Search Results

LastPass informuje na swoim blogu że ktoś działa na ich cloud i uzyskał częściowe informacje o użytkownikach. W tym samym artykule możemy wyczytać że hasła jednak są bezpieczne i nikt nieautoryzowany nie miał do nich dostepu. Tu wpis lastpassa

Hej. na stronie https://www.microsoft.com/en-ie/training-days/azure/fundamentals# Możemy znaleźć kilka darmowych kursów z technologii Microsoft i Azure. Warte są one też uwagi z racji tego że za udział w tych kursach dostaje się zniżkę na egzaminy certyfikacji MS, które na pewno warto mieć w swoim portfolio - zapraszam.

Nadszedł czas, aby fani Ubuntu przetestowali codzienne kompilacje obrazów ISO następnej głównej wersji Ubuntu Linux, Ubuntu 23.04 (Lunar Lobster), która jest już dostępna do pobrania i publicznego testowania. Sześciomiesięczny cykl rozwoju Ubuntu 23.04 rozpoczął się pod koniec października 2022 r. wraz z przesłaniem zestawu narzędzi. Teraz pierwsi użytkownicy i twórcy aplikacji mogą pobrać codzienne wersje ISO, które pojawiły się dzisiaj na oficjalnych serwerach. Zgodnie z oczekiwaniami te codzienne obrazy kompilacji są oparte na poprzedniej wersji Ubuntu, Ubuntu 22.10 (Kinetic Kudu) , która została uruchomiona 20 października 2022 r. Oznacza to, że jest dostarczana z prawie tymi samymi podstawowymi komponentami, co poprzednia wersja, zwłaszcza jądro , ale także to samo środowisko graficzne i aplikacje. Podczas sześciomiesięcznego cyklu rozwojowego Ubuntu 23.04 otrzyma niektóre z najnowszych technologii i oprogramowania GNU/Linux, takie jak nadchodzące środowisko graficzne GNOME 44, nadchodząca seria jądra Linux 6.2 oraz nadchodzący stos graficzny Mesa 22.3. Inne godne uwagi technologie GNU/Linux spodziewane w wydaniu Lunar Lobster obejmują GCC 13 jako opcjonalny kompilator systemowy, LLVM 16, domyślnie Python 3.11, GNU Binutils 2.40, GNU C Library 2.37, OpenLDAP 2.6, Go 1.20 i PolicyKit 122. Wersja Lunar Lobster może być również pierwszą wersją Ubuntu, która w końcu zostanie dostarczona z odnowionym instalatorem na komputery stacjonarne, nad którym firma Canonical pracuje już od jakiegoś czasu. Nowy instalator jest napisany w pakiecie Google Flutter UI SDK i może być testowany w ramach codziennych obrazów kompilacji . Jeśli chcesz wziąć Ubuntu 23.04 na jazdę próbną, możesz pobrać codzienne wersje ISO tutaj . Należy jednak pamiętać, że są to obrazy przedpremierowe, których NIE należy instalować na maszynie produkcyjnej! Oprócz smaków Ubuntu Desktop i Server, znajdziesz także codzienne kompilacje dla oficjalnych wersji Kubuntu, Xubuntu, Lubuntu, Ubuntu Unity, Ubuntu MATE, Ubuntu Budgie i Ubuntu Kylin.

Trwają prace nad nową wersją OBS Studio (29.0), która obiecuje główne nowe funkcje i wiele ulepszeń jednego z najpopularniejszych, bezpłatnych, otwartych i wieloplatformowych programów do transmisji na żywo i nagrywania ekranu. OBS Studio 29.0 weszło dzisiaj w publiczne testy beta, a wśród największych nowych funkcji, których użytkownicy powinni oczekiwać od tej nadchodzącej wersji, jest obsługa kluczy multimedialnych w systemie Linux, obsługa kodera AMD AV1 dla procesorów graficznych AMD RDNA3, obsługa kodera Intel AV1 dla Intel Arc Procesory graficzne, obsługa kodera Intel HEVC, 3-pasmowy filtr korektora, a także filtr kompresora. Jeśli to ci nie wystarczy, OBS Studio 29.0 obiecuje również wiele innych ulepszeń, takich jak obsługa szyfrowania i uwierzytelniania dla wyjść SRT i RIST, ulepszenia filtrów wideo i audio NVIDIA , ulepszenia limitu pamięci Replay Buffer, możliwość kliknięcia prawym przyciskiem myszy i „Inspect”, ulepszona obsługa FFmpeg VA-API i obsługa Qt 6.4.1. Nadchodząca wersja OBS Studio zmienia również domyślne ustawienie wstępne Simple Output NVENC na P5 w celu dodatkowej kompatybilności i zwiększenia wydajności, usuwa automatyczną numerację na etykietach Multiview, przyspiesza dynamiczne odzyskiwanie bitrate po spadku i dodaje licznik slajdów do paska narzędzi źródłowych, gdy wybierzemy pokazu slajdów z obrazami. Oczywiście pojawi się również wiele poprawek błędów, które rozwiążą problemy z filtrami asynchronicznymi, poprawią wydajność wyjścia podglądu Decklink, naprawią problemy z kontrolą szybkości CQP dla koderów SVT i AOM AV1 oraz AMD HEVC, a także naprawią przechwytywanie UHD/4K YUV na karta przechwytująca AJA Kona HDM. Dopóki OBS Studio 29.0 nie pojawi się oficjalnie, możesz wziąć wersję beta na jazdę próbną, pobierając i kompilując plik źródłowy ze strony GitHub projektu lub instalując aplikację Flatpak z repozytorium Flathub Beta. Należy jednak pamiętać, że jest to wersja przedpremierowa, której NIE należy używać do jakichkolwiek prac produkcyjnych!

Firma Valve wypuściła dziś Proton 7.0-5 do publicznych testów jako Proton Next, nowa wersja tego narzędzia kompatybilności open-source dla Steam Play, opartego na Wine i dodatkowych komponentach, które pozwalają ci grać w gry Windows na systemach GNU/Linux. Wydanie Proton 7.0-5 obiecuje obsługę jeszcze większej liczby gier wideo z Windows, w które możesz teraz grać w swojej ulubionej dystrybucji GNU/Linux, jeśli masz zainstalowaną najnowszą wersję Proton na swoim kliencie Steam dla Linuksa. Nowo obsługiwane gry to Airborne Kingdom, Aspire: Ina's Tale, Battle Realms: Zen Edition, Bulletstorm: Full Clip Edition, Darkstar One, Deathsmiles II, Indiana Jones and the Emperor Tomb, Nancy Drew: Legend of the Crystal Skull, Unravel 2, Pico Park Classic Edition, Primal Carnage: Extinction, Rift, Re-Volt i Six Ages: Ride Like the Wind. Oprócz obsługi tych gier, wersja Proton 7.0-5 poprawia obsługę różnych już obsługiwanych gier, takich jak Batman: Arkham City GOTY, Armello, Bail or Jail, Call of Duty: Black Ops II, Disgaea 5, Dragon's Dogma : Dark Arisen, Final Fantasy IV (3D Remake), Final Fantasy XIV Online, GTA V, Marvel’s Spider-Man Remastered , Planet Zoo, Red Dead Redemption 2, Return to Monkey Island, SCP: Secret Labbratory, Space Engineers, Sword Art Online : Urzeczywistnienie Pustki i Tekken 7. Wreszcie, Proton 7.0-5 poprawia obsługę joysticka Thrustmaster HOTAS w grze Elite Dangerous, implementuje obsługę sieciowego wideo dla VRChat i aktualizuje zależność DXVK do DXVK 1.10.3-28-ge3daa699. Wydanie Proton 7.0-5 jest dostępne do pobrania jako plik źródłowy z informacji o wydaniu projektu GitHub . Nie jest obecnie dostępny do ogólnego użytku, ale tylko jako część Proton Next, nowej wersji Protona wydanej przez Valve, która jest dostępna, gdy pojawi się nowa, duża stabilna aktualizacja Protona do przetestowania. Aby włączyć Proton Next i przetestować wersję Proton 7.0-5, otwórz klienta Steam i przejdź do biblioteki gier. Kliknij prawym przyciskiem myszy dowolną grę, w którą chcesz grać za pomocą narzędzia zgodności Proton, przejdź do Preferencji, a następnie kliknij Zgodność po lewej stronie okna. Zaznacz „Wymuś użycie określonego narzędzia kompatybilności Steam Play, a następnie wybierz Proton Next z rozwijanej listy.

