https://www.youtube.com/watch?v=ErwS24cBZPc
Appleさんの懐かしいPV。
そして、iPadのPV
「コンピュータと破壊」は変わらず、しかし対象が伝えるものが反転(する/しない)のがとても興味深い。
1984 (広告) - Wikipedia
https://www.youtube.com/watch?v=ErwS24cBZPc
Appleさんの懐かしいPV。
そして、iPadのPV
「コンピュータと破壊」は変わらず、しかし対象が伝えるものが反転(する/しない)のがとても興味深い。
1984 (広告) - Wikipedia
https://twitter.com/inanzu/status/1785821936934936794
基本的に好奇心はコミュニケーションの意欲によって駆動されるっていうヒトの習性がある。逆に、孤立してるヒトは好奇心が著しく減るのだ。
(略)
「何言っても聞かないやつは相手をするな」(略)コミュニケーションが取れなくなると好奇心は消えてしまう
(略)
基本的に人間が群れ、最終的には都市を作って発展してきたのは、「好奇心のドライブがコミュニケーションと結合する」という習性を獲得したからじゃなかろうか?
めも、未検証
dlsiteのポイント購入サイト
https://dl-pay.com/legal/law#ja
運営会社:Aladdin株式会社
別会社扱い、まあそうですよね。
https://twitter.com/ryu_nekomaru/status/1775826603278516645
?真偽不明
https://dlpay.dlsite.com.tw/
ドメイン名...
運營DLsite.com.tw台灣版的台灣雞翅國際股份有限公司
あっハイ。
https://qiita.com/yuba/items/852d019af48ee7ccd92e
https://stackoverflow.com/questions/18278774/search-git-remote-all-branches-for-file-contents
git config --global grep.lineNumber true
全コミットから文字列検索する
git grep 【キーワード】 $(git rev-list --all)
全ブランチから文字列検索する git grep 【キーワード】 $(git branch -a --format='%(objectname) %(refname:short)' | s
git blobから検索
git - Which commit has this blob? - Stack Overflow
git describe <hash>
https://twitter.com/hiroko_TB/status/1773881969597911406
、無修正イラストを海外で印刷して、それを国内に「販売目的品」として持ち込み、通関時に「違法かどうかわからない」と言って、税関職員に判断させれば「わいせつ性」の判断はできます。
(略)
私はこの方法で審査させることができることは知ってたから、じつは手法の発見はまったく驚いてなくて、どちらかといえば、私の法理論を直接大臣が審査することになってる、というのに衝撃を受けてる。別に、わいせつ性を司法に事前審査させることができるのは、私の中では新規性はない。
メイプルソープ事件 - Wikipedia
デスヨネー
これを元にしたもっと単純にやる仕組みがまだあるってこと? https://t.co/ccBa2Sm4TJ
— Konfusing (@Konfusing7) 2024年3月30日
xzのtarボールで、アップストリームバージョンの5.6.0以降に悪意のあるコードが混入されていることがわかりました。liblzmaビルドプロセスにおいて複雑な難読化を用いてソースコード内の偽装テストファイルからビルド済みオブジェクトファイルを抽出します。このファイルは、liblzmaコード内の特定の関数を変更するために使用されます。
難読化してテストで入れ込むの手が込んでるな。
そして良く見付けたなという感でじっくり見ていったら。
postgresqlのmicro-benchmarkしてたところ, username間違えてログインしてるのにsshdがCPU使いすぎだな?ということで気がついたみたい…
なんだと?
mastodon.social
Saw sshd processes were using a surprising amount of CPU, despite immediately failing because of wrong usernames etc. Profiled sshd, showing lots of cpu time in liblzma, with perf unable to attribute it to a symbol. Got suspicious.
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
== Impact on sshd ==
The prior section explains that RSA_public_decrypt@....plt was redirected to
point into the backdoor code.
RSA_public_decryptだと?
最後まで読んだら,openssh で情報を拾い上げるだけじゃなくて,RSA_public_decrypt をすげ替えて不正アクセスを受け付けるような事やってるくさいのか・・・ pic.twitter.com/bE2dnp0evv
— R. Shioya (@r_shioya) 2024年3月30日
最後まで読んだら,openssh で情報を拾い上げるだけじゃなくて,RSA_public_decrypt をすげ替えて不正アクセスを受け付けるような事やってるくさいのか・・・
いや,good-large_compressed.lzma を展開して得られたバイナリに対して head とか tr で間を抜き出したり置換したものを更にもう一回 xz 展開すると真の攻撃スクリプトになるのかな.すごいな.
— R. Shioya (@r_shioya) 2024年3月30日
The files containing the bulk of the exploit are in an obfuscated form in
tests/files/bad-3-corrupt_lzma2.xz
tests/files/good-large_compressed.lzma
committed upstream. They were initially added in
https://github.com/tukaani-project/xz/commit/cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0Note that the files were not even used for any "tests" in 5.6.0.
