Door Anoniem: Prachtig, maar ik ga gewoon door zoals ik altijd al doe. Gewoon normaal doen, is meer dan genoeg,

Door Anoniem: En wat is het functionele verschil tussen iets als Kalilinux wat al bekendheid heeft backing vanuit cybersecurity sector.

Gebaseerd op Debian Trixie dus work in progress testing branch niet een stable release
Allemaal zogenaamd zelf geschreven software maar geen enkele informatie erover behalve een naam voorbeeld Securonis Data Destroyer. Ok leuk wat doet het, wat voor type data deletion wordt gebruikt. Zijn er onafhankelijke audits die bevestigen dat het doet wat het moet doen. Waar zijn de handleidingen van de tools voor correct gebruik.

Ook handig dat de gekozen naam bijna overeen komt met een andere secury software bedrijf securonix waardoor als je nu zoekt je eerst door hele lijsten van hun zoekwoord resultaten mag scrollen. En kan je nu al zeggen nul informatie over de software zelf.

Site resources werken niet meeste paginas eindigen op /# op de site.
Als we kijken naar de geschiedenis is de eerste marketing mention versie 2.2 en nu maand later zitten we op beta 4.0?
Nul bug reports sinds release maand geleden https://github.com/Securonis/issues
Hoe kan dat als je van versie 2.2 naar 4 gaat dat er geen enkele commits zijn in je issue tracker.
Ondertussen wel info via /release-notes.html op de site maar dat zegt ook niks als je dingen post als "Bug Fixes
- Minor bugs in some tools have been fixed."

En dat is een trent in alle code door die dev geschreven https://github.com/root0emir?tab=repositories
Hier pxrtalcrypt wtf het ook mag zijn https://github.com/root0emir/PxrtalCrypt
Niks nada noppes 3 maanden geleden opgezet en niks mee gedaan. Dan waar de F gebruik je git voor als je niet commit maar wel in je distro intregeert.


Dit straalt nul vertrouwen uit nog iemand die weet wat hij doet qua zo een project leiden. Heb het niet over coderen dat kan die gene vast en zeker al mag je afvragen hoe een single developer een complete security suite kan schrijven zonder gewoon dingen te renamen. Maar software releasen en maintainen is wel wat meer dan coderen zeker als je het promoot als privacy en security gericht. En we hebben het niet over enkel de distro maar ook al die afzonderlijke ongedocumenteerde tools van de dev. Nogal belangrijk als je dingen als een eigen geschreven wachtwoord manager intregeert of data wiping ondersteund.


Bij dit soort zaken moet je niet uitgaan wat de developer zegt maar wat de developer doet. Het kan nog zo mooi gepresenteerd worden als je dieper gaat kijken dan zie je de scheuren in het verkoop praatje.

Door Anoniem:

Geef zo'n project tijd....

Hebben ze wel een About page met info over de mensen achter het project? Want dan kun je de personen in kwestie onderzoeken, hun achtergrond enzovoort

Dit is zeer belangrijk tegenwoordig, dat mensen wiens producten je gebruikt, zich niet verstoppen.

Maar goed, zo'n project kan natuurlijk ook een honeypot zijn, zoals we vaker gezien hebben. Oppassen dus.

Maar ook bij Tails of Tor kunnen infiltraten mee gaan coden op github. Dit soort dingen hebben we ook vaker gezien. En dan per ongelijk iets een bug submitten waar het backend team dan misbruik van maakt.....

Soms vraag ik me af hoeveel staats spionnen van allerlei landen gewoon als 'nerd coder' op github bezig zijn om met meerdere andere 'nerd coders' een project te infiltreren , voor insecure doeleinden........ wel eens over nagedacht?

Men vertrouwt die nerd coders namelijk blindelings....de ideale menselijke attaque vector

root0emir
Founder and developer of the Securonis Linux project. A system and network administrator, as well as a blue team cybersecurity specialist

Door Anoniem:
Nee niks één dev geen collabs en veel te veel zogenaamde projecten voor 1 iemand op zijn bord te hebben als je naar de github kijkt. 32 nagenoeg lege repos Heeft verder een repo met een porfolio html pagina daar staat basis nonesense in maar geen enkele project of werkervaring genoemd. Verder geen naamsbekendheid zover ik OSINT datamining heb laten lopen via Maltego.

Project tijd geven is iets wat je doet als je spreekt over een eerste release dit is zogenaamd versie 4. Als je productie gaat da zorg je dat je documentatie voor die tijd in orde is. Dit zijn geen projecten waar je slordig mee kan zijn.


