Минцифры объявило о запуске проекта по поиску уязвимостей на электронных ресурсах правительства. На первом этапе интернет-пользователям, зарегистрировавшимся в программе (багхантерам), предлагается взломать «Госуслуги» и Единую систему идентификации и аутентификации. Тому, кто найдет критическую уязвимость в защите ресурсов, спонсор программы, «Ростелеком», выплатит 1 млн руб., сообщила пресс-служба министерства.

Участие в программе по выявлению уязвимостей доступно для граждан России, которые зарегистрировались на платформах BI.ZONE (регистрация от 18 лет) или Standoff 365 Bug Bounty (от 14 лет, если есть письменное согласие родителей). Помимо 1 млн руб. за обнаружение критической уязвимости «Ростелеком» выплатит до 50 тыс. руб. за выявление уязвимости средней степени и от 50 тыс. до 200 тыс. руб.— высокой. Тем, кто обнаружит уязвимость низкой степени, Минцифры обещает подарки с символикой проекта.

>>> Подробности

Разработчики почтового клиента Thunderbird опубликовали план развития на следующие три года. В указанное время проект намерен достичь трёх главных целей:

• Переработка с нуля интерфейса пользователя с целью создания пригодной для разных категорий пользователей (новичков и старожилов), легко настраиваемой под собственные предпочтения и целостной системы оформления.
• Повышение надёжности и компактности кодовой базы, переписывание устаревшего кода и избавление от накопившихся проблем (избавление от технического долга).
• Переход на ежемесячное формирование новых релизов.

( читать дальше... )

>>> Подробности

Дискуссионная площадка Reddit раскрыла сведения об инциденте, в результате которого неизвестные получили доступ ко внутренним системам сервиса. Системы были скомпрометированы в результате компрометации учётных данных одного из сотрудников, который стал жертвой фишинга (сотрудник ввёл свои учётные данные и подтвердил вход двухфакторной аутентификации на подставном сайте, повторяющем интерфейс внутреннего шлюза компании).

При помощи захваченной учётной записи атакующие смогли получить доступ к внутренним документам компании и актуальным исходным текстам платформы (когда-то Reddit официально публиковал почти весь свой код, за исключением антиспам-систем, но 5 лет назад свернул данную практику). По заверению Reddit атакующие не получили доступ к персональным данным пользователей и первичным системам, обеспечивающим работу сайта и рекламной сети Reddit Ads.

( читать дальше... )

>>> Подробности

Организацией Linux Foundation предоставляются ветки SLTS (Super Long Term Support), которые сопровождается отдельно и будут поддерживаться 10-20 лет. Сопровождение SLTS-веток осуществляется в рамках проекта Civil Infrastructure Platform (CIP), в котором участвуют такие компании, как Toshiba, Siemens, Renesas, Hitachi и MOXA, а также вовлечены мэйнтейнеры LTS-веток основного ядра, разработчики Debian и создатели проекта KernelCI. Ядра SLTS ориентированы на применение в технических системах гражданской инфраструктуры и в важных промышленных системах.

Корпорация Microsoft провела презентацию новых версий поисковика Bing и браузера Edge, созданных на основе искусственного интеллекта. Поисковик сможет принимать запросы до 1000 символов, а также составлять текстовые ответы на запросы пользователей.

Bing дополнили ботом Prometheus, который создан на языковой модели нового поколения. Он сможет принимать запросы на 100 языках. Как утверждают в Microsoft, возможности поисковика превосходят возможности чат-бота ChatGPT.

Также поисковик будет выдавать готовые инструкции и ответы на запросы пользователей. Как пояснили на презентации, первое время ответы Bing будут выдавать вместе со ссылками на сайты, но в будущем их уберут.

Bing будет встроен в новые версии браузера Edge. Также Microsoft собирается встроить поисковик в операционную систему Windows в качестве помощника.

>>> Подробности

вот такие фотографии делают в AP. не чита коммерсантовским, где не хотят платить за фото.