Zapraszam do poznania Azure z John Savile - na jego stronie i kanale na YouTube. Dobra pozycja do osób które zaczynają z Azure i chca wiedzieć jak zacząć oraz szukają darmowego miejsca do nauki. Oczywiście tu płacimy swoim czasem - materiały dostępne za darmo. Zapraszam. https://learn.onboardtoazure.com/ - strona WWW https://youtube.com/ntfaqguy - kanał na YouTube

W czwartek Google wydało aktualizacje oprogramowania, aby rozwiązać kolejną lukę dnia zerowego w swojej przeglądarce Chrome. Luka o wysokim poziomie ważności, śledzona jako CVE-2022-4135 , została opisana jako przepełnienie bufora sterty w komponencie GPU. Clement Lecigne z grupy Google Threat Analysis Group (TAG) zgłosił błąd 22 listopada 2022 r. Błędy przepełnienia bufora oparte na stercie mogą zostać wykorzystane przez cyberprzestępców do zawieszenia programu lub wykonania dowolnego kodu, co prowadzi do niezamierzonego zachowania. Według National Vulnerability Database NIST, luka może pozwolić „zdalnemu atakującemu, który naruszył proces renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pośrednictwem spreparowanej strony HTML”. „Google zdaje sobie sprawę, że exploit dla CVE-2022-4135 istnieje na wolności” – przyznał gigant technologiczny w poradniku. Ale podobnie jak w przypadku innych aktywnie wykorzystywanych problemów, szczegóły techniczne zostały wstrzymane, dopóki większość użytkowników nie zostanie zaktualizowana o poprawkę i aby zapobiec dalszym nadużyciom. Dzięki najnowszej aktualizacji Google wyeliminowało osiem luk zero-day w Chrome od początku roku – CVE-2022-0609 — Użycie po zwolnieniu w animacji CVE-2022-1096 — błąd typu w wersji CVE-2022-1364 — błąd typu w wersji CVE-2022-2294 — Przepełnienie bufora sterty w WebRTC CVE-2022-2856 — Niewystarczająca weryfikacja niezaufanych danych wejściowych w intencjach CVE-2022-3075 — Niewystarczająca weryfikacja danych w Mojo CVE-2022-3723 — Pomyłka w typie w wersji Użytkownikom zaleca się uaktualnienie do wersji 107.0.5304.121 w przypadku systemów macOS i Linux oraz 107.0.5304.121/.122 w przypadku systemu Windows w celu złagodzenia potencjalnych zagrożeń. Użytkownikom przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, zaleca się również stosowanie poprawek, gdy staną się one dostępne.

Podman Desktop to nowa, wieloplatformowa zintegrowana aplikacja komputerowa z ujednoliconym interfejsem użytkownika, który znacznie upraszcza pracę z kontenerami Podman. Kontenery stały się w ostatnich latach świętym pojęciem w branży IT. Prawdopodobnie nie zdajesz sobie z tego sprawy, ale pod maską kontenery zasilają dziś dużą część usług internetowych. Odkąd Docker odniósł sukces jako branżowy standard konteneryzacji usług, firma Red Hat współpracowała ze społecznością Open Source w celu opracowania alternatywy, która eliminuje wady Dockera. Efektem tej współpracy jest Podman. Krótko mówiąc, Podman (Pod Manager) to silnik kontenerów bez demonów typu open source, będący alternatywą dla Dockera, do tworzenia, zarządzania i uruchamiania kontenerów OCI w systemach Linux. Jednak do niedawna Docker miał jedną istotną zaletę: zintegrowane graficzne środowisko tworzenia i zarządzania kontenerami, aplikację Docker Desktop . Ale ostatnio Podman otrzymał podobne narzędzie. Poznaj Podmana Desktop. Co to jest pulpit Podmana? Podczas KubeCon North America 2022 , który odbył się w dniach 24-28 października w Detroit w stanie Michigan, społeczność Podman zaprezentowała Podman Desktop, nowe narzędzie programistyczne. Podman Desktop wykorzystuje silnik Podman, umożliwiając wygodną i szybką pracę z kontenerami z lokalnego środowiska. Pozwala uruchamiać kontenery na dowolnej maszynie w ciągu kilku minut za pomocą zaledwie kilku kliknięć. Ponadto łączy w sobie wszystkie funkcje Podmana z dodatkową zaletą przyjaznego dla użytkownika interfejsu GUI. Dzięki Podman Desktop możesz: Listuj, wyszukuj, sprawdzaj, łącz, uruchamiaj i zatrzymuj kontenery Twórz, ciągnij i wypychaj obrazy Zarządzaj zasobami Podmana — wyświetlaj przydzieloną pamięć, procesor i pamięć masową Twórz i uruchamiaj Pody za pomocą Podmana Importuj rozszerzenia Docker Desktop Sterowanie z ikony w zasobniku systemowym Możesz dowiedzieć się więcej o projekcie, odwiedzając jego stronę internetową lub sprawdzając jego oficjalną dokumentację . Jak zainstalować Podman Desktop w systemie Linux Podman Desktop to aplikacja wieloplatformowa. Oznacza to, że działa tak samo w różnych systemach operacyjnych i jest dostępny do instalacji w systemach Windows, Linux i macOS. Aby z nim pracować, potrzebujesz najnowszej wersji Podman Engine. Czemu? Ponieważ po uruchomieniu aplikacja przeszukuje system w poszukiwaniu Podman Engine i prosi o zainstalowanie go, jeśli nie zostanie znaleziony. W tym artykule przyjrzymy się, jak szybko i łatwo zainstalować Podman Desktop w systemie Linux. Oczywiście najprostszą metodą jest użycie Flatpak . Tu sprawa jest dużo prostsza. Najpierw uruchom następujące polecenie w terminalu, aby włączyć pilota Flathub, jeśli nie jest jeszcze włączony: sudo flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo Następnie uruchom następujące polecenie, aby zainstalować Podman Desktop w systemie Linux: sudo flatpak install flathub io.podman_desktop.PodmanDesktop Wreszcie, możesz uruchomić go bezpośrednio z programu uruchamiającego aplikacje. Lub z terminala, wpisując: flatpak run io.podman_desktop.PodmanDesktop Dostepne też jest standardowo w twoich pakietach w dystrybucji - więc standardowo w przypadku debiano podobnych wystarczy: sudo apt install podman.

Bezpłatny kurs z mesh platform, Istio - https://www.linuxfoundation.org/press/new-free-course-introduces-learners-to-the-popular-open-source-service-mesh-platform-istio Zapraszam.

