חודש: כ״ה באדר ב׳ ה׳תשפ״ב (מרץ 2022)

28.3.22 חדשות

לינוקס

רשימה של הפצות למחשבים ישנים.

הפצות לקריאה בלבד. בדומה למכולות, גם בהן אי אפשר לעשות שינויים. רעיון מעניין.

קוד פתוח

Shell חדש שמשלב בין פייתון לבאש.

חלופות ל- net-tools (למשל ifconfig).

השוואה בין Chrome ל-Chromium.

הפצת לינוקס מתגלגלת מבוססת אובונטו.

אבטחת מידע

ה- FCC הוסיף את קספרסקי לרשימת הספקים המסוכנים לביטחון הלאומי של ארה"ב.

קבוצת ההאקרים שפרצו למיקרוסופט שבוע שעבר, נתפסה בבריטניה.

OpenSource.com פירסמו מדריך להטמעת DevSecOps.

כללי

גוגל תכניס שינויים ל- Google Analytics כדי שיהיה תואם עם GDPR. לא ברור אם הרגולטור האירופאי יאשר שהשינויים האלו מספיקים. יהיה מעניין.

פוסט על הבעיות של מערכת הבעיה חלונות. בשנים האחרונה מדובר על מערכת הפעלה שמיועדת להגדיל את ההכנסות של MS מפרסומות ושירותים נוספים.

חנות האפליקציות Google Play תתמוך בשירותי תשלום צד שלישי כתוצאה מדרישות של רגולטורים.

הצעת חוק באיחוד האירופאי תכריח תוכנות מסרים מיידיים לאפשר לשלוח הודעות ממשתמש של תוכנה אחת למשתמש של תוכנה אחרת. בנוסף החוק כולל עוד כמה סעיפים מעניינים כמו חיוב יצרנים לאפשר הסרה של אפליקציות ותוכנות שמותקנות כברירת מחדל.

מלחמת רוסיה אוקראינה

אנונימוס פרצו לבנק המרכזי של רוסיה וגנבו 28GB של מידע.

27.3.22 חדשות

לינוקס

האם bcachefs תצליח להיכנס לליבה הפעם?

קוד פתוח

10 דברים שאפשר לעשות לינוקס ואי אפשר לעשות ב- WSL.

קורא ה- PDF של KDE, הידוע בתור Okular, קיבל אישור שהוא עומד בתקן קיימות סביבתית.

שפה חדשה: OpenCOBOL. נועדה להחליף את קובול.

חברת Snyk מתריעה על השימוש שעשו מפתחי חבילת node-ipc כדי לגרום נזק למפתחים ברוסיה או בלארוס. האפשרות הזו מסוכנת מאוד לקוד הפתוח. מדובר על שימוש בהרשאות המפתח שניתנו כדי לשפר את התוכנה על מנת לקדם אג'נדות אישיות. כרגע מדובר בפגיעה ברוסיה ובעלות בריתה. מעניין מי זה יהיה מחר?

אבטחת מידע

חולשה חדשה ב- openssl. נא לשדרג ל- 1.1.1n.

מפתחים שכחו לסגור גישה למסדי נתונים של סביבות פיתוח. 2100 מסדי נתונים.

עוד 14 חולשות הצטרפו לרשימת החולשות הנפוצות של CISA.

מדריך של CISA וה- NSA להקשחת k8s.

כתבת דיעה לפיה השימוש במתודלוגיות פיתוח של קוד פתוח, בעיקר בדיקת תוכנה בפרויקטים גדולים, יכולה לעזור במלחמה נגד כנופיות הכופר. הכותב מתייחס בעיקר למערכות ניטור.

איך לוודא שההזדמנות הממש מגניבה שקיבלתם במייל או בהודעה היא אמיתית ולא הונאה.

60% ממתחזים במיילים מזייפים כתובת של מיקרוסופט כדי לרכוש את אמונו של הקורבן.

הזכויות לקיום כנס RSA נמכרו. מעתה חברת שירותי אבטחת המידע RSA ומפעילת הכנס יהיו שתי יישויות שונות.

על תפקידם של בוטים חכמים בתקיפות שבהן התוקפים מנסים לשכנע את נותן השירות שמדובר על בן אדם ולא על בוט. העלייה בשימוש במטהוורס, תאפשר לתוקפים לאסוף יותר מידע על משתמשים ולהתחזות אליהם.

סקר מראה שחצי מהארגונים משתמשים במערכות WAF במקום לתקן חולשות. נשים לב שבסקר השתתפו טיפה פחות מ- 150 ארגונים. ועדיין אני חושב שהוא מדויק. בעיקר בארגונים שבהם מערכות המידע הן מערכות תומכות ולא הליבה של העסק.