Опубликован отчёт о задействовании аппаратного ускорения в Firefox в окружении Fedora 37 на системе с видеокартой NVIDIA. Отчёт подготовил Мартин Странский (Martin Stransky), мэйнтейнер пакетов с Firefox в Fedora и RHEL, занимающийся портированием Firefox для Wayland. Отмечается, что в Firefox удалось успешно задействовать аппаратное ускорение графики в окружениях X11 и Wayland при использовании проприетарного драйвера драйвера NVIDIA из репозитория RPM Fusion при помощи трансляции вызовов VA-API (Video Acceleration API, поддерживается в Firefox) в API VPDAU (Video Decode and Presentation API for Unix, предоставляется NVIDIA).

Трансляция выполнена при помощи пакета nvidia-vaapi-driver, который также размещён в репозитории RPM Fusion. Для работы требуется явное включение поддержки VA-API через параметр media.ffmpeg.vaapi.enabled в about:config и выставление переменных окружения "NVD_BACKEND=direct" и "MOZ_DISABLE_RDD_SANDBOX=1" перед запуском браузера для отключения изоляции процесса отрисовки, в котором пока наблюдаются нерешённые проблемы с обращением к VA-API из sandbox-а. Отмечается, что производительность аппаратного ускорения при подобном использовании NVIDIA не уступает конфигурациям с GPU AMD и Intel.

( читать дальше... )

>>> Подробности

Представлен новый консольный web-браузер Carbonyl, основанный на движке Chromium и способный отображать в терминале любые сайты, в том числе YouTube. Браузер поддерживает почти все Web API, включая WebGL, WebGPU и средства для воспроизведения видео, звука и анимации. Работа возможна как при прямом запуске терминала, так и при подключении через SSH. Обвязка вокруг движка Chromium написана на языках TypeScript, C++ и Rust.

( читать дальше... )

>>> Подробности

В соцсетях сообщалось, что в интернет были слиты 44,7 Гб исходных кодов «Яндекса». Компания проводит внутреннее расследование. «Яндекс» отрицает факт взлома.

бодро так уже обсуждают везде. список и магнет под катом.

( читать дальше... )

>>> Подробности

При составлении облака тегов @maxcom считал темы, мы посчитаем по-другому. По-моему так вышло честнее.

было -> стало

>>> Подробности

Украинские хакеры взломали телевизионное вещание в Крыму, запустив на ряде федеральных развлекательных каналов выступление президента Украины Владимира Зеленского.

>>> Подробности

Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.

Документ охватывает такие области, как настройка авторизации, ограничение механизмов получения привилегий, настройка прав доступа, настройка механизмов защиты ядра Linux, уменьшение периметра атак на ядро Linux и настройка средств защиты пользовательского пространства со стороны ядра Linux.

Основные рекомендации:

