23.9.22 חדשות

לינוקס

תוכנות לחיסכון סוללה למחשבים ניידים.

אתר שמלמד פקודות לינוקס.

התמיכה ב- Rust תיכנס לליבה בגרסה 6.1. גרסה 6.1 תשוחרר בנובמבר.

רשימת שימושים נפוצים של פקודות לינוקס.

הפצות לינוקס ל- Intel 486 ו- 386.

קוד פתוח

החל מהגרסה האחרונה, הדרייבר של AMD לכרטיסי מסך (Vulkan) תומך גם ב- Ray Tracing.

טיפים לפיתוח קוד פתוח מאובטח.

עבודה מול ה- API של NetworkManager עם פייתון.

אינטל הוא הארגון הראשון שהצטרף לקריטה כתומך.

אבטחת מידע

האיחוד האירופאי בוחן מדיניות חדשה לאבטחת מכשירים חכמים.

אובר נפרצה כיוון שעובד נתן את ההרשאות לו לתוקף שהתחזה לעובד אחר.

מפענח לכופרה מסוג LockerGoga.

בודקי שגיאות הכתיב המובנים בכרום ובאדג' שולחים לגוגל ומיקרוסופט כל דבר שאתם מקלידים. כולל סיסמאות.

חברת מורגן סטנלי תשלם קנס של 35 מיליון דולר עקב תקלה בגריטה של כוננים קשיחים. נראה שחלק מהכוננים לא נגרטו אלא נמכרו לצד שלישי ללא פרמוט.

כללי

אדובי רכשה את Figma תמורת 20 מיליארד דולר. האם אדובי תעשה לה את מה שעשתה למקרומדיה?

על תחזוקת הרכבות באזור סן פרנסיסקו. חלקן נמצאות שם משנות ה-70.

המצב בטוויטר מחמיר. בעלי המניות תובעים אותה על פרסומים מטעים בנוגע לאבטחת מידע לאחר החשיפות של ה- CISO לשעבר.

מיתוג מעבדי אינטל מסדרת פנטיום וסלרון יוצא לפנסיה. במקום הם יקראו Intel Processor.

סקירה של מעבד ה- 8 סיביות הראשון. ה- TMX 1795.

ארה"ב הוסיפה עוד שני יצרנים סיניים לרשימת החברות המסוכנות לביטחון הלאומי. לטענת ה- FCC, שתי החברות, אם ידרשו, לא יכולו לסרב לבקשה של השלטון הסיני להעביר מידע או לחבל במוצרים.

1.9.22 חדשות

לינוקס

מה יגיע אלינו בליבה גרסה 6.1.

הפצה לחובבי משחקי רטרו (קונסולות ישנות וכו').

קוד פתוח

החל מ- 2026 כל מחקר שימומן על ידי ממשלת ארה"ב יהיה נגיש לכולם ולא חסום מאחורי חומת תשלום כמו רוב המחקרים האקדמאים.

דברים שתרצו לדעת לפני שאתם מורידים אופרטור ל- k8s.

גיטהאב פרסמו סדרת כתבות על מסד הנתונים של גיט: חלק 1, חלק 2, חלק 3 וחלק 4.

קבוצת תוקפים ששייכת לשלטונות הסיניים עומדת מאחורי תקיפות נגד חברות מתחום האנרגיה ויישויות ביטחוניות באוסטרליה ובאזור ים סין הדרומי (טאיוואן, אינדונזיה, מלזיה, וויאטנאם). נראה שהעניינים מתחממים שם.

אבטחת מידע

שוחרר הגיליון ה- 143 של Digital Whisper.

3 דוגמאות לחורי אבטחה אפשריים כתוצאה משימוש בפלטפורמות ללא קוד או עם מעט קוד.

מתקפה שמשתמש ב- IRC כדי לתקשר עם שרת השליטה.

כללי

בארה"ב מתבשל כתב אישום נגד אפל באישום של מניעת תחרות.

על מערכות הפעלה שכבר לא איתנו.

כשהדיקטטורות גילו שאפשר לפגוע בכל אפשרות מרי על ידי סגירת האינטרנט.

על המעבדים הגרפיים שגוגל מייצרת.

יפן הכריזה מלחמה על הדיסקטים. מסתבר שהם עדיין נדרשים בחלק מהמשרדים הממשלתיים.

