ארכיון CISA - עץ התמר

4.7.22 חדשות

לינוקס

שפת rust תיתמך על ידי הליבה עד שנת 2023.

פרויקט חדש מאפשר לנו לבדוק הפצות ישר מהטרמינל.

למה צריך דרייברים קוד פתוח?

על Kernel Mode בלינוקס.

קוד פתוח

כלי ליצירת SBOM ל- Images שרצים על קוברניטיס.

Rocket.Chat תתחרה בסקייפ.

פורסם מחקר על מצב האבטחה בפרויקטי קוד פתוח והיחס של ארגונים לנושא.

ממשקים גרפיים לניהול מסדי נתונים מסוג Maria או MySQL.

כתבת דעה על ההפרות של Github Copilot את רישיונות הקוד הפתוח.

אבטחת מידע

פרויקט חדש מתעד את התוכנות שמותקנות ורצות ברקע במכונות וירטואליות שמוקמות בענן.

סיכום של ההרצאות המעניינות בכנס RSA שהתקיים לפני כמה שבועות.

חוקרים הדגימו איך כופרה יכולה בקלות להצפין קבצים ששמורים בענן הארגוני.

על ביטוח נגד כופרה לאור מלחמת הסייבר בין רוסיה לאוקראינה. בשורה התחתונה: סביר שחברת הביטוח תוכל להוכיח שהתקיפה היא חלק מהמלחמה או להוכיח שהיא אולי חלק מהמלחמה ועל כן הביטוח לא תקף.

על האפשרות להשתמש לרעה במערכות ללא קוד (no code או low code) כשירות למציאת הרשאות של משתמשים.
בקצרה: כדי להקל על המשתמשים לעבוד בתוך ההגבלות הארגוניות, המערכות מאפשרות להתחזות למשתמש בהנחה שזה סיפק את פרטי ההתחברות שלו. כתוצאה מבעיות אבטחה נפוצות למדי, תוקפים יודעים איך לחלץ את הפרטים האלו מהמערכות.

חולשה חדשה ב- Active Directory.

חברת Aqua שיחררה כלי לבדיקת מאגרי קוד נגד מתקפות על שרשרת אספקה.

ספקית האחסון בענן MEGA טוענת שאין לה גישה לקבצים שמאוחסנים אצלה. חוקרים טוענים שזה לא מדויק.

התגלו עוד כמה ספריות זדוניות בפייתון.

ארה"ב, בריטניה וניו זילנד פרסמו הודעה משותפת שמדריכה איך להתמודד עם איומי סייבר שמשתמשים ב- PowerShell.

קבוצת האקרים רוסית תקפה אתרי ממשל וחברות עסקיות בליטא בתגובה על השתתפותה של ליטא בחרם על רוסיה.

סקירה של האיומים העיקריים למכשירים ניידים: דלף מידע, אפליקציות מתחזות והודעות זדוניות.

אתר חדש שמרכז חולשות בספקי ענן ציבוריים.

כתבה על הדרכים למצוא אפשרויות לנצל יכולות לגיטימיות בענן של MS לצרכים זדוניים.

כנופיית כופר טוענת שפרצה ל- AMD. עם זאת, ייתכן שמדובר על שותפה כלשהי של AMD.

דפדפן Firefox יפעיל את יכולת Total Cookie Protection כך שאתרים לא יכלו לעקוב אחריכם גם באתרים אחרים.

חולשת בגיטהאב בתחילת השנה אפשרה לאפליקציות צד שלישי להשיג הרשאת כתיבה למאגר.

פורסמה רשימת 25 החולשות הפופולריות עד כה ל-2022.

מחקר של קספרסקי מציג את דוא"לי הדיוג האפקטיביים ביותר.

כללי

רשויות פדרליות בארה"ב והאיחוד האירופאי יעבדו במשותף למניעת מתקפות כופר.

חוקרים גילו שהמשטרה בהודו שתלה ראיות במחשביהם של פעילים פוליטיים ואסרה אותם לאחר מכן.

אפל תציג חלופה ל- CAPTCHA ב- iOS 16. מדובר על רכיב שמבצע מבחן טיורינג על ידי מעקב אחרי השימוש של המשתמש במכשיר כך שניתן לקבוע האם הוא אנושי או לא.

