie Microsoftu, drugi od Koreańczyków i parę skryptów na GitHubie. Nie widzę polskich źródeł.

Swoją drogą, poczytałem o algorytmie szyfrowania i jest zaskoczony, że autorzy tego ransomware’u wymyślili taką lepiochę.
Gdyby użyli dowolnego współczesnego szyfru, byłoby pewnie pozamiatane.

Czyli taki KrakenSDR w kosmosie, tylko droższy? ;-)

Takie licencje zostały wymyślone by chronić użytkowników a nie programistów.

No więc właśnie z tej ochrony powinny korzystać firmy używające open-source.
Nic nie stoi na przeszkodzie, żeby przygotowały sobie łatkę. Mają jeszcze jakichś programistów i dostali kod źródłowy.
GPL działa w obie strony. Zwalnia programistę z obowiązku wspierania software’u.

To miało sens w formie ludzi z akademii, którzy przeciwstawiają się komercjalizacji oprogramowania, którego używali.

Stallman nigdy nie przeciwstawiał się komercjalizacji software’u na GPL. Problem w tym, że nawet ta idea została wypaczona.
Sytuacja, w której firma z kapitalizacją kilkuset miliardów $ prosi developera upstreamowego pakietu o darmowe poprawki, jest absurdalna. To jest odwrócenie całego sensu tej licencji.

Taka działalność nie jest trampoliną kariery programisty.

Nie jest trampoliną, ale może ułatwić zdobycie pracy. Sporo osób zajmujących się rekrutacją techniczną przegląda kod otwartych projektów podanych w CV. Zawsze jest to dodatkowe źródło wiedzy o umiejętnościach kandydata.

Problem polega na tym, że sama publikacja kodu źródłowego w sieci “pozwala” na wykorzystanie go w komercyjnym produkcie (LLMach).
Ostatnio Codeberg potwierdził, że boty Huaweia przełamały zabezpieczenie strony Anubisem i zaczęły skanować kod w repozytoriach.

Zresztą firmy nauczyły sie obchodzić GPL minimalnym kosztem, albo po prostu naruszają warunki licencji, bo ich lokalne prawo na to pozwala.
Wielokrotnie widziałem link do nierozwijanej wersji kernela i kilku bibliotek OSS na karteczce dołączonej do chińskiego sprzętu.

Zastanawiam się, co przelało czarę goryczy. Project Zero istnieje od dekady, ale wcześniej nie widziałem negatywnych reakcji na zgłoszenia podatności.

Czuję w kościach, że prawdziwą przyczyną jest AI i wynikające z tego przemiany w braży IT. Kilka lat temu praca nad popularnym projektem dawała perspektywę zatrudnienia przez jakąś firmę. Dzisiaj nie tylko oddajesz za darmo jakiś produkt. Przy okazji dostarczasz też materiału do szkolenia stochastycznej papużki.
Do tego dochodzi kryzys wizerunkowy korporacji, wolących zainwestować w niesprawdzoną technologię, niż zapłacić ludziom za wykonanie pracy.

Ostatnio popularny był też rant developera curla na temat wyimaginowanych podatności “znalezionych” przy użyciu LLMa.
W niektórych przypadkach styl zgłoszeń wskazywał, że nie uczestniczył w tym procesie nawet człowiek (ewentualnie był to bezmyślny copy-paste z Gippity bez jakiejkolwiek weryfikacji).

Może rozwiazaniem byłoby wprowadzenie cennika usług przez projekty open-source.
Na GitHubie sa narzędzia do sponsorowania deweloperów.

Pamiętam podobne próby uwolnienia się od MS w Niemczech w okolicach 2005. Chyba dość szybko powrócili wtedy do Windows.

Możliwe, że zdarzają są takie przypadki, ale moim zdaniem w zdecydowanej większości przypadków będzie to spoofing GPS.
Chociażby z tej przyczyny, że problem dotyczy również nawigacji w załogowych statkach powietrznych.
Widziałem też screenshot z mapą taksówek z przesuniętymi pozycjami.

Ostateczny dowód na to, że można napisać bezpieczny kod w języku memory-unsafe.

Czekam na informację, że grupa developerów chce pisać moduły curla w rust. :-)

Po przeczytaniu tytułu zacząłem się zastnawiać, czemu trzeba łapać ludzi podrózujących autostopem. :-)

Ciekawe czy są jakieś stacje radiolokacyjne, które skanują i archiwizują w trybie ciągłym wybrane pasma, żeby później mieć możliwość namierzenia określonych transmisji. To by chyba wymagało niezłych zasobów, a większość pozyskanych danych pewnie miałaby niewielką wartość (dopóki ktoś nie złamie prawa).
Zresztą, nawet jeśli taka infrastruktura istnieje, pewnie jest objęta tajemnicą państwową.

