»

Po mesecu dni izvorna koda WinAmpa umaknjena

Slo-Tech - Potem ko je WinAmp vstal od mrtvih, so minuli mesec njegovo izvorno kodo objavili na GitHubu. Manj kot poln mesec pozneje so celoten repozitorij izbrisali, saj je bila objava povezana s številnimi zapleti in tudi kršitvami licenc in pravic. Zgodba bo v zgodovino ostala zapisana kot eno najbolj ponesrečenih odprtij kode.

Ni namreč vsako razkritje kode enako, predvsem pa se razlikujejo pravice in obveznosti. Kodo so sprva objavili pot licenco Winamp Collaborative License (WCL) Version 1.0, ki je med drugim prepovedovala izdelavo drugih verzij (No Forking: You may not create, maintain, or distribute a forked version of the software.) To je seveda v nasprotju s pravili GitHuba, tehnično gledano pa takšna koda ni odprta, temveč je zgolj razkrita. Zato so licenco posodobili in WCL 1.0.1 je dovoljevala ustvarjanje drugih verzij, a prepovedovala njihovo distribucijo. V praksi je to zelo težko preverjati.

Še večji problem pa so bili drobci kode, ki tam ne bi smeli biti. Nullsoft, ki je...

9 komentarjev

Microsoftu pobegnilo 38 TB podatkov

Slo-Tech - Microsoftu je na splet pobegnilo 38 TB podatkov, ker so napačno nastavili profil na GitHubu. Podjetje Wiz, ki se ukvarja z računalniško varnostjo, je ugotovilo, je odkrilo shrambo v Azuru, na katero je vodila povezava v repozitoriju na GitHubu, ki so ga uporabljali raziskovalci v Microsoft AI. Pravice za dostop so bile nastavljene tako, da je lahko podatke prebiral, kdorkoli je imel povezavo do shrambe z žetonom SAS. Podatki so bili javno dostopni od leta 2020, Microsoft pa je dostop onemogočil dva dni po Wizovem opozorilu.

Šlo je za 38 TB podatkov, med njimi tudi polni varnostni kopiji dveh zaposlenih, vključno z gesli, ključi in več kot 30.000 internimi sporočili v Microsoft Teams. Ob pa niso bili izpostavljeni nobeni podatki strank, so zatrdili v Microsoftu. Teoretično pa bi lahko zlonamerni akterji zaradi ranljivosti spreminjali in vrivali datoteke na Microsoftove strežnike in v interne sisteme, saj so bile dovoljene tudi pisalne pravice. Tehnični direktor Ami Luttwak je ob...

9 komentarjev

Kolektivna tožba zoper Microsoft zaradi piratstva

Slo-Tech - Microsoft je lani predstavil orodje, ki se je v teoriji zdelo kot nalašč za programerje, saj bi jim lahko prihranilo obilico časa in truda. Github Copilot je pomočnik v obliki umetne inteligence, ki so ga razvili skupaj z GitHubom in OpenAI. Piscem v Pythonu, JavaScriptu, TypeScriptu, Rubyju in Goju pomaga tako, da piše delce kode samostojno, saj je bil prebral vso kodo v javnih repozitorijih na GitHubu in se naučil programirati. V teoriji se to sliši čudovito, v praksi pa ljudje niso najbolj navdušeni, če njihovo avtorsko delo uporabljajo drugo, pri čemer jih niti nič ne vprašajo.

Zato je Github Copilot že od začetka tarča kritik, ki so se še okrepile junija letos, ko je postal komercialno dostopen vsakomur, ki plača 10 dolarjev mesečno. Zaradi tega je bila minuli teden proti Microsoftu, OpenAI in Githubu vložena kolektivna tožba, ki jo vodi Matthew Butterick. V njej Microsoftu očitajo, da nezakonito uporablja odprtokodno programsko opremo, ki je objavljena pod različnimi...

26 komentarjev

Lapsus$ napadel Samsung, od Nvidie terja hitrejše rudarjenje

Slo-Tech - Izsiljevalska skupina Lapsus$ je včeraj objavila velikanski kup podatkov, ki domnevno izvirajo iz Samsunga, kamor naj bi bili uspešno vdrli. Spomnimo, da so minuli teden potrjeno vdrli tudi v Nvidio, od koder naj bi odnesli 1 TB podatkov, razkrili pa so jih 20 GB. Skupina sedaj trdi, da imajo Samsungovo izvorno kodo, kar so podkrepili tudi z zajeto zaslonsko sliko. Trdijo, da imajo med drugim tudi izvorno kodo za vse Samsungove TA (truted applet) v okolju TrustZone, algoritme za biometrično zaščito, bootloader na novih telefonih, kodo Qualcommovih naprav in vso izvorno kodo za avtorizacijo in preverjanje pristnosti v Samsungovih računih (storitve, API). Resničnosti navedb neodvisno še niso potrjene. Prav tako ni jasno, kaj Lapsus$ od Samsunga zahteva, saj javno ni znano, ali terjajo kakšno odkupnino.