Subsequently the injected code (more about that below) caused valgrind errors
and crashes in some configurations, due the stack layout differing from what
the backdoor was expecting. These issues were attempted to be worked around
in 5.6.1:https://github.com/tukaani-project/xz/commit/e5faaebbcf02ea880cfc56edc702d4f7298788ad
https://github.com/tukaani-project/xz/commit/72d2933bfae514e0dbb123488e9f1eb7cf64175f
https://github.com/tukaani-project/xz/commit/82ecc538193b380a21622aea02b0ba078e7ade92For which the exploit code was then adjusted:
https://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89Given the activity over several weeks, the committer is either directly
involved or there was some quite severe compromise of their
system. Unfortunately the latter looks like the less likely explanation, given
they communicated on various lists about the "fixes" mentioned above.
https://github.com/tukaani-project/xz
の公式が無効化されていたので、適当に該当ハッシュのあるものを
https://git.rootprojects.org/root/xz.git
$ git show -s --pretty=%an cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0 6e636819e8f070330d835fce46289a3ff72a7b89 72d2933bfae514e0dbb123488e9f1eb7cf64175f 82ecc538193b380a21622aea02b0ba078e7ade92 | cat Jia Tan Jia Tan Jia Tan Jia Tan
ソーシャル(ハック)時系列
t.co
In April 2022, Jia Tan submits a patch via a mailing list. The patch is irrelevant, but the events that follow are. A new persona – Jigar Kumar enters, and begins pressuring for this patch to be merged.
Soon after, Jigar Kumar begins pressuring Lasse Collin to add another maintainer to XZ. In the fallout, we learn a little bit about mental health in open source.
Three days after the emails pressuring Lasse Collin to add another maintainer, JiaT75 makes their first commit to xz: Tests: Created tests for hardware functions.. Since this commit, they become a regular contributor to xz (they are currently the second most active). It’s unclear exactly when they became trusted in this repository.
Jigar Kumar is never seen again. Another account — Dennis Ens also participates in pressure, with a similar name+number formatted email. This account is also never seen again, and both do not have any associated accounts that have been discovered.
(参考訳)
2022 年 4 月に、Jia Tan はメーリング リスト経由でパッチを送信します。パッチは無関係ですが、その後のイベントは無関係です。新しいペルソナ – Jigar Kumarが登場し、このパッチを統合するよう圧力をかけ始めます。その直後、Jigar Kumar は XZ に別のメンテナーを追加するようLasse Collin に圧力をかけ始めました。その影響で、私たちはオープンソースにおけるメンタルヘルスについて少し学びました。
ラッセ・コリンに別のメンテナを追加するよう圧力をかける電子メールの 3 日後、JiaT75 は xz に最初のコミットを行いました。テスト: ハードウェア機能のテストを作成しました。。このコミット以来、彼らは xz への定期的な寄稿者になりました (現在、2 番目にアクティブです)。彼らがいつこのリポジトリで信頼されるようになったのかは正確には不明です。
Jigar Kumarは二度と見られない。別のアカウント — Dennis Ensも同様の名前 + 番号形式のメールで圧力に参加しています。このアカウントも再び表示されることはなく、どちらも発見された関連アカウントはありません。
同様のソーシャルハックが繰り返されている。
Interesting note on the #xz backdoor:
— alden (@birchb0y) 2024年3月30日
If you plot Jai Tan's commit history over time, the cluster of offending commits occurs at an unusual time compared to rest of their activity.
If the dev was pwned, it could be a sign that the threat actor contributed in their own timezone pic.twitter.com/CrFBcdIAni
これで入れ子構造だったら素敵過ぎる。
影響を受けたディストリビューションとその期間が興味ある人へのまとめ。
https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html
血液は心臓の鼓動の力で全身に送られているけど、リンパは各々の周辺の筋肉の動きに頼ることでしか流れることができないのよね。
運動が大事といわれるのはそういうわけ。
なるほど?
同作者の尿路結石ネタ
尿路結石ができる仕組み - YouTube
唐突な BEYOND THE TIME 含めて面白すぎる
https://twitter.com/manboumuseum/status/1772821931424989316
結石再発する人にはカルシウム取ることをオススメする。結石の治療法として、水分をたくさん取ることが一般的ですが、私は水分取っても結石になりまくったので、体内に残留するシュウ酸をカルシウムで相殺する作戦にしたところ、結石できなくなりました(もしくは気付かないうちに排出)。
(略)
勘違いしてる人がいるので付け加えますが、重要なのは牛乳ではなく「#カルシウム」です。牛乳はカルシウムを取る一つの手段。結石にも色々種類があり、シュウ酸結石でない人は牛乳飲んでも結石できると思いますよ。
結石は病院で成分分析に出してもらえるので、自分が何結石か確かめるのは重要です
正論
https://togetter.com/kiji/2024/03/26/132046
この拡張機能はXの認証アカウントを根こそぎ非表示にするものだ。
拡張機能から「VeriBlock on Twitter」を起動させると、大きな目が描かれたポップアップが出現する。この目をクリックして「リプライクリーナー」に切り替えればOKだ。
「リプライクリーナー」にすると認証アカウントは非表示に。画像にはいないが、非認証アカウントがあればそれは残る
そして誰もいなくなった。「リプライゾンビ」にイライラしていた人にはぴったりな拡張機能だろう。問題点としては、消したくない認証アカウントまで巻き添えになる点だろう。とはいえリプライだけなので被害はさほどでもない印象だ。
素敵~
これ出すべきかかなり迷ってたんですけど、出します
— もにゃ (@Monyaizumi) 2023年8月19日
『Xから認証アカウントをすべて消す』バーサーカーみたいなChrome拡張をつくりました
炎上狙いの投稿も、バズに群がる空っぽなリプライも、全部消し飛びます。
※もちろんホワイトリスト機能あります
広告収益化×ブロック機能廃止のコンボ怖すぎる pic.twitter.com/Zv2Pfhct43
リプライだけでも非表示にしておくとかなり違います。
素晴らしい
https://twitter.com/itochube1/status/1769490384265335191
生きる意味ってなんですか!?
あるある
https://twitter.com/hsa1585/status/1769555686852334067
孔子でさえ30歳40歳になってようやくなすべき事が分かった。キミごときに生きる意味なんか分かるはずがないと思わないかい?思い上がるな
正論