28.3.22 חדשות

לינוקס

רשימה של הפצות למחשבים ישנים.

הפצות לקריאה בלבד. בדומה למכולות, גם בהן אי אפשר לעשות שינויים. רעיון מעניין.

קוד פתוח

Shell חדש שמשלב בין פייתון לבאש.

חלופות ל- net-tools (למשל ifconfig).

השוואה בין Chrome ל-Chromium.

הפצת לינוקס מתגלגלת מבוססת אובונטו.

אבטחת מידע

ה- FCC הוסיף את קספרסקי לרשימת הספקים המסוכנים לביטחון הלאומי של ארה"ב.

קבוצת ההאקרים שפרצו למיקרוסופט שבוע שעבר, נתפסה בבריטניה.

OpenSource.com פירסמו מדריך להטמעת DevSecOps.

כללי

גוגל תכניס שינויים ל- Google Analytics כדי שיהיה תואם עם GDPR. לא ברור אם הרגולטור האירופאי יאשר שהשינויים האלו מספיקים. יהיה מעניין.

פוסט על הבעיות של מערכת הבעיה חלונות. בשנים האחרונה מדובר על מערכת הפעלה שמיועדת להגדיל את ההכנסות של MS מפרסומות ושירותים נוספים.

חנות האפליקציות Google Play תתמוך בשירותי תשלום צד שלישי כתוצאה מדרישות של רגולטורים.

הצעת חוק באיחוד האירופאי תכריח תוכנות מסרים מיידיים לאפשר לשלוח הודעות ממשתמש של תוכנה אחת למשתמש של תוכנה אחרת. בנוסף החוק כולל עוד כמה סעיפים מעניינים כמו חיוב יצרנים לאפשר הסרה של אפליקציות ותוכנות שמותקנות כברירת מחדל.

מלחמת רוסיה אוקראינה

אנונימוס פרצו לבנק המרכזי של רוסיה וגנבו 28GB של מידע.

27.3.22 חדשות

לינוקס

האם bcachefs תצליח להיכנס לליבה הפעם?

קוד פתוח

10 דברים שאפשר לעשות לינוקס ואי אפשר לעשות ב- WSL.

קורא ה- PDF של KDE, הידוע בתור Okular, קיבל אישור שהוא עומד בתקן קיימות סביבתית.

שפה חדשה: OpenCOBOL. נועדה להחליף את קובול.

חברת Snyk מתריעה על השימוש שעשו מפתחי חבילת node-ipc כדי לגרום נזק למפתחים ברוסיה או בלארוס. האפשרות הזו מסוכנת מאוד לקוד הפתוח. מדובר על שימוש בהרשאות המפתח שניתנו כדי לשפר את התוכנה על מנת לקדם אג'נדות אישיות. כרגע מדובר בפגיעה ברוסיה ובעלות בריתה. מעניין מי זה יהיה מחר?

אבטחת מידע

חולשה חדשה ב- openssl. נא לשדרג ל- 1.1.1n.

מפתחים שכחו לסגור גישה למסדי נתונים של סביבות פיתוח. 2100 מסדי נתונים.

עוד 14 חולשות הצטרפו לרשימת החולשות הנפוצות של CISA.

מדריך של CISA וה- NSA להקשחת k8s.

כתבת דיעה לפיה השימוש במתודלוגיות פיתוח של קוד פתוח, בעיקר בדיקת תוכנה בפרויקטים גדולים, יכולה לעזור במלחמה נגד כנופיות הכופר. הכותב מתייחס בעיקר למערכות ניטור.

איך לוודא שההזדמנות הממש מגניבה שקיבלתם במייל או בהודעה היא אמיתית ולא הונאה.

60% ממתחזים במיילים מזייפים כתובת של מיקרוסופט כדי לרכוש את אמונו של הקורבן.

הזכויות לקיום כנס RSA נמכרו. מעתה חברת שירותי אבטחת המידע RSA ומפעילת הכנס יהיו שתי יישויות שונות.

על תפקידם של בוטים חכמים בתקיפות שבהן התוקפים מנסים לשכנע את נותן השירות שמדובר על בן אדם ולא על בוט. העלייה בשימוש במטהוורס, תאפשר לתוקפים לאסוף יותר מידע על משתמשים ולהתחזות אליהם.

סקר מראה שחצי מהארגונים משתמשים במערכות WAF במקום לתקן חולשות. נשים לב שבסקר השתתפו טיפה פחות מ- 150 ארגונים. ועדיין אני חושב שהוא מדויק. בעיקר בארגונים שבהם מערכות המידע הן מערכות תומכות ולא הליבה של העסק.