W czwartek Microsoft przypisał niedawną falę incydentów ransomware wymierzonych w sektory transportu i logistyki na Ukrainie i w Polsce, grupie Sandworm. Ataki, które zostały ujawnione przez giganta technologicznego w zeszłym miesiącu, dotyczyły wcześniej nieudokumentowanego złośliwego oprogramowania o nazwie Prestige i podobno miały miejsce w ciągu godziny od siebie u wszystkich ofiarach. Microsoft Threat Intelligence Center (MSTIC) śledzi teraz cyberprzestępcę pod pseudonimem Iridium powiązanego z rosyjską grupą Sandworm (aka Iron Viking, TeleBots i Voodoo Bear). Firma oceniła również, że grupa zorganizowała działania na szkodę wielu ofiar "Prestige" już w marcu 2022 r., zanim zakończyło się wdrożenie oprogramowania ransomware 11 października. Metoda początkowej kompromitacji wciąż pozostaje nieznana, choć podejrzewa się, że polegała ona na uzyskaniu dostępu do wysoce uprzywilejowanych poświadczeń niezbędnych do aktywacji łańcucha złośliwego kodu. „Kampania Prestige ma na celu i może być problemem dla organizacji bezpośrednio dostarczających lub transportujących pomoc humanitarną lub wojskową na Ukrainę” – powiedziała firma. Odkrycia pojawiły się ponad miesiąc po tym, jak Recorded Future powiązało inną grupę z aktorem Sandworm, który wyróżniał ukraińskich użytkowników, podszywając się pod dostawców usług telekomunikacyjnych w kraju, aby dostarczać backdoory na zainfekowane maszyny. Microsoft w swoim raporcie Digital Defense Report opublikowanym w zeszłym tygodniu przyjął poczynania grupy za swój wzorzec atakowania infrastruktury krytycznej i jednostek technologii operacyjnej. Zródło: https://thehackernews.com/2022/11/microsoft-blames-russian-hackers-for.html

W swoich projektach czy to zawodowych czy hobbystycznych często wykorzystuję terraform. O tym czym jest możesz przeczytać w jednym z moich artykułów. Pozwól że, pokarze Ci moc tego narzędzia na przykładzie mojej konfiguracji z wykorzystaniem OVH i Digital Ocean. Zatem usiąść wygodnie i zaczynamy: Terraform i OVH Na początku musimy na czymś bazować, a więc trochę materiałów źródłowych. Zaczniemy zatem od takiej terminologii jak provider - więcej o tym możesz przeczytać w dokumentacji terraforma. providers - to nic innego jak deklaracja dostawcy zewnętrznego oraz jakich zasobów można używać u tego dostawcy (ang provider) Weźmy sobie na początek naszego dostawcę OVH - jego provider terraform OVH. Kod źródłowy privider ovh możemy znaleźć na stronie github. Właścicielem tego kodu jest OVH czyli to on napisał tego providera a nie sam HashiCopr. W samym rejestrze providerów możemy przeczytać i zobaczyć, że ma status partnera, to dobrze - bo nie chciałbym powierzać moich danych api (kluczy API) komuś obcemu - o api jeszcze sobie porozmawiamy. Zatem jeżeli chcemy użyć tego providera wystarczy w naszym projekcie dodać taka linijkę: provider.tf terraform { required_providers { ovh = { source = "ovh/ovh" } } } provider "ovh" { endpoint = "ovh-eu" application_key = "xxxxxxxxx" application_secret = "yyyyyyyyy" consumer_key = "zzzzzzzzzzzzzz" } Możemy zobaczyć że będziemy tutaj potrzebować naszych danych z OVH API w postaci klucza dostępowego. Są to dane dość wrażliwe, wiec spróbujmy je ukryć. Tak by przypadkiem nie trafiły do naszego projektu w którymś z commitów. terraform { required_providers { ovh = { source = "ovh/ovh" } } variable "ovh_endpoint" { description = "OVH endpoint" sensitive = true } variable "ovh_application_key" { description = "OVH application key" sensitive = true } variable "ovh_application_secret" { description = "OVH application secret" sensitive = true } variable "ovh_consumer_key" { description = "OVH consumer key" sensitive = true } provider "ovh" { endpoint = var.ovh_endpoint application_key = var.ovh_application_key application_secret = var.ovh_application_secret consumer_key = var.ovh_consumer_key } Teraz wygląda lepiej. Dzięki czemu nasze wartości będą bezpieczne w osobnym pliku - którego np możemy dodać w wykluczeniach .gitignore - lub podawać jako zmienne do naszej komendy lub ręcznie jako wartości odpytywane przez polecenia terraform wybór należy do Ciebie. Nasze zmienne używane w terraform też będą w stanie naszej konfiguracji przechowywane zahaszowane. O stanie sobie jeszcze porozmawiamy... Rekordy w zonie Dodawanie rekordu czy zarządzanie obecnym jest też proste - spójrzmy na nasz provider i jego zasoby (bo jak już wiemy provider to nic innego jak lista możliwych zasobów dostępnych u dostawcy, którymi możemy operować). Wybierzmy z rejestru ovh_domain_zone_record Mamy tu informacje i przykład jak używać tego zasobu, jakie ma argumenty i atrybuty referencyjne oraz jak zaimportować obecne już istniejące DNS zone records (rekordy DNS). Tylko skąd wziąć te ID. Api OVH Wszystkie te informacje od ID i do ktrego wpisu w naszej konfiguracji jest przypisany znajdziemy w API OVH - z racji że moje zony są w strefie EU logujemy się do odpowiedniego API OVH - jest to odpowiednio https://eu.api.ovh.com/ Szukamy interesującą nas domain/zone i pobieramy wartości za pomocą get (na stronie mamy specjalna funkcje, która nam to pobierze i wyświetli oraz mamy przykłady w innych językach programowania): Potem dla wybranej domeny pobieramy ID - szukamy teraz domain /zone/{zoneName}/record - i tu będziemy mieli nasze ID dla wszystkich rekordów (lub możemy ograniczyć dla konkretnego typu - ja zalecam zaimportować wszystkie, i też tak zrobię). Oczywiście import możemy sobie zautomatyzować kodem z mojego repo na bitbucket.org - ovh-terreform-import (tak, tak wiem literówka w nazwie repo, ale to specjalnie :) ). DigitalOcean i stan tf w bazie danych Mówiłem że porozmawiamy o stanie w terreform, myślę że już nadszedł czas na tym etapie. My będziemy wykorzystywać stan naszej infrastruktury zapisane w bazie danych. Można jednak wykorzystywać plik znajdujący się lokalnie na naszym dysku. Na przykład jak dopiero zaczynasz zabawę z terraform lokalny stan jest trzymany w pliku - jest tym domyślnym stanem. Zalecanym kiedy korzystasz samodzielnie z projektu (będzie to bardzo rzadko). Co w takim pliku znajdziemy, pojawi on się po wydaniu komendy terraform apply (ale poczekaj jeszcze - nie wydawaj tej komendy) pojawił się plik terraform.tfstate (pod żadnym pozorem nie należy go edytować ręcznie). To w nim terraform przechowuje wszystkie informacje na temat stworzonych zasobów i dzięki niemu jeśli jeszcze raz wykonamy skrypt, to nie zostaną utworzone nowe zasoby (ponieważ już istnieją). W przypadku gdyby ktoś ręcznie dodał np. nowy tag do ec2 to terraform plan by to pokazał jako różnicę którą zamierza usunąć. Przy naszej aktualnej konfiguracji taki plik stanu trzeba by wrzucić do repozytorium by inni widzieli nasze zmiany. Nie jest to zalecanym wyjściem, głównym problemem jest to, że dwie osoby modyfikujące ten sam plik stanu terraforma nie widzą swoich zmian, przez co pojawia się wyścig, który wygrywa osoba uruchamiająca terraforma jako ostatnia. W gorszym przypadku operacja może się zakończyć błędem, którego przyczynę będzie nam ciężko określić. Tutaj też powinniśmy się zatrzymać i pomyśleć gdzie chcemy przechowywać nasz stan konfiguracji naszej infrastruktury w terraform. Możemy (dla uproszenia) przechowywać go lokalnie (minusy już poznałeś) lub zdalnie. Ja wybiorę tą drugą opcję i skorzystam z bazy PostgreSQL w Digital Ocean. Usera oraz bazę danych do przechowywania naszego stanu można utworzyć z pgadmin lub z samego panelu postgresql w digitalocean: Konfiguracja skryptów z repo i import Na początek będą potrzebne nam dwa pliki .auto.tfvars (jeżeli nie chcemy podawać wartości podczas wywołania skryptu) i ovh.api (to na potrzeby naszego kodu do pobierania wartości/ i importu w python). plik .auto.tfvars ovh_endpoint = "ovh-eu" ovh_application_key = "" ovh_application_secret = "" ovh_consumer_key = "" plik ovh.api export OVH_ZONE="example.com" export OVH_CONSUMER_KEY='' export OVH_APPLICATION_SECRET='' export OVH_APPLICATION_KEY='' export OVH_ENDPOINT='ovh-eu' Uzupełnimy nasze klucze wygenerowane w panelu api ovh - pamiętajmy tylko o ich wykluczeniu w naszym repo git. Dodatkowo nasze API klucze możemy uwarunkować do działania tylko z konkretnego IP, lub ograniczyć czasowo. Zalecam mix tych opcji, bo zakres uprawnień choć zawężony tylko do opcji /domain to dający wszystkie uprawnienia GET, POST, PUT i DELETE Zanim przejdziemy do uruchomienia naszego skryptu, który wygeneruje nasze pliki konfiguracyjne wydajmy polecenie terraform init Zainicjalizuje to nasze moduły - i jeżeli korzystamy z naszego stanu zapisywanego w bazie danych utworzy nam nasze połaczenie. Plik 00_zones.txt uzupełniamy o nasze zony, wpisy per linia na każdą zone (Domenę z naszego panelu OVH) zakończony pustą linią (bez tej pustej lini pomija ostatni rekord - to nie bug to feature :P ) Po uruchomieniu importu (jednorazowo source ovh.api a potem nasz skrypt ./00_generate_tf.sh) będziemy mieli nasze poszczególne rekordy w naszej zonie DNS umieszczone w osobnym pliku tf, dla każdej domeny - tak by czytelność została zachowana. Jest to też odzwierciedlenie naszej infrastruktury w OVH tam też każdy rekord to osobna strona do konfiguracji. Skrypt wykona też odrazu import naszej obecnej konfiguracji w OVH do naszego stanu. Bez tej operacji każdy wpis nawet gdyby odwoływał się już do istniejącego rekordu to byłby traktowany jako nowy wpis i mielibyśmy duplikaty. Po imporcie wydajmy polecenie: terraform plan Które zwróci nam informacje o tym że nasz import i nasze pliki konfiguracyjne odpowiadają stanowi w naszej konfiguracji w OVH Czas na zmiany Może nie dokońca zmian a nowe rekordy - dodane ich nie stanowi problemu. Poniższy przykład pokazuje jak to zrobić dla rekordu txt resource "ovh_domain_zone_record" "terraform-in-txt-technicznie-nietechnicznie-cloud" { fieldtype = "TXT" ttl = "0" zone = "technicznie-nietechnicznie.cloud" subdomain = "" target = "terraform-in" } Po dodaniu takiego rekordu teraz gdy wydamy terraform plan zobaczymy taka informacje (Ja dodałem trzy rekordy): Możemy zobaczyć że nasze rekordy teraz pokazują się na liście jako do dodania. Zatem jed oddajmy poleceniem terraform apply. Na koniec tylko bedziemy musieli zaakceptować zmianę słowem yes i nasz rekord bedzie dodany. Podsumowanie. Jak widać praca z terraform może być prosta i przyjemna oraz rodzi to dużo korzyści w postaci panowania nad naszą infrastrukturą. Daj znać czy wpis i materiał się podobał oraz czy chcesz więcej takich wpisów.