קבוצת תקיפה סינית שמתמחה בקמפיינים של פייק ניוז, פתחה בקמפיין נגד כרייה של מתכות נדירות בארה"ב, אוסטרליה וקנדה. כיום עיקר הכרייה מבוצעת בסין, מה שגורם לתלות של המערב בסין. התלות הזו בעייתית כיוון שסין כרגע עובדת עם רוסיה נגד בעלות בריתה של אוקראינה במרחב הקיברנטי.

עובדים עם מספר מסכים בחלונות? רוצים לשנות את המסך הראשי בשורת פקודה? שיהיה בהצלחה.

IE הוכרז כמת באופן רשמי.

איך להריץ את חלונות NT4, גרסת MIPS על QEMU.

מסתבר שפיתוח תוכנות לחלונות עדיף לעשות על מערכת הפעלה אחרת ואז להדר לחלונות.

סוכנות החלל האירופאית הודיעה שעכשיו כשהם משדרגים מחלונות 98, הרובוט למציאת מים במאדים יעבוד טוב יותר.

13.6.22 חדשות

לינוקס

טיפים למתחילים בלינוקס.

13 סיבות שאנשים משתמשים בלינוקס.

הפצת לינוקס חדשה שכל מטרתה היא להריץ את המשחק Doom.

קוד פתוח

מיזם חדש יעזור לכם לממן את פרויקט הקוד הפתוח שלכם.

למי שרוצה לתרום ל- Libre Office. גם אם אתם לא יודעים לכתוב קוד.

הבעיות בדביאן נמשכות. וכן כאן.

אבטחת מידע

יש לכם בלוג של WP? אתם מעלים אליו תמונות? נראה שהן עולות גם לשרתים של wordpress.com.

CISA פרסמה את הסקירה השנתית לשנת 2021. הסקירה מתארת את דרכי החדירה הנפוצות.

הרצאה בכנס RSA שמתקיים בימים אלו על היום שבו האקרים ישתמשו במערכות AI כדי לתקוף מטרות. כלומר האקר יגדיר מטרה, ילחץ על כפתור ומרגע זה והילך ה-AI יבצע הכל.

מחקר חדש מראה שארגונים ששילמו כופר בפעם הראשונה נתקפו שוב. חלקם שילמו גם בפעם השנייה.

מחקר חדש חושף סטטיסטיקות על מספר החשבונות שנפרצים כל שנה, לפי מדינה.

חוקרים מצאו חולשה קריטית במעבדי M1 של אפל.

כללי

הצעה לפרוטוקול HTTP/3 כוללת הצעה להחליף את TCP בפרוטוקול משודרג.

רוסיה מאיימת בתקיפה צבאית נגד מדינות שיתקפו אותה בסייבר.

מישהו התאים את DOOM ל- A/UX – יוניקס מבית אפל.

סקירה של הארכיטקטורה של Xbox 360.

29.5.22 חדשות

לינוקס

כתבה על אבטחת מכולות.

קוד פתוח

nvidia שיחררה חלק מהדרייבר לכרטיסי המסך שלה כקוד פתוח. מדובר על המודול לליבה ולא על תוכנות למשתמש כמו opencl.

פיתרון לאקדמאים מבינינו שלא רוצים לשלם על מאמרים או שמישהו יגבה כסף על המאמרים שלהם.

תוכנית חדשה של ה- OpenSSF והבית הלבן לאבטחת 10,000 פרויקטי הקוד הפתוח הפופולאריים ביותר.

ניצחון לקוד פתוח בבית משפט אמריקאי.

אבטחת מידע

חוק חדש בארה"ב למעקב אחרי פשעי סייבר.

התראה על תקיפות נגד MSP (למשל ספקי עננים ציבוריים).

חוקרים מצאו דרך לייצר שאילתות SQL זדוניות שעוקפות מוצרי WAF.

האקרים משתמשים בתוספים ותבניות של וורדפרס כדי להשתלט על אתרים ולהשתמש בהם כדי להפיץ וירוסים או למתקפות דיוג.