סקר שכלל 500 ארגונים בארה"ב ובריטניה מצביע שרק 30% מהארגונים ערוכים להתמודדות עם איומי הסייבר החדשים. האיומים הללו מכונים HEAT. מדובר על מתקפות שנועדו לפרוץ לרשת הארגונית מבלי לעורר חשד של מערכות ניטור.

התראה של CISA נגד פריצה ללווינים. לא כתוב בפרסום מי הם הגורמים שמתכוונים לפרוץ.

מתקפה חדשה: BITB. דפדפן בתוך דפדפן. אתר אמין ולגיטימי פותח חלון הזדהות שמתחזה לאתר לגיטימי.

עוד 200 חבילות זדוניות ב-NPM. נראה לי שאפשר לסכם ש-NPM היא פלטפורמה פרוצה.

או שחברת נסטלה נפרצה או שהייתה לה דליפה. תלוי את מי שואלים.

התראה של CISA על אפשרות שרוסיה או תוקפים שמזוהים איתה, יתקפו חברות אנרגיה אמריקאיות.

כללי

פייסבוק ספגה עוד קנס על הפרת GDPR. הפעם מהרגולטור באירלנד שידוע כמקל אז רק כ-20 מיליון דולר. אבל ייתכן שהרגולטור של האיחוד יתערב, כמו במקרים קודמים והקנס יקבל עוד אפס בסוף.

מדריך להקמת שרת אחסון אתרים ביתי.

בשעה טובה בית משפט בארה"ב דרש מחברה שפרסמה שהמוצר שלה קוד פתוח למרות שהוא לא להסיר את הפרסום.

הרגולטורים באיחוד האירופאי מזהירים מפני השקעה במטבעות וירטואליים. למה? כי אין עליהם רגולציה. למה אין עליהם רגולציה באיחוד? כי האיחוד לא מכיר בהם. משעשע למדי.

וירוס חדש שמתקין את chocolatey (מנהל חבילות קוד פתוח לחלונות), כדי שזה יתקין את pip ואז כמה חבילות פייתון שהווירוס צריך. רעיון מעניין.

מלחמת רוסיה אוקראינה

15.3.22 חדשות

לינוקס

מזל טוב להפצת Arch שחוגגת 20 שנה היום.

קוד פתוח

אתמול היה יום הפאי. הנה 22 פרויקטים של רספברי פאי לנסות ב- 2022.

אמולטור (מדמה) ל- MSX ללינוקס. MSX היא פלטפורמת משחקים משנות ה-80.

תוכנות לכתיבת יומן.

ReactOS התחילה לתמוך בריבוי ליבה.

נכשל הניסיון של רד האט להשתלט על האתר WeMakeFedora.org שמתוחזק על ידי מתנדבים של פדורה.

אבטחת מידע

כתבה עם נקודות לבדיקת חדירות של סביבות בענן Azure.

AMD הוציאה תיקון לווריאנט של Spectre שפורסם שבוע שעבר.

מאמר על הקרבות במרחב הקיברנטי בין קבוצות סייבר שתומכות באוקראינה לקבוצות שתומכות ברוסיה. פורומים בנושא חוסמים משתמשים מהצד השני. קבוצות תוקפות תשתיות חיוניות של מדינות שתומכות בצדדים הלוחמים.

על פיתוח ממשק משתמש נגיש, שימושי למשתמשים ומאתגר לתוקפים.

ביום שני אתרי המדינה חוו מתקפת סייבר מסוג DDoS.

חברת GitGuardian ניתחה את המידע שדלף מסמסונג במתקפה האחרונה ומצאה שדלפו גם סיסמאות לשירותים חיצוניים. כלומר תוקף יכול להשתמש בסיסמאות האלו כדי לגשת בשם סמסונג לשירות כמו גיטהאב ולדחוף קוד זדוני לאחת האפליקציות שלהם.

דוח שמסכם את כל התקיפות מסוג כופרה ברבעון האחרון של 2021.

חוקר השתמש בנוסחה של המתמטיקאי הצרפתי פרמה (חי בחצי הראשון של המאה ה-17) כדי לפרוץ הצפנת RSA שבוצעה על ידי ספריית SafeZone. ממה שאני מבין החולשה נוגעת לשני המספרים הראשוניים שמשמשים ליצירת הצופן. הם אמורים להיות רנדומליים או לפחות ההפרש ביניהם אמור להיות רנדומלי. בספרייה של SafeZone ניתן לחזות את ההפרש ולכן ניתן להשתמש בנוסחה של פרמה כדי למצוא את המספרים הראשוניים.

