#HaftalıkGündemeMalzeme
XZ Attack
Haftalık Gündemi biraz geriden takip ettiğim için kaçırmış olabilirim ama bu konu haftalık gündem de konuşuldu mu acaba? Ben Mart ayına baktım göremedim listelerinde. Konu aslında LP seveceği cinsden, hep bahsettiği OpenSSL kitaplığının sorun oluşturma ihtimaline benzer bir durum. Konu Mart ayında çıktı bu arada ama gündem olmamış fazla yerli basında.
Konuyu anlatan bir kaç girdi:
https://eksisozluk.com/entry/163344146
https://eksisozluk.com/entry/163174476
Bu arkadaş da bir YouTube shorts çekmiş özet niteliğinde ama konu çok daha derin.
https://www.youtube.com/shorts/MMWLHKy5w2Q
Düzenleme, Konuya çok detaya girilmeden değinilmiş, @cozalp ve LP Bilgilendirdi:
https://www.youtube.com/watch?v=egeKqJEj4wk&t=370s
Bence sırf bu konu hakkında ya da bu tarz durumları da içerecek şekilde, OpenSource camiyasından birisi davet edilip, Muhabbet programı çekilebilir.

Çok detayına girmeden konuşuldu geçen haftalarda.
Ben henüz bu bahsi geçen gündem değerlendirmesini izlememiştim (Geriden geldiğim için) ama içeriğine baktığımda XY ibaresini görememiştim. Arkadaşlar linklemişler, siz de değinmişsiniz, sizin yorumunuzu çok merak ediyordum şimdi dinliyorum. Teşekkürler
https://www.youtube.com/watch?v=egeKqJEj4wk&t=370s
Linkleme için teşekkürler. Ben Mart ayı içeriklerinde "XY attak" yada "XY" sözü geçmişmi diye aratmıştım, göremeyince yazmak istedim. Şöyle konu başlığı verilmiş: "Felakete dönüşebilecek bir güvenlik açığı, keşfedildi ve kapatıldı." Keşke "güvenlik açığı (XY atak) , keşfedildi ve kapatıldı." şeklinde yazılsaymış.
Düzenleme, Konuya çok detaya girilmeden değinilmiş, @cozalp ve LP Bilgilendirdi:
https://www.youtube.com/watch?v=egeKqJEj4wk&t=370s
Bence sırf bu konu hakkında ya da bu tarz durumları da içerecek şekilde, OpenSource camiasından birisi davet edilip, Muhabbet programı çekilebilir.
#xzutils FLOSS camiasında baya gündem olup tartışma döndü ama olay kapandıktan bir hafta sonra haftalık gündem değerlendirmesinde yer verildi. Ya gözden kaçtı veya çok önemli bulunmadı diye tahmin ediyorum. #xz #liblzma
Valla biz kütüphaneleri şakşak çekip kullanıyoruz içerisinde bir tane açık varsa geçmiş olsun 😀 Daha önce de demiştim açık kaynak diye çok da güvenmemek lazım her şeye. Kaç kişi inceleyecek o binlerce kodu. Burada da kıl bi adamın 0.5sn daha geç çalıştı bu kod niye lan diye keyfi tutmasaydı uzun bi süre bulunmazdı bu açık.
@agab o da zaten bir ayda mı ne fark edildi
@ugurcansayan @agab Burada ciddi emek var ama. Adamlar ilmek ilmek dokumuşlar bu işi, 3 yıl 3 farklı karakter yaratıp işi yavaş yavaş işlemişler. 3 yıllık emek verip 1 ay bile doğru düzgün kullanamadan tespit edilmesini bence hiç beklemediler, yıllarca kullanılacak bir açık diye düşünmüş bile olabilirler. Android ve MacOS bile girebilirdi bu açık 2+ yıl aktif kalsaydı.
@ufkabakan benim en çok ilginç bulduğum nokta, açığın kaynak kodunda görünmemesi ama derlendikten sonra test dosyasıyla ortaya çıkması. Sosyal mühendislik taktiklerine artık alıştık bence. Gerçi bunun da hâlâ ne kadar etkili ve tehlikeli bir yöntem olduğunu hatırlatmakta fayda var.
https://youtu.be/9vHglDkhlLg
yeni video geldi
https://www.youtube.com/watch?v=9vHglDkhlLg&t=645s yusuf ipek biraz detaylı anlatmış
https://teknoseyir.com/durum/1710280#comment-6122994
@ozturka ya bir üstte paylaştım desene durum atmışsın hahahahha