Topic: Software OpenSource & Software Gratuito

[Iceberg]

Il throbber classico è questo:

[fabrixx]

Per intenderci è questo effetto:

[miki64]

...che non conoscevo ma che è bellissimo! 

[miki64]

Da TurboLab.it.
Cloudflare WARP: VPN gratuita per tutti a traffico illimitato
Quando si parla di VPN gratuite gli esperti mettono in guardia dai possibili rischi. Dall'azienda americana Cloudflare arriva la VPN che non pensavi esistesse: gratuita, a traffico illimitato, senza vincoli o restrizioni all'uso, compatibile con tutti i sistemi operativi.

Nei commenti, comunque, leggerete anche dei "contro" molto sensati.

[crazy.cat]

Ogni tanto Windows Defender si "incarta" nella pulizia della sua cronologia e continua a mostrare dei malware, come attivi e presenti, anche se sono già stati rimossi.
Non essendoci un metodo ufficiale (tutti i programmatori Microsoft evidentemente non hanno tempo di pensare a queste "piccolezze") per pulire la cronologia, bisogna agire dalla modalità provvisoria di Windows, cosa che magari non è alla portata di tutti.
Mi è capitato di trovare su Github un piccolo file di comandi ClearDefenderHistory che permette di pulire la cronologia direttamente dal prompt dei comandi di windows senza andare in modalità provvisoria.

Codice: [Seleziona]

https://github.com/LesFerch/ClearDefenderHistory?tab=readme-ov-fileBasta estrarre il contenuto dell'archivio e avviare il file ClearDefenderHistory.bat dal prompt dei comandi.

Ho dato per scontato che il malware sia stato eliminato ed effettuati controlli di sicurezza anche con altri tool e programmi antivirus.

[miki64]

Utile, grazie crazy.cat. 

[deckard]

Scoperta una vulnerabilità all'interno di XZ e la cosa ha impattato su SSH e questo ha comportato la presenza di una backdoor in {[(uno strumento adoperato da)]} molte distribuzioni Linux.
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-linux-distros/
https://thehackernews.com/2024/04/malicious-code-in-xz-utils-for-linux.html
https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html

La vulnerabilità: CVE-2024-3094 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094

XZ Backdoor: l'Apocalisse evitata, per un pelo... {[(Video di Ciao Internet con Matteo Flora)]} Con Stefano Zanero:
https://www.youtube.com/watch?v=FpT_cYUaxkU

[next]

XZ Backdoor: l'Apocalisse evitata, per un pelo... {[(Video di Ciao Internet con Matteo Flora)]} Con Stefano Zanero:
https://www.youtube.com/watch?v=FpT_cYUaxkU

Ne approfitto per segnalare anche questo:
L'incredibile storia dell'uomo che ha fermato quello che sarebbe stato il più grande cyberattacco di sempre

Cosa fa un ricercatore Microsoft la sera a casa, quando ha un po’ di tempo libero? Andres Freund, questo il nome del ricercatore, è un eroe moderno e ha sventato quello che è forse uno dei più grandi e ambiziosi piani per diffondere un malware devastante.

Freund stava cercando di ottimizzare le prestazioni del suo computer riducendo la velocità delle ventole per rendere il tutto più silenzioso quando si è accorto che qualcosa non andava.

[deckard]

Ci sarebbero tante riflessioni da fare a margine di tutte questa catena di eventi a partire dall'inizio:
Chi è responsabile di questo tentativo di cyberattacco? Chi ha scritto il codice? Chi ha fatto in modo che venisse recepito dalle distribuzioni?
Che cosa si prefiggevano di fare?
Quali finalità e che motivazioni li spingevano?
Quali sono state le modalità e le tempistiche?
Da dove provengono gli autori del codice e gli eventuali e ipotetici mandanti, Military hacker (hacker al servizio delle Forze Armate) o Government Agent Hacker (soggetti con un buon background hacker che si muovono per “fini politici e soldi”)?
Che lezione possiamo ricavare da tutto ciò?
Oltre al fatto che se un progetto è portato avanti da quattro gatti a caso in Nebranska senza alcun ringraziamento, ma viene adoperato da almeno un miliardo di persone, all'interno di altri progetti, non si tratta più di hobbistica in senso stretto...

[next]

Oltre al fatto che se un progetto è portato avanti da quattro gatti a caso in Nebranska senza alcun ringraziamento, ma viene adoperato da almeno un miliardo di persone, all'interno di altri progetti, non si tratta più di hobbistica in senso stretto...