כללי

בריטניה הכריזה שכספומטים שממירים ביטקוין למזומן ולהיפך אינם חוקיים.

סקירה של PDP-11.

מדריך לכתיבת דרייבר ל- Unix V6 (מ-1975).

גוגל סגרה את Vanced. אפליקצייה ליוטיוב בלי פרסומות.

11.3.22 חדשות על המלחמה בין רוסיה לאוקראינה

אבטחת מידע

חשש שרוסיה תשתמש בכופרות כדי להזרים כסף למדינה ולעקוף את הסנקציות.

אנונימוס או קבוצות שמזדהות איתו פרצו ל-90% ממסדי הנתונים החשופים ששייכים לארגונים רוסיים.

קיימת מערכה קיברנטית בין רוסיה למדינות באירופה שעוזרות לאוקראינה.

השלטונות ברוסיה הקימו רשות למתן סרטיפיקאטים (CA) כדי להתמודד עם הסנקציות.

כללי

הקרמלין יאפשר לחברות רוסיות להשתמש בתוכנות פיראטיות כדי להילחם בסנקציות.

קבוצות האקרים לוקחות צדדים במלחמה בין אוקראינה לרוסיה מה שעשוי להפוך למלחמת סייבר גלובאלית.

רד האט, SUSE ו- Docker הפסיקו למכור לרוסיה.

11.3.22 חדשות

לינוקס

קוד פתוח

סקירה של תוכנות קוד פתוח שיכולות לעזור לסטודנטים ותלמידים.

הסקר השנתי של רד האט מראה ש-89% ממנהלי ה-IT חושבים שתוכנות קוד פתוח מאובטחות באותה מידה כמו קוד סגור.

אבטחת מידע

חברת סמסונג נפרצה וקוד מקור שקשור לגלקסי נגנב.

חולשה ב- Azure Automation מאפשרת לתוקפים להשתלט על חשבונות של אחרים.

7 חולשות אבטחה קריטיות שמשפיעות על 150 מכשירי IOT, ציוד רפואי ומכשירי תפעול תעשייתיים של כ-100 יצרנים שונים.

חולשה קריטית ב- cgroups מאפשרת לתוקף לצאת מהמכולה ולהגיע לשרת המארח.

16 חולשות קריטיות התגלו בקושחה של מחשבי HP Inc.

קבוצת תקיפה שמזוהה עם הממשל הסיני פרצה למערכות מידע של שש מדינות בארה"ב.

סימנים של מנהל אבטחת מידע כושל.

וריאנט חדש של Spectre עוקף את ההגבלות של אינטל ו-ARM.

התגלו חולשות במנהלי חבילות (פייתון, javascript וכו').

כללי

7.3.22 חדשות שקשורות למלחמה באוקראינה

קוד פתוח

מיקרוסופט תפסיק למכור שירותים חדשים לרוסיה. לא בטוח אם זה טוב או רע.

האם פדורה צריכה לחסום רוסים מלהשתתף בפרויקט? הם עשו את זה עם אירן מסתבר.

אבטחת מידע

תוקפים פרצו לאתר סוכנות המחקר בחלל הרוסית (IKI). הודעה שהושארה באתר מייחסת את התקיפה לאנונימוס.

חשבון טוויטר שמוקדש למעקב אחרי מטוסים פרטיים של אוליגרכים רוסיים.

האקרים שמזדהים עם אוקראינה מנסים לפגוע ב- GLONASS (ה- GPS של רוסיה).

עיתון אוקראיני פרסם פרטים אישיים של 120,000 חיילים רוסים שנלחמים בפלישה.

כללי

שני הצדדים הלוחמים משתמשים בטלגרם. זה מעניין כי השמועות אומרות של-FSB יש גישה בלתי מוגבלת לשרתים של טלגרם.

רוסיה חסמה את הגישה לפייסבוק.

על צבא ההאקרים המתנדבים של אוקראינה.