22.8.22 חדשות

לינוקס

סקירה של הפצת /e/ – חלופה לאנדרואיד.

קוד פתוח

גיטלאב מתכננת למחוק פרויקטים של חשבונות חינמיים שלא היו פעילים יותר משנה. אבל התגובות ברשת היו שליליות אז במקום גיטלאב תעביר פרויקטים לא פעילים לאחסון איטי.

השוואה של פיתרונות VPN קוד פתוח ללינוקס.

על מערכות הפעלה מבוססות CP/M. על MS-DOS: מערכת הפעלה תואמת CP/M.

הבעלות על הדומיין debian.community הועברה לפרויקט דביאן. פרויקט דביאן השתמש בכלים חוקיים כדי להשתיק בהצלחה ביקורת וחשיפת שחיתויות.

פקודות לכתיבת תיעוד בקובץ טקסט פשוט.

שוחררה גרסה 13 של אנדרואיד.

על מבנה קבצי odt. ועל מבנה קבצי epub.

אבטחת מידע

אחד הפרוטוקולים שהוצע כחסין לפיענוח על ידי מחשב קוואנטי, נפרץ תוך 4 דקות על ידי מעבד Xeon מ-2013.

פורסם דוח של VirusTotal על טקטיקות של וירוסים.

תקיפה שבוצע חודש שעבר נגד ממשלת אלבניה מיוחסת לקבוצת תוקפים איראנית שכנראה שייכת לשלטון האיראני.

סין כנראה עומדת מאחורי קבוצה שתקפה מערכות תעשייתיות ומוסדות ציבור ברוסיה ואוקראינה.

Twillio נפרצה אחרי שתוקפים הצליחו לשכנע (בקלות יתרה) כמה עובדים שהסיסמא שלהם פגה תוקף.

סיפורה של חולשה CVE-2021-0920.

מחקר חדש מראה איך אפשר להשתמש בשגיאות HTTP לתקיפת אתרים.

כלי שמאפשר לחקות תוקפים ולראות כמה רחוק הם יכולים להגיע עם הרשאות מסויימות.

מחקר מראה שחברות השתמשו בקוד של חברה אחרת בלי רשות.

אינטל מוסיפה הגנות ברמת החומרה למעבדים שלה.

חוקרים מצאו דרך לזייף לחיצה על מסך מגע.

חוקר פרץ ל- Starlink על ידי שימוש בחולשת חומרה.

מחקר מצא שמתקפות פישינג מגיעות לרוב אחרי דלף מידע.

חוקרים מצאו דרך להשתמש בבקרים לוגיים מיתכנתים כדי לפרוץ למחשבים שמנהלים מערכות תעשתיות.

על הבעיות בפרסום חולשות. בעיקר: קושי להבין מתיאור החולשה איך תוקפים ישתמשו בה וכן חסר קונטקסט.

כללי

נחשף קמפיין פייק ניוז מסיבי שנועד לשפר את המוניטין של סין בעולם.

מיקרוסופט חוסמת לקוחות של שירות דואר אלקטרוני מאובטח מהלהירשם לאופיס 365 מסיבות לא ברורות.

נפתחה חקירה נגד מיקרוסופט בגרמניה עקב מניעת תחרות.

ה- FTC מעוניין להגביל את איסוף המידע ואת השימוש שמבצעות חברות במידע שנאסף מחיישני אינטרנט של הדברים.

הדפדפן המובנה של אפליקציית פייסבוק באייפון אוסף כל פיסת מידע שעוברת דרכו.

Epson מכריחה את לקוחותיה לקנות מדפסות חדשות.

בעיות התגלו בפרויקט הכרטיס הגרפי של אינטל.

נראה שאצל אפל פרטיות זו טקטיקת שיווק נטו.

האם שיר יכול לגרום למחשב לקרוס? כן!

ממשק משתמש ברכבים חדשים: כפתורים פיזיים עדיפים על מסך מגע.

3.8.22 חדשות

לינוקס

פקודות לינוקס שימושית להצגת טקסט.

CISA מציגה: פרסומים מוטים נגד לינוקס.

על שיטת המספור של גרסאות הליבה.

מסתבר שהשרת שממנו מורידים את PuTTy השתמש, עד לאחרונה, בהפצת Debian גרסה 0.93R5 שיצאה ב- 1993. על השדרוג עצמו.