Io penso che il punto chiave sia questo. E penso anche che Bruce Perens* abbia fatto una proposta di buon senso con l'idea del post-open -> https://www.miamammausalinux.org/2024/02/dopo-aver-definito-il-concetto-di-open-source-bruce-perens-lo-giudica-fallito-proponendo-una-nuova-via-il-post-open/
(Le aziende oltre un certo fatturato verserebbero annualmente un piccolo contributo legato al fatturato stesso che coprirebbe l'uso di tutto il software con licenza post-open; ci sarebbe poi un organismo terzo che ripartirebbe i ricavi tra i vari progetti)

_{* il fatto che pochissimi sappiano che Perens, assieme a Eric Raymond, è il "vero" padre della definizione di "opensource" mentre tutti la attribuiscano a "quell'altro" mi fa essere abbastanza pessimista sulla possibilità che il buon senso prevalga sulla visione ideologica}

[deckard]

Open Source Infrastructure must be a publicly funded service.
04.04.2024 16:30 — {[(Matrix)]} Foundation — Matthew Hodgson

Qui ci sarebbero tante riflessioni...

[fabrixx]

XZ Backdoor: l'Apocalisse evitata, per un pelo... {[(Video di Ciao Internet con Matteo Flora)]} Con Stefano Zanero:
https://www.youtube.com/watch?v=FpT_cYUaxkU

Ne approfitto per segnalare anche questo:
L'incredibile storia dell'uomo che ha fermato quello che sarebbe stato il più grande cyberattacco di sempre

Cosa fa un ricercatore Microsoft la sera a casa, quando ha un po’ di tempo libero? Andres Freund, questo il nome del ricercatore, è un eroe moderno e ha sventato quello che è forse uno dei più grandi e ambiziosi piani per diffondere un malware devastante.

Freund stava cercando di ottimizzare le prestazioni del suo computer riducendo la velocità delle ventole per rendere il tutto più silenzioso quando si è accorto che qualcosa non andava.

Pazzesco! 
Sarebbe potuto succedere di tutto se quel tipo non se ne accorgeva.
Interessantissimo video grazie!!
Ricordo di aver usato piu volte quella libreria per alcune compilazioni quando ancora si chiamava col vecchio nome e se guardo nel log di pacman compare questo:

Codice: [Seleziona]

[2024-02-01T09:52:54+0100] [ALPM] upgraded xz (5.4.5-1 -> 5.4.6-1)
[2024-02-29T19:55:55+0100] [ALPM] upgraded xz (5.4.6-1 -> 5.6.0-1)
[2024-03-18T07:44:15+0100] [ALPM] upgraded xz (5.6.0-1 -> 5.6.1-1)
[2024-03-31T09:12:21+0200] [ALPM] upgraded xz (5.6.1-1 -> 5.6.1-2)
[2024-04-02T18:51:50+0200] [ALPM] upgraded xz (5.6.1-2 -> 5.6.1-3)

Sempre peggio... non si salva piu nessuno, spero vengano prese delle contromisure. Mi chiedo come queste strutture collaborative di sviluppo possano essere regolamentate per evitare che qualcuno ci riprovi in futuro, che passaggi intermedi ulteriori inserire. Questa struttura aperta di generazione, testing e distribuzione di centinaia e centinaia di pacchetti rischia di diventare un arma per far esplodere queste cose.
Che cosa si prefiggevano di fare appunto?
Uno dei video piu ineressanti che abbia mai visto sull'argomento!!


In realta volevo intervenire per segnalare Thunderbird con gli steroidi: Betterbird che ho trovato su Flatpak ma non ci tengo a provare
 

[miki64]

https://tools.simonwillison.net/ocr?/language=ita

Un OCR di immagini eseguito nel browser, senza estensioni, senza la necessità di scambiare alcun dato con i server remoti (il funzionamento è interamente locale).

[next]

Mi chiedo come queste strutture collaborative di sviluppo possano essere regolamentate per evitare che qualcuno ci riprovi in futuro, che passaggi intermedi ulteriori inserire.

A me è venuto in mente un meccanismo Web of trust (-> https://it.wikipedia.org/wiki/Web_of_trust ) come per le chiavi PGP. Ma d'altro canto renderebbe la partecipazione ai progetti opensource molto più complessa e forse sarebbe un disincentivo. 

[deckard]

Web of trust a me innesca tutta una serie di ricordi su un particolare componente aggiuntivo per Firefox.