27.1.22 חדשות

לינוקס

על Unaccepted Memory בליבה של לינוקס: טכנולוגיה של אינטל שתשפר אבטחת מידע של מכונות וירטואליות וזמני עלייה של מכונות. יש גם מקבילה אצל AMD.

פקודות לינוקס משעשעות.

אם יש לכם צורך להריץ לינוקס על 486SX, הנה פיתרון.

איך אפשר לגרום ללינוקס לקרוס? או אילו פקודות לא כדאי להריץ.

על הבעיות והיתרונות של NixOS. הפצה שניסתה לממש לקחים שנלמדו ממנהלי חבילות. כותב הכתבה חושב שהרעיונות מצוינים אבל המימוש רע.

קוד פתוח

מדריך בעברית לגישה למיילים של ג'מייל (אם הורדתם את המיילים לצרכי גיבוי).

פלוטון של MS הוא רכיב TPM שצמוד למעבד. הוא יגיע עם מחשבים חדשים. למרות החששות בנושא, הוא יופעל כברירת מחדל ולא ינעל את המחשב לחלונות 11 בלבד. כמוכן, בינתיים, הוא מגיע כבוי כברירת מחדל.

על מימון של פרויקטים קוד פתוח ודרכים בהן משתמשים יכולים להחזיר לקהילה גם בלי לתרום קוד לפרויקט.

9 תוספים שימושיים ל- Firefox.

טיפים להשתלבות מוצלחת בפרויקט קוד פתוח.

משהו מסריח קורה בדביאן.

מנהלי התחברות ל- SSH ללינוקס.

ה- FSF מגדיר חומרה פתוחה בצורה טיפה קיצונית (בלי רכיבי חומרה שאינם פתוחים). זה בלתי אפשרי בימינו כי אין חומרה פתוחה למחשבי קצה (יש כמה פרויקטי מחקר). אז ההגדרה מכירה בזה ומוסיפה החרגה. גם ההגדרה עצמה בעייתית מבחינה תוכנתית. בכתבה יש סקירה של שני מחשבים. אחד מהם ניצל פרצה בהגדרה למרות שהוא אינו פתוח והשני בחר להתעלם ממנה כדי שהמכשיר יהיה שימושי ללקוחות.

אבטחת מידע

ארה"ב הפעילה לחץ ורוסיה התחילה לעצור כנופיות סייבר שפועלות משטחה. הפושעים בתגובה מתחילים לחשוש שרוסיה היא כבר לא מדינת מקלט.

מספר התקיפות על שרשרת אספקה שילש את עצמו ב- 2021.

מערכות מידע של הצלב האדום נפרצו. הצלב האדום מעוניין לנהל מו"מ עם התוקפים כדי שלא ישחררו את המידע. מדובר על מערכת שעוזרת לאחד משפחות, גם כאלו שהופרדו בגלל מלחמות או דיקטטורות ועל פרסומו עשוי לגרום למותם של אנשים.

על הסיכונים שבשימוש באתר להמרת סרטוני וידיאו. רמז: צריך לקרוא את הצהרת הפרטיות של השירות. הם לא תמיד מתחייבים שלא להשתמש בסרטון שהועלה.

ארה"ב הטילה סנקציות על ארבעה בכירים בשלטון האוקראיני שמסייעים לרוסיה. נראה שלתוקפים הייתה גישה למערכות כבר כמה חודשים.

תוקפים סיניים השתמשו בוירוס שמיועד ל- UEFI. הוירוס מאפשר לתוקפים לחמוק מגילוי ולעקוף פרמוטים כיוון שאין היום כלים לגילוי וירוסים ב- UEFI. מדובר על תוקפים סיניים ששייכים או מקושרים למשטר.

תוקפים שולחים לחברות בארה"ב כונני USB עם תוכנה זדונית.

תקיפת שרשרת אספקה נגד WordPress. התוקפים פרצו לשרתי חברת שמפתחת תוספים ותבניות ושתלו בכולם קוד זדוני.

מערכות המידע של משרד החוץ הקנדי הותקפו על ידי גורם לא ידוע.

חברת EyeMed בארה"ב, שמספקת שירותי בריאות עיניים לחברות ביטוח בארה"ב, נקנסה ב- 600 אלף דולר. בעקבות חקירה, הסתבר שהחברה התרשלה בשמירת על נתוני המטופלים שלה, מה שהוביל לפריצה.