סקר שכלל 500 ארגונים בארה"ב ובריטניה מצביע שרק 30% מהארגונים ערוכים להתמודדות עם איומי הסייבר החדשים. האיומים הללו מכונים HEAT. מדובר על מתקפות שנועדו לפרוץ לרשת הארגונית מבלי לעורר חשד של מערכות ניטור.

התראה של CISA נגד פריצה ללווינים. לא כתוב בפרסום מי הם הגורמים שמתכוונים לפרוץ.

מתקפה חדשה: BITB. דפדפן בתוך דפדפן. אתר אמין ולגיטימי פותח חלון הזדהות שמתחזה לאתר לגיטימי.

עוד 200 חבילות זדוניות ב-NPM. נראה לי שאפשר לסכם ש-NPM היא פלטפורמה פרוצה.

או שחברת נסטלה נפרצה או שהייתה לה דליפה. תלוי את מי שואלים.

התראה של CISA על אפשרות שרוסיה או תוקפים שמזוהים איתה, יתקפו חברות אנרגיה אמריקאיות.

כללי

פייסבוק ספגה עוד קנס על הפרת GDPR. הפעם מהרגולטור באירלנד שידוע כמקל אז רק כ-20 מיליון דולר. אבל ייתכן שהרגולטור של האיחוד יתערב, כמו במקרים קודמים והקנס יקבל עוד אפס בסוף.

מדריך להקמת שרת אחסון אתרים ביתי.

בשעה טובה בית משפט בארה"ב דרש מחברה שפרסמה שהמוצר שלה קוד פתוח למרות שהוא לא להסיר את הפרסום.

הרגולטורים באיחוד האירופאי מזהירים מפני השקעה במטבעות וירטואליים. למה? כי אין עליהם רגולציה. למה אין עליהם רגולציה באיחוד? כי האיחוד לא מכיר בהם. משעשע למדי.

וירוס חדש שמתקין את chocolatey (מנהל חבילות קוד פתוח לחלונות), כדי שזה יתקין את pip ואז כמה חבילות פייתון שהווירוס צריך. רעיון מעניין.

מלחמת רוסיה אוקראינה

7.3.22 חדשות

לינוקס

בשעה טובה ומוצלחת שפת C בליבה של לינוקס תשודרג לתקן C11 (היום היא עם C89).

על מה שקורה מאחורי הקלעים כשיוצרים פוד חדש ב- k8s.

קוד פתוח

4 רמות של בשלות התיעוד של תהליכי DevOps.

מספר מאמרים שה-FSF מימנו על Github Copilot.

סקר של Linux Foundation מצא את 1000 ספריות הקוד הפתוח הפופולאריות ביותר.

גרסה ראשונה של ליברה אופיס לדפדפן (עם web assembly).

פרויקט Chaos Mesh של CNCF יצא מהאינקובטור. הפרויקט נועד להעמיס תשתיות ענן כדי למצוא חורים במענה של הארגון.

Steam Deck הושק רשמית.

אלטרנטיביות קוד פתוח למיינקראפט.

מאז 2009 מיקרוסופט איבדה 60% מנתח השוק של מערכות ההפעלה.

האם OpenStack מתה? מסתבר שלא.

חלופות קוד פתוח ל- Google Analytics. שימושי למי שצריך תאימות ל-GDPR.

מאמר על התלות בתוכנה סגורה לאור המלחמה בין רוסיה לאוקראינה.

אבטחת מידע

חץ בן חמו כותב על הפריצה האחרונה ל- nvidia וההבטחות לעקוף את הגבלות על הכרייה.

משאבות עירוי שמחוברות לאינטרנט סובלות מחולשות קריטיות רבות.

הסאגה של הפריצה ל- nvidia נמשכת. הפורצים דורשים הסרה של קוד ה- LHR שפוגע בביצועי הכרייה בחלק מהכרטיסים.

לפי ארה"ב קושחה היא החולייה החלשה באבטחה. הגיע הזמן באמת שמישהו ידבר על זה.

נראה שפושעים אוספים מידע היום, גם אם הוא מוצפן, בידיעה שהמחשב הקוונטי יגיע בקרוב ויאפשר להם לעקוף את ההצפנה.

מחקר על הזמן הדרוש לפריצת סיסמאות. בקיצור: לפחות 11 תווים, סימן, אות גדולה, אות קטנה ומספרים.

דוח על רמת החשיפה של חברות אבטחת מידע לאיומים.

