Инцидент с подстановкой непристойных выражений в инсталлятор Ubuntu 23.10
https://www.opennet.ru/opennews/art.shtml?num=59922
https://www.opennet.ru/opennews/art.shtml?num=59922
www.opennet.ru
Инцидент с подстановкой непристойных выражений в инсталлятор Ubuntu 23.10
Вскоре после релиза Ubuntu 23.10 пользователи столкнулись с невозможностью загрузить сборки десктоп-редакции дистрибутива, которые были удалены с загрузочных серверов в связи экстренной заменой установочных образов. Замена была вызвана инцидентом, в результате…
Bitwarden и Vaultwarden повреждены
Кто использует Bitwarden или Vaultwarden скрестите пальцы. Дело в том, что в состав этих продуктов входит компонент SweetAlert2, который разрабатывают неадекватные люди.
Поясню. Время от времени Web интерфейс этих продуктов будет зависать у вас в браузере. Лечится это очисткой куков и кешей. Но потом опять появляется через какое-то время. Причем не всегда и не везде, зависит еще от браузера. К примеру в Firefox замечено чаще чем в других.
Проблема заключается в том, что с 24.02.2022 в компонент SweetAlert2 были внесены следующие изменения:
• 2022-11-24 Became a protestware, disabling plugin for the
• 2023-06-06 Добавлена доменная зона .by в вышеуказанное
Проще говоря, если интерфейс браузер на русском, а домен заканчивается на ru, то ваш браузер при входе в веб версию менеджера паролей будет пытаться воспроизвести файл https://flag-gimn.ru/wp-content/uploads/2021/09/Ukraina.mp3 и при этом доступ на веб версию сайта будет заблокирован. Вы не сможете ни ввести пароль, ни войти, ни выйти.
Разработчики Bitwarden уже исправили проблему и отказались от использования этого компонента. А вот VaultWarden тупит и ждет непонятно чего.
Имейте ввиду.
Кто использует Bitwarden или Vaultwarden скрестите пальцы. Дело в том, что в состав этих продуктов входит компонент SweetAlert2, который разрабатывают неадекватные люди.
Поясню. Время от времени Web интерфейс этих продуктов будет зависать у вас в браузере. Лечится это очисткой куков и кешей. Но потом опять появляется через какое-то время. Причем не всегда и не везде, зависит еще от браузера. К примеру в Firefox замечено чаще чем в других.
Проблема заключается в том, что с 24.02.2022 в компонент SweetAlert2 были внесены следующие изменения:
• 2022-11-24 Became a protestware, disabling plugin for the
.ru
, .su
, and .рф
domain zones and playing Ukrainian national anthem• 2023-06-06 Добавлена доменная зона .by в вышеуказанное
Проще говоря, если интерфейс браузер на русском, а домен заканчивается на ru, то ваш браузер при входе в веб версию менеджера паролей будет пытаться воспроизвести файл https://flag-gimn.ru/wp-content/uploads/2021/09/Ukraina.mp3 и при этом доступ на веб версию сайта будет заблокирован. Вы не сможете ни ввести пароль, ни войти, ни выйти.
Разработчики Bitwarden уже исправили проблему и отказались от использования этого компонента. А вот VaultWarden тупит и ждет непонятно чего.
Имейте ввиду.
Через взлом службы поддержки Okta были украдены токены доступа клиентов компании.
https://sec.okta.com/harfiles
https://sec.okta.com/harfiles
Okta Security
Okta October 2023 Security Incident Investigation Closure
Related Posts: Recommended Actions - Nov 29, 2023 / <a href="https://sec.okt
Кучно как-то пошло:
Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
https://www.opennet.ru/opennews/art.shtml?num=59965
По рекомендациям: добавьте уже CAA запись в ДНС, подпишитесь на CT-логи (ну или хотя бы периодически проверяйте https://crt.sh на выпуск сертификатов для вашего домена). Ну и по классике - не держите все яйца в одной корзине: разнесите по разным местам хостинг, ДНС, регистратора etc.
Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
https://www.opennet.ru/opennews/art.shtml?num=59965
По рекомендациям: добавьте уже CAA запись в ДНС, подпишитесь на CT-логи (ну или хотя бы периодически проверяйте https://crt.sh на выпуск сертификатов для вашего домена). Ну и по классике - не держите все яйца в одной корзине: разнесите по разным местам хостинг, ДНС, регистратора etc.
www.opennet.ru
Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные…
Ну и добавлю еще. Для меня Hetzner и Linode умерли, как хостеры. Если раньше я еще как-то рекомендовал Hetzner друзьям и знакомым, то теперь - категорически не рекомендую даже думать в их сторону.