W tym krótkim wpisie omówię wszystko, co trzeba wiedzieć o Terraform — narzędziu, które umożliwia bezpieczne i wydajne tworzenie, zmienianie i dostosowywanie wersji infrastruktury. Czym jest Terraform? Terraform to otwarte narzędzie typu „Infrastruktura jako kod” (IaC - Infrastructure as code) stworzone przez HashiCorp. Terraform, narzędzie do kodowania deklaratywnego, używa języka konfiguracji wysokiego poziomu o nazwie HCL (język konfiguracji HashiCorp — HashiCorp Configuration Language) do opisywania finalnego kształtu żądanej chmury lub infrastruktury lokalnej do uruchamiania aplikacji. Następnie generuje plan osiągnięcia tego stanu końcowego oraz realizuje plan zaopatrzenia infrastruktury. Ponieważ Terraform używa prostej składni, może zaopatrywać infrastrukturę w wielu chmurowych (AWS, Digital Ocean, Azure, GCP, OVH - to tylko lista niektórych przykładów) i lokalnych (Docker, KVM) centrach danych oraz pozwala bezpiecznie i wydajnie ponownie zaopatrzyć infrastrukturę w odpowiedzi na zmiany konfiguracji. Jest to bez wątpienia jedno z najpopularniejszych dostępnych narzędzi do automatyzacji infrastruktury. Dlaczego Infrastruktura jako kod (Infrastructure as Code — IaC)? Aby lepiej zrozumieć zalety Terraform, najpierw warto poznać korzyści Infrastruktury jako kodu (IaC). IaC umożliwia kodyfikację infrastruktury w sposób, który sprawia, że zaopatrywanie staje się zautomatyzowane, szybsze i powtarzalne. Jest to kluczowy element praktyk Agile i DevOps, takich jak kontrola wersji, ciągła integracja oraz ciągłe wdrażanie. Całość konfiguracji masz zapisaną w kodzie, dlatego zawsze stworzy się taka sama konfiguracja a zmianę z środowiska testowego na produkcyjne czy inne łatwo zmodyfikować Infrastruktura jako kod może pomóc w: Zwiększeniu szybkości: automatyzacja jest szybsza niż ręczna nawigacja po interfejsie, gdy trzeba wdrożyć i/lub połączyć zasoby. Wyższa niezawodność: jeśli Twoja infrastruktura jest duża, łatwo jest błędnie skonfigurować zasoby lub świadczyć usługi w niewłaściwej kolejności. Dzięki IaC zasoby są zawsze dostarczane i konfigurowane dokładnie tak, jak zadeklarowano. Zapobieganie dryfowaniu konfiguracji: dryft konfiguracji występuje wtedy, gdy konfiguracja, która udostępniła środowisko, nie pasuje już do rzeczywistego środowiska. (Patrz poniżej: „Niezmienna infrastruktura”). Wspieranie eksperymentowania, testowania i optymalizacji: ponieważ Infrastruktura jako kod sprawia, że dostarczanie nowej infrastruktury jest o wiele szybsze i łatwiejsze, można wprowadzać i testować eksperymentalne zmiany bez inwestowania dużej ilości czasu i zasobów; a jeśli spodobają Ci się wyniki, można szybko rozszerzyć nową infrastrukturę do wielkości umożliwiającej codzienną obsługę. Dlaczego Terraform? Programiści wybierają Terraform zamiast innych narzędzi typu Infrastruktura jako kod z kilku kluczowych powodów: Open Source: Terraform jest narzędziem rozwijanym przez duże społeczności współautorów, którzy tworzą wtyczki do platformy. Dzięki czemu nie jest to narzędzie zaszyte w łapskach jednej organizacji i dzięki temu szybko się rozwija. Niezależnie od tego, z którego dostawcy usług w chmurze korzystasz, możesz łatwo znaleźć wtyczki, rozszerzenia i profesjonalne wsparcie. Oznacza to również, że Terraform szybko ewoluuje dzięki stale dodawanym korzyściom oraz ulepszeniom. Niezależność od platformy: oznacza, że narzędzia można używać niezależnie od tego, kto jest dostawcą usług w chmurze. Większość innych narzędzi IaC jest przeznaczona do obsługi z jednym dostawcą usług w chmurze. (dobry przykład Cloud Formation - który działa tylko na AWS). Niezmienna infrastruktura: większość narzędzi typu Infrastruktura jako kod tworzy zmienną infrastrukturę, co oznacza, że infrastruktura może dostosować się do zmian, takich jak aktualizacja oprogramowania pośredniczącego czy nowy serwer pamięci masowej. Niebezpieczeństwo związane ze zmienną infrastrukturą to dryft konfiguracji — w miarę nagromadzania się zmian faktyczne udostępnianie różnych serwerów lub innych elementów infrastruktury znacznie „dryfuje” od pierwotnej konfiguracji, co utrudnia diagnozę i naprawę błędów oraz problemów z wydajnością. Terraform zapewnia niezmienną infrastrukturę, co oznacza, że przy każdej zmianie środowiska bieżąca konfiguracja jest zastępowana nową, która uwzględnia zmianę, a infrastruktura zostaje ponownie udostępniona. Co więcej, poprzednie wersje konfiguracji można zachować, aby umożliwić wycofanie zmian, jeśli będzie to konieczne lub pożądane. Terraform - kurs PL Moduły Terraform Moduły Terraform to małe konfiguracje Terraform wielokrotnego użytku dla wielu zasobów infrastruktury, które są używane razem. Moduły Terraform są przydatne, ponieważ umożliwiają zautomatyzowanie złożonych zasobów za pomocą konfigurowalnych obiektów wielokrotnego użytku. Napisanie nawet bardzo prostego pliku Terraform skutkuje powstaniem modułu. Moduł może wywoływać inne moduły — zwane modułami podrzędnymi — dzięki czemu tworzenie konfiguracji jest szybszym i bardziej spójnie przebiegającym procesem. Moduły można również wywoływać wiele razy, w ramach tej samej konfiguracji lub w oddzielnych konfiguracjach. Dostawcy Terraform Dostawcy Terraform pełnią funkcję wtyczek, które wprowadzają typy zasobów. Dostawcy przekazują cały kod potrzebny do uwierzytelnienia i połączenia się z usługą — zwykle za pośrednictwem dostawcy chmury publicznej — w imieniu użytkownika. Można znaleźć dostawców używanych platform i usług w chmurze, dodać ich do konfiguracji, a następnie wykorzystać ich zasoby do udostępniania infrastruktury. Lista dostawców obejmuje prawie każdego głównego dostawcę usług w chmurze, dostawców oferty SaaS i innych, stworzonych i/lub wspieranych przez społeczność Terraform lub poszczególne organizacje. Szczegółową listę można znaleźć w dokumentacji Terraform. Terraform a Kubernetes Czasami w związku z Terraform i Kubernetes występuje zamieszanie, nie wiadomo, czemu właściwie służą. Prawda jest taka, że nie są one alternatywami i skutecznie razem działają. Kubernetes to system koordynowania kontenerów typu open source, który umożliwia programistom planowanie wdrożeń w węzłach w klastrze obliczeniowym i aktywne zarządzanie obciążeniami kontenerowymi, aby upewnić się, że ich stan odpowiada intencjom użytkowników. Z kolei Terraform jest narzędziem typu Infrastruktura jako kod o znacznie szerszym zasięgu, umożliwia programistom automatyzację całej infrastruktury obejmującej wiele chmur publicznych i prywatnych. Terraform może automatyzować funkcje na poziomie infrastruktury jako usługi (IaaS), platformy jako usługi (PaaS) i oprogramowania jako usługi (SaaS) oraz zarządzać nimi oraz jednocześnie budować te wszystkie zasoby w przypadku każdego z tych dostawców. Za pomocą Terraform można zautomatyzować udostępnianie Kubernetes — w szczególności zarządzanych klastrów Kubernetes na platformach chmurowych — oraz zautomatyzować wdrażanie aplikacji w klastrze. Terraform a Ansible Terraform i Ansible są narzędziami typu Infrastruktura jako kod, ale istnieje kilka istotnych różnic między nimi: Terraform jest narzędziem czysto deklaratywnym (patrz wyżej), z kolei Ansible łączy w sobie zarówno konfigurację deklaratywną, jak i proceduralną. W konfiguracji proceduralnej określa się kroki lub dokładny sposób, w jaki infrastruktura ma być udostępniona do żądanego stanu. Konfiguracja proceduralna wymaga więcej pracy, ale zapewnia większy zakres kontroli. Terraform jest narzędziem typu open source; Ansible został opracowany i jest sprzedawany przez firmę Red Hat. Podsumowanie Na portalu technicznie-nietechnicznie.pl pojawi się jeszcze klika przykładów pokazujących siłę tego narzędzia. Mam nadzieję że ten wstęp czysto teoretyczny rozwinął trochę twoje informacje na tematy Terreform - zapraszam do subskrybcji i śledzenia informacji na bieżąco.