• Запрет учётных записей пользователей с пустыми паролями.
• Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).
• Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
• Ограничение списка пользователей, которым разрешено использоватькоманду sudo.
• Установка корректных прав доступа к файлам с параметрами пользователей (chmod 644 /etc/passwd /etc/group) и хешами паролей (chmod go-rwx /etc/shadow).
• Установка корректных прав доступа к файлам запущенных процессов через выполнение "chmod go-w /путь/к/файлу" для всех исполняемыхфайлов и библиотек, связанных с запущенными в настоящий момент процессами, с последующей проверкой, что каталог, содержащий данныефайлы, а также все родительские каталоги недоступны для записинепривилегированным пользователям.
• Установка корректных прав доступа к исполняемым файлам, вызываемым из cron ("chmod go-w путь_к_файлу"), а также к файлам конфигурации cron /etc/crontab и /etc/cron.* ("chmod go-wx путь").
• Установить корректные права доступа к файлам, выполняемым спомощью sudo ("chown root путь_к_файлу" и "chmod go-w путь_к_файлу").
• Установить корректные права доступа к стартовым скриптам системы("chmod o-w filename" к каждому файлу в /etc/rc#.d, а также к файлам .service).
• Установить корректные права доступа к исполняемым файлам ибиблиотекам, расположенным по стандартным путям (/bin,/usr/bin, /lib, /lib64 и т.п.), а также к модулям ядра (/lib/modules/версия-текущего-ядра).
• Установить корректные права доступа к SUID/SGID-приложениямпутём проведения аудита всех SUID/SGID-приложений и удаления SUID/SGID-флагов с лишних.
• Установить корректные права доступа к содержимому домашнихкаталогов пользователей (.bash_history, .history, .sh_history, .bash_profile, .bashrc, .profile, .bash_logout и т.п.).
• Установить корректные права доступа к домашним каталогампользователей (chmod 700 каталог).
• Ограничить доступ к журналу ядра (sysctl -w kernel.dmesg_restrict=1).
• Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).
• Инициализировать нулями динамическую память ядра (параметр init_on_alloc=1 при загрузке).
• Запрет слияния кэшей slab-аллокатора ядра (параметр slab_nomerge при загрузке).
• Инициализировать механизм IOMMU (параметры iommu=force, iommu.strict=1 и iommu.passthrough=0 при загрузке).
• Рандомизировать расположение ядерного стека (параметр randomize_kstack_offset=1 при загрузке).
• Включить защиту от аппаратных уязвимостей CPU (параметр mitigations=auto,nosmt при загрузке).
• Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).
• Отключить устаревший интерфейс vsyscall (параметр vsyscall=none при загрузке).
• Ограничить доступ к событиям производительности (sysctl -w kernel.perf_event_paranoid=3).
• Отключить монтирование виртуальной файловой системы debugfs (параметр debugfs=no-mount или off при загрузке).
• Отключить системный вызов kexec_load (sysctl -w kernel.kexec_load_disabled=1).
• Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0).
• Запретить системный вызов bpf для непривилегированныхпользователей (sysctl -w kernel.unprivileged_bpf_disabled=1).
• Запретить системный вызов userfaultfd для непривилегированныхпользователей (sysctl -w vm.unprivileged_userfaultfd=0).
• Запретить автоматическую загрузку модулей ядра, связанных с TTY Line Discipline (sysctl -w dev.tty.ldisc_autoload=0).
• Отключить технологию TSX (Transactional Synchronization Extensions)(параметр tsx=off при загрузке).
• Настроить минимальны виртуальный адрес, который разрешено использовать для mmap (sysctl -w vm.mmap_min_addr = 4096).
• Включить рандомизацию адресного пространства (sysctl -w kernel.randomize_va_space = 2).
• Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).
• Ограничить небезопасные варианты прохода по символическимссылкам (sysctl -w fs.protected_symlinks=1).
• Ограничить небезопасные варианты работы с жесткими ссылками(sysctl -w fs.protected_hardlinks=1).
• Включить защиту от непреднамеренной записи в FIFO-объект (sysctl -w fs.protected_fifos=2).
• Включить защиту от непреднамеренной записи в файл (sysctl -w fs.protected_regular=2).
• Запретить создание core dump для исполняемых файлов с флагом suid (sysctl -w fs.suid_dumpable=0).

( читать дальше... )

>>> Подробности

По информации Telegram-канала, в базе 141 тыс. строк. В ней содержатся фамилии, имена и отчества клиентов, фактические адреса, а также адреса регистрации, даты рождения, паспортные данные. Кроме этого, у некоторых клиентов указаны номера телефоны, электронные почты, номера СНИЛС и ИИН.

«Злоумышленники продолжают выкладывать неактуальные данные с подменой даты создания записей. Это компиляция из других утечек информации»,— сообщили в пресс-службе «Почты России» «Интерфаксу». там отметили, что после июльского инцидента был проведен полный аудит безопасности информационных систем, и никаких утечек из них не было.

>>> Подробности

Бьёрн Страуструп (Bjarne Stroustrup), создатель языка C++, опубликовал возражения против выводов, сделанных в отчёте АНБ, в котором организациям было рекомендовано отойти от использования языков программирования, таких как Си и Си++, перекладывающих управление памятью на разработчика, в пользу языков, таких как C#, Go, Java, Ruby, Rust и Swift, обеспечивающих автоматическое управление памятью или выполняющих проверки безопасной работы с памятью во время компиляции.