CISA הסירה חולשה מרשימת החולשות הנפוצות כי התיקון ש-MS שיחררה עושה בעיות.

חוקרים מצאו דרך לפרוץ ל- iPhone גם כשהוא כבוי.

CISA פרסמה מידע על דרכי הפריצה הנפוצות.

ה- FBI מזהיר מפני שכירת אנשי מחשבים מצפון קוריאה. לפי האזהרה ייתכן שמדובר בהאקרים שנאמנים לשלטון הצפון קוריאני.

380,000 שרתי קוברניטיס חשופים לפריצה באינטרנט.

קוסטה ריקה הכריזה מלחמה על כנופיית קונטי.

חוקרים מצאו ששירותי אנליטיקה של אתרים אוספים כתובות דואר מטפסים ללא אישור. כולל טפסי הרשמה או התחברות.

סין ואירן הצטרפו לרוסיה במלחמת הסייבר המקוונת נגד אוקראינה ובעלות בריתה.

משרד המשפטים האמריקאי יפסיק לפתוח בהליכים נגד האקרים לבנים וחוקרי אבטחת מידע שלא ניסו לגרום נזק.

למי שצריך לנהל זהויות משתמשים בכמה עננים שונים בלי לעשות עבודה ידנית. קוד פתוח.

כללי

רוסיה העבירה חוק שמחייב אפליקציות להזמנת מוניות להעביר מידע ל- FSB בזמן אמת.

האיחוד האירופאי הצהיר שיתחיל לבדוק היתכנות לאימוץ תקן NIS2.

פייסבוק תסגור את חלק משירותי המיקום שלה עקב חוסר שימוש. היא תמחוק את הנתונים שנאספו עד כה.

על הדרך שבה מפרסמים משיגים מידע פרטי לצרכי טירגוט.

פריצת דרך בתקשורת בין לוויינים באמצעות לייזר.

טויטר נקנסה ב-150 מיליון כי השתמשה במידע שאספה לצרכי אבטחה לצורך התאמת פרסומות.

אפל תפסיק לייצר את ה- iPod.

15.5.22 חדשות

לינוקס

הפצות לינוקס לשרתי קולנוע ביתיים.

קוד פתוח

אתר לחיפוש משרות שמחייבות ידע בקוד פתוח.

חלופה מאובטחת לאחסון קבצים בענן. באמצעות רשת מבוזרת.

גוגל שיחררה גרסת הצגה ראשונית של ארגז החול לבידוד אפלקציות לצרכי פרטיות באנדרואיד 13.

כלי למציאת תלויות זדוניות בפרויקטי קוד פתוח.

אבטחת מידע

CISA פרסמה רשימה של 15 החולשות החביבות ביותר על תוקפים ב-2021. מיקרוסופט מככבת ברשימה.

פורסם גיליון נוסף של Digital Whisper.

קולג' בארה"ב נסגר לצמיתות אחרי מתקפת כופר.

על העלייה בשימוש ב- Deep Fakes.

חולשה במתגים של Aruba ו- Avaya.

וירוס חדש מתחבא ביומן האירועים של חלונות.

המלצות חדשות NIST להתמודדות עם מתקפות נגד שרשרת אספקה.

הנחיות CISA -‏ Shields Up – להתגוננות נגד תקיפה רוסית במרחב הקיברנטי.

חברת Colonial Pipeline שנפרצה שנה שעברה (בארה"ב וגרמה למחסור בגז בחוץ המזרחי) עשויה לקבל קנס של מיליון דולר.

קוסטה ריקה הכריזה על מצב חירום בעקבות מתקפת כופר שפגעה בכל מערכות המידע הממשלתיות. בתגובה ארה"ב הציעה פרס של 15$ מיליון דולר על מידע שיביא לתפיסתה של קבוצת התוקפים.

כללי

על חנויות אפליקציות אלטרנטיביות.

חולשה של דלף מידע במעבדי AMD תחת תנאים מסוימים.

חולשות רבות ב- "BIOS" של מעבדי AMD (כלומר ב- AGESA) תוקנו. הן עבור מעבדים לשרתים והן עבור מעבדים לשוק הביתי.

חולשות רבות במעבדי אינטל ו- BIOS של אינטל. כולל מעבדים לשרתים.