המלחמה בין רוסיה לאוקראינה

סייבר כמכה מקדימה

אם כבר פוסט נפרד, בואו נסתכל על הסוגייה של סייבר כמכה מקדימה. שבועיים לפני פריצת המלחמה במרחב הפיזי, רוסיה ביצעה מתקפת סייבר נגד אוקראינה. בניגוד למה שדווח בתקשורת, אני מבין ממקורות שונים שההשפעה הייתה קשה יותר: שירותי ממשלה הושבתו כמעט במלואם למשך כמה ימים.
כלומר, מתקפת סייבר יכולה להחליף מתקפה פיזית. לאור חולשת הצבא הרוסי, נראה שהייתה לפוטין איזו תקווה שהמתקפה תעשה את זה.
נשים לב שזה נכון גם למתקפה אווירית. כרגיל, צריך לדעת לתכנן אותה כמו שצריך. נניח ישראל בלבנון ב-2006 היא דוגמא לאיך לא מתכננים מתקפה אווירית שתחליף כניסה קרקעית.

אבל עצם קיומה של המתקפה המקדימה, מנעה מפוטין להשתמש בסייבר שוב כמכה מקדימה, כמו שצבאות משתמשים בהפצצת אווירית או בתותחנים כהקדמה למערכה. אז במקום, ביחד עם כניסת הכוחות הרוסיים לאוקראינה התבצעה מתקפת סייבר נוספת.

משחקים בתודעה

בטח שמתם לב שחברות וארגונים התחילו להחרים את רוסיה (מאסטרקארד, של ועוד). תופעה מעניינת למדי. אנחנו נוהגים להסתכל על חברות כמונעות משיקולים כלכליים בלבד והנה פה יש לנו תקרית. מה גם שחלק מהחברות האלו מנוהלות מארה"ב וארה"ב כרגע מראה חולשה. אני לא עוסק בפוליטיקה ולכן לא יכול לנתח את התהליך הזה והסיבות שלו. האם מדובר כאן על תגובה של ארגונים במערב לחולשת הממשלות במערב או שיש כאן משהו אחר?

אז לעניין התודעה, אני מניח ששמתם לב שכלי התקשורת במערב מציגים את כל מה שיוצא מכלי התקשורת ברוסיה כפייק ניוז? שמתם לב לחסימות של חשבונות פרו רוסיים או רוסיים רשמיים ברשתות חברתית?
נראה לי שיש כאן הנדסת תודעה כלשהי. כביכול בעידן המידע, שבו קשה לחסום אנשים מלהביע את דעתם, החבר'ה מראים לנו שיש לזה כלים. אני מוצא את התופעה הזו מעניינת. מעניינת מנקודת מבטי כחובב היסטוריה. מכל נקודת מבט אחרת היא מסוכנת.

7.3.22 חדשות

לינוקס

בשעה טובה ומוצלחת שפת C בליבה של לינוקס תשודרג לתקן C11 (היום היא עם C89).

על מה שקורה מאחורי הקלעים כשיוצרים פוד חדש ב- k8s.

קוד פתוח

4 רמות של בשלות התיעוד של תהליכי DevOps.

מספר מאמרים שה-FSF מימנו על Github Copilot.

סקר של Linux Foundation מצא את 1000 ספריות הקוד הפתוח הפופולאריות ביותר.

גרסה ראשונה של ליברה אופיס לדפדפן (עם web assembly).

פרויקט Chaos Mesh של CNCF יצא מהאינקובטור. הפרויקט נועד להעמיס תשתיות ענן כדי למצוא חורים במענה של הארגון.

Steam Deck הושק רשמית.

אלטרנטיביות קוד פתוח למיינקראפט.

מאז 2009 מיקרוסופט איבדה 60% מנתח השוק של מערכות ההפעלה.

האם OpenStack מתה? מסתבר שלא.

חלופות קוד פתוח ל- Google Analytics. שימושי למי שצריך תאימות ל-GDPR.

מאמר על התלות בתוכנה סגורה לאור המלחמה בין רוסיה לאוקראינה.

אבטחת מידע

חץ בן חמו כותב על הפריצה האחרונה ל- nvidia וההבטחות לעקוף את הגבלות על הכרייה.

משאבות עירוי שמחוברות לאינטרנט סובלות מחולשות קריטיות רבות.

הסאגה של הפריצה ל- nvidia נמשכת. הפורצים דורשים הסרה של קוד ה- LHR שפוגע בביצועי הכרייה בחלק מהכרטיסים.

לפי ארה"ב קושחה היא החולייה החלשה באבטחה. הגיע הזמן באמת שמישהו ידבר על זה.

נראה שפושעים אוספים מידע היום, גם אם הוא מוצפן, בידיעה שהמחשב הקוונטי יגיע בקרוב ויאפשר להם לעקוף את ההצפנה.

מחקר על הזמן הדרוש לפריצת סיסמאות. בקיצור: לפחות 11 תווים, סימן, אות גדולה, אות קטנה ומספרים.

דוח על רמת החשיפה של חברות אבטחת מידע לאיומים.

