15.3.22 חדשות

לינוקס

מזל טוב להפצת Arch שחוגגת 20 שנה היום.

קוד פתוח

אתמול היה יום הפאי. הנה 22 פרויקטים של רספברי פאי לנסות ב- 2022.

אמולטור (מדמה) ל- MSX ללינוקס. MSX היא פלטפורמת משחקים משנות ה-80.

תוכנות לכתיבת יומן.

ReactOS התחילה לתמוך בריבוי ליבה.

נכשל הניסיון של רד האט להשתלט על האתר WeMakeFedora.org שמתוחזק על ידי מתנדבים של פדורה.

אבטחת מידע

כתבה עם נקודות לבדיקת חדירות של סביבות בענן Azure.

AMD הוציאה תיקון לווריאנט של Spectre שפורסם שבוע שעבר.

מאמר על הקרבות במרחב הקיברנטי בין קבוצות סייבר שתומכות באוקראינה לקבוצות שתומכות ברוסיה. פורומים בנושא חוסמים משתמשים מהצד השני. קבוצות תוקפות תשתיות חיוניות של מדינות שתומכות בצדדים הלוחמים.

על פיתוח ממשק משתמש נגיש, שימושי למשתמשים ומאתגר לתוקפים.

ביום שני אתרי המדינה חוו מתקפת סייבר מסוג DDoS.

חברת GitGuardian ניתחה את המידע שדלף מסמסונג במתקפה האחרונה ומצאה שדלפו גם סיסמאות לשירותים חיצוניים. כלומר תוקף יכול להשתמש בסיסמאות האלו כדי לגשת בשם סמסונג לשירות כמו גיטהאב ולדחוף קוד זדוני לאחת האפליקציות שלהם.

דוח שמסכם את כל התקיפות מסוג כופרה ברבעון האחרון של 2021.

חוקר השתמש בנוסחה של המתמטיקאי הצרפתי פרמה (חי בחצי הראשון של המאה ה-17) כדי לפרוץ הצפנת RSA שבוצעה על ידי ספריית SafeZone. ממה שאני מבין החולשה נוגעת לשני המספרים הראשוניים שמשמשים ליצירת הצופן. הם אמורים להיות רנדומליים או לפחות ההפרש ביניהם אמור להיות רנדומלי. בספרייה של SafeZone ניתן לחזות את ההפרש ולכן ניתן להשתמש בנוסחה של פרמה כדי למצוא את המספרים הראשוניים.

כללי

בריטניה הכריזה שכספומטים שממירים ביטקוין למזומן ולהיפך אינם חוקיים.

סקירה של PDP-11.

מדריך לכתיבת דרייבר ל- Unix V6 (מ-1975).

גוגל סגרה את Vanced. אפליקצייה ליוטיוב בלי פרסומות.

11.3.22 חדשות

לינוקס

קוד פתוח

סקירה של תוכנות קוד פתוח שיכולות לעזור לסטודנטים ותלמידים.

הסקר השנתי של רד האט מראה ש-89% ממנהלי ה-IT חושבים שתוכנות קוד פתוח מאובטחות באותה מידה כמו קוד סגור.

אבטחת מידע

חברת סמסונג נפרצה וקוד מקור שקשור לגלקסי נגנב.

חולשה ב- Azure Automation מאפשרת לתוקפים להשתלט על חשבונות של אחרים.

7 חולשות אבטחה קריטיות שמשפיעות על 150 מכשירי IOT, ציוד רפואי ומכשירי תפעול תעשייתיים של כ-100 יצרנים שונים.

חולשה קריטית ב- cgroups מאפשרת לתוקף לצאת מהמכולה ולהגיע לשרת המארח.

16 חולשות קריטיות התגלו בקושחה של מחשבי HP Inc.

קבוצת תקיפה שמזוהה עם הממשל הסיני פרצה למערכות מידע של שש מדינות בארה"ב.

סימנים של מנהל אבטחת מידע כושל.

וריאנט חדש של Spectre עוקף את ההגבלות של אינטל ו-ARM.

התגלו חולשות במנהלי חבילות (פייתון, javascript וכו').

