Jailbreaking Tesla Infotainment Systemshttps://t.co/dpJVXDG5gt

— hackaday (@hackaday) August 6, 2023

A Black Hat USA 2023 rendezvény keretében kerül bemutatásra a holnapután a következő előadás:

A Tesla (járművek) arról váltak ismertté, hogy fejlett és jól integrált autószámítógépekkel rendelkeznek, amelyek a mindennapi szórakozási céloktól a teljes mértékben önvezető képességekig biztosítanak szolgáltatásokat. Legutóbb a Tesla elkezdte ezt a jól kidolgozott platformot használni az autóban történő vásárlások (in-car purchases) lehetővé tételéhez, de nemcsak a további kapcsolódási funkciókhoz, hanem például analóg funkciókhoz is, mint például a nagyobb gyorsulás vagy a hátsó fűthető ülések. Ennek eredményeként az autóba beágyazott számítógép feltörése lehetővé teheti a felhasználók számára, hogy ezeket a funkciókat fizetés nélkül használják.

Az előadásban az előadók bemutatnak egy támadást az újabb AMD-alapú infotainment rendszerek (MCU-Z) ellen, amelyeket az összes legújabb modellekben használnak. A támadás két különböző képességet biztosít: először is, lehetővé teszi az első, nem javítható, AMD-alapú "Tesla Jailbreak" engedélyezését, amelynek segítségével tetszőleges kód futtatása válik lehetségessé az infotainment rendszeren. Másodszor, lehetővé teszi egy egyébként jármű-specifikus, hardverhez kötött RSA kulcs kinyerését, amelyet a Tesla belső szolgáltatási hálózatában történő hitelesítéshez és az autó engedélyezéséhez használnak.

[...]

The biggest hiccup last week was that I had correctable ECC memory
errors in my machine and had to replace my DIMMs once again. But at
least this time I got nice warnings about how my memory was going bad,
so it was only a fleeting annoyance.

[...]

Tavaly ősszel RAM-hiba hátráltatta Linust a kernelkarbantartói munkájában és amiatt RAM-moduljai cseréjére kényszerült. Az új modulok kb. 10 hónapig bírták hiba nélkül. Múlt héten Linus ismét (correctable ECC) RAM-hibákat fedezett fel gépében, így a modulokat újra kicserélte. Annyival volt jobb most a helyzet a tavaly őszivel ellentétben, amikor is sunyi, véletlenszerűen előforduló, nehezen megfogható hibákkal küzdött, hogy most szép figyelmeztető üzeneteket kapott arról, hogy mi a baja a moduljainak, így csak egy gyorsan orvosolható kellemetlensége volt. 

6.5-rc5: mainline Version: 6.5-rc5 (mainline) Released: 2023-08-06 Source: linux-6.5-rc5.tar.gz Patch: full ( incremental ) https://t.co/LL8XRLo9TV #linux #kernel

— Linux Kernel Releases (@LinuxKReleases) August 6, 2023

Linus kiadta tesztelésre a 6.5-ös Linux kernel ötödik prepatchét:

The Reddit Protest Is Finally Over. Reddit Won. https://t.co/pDk4h0Of4j via @gizmodo @thomasgermain

— Blake Montgomery (@blakersdozen) August 4, 2023

tl;dr: A Reddit API-változtatásai (1, 2) miatti tüntetés kipukkant. A végsőkig kitartók közül a három legfajsúlyosabb közösség - r/aww, r/pics, és r/videos - is feladták a tiltakozást. Ugyan az eredetileg tiltakozó 8 829 közösségből 1 843 még mindig folytatja az "elsötétítést", de ezek többsége kis közösség. Egyetlen 10+ millió feliratkozóval rendelkező közösség maradt meg a tiltakozásnál, a r/fitness.

A Gizmodo összefoglalója szerint a Reddit vs. közösségek háborúját a Reddit nyerte.

Vim's Creator Bram Moolenaar Dies at Age 62https://t.co/U4NVDjf7jC

— Slashdot (@slashdot) August 5, 2023

Bram Moolenaar a HUP hasábjain is rendszeresen szerepelt. A Vim megalkotójának és BDFL-jének halálhírét családja jelentette be a vim-announce levelezési listán tegnap. Bram olyan betegségben szenvedett, amelynek lefolyása gyorsan haladt előre az elmúlt hetekben. Élete nagy részét a VIM-nek szentelte, és nagyon büszke volt a VIM közösségre. 62 éves volt. RIP!

LibreOffice 7.6 is just a few weeks away! And as we polish the awesome new features, you can help us to test our second Release Candidate, in preparation: https://t.co/ZKNivtcpch pic.twitter.com/Bzn5ll3Yom

— LibreOffice (@LibreOffice) August 4, 2023

Hamarosan (augusztus közepén) itt a LibreOffice irodai programcsomag új nagyobb, 7.6-os kiadása. Addig is tesztelhető a második kiadásra jelölt verziója (RC2). Bejelentés itt.

