
<div dir="ltr">pwntastic, even.<div><br></div><div>-- rec --</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Dec 16, 2020 at 11:07 AM Marcus Daniels <<a href="mailto:marcus@snoutfarm.com">marcus@snoutfarm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Yes, it sounds like they were methodical and patient.   Impressive work.<br>

<br>

-----Original Message-----<br>

From: Friam <<a href="mailto:friam-bounces@redfish.com" target="_blank">friam-bounces@redfish.com</a>> On Behalf Of u?l? ???<br>

Sent: Wednesday, December 16, 2020 7:06 AM<br>

To: FriAM <<a href="mailto:friam@redfish.com" target="_blank">friam@redfish.com</a>><br>

Subject: Re: [FRIAM] 5 agencies compromised<br>

<br>

Well, it's one thing to simply screw up a dependency. Any programmer whose participated in a large project has done that at one point or another. But the interesting quote is this:<br>

<br>

"Multiple trojanzied updates were digitally signed from March - May 2020 and posted to the SolarWinds updates website, ..."<br>

<br>

They were digitally signed. Either they were legitimately signed and the vector is the typical one (humans [ptouie]) or the bad actor (not necessarily human) harvested a secret key and illegitimately signed them. And that's just the signing part. They also had to *post* them, which may well be the easier part. But it still had to be done.<br>

<br>

How did they 1) sign the packages and 2) post the packages?<br>

<br>

<br>

On 12/15/20 12:23 PM, Prof David West wrote:<br>

> Web-based (most software) systems are a complicated Jenga tower of <br>

> dependencies, each one of which provides an access point for <br>

> introducing malware, trojans, viruses, etc. The story of Azer Koçulu <br>

> and how his removal of eight lines of code (left-pad) brought down <br>

> major Web actors and sites<br>

> <br>

>     <br>

> <a href="https://qz.com/646467/how-one-programmer-broke-the-internet-by-deletin" rel="noreferrer" target="_blank">https://qz.com/646467/how-one-programmer-broke-the-internet-by-deletin</a><br>

> g-a-tiny-piece-of-code/<br>

<br>

<br>

--<br>

↙↙↙ uǝlƃ<br>

<br>

- .... . -..-. . -. -.. -..-. .. ... -..-. .... . .-. .<br>

FRIAM Applied Complexity Group listserv<br>

Zoom Fridays 9:30a-12p Mtn GMT-6  <a href="http://bit.ly/virtualfriam" rel="noreferrer" target="_blank">bit.ly/virtualfriam</a> un/subscribe <a href="http://redfish.com/mailman/listinfo/friam_redfish.com" rel="noreferrer" target="_blank">http://redfish.com/mailman/listinfo/friam_redfish.com</a><br>

archives: <a href="http://friam.471366.n2.nabble.com/" rel="noreferrer" target="_blank">http://friam.471366.n2.nabble.com/</a><br>

FRIAM-COMIC <a href="http://friam-comic.blogspot.com/" rel="noreferrer" target="_blank">http://friam-comic.blogspot.com/</a> <br>

- .... . -..-. . -. -.. -..-. .. ... -..-. .... . .-. .<br>

FRIAM Applied Complexity Group listserv<br>

Zoom Fridays 9:30a-12p Mtn GMT-6  <a href="http://bit.ly/virtualfriam" rel="noreferrer" target="_blank">bit.ly/virtualfriam</a><br>

un/subscribe <a href="http://redfish.com/mailman/listinfo/friam_redfish.com" rel="noreferrer" target="_blank">http://redfish.com/mailman/listinfo/friam_redfish.com</a><br>

archives: <a href="http://friam.471366.n2.nabble.com/FRIAM-COMIC" rel="noreferrer" target="_blank">http://friam.471366.n2.nabble.com/<br>

FRIAM-COMIC</a> <a href="http://friam-comic.blogspot.com/" rel="noreferrer" target="_blank">http://friam-comic.blogspot.com/</a> <br>

</blockquote></div>