Прилетела статистика ко вчерашнему разговору в соседнем чате:
В России блокируют 167 VPN-сервисов и больше 200 почтовых сервисов
– Под блокировку в России попали уже 167 VPN-сервисов
– Также в России заблокированы 200+ почтовых сервисов
– Это делают для противодействия угрозам безопасности
– Под блокировкой также находятся 590+ тыс. ресурсов
– Еще 84+ приложения и 24 центров рапространения ПО
– Более 17,5 тыс. IP-адресов включены в «белый список»
– Адреса из «белого списка» исключены из фильтрации
В России блокируют 167 VPN-сервисов и больше 200 почтовых сервисов
– Под блокировку в России попали уже 167 VPN-сервисов
– Также в России заблокированы 200+ почтовых сервисов
– Это делают для противодействия угрозам безопасности
– Под блокировкой также находятся 590+ тыс. ресурсов
– Еще 84+ приложения и 24 центров рапространения ПО
– Более 17,5 тыс. IP-адресов включены в «белый список»
– Адреса из «белого списка» исключены из фильтрации
Forwarded from Kovalski🪬 (𝕃𝕖 𝕊𝕥𝕚𝕟𝕘𝕖𝕣)
Please open Telegram to view this post
VIEW IN TELEGRAM
Похоже Телеграм сломал ботов, которые внезапно перестали работать в каналах с сообщением "Bad Request: not enough rights to send text messages to the chat".
Многие разработчики ботов сообщают о проблемах и на GitHub и на StackOverflow.
Интересное в IT
Многие разработчики ботов сообщают о проблемах и на GitHub и на StackOverflow.
Интересное в IT
Интересное в IT
Похоже Телеграм сломал ботов, которые внезапно перестали работать в каналах с сообщением "Bad Request: not enough rights to send text messages to the chat". Многие разработчики ботов сообщают о проблемах и на GitHub и на StackOverflow. Интересное в IT
Все заработало. Похоже пофиксили проблему.
Если вы фанат cli-утилит и управляете #k8s, то попробуйте KDash. Вам может понравится.
https://github.com/kdash-rs/kdash
Интересное в IT
https://github.com/kdash-rs/kdash
Интересное в IT
GitHub
GitHub - kdash-rs/kdash: A simple and fast dashboard for Kubernetes
A simple and fast dashboard for Kubernetes. Contribute to kdash-rs/kdash development by creating an account on GitHub.
Сбер открыл API для GigaChat (их содственный аналог ChatGPT). И он бесплатный для некомерческих задач.
Интересное в IT
Интересное в IT
www.sberbank.ru
GigaChat API стал доступен пользователям для создания некоммерческих проектов без дополнительной оплаты
Битва за флешку: кто изобрел USB-накопитель?
Флеш-накопитель был разработан в результате сочетания флеш-памяти и интерфейса USB, заменяя дискеты. Технологическая среда того времени способствовала появлению этого изобретения. Один из первых, кто вывел флешку на коммерческий рынок, был сингапурец Хенн Тан. Он вел судебные споры о нарушении патентов, но ему удалось добиться лишь ограниченного успеха. В 1994 году был разработан стандарт USB, обеспечивший единообразный интерфейс для подключения устройств хранения данных. В конце 1990-х годов разные компании начали пытаться получить патент на USB-флеш-накопитель, и израильская компания M-Systems в 2000 году получила права на форм-фактор DiskOnKey. Этому развитию также способствовала идея Сингапурской компании Trek 2000, которая предложила сочетание памяти и USB-порта. История памяти началась в 1967 году с создания mosfet-транзистора, а в 1970 году было изобретено стираемое/программируемое пзу (EPROM).
https://habr.com/ru/companies/first/articles/771294/
@Интересное в IT
Флеш-накопитель был разработан в результате сочетания флеш-памяти и интерфейса USB, заменяя дискеты. Технологическая среда того времени способствовала появлению этого изобретения. Один из первых, кто вывел флешку на коммерческий рынок, был сингапурец Хенн Тан. Он вел судебные споры о нарушении патентов, но ему удалось добиться лишь ограниченного успеха. В 1994 году был разработан стандарт USB, обеспечивший единообразный интерфейс для подключения устройств хранения данных. В конце 1990-х годов разные компании начали пытаться получить патент на USB-флеш-накопитель, и израильская компания M-Systems в 2000 году получила права на форм-фактор DiskOnKey. Этому развитию также способствовала идея Сингапурской компании Trek 2000, которая предложила сочетание памяти и USB-порта. История памяти началась в 1967 году с создания mosfet-транзистора, а в 1970 году было изобретено стираемое/программируемое пзу (EPROM).
https://habr.com/ru/companies/first/articles/771294/
@Интересное в IT
Хабр
Битва за флешку: кто изобрел USB-накопитель?