En over spionnen nieuws niet gevolgd van XZ Utils in 2023?
https://daily.dev/blog/xz-backdoor-the-full-story-in-one-place

Dat is inderdaad geen fictie dat is waar we absoluut beducht op moeten zijn en waarom het van belang is dat software documenteerd welke libraries, applicaties, scripts er standaard inzitten die niet van hun zelf zijn. Dus nee ik vertrouw dit soort devs niet op hun woord en de data die er wel is geeft geen enkele reden om voordeel van twijfel te geven.

Door Anoniem:
Helaas is mijn vertrouwen in de gemiddelde "cybersecurity specialist" niet erg hoog.

Hun firewall script is in iedergeval compleet gekopieerd zonder attributie en onder een nieuwe licensie (in streid met de orignele licensie).
https://github.com/Securonis/Seconionis/blob/main/usr/bin/seconionis.sh (gestolen onder MIT)
https://github.com/BlackArch/torctl/blob/master/torctl (orgineel GPLv3)

Door Anoniem:
XZ is een ander verhaal, dat was een hack van een FTP server toch?

Ga er maar vanuit dat veel "leuke nerds met github en een youtube account" gewoon als spion zijn ingelijfd en dan meehelpen coden aan een leuk 'privacy project' in de opensource wereld.......

Vervolgens vertrouwen op de binaries en denken dat je "open source draait" terwijl je zelf 0,0 hebt gecompilerd, laat staan broncode geaudit. Blind vertrouwen heet dit.

Commercieel gezien is opensource ook niet handig, want hobbyisten prutsen vaak wat in elkaar, en zonder SLA heb je 0,0 garantie of software ondersteuning.

Opensource is gewoon een kreet geworden, een soort buzzword van moderne hipsters, zonder enige echte waarde. De echte opensource tijd lag bij het uitkomen van GNU Utils en Richard Stalman (tegenwoordig een graag geziene gast op Russia Today) in de tijd dat UNIX duur was, je had namelijk licenties nodig voor tal van unixen ,van IBM tot SCO Unix

Tegenwoordig is Opensource ingelijfd door de giganten, iedereen zit op Github, Github is van Microsoft.

In hoeverre kun je degene die servers van Linux distributies beheren nog vertrouwen? Even een RPM, PKG of DEB downloaden? In het kader van spionnen, die waarschijnlijk ook als groepje bepaalde Linux distributies zijn gaan "mee helpen ontwikkelen", waarschijnlijk al lang geleden........

Wat ik wil zeggen is spionnenwerk gaat stiekemer dan XZ wat gewoon een backdoor was , via een hack ingebracht, en afgeschoven op Chinezen

Misschien dat Gentoo Linux nog te vertrouwen is? Maar van Arch haal je ook binaries op ergens anders.... je verlegt je vertrouwen naar onbekende hobbyisten waarvan je nooit kunt controleren of die niet ergens zijn ingelijfd ooit

En de kans dat iemand met echte ICT security kennis niet iets met veiligheidsdiensten doet of deed is zeer zeer klein.... probeer maar eens echt autonoom of zelfstandig te zijn, of echt iets goeds te doen voor "de wereld"... je wordt dan kapot gemaakt, systematisch gepest, of geestelijk gesloopt........ de realiteit zien mensen op dit forum ook niet onder ogen.

Spies everywhere

Door Anoniem:
Nee XZ Utils was onderhevig aan een infiltrant die zich als code maintainer voordeed bij een overwerkte developer en dus rechten had voor commits na vertrouwen op te bouwen. Toen bij toeval was een Microsoft engineer Andres Freund erop gestuit dat er voorbereidingen voor een backdoor waren ingezet. Dit ontdekte hij omdat de timing van bepaalde acties veel afweken en daar de oorzaak van wou achterhalen en dat bleek te zitten in slecht uitvoerende stukjes code die geen enkel doel hadden in lijn met wat XZ Utils voor bedoeld is. We waren dagen of max weken af van een release met een functionerende backdoor en dat is toen een halt geroepen door waakzaamheid van Andres Freund.

We zijn toen door de oog van de naald gegaan omdat XZ Utils in heel veel server infra zat alsmede firewalls. Er is toen een grootschalige OSINT campagne opgezet alsmede officieele onderzoeken en de conclussie was dat het staats gesponsored moet zijn geweest met jaren voorbereiding werk. Sindsdien geldt dat als een wakeup call om nog voorzichtiger te zijn met opensource libraries en auditten wie code maintained.

Ook reden waarom ik zo fel ben tegen deze zogenaadme distro dev die blijkbaar al MIT code heeft gejat en uitgebracht onder eigen naam. Waar rook is, is vuur.

En nee ik denk niet dat we een XZ utils situatie hier hebben eerder een gast die geen enkel verstand van projecten leiden en onderhouden heeft niet geeft om auteursrecht of er niet van bewust is (laatste lijkt me niet plausibel) En zich voordoet als iemand met meer kennis dan werkelijk heeft.