חולשות קריטיות במחשבים של HP. ‏HP לא פרסמה פרטים טכניים פרט לקריטיות של החולשות.
החולשות נמצאות בקושחת ה- UEFI.

25.4.22 חדשות

לינוקס

נתח השוק של אובונטו קטן בשנים האחרונות. גם בקרב גיימרים.

הפצות לינוקס למטרות חינוכיות.

קוד פתוח

על רישיונות קוד פתוח לתמונות וסרטונים.

תוכנה שמסירה מידע מתמונות.

תוכנה להמרת משוואות מתמטיות ל- ASCII.

עוד חלופה ל- Notepad++ ללינוקס: Notepad Next. יש גם את Notepadqq.

עורכי לטך.

OpenSSH 9.0 ישתמש במנגנון אבטחה שאמור להיות חסין למחשוב קוונטי.

אבטחת מידע

חולשות אבטחת ב-UEFI של לנובו.

נראה שהעלייה במספר חולשות אפס יום שבשימוש נובעת מכלים ושיטות איתור טובות יותר של חולשות אפס יום בשימוש ולא מעלייה במספרן.

קבוצות תוקפים עושות הון במלחמת הסייבר בין רוסיה ואוקראינה.

נראה שקבוצות תוקפים שמזוהות עם סין התחילו לתקוף את אוקראינה עוד לפני הפלישה הרוסית לאוקראינה. מה שמעיד על שת"פ בין רוסיה לסין.

התראה של CISA על תקיפות נגד מערכות בקרה תעשייתיות.

ארה"ב מאשימה את צפון קוריאה בגניבה של 600 מיליון דולר במטבעות קריפטוגרפיים.

קבוצת תקיפה שמזוהה עם צפון קוריאה פרצה ועקבה אחרי חברות לייצור כימיקלים.

פריצה לגורם צד שלישי אפשרה לתוקפים לעקוף את האימות הדו שלבי של גיטהאב כדי להיכנס למספר מאגרים (של Heroku ושל Travis). התוקפים קיבלו גישה לקוד המקור ויש להניח שהם ינסו לפרוץ למערכות האלו בעתיד.

התראה של CISA על תקיפות צפון קוריאניות נגד חברות בתחום הבלוקצ'יין והמטבעות הקריפטוגרפיים.

בית משפט רוסי מאיים על גוגל וויקיפדיה בקנסות אם לא יסירו תוכן „שקרי” שקשור לפלישה הרוסית לאוקראינה.

סקר של חברת Mandiant מראה שמחצית מהפריצות בשנת 2021 נובעות מחולשות בשרשרת האספקה או משימוש ב- Exploits.

התראה של CISA על תקיפה רוסית אפשרית נגד תשתיות חיוניות במדינות מערביות.

עוד חולשה קריטית בג'אווה. הפעם בספרייה שמאפשרת חתימה דיגיטלית מאובטחת של הודעות.

יצרני מכשירים רפואיים מעגלים פינות בבדיקות אבטחת מידע של מוצרים.

ממשלת קוסטה ריקה ספגה מתקפת כופר.

כללי

אפל תפסיק לפתח את MacOS Server.

נראה שאמולטורים האחרונים של Gameboy פותחו על ידי נינטנדו עצמה.

על היתרונות של מגוון נוירולוגי בצוותי אבטחת מידע.

12.4.22 חדשות

לינוקס

השוואה של טבלטים מבוססי לינוקס.

הפצות למחשבים ישנים.

חברת Wacom מכריזה על תמיכה רשמית בלינוקס.

הפצות לתלמידי בית ספר יסודי.

פדורה 37 תתמוך בחתימות לקבצים בתוך החבילה.

משתמש שחזר לחלונות אחרי 15 שנים מדווח.

קוד פתוח

תוכנה למחיקת מטה דאטה מקבצים.

על עתיד ה- shell והצעה ל- shell חדש.

כלי לניטור מסדי נתונים.

תוכנת צ'אט מבוססת TOR.

כלים לסטודנטים.

אבטחת מידע

CISA הוסיפה עוד 98 חולשות לרשימת החולשות הנפוצות.

