🎃 CISA: больше половины open source проектов написаны на «опасных» языках

Американские ИБ-агентства уже некоторое время озабочены общим уровнем уязвимости ПО и регулярно дают рекомендации разработчикам, в том числе буквально умоляют перейти на языки программирования, безопасно управляющие памятью. Этот подход действительно помогает производить приложения, не содержащие целых классов опасных уязвимостей (переполнение буфера, UaF), но переписать весь код на «безопасных» языках очень долго и трудоёмко. В эту сторону идут Microsoft и Google, но постепенно. Среди компаний и групп поменьше о массовом переходе пока говорить рано.

Новое исследование CISA посвящено анализу крупных и важных проектов с открытым исходным кодом, из которого очевидно, что 52% проектов содержит фрагменты на «опасных» языках, а если взять пропорцию по строкам написанного кода, то «опасными» являются 55%. При этом даже проекты, целиком написанные на языках, безопасно управляющих памятью, используют «опасные» библиотеки.

В целом всё это, конечно, констатирует, что вода мокрая, а проекты с двадцатилетней историей, такие как ядро Linux, вряд ли быстро перейдут на безопасные языки. Но для практической оценки потенциальной уязвимости проекта интересно углубиться в приложение к отчёту. Там для каждого из пары сотен крупнейших open source-проектов указаны общий объём его кодовой базы и процент, написанный на «безопасных» языках. Так можно узнать, что в Linux на «опасных» языках написано 95% кода, поэтому всякого рода LPE и RCE будут появляться ещё очень и очень долго, а в Kubernetes содержится всего 9 тысяч строчек на «опасных» языках, это 0% в их кодовой базе. Правда, даже для позитивно выглядящих проектов нужно смотреть глубже, потому что в Wordpress, например, 0 строчек на «опасных» языках, но дьявол кроется в плагинах, а Signal Desktop тоже блистает нулём, но вот фреймворк Electron, нужный ему для работы, «небезопасен» примерно наполовину, как и Chromium.

Подход к анализу, предложенный CISA, не претендует на всеобъемлющий результат, но может быть полезен при первичной оценке безопасности проектов, наряду с изучением истории прыдыдущих уязвимостей и их устранения. Меньше поверхность атаки — меньше придётся бегать с патчингом.

#статистика #уязвимости @П2Т

💎 Блокировка Docker Hub, гибридный SOC и другие интересные материалы июня

Напомним о важных и не сиюминутных материалах за этот месяц:

🔖как подготовиться к следующей блокировке вроде Docker Hub

🔖 почему ChatGPT и прочие LLM принципиально уязвимы

🔖 Microsoft отключит NTLM

🔖 как построить Zero trust и при чём тут XDR

🔖 что такое гибридный SOC и как его правильно готовить

🔖 стойкость реальных паролей: 59% можно подобрать за час

🔖 как оценить киберриски в деньгах: полезно при защите ИБ-бюджета

🔖 демонстрация облачной песочницы и других инструментов Kaspersky Threat Analysis

🔖 самые «популярные» уязвимости в РФ и СНГ

Приятного чтения и просмотра!
#дайджест #ИБ @П2Т

👀 TeamViewer хакнули

Пока идёт расследование и окончательный масштаб инцидента станет ясен позже, но по текущей информации злоумышленники проникли в корпоративную (офисную) сеть TeamViewer Germany GmbH при помощи скомпрометированного аккаунта сотрудника. Что они делали в сети, компания не говорит, но взлом атрибутируют группировке APT29, что означает вероятную нацеленность на компрометацию цепочки поставок в стиле SolarWinds. Конечно, TeamViewer в этом смысле является очень привлекательной целью. Пока TeamViewer настаивает, что офисная сеть строго изолирована от прода, поэтому ни пользовательские данные, ни продукты не пострадали. Будем с интересом наблюдать, компания оперативно разгласила инцидент, пригласила внешний IR и обещает регулярно публиковать новые данные по нему.