כללי

7.3.22 חדשות שקשורות למלחמה באוקראינה

קוד פתוח

מיקרוסופט תפסיק למכור שירותים חדשים לרוסיה. לא בטוח אם זה טוב או רע.

האם פדורה צריכה לחסום רוסים מלהשתתף בפרויקט? הם עשו את זה עם אירן מסתבר.

אבטחת מידע

תוקפים פרצו לאתר סוכנות המחקר בחלל הרוסית (IKI). הודעה שהושארה באתר מייחסת את התקיפה לאנונימוס.

חשבון טוויטר שמוקדש למעקב אחרי מטוסים פרטיים של אוליגרכים רוסיים.

האקרים שמזדהים עם אוקראינה מנסים לפגוע ב- GLONASS (ה- GPS של רוסיה).

עיתון אוקראיני פרסם פרטים אישיים של 120,000 חיילים רוסים שנלחמים בפלישה.

כללי

שני הצדדים הלוחמים משתמשים בטלגרם. זה מעניין כי השמועות אומרות של-FSB יש גישה בלתי מוגבלת לשרתים של טלגרם.

רוסיה חסמה את הגישה לפייסבוק.

על צבא ההאקרים המתנדבים של אוקראינה.

7.3.22 חדשות

לינוקס

בשעה טובה ומוצלחת שפת C בליבה של לינוקס תשודרג לתקן C11 (היום היא עם C89).

על מה שקורה מאחורי הקלעים כשיוצרים פוד חדש ב- k8s.

קוד פתוח

4 רמות של בשלות התיעוד של תהליכי DevOps.

מספר מאמרים שה-FSF מימנו על Github Copilot.

סקר של Linux Foundation מצא את 1000 ספריות הקוד הפתוח הפופולאריות ביותר.

גרסה ראשונה של ליברה אופיס לדפדפן (עם web assembly).

פרויקט Chaos Mesh של CNCF יצא מהאינקובטור. הפרויקט נועד להעמיס תשתיות ענן כדי למצוא חורים במענה של הארגון.

Steam Deck הושק רשמית.

אלטרנטיביות קוד פתוח למיינקראפט.

מאז 2009 מיקרוסופט איבדה 60% מנתח השוק של מערכות ההפעלה.

האם OpenStack מתה? מסתבר שלא.

חלופות קוד פתוח ל- Google Analytics. שימושי למי שצריך תאימות ל-GDPR.

מאמר על התלות בתוכנה סגורה לאור המלחמה בין רוסיה לאוקראינה.

אבטחת מידע

חץ בן חמו כותב על הפריצה האחרונה ל- nvidia וההבטחות לעקוף את הגבלות על הכרייה.

משאבות עירוי שמחוברות לאינטרנט סובלות מחולשות קריטיות רבות.

הסאגה של הפריצה ל- nvidia נמשכת. הפורצים דורשים הסרה של קוד ה- LHR שפוגע בביצועי הכרייה בחלק מהכרטיסים.

לפי ארה"ב קושחה היא החולייה החלשה באבטחה. הגיע הזמן באמת שמישהו ידבר על זה.

נראה שפושעים אוספים מידע היום, גם אם הוא מוצפן, בידיעה שהמחשב הקוונטי יגיע בקרוב ויאפשר להם לעקוף את ההצפנה.

מחקר על הזמן הדרוש לפריצת סיסמאות. בקיצור: לפחות 11 תווים, סימן, אות גדולה, אות קטנה ומספרים.

דוח על רמת החשיפה של חברות אבטחת מידע לאיומים.

מדריך של ה- NSA להגנה על רשתות.

מזל טוב! רגולציה חדשה נולדה. תכירו את DORA. רגולציה של האיחוד האירופאי שנועדה להתמודד עם כופרות. הרגולציה מיועדת למוסדות פיננסיים בלבד.

דוח שנתי הרגלי הדיוג בשנה החולפת.

דוח חדש מראה שלא מספיק להדריך עובדים. צריך גם להטמיע מערכות.

מחקר חדש מראה שלמעלה מ-70% מאנשי ה- SOC חווים שחיקה.

CISA הוסיפה עוד 95 חולשות לרשימה שלה.

