HUP cikkturkáló

A méltán hírhedt lehallgatási botrány után a Google a felhasználók pozíció adataira vetett szemet - anélkül, hogy a felhasználókat erről külön tájékoztatta volna.

A "feature" jelenleg kikapcsolhatatlan, a SIM kártya kivétele és a wifi letiltása tudja csak megakadályozni az Android OS-be drótozott kémszoftver működését.

További információ a TechCrounch cikkében.

A Microsoft feltehetőleg elvesztette az utoljára 2000-ben fordított egyenletszerkesztő forráskodját, így a pár napja kijött buffer overflow hibát újrafordítás nélkül, az EQNEDT32.EXE-t kézzel átírva javították.

https://0patch.blogspot.hu/2017/11/did-microsoft-just-manually-patch-th…

Egy új névszerver szolgáltató mutatkozott be a napokban, amely a privát szféra tiszteletben tartására és biztonságosabb Internethasználatra hegyeztek ki.
Részletek az alábbi cikkben:
https://securityintelligence.com/new-quad9-dns-service-makes-the-intern…

A https://www.rescam.org/ oldalon működtetett email bot a nevedben levelezget a csalókkal, így azoknak kevesebb idejük lesz. Ingyenesen használható, csak a csalóktól kapott emailt kell nekik továbbküldeni és show time! :-)

https://www.macrumors.com/2017/11/13/youtube-ios-app-battery-drain-over…

Elliot Alderson álnevű (utalás a Mr. Robot főszereplőjére) felhasználó Twitteren fedte fel, hogy az általa vizsgált OnePlus (3, 3T, 5) gyártmányú készülékeken egy "EngineerMode" nevű alkalmazás található - melyet a telefonok tesztelésére használnak gyári körülmények között -, az ehhez köthető "DiagEnabled" folyamat pedig a megfelelő jelszóval elindítva root jogosultságot biztosít a bootloader nyitása nélkül. Álláspontja szerint a kínai cég szándékosan helyezett el backdoor-t a rendszerben, melyre utal a root jogosultsághoz szükséges "angela" jelszó is.

Részletek a linken

https://blog.cloudflare.com/arm-takes-wing/

The engineering sample of Falkor we got certainly impressed me a lot. This is a huge step up from any previous attempt at ARM based servers. Certainly core for core, the Intel Skylake is far superior, but when you look at the system level the performance becomes very attractive.

The production version of the Centriq SoC will feature up to 48 Falkor cores, running at a frequency of up to 2.6GHz, for a potential additional 8% better performance.

The largest win by far for Falkor is the low power consumption. Although it has a TDP of 120W, during my tests it never went above 89W (for the go benchmark). In comparison Skylake and Broadwell both went over 160W, while the TDP of the two CPUs is 170W.

Prelógus:

Az ethereum olyan programok (aka smart contract-ok) létrehozását teszi lehetővé, amik a P2P hálózatban minden gépen lefutnak és trustless módon konszenzus jutnak annak eredményéről.

"Build unstoppable applications
Ethereum is a decentralized platform that runs smart contracts: applications that run exactly as programmed without any possibility of downtime, censorship, fraud or third party interference." - mondja az oldaluk

Pár órája, egy magát "kísérletezgető newbie"-nek hívó user véletlenül talált egy bugot az egyik smart contract-ban amivel azt működésképtelenné tette.

“I’m eth newbie… just learning… sending kill() destroy() to random contracts you can see my history”
“I’m walking randomly becaue i’m a newbie. I even don’t know how to code, I’m just a consultant, user interface.”

Ezt a smart contract a mai értéken kb 280M USD-t érő ethereumot tett elérhetetlenné.

https://github.com/paritytech/parity/issues/6995
https://blog.comae.io/the-280m-ethereums-bug-f28e5de43513

Extra pontok:

• Mindezt azután, hogy júliusban ugyanebben a contract-ban egy másik hibát kihasználva loptak el 46M USD értékű ethereumot. (Igazából 150M USD értékűt érintett, de a hacker valamiért csak egy részét rakta el magának)
• A hibás smart contractokat az Ethereum egyik alapítója és a contract programozási nyelvének (solidity) kifejlesztője Dr. Gavin Wood írta.

kb egy ~300 soros programról beszélünk.

Bug bounty volt és elmondásuk szerint "underwent extensive peer review, created and audited by the Ethereum Foundation's DEV team" valamint a júliusi hiba óta külön kiemelték, hogy rengeteg "Solidity expert" nézte át a kódot és mindenki mindent rendben talált.

Ez felveti a kérdéseket:

• Hol a hiba?
• A programozási nyelv a rossz?
• A programozók akik írták és átnézték?
• Az API?
• Vagy csak egyszerűen maga az emberi agy alkalmatlan arra, hogy leírjon és értelmezzen egy párszáz soros szabályrendszert?
• Te egy 300 soros programra vagy egy cégre (pl. PayPal) bíznád a pénzed?

http://index.hu/tech/2017/11/02/oroszorszag_is_betiltotta_a_vpn-t/

https://stackoverflow.blog/2017/10/31/disliked-programming-languages/

tl;dr: az éppen divatos nyelveket (és technológiákat) többen szeretik + ms sucks