טכניקה חדשה לפישינג: תוקף משיב למייל קודם.

ארה"ב מאשימה תוקפים שממומנים על ידי רוסיה במערכה ארוכה שנים נגד חברות אנרגיה אמריקאיות.

חבילות זדוניות ב- NPM: תוקפים מצאו דרך לפתוח חשבונות חדשים באופן אוטומטי מה שמקשה על זיהוי חבילות זדוניות.

חברה גרמנית שהואשמה על ידי השלטונות במכירת רוגלות למשטרים דיקטטורים הכריזה על פשיטת רגל כדי לחמוק מכתבי אישום.

חולשה במנגנון ההזדהות הדו שלבי מאפשר לעקוף אותה בקלות.

CISA הוציאה התראה לפיה תוקפים מתכוונים לתקוף מכשירי אל פסק שמחוברים לרשת.

כללי

סקירה היסטורית של ממשק המשתמש של Firefox.

כמה דוגמאות למערכות הפעלה שלא כתובות בשפת C.

פרויקט שאין לו שימוש שנכנס לדרך שבה מסכים מתקשרים עם מחשבים.

מעתה ניתן להריץ את בסיליק II (אמולטור למקינטוש של שנות ה-80 ותחילת ה-90) בדפדפן.

למי שחשב לכתוב מודול לליבה של NetBSD.

תקשורת ברשת מבודדת על גבי פרוטוקול ARP.

מחירי כרטיסי המסך מתחילים לרדת לכיוון ה- MSRP.

גוגל תמחק מחנות האפליקציות שלה אפליקציות שלא פותחו בשנתיים האחרונות לפני הגרסא האחרונה.

27.3.22 חדשות

לינוקס

האם bcachefs תצליח להיכנס לליבה הפעם?

קוד פתוח

10 דברים שאפשר לעשות לינוקס ואי אפשר לעשות ב- WSL.

קורא ה- PDF של KDE, הידוע בתור Okular, קיבל אישור שהוא עומד בתקן קיימות סביבתית.

שפה חדשה: OpenCOBOL. נועדה להחליף את קובול.

חברת Snyk מתריעה על השימוש שעשו מפתחי חבילת node-ipc כדי לגרום נזק למפתחים ברוסיה או בלארוס. האפשרות הזו מסוכנת מאוד לקוד הפתוח. מדובר על שימוש בהרשאות המפתח שניתנו כדי לשפר את התוכנה על מנת לקדם אג'נדות אישיות. כרגע מדובר בפגיעה ברוסיה ובעלות בריתה. מעניין מי זה יהיה מחר?

אבטחת מידע

חולשה חדשה ב- openssl. נא לשדרג ל- 1.1.1n.

מפתחים שכחו לסגור גישה למסדי נתונים של סביבות פיתוח. 2100 מסדי נתונים.

עוד 14 חולשות הצטרפו לרשימת החולשות הנפוצות של CISA.

מדריך של CISA וה- NSA להקשחת k8s.

כתבת דיעה לפיה השימוש במתודלוגיות פיתוח של קוד פתוח, בעיקר בדיקת תוכנה בפרויקטים גדולים, יכולה לעזור במלחמה נגד כנופיות הכופר. הכותב מתייחס בעיקר למערכות ניטור.

איך לוודא שההזדמנות הממש מגניבה שקיבלתם במייל או בהודעה היא אמיתית ולא הונאה.

60% ממתחזים במיילים מזייפים כתובת של מיקרוסופט כדי לרכוש את אמונו של הקורבן.

הזכויות לקיום כנס RSA נמכרו. מעתה חברת שירותי אבטחת המידע RSA ומפעילת הכנס יהיו שתי יישויות שונות.

על תפקידם של בוטים חכמים בתקיפות שבהן התוקפים מנסים לשכנע את נותן השירות שמדובר על בן אדם ולא על בוט. העלייה בשימוש במטהוורס, תאפשר לתוקפים לאסוף יותר מידע על משתמשים ולהתחזות אליהם.

סקר מראה שחצי מהארגונים משתמשים במערכות WAF במקום לתקן חולשות. נשים לב שבסקר השתתפו טיפה פחות מ- 150 ארגונים. ועדיין אני חושב שהוא מדויק. בעיקר בארגונים שבהם מערכות המידע הן מערכות תומכות ולא הליבה של העסק.