מדריך של ה- NSA להגנה על רשתות.

מזל טוב! רגולציה חדשה נולדה. תכירו את DORA. רגולציה של האיחוד האירופאי שנועדה להתמודד עם כופרות. הרגולציה מיועדת למוסדות פיננסיים בלבד.

דוח שנתי הרגלי הדיוג בשנה החולפת.

דוח חדש מראה שלא מספיק להדריך עובדים. צריך גם להטמיע מערכות.

מחקר חדש מראה שלמעלה מ-70% מאנשי ה- SOC חווים שחיקה.

CISA הוסיפה עוד 95 חולשות לרשימה שלה.

מתקפה על ספק אינטרנט לווייני בצרפת גרמה לניתוק של 9000 לקוחות באירופה.

כללי

כדי להתקין את חלונות 11 צריך חיבור לאינטרנט וחשבון של MS.

12 תוכנות להגנה על הפרטיות.

על שקיעתה ונפילתה של שפת Java.

גם למכשירי סמסונג גלאקסי יש אפליקציית מערכת שמאטה אפליקציות.

על המגמה להקטין את העובי של גאדג'טים טכנולוגיים והבעיות שלה.

מפתחי דפדפנים החליטו שהגיע הזמן לפתור את כל אותן בעיות תאימות בין דפדפנים.

5.3.22 חדשות

לינוקס

קוד פתוח

אבטחת מידע

על וקטור תקיפה חדש: קוד פתוח. על ידי החדרת קוד זדוני לפרויקטי קוד פתוח כדי לחדור למערכות של מי שמשתמש בהן.

מדיניות חדשה בארה"ב נגד פושעי סייבר: מנטרלים את האיום גם במחיר פגיעה ביכולת להביא אותם למשפט.

חוקרים מצאו דרך להוציא את מפתח ההצפנה מכופרת Hive.

אתר למכירת מטבעות קריפטוגרפיים שילם 250 אלף דולר עבור חולשת אבטחה שהתגלתה אצלו.

על עלילות משטרת ישראל והפגסוס. אני לא מאמין לדוח החקירה של הוועדה הממלכתית. אתם?

עוד 25 ספריות זדוניות התגלו ב- NPM.

מאז ה-23.2 האיחוד האירופאי עוזר לאוקראינה להתגונן מפני מתקפות סייבר. מעניין אם זו רק עזרה הגנתית או התקפתית?

תוקפים שכותבים וירוסים מנהלים מלחמות אחד עם השני. בין השאר דרך ספריות NPM זדוניות.

גיטהאב תאפשר תרומות למאגר הנחיות אבטחת המידע שלה.

קבוצות האקרים בוחרות צד במלחמה באוקראינה. מעניין.

וירוס חדש שמיועד להשתלטות על חשבונות ברשתות חברתיות משתמש בחנות האפליקציות של MS להפצה.

חוקרים מאוניברסיטת תל אביב מצאו דרך לעקוף את ההצפנה במכשירי סמסונג גלקסי.

רשות אבטחת המידע של האיחוד האירופאי הוציאה מסמך עם 14 המלצות בסיסיות לאבטחת הארגון.

מערכת קוד פתוח חדשה למעקב אחרי הרשת הארגונית. גם משמשת לעמידה ברגולציה.

כנופיית כופרה רוסית נפרצה אחרי שאיימה שתתקוף אם המערב יתקוף תשתיות ברוסיה.

מחקר חדש חושף את האיומים על מערכות לניתוח מידע של למידת מכונה.

פורסם הגיליון ה-137 של digital whisper.

מתקפת סייבר על שותפים וספקים של טויוטה ביפן גרמה לעצירת הייצור.

רשויות אירופאיות שהחליטו לסייע לפליטים אוקראינים הפכו למטרה.

בארה"ב עבר חוק שמחייב רשויות אזרחיות וחברות שמפעילות תשתיות קריטיות לדווח על כל פריצה ל- CISA תוך 72 שעות.

חוקרים מצאו חולשה בספריה של MS שמממשת הצפנה הומומורפית.

כללי

תיעוד של התקרית המביכה שבה מושל מיזורי הורה לפתוח בחקירה באשמת האקינג נגד עיתונאי שהסתכל על קוד המקור של דף אינטרנט וגילה דברים שהביכו את המושל.

האיחוד האירופאי מתכנן להעביר חוק שיגביל את השימוש של חברות במידע של חברי האיחוד.

CISA פרסמה מדריך קצר להתמודדות עם פייק ניוז שמכוון נגד ארגונים.

דילוג לתוכן