זריקת שגיאות מתוך סקריפט Bash.

סקירה של XDP: תוכנה מבוססת eBPF שמטפלת בחבילות תקשורת לפני שהן מגיעות לליבה.

רשימה של הפצות לינוקס עם גרסת 32 סיביות.

קוד פתוח

גרסה של מערכת ההפעלה CP/M שוחרר תחת רישיון קוד פתוח.

הבעיות בדביאן נמשכות: עוד מפתחים בכירים עוזבים את הפרויקט. ביניהם גם מייסד אובונטו.

אתר לשיתוף מידע על תהליכי חשיבה פתוחים וחדשניים.

רשימה של מקרי מוות שקשורים לקוד פתוח.

הפצת פדורה הצהירה שלא תכלול עוד קוד שפורסם תחת רישוי CC0 (‏Public Domain) כיוון שחומר שפורסם תחת CC0 עשוי להכיל פטנטים ואלו עדיין שייכים לבעל החומרים.

על טקטיקות השיווק של MS וכל מה שקשור לצביעת קוד פתוח.

אחרי שהפרשה התפוצצה, MS תאפשר למפתחים למכור אפליקציות קוד פתוח בחנות שלה. הדבר יאפשר למפתחי אפליקציות לקבל פיצוי על העבודה הנדרשת להכנת התוכנה למכירה בחנות. ניתן יהיה לדווח על רמאים.

פרויקט חדש מציג מפת אסונות עולמית עם התראות בזמן אמת.

מנת ההפחדות החודשית נגד קוד פתוח במסווה של כתבות אבטחת מידע.

אבטחת מידע

האקרים משתמשים בשירות ה- CI/CD החינמי של גיטלאב כדי לכרות מטבעות קריפטוגרפיים.

חוקרים פרסמו מפענחים לכופרה מסוג AstraLocker.

מתקפת כופר בלי שימוש בכופרה: פשוט גונבים מידע מרשת חלשה ודורשים כופר.

מדריך לשיטות להתחמק מדיבאג: חלק 1, חלק 2 וחלק 3. או איך וירוסים לא מאפשרים לחוקרי וירוסים להריץ אותם עם debugger.

מאגר החבילות של פייתון, PyPI, יטמיע הזדהות רב שלבית לפרויקטים קריטיים. הם מתכוונים להשתמש במפתח מבוסס כרטיס פיזי.

בהרצאות בכנס Black Hat USA הציגו חוקרים דרכים לברוח ממכולות. אחת ההרצאות עסקה בהשוואת יכולות האבטחה של מכולות על חלונות למכולות לינוקס והראתה שמכולות על חלונות מאובטחות פחות.

חולשות קושחה חדשות במעבדי Intel ו- AMD. קיבלו את השם Retbleed.

חוקרים הצליחו לזייף commits בגיטהאב כך שיראה כאילו הגיעו ממשתמש אמין.

חוקרים הצליחו להוציא מידע מרשת סגורה על ידי הפיכת חיבור ה- SATA לאנטנה.

ארה"ב מציעה 10 מיליון דולר פרס עבור מידע על אנשים שפעילים או קשורים לאחת מקבוצות התקיפה ששייכות לצפון קוריאה.

היוזמה הבינלאומית No More Ransom שמפרסת כלים לפענוח כופרות, חוגגת 6 שנים ו-1.5 מיליון הצלחות.

מדריך להקשחת PHP.

גיליון חדש של Digital Whisper. המאמר על הרשת האפלה נראה מעניין.

דוח של Palto Alto על מה שהם למדו מעזרה ללקוחות שנפרצו.

דוגמאות לשימוש בבינה מלאכותית להגנה על מערכות מידע.

נמצאה שיטה להטמיע קובץ EXE בקבצי reg ו- lnk (קבצים של חלונות) כך שה-EXE ירוץ עם פתיחת הקובץ. כנראה כבר בשימוש אצל כנופיות הסייבר.

כללי

טיקטוק, עצרה את שינוי מדיניות הפרטיות של האפליקציה באיחוד האירופאי כי הגרסה החדשה של המדיניות לא תואמת GDPR. לא ברור לי איך זה משפיע על משתמשים במדינות אחרות.

תמונות ראשונות מטלסקופ החלל ווב.