מדריך של ה- NSA להגנה על רשתות.

מזל טוב! רגולציה חדשה נולדה. תכירו את DORA. רגולציה של האיחוד האירופאי שנועדה להתמודד עם כופרות. הרגולציה מיועדת למוסדות פיננסיים בלבד.

דוח שנתי הרגלי הדיוג בשנה החולפת.

דוח חדש מראה שלא מספיק להדריך עובדים. צריך גם להטמיע מערכות.

מחקר חדש מראה שלמעלה מ-70% מאנשי ה- SOC חווים שחיקה.

CISA הוסיפה עוד 95 חולשות לרשימה שלה.

מתקפה על ספק אינטרנט לווייני בצרפת גרמה לניתוק של 9000 לקוחות באירופה.

כללי

כדי להתקין את חלונות 11 צריך חיבור לאינטרנט וחשבון של MS.

12 תוכנות להגנה על הפרטיות.

על שקיעתה ונפילתה של שפת Java.

גם למכשירי סמסונג גלאקסי יש אפליקציית מערכת שמאטה אפליקציות.

על המגמה להקטין את העובי של גאדג'טים טכנולוגיים והבעיות שלה.

מפתחי דפדפנים החליטו שהגיע הזמן לפתור את כל אותן בעיות תאימות בין דפדפנים.

10.2.22 חדשות

לינוקס

תוכנה שמזכירה לכם, בשורת הפקודה, על איזה פרויקט גיט אתם עובדים.

רוצים לבדוק הפצה חדשה לפני השימוש? זה בשבילכם.

קוד פתוח

סקירה של שבב FPGA קוד פתוח בשם Clear.

אבטחת מידע

CISA הוציאה התראה לאור העלייה בשימוש של תוקפים בכופרות נגד גופים בכל העולם.

כללי

בית הנבחרים בארה"ב העביר חוק לפיו ארה"ב תעודד חברות לפתוח מפעלים לייצור שבבים בשטחה.

בתגובה לדרישה של האיחוד האירופאי מפייסבוק שלא לשמור מידע על משתמשי האיחוד בארה"ב (עקב חוסר התאימות בין החוק האמריקאי ל- GDPR), איימה פייסבוק שתחסום משתמשים מהאיחוד. בתגובה האיחוד הודיע שפייסבוק לא תחסר לו.

חברת ARM לא תימכר ל- Nvidia. במקום היא תונפק בנסדאק.

סקירה של מחשב שנועד לפיתוח משחקים ל- Super Nintendo. המחשב מעולם לא הושק.

2.2.22 חדשות

לינוקס

מישהו החליט לבדוק מה קורה ומה צריך לעשות כדי להתקין את כל החבילות במאגר של Arch על אותו מחשב.

קוד פתוח

על הדרכים להתקין קוברניטיס במחשב המקומי.

העבודה לכתיבת כלי הליבה של gnu בשפת rust מתקדמת.

סקירה של MNT Reform: מחשב נייד מוכוון קוד פתוח (גם בחומרה) ופרטיות. בשורה התחתונה, אם אתם מכורים לדבר, אז אולי משתלם. אחרת מדובר על משקולת במחיר מחשב נייד ארגוני (כמו Thinkpad) עם ביצועים נמוכים למדי.

מפתח ותיק של X.org החליט לבדוק את מצבם של כל מיני דרייברים איזוטריים בפרויקט. התוצאה: את רובם לא ניתן לבנות יותר כי הם תלויים בקוד שכבר לא קיים ב- X. מדובר על כל מיני דרייברים לכרטיסי תצוגה עתיקים או כאלה שמלכתחילה היה להם מספר ספור של משתמשים. יפה מצידו לנסות לעשות סדר.
(לדעתי הכותרת של הפוסט המקורי היא קליקבייט)

סקירה של Turris Omnia: נתב מבוסס OpenWRT.

אבטחת מידע

חוקרים השתמשו בסיבי משי כדי ליצור מפתחות הצפנה שלא ניתן לנחש.

פורסם הגיליון ה- 136 של Digital Whisper.

רשימת החולשות הפופולאריות של CISA עודכנה.

חוקרים הציגו שיטה שמאפשרת לזהות משתמשים לפי הכרטיס הגרפי שלהם. או ליתר דיוק, לזהות אותם טוב יותר. עדיין צריך להשתמש בשיטות אחרות.

מתקפות הסייבר של רוסיה על אוקראינה נמשכות.

חולשות בקושחת UEFI שנמצאת במכשירים רבים.

