PyPI-пакет telnyx скомпрометирован

ШЕРЕТО

Забавно, это буквально сценарий для SELinux, но его никто не осилил, хех. Терпим.

РЕШЕТО!

Вы всё ещё храните ключи SSH на диске? За вами уже идут!

Не нашел иконку для решета

Сначала 90% всех модных инструментов (включая сраный безопасный Раст) официально устанавливаются через:

curl wetpussy.sh | sh

, а потом удивляются, что половина репов заражена. Я предполагаю, что эта «культура разработки» пришла с Макоси – это там принято просто запускать всякую фигню с интернета, ничего не проверяя. У любого опытного пользователя Линукс от этого глаза на лоб полезут.

Вы всё ещё храните ключи SSH на диске? За вами уже идут!

А как правильно?

на физическом в неизвлекаемом формате?

Т.е. просто, чтобы использовать компьютер, я еще и должен отстегнуть шекелей какому-нибудь Ubikey (или о чем речь идет).

ну я вот мало знаю, у кого на работе заставляют Yubikey пользоваться.

Обычно, перед подключением говорим «Бисмилла» и делаем коннект.

ну не обязательно дорогой yubikey покупать. Можно ведь купить smart card pgp в Европе за 10 долларов продавали раньше. Ну и обычный smart card ридер поддерживал, у нас в Казахстане сейчас много можно найти в связи с внедрением Егов и ключей на удостоверениях личностей лет 10 назад. Сейчас уже устаревшая техника.

А можно еще дальше пойти, взять и спаять свой NitroKey.

Ну можно не пользоваться, потом говорить, что ты не знаешь что произошло.

У меня все ключи с пассфразой.

мне обычно помогает команда

chmod 0600 $HOME/.ssh

перед уходом с работы.

Прям заставляют? А если хорошо подумать?

Вообще ИБ да, вводит изменения которые потом нужно включить в workflow, на это уходит время.

Но как правило количество действий не растёт, просто делаешь что-либо, немного иначе.

Кейлоггеры не отменили, вроде, пока.

Это какие-то фантазии в вакууме, я не знаю людей, которые так делают. Самый простой и практичный способ - засунуть ключи в keepassxc, там можно ограничивать доступ приложений. И никакие юбикеи и пассфразы не нужны.

Забавно, это буквально сценарий для SELinux, но его никто не осилил, хех. Терпим.

По факту, только не обязательно SELinux, но и любая другая технология для создания политик доступа или песочниц исполнения(от selinux до bwrap и докеров)

Вообще, вопреки всеобщему заблуждению, что линукс — безопасная ОС, это не так. И даже можно аккуратно сказать, что это самая НЕбезопасная ОС, при отсутствии должного ухода и понимания процессов

Ворота в чистом поле

Кейлоггеры не отменили, вроде, пока.

Я не уверен, что это прям легко работает в Гноме с Вейландом.

А чё за Telnyx такой?

chmod 0600 $HOME/.ssh

Зловреды запускаются от твоего же пользователя.

Слышь, ты, опытный пользователь, а сам Линукс и все апликухи ты не из интернета запускаешь? Тебе его спецпочтой в опечанном контейнере привозят по охраной взвода автоматчиков?

Telnyx VoIP — это облачное голосовое решение, которое позволяет компаниям совершать и принимать традиционные телефонные звонки непосредственно на response.io. Такая интеграция позволяет командам управлять голосовыми разговорами и каналами обмена сообщениями в едином рабочем пространстве.

Линукс тут не при чем. Питон с уязвимым модулем прекрасно работает и на виндовс.

Не нашел иконку для решета

Держи #

Линукс тут не при чем. Питон с уязвимым модулем прекрасно работает и на виндовс.

Про Windows ничего не знаю, там вообще система broken by design.

В macOS из коробки есть TCC (Transparency, Consent, and Control), который запрещает доступ к чувствительным файлам и директориям, пока юзер явно не разрешит.