סקר שכלל 500 ארגונים בארה"ב ובריטניה מצביע שרק 30% מהארגונים ערוכים להתמודדות עם איומי הסייבר החדשים. האיומים הללו מכונים HEAT. מדובר על מתקפות שנועדו לפרוץ לרשת הארגונית מבלי לעורר חשד של מערכות ניטור.

התראה של CISA נגד פריצה ללווינים. לא כתוב בפרסום מי הם הגורמים שמתכוונים לפרוץ.

מתקפה חדשה: BITB. דפדפן בתוך דפדפן. אתר אמין ולגיטימי פותח חלון הזדהות שמתחזה לאתר לגיטימי.

עוד 200 חבילות זדוניות ב-NPM. נראה לי שאפשר לסכם ש-NPM היא פלטפורמה פרוצה.

או שחברת נסטלה נפרצה או שהייתה לה דליפה. תלוי את מי שואלים.

התראה של CISA על אפשרות שרוסיה או תוקפים שמזוהים איתה, יתקפו חברות אנרגיה אמריקאיות.

כללי

פייסבוק ספגה עוד קנס על הפרת GDPR. הפעם מהרגולטור באירלנד שידוע כמקל אז רק כ-20 מיליון דולר. אבל ייתכן שהרגולטור של האיחוד יתערב, כמו במקרים קודמים והקנס יקבל עוד אפס בסוף.

מדריך להקמת שרת אחסון אתרים ביתי.

בשעה טובה בית משפט בארה"ב דרש מחברה שפרסמה שהמוצר שלה קוד פתוח למרות שהוא לא להסיר את הפרסום.

הרגולטורים באיחוד האירופאי מזהירים מפני השקעה במטבעות וירטואליים. למה? כי אין עליהם רגולציה. למה אין עליהם רגולציה באיחוד? כי האיחוד לא מכיר בהם. משעשע למדי.

וירוס חדש שמתקין את chocolatey (מנהל חבילות קוד פתוח לחלונות), כדי שזה יתקין את pip ואז כמה חבילות פייתון שהווירוס צריך. רעיון מעניין.

מלחמת רוסיה אוקראינה

התראה של CISA על תוקפים במימון רוסי.
גרמניה מזהירה מפני שימוש באנטי וירוס של קספרסקי.
אנונימוס פרסמו מידע פנימי של חברת גז רוסי.
למה אנחנו לא רואים את רוסיה תוקפת את אוקראינה בסייבר. בכתבה מוצגות כמה סיבות. לי יש רעיון אחר. אולי אני אכתוב על זה בהמשך.
שימוש ב- Deepfake נגד אוקראינה.

7.3.22 חדשות

לינוקס

בשעה טובה ומוצלחת שפת C בליבה של לינוקס תשודרג לתקן C11 (היום היא עם C89).

על מה שקורה מאחורי הקלעים כשיוצרים פוד חדש ב- k8s.

קוד פתוח

4 רמות של בשלות התיעוד של תהליכי DevOps.

מספר מאמרים שה-FSF מימנו על Github Copilot.

סקר של Linux Foundation מצא את 1000 ספריות הקוד הפתוח הפופולאריות ביותר.

גרסה ראשונה של ליברה אופיס לדפדפן (עם web assembly).

פרויקט Chaos Mesh של CNCF יצא מהאינקובטור. הפרויקט נועד להעמיס תשתיות ענן כדי למצוא חורים במענה של הארגון.

Steam Deck הושק רשמית.

אלטרנטיביות קוד פתוח למיינקראפט.

מאז 2009 מיקרוסופט איבדה 60% מנתח השוק של מערכות ההפעלה.

האם OpenStack מתה? מסתבר שלא.

חלופות קוד פתוח ל- Google Analytics. שימושי למי שצריך תאימות ל-GDPR.

מאמר על התלות בתוכנה סגורה לאור המלחמה בין רוסיה לאוקראינה.

אבטחת מידע

חץ בן חמו כותב על הפריצה האחרונה ל- nvidia וההבטחות לעקוף את הגבלות על הכרייה.