Prav tako še vedno poteka boj med skupino Lapsus$ in prizadeto Nvidio. Zahteve, ki jih napadalci postavljajo, pa so gotovo med najnenavadnejšimi. Zahtevajo, da Nvidia omogoči hitrejše...

9 komentarjev

V Googlov oblak v glavnem vdirajo kriptorudarji

vir: Google
Google - Pri Googlu so v prvem poročilu glede varovanja uporabniških inštanc v svojem oblaku navedli, da je bilo več kot štiri petine vdorov izkoriščenih za rudarjenje kriptovalut.

Googlovi varnostni strokovnjaki, ki bedijo nad inštancami Google Clouda, katere oddajajo v uporabo, so pričeli z izdajanjem varnostnih poročil, ki so jih poimenovali Threat Horizons. V prvi številki (skrajšan povzetek) so pokrili 50 letošnjih vdorov v uporabniške račune in še nekatere druge neprilike. Kar 43 od omenjenih vdorov je pridobljene kapacitete izkoristilo za prikrito rudarjenje kriptovalut. V večini primerov je šlo verjetno za ozek krog napadalcev ali pa vsaj podobno avtomatizirano programsko opremo, ker je v več kot polovici primerov v manj kot 22 sekundah po vdoru na kompromitirane strežnike namestila programje za rudarjenje. Prav tako je bila večinoma krivda na strani uporabnikov, ki so imeli v kar 24 primerih mnogo preenostavna gesla.

Preostalih 7 primerov vdora je odpadlo na phishing kampanje in...

2 komentarja

Za rudarjenje kriptovalut zlorabljajo brezplačne račune pri ponudnikih storitev v oblaku

Slo-Tech - Skupine, ki skušajo zaslužiti s kriptovalutami, so odkrile nov način izkoriščanja dostopnih kapacitet za svoje početje. Ponudniki storitev v oblaku, med njimi GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut in Okteto, poročajo o zlorabah njihovih brezplačnih poizkusnih računov. Nepridipravi vanje naložijo programsko opremo za rudarjenje kriptovalut in jih izkoristijo, kolikor je pač možno.

Minuli mesec je o tej nevšečnosti prvi spregovoril GitHub. Vse od lanske jeseni se bolj ali manj uspešno zlorablja storitev GitHub Actions, ki uporabnikom omogoča avtomatično izvajanje določenih opravil. Če nepridipravi v repozitorij potisnejo kodo, ki je namenjena rudarjenju kriptovalut, bodo virtualni stroji GitHuba, ki kodo poženejo, nekaj časa rudarili.

Ponudniki, ki so tarče napadov, ponujajo CI (continuous integration). Ta storitev omogoča avtomatično prevajanje, pakiranje in poganjanje kode v virtualnem stroju, ki je namenjen...

20 komentarjev

GitHub pol cenejši in z več brezplačnimi funkcijami

GitHub - GitHub je danes najavil nekaj sprememb, ki jih bodo uporabniki veseli, saj prinašajo tudi brezplačnim uporabnikom nekaj predhodno plačljivih funkcij. Odslej bodo osnovne funkcije brezplačno na voljo za vse, tudi za skupine, ki jih uporabljajo v komercialnih projektih. To pomeni, da število sodelujočih ne bo omejeno, kar je bil doslej pogost razlog za nakup naročnine, saj so bili neomejeno veliki projekti lahko le odprti. Poleg tega dodajajo tudi 2000 minut na mesec brezplačnega dostopa do GitHub Actions (platforma CI/CD).

Kdor bo želel več naprednih funkcij, denimo podporo za SAML, bo še vedno moral kupiti plačljiv račun. A osnovna naročnina se začne pri štirih dolarjev mesečno in ne več pri devetih, medtem ko bo paket Enterprise stal 21 dolarjev na mesec na uporabnika. GitHub dodaja, da so imeli pocenitev že dlje v mislih in da ne gre za odziv na trenutne dogodke v svetu, ki terjajo več oddaljenega sodelovanja. GitHub vse, odkar ga je prevzel Microsoft, povečuje število...