Popularna skrócona usługa udostępniania wideo TikTok zmienia swoją politykę prywatności dla europejskich użytkowników, aby wyraźnie wyjaśnić, że dostęp do danych użytkowników mogą mieć niektórzy pracownicy z całego świata, w tym z Chin. Platforma będąca własnością ByteDance, która obecnie przechowuje dane użytkowników z Europy w Stanach Zjednoczonych i Singapurze, powiedziała, że ​​rewizja jest częścią jej bieżących wysiłków w zakresie zarządzania danymi, aby ograniczyć dostęp pracowników do użytkowników w regionie, zminimalizować przepływy danych poza nią i przechowywać informacje lokalnie. Aktualizacja polityki prywatności dotyczy użytkowników znajdujących się w Wielkiej Brytanii, Europejskim Obszarze Gospodarczym (EOG) i Szwajcarii i wchodzi w życie 2 grudnia 2022 r., według The Guardian. „W oparciu o wykazaną potrzebę wykonywania swojej pracy, z zastrzeżeniem szeregu solidnych kontroli bezpieczeństwa i protokołów zatwierdzania oraz za pomocą metod uznanych w ramach RODO, zezwalamy niektórym pracownikom w naszej grupie korporacyjnej z siedzibą w Brazylii, Kanadzie i Chinach , Izrael, Japonia, Malezja, Filipiny, Singapur, Korea Południowa i USA zdalny dostęp do europejskich danych użytkowników TikTok” – podała firma . TikTok powiedział dalej, że jego kontrola bezpieczeństwa obejmuje ograniczenia dostępu do systemu, szyfrowanie i bezpieczeństwo sieci, dodając, że nie zbiera dokładnych informacji o lokalizacji od swoich użytkowników w Europie. Rozwój odbywa się również wbrew rosnącej kontroli regulacyjnej platformy po obu stronach Atlantyku, która ma ponad miliard aktywnych użytkowników miesięcznie. ByteDance wielokrotnie zaprzeczał, że jest kontrolowany przez chiński rząd. W lipcu 2022 r. zahamowała kontrowersyjna aktualizacja polityki prywatności w Europie, która mogła pozwolić na wyświetlanie reklam kierowanych na podstawie aktywności użytkowników na platformie wideo społecznościowej bez ich wyraźnej zgody. Zmagała się również z niesprzyjającą pogodą w USA, z Brendanem Carrem, republikańskim członkiem Federalnej Komisji Łączności (FCC), wzywającym do zakazu aplikacji ze względu na obawy związane z bezpieczeństwem narodowym, aby chińskie władze mogły uzyskać dostęp do danych użytkowników. W zeszłym miesiącu firma zakwestionowała raport Forbesa , że ​​chiński zespół ByteDance planuje wykorzystać platformę do śledzenia lokalizacji wybranych obywateli USA bez ich wiedzy i zgody. #tiktok #bezpieczenstwo