רוסיה ממשיכה עם הצנזורה על האינטרנט בשטחה.

פרויקט חדש לפיתוח ממשק גרפי ל- Atari 8bit.

פייסבוק עשויה להפסיק את שירותיה באיחוד האירופאי עקב סירובה של החברה להתאים את שירותיה ל- GDPR.

גוגל עשויה להתפצל עקב חקירה של הרשות להגבלים עסקיים בארה"ב.

פרויקט במשרד ההגנה האמריקאי מנסה למצוא דרכים לאתר מראש תרומות קוד זדוני לפרויקטי קוד פתוח.

גוגל תאפשר שימוש בשירות סליקה צד שלישי באיחוד האירופאי, רק לאפליקציות שאינן משחקים. בעקבות רגולציה שעברה באיחוד.

גוגל הציגה שפת תכנות חדשה: Carbon. יש לה את אותן מטרות כמו Rust.

האיחוד האירופאי אישר את תקנות ה-DMA. נועדו למנוע מענקי טכנולוגיה עם שליטה כמו פייסבוק וגוגל לעשות שימוש לרעה בכוחן ולדרוס מתחרים פוטנציאלים או לגרום לחתונה קתולית עם המשתמש.

בהולנד מגבילים את השימוש בכרום בבתי ספר כי הדפדפן אוסף מידע לא רק לצרכים חינוכיים.

הידעתם שיצרניות של מצלמות אבטחה עשויות להעביר את החומר שהוקלט לרשויות ללא אישורכם?

השוואה של ממשקים גרפיים ל- Unix.

גוגל תחזיר את רשימת ההרשאות שכל אפליקציה מבקשת לתצוגה בחנות.

מישהו כתב דרייבר תצוגה לחלונות 1.04.

שווי השוק של AMD עבר את של Intel.

4.6.22 חדשות

לינוקס

מישהו התאים את Lutus 1-2-3 ללינוקס. מדובר על גיליון אלקטרוני שפותח במקור ל- DOS.

סקירה של אותות (Signals) בלינוקס.

על הרצת לינוקס בדפדפן בעזרת Web Assembly.

סקירה של תוכנת ההתקנה החדשה של Arch.

חלופות מודרניות לפקודות לינוקס ותיקות.

דרכים להריץ את לינוקס בדפדפן.

חלופות לפקודות ישנות.

קוד פתוח

שינויים בגרסת Firefox לטלפונים הופכים את הדפדפן לפחות פרטי.

סקירה של תוכנות גרפיקה ללינוקס.

מוזילה תתחיל לבדוק תאימות של Manifest V3 של גוגל ל- Firefox.

גרסה חדשה ל- Clonezilla. יש תמיכה ב- LUKS.

מפתח ליבה צלל לתוך הקוד של Fuchsia וכתב על זה.

הסאגה של הנפוטיזם בדביאן נמשכת.

יומולדת 19 ל- WordPress. מזל טוב!

תוכנות לעריכת וידיאו ללינוקס.

מחוז בטורקיה החליט לעבור לקוד פתוח ולחסוך כסף.

סקירה של תוכנות לניהול פרויקטים קוד פתוח.

פרויקט קוד פתוח חדש שעוסק בניטור עלויות בקוברניטיס.

אבטחת מידע

פריצה חדשה ל- Whatsapp.

מחוז בארה"ב הושבת לחלוטין בגלל מתקפת כופרה.

פורסם הגיליון ה- 140 של Digital Whisper.

סריקה של האינטרנט מצאה שיש 3.6 מיליון מסדי נתונים MySQL שחשופים לאינטרנט.

רוב כמעט מוחלט של תוכנות האנטי וירוס בשוק לא מסוגלות לגלות אם וירוס מסתתר בתוך Windows Subsystem for Linux.

כנופיית Conti מפתחת כלי לפריצה לקושחה של Intel.

חברות הביטוח מקשיחות את התנאים ומעלות את המחירים לביטוח נגד אירועי סייבר.

כללי

האיחוד האירופאי יגדיל את הפיקוח על מונופולים כמו אפל.

שוחררה גרסה משודרגת של Windows XP.

למי שתהה מה קרה ל- Perl7.

Broadcom ו- VMWare מתמזגות. או ליתר דיוק VMWare מתמזגת לתוך Broadcom תמורת 61 מיליארד דולר.