משאבות עירוי שמחוברות לאינטרנט סובלות מחולשות קריטיות רבות.

הסאגה של הפריצה ל- nvidia נמשכת. הפורצים דורשים הסרה של קוד ה- LHR שפוגע בביצועי הכרייה בחלק מהכרטיסים.

לפי ארה"ב קושחה היא החולייה החלשה באבטחה. הגיע הזמן באמת שמישהו ידבר על זה.

נראה שפושעים אוספים מידע היום, גם אם הוא מוצפן, בידיעה שהמחשב הקוונטי יגיע בקרוב ויאפשר להם לעקוף את ההצפנה.

מחקר על הזמן הדרוש לפריצת סיסמאות. בקיצור: לפחות 11 תווים, סימן, אות גדולה, אות קטנה ומספרים.

דוח על רמת החשיפה של חברות אבטחת מידע לאיומים.

מדריך של ה- NSA להגנה על רשתות.

מזל טוב! רגולציה חדשה נולדה. תכירו את DORA. רגולציה של האיחוד האירופאי שנועדה להתמודד עם כופרות. הרגולציה מיועדת למוסדות פיננסיים בלבד.

דוח שנתי הרגלי הדיוג בשנה החולפת.

דוח חדש מראה שלא מספיק להדריך עובדים. צריך גם להטמיע מערכות.

מחקר חדש מראה שלמעלה מ-70% מאנשי ה- SOC חווים שחיקה.

CISA הוסיפה עוד 95 חולשות לרשימה שלה.

מתקפה על ספק אינטרנט לווייני בצרפת גרמה לניתוק של 9000 לקוחות באירופה.

כללי

כדי להתקין את חלונות 11 צריך חיבור לאינטרנט וחשבון של MS.

12 תוכנות להגנה על הפרטיות.

על שקיעתה ונפילתה של שפת Java.

גם למכשירי סמסונג גלאקסי יש אפליקציית מערכת שמאטה אפליקציות.

על המגמה להקטין את העובי של גאדג'טים טכנולוגיים והבעיות שלה.

מפתחי דפדפנים החליטו שהגיע הזמן לפתור את כל אותן בעיות תאימות בין דפדפנים.

5.3.22 חדשות

לינוקס

קוד פתוח

אבטחת מידע

על וקטור תקיפה חדש: קוד פתוח. על ידי החדרת קוד זדוני לפרויקטי קוד פתוח כדי לחדור למערכות של מי שמשתמש בהן.

מדיניות חדשה בארה"ב נגד פושעי סייבר: מנטרלים את האיום גם במחיר פגיעה ביכולת להביא אותם למשפט.

חוקרים מצאו דרך להוציא את מפתח ההצפנה מכופרת Hive.

אתר למכירת מטבעות קריפטוגרפיים שילם 250 אלף דולר עבור חולשת אבטחה שהתגלתה אצלו.

על עלילות משטרת ישראל והפגסוס. אני לא מאמין לדוח החקירה של הוועדה הממלכתית. אתם?

עוד 25 ספריות זדוניות התגלו ב- NPM.

מאז ה-23.2 האיחוד האירופאי עוזר לאוקראינה להתגונן מפני מתקפות סייבר. מעניין אם זו רק עזרה הגנתית או התקפתית?

תוקפים שכותבים וירוסים מנהלים מלחמות אחד עם השני. בין השאר דרך ספריות NPM זדוניות.

גיטהאב תאפשר תרומות למאגר הנחיות אבטחת המידע שלה.

קבוצות האקרים בוחרות צד במלחמה באוקראינה. מעניין.

וירוס חדש שמיועד להשתלטות על חשבונות ברשתות חברתיות משתמש בחנות האפליקציות של MS להפצה.

חוקרים מאוניברסיטת תל אביב מצאו דרך לעקוף את ההצפנה במכשירי סמסונג גלקסי.

רשות אבטחת המידע של האיחוד האירופאי הוציאה מסמך עם 14 המלצות בסיסיות לאבטחת הארגון.

מערכת קוד פתוח חדשה למעקב אחרי הרשת הארגונית. גם משמשת לעמידה ברגולציה.