Кто изобрел USB-накопитель? Однозначно приписать эту заслугу кому-то конкретному нельзя — на авторство претендуют сразу несколько людей и компаний. Во многом появлению этого изобретения...
Первый софт для брутфорса
"2012 IEEE Symposium on Security and Privacy" is an important event in the field of computer security and privacy. It showcased the latest research and advancements in areas such as network security, cryptography, and data privacy. Participants from academia, industry, and government presented their findings and exchanged ideas to enhance security measures in the digital world.
https://habr.com/ru/companies/globalsign/articles/770608/
@Интересное в IT
"2012 IEEE Symposium on Security and Privacy" is an important event in the field of computer security and privacy. It showcased the latest research and advancements in areas such as network security, cryptography, and data privacy. Participants from academia, industry, and government presented their findings and exchanged ideas to enhance security measures in the digital world.
https://habr.com/ru/companies/globalsign/articles/770608/
@Интересное в IT
Хабр
John the Ripper и Hashcat. Эволюция брутфорса
Шифровальная машина M-209B стала прообразом первой юниксовой утилиты для шифрования паролей crypt Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые...
The Verge: Google Registry запускает новый домент верхнего уровня .ing
– Зарегистрировать домен .ing можно в рамках раннего доступа
– При этом нужно будет заплатить единовременную доп. плату
– Размер платы будет снижаться каждый день до 5 декабря
– Планируется, что 5 декабря домены .ing станут общедоступны
– Google Registry также работает над новым доменом .meme
– Пока на .meme действует ограниченный период регистрации
– Ранний доступ откроют 28 ноября, общий начнется 5 декабря
@Интересное в IT
– Зарегистрировать домен .ing можно в рамках раннего доступа
– При этом нужно будет заплатить единовременную доп. плату
– Размер платы будет снижаться каждый день до 5 декабря
– Планируется, что 5 декабря домены .ing станут общедоступны
– Google Registry также работает над новым доменом .meme
– Пока на .meme действует ограниченный период регистрации
– Ранний доступ откроют 28 ноября, общий начнется 5 декабря
@Интересное в IT
The Verge
Google is officially trying to make .ing domains a th.ing
What’re ya buy.ing?
Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов
Феномен утечки информации людей, использующих SSH, является долгоживущим явлением, на которое автор обратил внимание и хочет предостеречь о его опасности, особенно в настоящее время. SSH использует асимметричную криптографию для шифрования связи, а GitHub, как один из известных сервисов Git, публикует открытые ключи пользователей. Злоумышленники могут просканировать эти ключи и использовать их для идентификации граждан, ставя под угрозу их конфиденциальность.
https://habr.com/ru/articles/771688/
@Интересное в IT
Феномен утечки информации людей, использующих SSH, является долгоживущим явлением, на которое автор обратил внимание и хочет предостеречь о его опасности, особенно в настоящее время. SSH использует асимметричную криптографию для шифрования связи, а GitHub, как один из известных сервисов Git, публикует открытые ключи пользователей. Злоумышленники могут просканировать эти ключи и использовать их для идентификации граждан, ставя под угрозу их конфиденциальность.
https://habr.com/ru/articles/771688/
@Интересное в IT
Хабр
Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов
Недавно в своих ежедневных чтениях я наткнулся на явление, о котором думал уже много лет: феномен утечки информации людей, использующих SSH. Этот тип утечки информации не является новым явлением. Я...
Открытые бреши в NGINX угрожают безопасности данных Kubernetes
Специалисты по кибербезопасности обнаружили три опасные уязвимости в контроллере NGINX, которые могут привести к утечке конфиденциальных данных из кластеров Kubernetes. Уязвимости получили обозначения CVE-2023-5043, CVE-2023-5044 и CVE-2022-4886. Пока неизвестно, были ли они использованы в реальных атаках и когда будет выпущено исправление.
Уязвимости затрагивают NGINX Ingress Controller, используемый в Kubernetes, до версии 1.9.0. Они связаны с недостаточной проверкой входных данных, могут привести к внедрению произвольного кода и краже учетных данных и секретов кластера. Рекомендуется использовать флаг "--enable-annotation-validation" и проверять поле "pathtype" для смягчения последствий.
https://www.securitylab.ru/news/543207.php
@Интересное в IT
Специалисты по кибербезопасности обнаружили три опасные уязвимости в контроллере NGINX, которые могут привести к утечке конфиденциальных данных из кластеров Kubernetes. Уязвимости получили обозначения CVE-2023-5043, CVE-2023-5044 и CVE-2022-4886. Пока неизвестно, были ли они использованы в реальных атаках и когда будет выпущено исправление.