Duża aktualizacja dla VirtualBox. Ta wersja jest dość interesująca, ponieważ w ostatnich latach nie widzieliśmy większej aktualizacji. Dla osób niezaznajomionych z VirtualBox jest to oprogramowanie do wirtualizacji opracowane przez Oracle. Wraz z wprowadzeniem VirtualBox 7.0 dodano wiele nowych funkcji. Przyjrzyjmy się niektórym z najważniejszych. VirtualBox 7.0: co nowego? VirtualBox 7.0 to pomocne uaktualnienie. Dostępne są aktualizacje ikon, ulepszenia motywów i niektóre najważniejsze informacje, w tym: Nowe narzędzie do wyświetlania statystyk wydajności dla uruchomionych gości. Wsparcie bezpiecznego rozruchu. Pełna obsługa szyfrowania maszyn wirtualnych (przez CLI). Przerobiony kreator nowej maszyny wirtualnej. Pełne szyfrowanie maszyn wirtualnych za pośrednictwem interfejsu CLI Maszyny wirtualne (VM) mogą być teraz w pełni szyfrowane, ale tylko za pomocą interfejsu wiersza polecenia. Obejmuje to również dzienniki konfiguracji i zapisane stany. W tej chwili użytkownicy mogą szyfrować swoje maszyny tylko za pomocą interfejsu wiersza poleceń, a w przyszłości zostaną dodane różne metody. Nowe narzędzie do monitorowania zasobów Nowe narzędzie pozwala monitorować statystyki wydajności, takie jak użycie procesora, pamięci RAM, we/wy dysku i inne. Będzie zawierał statystyki wydajności dla wszystkich biegających gości. Nie najatrakcyjniejszy dodatek, ale przydatny. Ulepszona obsługa motywów Poprawiono obsługę motywów na wszystkich platformach. Natywny silnik jest używany w systemach Linux i macOS, a w systemie Windows obowiązuje oddzielna implementacja. Wsparcie dla bezpiecznego rozruchu VirtualBox obsługuje teraz Secure Boot, zwiększając ochronę przed złośliwym oprogramowaniem, wirusami i oprogramowaniem szpiegującym. Uniemożliwi również uruchomienie maszyny wirtualnej z uszkodzonymi sterownikami, co jest bardzo ważne w przypadku aplikacji korporacyjnych. Użytkownicy korzystający z systemów operacyjnych wymagających bezpiecznego rozruchu powinni mieć możliwość łatwego tworzenia maszyn wirtualnych. Inne zmiany VirtualBox 7.0 to znacząca aktualizacja. Istnieje więc kilka dodatków i udoskonaleń funkcji na całej planszy. Na przykład nowy kreator maszyn wirtualnych został przerobiony, aby zintegrować nienadzorowane instalacje systemu operacyjnego gościa. Inne ulepszenia obejmują: Maszyny wirtualne w chmurze można teraz dodawać do VirtualBox i kontrolować jako lokalne maszyny wirtualne. Ikona VirtualBox została zaktualizowana w tym wydaniu. Wprowadzono nowy stos 3D, który obsługuje DirectX 11. Używa DXVK , aby zapewnić taką samą obsługę hostów innych niż Windows. Obsługa wirtualnego modułu TPM 1.2/2.0. Ulepszona obsługa myszy w konfiguracjach wielomonitorowych. Vorbis to domyślny kodek audio do nagrywania dźwięku. Dodatkowe informacje można znaleźć w uwagach do wydania. Jeśli szukasz ulepszonych funkcji, takich jak lepsza obsługa motywów, funkcje szyfrowania, obsługa bezpiecznego rozruchu i podobne dodatki, VirtualBox 7.0 to niezła aktualizacja. #wirtualizacja #virtualbox #vm #oprogramowanie #oracle

Każdy użytkownik i logowanie do aplikacji SaaS jest potencjalnym zagrożeniem; (niezależnie od tego, czy są to źli aktorzy, czy potencjalni niezadowoleni byli współpracownicy), zarządzanie tożsamością i kontrola dostępu mają kluczowe znaczenie dla zapobiegania niechcianym lub błędnym dostępem do danych i systemów organizacji. Ponieważ przedsiębiorstwa mają od tysięcy do dziesiątek tysięcy użytkowników i od setek do tysięcy różnych aplikacji, zapewnienie bezpieczeństwa każdego punktu wejścia i roli użytkownika nie jest łatwym zadaniem. Zespoły ds. bezpieczeństwa muszą monitorować wszystkie tożsamości, aby upewnić się, że aktywność użytkowników spełnia wytyczne dotyczące bezpieczeństwa ich organizacji. Rozwiązania do zarządzania tożsamością i dostępem (IAM) zarządzają tożsamościami użytkowników i kontrolują dostęp do zasobów i aplikacji przedsiębiorstwa. Ponieważ tożsamości stały się nową granicą, zapewnienie, że ten obszar jest zarządzany przez zespół bezpieczeństwa, ma kluczowe znaczenie. Gartner niedawno nazwał nową dziedzinę bezpieczeństwa o nazwie Identity Threat Detection and Response (ITDR), która obejmuje mechanizmy wykrywania, które badają podejrzane zmiany postawy i działania oraz reagują na ataki w celu przywrócenia integralności infrastruktury tożsamości. ITDR zawiera silne metodologie SaaS Security IAM Governance i najlepsze praktyki, które można znaleźć w rozwiązaniach SaaS Security Posture Management (SSPM), umożliwiając zespołom ds. bezpieczeństwa uzyskanie ciągłej i skonsolidowanej widoczności kont użytkowników, uprawnień i uprzywilejowanych działań w stosie SaaS, takich jak: Identyfikowanie, kto ma dostęp do czego i kiedy oraz z odpowiednimi poziomami uprawnień Kryminalistyka związana z działaniami użytkowników, skupiająca się na uprzywilejowanych użytkownikach Ciągłe i zautomatyzowane wykrywanie i konsolidacja ról Dostosowanie rozmiaru roli poprzez cofnięcie niepotrzebnego lub niepożądanego dostępu Niezależnie od tego, czy jesteś CISO, IT, czy członkiem zespołu Governance, Risk and Compliance (GRC), w tym artykule omówimy rolę Identity and Access Management Governance w ramach programu bezpieczeństwa SaaS organizacji. Co to jest zarządzanie uprawnieniami IAM Governance umożliwia zespołowi ds. bezpieczeństwa reagowanie na pojawiające się problemy, zapewniając stały monitoring stanu SaaS Security firmy oraz wdrożenie kontroli dostępu. Istnieje kilka krytycznych domen prewencji, w których SSPM, takie jak Adaptive Shield , może zarządzać zarządzaniem tożsamością i dostępem: Błędne konfiguracje Luki Narażenie. Błędne konfiguracje Kontrole uprawnień muszą być odpowiednio konfigurowane w sposób ciągły. Konfigurację uprawnień należy monitorować pod kątem wszelkich podejrzanych zmian i zapewnić podjęcie odpowiednich kroków w celu zbadania i podjęcia działań naprawczych w stosownych przypadkach. Na przykład organizacja może włączyć usługę MFA w całej organizacji i jej nie wymagać. Ta luka w egzekwowaniu zasad może narazić organizację na ryzyko — a SSPM może ostrzec zespół ds. bezpieczeństwa o tej luce. Luki Rozwiązanie SSPM może wykorzystywać łatanie lub kompensację kontroli w celu usunięcia często wykorzystywanych luk w infrastrukturze tożsamości, takiej jak urządzenie użytkownika SaaS. Na przykład uprzywilejowany użytkownik CRM może stanowić duże ryzyko dla firmy, jeśli jego urządzenie jest podatne na ataki. Aby wyeliminować potencjalne zagrożenia pochodzące z urządzeń, zespoły ds. bezpieczeństwa muszą być w stanie skorelować użytkowników aplikacji SaaS, role i uprawnienia z higieną powiązanych urządzeń. Ta kompleksowa taktyka umożliwia holistyczne podejście zerowego zaufania do bezpieczeństwa SaaS. Inna krytyczna luka wynika z protokołów uwierzytelniania, w których dostęp do hasła jest ograniczony do metody uwierzytelniania jednoskładnikowego, na przykład w przypadku starszych protokołów, takich jak IMAP, POP, SMTP i Messaging API (MAPI). SSPM może określić, gdzie te protokoły są na miejscu w stosie SaaS organizacji. Narażenie SSPM pomaga zmniejszyć powierzchnię ataku poprzez identyfikację i łagodzenie miejsc ekspozycji. Na przykład usunięcie niepotrzebnych lub nadmiernych uprawnień lub zezwolenie administratorowi zewnętrznemu na aplikację o znaczeniu krytycznym dla firmy. Ponadto dostęp do aplikacji innych firm, znany również jako dostęp SaaS do SaaS, może narazić organizację na ryzyko. Użytkownicy łączą jedną aplikację z inną aplikacją, aby zapewnić rozszerzone funkcje lub informacje o użytkowniku (np. kontakty, pliki, kalendarz itp.). To połączenie zwiększa wydajność przepływu pracy, w wyniku czego obszary robocze pracowników są połączone z wieloma różnymi aplikacjami. Jednak zespół ds. bezpieczeństwa najczęściej nie wie, które aplikacje zostały połączone z ekosystemem ich organizacji, nie mogąc monitorować ani łagodzić żadnych zagrożeń. IAM to metoda wzmacniania kontroli dostępu, podczas gdy IAM Governance w SSPM oferuje ciągłe monitorowanie tych funkcji, aby zapewnić, że zespoły ds. bezpieczeństwa mają pełną widoczność i kontrolę nad tym, co dzieje się w domenie.