מתקפה על ספק אינטרנט לווייני בצרפת גרמה לניתוק של 9000 לקוחות באירופה.

כללי

כדי להתקין את חלונות 11 צריך חיבור לאינטרנט וחשבון של MS.

12 תוכנות להגנה על הפרטיות.

על שקיעתה ונפילתה של שפת Java.

גם למכשירי סמסונג גלאקסי יש אפליקציית מערכת שמאטה אפליקציות.

על המגמה להקטין את העובי של גאדג'טים טכנולוגיים והבעיות שלה.

מפתחי דפדפנים החליטו שהגיע הזמן לפתור את כל אותן בעיות תאימות בין דפדפנים.

5.3.22 חדשות

לינוקס

קוד פתוח

אבטחת מידע

על וקטור תקיפה חדש: קוד פתוח. על ידי החדרת קוד זדוני לפרויקטי קוד פתוח כדי לחדור למערכות של מי שמשתמש בהן.

מדיניות חדשה בארה"ב נגד פושעי סייבר: מנטרלים את האיום גם במחיר פגיעה ביכולת להביא אותם למשפט.

חוקרים מצאו דרך להוציא את מפתח ההצפנה מכופרת Hive.

אתר למכירת מטבעות קריפטוגרפיים שילם 250 אלף דולר עבור חולשת אבטחה שהתגלתה אצלו.

על עלילות משטרת ישראל והפגסוס. אני לא מאמין לדוח החקירה של הוועדה הממלכתית. אתם?

עוד 25 ספריות זדוניות התגלו ב- NPM.

מאז ה-23.2 האיחוד האירופאי עוזר לאוקראינה להתגונן מפני מתקפות סייבר. מעניין אם זו רק עזרה הגנתית או התקפתית?

תוקפים שכותבים וירוסים מנהלים מלחמות אחד עם השני. בין השאר דרך ספריות NPM זדוניות.

גיטהאב תאפשר תרומות למאגר הנחיות אבטחת המידע שלה.

קבוצות האקרים בוחרות צד במלחמה באוקראינה. מעניין.

וירוס חדש שמיועד להשתלטות על חשבונות ברשתות חברתיות משתמש בחנות האפליקציות של MS להפצה.

חוקרים מאוניברסיטת תל אביב מצאו דרך לעקוף את ההצפנה במכשירי סמסונג גלקסי.

רשות אבטחת המידע של האיחוד האירופאי הוציאה מסמך עם 14 המלצות בסיסיות לאבטחת הארגון.

מערכת קוד פתוח חדשה למעקב אחרי הרשת הארגונית. גם משמשת לעמידה ברגולציה.

כנופיית כופרה רוסית נפרצה אחרי שאיימה שתתקוף אם המערב יתקוף תשתיות ברוסיה.

מחקר חדש חושף את האיומים על מערכות לניתוח מידע של למידת מכונה.

פורסם הגיליון ה-137 של digital whisper.

מתקפת סייבר על שותפים וספקים של טויוטה ביפן גרמה לעצירת הייצור.

רשויות אירופאיות שהחליטו לסייע לפליטים אוקראינים הפכו למטרה.

בארה"ב עבר חוק שמחייב רשויות אזרחיות וחברות שמפעילות תשתיות קריטיות לדווח על כל פריצה ל- CISA תוך 72 שעות.

חוקרים מצאו חולשה בספריה של MS שמממשת הצפנה הומומורפית.

כללי

תיעוד של התקרית המביכה שבה מושל מיזורי הורה לפתוח בחקירה באשמת האקינג נגד עיתונאי שהסתכל על קוד המקור של דף אינטרנט וגילה דברים שהביכו את המושל.

האיחוד האירופאי מתכנן להעביר חוק שיגביל את השימוש של חברות במידע של חברי האיחוד.

CISA פרסמה מדריך קצר להתמודדות עם פייק ניוז שמכוון נגד ארגונים.

27.1.22 חדשות

לינוקס

על Unaccepted Memory בליבה של לינוקס: טכנולוגיה של אינטל שתשפר אבטחת מידע של מכונות וירטואליות וזמני עלייה של מכונות. יש גם מקבילה אצל AMD.