עלילות MS ו- Github.

ב- KDE מחפשים מפתח שיעזור להם להכניס את האפליקציות שלהם לחנויות אפליקציות.

מוזילה השיקה תוכנה לתרגום מכונה.

קמפיין באיחוד האירופאי מקדם חקיקה לפיה כל תוכנה במימון כספי מיסים תיהיה קוד פתוח.

29.5.22 חדשות

לינוקס

כתבה על אבטחת מכולות.

קוד פתוח

nvidia שיחררה חלק מהדרייבר לכרטיסי המסך שלה כקוד פתוח. מדובר על המודול לליבה ולא על תוכנות למשתמש כמו opencl.

פיתרון לאקדמאים מבינינו שלא רוצים לשלם על מאמרים או שמישהו יגבה כסף על המאמרים שלהם.

תוכנית חדשה של ה- OpenSSF והבית הלבן לאבטחת 10,000 פרויקטי הקוד הפתוח הפופולאריים ביותר.

ניצחון לקוד פתוח בבית משפט אמריקאי.

אבטחת מידע

חוק חדש בארה"ב למעקב אחרי פשעי סייבר.

התראה על תקיפות נגד MSP (למשל ספקי עננים ציבוריים).

חוקרים מצאו דרך לייצר שאילתות SQL זדוניות שעוקפות מוצרי WAF.

האקרים משתמשים בתוספים ותבניות של וורדפרס כדי להשתלט על אתרים ולהשתמש בהם כדי להפיץ וירוסים או למתקפות דיוג.

CISA הסירה חולשה מרשימת החולשות הנפוצות כי התיקון ש-MS שיחררה עושה בעיות.

חוקרים מצאו דרך לפרוץ ל- iPhone גם כשהוא כבוי.

CISA פרסמה מידע על דרכי הפריצה הנפוצות.

ה- FBI מזהיר מפני שכירת אנשי מחשבים מצפון קוריאה. לפי האזהרה ייתכן שמדובר בהאקרים שנאמנים לשלטון הצפון קוריאני.

380,000 שרתי קוברניטיס חשופים לפריצה באינטרנט.

קוסטה ריקה הכריזה מלחמה על כנופיית קונטי.

חוקרים מצאו ששירותי אנליטיקה של אתרים אוספים כתובות דואר מטפסים ללא אישור. כולל טפסי הרשמה או התחברות.

סין ואירן הצטרפו לרוסיה במלחמת הסייבר המקוונת נגד אוקראינה ובעלות בריתה.

משרד המשפטים האמריקאי יפסיק לפתוח בהליכים נגד האקרים לבנים וחוקרי אבטחת מידע שלא ניסו לגרום נזק.

למי שצריך לנהל זהויות משתמשים בכמה עננים שונים בלי לעשות עבודה ידנית. קוד פתוח.

כללי

רוסיה העבירה חוק שמחייב אפליקציות להזמנת מוניות להעביר מידע ל- FSB בזמן אמת.

האיחוד האירופאי הצהיר שיתחיל לבדוק היתכנות לאימוץ תקן NIS2.

פייסבוק תסגור את חלק משירותי המיקום שלה עקב חוסר שימוש. היא תמחוק את הנתונים שנאספו עד כה.

על הדרך שבה מפרסמים משיגים מידע פרטי לצרכי טירגוט.

פריצת דרך בתקשורת בין לוויינים באמצעות לייזר.

טויטר נקנסה ב-150 מיליון כי השתמשה במידע שאספה לצרכי אבטחה לצורך התאמת פרסומות.

אפל תפסיק לייצר את ה- iPod.

15.5.22 חדשות

לינוקס

הפצות לינוקס לשרתי קולנוע ביתיים.

קוד פתוח

אתר לחיפוש משרות שמחייבות ידע בקוד פתוח.

חלופה מאובטחת לאחסון קבצים בענן. באמצעות רשת מבוזרת.

גוגל שיחררה גרסת הצגה ראשונית של ארגז החול לבידוד אפלקציות לצרכי פרטיות באנדרואיד 13.

כלי למציאת תלויות זדוניות בפרויקטי קוד פתוח.

אבטחת מידע

CISA פרסמה רשימה של 15 החולשות החביבות ביותר על תוקפים ב-2021. מיקרוסופט מככבת ברשימה.