כנופיית כופרה רוסית נפרצה אחרי שאיימה שתתקוף אם המערב יתקוף תשתיות ברוסיה.

מחקר חדש חושף את האיומים על מערכות לניתוח מידע של למידת מכונה.

פורסם הגיליון ה-137 של digital whisper.

מתקפת סייבר על שותפים וספקים של טויוטה ביפן גרמה לעצירת הייצור.

רשויות אירופאיות שהחליטו לסייע לפליטים אוקראינים הפכו למטרה.

בארה"ב עבר חוק שמחייב רשויות אזרחיות וחברות שמפעילות תשתיות קריטיות לדווח על כל פריצה ל- CISA תוך 72 שעות.

חוקרים מצאו חולשה בספריה של MS שמממשת הצפנה הומומורפית.

כללי

תיעוד של התקרית המביכה שבה מושל מיזורי הורה לפתוח בחקירה באשמת האקינג נגד עיתונאי שהסתכל על קוד המקור של דף אינטרנט וגילה דברים שהביכו את המושל.

האיחוד האירופאי מתכנן להעביר חוק שיגביל את השימוש של חברות במידע של חברי האיחוד.

CISA פרסמה מדריך קצר להתמודדות עם פייק ניוז שמכוון נגד ארגונים.

28.2.22 חדשות

לינוקס

חולשות אבטחה בליבה של לינוקס מתוקנות הכי מהר לפי המדידה של Google Project Zero.

קוד פתוח

אנדרואיד 13 תתמוך בוירטואליזציה. היא תאפשר להריץ תוכנות של חלונות ולינוקס.

תוכנות להעברת קבצים מאנדרואיד ללינוקס.

למי שצריך טרמינל באנדרואיד.

סקירה של תוכנות להזרמת מסך בלינוקס.

הרצאה על השתלבות בפרויקט קוד פתוח.

פורסם הדוח השנתי של ה-OSI בנושא אימוץ קוד פתוח בארגונים.

נפח השוק של דפדפן פיירפוקס צונח לאורך השנים. ב-2008 הוא עמד על 20%. היום הוא עומד על 4%. בשלוש השנים האחרונות, הדפדפן איבד 30 מיליון משתמשים.

אבטחת מידע

כתבה על הצורך בגישת אבטחת מידע חדשה. ליתר דיוק חדשה לחלקינו. מדבר על הצורך לאבטח את המערכות לא משנה מאיפה ניגשים אליהם בניגוד לגישה הקודמת שמדברת על אבטחת מערכות שיושבות בחוות השרתים הפרטית של הארגון.

ארה"ב ובריטניה מאשימות את רוסיה בתקיפות הסייבר נגד אוקראינה.

אזהרה של CISA על תקיפות סייבר במימון רוסיה נגד ספקים של משרד ההגנה האמריקאי.

CISA אספה ופרסמה רשימה של משאבים חינמיים לאבטחה.

כלי לניחוש טקסט שהוסתר על ידי פיקסליזציה.

תיעוד של צורת הפעולה של תוקפים במימון איראני שתוקפים מטרות ישראליות.

מודיע של ה- MI6 בבריטניה מתריע על שימוש במוצרי Huawei בתשתיות התקשורת במדינה עקב אפשרות שסין תעשה שימוש בתשתית כדי לפגוע בבריטניה.

דו"ח לפיו כמות ההדלפות בעקבות אירועי כופרה הוכפלה (כלומר התוקפים מפרסמים את המידע או חלקו אחרי פריצה לרשתות).

משתמשים בלמידת מכונה כדי לאבטח את הרשת? מסתבר שאפשר להוציא ממנה הרבה מידע על הרשת אם הם לא מאובטחים.

דו"ח שמראה שניחוש סיסמאות היא עדיין השיטה המועדפת ב-2021 לפריצה לרשתות. זאת למרות החולשות הקריטיות שפורסמו שנה שעברה (log4j, MS Exchange וכו').

עוד אתר של מפתח תוספים ותבניות ל- WP נפרץ. הפעם מדובר על AccessPress. הפריצה בוצעה בספטמבר 2021 והתגלתה בסוף ינואר 2022.