43 komentarjev

GitHub prevzel npm

Slo-Tech - GitHub nadaljuje nakupovalno sezono, ki traja odkar ga je prevzel Microsoft. Po prevzemu Dependabota in Pull Pande je sedaj na vrsti npm. Podatkov o ceni podjetji nista razkrili.

Node Package Manager (ali krajše npm) je package manager za aplikacije v JavaScriptu, ki sodi med največje ekosisteme za razvijalce. Trenutno ima 1,3 milijona paketkov, ki jih uporablja 12 milijonov razvijalcev. Vsak mesec nabere 75 milijard prenosov.

Microsoft zagotavlja, da bo npm ostal odprtokoden in brezplačen za uporabo, je dejal GitHubov direktor Nat Friedman. Ostali bodo tudi paketi Pro, Teams in Enterprise. Načrt ima tri postavke: postaviti zanesljivo infrastrukturo, izboljšati uporabniško izkušnjo in sodelovati s skupnostjo. V praksi bo GitHub integriral npm in plačljivi uporabniki bodo lahko premaknili svoje npm paketke v GitHub.

15 komentarjev

Izsiljevalski napad na nezaščitene repozitorije Git

Slo-Tech - Po navadi izsiljevalska programska oprema grozi, da bo nepovratno uničila podatke na okuženih računalnikih, če žrtev ne bo plačala določene vsote bitcoinov izsiljevalcem. Napadalci, ki so včeraj začeli lomastiti po repozitorijih na GitHubu, GitLabu in Bitbucketu, pa so se izsiljevanja lotili drugače. Vsebino repozitorijev so počistili in nadomestili z eno samo datoteko, ki vsebuje navodilo, kam je treba nakazati 0,1 bitcoina (500 evrov) in poslati elektronsko sporočilo, da bodo podatke vrnili. To ni niti tako nenavadno niti tragično. Zanimiv pa je drugi del opozorila, kaj se bo zgodilo ob ignoriranju. V tem primeru bodo napadalci kodo objavili javno ali jo kako drugače izkoristili, grozijo. Na računu, kjer zahtevajo bitcoine, se odkupnin še ni nabralo nič (kaže, da je v vseh sporočilih naveden isti...

6 komentarjev

Apache gre na GitHub

Slo-Tech - Eden izmed velikanov na področju odprte kode Apache Software Foundation (ASF) je prestopil na GitHub. Največja fundacija odprte kode, v kateri 730 članov in 7000 redno sodelujočih upravlja 200 milijonov vrstic kode, je leta 2016 začela integrirati GitHubov repozitorij v svoje storitve. Migracija je bila končana februarja letos, sedaj pa je napočil čas za zadnji korak. Vseh 350 odprtokodnih projektov je prenesenih in dostopnih na GitHubu.

To pomeni, da ASF ukinja lastno infrastrukturo Git, ker je ne bo več potreboval. Meni, da bo za razvijalce enostavneje, za novince pa privlačneje, če bodo razvojni model poenostavili tudi s tem, da bodo uporabljali GitHub.

V preteklosti so projekti ASF uporabljali dvoje: Apache Subversion in Git. Ker so se razvijalci začeli pritoževati, da bi...

33 komentarjev

V kiberpipi ta teden: ETC festival, Maven, Astina, Andreja Jernejčič, Github Git training

#195: Medijski portal iz uredniškega in tehnološkega vidika, 22. Feb 2012

vir: Kiberpipa
Kiberpipa - Ta teden v Kiberpipi prirejamo festival Eclectic Tech Carnival, ki je srečanje žensk, ki se zanimajo za odprtokodne tehnologije. Vsak karneval (ponavadi vsako leto) organizira lokalna skupina s podporo mednarodne mreže žensk in kolektivov. Ljubljanski ETC nastaja v tesnem sodelovanju Kiberpipe z 13. Mednarodnim feminističnim in queerovskim festivalom Rdeče zore.

Med 6. in 9. 3. potekajo v Kiberpipi delavnice "SOLAR" [6. in 7. 10h-13h], "Koerperspule (Telesna tuljava)" [7.in 8. 15h-18h], ter "Strojna oprema, cel žur!" [8. in 9. 10h-13h]. Vse delavnice potekajo po dva dni dopoldne ali popoldne in so prosto odprte samo za ženske in trans osebe. Prav tako so za ženske v petek odprte predstavitve ter neformalno druženje vseh,...

18 komentarjev