כללי

בית משפט מקומי בגרמניה פסק ששימוש בשירות הפונטים של גוגל מהווה הפרה של GDPR.

הצעה לבנות מערכת הפעלה שתעבוד בצורה דומה למסד נתונים.

27.1.22 חדשות

לינוקס

על Unaccepted Memory בליבה של לינוקס: טכנולוגיה של אינטל שתשפר אבטחת מידע של מכונות וירטואליות וזמני עלייה של מכונות. יש גם מקבילה אצל AMD.

פקודות לינוקס משעשעות.

אם יש לכם צורך להריץ לינוקס על 486SX, הנה פיתרון.

איך אפשר לגרום ללינוקס לקרוס? או אילו פקודות לא כדאי להריץ.

על הבעיות והיתרונות של NixOS. הפצה שניסתה לממש לקחים שנלמדו ממנהלי חבילות. כותב הכתבה חושב שהרעיונות מצוינים אבל המימוש רע.

קוד פתוח

מדריך בעברית לגישה למיילים של ג'מייל (אם הורדתם את המיילים לצרכי גיבוי).

פלוטון של MS הוא רכיב TPM שצמוד למעבד. הוא יגיע עם מחשבים חדשים. למרות החששות בנושא, הוא יופעל כברירת מחדל ולא ינעל את המחשב לחלונות 11 בלבד. כמוכן, בינתיים, הוא מגיע כבוי כברירת מחדל.

על מימון של פרויקטים קוד פתוח ודרכים בהן משתמשים יכולים להחזיר לקהילה גם בלי לתרום קוד לפרויקט.

9 תוספים שימושיים ל- Firefox.

טיפים להשתלבות מוצלחת בפרויקט קוד פתוח.

משהו מסריח קורה בדביאן.

מנהלי התחברות ל- SSH ללינוקס.

ה- FSF מגדיר חומרה פתוחה בצורה טיפה קיצונית (בלי רכיבי חומרה שאינם פתוחים). זה בלתי אפשרי בימינו כי אין חומרה פתוחה למחשבי קצה (יש כמה פרויקטי מחקר). אז ההגדרה מכירה בזה ומוסיפה החרגה. גם ההגדרה עצמה בעייתית מבחינה תוכנתית. בכתבה יש סקירה של שני מחשבים. אחד מהם ניצל פרצה בהגדרה למרות שהוא אינו פתוח והשני בחר להתעלם ממנה כדי שהמכשיר יהיה שימושי ללקוחות.

אבטחת מידע

ארה"ב הפעילה לחץ ורוסיה התחילה לעצור כנופיות סייבר שפועלות משטחה. הפושעים בתגובה מתחילים לחשוש שרוסיה היא כבר לא מדינת מקלט.

מספר התקיפות על שרשרת אספקה שילש את עצמו ב- 2021.

מערכות מידע של הצלב האדום נפרצו. הצלב האדום מעוניין לנהל מו"מ עם התוקפים כדי שלא ישחררו את המידע. מדובר על מערכת שעוזרת לאחד משפחות, גם כאלו שהופרדו בגלל מלחמות או דיקטטורות ועל פרסומו עשוי לגרום למותם של אנשים.

על הסיכונים שבשימוש באתר להמרת סרטוני וידיאו. רמז: צריך לקרוא את הצהרת הפרטיות של השירות. הם לא תמיד מתחייבים שלא להשתמש בסרטון שהועלה.

ארה"ב הטילה סנקציות על ארבעה בכירים בשלטון האוקראיני שמסייעים לרוסיה. נראה שלתוקפים הייתה גישה למערכות כבר כמה חודשים.

תוקפים סיניים השתמשו בוירוס שמיועד ל- UEFI. הוירוס מאפשר לתוקפים לחמוק מגילוי ולעקוף פרמוטים כיוון שאין היום כלים לגילוי וירוסים ב- UEFI. מדובר על תוקפים סיניים ששייכים או מקושרים למשטר.

תוקפים שולחים לחברות בארה"ב כונני USB עם תוכנה זדונית.

תקיפת שרשרת אספקה נגד WordPress. התוקפים פרצו לשרתי חברת שמפתחת תוספים ותבניות ושתלו בכולם קוד זדוני.

מערכות המידע של משרד החוץ הקנדי הותקפו על ידי גורם לא ידוע.

חברת EyeMed בארה"ב, שמספקת שירותי בריאות עיניים לחברות ביטוח בארה"ב, נקנסה ב- 600 אלף דולר. בעקבות חקירה, הסתבר שהחברה התרשלה בשמירת על נתוני המטופלים שלה, מה שהוביל לפריצה.