פקודות לינוקס משעשעות.

אם יש לכם צורך להריץ לינוקס על 486SX, הנה פיתרון.

איך אפשר לגרום ללינוקס לקרוס? או אילו פקודות לא כדאי להריץ.

על הבעיות והיתרונות של NixOS. הפצה שניסתה לממש לקחים שנלמדו ממנהלי חבילות. כותב הכתבה חושב שהרעיונות מצוינים אבל המימוש רע.

קוד פתוח

מדריך בעברית לגישה למיילים של ג'מייל (אם הורדתם את המיילים לצרכי גיבוי).

פלוטון של MS הוא רכיב TPM שצמוד למעבד. הוא יגיע עם מחשבים חדשים. למרות החששות בנושא, הוא יופעל כברירת מחדל ולא ינעל את המחשב לחלונות 11 בלבד. כמוכן, בינתיים, הוא מגיע כבוי כברירת מחדל.

על מימון של פרויקטים קוד פתוח ודרכים בהן משתמשים יכולים להחזיר לקהילה גם בלי לתרום קוד לפרויקט.

9 תוספים שימושיים ל- Firefox.

טיפים להשתלבות מוצלחת בפרויקט קוד פתוח.

משהו מסריח קורה בדביאן.

מנהלי התחברות ל- SSH ללינוקס.

ה- FSF מגדיר חומרה פתוחה בצורה טיפה קיצונית (בלי רכיבי חומרה שאינם פתוחים). זה בלתי אפשרי בימינו כי אין חומרה פתוחה למחשבי קצה (יש כמה פרויקטי מחקר). אז ההגדרה מכירה בזה ומוסיפה החרגה. גם ההגדרה עצמה בעייתית מבחינה תוכנתית. בכתבה יש סקירה של שני מחשבים. אחד מהם ניצל פרצה בהגדרה למרות שהוא אינו פתוח והשני בחר להתעלם ממנה כדי שהמכשיר יהיה שימושי ללקוחות.

אבטחת מידע

ארה"ב הפעילה לחץ ורוסיה התחילה לעצור כנופיות סייבר שפועלות משטחה. הפושעים בתגובה מתחילים לחשוש שרוסיה היא כבר לא מדינת מקלט.

מספר התקיפות על שרשרת אספקה שילש את עצמו ב- 2021.

מערכות מידע של הצלב האדום נפרצו. הצלב האדום מעוניין לנהל מו"מ עם התוקפים כדי שלא ישחררו את המידע. מדובר על מערכת שעוזרת לאחד משפחות, גם כאלו שהופרדו בגלל מלחמות או דיקטטורות ועל פרסומו עשוי לגרום למותם של אנשים.

על הסיכונים שבשימוש באתר להמרת סרטוני וידיאו. רמז: צריך לקרוא את הצהרת הפרטיות של השירות. הם לא תמיד מתחייבים שלא להשתמש בסרטון שהועלה.

ארה"ב הטילה סנקציות על ארבעה בכירים בשלטון האוקראיני שמסייעים לרוסיה. נראה שלתוקפים הייתה גישה למערכות כבר כמה חודשים.

תוקפים סיניים השתמשו בוירוס שמיועד ל- UEFI. הוירוס מאפשר לתוקפים לחמוק מגילוי ולעקוף פרמוטים כיוון שאין היום כלים לגילוי וירוסים ב- UEFI. מדובר על תוקפים סיניים ששייכים או מקושרים למשטר.

תוקפים שולחים לחברות בארה"ב כונני USB עם תוכנה זדונית.

תקיפת שרשרת אספקה נגד WordPress. התוקפים פרצו לשרתי חברת שמפתחת תוספים ותבניות ושתלו בכולם קוד זדוני.

מערכות המידע של משרד החוץ הקנדי הותקפו על ידי גורם לא ידוע.

חברת EyeMed בארה"ב, שמספקת שירותי בריאות עיניים לחברות ביטוח בארה"ב, נקנסה ב- 600 אלף דולר. בעקבות חקירה, הסתבר שהחברה התרשלה בשמירת על נתוני המטופלים שלה, מה שהוביל לפריצה.

