HUP cikkturkáló

Prelógus:

Az ethereum olyan programok (aka smart contract-ok) létrehozását teszi lehetővé, amik a P2P hálózatban minden gépen lefutnak és trustless módon konszenzus jutnak annak eredményéről.

"Build unstoppable applications
Ethereum is a decentralized platform that runs smart contracts: applications that run exactly as programmed without any possibility of downtime, censorship, fraud or third party interference." - mondja az oldaluk

Pár órája, egy magát "kísérletezgető newbie"-nek hívó user véletlenül talált egy bugot az egyik smart contract-ban amivel azt működésképtelenné tette.

“I’m eth newbie… just learning… sending kill() destroy() to random contracts you can see my history”
“I’m walking randomly becaue i’m a newbie. I even don’t know how to code, I’m just a consultant, user interface.”

Ezt a smart contract a mai értéken kb 280M USD-t érő ethereumot tett elérhetetlenné.

https://github.com/paritytech/parity/issues/6995
https://blog.comae.io/the-280m-ethereums-bug-f28e5de43513

Extra pontok:

• Mindezt azután, hogy júliusban ugyanebben a contract-ban egy másik hibát kihasználva loptak el 46M USD értékű ethereumot. (Igazából 150M USD értékűt érintett, de a hacker valamiért csak egy részét rakta el magának)
• A hibás smart contractokat az Ethereum egyik alapítója és a contract programozási nyelvének (solidity) kifejlesztője Dr. Gavin Wood írta.

kb egy ~300 soros programról beszélünk.

Bug bounty volt és elmondásuk szerint "underwent extensive peer review, created and audited by the Ethereum Foundation's DEV team" valamint a júliusi hiba óta külön kiemelték, hogy rengeteg "Solidity expert" nézte át a kódot és mindenki mindent rendben talált.

Ez felveti a kérdéseket:

• Hol a hiba?
• A programozási nyelv a rossz?
• A programozók akik írták és átnézték?
• Az API?
• Vagy csak egyszerűen maga az emberi agy alkalmatlan arra, hogy leírjon és értelmezzen egy párszáz soros szabályrendszert?
• Te egy 300 soros programra vagy egy cégre (pl. PayPal) bíznád a pénzed?

http://index.hu/tech/2017/11/02/oroszorszag_is_betiltotta_a_vpn-t/

https://stackoverflow.blog/2017/10/31/disliked-programming-languages/

tl;dr: az éppen divatos nyelveket (és technológiákat) többen szeretik + ms sucks

Megjelent a "várva-várt", újradizájnolt Skype for linux 8.9.0.1-es verziója.

Daiyuu Nobori Japán egyetemi tanár VPN szoftver projectje, mely véleményem szerint a legsokoldalúbb, legkönnyebben konfigurálható VPN megoldás, végre ismét "megmozdult".

Nobori két részre bontotta a fejlesztést, az LTS verziót továbbra is csak ő tudja kiadni, de a fejlesztői ág szabad kezet kap a github-on, igy a több hónapos, merge-re váró fejlesztések végre megjelenthetnek a szoftverben!

A tegnapi nap kijött az utolsó olyan verzió, amit még csak Nobori merge-elt, de a későbbi developer kiadásokról "leveszi a kezét", ezért azok sokkal gyakrabban fognak megjelenni.

Sokan már halottnak hitték a projectet, mivel sajnos az eredeti fejlesztő már nem tudta egymaga vinni a hátán a SoftEther-t, ez volt az oka a több mint egy évnyi lemaradásnak.

Kis összefoglaló, mit is tud a cucc: https://www.softether.org/1-features

Letöltés: http://www.softether-download.com/en.aspx?product=softether

Ubuntu PPA: https://launchpad.net/~paskal-07/+archive/ubuntu/softethervpn

Kanada egyik nemzetbiztonsági "gumitalpú" szervezete, nevezetesen a Communications Security Establishment saját döntéséből kifolyólag (nem hack fallout disclosure) feltöltötte a bitbucketre saját, házi fejlesztésű kibervédelmi szoftverét, a civil vállalatok és szervezetek önvédelmi tárházát bővítendő a káros behatások ellen. A bejelentésben "példa nélküli" jelzőt kapott.

"Canada's electronic spy agency says it is taking the "unprecedented step" of releasing one of its own cyber defence tools to the public, in a bid to help companies and organizations better defend their computers and networks against malicious threats."

http://www.cbc.ca/news/technology/cse-canada-cyber-spy-malware-assembly…
(a cikk felhívja a figyelmet rá, hogy az NSA-nek és a GCHQ-nak is van nyilvános regisztrált github fiókja)

>>> https://bitbucket.org/cse-assemblyline/assemblyline <<<

On social media right now, strong rumours are spreading that the WPA2 encryption scheme has been broken in a fundamental way. What this means: the security built into WiFi is likely ineffective, and we should not assume it provides any security. - https://www.alexhudson.com/2017/10/15/wpa2-broken-krack-now/

Look for CVE-2017-13077, 13078, 13079, 13080, 13081, 13082, 13084, 13086, 13087, 13088 when details become available. - https://twitter.com/Nick_Lowe/status/919527451570638848

A 2 hete kijott fortinet firmware elvileg mar javitja a hibat: http://docs.fortinet.com/uploaded/files/3968/fortiap-s-fortiap-w2-v5.6…

Bar jelenleg meg embargos a sebezhetoseg, de feltetelezem akarmekkora a problema az otthoni routerek/iot eszkozok 80+%-a sosem lesz javitva.

Pozitívumként:
- Free wifi hotspotok száma ugrásszerűen meg fog nőni
- Ha hangos a szomszédban a jutyúbdiszkó: wifi login > 192.168.1.1 admin/admin > Max Tx Rate: 1Mbps
- A WEP-et nem érinti a hiba...

"...

Transkiy was being questioned about an extraordinary form of contraband. Someone had hidden refurbished computers in the ceiling of the prison. They’d somehow obtained a login to the prison’s network, gaining access to the inner workings of the facility, including databases on inmates and the tools for creating passes needed to enter restricted areas. The computers also granted access to the outside world, which someone had used to apply for credit cards using the stolen identity of a prisoner. The scheme extended from the prison, to a community nonprofit, to multiple banks — all done under the noses of an oblivious prison staff. When investigators laid out the contours of the plot, Transkiy said he couldn’t believe it. “This is... this is... this is bullshit basically,” he stammered out. “This is something, you know, that’s... that’s... that’s not real.”

...

https://www.theverge.com/2017/10/10/16447264/prison-hacker-recycled-com…

Vannak bajok mindkét oldalon.

Angolul:
https://www.theguardian.com/technology/2017/oct/09/galaxy-s8-samsung-us…

Magyarul:
http://index.hu/tech/2017/10/10/nem_erkeznek_meg_az_sms-ek_a_samsung_ga…

Kevesebb mint 2 evet kellett varni az Ansible felvasarlasa ota, hogy a Red Hat nyilt forrasu projektkent kozzetegye az Ansible Tower termeke mogott allo kodot,

https://www.ansible.com/awx-project-faq
https://opensource.com/article/17/9/ansible-announces-awx-open-source-p…
https://www.redhat.com/en/about/press-releases/red-hat-advances-enterpr…