Спасет ли это от конкретного «решета»? Если юзер запустит приложение со скомпрометированной библиотекой - получит запрос от системы на чтение домашней директории. Если проявить бдительность, то можно заподорзить что-то неладное, и нагуглить эту новость.

В линукс дистрибутивах, из коробки, таких механизмов нет.

В виндовс есть Controlled folder access в WIndows Defender. Там даже логи можно писать, что апликуха пыталась делать.

Вы всё ещё храните ключи SSH на диске? За вами уже идут!

Нет, мы их на промокашке записываем. Гусиным пером, симпатическими чернилами... ;P;))

А потом говорят, что OpenBSD-шные pledge и unveil не нужны…

ты забыл про мякиш из хлеба? где чернила будут пока ты пишешь письмо.

Также не забудь про орфографический стиль присущий временам писем из гусиного пера.

Например все сообщения должны начинаться с " С Божей милостью, в году 2026 в правление (вставьте ФИО своего первого руководителя вашей страны) пишу этот комент."

Что еще за мякиш с чернилами?

Не нашел иконку для решета

Попробуй: ፨

Или ꙮ

В macOS из коробки есть TCC

В Linux есть SELinux, который большинство дистрибутивов позволяет добавить, но по умолчанию не включает.

Владимир Ильич так разыгрывал тюремных надзирателей. Все смиялис!

Юзали telnyx, и почему-то я не удивлён. Весь провайдер это такая temu/dx-версия twilio

Что еще за мякиш с чернилами?

Про Ленина тикторы уже не знают ? :)

В школе такое не рассказывали. А в чем шутка?

В люниксе регулярно находят уязвимости повышения привелегий — доступ к шелу локального пользователя де-факто интерпретируется как root доступ многими провайдерами.

Да, нужна тотальная изоляция, только где ж её взять, если даже докер-контейнера у нас часто запускаются как root.

Да, нужна тотальная изоляция

А уж какой визг у нас стоит в любой новости про Вейланд или Флетпак..

А уж какой визг у нас стоит в любой новости про Вейланд или Флетпак..

Скажем так: удалённое выполнение в контейнере немного менее опасно, чем удалённое выполнение вне онного. В иксах любое приложение может читать любые нажатия клавиатуры любой другой программы - вейленд блокирует некоторые векторы атаки, но другие остаются без изменений. Да, если хочешь безопасности, то нужно фундаментально выстраивать систему под эту безопасность.

Linux вообще никогда не был ориентирован на безопаность. Совсем вообще. Потому хотеть безопаности на линуксе достаточно странно.

Ну то есть как и ещё пара тысяч облачных VoIP. Он чем-то известен или как-то особо популярен что это прям событием оказалось?

только не обязательно SELinux

Прост из всех собратьев он вроде самый проинвестированный, умеет во все, но никто не умеет в него.

Прост ну совсем для студента классическая задача - приложение пусть сидит в myshittyapp_t, оно полезло к ключам, которые ssh_t, оп-оп по рукам, процесс в ступоре \ убит к едреной фене.

Если когда-нибудь вернусь к давнему проекту университетского курса по SELinux - прям такое приложение для лабораторки напишу, хех.

пришла с Макоси – это там принято просто запускать всякую фигню с интернета

Как будто больше на винду похоже

Вот да, раст называют безопасным, а у rustup чёрным по белому написано пихнуть вывод curl в sh. До сих пор не понимаю, почему так...

Вот да, раст называют безопасным, а у rustup чёрным по белому написано пихнуть вывод curl в sh. До сих пор не понимаю, почему так...

Для ещё более безопасной безопасности... ;)

Ну уж не знаю насчет всякой фигни. На homebrew и macports пока никто не жаловался. Возможно, только пока...

Ну так кейлоггер на линухе на все клавиатуры еще написать надо умудриться :)

Вот да, раст называют безопасным, а у rustup чёрным по белому написано пихнуть вывод curl в sh. До сих пор не понимаю, почему так…

Ну ты типа доверяешь разработчикам…

И letsencrypt-у, и отсутствию недобросовестных AS во всём мире.