The Fedora Asahi Remix, a collaboration between the Fedora Asahi Special Interest Group and the Asahi Linux project, will make Linux accessible on Apple Silicon Macs. The first official release is expected by August 2023. Learn more: https://t.co/yN4XkBYQQW pic.twitter.com/VK7ENjY7Hg

— AlternativeTo (@AlternativeTo) August 3, 2023

Újabb mérföldkőhöz érkezett az Apple M1/M2 szilíciumokat célzó Asahi Linux projekt: a Flock To Fedora rendezvényen bejelentették, az Asahi Linux Fedora Remix-ként is elérhető lesz. Ezzel minden bizonnyal szélesebb felhasználói közönséghez fog eljutni. A technikailag kevésbé képzett potenciális felhasználók számára egyszerűbb telepítést, használatot hozhat az, hogy az Asahi az Arch Linux ARM remix után egy másik ismert disztribúció (egyelőre nem hivatalos) "gyermekeként" is megjelenik.

Részletek itt.

Tap the “…” on upper right when video is in full screen mode.

We will soon allow this simply by tapping & holding on a video just like you download a picture.

— Elon Musk (@elonmusk) August 3, 2023

Ezt Elon Musk jelentette be az imént a Twitter-en X-en ...

Linux overtakes macOS users on Steam thanks to Steam Deck https://t.co/ryUjdzhEyf #Linux #SteamDeck #macOS #Steam pic.twitter.com/bNS0Op9Agc

— Liam @ GamingOnLinux 🐧🎮 (@gamingonlinux) August 2, 2023

Régi HUP flame volt anno, hogy Linux játékosnál még OS X, MacOS, macOS (mikor éppen hogy hívták az Apple operációs rendszerét) játékos is több van. Nos, ez a Steam-en, a legnagyobb digitális game tartalomterjesztő platformon már nem igaz: a Steam Deck népszerűségének köszönhetően a Linux leelőzte a macOS-t ...

Well it finally happened. According to the latest Steam Hardware & Software Survey for July 2023 we can see that Linux users have overtaken macOS.

Részletek itt.

#XFS File-System Maintainer Stepping Down

-- Overworked & burned outhttps://t.co/r4DQlb9h7O

— Phoronix (@phoronix) August 2, 2023

I do not choose to continue as maintainer.

My final act as maintainer is to write down every thing that I've been doing as maintainer for the past six years. There are too many demands placed on the maintainer, and the only way to fix this is to delegate the responsibilities.

[...]

I burned out years ago trying to juggle the roles senior developer, reviewer, tester, triager (crappily), release manager, and (at times) manager liaison. There's enough work here in this one subsystem for a team of 20 FT, but instead we're squeezed to half that.

Részletek itt.

6.5-rc4: mainline Version: 6.5-rc4 (mainline) Released: 2023-07-30 Source: linux-6.5-rc4.tar.gz Patch: full ( incremental ) https://t.co/IgdwnXcVM2 #linux #kernel

— Linux Kernel Releases (@LinuxKReleases) July 30, 2023

Tesztelhető a 6.5-ös Linux kernel negyedik prepatche:

A Midnight Blue nevű holland cég publikált öt darab (2 kritikus, 2 magas és 1 alacsony prioritású CVE), még 2021-ben felfedezett sebezhetőséget a TETRA megvalósításában, mely hazánkban is használatos kb. 2008 óta, VHF sávban digitális adásokhoz főleg rendészeti szervek által. 

Publikus proof-of-concept nincs ugyan kiadva, de a cég erre létrehozott honlapján több demo videó is megtekinthető az általuk készített célhardver (átalakított Motorola MTM5400) működéséről is. A két kritikus sebezhetőség igen érdekes.

Az első (CVE-2022-24402) sebezhetőség lényege, hogy a TEA1 algoritmust használó megvalósítások az elméletben 80-bit hosszúságú kulcsokat a valódi alkalmazás során 40-bit alá rövidítik le (a hackaday cikk 32-bitre rövidítést ismertet), amely hosszúság már elegendő ahhoz, hogy átlag vásárlók által elérhető hardverekkel is visszafejthetőek legyenek. A TETRA rendszerek támogatnak több algoritmust is, TEA1-2-3-4 néven amelyek közül az 1 és 4 civil, 2 és 3 pedig kormányzati, katonai, rendészeti felhasználásra kerül kiadásra. Érdekes mellékszál, hogy adott országokat bizonyos TEA algoritmusokba szorítottak be, pl. Irán kizárólag TEA1-et alkalmazva használhatja ezeket a rendszereket.