הבית הלבן פרסם הוראה שמחייבת ארגונים פדרליים לממש Zero Trust עד 2024.

עקב בעייה ב- Let's Encrypt, חלק מתעודות ה- SSL שניתנו על ידם יפוגו ב- 28.1.22, ב- 16:00 UTC. מדובר על תעודות שתומכות ב- TLS 1.0 שכבר לא נתמך על ידי Let's Encrypt.

כללי

הקנסות על ההפרה של GDPR גדלו ב- 2021 פי 7. מכ- 180 מיליון דולר לכ- 1.25 מיליארד דולר. נשים לב שסוגיית התאימות בין FISA (תקנות בארה"ב שמאפשרות לארגוני מודיעין לגשת למידע של חברות שמושבן בארה"ב) לבין GDPR עדיין לא נפתרה. כרגע יש חקירה נגד גוגל בנושא.
כמוכן נראה שלא ניתן לנסות להעביר את החקירה למדינה שלרוב נותנת קנסות מקלים כי בכל אופן לאיחוד תיהיה אפשרות להגדיל את הקנס (כמו שפייסבוק גילו בדרך הקשה כשהקנס גדל מ- 30 עד 50 מיליון יורו ל- 225 מיליון יורו).

תביעה בארה"ב נגד גוגל שמקשה על משתמשים לבטל את אפשרויות המעקב.

מערכת הפעלה רב תהליכית למעבד Z80. מוזמנים להציץ בקוד אם זה מעניין. Z80 הוא מעבד משנות ה-70.

נראה ש- Nvidia לא תרכוש את ARM בסוף.

הנדסה לאחור של פרוטוקול המקלדת של מערכת ההפעלה NeXT.

17.1.22 חדשות

לינוקס

כלי שורת פקודה להורדת ISO של הפצות.

קוד פתוח

שתי ספריות ב-NPM הושחתו על ידי המפתח עצמו. הקוד מאוחסן בגיטהאב ובתגובה גיטהאב לקחו לו את ההרשאות לחשבון בטענה שהוא הפר את כללי השימוש במערכת. גיטהאב שוב יוצרת תקדימים.

אבטחת מידע

מערכות מידע של בית כלא בארה"ב נפרצו. כתוצאה מכך נפגעו גם מערכות הניהול של הכלא.

CISA עדכנה את רשימת החולשות שנמצאות בשימוש על ידי תוקפים.

ארה"ב הוציאה אזהרת תקיפות סייבר מרוסיה לאור החשש מפלישה של רוסיה לאוקראינה. אזהרה של CISA.

משחק קלפים להגברת האבטחה בארגון.

קבוצת תוקפים הודית הדביקה את עצמה בסוס טרויאני, מה שהוביל לחשיפתה.

הצבא השוויצרי אוסר על חייליו, כולל אלו שנמצאים בשירות חובה, להשתמש בתוכנות מסרים מיידיים פרט לאחת שאושרה: Threema. האיסור כולל גם את סינגל. אין פה בעייה עם קוד פתוח כי גם טרימה היא קוד פתוח.

שירותי הבריאות של מדינת מרילנד בארה"ב סבלו ממתקפת כופר בדצמבר 2021.

רשות הגנת הפרטיות באוסטריה הודיעה שקיימת אי תאימות בין תקנות FISA האמריקאיות (שמאפשרות לארגוני מודיעין בארה"ב לעקוב אחרי זרים) לבין GDPR (תקנות הגנת הפרטיות באיחוד) שכן FISA מאפשרת לארגוני מודיעין אמריקאים לגשת למידע שמאוחסן על שרתים של כל חברה שבסיסה בארה"ב. המקרה שנידון כאן הוא Google Analytics.

כללי

לנובו הציגה מחשב נייד עם שבב אבטחה של MS. האם זה מאיים על לינוקס? לא ידוע.

סיפורו של SAGE, מערך ההגנה האווירית של ארצות הברית וקנדה שהוקם בסוף שנות ה-50. ‏IBM נבחרה לבנות אותו (כולל בנייה של 23 מחשבים חדשניים), מה שהכניס לה רווחים גדולים וניסיון שהיא מימשה לאחר מכן בפיתוח פתרונות מחשוב לארגונים.

הרשות האירופאית להגנה על הפרטיות הורתה ליורופול למחוק מידע על אנשים שלא הוכח שיש להם קשר לפשע.

למעלה
דילוג לתוכן