По мнению Страуструпа упомянутые в отчёте АНБ безопасные языки на деле не превосходят C++ в важных с его точки зрения применениях. В частности, развиваемые последние годы базовые рекомендации по использованию C++ (C++ Core Guidelines) охватывают методы безопасного программирование и предписывают применение средств, гарантирующих безопасную работу с типами и ресурсами. При этом разработчикам, которым не требуются подобные строгие гарантии безопасности, оставляется возможность продолжения использования старых методов разработки.

Страуструп считает, что хороший статический анализатор, соответствующий рекомендациям C++ Core Guidelines, может обеспечить необходимые гарантии безопасности C++ кода, требуя значительно меньше затрат, чем переход на новые безопасные языки программирования. Например, большинство рекомендаций Core Guidelines уже реализованы в статическом анализаторе и профиле безопасной работы с памятью из состава Microsoft Visual Studio. Часть рекомендаций также учтена в статическом анализаторе Clang tidy.

Объектом критики также стало акцентирование отчёта АНБ только на проблемах работы с памятью, оставляя без внимания многие другие проблемы языков программирования, влияющие на безопасность и надёжность. Страуструп рассматривает безопасность как более широкое понятие, различные грани которого могут быть достигнуты комбинацией стиля написания кода, библиотек и статических анализаторов. Для управления включением правил, обеспечивающих безопасность работы с типами и ресурсами, предлагается использовать аннотации в коде и опции компиляторов.

В приложениях, в которых производительность важнее безопасности, подобный подход даёт возможность выборочного применения средств, гарантирующих безопасность только там, где это необходимо. Инструменты повышения безопасности также можно применять частично, например, вначале ограничиться правилами проверки диапазонов и инициализации, а затем постепенно адаптировать код для более строгих требований.

( читать дальше... )

>>> Подробности

Компания Google объявила о массовых сокращениях персонала, в результате которого под увольнение подпадает около 12 тысяч сотрудников, что составляет примерно 6% от всего персонала. Среди прочего, появились сведения, что под сокращение попадают около 400 работников, занимавшихся проектом Fuchsia, что соответствует примерно 16% от общего числа сотрудников, вовлечённых в работу над данной ОС.

Кроме того, сообщается о существенном сокращении команды инкубатора Area 120, развивающего новые продукты и сервисы, а также продвигающего экспериментальные проекты компании (в подразделении Area 120 останется только три основных проекта, а остальные будут свёрнуты). Подробности о том как сокращение затронет другие проекты и подразделения Google пока отсутствуют.

( читать дальше... )

>>> Подробности

Состоялся выпуск набора интернет-приложений SeaMonkey 2.53.15, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60.8 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).

В новой версии:

• Из Firefox перенесена поддержка механизма Promise и вызовов для манипуляциями микрозадачами, таких как queueMicrotask().
• Удалены обработчик contentPrefService и вызовы для верификации сертификатов, выполнявшиеся в синхронном режиме.
• Добавлена серия настроек intl.locale для хранения списка локалей. Осуществлён переход с 'general.useragent.locale' на список 'intl.locale.requested.locale'. Заменены функции nsIPlatfromCharset и nsMsgI18NFileSystemCharset.
• В почтовом клиенте обеспечена поддержка папок 'Deleted' для Outlook и Hotmail. Для Yahoo/AOL реализована возможность пометки нежелательных сообщений.
• Реализовано отражение в логе запуска фильтров сообщений.
• Улучшена обработка тегов для совместно используемых почтовых папок.
• Продолжен перевод системы сборки с Python 2 на Python 3.
• Обеспечена совместимость с Rust 1.65.

Дополнительно можно отметить выпуск браузера Tor Browser 12.0.2, ориентированного на обеспечение анонимности, безопасности и приватности. Выпуск синхронизирован с кодовой базой Firefox 102.7.0 ESR, в которой устранено 10 уязвимостей. Обновлены версии tor 0.4.7.13 и дополнения NoScript 11.4.14, в системе сборки обновлён инструментарий go 1.19.5. Обновлён список STUN-серверов для обхода блокировок с использованием транспорта Snowflake. Решена проблема с обходом блокировки скриптов через манипуляцию с локальными ресурсами file://.