#новости @П2Т

Пиотровский: «Задача музея — гуманизировать новейшие технологии»

Директор Государственного Эрмитажа Михаил Пиотровский рассказал, как относится к современным технологиям, которые, в том числе, проникают в искусство. Речь о таких явлениях как NFT и искусственный интеллект.

«NFT — это не источник дополнительного заработка, новейшие технологии не нужны для заработка. Они не нужны музею, они нужны новейшим технологиям. Они с искусственным интеллектом, как мы видим, доводят до полного унижения человека. Вот чтобы они гуманизировались — в этом и есть задача музея»,

— заявил он на петербургском лектории VK Fest от «Знания».

Директор Эрмитажа подчеркнул, что музей распространяет NFT, которые имеют значение.

«Те NFT, которыми мы управляем, — это и есть содержание, произведения искусства, которые в отличной репродукции. То есть, это насыщает NFT содержанием, более-менее понятным для будущего времени»,

— отметил Михаил Пиотровский.

В сентябре 2021 года Эрмитаж продал токенизированные копии пяти произведений из коллекции музей на аукционе на криптобирже Binance. Сделка принесла музею порядка 32 млн рублей.

☂️ Подписаться | Прислать новость

Figma AI будет учиться на контенте пользователей

Figma, популярная платформа для дизайна, недавно объявила о внедрении набора ИИ-функций Figma AI. С 15 августа 2024 года Figma будет использовать контент, созданный пользователями, для обучения своих моделей ИИ.

Какой контент будет использоваться: текст и изображения, созданные в Figma; комментарии; аннотации; названия и свойства слоев; данные об использовании сервиса, такие как частота доступа и технические логи.

Что делать: пользователь может запретить использование его контента для обучения ИИ. Однако при отключении опции ряд ИИ-функций станет недоступен.

☁️ Сайт 📹YouTube 💬VK 💬TG

Оборот российских геймклубов в первом полугодии составил 14 млрд рублей

📝 Объем рынка компьютерных клубов в России за январь – июнь 2024 года вырос год к году примерно на 22% и составил около 14 млрд рублей. Об этом «Ведомостям» рассказал гендиректор российского разработчика решений для киберклубов Langame Дмитрий Лукин. В первом полугодии 2023 года оборот сегмента был равен 11,5 млрд рублей.

Одним из наиболее важных факторов роста рынка эксперты называют стоимость персональных компьютеров, а также рост количества игровых клубов в регионах и столице.

Именно в небольших регионах сейчас активнее всего открываются игровые клубы, подтверждает директор по развитию сети киберклубов True Gamers Эмин Мусеибов. Но количество игровых клубов в Москве за последние 12 месяцев выросло с 390 почти до 500, говорит совладелец сети 1shot Илья Литвиненко, ссылаясь на данные картографических сервисов.

🔜 Также Мусеибов считает основным фактором роста рынка компьютерных клубов интерес к киберспорту в России. «Россия – одна из самых крупных аудиторий киберспорта во всем мире. Им интересуется и молодежь до 35 лет включительно. И со временем популярность киберспорта будет только расти», – отмечает он.

@vedomosti

«СберМаркет» проводит ребрендинг

Сервис изменил название на «Купер» (от слова «купить»), фирменный стиль, приложение и сайт. Новое позиционирование учитывает доступность ассортимента в короткий промежуток времени – от 20 минут. Ребрендинг пройдет в несколько этапов и займет около полугода.

Зачем: по словам CEO «Купера» Анастасии Кудрявцевой, ребрендинг поможет стать ближе к нашим покупателям, ярко отстроиться от конкурентов и расширить аудиторию.

☁️ Сайт 📹YouTube 💬VK 💬TG

Аудитория проводит за просмотром ТВ в среднем 3 часа 35 минут.

🔹При этом 65% населения страны смотрит ТВ ежедневно. Предпочтение аудитория отдает сериальному и развлекательному контенту — 28% и 19% от всего времени просмотра телевидения соответственно.

📍Свежей аналитикой поделилась компания Mediascope.