פורסם גיליון נוסף של Digital Whisper.

קולג' בארה"ב נסגר לצמיתות אחרי מתקפת כופר.

על העלייה בשימוש ב- Deep Fakes.

חולשה במתגים של Aruba ו- Avaya.

וירוס חדש מתחבא ביומן האירועים של חלונות.

המלצות חדשות NIST להתמודדות עם מתקפות נגד שרשרת אספקה.

הנחיות CISA -‏ Shields Up – להתגוננות נגד תקיפה רוסית במרחב הקיברנטי.

חברת Colonial Pipeline שנפרצה שנה שעברה (בארה"ב וגרמה למחסור בגז בחוץ המזרחי) עשויה לקבל קנס של מיליון דולר.

קוסטה ריקה הכריזה על מצב חירום בעקבות מתקפת כופר שפגעה בכל מערכות המידע הממשלתיות. בתגובה ארה"ב הציעה פרס של 15$ מיליון דולר על מידע שיביא לתפיסתה של קבוצת התוקפים.

כללי

על חנויות אפליקציות אלטרנטיביות.

חולשה של דלף מידע במעבדי AMD תחת תנאים מסוימים.

חולשות רבות ב- "BIOS" של מעבדי AMD (כלומר ב- AGESA) תוקנו. הן עבור מעבדים לשרתים והן עבור מעבדים לשוק הביתי.

חולשות רבות במעבדי אינטל ו- BIOS של אינטל. כולל מעבדים לשרתים.

חולשות קריטיות במחשבים של HP. ‏HP לא פרסמה פרטים טכניים פרט לקריטיות של החולשות.
החולשות נמצאות בקושחת ה- UEFI.

25.4.22 חדשות

לינוקס

נתח השוק של אובונטו קטן בשנים האחרונות. גם בקרב גיימרים.

הפצות לינוקס למטרות חינוכיות.

קוד פתוח

על רישיונות קוד פתוח לתמונות וסרטונים.

תוכנה שמסירה מידע מתמונות.

תוכנה להמרת משוואות מתמטיות ל- ASCII.

עוד חלופה ל- Notepad++ ללינוקס: Notepad Next. יש גם את Notepadqq.

עורכי לטך.

OpenSSH 9.0 ישתמש במנגנון אבטחה שאמור להיות חסין למחשוב קוונטי.

אבטחת מידע

חולשות אבטחת ב-UEFI של לנובו.

נראה שהעלייה במספר חולשות אפס יום שבשימוש נובעת מכלים ושיטות איתור טובות יותר של חולשות אפס יום בשימוש ולא מעלייה במספרן.

קבוצות תוקפים עושות הון במלחמת הסייבר בין רוסיה ואוקראינה.

נראה שקבוצות תוקפים שמזוהות עם סין התחילו לתקוף את אוקראינה עוד לפני הפלישה הרוסית לאוקראינה. מה שמעיד על שת"פ בין רוסיה לסין.

התראה של CISA על תקיפות נגד מערכות בקרה תעשייתיות.

ארה"ב מאשימה את צפון קוריאה בגניבה של 600 מיליון דולר במטבעות קריפטוגרפיים.

קבוצת תקיפה שמזוהה עם צפון קוריאה פרצה ועקבה אחרי חברות לייצור כימיקלים.

פריצה לגורם צד שלישי אפשרה לתוקפים לעקוף את האימות הדו שלבי של גיטהאב כדי להיכנס למספר מאגרים (של Heroku ושל Travis). התוקפים קיבלו גישה לקוד המקור ויש להניח שהם ינסו לפרוץ למערכות האלו בעתיד.

התראה של CISA על תקיפות צפון קוריאניות נגד חברות בתחום הבלוקצ'יין והמטבעות הקריפטוגרפיים.

בית משפט רוסי מאיים על גוגל וויקיפדיה בקנסות אם לא יסירו תוכן „שקרי” שקשור לפלישה הרוסית לאוקראינה.

סקר של חברת Mandiant מראה שמחצית מהפריצות בשנת 2021 נובעות מחולשות בשרשרת האספקה או משימוש ב- Exploits.

התראה של CISA על תקיפה רוסית אפשרית נגד תשתיות חיוניות במדינות מערביות.