Document Foundation ogłosiła dzisiaj wydanie i ogólną dostępność LibreOffice 7.3.7 jako ostatniej aktualizacji serwisowej pakietu biurowego LibreOffice 7.3, który zakończy się jeszcze w tym miesiącu. LibreOffice 7.3.7 jest dostępny około dwa miesiące po aktualizacji konserwacyjnej LibreOffice 7.3.6 i zawiera łącznie 28 poprawek błędów, które dotyczą ostatnich pozostałych problemów zgłoszonych przez użytkowników lub wykrytych przez programistów LibreOffice. Sprawdź dziennik zmian RC1 i RC2 , aby uzyskać więcej informacji na temat tych poprawek. Osoby korzystające z pakietu biurowego LibreOffice 7.3 powinny zaktualizować swoje instalacje do wersji 7.3.7, gdy tylko trafi ona do stabilnych repozytoriów oprogramowania ich dystrybucji GNU/Linux. Jednak The Document Foundation zaleca użytkownikom LibreOffice 7.3 rozważenie uaktualnienia do najnowszej i najlepszej wersji LibreOffice 7.4. LibreOffice 7.4 pojawił się w sierpniu 2022 roku z wieloma nowymi funkcjami i poprawioną interoperacyjnością dokumentów. Najnowsza aktualizacja, LibreOffice 7.4.2 , jest już dostępna do pobrania z oficjalnej strony internetowej , jeśli planujesz aktualizację, oferowana jako 64-bitowe pliki binarne dla dystrybucji opartych na DEB i RPM. Seria LibreOffice 7.3 nie będzie już otrzymywać aktualizacji konserwacyjnych i zostanie oficjalnie wycofana pod koniec tego miesiąca, 30 listopada. Z drugiej strony, seria LibreOffice 7.4 będzie obsługiwana do 12 czerwca 2023 r., z czterema kolejnymi aktualizacjami konserwacyjnymi do wersji 7.4.6.

Phylum pisze: https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack W zeszłym tygodniu zautomatyzowana platforma wykrywania ryzyka powiadomiła o podejrzanej aktywności w dziesiątkach nowo opublikowanych pakietów PyPI. Wygląda na to, że te pakiety są bardziej wyrafinowaną próbą dostarczenia W4SP Stealer na komputery programistów Pythona poprzez ukrycie złośliwego __import__ . Wstrzykiwanie złośliwego kodu w mniejsze (i mniej znane) biblioteki, ale takie, które wykorzystywane są jako zależności do innych programach to znana technika, tzw. supply chain attack. Okazuje się, że od połowy października ktoś regularnie próbuje w ten sposób zainfekować programistów Pythona. Importy zostały wstrzyknięte w pliki setup.py lub __init__.py. Ale co ciekawe, niektóre z nich zostały dodane po sporej liczbie spacji, aby na pierwszy rzut oka nie były tak łatwo zauważalne: Inną techniką wykorzystywaną przez atakujących było dodawanie “pip install” do plików setup.py. Payload po deobfuskacji zawierał następujące żądanie: hxxp://wasp.plague[.]fun/inject/Fu643XzaSbmCcnGN To tylko jeden z przykładowych URL-i. Ale mimo wszystko warto sprawdzić logi wyjściowe z waszej sieci i środowisk programistycznych do tego adresu. Co jeszcze warto zrobić? Sprawdźcie, czy od 12 października nie pobraliście i nie skorzystaliście z podmienionej, złośliwej wersji tych bibliotek: typesutil typestring sutiltype duonet fatnoob strinfer pydprotect incrivelsim twyne pyptext installpy faq colorwin requests-httpx colorsama shaasigma stringe felpesviadinho cypress pystyte pyslyte pystyle pyurllib algorithmic oiu iao curlapi type-color pyhints Supply chain attack to tylko jeden z przykładów ataków, które mogą być bolesne dla programistów. Inne bazują wprost na błędach w kodzie tworzonych aplikacji. Dlatego warto wiedzieć, jakich błędów nie popełniać i jakimi technikami/narzędziami takie błędy w porę wychwytywać. To pokazuje niebezpiecznik na swoich szkoleniach Źródło: https://niebezpiecznik.pl/post/uwaga-programisci-wiele-bibliotek-pythona-zostalo-zainfekowanych/ https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack

Projekt OpenSSL wdrożył poprawki, które zawierają dwie bardzo poważne wady w szeroko używanej bibliotece kryptograficznej, które mogą skutkować odmową usługi (DoS) i zdalnym wykonaniem kodu. Problemy, śledzone jako CVE-2022-3602 i CVE-2022-3786 , zostały opisane jako luki w zabezpieczeniach związane z przepełnieniem bufora, które mogą zostać wyzwolone podczas weryfikacji certyfikatu X.509 poprzez podanie specjalnie spreparowanego adresu e-mail. „W kliencie TLS można to wywołać, łącząc się ze złośliwym serwerem” — powiedział OpenSSL w poradniku dla CVE-2022-3786. „Na serwerze TLS może to zostać wywołane, jeśli serwer zażąda uwierzytelnienia klienta, a złośliwy klient nawiąże połączenie”. OpenSSL to implementacja open source protokołów SSL i TLS używanych do bezpiecznej komunikacji i jest wypiekana w kilku systemach operacyjnych i szerokiej gamie oprogramowania. Wersje 3.0.0 do 3.0.6 biblioteki są dotknięte nowymi błędami, które zostały usunięte w wersji 3.0.7. Warto zauważyć, że powszechnie wdrażane wersje OpenSSL 1.x nie są podatne na ataki. Według danych udostępnionych przez Censys około 7062 hostów korzystało z podatnej wersji OpenSSL na dzień 30 października 2022 r., przy czym większość z nich znajduje się w USA, Niemczech, Japonii, Chinach, Czechach, Wielkiej Brytanii, Francji, Rosji, Kanada i Holandia. Chociaż CVE-2022-3602 był początkowo traktowany jako podatność krytyczna, jego istotność została obniżona do wysokiego, powołując się na zabezpieczenia przed przepełnieniem stosu w nowoczesnych platformach. Badacze bezpieczeństwa Polar Bear i Viktor Dukhovni zostali uznani za zgłoszenie CVE-2022-3602 i CVE-2022-3786 w dniach 17 i 18 października 2022 r. Projekt OpenSSL zauważył ponadto, że błędy zostały wprowadzone w OpenSSL 3.0.0 jako część funkcji dekodowania kodu punycode , która jest obecnie używana do przetwarzania ograniczeń nazwy adresu e-mail w certyfikatach X.509. Pomimo zmiany istotności, OpenSSL powiedział, że uważa „te problemy za poważne luki w zabezpieczeniach, a dotkniętych nimi użytkowników zachęca się do jak najszybszej aktualizacji”. Wersja 3.0, bieżąca wersja OpenSSL, jest dołączona do systemów operacyjnych Linux, takich jak między innymi Ubuntu 22.04 LTS, CentOS, macOS Ventura i Fedora 36. Dotyczy to również obrazów kontenerów utworzonych przy użyciu wersji systemu Linux, których dotyczy problem. Zgodnie z poradnikiem opublikowanym przez Docker, około 1000 repozytoriów obrazów może być dotkniętych różnymi obrazami Docker Official Images i Docker Verified Publisher. Ostatnia krytyczna luka usunięta przez OpenSSL miała miejsce we wrześniu 2016 r., kiedy zamknęła CVE-2016-6309 , błąd typu use-after-free, który mógł spowodować awarię lub wykonanie dowolnego kodu. Na pakiet oprogramowania OpenSSL w największym stopniu wpłynął Heartbleed ( CVE-2014-0160 ), poważny problem z obsługą pamięci w implementacji rozszerzenia TLS/DTLS heartbeat, umożliwiający atakującym odczytywanie części pamięci serwera docelowego. „Krytyczna luka w zabezpieczeniach biblioteki oprogramowania, takiej jak OpenSSL, która jest tak szeroko stosowana i tak fundamentalna dla bezpieczeństwa danych w Internecie, to taka, której żadna organizacja nie może przeoczyć” – powiedział SentinelOne . Identyfikowanie podatnych wersji OpenSSL Ustalenie, czy host jest podatny na ten niewydany błąd, jest nadal niejasne, ponieważ nie znamy wszystkich szczegółów. Możemy jednak przyjrzeć się usługom w Internecie, które reklamują konkretną wersję OpenSSL, z której korzystają, aby uzyskać ogólne pojęcie o tym, co jest podatne na ataki. Obecnie nie znamy żadnej techniki poza sprawdzaniem nagłówków HTTP w celu określenia dokładnej używanej wersji OpenSSL, ale wciąż badamy alternatywy. Oznacza to, że chociaż widzimy wiele potencjalnie podatnych serwerów, nie mamy wglądu w nie wszystkie, a statystyki w tym poście to dolne granice tego, co istnieje. Na szczęście niektóre serwery internetowe, takie jak Apache, oferują informacje, które dają nam wgląd w to, jakie konkretne wersje OpenSSL są używane. Na przykład w poniższym wyniku widzimy, że Apache dodał wszystkie załadowane moduły do ​​danych wyjściowych nagłówka „Server”. Jedną z nich jest wersja OpenSSL, z którą skompilowano moduł mod_ssl: $ curl -vvv https://127.0.0.1/ * Próbuję 127.0.0.1:443... * Podłączony do 127.0.0.1 (127.0.0.1) portu 443 (#0) > POBIERZ / HTTP/1.1 > Host: 127.0.0.1 > User-Agent: zwijanie/7.81.0 > Zaakceptuj: */* > < HTTP/1.1 200 OK < Data: poniedziałek, 31 października 2022 21:27:29 GMT < Serwer: Apache/2.4.53 (Win64) OpenSSL/1.1.1n PHP/8.0.18 < Zawartość-Długość: 1436 < Content-Type: text/html;charset=UTF-8 Linki: https://thehackernews.com/2022/07/openssl-releases-patch-for-high.html