Brian Murgatroyd azzal magyarázta a dolgot, hogy az 1995-ben lefolytatott fejlesztések idejében a 32-bit még biztonságosnak minősült. Ezt a képet árnyalja a fentebb említett Iráni mellékszál, ugyanis wikileaksen kiszivárgott dokumentumok alapján már 2006-ban feltehetően szervezetten és tudoatosan adták át amerikai közreműködéssel olaszországból "kevesebb, mint 40-bit" hosszúságú kulcsokat használó rendszereket Irán számára.

🎉 Happy 20th birthday, Thunderbird! 🎂

Yep, 20 years ago today, a new cross-platform, open-source application called Thunderbird debuted from the foundations of Mozilla Mail.

Some of you have been with us this entire time 💙https://t.co/x107JcRk5o

— Thunderbird: Free Your Inbox (@mozthunderbird) July 28, 2023

Minden nap elégedetten használom munkára és privát célra is. Ez az elsődleges levelezőkliensem! Boldog Születésnapot!

Az informatikusok és a recruiterek között meglévő káros szakadék megszüntetéséhez párbeszéd, sok önkritika, és kölcsönös változás szükséges. A friss kraftie adásban hídépítésbe kezdtünk.

A HWSW podcast-sorozat 12. kraftie adásában kimaxoltuk a stúdióban mind a hölgyek, mind az egy négyzetméterre eső HR szakemberek számát is. Szó volt Linkedin szőnyegbombázásról, borzalmas álláshirdetésekről, Tindernek használt Linkedinről, feszengő recruiterekről, tanulásról, és a kulturált párbeszédről is - ahhoz ugyanis, hogy a magyar IT-piac egy érettebb stációba váltson, nagyon sok változás szükséges mindkét oldaltól. Takács Kincsővel (Nvidia) és Balogh Rékával (Lufthansa Systems) nyakig elmerültünk ennek a jelenleg nem éppen ideális viszonynak a bugyraiban. Szerintünk ez egy fontos adás, hallgassátok!

Az adásban elhangzott cikkek, videók, tartalmak a Discord csatornánkon érhetők el, ahol még beszélgetni is tudsz velünk, és a többi hallgatóval. Adásainkat megtaláljátok a SoundCloudon, a Spotify-on, az Apple Podcasten, a Google Podcasten, és a YouTube csatornánkon.

We OPEN when others FOLD

— OnePlus (@oneplus) July 26, 2023

Ami máshol FOLD, az nálunk OPEN.

Megerősítve a korábbi pletykát:

Veres-Szentkirályi András (Silent Signal) előadása a HWSW free! meetup-sorozat 2023. február 27-i IT security tematikájú állomásán hangzott el. A meetupon a megszokottal ellentétben csak András adott elő, így lehetőség volt a témában mélyebben elmerülni - 60 percben. Linux/Unix rendszerek parancssori adminisztrációjára mára szinte egyeduralkodóvá vált az SSH, azonban felemelkedése és tündöklése alatt rengeteget változott a világ. Sok újonc még nem ismeri, milyen kockázatok ellen szükséges védekezni - régi motorosok pedig van, hogy nem minden területen tudják tartani a lépést a viharos változások közepette. Előadásunkkal mindkét csoportnak szeretnénk segíteni abban, hogyan lehetséges mai zero-trust elveknek megfelelő módon konfigurálni és használni az SSH-t. Támadói sapkánkat felvéve bemutatjuk, hogyan közelítenek napjaink hackerei, és a valóságban mivel vehetjük el kedvüket rendszereink kompromittálásától. Szakértőként pedig bepillantást nyújtunk abba, mi magunk hogyan használjuk ki a modern lehetőségeket többek között saját infrastruktúránk védelmére.

.@Intel Details #APX - Advanced Performance Extensions

-- Very exciting! General perf bump and user app/software changes should just be a re-compile!https://t.co/w7Kgd9cu7s

— Phoronix (@phoronix) July 24, 2023

[...] Intel APX doubles the number of general-purpose registers (GPRs) from 16 to 32. This allows the compiler to keep more values in registers; as a result, APX-compiled code contains 10% fewer loads and more than 20% fewer stores than the same code compiled for an Intel 64 baseline. Register accesses are not only faster, but they also consume significantly less dynamic power than complex load and store operations. [...]

Részletek itt és itt.

First big result from our new CPU research project, a use-after-free in AMD Zen2 processors! 🔥 AMD have just released updated microcode for affected systems, please update! https://t.co/NVPWFpVopz pic.twitter.com/HgKwu9w8Av

— Tavis Ormandy (@taviso) July 24, 2023

• Tavis Ormandy: I found an interesting CPU bug
• #zenbleed @ Twitter
• CVE-2023-20593
• AMD-SB-7008
• CVE-2023-20593: A use-after-free in AMD Zen2 Processors @ Seclist
• PoC exploit

riscv64 is now an official Debian architecture https://t.co/a7awFhQ8cS

— The Debian Project (@debian) July 24, 2023

Bejelentés itt.