הבית הלבן פרסם הוראה שמחייבת ארגונים פדרליים לממש Zero Trust עד 2024.

עקב בעייה ב- Let's Encrypt, חלק מתעודות ה- SSL שניתנו על ידם יפוגו ב- 28.1.22, ב- 16:00 UTC. מדובר על תעודות שתומכות ב- TLS 1.0 שכבר לא נתמך על ידי Let's Encrypt.

כללי

הקנסות על ההפרה של GDPR גדלו ב- 2021 פי 7. מכ- 180 מיליון דולר לכ- 1.25 מיליארד דולר. נשים לב שסוגיית התאימות בין FISA (תקנות בארה"ב שמאפשרות לארגוני מודיעין לגשת למידע של חברות שמושבן בארה"ב) לבין GDPR עדיין לא נפתרה. כרגע יש חקירה נגד גוגל בנושא.
כמוכן נראה שלא ניתן לנסות להעביר את החקירה למדינה שלרוב נותנת קנסות מקלים כי בכל אופן לאיחוד תיהיה אפשרות להגדיל את הקנס (כמו שפייסבוק גילו בדרך הקשה כשהקנס גדל מ- 30 עד 50 מיליון יורו ל- 225 מיליון יורו).

תביעה בארה"ב נגד גוגל שמקשה על משתמשים לבטל את אפשרויות המעקב.

מערכת הפעלה רב תהליכית למעבד Z80. מוזמנים להציץ בקוד אם זה מעניין. Z80 הוא מעבד משנות ה-70.

נראה ש- Nvidia לא תרכוש את ARM בסוף.

הנדסה לאחור של פרוטוקול המקלדת של מערכת ההפעלה NeXT.

6.1.22 חדשות

לינוקס

פרויקט חדש בפיתוח הליבה: סדר בקבצי ה- Header.

יכולת לעדכן את ה-UEFI בלי לאתחל את השרת תיכנס לליבה בגרסה 5.17.

ב-2021 אחוז משתמשי Steam עבר את ה-1% (מכלל משתמשי Steam).

קוד פתוח

אבטחת מידע

סיכום הפריצות של השנה החולפת.

וירוס משתמש בחולשה בחלונות שהתגלתה וטופלה ב-2013 אבל ב-2014 מיקרוסופט שינתה הגדרות כך שצריך להפעיל את ההגדרה (והיא לא מופעלת כברירת מחדל כך שהחולשה עדיין קיימת). אולי זה זמן טוב לבדוק אם יש עוד חולשות כאלו?

ה- FTC יקנוס ארגונים אמריקאיים שלא יטפלו בחולשות ה- log4j במוצרים שלהן.

חוקרים מצאו דרך לזייף אתחול וכיבוי באייפון. אפשר גם לזייף התראות סוללה חלשה ועל ידי כך המשתמש חושב שהמכשיר כבוי בעוד הוא למעשה דולק ומשדר כרגיל.

כללי

מיקרוסופט תיקנה את באג התאריך ב- Exchange שגורם לשרת לקרוס כי הוא לא יכול להתמודד עם התאריך 1.1.22.

קוסבו אסרה על כריית מטבעות קריפטוגרפיים עקב הפסקות חשמל מרובות. המדינה מתקשה לספק חשמל עקב העלייה במחירי הדלקים והכרייה לא תורמת למצב.

הרשויות בצרפת קנסו את גוגל ופייסבוק כיוון שהן לא מאפשרות לגולשים לסרב לעוגיות. כלומר אמנם מוצגת הודעה אבל המשתמש חייב להסכים לה כדי להמשיך.

דפדפן ל- DOS.

29.9.21

תוכנת ריגול שנמצאת בשימוש על ידי מדינות וגופי אכיפת חוק מצאה דרך חדשה להסוות את עצמה: בתוך קבצי ה- UEFI של חלונות.

סוכנות הסייבר של לטביה מזהירה מפני בעיות אבטחה וריגול בטלפונים סיניים. מדובר על חולשות במערכת ההפעלה שמותקנת על המכשיר. אצל שיאומי נמצאה גם תוכנת צנזורה שלא מאפשרת לשלוח ביטויים מסויימים. ממה שאני מבין מדובר על מערכת ההפעלה בלבד כך שאם אתם מתקינים הפצה אחרת (נניח lineageos), לא אמורה להיות בעייה.

OWASP עדכנו את רשימת עשרת החולשת שלהם (OWASP Top 10).

דילוג לתוכן