Уязвимости затрагивают NGINX Ingress Controller, используемый в Kubernetes, до версии 1.9.0. Они связаны с недостаточной проверкой входных данных, могут привести к внедрению произвольного кода и краже учетных данных и секретов кластера. Рекомендуется использовать флаг "--enable-annotation-validation" и проверять поле "pathtype" для смягчения последствий.
https://www.securitylab.ru/news/543207.php
@Интересное в IT
SecurityLab.ru
Открытые бреши в NGINX угрожают безопасности данных Kubernetes
Исправления до сих пор не выпущены. Кто знает, сколько хакеров успели использовать выявленные уязвимости.
Atlassian's senior management is all but begging customers to take immediate action.
Статья сообщает о критической уязвимости в приложении Atlassian's Confluence Enterprise Server, которая позволяет злоумышленникам выполнять вредоносные команды и сбрасывать серверы. Уязвимость активно эксплуатируется акторами, устанавливающими рансомваре.
https://arstechnica.com/security/2023/11/critical-vulnerability-in-atlassian-confluence-server-is-under-mass-exploitation/
@Интересное в IT
Статья сообщает о критической уязвимости в приложении Atlassian's Confluence Enterprise Server, которая позволяет злоумышленникам выполнять вредоносные команды и сбрасывать серверы. Уязвимость активно эксплуатируется акторами, устанавливающими рансомваре.
https://arstechnica.com/security/2023/11/critical-vulnerability-in-atlassian-confluence-server-is-under-mass-exploitation/
@Интересное в IT
Ars Technica
Critical vulnerability in Atlassian Confluence server is under “mass exploitation”
Atlassian's senior management is all but begging customers to take immediate action.
TechCrunch: OpenAI представила новую флагманскую модель GPT-4 Turbo
– OpenAI провела свою первую конференцию для разработчиков
– Компания представила две версии флагманской GPT-4 Turbo
– Это улучшенная версия флагманской модели ИИ от компании
– Одна версия GPT-4 Turbo предназначена для анализа текста
– Вторая версия может понимать контекст текста и изображений
– Цена: $0,01 за 1000 входных токенов и $0,03 за 1000 выходных
– Стоимость обработки изображений будет зависеть от размера
– Например, для разрешения 1080х1080 она составит $0,00765
– Стоимость GPT-4 Turbo будет в 2-3 раза ниже прошлых версий
– Контекстное окно GPT-4 Turbo будет 128 тыс. токенов (т.е. х4)
– Туда влезет около половины «Гарри Поттера и узника Азкабана»
– Это крупнейшее контекстное окно среди коммерческих моделей
– Также GPT-4 Turbo умеет поддерживать новый «режим JSON»
– OpenAI провела свою первую конференцию для разработчиков
– Компания представила две версии флагманской GPT-4 Turbo
– Это улучшенная версия флагманской модели ИИ от компании
– Одна версия GPT-4 Turbo предназначена для анализа текста
– Вторая версия может понимать контекст текста и изображений
– Цена: $0,01 за 1000 входных токенов и $0,03 за 1000 выходных
– Стоимость обработки изображений будет зависеть от размера
– Например, для разрешения 1080х1080 она составит $0,00765
– Стоимость GPT-4 Turbo будет в 2-3 раза ниже прошлых версий
– Контекстное окно GPT-4 Turbo будет 128 тыс. токенов (т.е. х4)
– Туда влезет около половины «Гарри Поттера и узника Азкабана»
– Это крупнейшее контекстное окно среди коммерческих моделей
– Также GPT-4 Turbo умеет поддерживать новый «режим JSON»
TechCrunch
OpenAI debuts GPT-4 Turbo and fine-tuning program for GPT-4
Today at its first-ever developer conference, OpenAI unveiled GPT-4 Turbo, an improved version of its flagship text-generating AI model, GPT-4, that the company claims is both “more powerful” and less expensive.
Кто еще не посмотрел новости о ChatGPT - бежим смотреть
https://youtu.be/8MBUl0f2Ojw?si=FPBmm2hp99q4I8ks
https://youtu.be/8MBUl0f2Ojw?si=FPBmm2hp99q4I8ks
YouTube
GPT-4 Turbo: Самая Мощная Нейросеть 21 века | Презентация на русском языке
Узнай, как настроить собственного GPT-4 ассистента: https://clck.ru/36VV6D
Реклама. ООО "АСМО" Erid: 2SDnje8J2ak
Присоединяйтесь к вступительному докладу OpenAl DevDay — первой конференции разработчиков OpenAl. Компания собирает разработчиков со всего мира…
Реклама. ООО "АСМО" Erid: 2SDnje8J2ak
Присоединяйтесь к вступительному докладу OpenAl DevDay — первой конференции разработчиков OpenAl. Компания собирает разработчиков со всего мира…