הבית הלבן פרסם הוראה שמחייבת ארגונים פדרליים לממש Zero Trust עד 2024.

עקב בעייה ב- Let's Encrypt, חלק מתעודות ה- SSL שניתנו על ידם יפוגו ב- 28.1.22, ב- 16:00 UTC. מדובר על תעודות שתומכות ב- TLS 1.0 שכבר לא נתמך על ידי Let's Encrypt.

כללי

הקנסות על ההפרה של GDPR גדלו ב- 2021 פי 7. מכ- 180 מיליון דולר לכ- 1.25 מיליארד דולר. נשים לב שסוגיית התאימות בין FISA (תקנות בארה"ב שמאפשרות לארגוני מודיעין לגשת למידע של חברות שמושבן בארה"ב) לבין GDPR עדיין לא נפתרה. כרגע יש חקירה נגד גוגל בנושא.
כמוכן נראה שלא ניתן לנסות להעביר את החקירה למדינה שלרוב נותנת קנסות מקלים כי בכל אופן לאיחוד תיהיה אפשרות להגדיל את הקנס (כמו שפייסבוק גילו בדרך הקשה כשהקנס גדל מ- 30 עד 50 מיליון יורו ל- 225 מיליון יורו).

תביעה בארה"ב נגד גוגל שמקשה על משתמשים לבטל את אפשרויות המעקב.

מערכת הפעלה רב תהליכית למעבד Z80. מוזמנים להציץ בקוד אם זה מעניין. Z80 הוא מעבד משנות ה-70.

נראה ש- Nvidia לא תרכוש את ARM בסוף.

הנדסה לאחור של פרוטוקול המקלדת של מערכת ההפעלה NeXT.

20.1.22 חדשות

לינוקס

סקר של ארגון שמייצג אמני אפקטים חזותיים (יוצרי אנימציות, אפקטים חזותיים לסרטים וכו') מצא ש-60% מהאמנים משתמשים בלינוקס.

גוגל מפתחת מנגנון חדש לניהול זיכרון וירטואלי בליבה של לינוקס.

כלי שורת פקודה להורדה ופיענוח של דפי אינטרנט.

קוד פתוח

מדריך לפיתוח מהיר של אפליקציות כך שיהיה קל להעלות אותן לענן ולפרוס על גבי מספר מכולות משיקולי ביצועים.

מסע במנהרת הזמן להכרזה על הגרסה הראשונה של X.

שוחררה גרסא 7.0 של Wine.

אבטחת מידע

קוברנטיס תכלול Image Registry מאובטח.

חוקרים בדקו איזה מידע אפשר להוציא מ- Virus Total. די הרבה מסתבר.

דפדפן Safari כולל חולשת CSRF.

חולשה בשירות המנוהל של זום לארגונים. נראה שמישהו שכח להשתמש ב- ASLR.

כללי

תקן PCIe 6.0 פורסם.

בשעה טובה ומוצלחת MS ויתרה על השיוך האוטומטי של האות A לכונן הדיסקטים. שיהיה במזל טוב.

מיקרוסופט הודיעה שתרכוש את Activision Blizzard.

מה זה אומר להיות תואם Unix?

17.1.22 חדשות

לינוקס

כלי שורת פקודה להורדת ISO של הפצות.

קוד פתוח

שתי ספריות ב-NPM הושחתו על ידי המפתח עצמו. הקוד מאוחסן בגיטהאב ובתגובה גיטהאב לקחו לו את ההרשאות לחשבון בטענה שהוא הפר את כללי השימוש במערכת. גיטהאב שוב יוצרת תקדימים.

אבטחת מידע

מערכות מידע של בית כלא בארה"ב נפרצו. כתוצאה מכך נפגעו גם מערכות הניהול של הכלא.

CISA עדכנה את רשימת החולשות שנמצאות בשימוש על ידי תוקפים.

ארה"ב הוציאה אזהרת תקיפות סייבר מרוסיה לאור החשש מפלישה של רוסיה לאוקראינה. אזהרה של CISA.

משחק קלפים להגברת האבטחה בארגון.

קבוצת תוקפים הודית הדביקה את עצמה בסוס טרויאני, מה שהוביל לחשיפתה.