Podobno uzyskane dane rządowe trafiają do modeli AI. To jest wręcz zabawne, jak chętnie firmy i zwykli ludzie przekazują informacje firmom zajmującym się sztuczną inteligencją.
Przy czym niektórzy dożyści chyba nawet nie rozumieją, jak działają te technologie.

W sumie może da się pójść krok dalej i ustalić azymut.
Znalazłem na GitHubie jakieś skrypty do wyciągania z Wi-Fi informacji o kątach formowanej wiązki.
Jeśli dobrze rozumiem ten mechanizm, access point okresowo wysyła do podłączonych stacji zapytanie i dostaje nieszyfrowanym kanałem odpowiedź z parametrami odebranego sygnału.
Można to odebrać nieuwierzytelnionym odbiornikiem, ale raczej uzyska się tylko parametry dla podłączonych klientów.

Może po zainfekowaniu taki router mógłby podobnie odpowiadać na żądanie wysyłane z drona, po czym dron robiłby analizę kierunku, z którego nadeszła odpowiedź.
To oczywiście przy założeniu że działałoby to dobrze przy prędkości kilkudziesięciu lub kilkuset km/h.

Ciekawe czy da się sterować tym mechanizmem z poziomu systemu operacyjnego, czy jest to zaszyte w jakimś firmwarze chipsetu Wi-Fi.

Kiedyś czytałem, że w Polsce w poszukiwaniu ludzi używa się dronów.

Tak, z tego co wiem, lokalnie są nawet dwie takie grupy (https://wgpr-siron.pl/ i https://szukamyiratujemy.pl/).

Czy do naprowadzania pocisków potrzebne jest infekowanie routerów? Wystarczy chyba wysłać kogoś, kto przeskanuje na miejscu lokalne routery i zbuduje mapę w oparciu o GPS (czyli klasyczny wardriving, znany od 20 lat).

Widziałem jakieś 2 lata temu filmiki, na których ludzie z Ukrainy w warunkach domowych montowali drony.
Były też nagrania z przydomowych farm drukarek 3D, gdzie produkowano zaczepy i lotki do podwieszanych ładunków wybuchowych.
Taka decentralizacja produkcji jest pewnie sporym wyzwaniem dla przeciwnika, bo zamiast kilku dużych fabryk, potencjalnych celów są tysiące. Użycie zaawansowanych pocisków do atakowania takich miejsc jest poza tym nieopłacalne.

W jednym z ostatnich odcinków Tech Ingredients zrobiło działko laserowe z naprowadzaniem opartym na modelu YOLO.
Od strony software’owej to są rzeczy w zasięgu średnio ogarniętego programisty (w Polsce jest pewnie parę tysiący ludzi na tym poziomie). Sam zrobiłem sobie na tym wykrywanie ludzi i zwierząt na nagraniach z monitoringu (tylko bez funkcji strzelania 🙃). Głównym wyzwaniem byłoby pewnie zorganizowanie specjalistów z różnych dziedzin (mechanika, elektronika, software) w małe i zwinne zespoły.

W Polsce problemem jest chyba to, że wojsko lubi duże kontrakty. To są rzeczy, które sprzedają się w mediach, bo do niedawna ilość czołgów, artylerii, czy samolotów była wyznacznikiem siły armii.
W tym czasie społeczeństwo siedzi z założonymi rękami i liczy, że obecny kierunek działań jest wystarczający.
Może lepiej byłoby zakupić kilkadziesiąt tys. prostych dronów, albo chociaż symulatorów i zorganizować jakieś darmowe szkolenia dla ochotników. W Rosji uczy się pilotażu i obsługi drona w szkołach.
Bez jakiejś aktywizacji społeczeństwa w ramach takich niskonakładowych projektów, spodziewam się, że przepalimy tylko gigantyczne pieniądze na marże dla zbrojeniówki.

Z innej beczki, ostatnio wpadł mi na YT filmik z wejścia oddziału SWAT do jakiegoś domu w USA. Zaskoczyło mnie, że cały czas było słychać drony. Widać je też w niektórych ujęciach i mają zaskakującą stabilność.
Ciekawe, czy w Polsce też wykorzystuje się taki sprzęt do zwiadu. Wiem, że policja na razie sprawdza dronami prędkość kierowców, a straż miejska skład chemiczny dymu z kominów.

Dlaczego np. zamknięty sterownik NVidii byłby trudniejszy do zdobycia od sterownika AMD czy Intela? Sugerujesz, że będzie się liczyć kazdy kilobajt pobranych danych?

W przypadku C++ i Rust z dokumentacją języka nie ma problemu:

• https://en.cppreference.com/w/Cppreference:Archives
• rustup doc - robi chyba dokładnie to, co masz na myśli, zawiera nawet lokalne kopie kilku książek

Oczywiście odrębną kwestią są biblioteki, ale w przypadku wielu projektów całkiem nieźle wygląda dokumentacja wygenerowana doxygenem czy cargo doc.

Ja akurat nie tęsknie do kodowania bez sieci.