עוד חולשה קריטית בג'אווה. הפעם בספרייה שמאפשרת חתימה דיגיטלית מאובטחת של הודעות.

יצרני מכשירים רפואיים מעגלים פינות בבדיקות אבטחת מידע של מוצרים.

ממשלת קוסטה ריקה ספגה מתקפת כופר.

כללי

אפל תפסיק לפתח את MacOS Server.

נראה שאמולטורים האחרונים של Gameboy פותחו על ידי נינטנדו עצמה.

על היתרונות של מגוון נוירולוגי בצוותי אבטחת מידע.

27.3.22 חדשות

לינוקס

האם bcachefs תצליח להיכנס לליבה הפעם?

קוד פתוח

10 דברים שאפשר לעשות לינוקס ואי אפשר לעשות ב- WSL.

קורא ה- PDF של KDE, הידוע בתור Okular, קיבל אישור שהוא עומד בתקן קיימות סביבתית.

שפה חדשה: OpenCOBOL. נועדה להחליף את קובול.

חברת Snyk מתריעה על השימוש שעשו מפתחי חבילת node-ipc כדי לגרום נזק למפתחים ברוסיה או בלארוס. האפשרות הזו מסוכנת מאוד לקוד הפתוח. מדובר על שימוש בהרשאות המפתח שניתנו כדי לשפר את התוכנה על מנת לקדם אג'נדות אישיות. כרגע מדובר בפגיעה ברוסיה ובעלות בריתה. מעניין מי זה יהיה מחר?

אבטחת מידע

חולשה חדשה ב- openssl. נא לשדרג ל- 1.1.1n.

מפתחים שכחו לסגור גישה למסדי נתונים של סביבות פיתוח. 2100 מסדי נתונים.

עוד 14 חולשות הצטרפו לרשימת החולשות הנפוצות של CISA.

מדריך של CISA וה- NSA להקשחת k8s.

כתבת דיעה לפיה השימוש במתודלוגיות פיתוח של קוד פתוח, בעיקר בדיקת תוכנה בפרויקטים גדולים, יכולה לעזור במלחמה נגד כנופיות הכופר. הכותב מתייחס בעיקר למערכות ניטור.

איך לוודא שההזדמנות הממש מגניבה שקיבלתם במייל או בהודעה היא אמיתית ולא הונאה.

60% ממתחזים במיילים מזייפים כתובת של מיקרוסופט כדי לרכוש את אמונו של הקורבן.

הזכויות לקיום כנס RSA נמכרו. מעתה חברת שירותי אבטחת המידע RSA ומפעילת הכנס יהיו שתי יישויות שונות.

על תפקידם של בוטים חכמים בתקיפות שבהן התוקפים מנסים לשכנע את נותן השירות שמדובר על בן אדם ולא על בוט. העלייה בשימוש במטהוורס, תאפשר לתוקפים לאסוף יותר מידע על משתמשים ולהתחזות אליהם.

סקר מראה שחצי מהארגונים משתמשים במערכות WAF במקום לתקן חולשות. נשים לב שבסקר השתתפו טיפה פחות מ- 150 ארגונים. ועדיין אני חושב שהוא מדויק. בעיקר בארגונים שבהם מערכות המידע הן מערכות תומכות ולא הליבה של העסק.

סקר שכלל 500 ארגונים בארה"ב ובריטניה מצביע שרק 30% מהארגונים ערוכים להתמודדות עם איומי הסייבר החדשים. האיומים הללו מכונים HEAT. מדובר על מתקפות שנועדו לפרוץ לרשת הארגונית מבלי לעורר חשד של מערכות ניטור.

התראה של CISA נגד פריצה ללווינים. לא כתוב בפרסום מי הם הגורמים שמתכוונים לפרוץ.

מתקפה חדשה: BITB. דפדפן בתוך דפדפן. אתר אמין ולגיטימי פותח חלון הזדהות שמתחזה לאתר לגיטימי.

עוד 200 חבילות זדוניות ב-NPM. נראה לי שאפשר לסכם ש-NPM היא פלטפורמה פרוצה.

או שחברת נסטלה נפרצה או שהייתה לה דליפה. תלוי את מי שואלים.

התראה של CISA על אפשרות שרוסיה או תוקפים שמזוהים איתה, יתקפו חברות אנרגיה אמריקאיות.