Zorin OS to jedna z najpiękniejszych dystrybucji Linuksa oparta na wydaniach Ubuntu LTS. Na moim jednym laptopie ta wersja już zagościła. Zorin OS 16.2: Co nowego? Istnieje kilka znaczących ulepszeń, między innymi: Łatwiejsza instalacja aplikacji Windows Poprawiona kompatybilność z dokumentami biurowymi Microsoft Ulepszone połączenie Zorin Narzędzie GDevelop dodane do Zorin OS Education Łatwiejsza instalacja aplikacji Windows Zorin OS może już wykryć pliki .exe i poprowadzić Cię do zainstalowania ich w Twojej dystrybucji za pomocą Wine pod maską. Nowe menu „ Obsługa aplikacji Windows ” znajduje się w sekcji „ Narzędzia systemowe ”. Za jego pośrednictwem możesz włączyć obsługę aplikacji Windows. Wraz z nowym menu rozszerzono również bazę danych do wykrywania plików instalatora systemu Windows, aby zapewnić lepsze wrażenia użytkownika. Udoskonalenia środowiska biurowego Zorin OS dodał alternatywy dla popularnych zastrzeżonych czcionek, aby poprawić zgodność z dokumentami Microsoft Office. Na przykład Carlito jest alternatywą dla Calibri (domyślny krój pisma w Office 365). Zorin Connect staje się lepszy Zorin Connect to cenne narzędzie, które pomaga podłączyć urządzenie mobilne do komputera z systemem Zorin OS. To już zapewniało bezproblemowe działanie. Teraz możesz wyświetlić stan baterii komputera w telefonie, co powinno być przydatne dla użytkowników laptopów. Statystyki baterii są domyślnie dostępne w Zorin OS 16.2. Jeśli masz starszą wersję Zorin OS, powinieneś najpierw zaktualizować aplikację Zorin Connect. Inne ulepszenia Oprócz najważniejszych zmian, inne znaczące zmiany obejmują: Zaktualizowana aplikacja LibreOffice 7.4 z obsługą WebP Zaktualizowane aplikacje i sterowniki graficzne Dodano efekt maksymalizacji i udoskonaloną fizykę w trybie Jelly Nowsza kompatybilność sprzętowa

Usługa hostingu plików Dropbox ujawniła we wtorek, że padła ofiarą kampanii phishingowej, która umożliwiła niezidentyfikowanym cyberprzestępcom uzyskanie nieautoryzowanego dostępu do 130 repozytoriów jej kodu źródłowego w serwisie GitHub. Dropbox pisze: „Te repozytoria zawierały nasze własne kopie bibliotek innych firm, nieco zmodyfikowane do użytku przez Dropbox, wewnętrzne prototypy oraz niektóre narzędzia i pliki konfiguracyjne używane przez zespół ds. bezpieczeństwa” – ujawniła firma w swoim doradztwie. W wyniku naruszenia uzyskano dostęp do niektórych kluczy API używanych przez programistów Dropbox, a także „kilka tysięcy nazwisk i adresów e-mail należących do pracowników Dropbox, obecnych i byłych klientów, leadów sprzedażowych i dostawców”. Podkreślił jednak, że repozytoria nie zawierają kodu źródłowego związanego z jego podstawowymi aplikacjami lub infrastrukturą. Dropbox, który oferuje między innymi usługi przechowywania w chmurze, tworzenia kopii zapasowych danych i podpisywania dokumentów, ma ponad 17,37 mln płacących użytkowników i 700 mln zarejestrowanych użytkowników według stanu na sierpień 2022 r . Ujawnienie nastąpiło ponad miesiąc po tym, jak zarówno GitHub, jak i CircleCI ostrzegły przed atakami phishingowymi mającymi na celu kradzież danych uwierzytelniających GitHub poprzez fałszywe powiadomienia rzekomo pochodzące z platformy CI/CD. Firma z siedzibą w San Francisco zauważyła, że ​​na początku października „wielu Dropboxerów otrzymało wiadomości phishingowe podszywające się pod CircleCI”, z których część prześlizgnęła się przez automatyczne filtry antyspamowe i trafiła do skrzynek pocztowych pracowników. „Te autentycznie wyglądające e-maile kierowały pracowników do odwiedzenia fałszywej strony logowania CircleCI, wprowadzenia nazwy użytkownika i hasła GitHub, a następnie użycia klucza uwierzytelniania sprzętowego do przekazania hasła jednorazowego (OTP) do złośliwej witryny” – wyjaśnił Dropbox. Dlatego warto rozważyć stosowanie klucza fizycznego np Yubikey Firma nie ujawniła, ilu jej pracowników padło ofiarą ataku phishingowego, ale poinformowała, że ​​podjęła natychmiastowe działania w celu rotacji wszystkich ujawnionych danych uwierzytelniających programistów i zaalarmowała organy ścigania. Powiedział również, że nie znalazł dowodów na to, że jakiekolwiek dane klientów zostały skradzione w wyniku incydentu, dodając, że aktualizuje swoje systemy uwierzytelniania dwuskładnikowego, aby obsługiwały sprzętowe klucze bezpieczeństwa w celu ochrony przed phishingiem. „Czujni profesjonaliści mogą paść ofiarą starannie opracowanej wiadomości dostarczonej we właściwy sposób we właściwym czasie” – podsumowała firma. „Właśnie dlatego phishing jest tak skuteczny”. Źródło: https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox https://dropbox.gcs-web.com/news-releases/news-release-details/dropbox-announces-second-quarter-fiscal-2022-results https://thehackernews.com/2022/09/hackers-using-fake-circleci.html #bezpieczeństwo #dropbox #github #phishing