הצבא השוויצרי אוסר על חייליו, כולל אלו שנמצאים בשירות חובה, להשתמש בתוכנות מסרים מיידיים פרט לאחת שאושרה: Threema. האיסור כולל גם את סינגל. אין פה בעייה עם קוד פתוח כי גם טרימה היא קוד פתוח.

שירותי הבריאות של מדינת מרילנד בארה"ב סבלו ממתקפת כופר בדצמבר 2021.

רשות הגנת הפרטיות באוסטריה הודיעה שקיימת אי תאימות בין תקנות FISA האמריקאיות (שמאפשרות לארגוני מודיעין בארה"ב לעקוב אחרי זרים) לבין GDPR (תקנות הגנת הפרטיות באיחוד) שכן FISA מאפשרת לארגוני מודיעין אמריקאים לגשת למידע שמאוחסן על שרתים של כל חברה שבסיסה בארה"ב. המקרה שנידון כאן הוא Google Analytics.

כללי

לנובו הציגה מחשב נייד עם שבב אבטחה של MS. האם זה מאיים על לינוקס? לא ידוע.

סיפורו של SAGE, מערך ההגנה האווירית של ארצות הברית וקנדה שהוקם בסוף שנות ה-50. ‏IBM נבחרה לבנות אותו (כולל בנייה של 23 מחשבים חדשניים), מה שהכניס לה רווחים גדולים וניסיון שהיא מימשה לאחר מכן בפיתוח פתרונות מחשוב לארגונים.

הרשות האירופאית להגנה על הפרטיות הורתה ליורופול למחוק מידע על אנשים שלא הוכח שיש להם קשר לפשע.

6.1.22 חדשות

לינוקס

פרויקט חדש בפיתוח הליבה: סדר בקבצי ה- Header.

יכולת לעדכן את ה-UEFI בלי לאתחל את השרת תיכנס לליבה בגרסה 5.17.

ב-2021 אחוז משתמשי Steam עבר את ה-1% (מכלל משתמשי Steam).

קוד פתוח

אבטחת מידע

סיכום הפריצות של השנה החולפת.

וירוס משתמש בחולשה בחלונות שהתגלתה וטופלה ב-2013 אבל ב-2014 מיקרוסופט שינתה הגדרות כך שצריך להפעיל את ההגדרה (והיא לא מופעלת כברירת מחדל כך שהחולשה עדיין קיימת). אולי זה זמן טוב לבדוק אם יש עוד חולשות כאלו?

ה- FTC יקנוס ארגונים אמריקאיים שלא יטפלו בחולשות ה- log4j במוצרים שלהן.

חוקרים מצאו דרך לזייף אתחול וכיבוי באייפון. אפשר גם לזייף התראות סוללה חלשה ועל ידי כך המשתמש חושב שהמכשיר כבוי בעוד הוא למעשה דולק ומשדר כרגיל.

כללי

מיקרוסופט תיקנה את באג התאריך ב- Exchange שגורם לשרת לקרוס כי הוא לא יכול להתמודד עם התאריך 1.1.22.

קוסבו אסרה על כריית מטבעות קריפטוגרפיים עקב הפסקות חשמל מרובות. המדינה מתקשה לספק חשמל עקב העלייה במחירי הדלקים והכרייה לא תורמת למצב.

הרשויות בצרפת קנסו את גוגל ופייסבוק כיוון שהן לא מאפשרות לגולשים לסרב לעוגיות. כלומר אמנם מוצגת הודעה אבל המשתמש חייב להסכים לה כדי להמשיך.

דפדפן ל- DOS.

17.11.21 כללי

מיקרוסופט נלחמת בתופעה המגונה במסגרתה משתמשים מנסים לקבל תוצאות חיפוש באמצעות דפדפן שאינו Edge ומנוע חיפוש שאינו בינג. המשתמשים מתבקשים להפסיק לנסות להחליף לדפדפן או מנוע חיפוש חלופי.

גוגל ספגה קנס של כ-2.4 מיליארד יורו מהאיחוד האירופאי בגלל פגיעה בתחרות.

מחשב נייד קל לשדרוג שתומך בלינוקס.

דילוג לתוכן