( читать дальше... )

>>> Подробности

В OpenBSD реализована техника защиты от эксплуатации уязвимостей, основанная на случайной перекомпоновке исполняемого файла sshd при каждой загрузке системы.

( читать дальше... )

>>> Подробности

Компания T-Mobile раскрыла сведения об инциденте, в результате которого злоумышленники смогли загрузить персональные данные 37 млн клиентов. Для совершения атаки использовались недоработки в реализации API, доступного без авторизации. Вредоносная активность была обнаружена 5 января, разбор показал, что извлечение данных производилось с 25 ноября 2022 года. В руки атакующих попали такие данные как ФИО, адрес, email, номер телефона, дата рождения, номер учётной записи в T-Mobile и сведения о тарифах и оказываемых услугах. Пароли и сведения о платежах не пострадали.

( читать дальше... )

>>> Подробности

Опубликован отчёт о составе окружений пользователей GNOME, подготовленный на основе данных, полученных в результате сбора телеметрии у 2560 пользователей, добровольно воспользовавшихся инструментом gnome-info-collect для отправки информации о своих системах. Полученные данные позволят разработчикам понять предпочтения пользователей и учесть их при принятии решений, связанных с повышением удобства работы и развитием оболочки.

Используемые дистрибутивы:

• Fedora 54.69%
• Arch 18.64%
• Ubuntu 10.61%
• Manjaro 5.56%

Наличие поддержки Flatpak:

• Flatpak установлен 93.13%
• Flatpak не установленн 6.87%

Браузер по умолчанию:

• Firefox 73.14%
• Chrome 11.64%
• Brave 4.76%
• GNOME Web 1.99%
• Vivaldi 1.91%
• LibreWolf 1.79%
• Chromium 1.71%
• Junction 1.55%
• Microsoft Edge 1.51%

Производитель оборудования:

• Lenovo 23.54%
• Dell 15.01%
• ASUS 11.91%
• HP 10.17%
• MSI 9.72%
• Gigabyte 9.63%
• Acer 3.92%

Активные функции удалённого доступа:

• SSH 20.95%
• Удалённый доступ к рабочему столу 9.85%
• Обмен файлами 6.36%
• Обмен мультимедийными данными 4.29%

Учётные записи в online-сервисах

Установленные дополнения к GNOME Shell:

• Appindicator support 43.66%
• Gsconnect 26.70%
• User theme 26.46%
• Dash to dock / panel 23.00%
• Sound output chooser 22.88%
• Blur my shell 21.06%
• Clipboard manager 20.26%
• Caffeine 17.68%
• System monitor 13.75%
• Just perfection desktop 12.63%
• Drive menu 12.32%
• Apps menu 12.24%
• Place menus 10.97%
• Openweather 9.61%
• Bluetooth quick connect 9.50%
• Night theme switcher 8.26%
• Tiling assistant 7.31%
• Launch new instance 7.15%
• Rounded window corners 6.28%
• Game mode 5.80%
• Alphabetical app grid 5.80%
• Burn my windows 5.56%
• GNOME UI tune 4.61%
• Auto move windows 3.93%
• Desktop icons 3.89%

Установленные приложения (полный список):

• GIMP 58.48%
• VLC 53.71%
• Steam 53.40%
• htop 46.25%
• Dconf Editor 43.28%
• Extension Manager 38.44%
• Inkscape 37.19%
• Flatseal 36.80%
• Discord 36.64%
• Chrome 35.12%
• GNOME Web 35.08%
• Chromium 34.02%
• Thunderbird 32.19%
• GParted 31.05%
• Wine 30.16%
• OBS Studio 30.08%
• Visual Studio Code 28.36%
• Transmission 28.09%
• Telegram 27.85%
• Geary 26.25%

( читать дальше... )

>>> Подробности

В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2023-22809), позволяющая локальному пользователю отредактировать любой файл в системе, что, в свою очередь, позволяет добиться получения прав root через изменение /etc/shadow или системных скриптов. Для эксплуатации уязвимости требуется, чтобы в файле sudoers пользователю было предоставлено право запускать утилиту sudoedit или "sudo" с флагом "-e".

( читать дальше... )

>>> Подробности