כללי

פייסבוק ספגה עוד קנס על הפרת GDPR. הפעם מהרגולטור באירלנד שידוע כמקל אז רק כ-20 מיליון דולר. אבל ייתכן שהרגולטור של האיחוד יתערב, כמו במקרים קודמים והקנס יקבל עוד אפס בסוף.

מדריך להקמת שרת אחסון אתרים ביתי.

בשעה טובה בית משפט בארה"ב דרש מחברה שפרסמה שהמוצר שלה קוד פתוח למרות שהוא לא להסיר את הפרסום.

הרגולטורים באיחוד האירופאי מזהירים מפני השקעה במטבעות וירטואליים. למה? כי אין עליהם רגולציה. למה אין עליהם רגולציה באיחוד? כי האיחוד לא מכיר בהם. משעשע למדי.

וירוס חדש שמתקין את chocolatey (מנהל חבילות קוד פתוח לחלונות), כדי שזה יתקין את pip ואז כמה חבילות פייתון שהווירוס צריך. רעיון מעניין.

מלחמת רוסיה אוקראינה

5.3.22 חדשות

לינוקס

קוד פתוח

אבטחת מידע

על וקטור תקיפה חדש: קוד פתוח. על ידי החדרת קוד זדוני לפרויקטי קוד פתוח כדי לחדור למערכות של מי שמשתמש בהן.

מדיניות חדשה בארה"ב נגד פושעי סייבר: מנטרלים את האיום גם במחיר פגיעה ביכולת להביא אותם למשפט.

חוקרים מצאו דרך להוציא את מפתח ההצפנה מכופרת Hive.

אתר למכירת מטבעות קריפטוגרפיים שילם 250 אלף דולר עבור חולשת אבטחה שהתגלתה אצלו.

על עלילות משטרת ישראל והפגסוס. אני לא מאמין לדוח החקירה של הוועדה הממלכתית. אתם?

עוד 25 ספריות זדוניות התגלו ב- NPM.

מאז ה-23.2 האיחוד האירופאי עוזר לאוקראינה להתגונן מפני מתקפות סייבר. מעניין אם זו רק עזרה הגנתית או התקפתית?

תוקפים שכותבים וירוסים מנהלים מלחמות אחד עם השני. בין השאר דרך ספריות NPM זדוניות.

גיטהאב תאפשר תרומות למאגר הנחיות אבטחת המידע שלה.

קבוצות האקרים בוחרות צד במלחמה באוקראינה. מעניין.

וירוס חדש שמיועד להשתלטות על חשבונות ברשתות חברתיות משתמש בחנות האפליקציות של MS להפצה.

חוקרים מאוניברסיטת תל אביב מצאו דרך לעקוף את ההצפנה במכשירי סמסונג גלקסי.

רשות אבטחת המידע של האיחוד האירופאי הוציאה מסמך עם 14 המלצות בסיסיות לאבטחת הארגון.

מערכת קוד פתוח חדשה למעקב אחרי הרשת הארגונית. גם משמשת לעמידה ברגולציה.

כנופיית כופרה רוסית נפרצה אחרי שאיימה שתתקוף אם המערב יתקוף תשתיות ברוסיה.

מחקר חדש חושף את האיומים על מערכות לניתוח מידע של למידת מכונה.

פורסם הגיליון ה-137 של digital whisper.

מתקפת סייבר על שותפים וספקים של טויוטה ביפן גרמה לעצירת הייצור.

רשויות אירופאיות שהחליטו לסייע לפליטים אוקראינים הפכו למטרה.

בארה"ב עבר חוק שמחייב רשויות אזרחיות וחברות שמפעילות תשתיות קריטיות לדווח על כל פריצה ל- CISA תוך 72 שעות.

חוקרים מצאו חולשה בספריה של MS שמממשת הצפנה הומומורפית.

כללי

תיעוד של התקרית המביכה שבה מושל מיזורי הורה לפתוח בחקירה באשמת האקינג נגד עיתונאי שהסתכל על קוד המקור של דף אינטרנט וגילה דברים שהביכו את המושל.

האיחוד האירופאי מתכנן להעביר חוק שיגביל את השימוש של חברות במידע של חברי האיחוד.

CISA פרסמה מדריך קצר להתמודדות עם פייק ניוז שמכוון נגד ארגונים.

למעלה
דילוג לתוכן