Search Results

W czwartek Google wydało aktualizacje oprogramowania, aby rozwiązać kolejną lukę dnia zerowego w swojej przeglądarce Chrome. Luka o wysokim poziomie ważności, śledzona jako CVE-2022-4135 , została opisana jako przepełnienie bufora sterty w komponencie GPU. Clement Lecigne z grupy Google Threat Analysis Group (TAG) zgłosił błąd 22 listopada 2022 r. Błędy przepełnienia bufora oparte na stercie mogą zostać wykorzystane przez cyberprzestępców do zawieszenia programu lub wykonania dowolnego kodu, co prowadzi do niezamierzonego zachowania. Według National Vulnerability Database NIST, luka może pozwolić „zdalnemu atakującemu, który naruszył proces renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pośrednictwem spreparowanej strony HTML”. „Google zdaje sobie sprawę, że exploit dla CVE-2022-4135 istnieje na wolności” – przyznał gigant technologiczny w poradniku. Ale podobnie jak w przypadku innych aktywnie wykorzystywanych problemów, szczegóły techniczne zostały wstrzymane, dopóki większość użytkowników nie zostanie zaktualizowana o poprawkę i aby zapobiec dalszym nadużyciom. Dzięki najnowszej aktualizacji Google wyeliminowało osiem luk zero-day w Chrome od początku roku – CVE-2022-0609 — Użycie po zwolnieniu w animacji CVE-2022-1096 — błąd typu w wersji CVE-2022-1364 — błąd typu w wersji CVE-2022-2294 — Przepełnienie bufora sterty w WebRTC CVE-2022-2856 — Niewystarczająca weryfikacja niezaufanych danych wejściowych w intencjach CVE-2022-3075 — Niewystarczająca weryfikacja danych w Mojo CVE-2022-3723 — Pomyłka w typie w wersji Użytkownikom zaleca się uaktualnienie do wersji 107.0.5304.121 w przypadku systemów macOS i Linux oraz 107.0.5304.121/.122 w przypadku systemu Windows w celu złagodzenia potencjalnych zagrożeń. Użytkownikom przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, zaleca się również stosowanie poprawek, gdy staną się one dostępne.

Podman Desktop to nowa, wieloplatformowa zintegrowana aplikacja komputerowa z ujednoliconym interfejsem użytkownika, który znacznie upraszcza pracę z kontenerami Podman. Kontenery stały się w ostatnich latach świętym pojęciem w branży IT. Prawdopodobnie nie zdajesz sobie z tego sprawy, ale pod maską kontenery zasilają dziś dużą część usług internetowych. Odkąd Docker odniósł sukces jako branżowy standard konteneryzacji usług, firma Red Hat współpracowała ze społecznością Open Source w celu opracowania alternatywy, która eliminuje wady Dockera. Efektem tej współpracy jest Podman. Krótko mówiąc, Podman (Pod Manager) to silnik kontenerów bez demonów typu open source, będący alternatywą dla Dockera, do tworzenia, zarządzania i uruchamiania kontenerów OCI w systemach Linux. Jednak do niedawna Docker miał jedną istotną zaletę: zintegrowane graficzne środowisko tworzenia i zarządzania kontenerami, aplikację Docker Desktop . Ale ostatnio Podman otrzymał podobne narzędzie. Poznaj Podmana Desktop. Co to jest pulpit Podmana? Podczas KubeCon North America 2022 , który odbył się w dniach 24-28 października w Detroit w stanie Michigan, społeczność Podman zaprezentowała Podman Desktop, nowe narzędzie programistyczne. Podman Desktop wykorzystuje silnik Podman, umożliwiając wygodną i szybką pracę z kontenerami z lokalnego środowiska. Pozwala uruchamiać kontenery na dowolnej maszynie w ciągu kilku minut za pomocą zaledwie kilku kliknięć. Ponadto łączy w sobie wszystkie funkcje Podmana z dodatkową zaletą przyjaznego dla użytkownika interfejsu GUI. Dzięki Podman Desktop możesz: Listuj, wyszukuj, sprawdzaj, łącz, uruchamiaj i zatrzymuj kontenery Twórz, ciągnij i wypychaj obrazy Zarządzaj zasobami Podmana — wyświetlaj przydzieloną pamięć, procesor i pamięć masową Twórz i uruchamiaj Pody za pomocą Podmana Importuj rozszerzenia Docker Desktop Sterowanie z ikony w zasobniku systemowym Możesz dowiedzieć się więcej o projekcie, odwiedzając jego stronę internetową lub sprawdzając jego oficjalną dokumentację . Jak zainstalować Podman Desktop w systemie Linux Podman Desktop to aplikacja wieloplatformowa. Oznacza to, że działa tak samo w różnych systemach operacyjnych i jest dostępny do instalacji w systemach Windows, Linux i macOS. Aby z nim pracować, potrzebujesz najnowszej wersji Podman Engine. Czemu? Ponieważ po uruchomieniu aplikacja przeszukuje system w poszukiwaniu Podman Engine i prosi o zainstalowanie go, jeśli nie zostanie znaleziony. W tym artykule przyjrzymy się, jak szybko i łatwo zainstalować Podman Desktop w systemie Linux. Oczywiście najprostszą metodą jest użycie Flatpak . Tu sprawa jest dużo prostsza. Najpierw uruchom następujące polecenie w terminalu, aby włączyć pilota Flathub, jeśli nie jest jeszcze włączony: sudo flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo Następnie uruchom następujące polecenie, aby zainstalować Podman Desktop w systemie Linux: sudo flatpak install flathub io.podman_desktop.PodmanDesktop Wreszcie, możesz uruchomić go bezpośrednio z programu uruchamiającego aplikacje. Lub z terminala, wpisując: flatpak run io.podman_desktop.PodmanDesktop Dostepne też jest standardowo w twoich pakietach w dystrybucji - więc standardowo w przypadku debiano podobnych wystarczy: sudo apt install podman.

Bezpłatny kurs z mesh platform, Istio - https://www.linuxfoundation.org/press/new-free-course-introduces-learners-to-the-popular-open-source-service-mesh-platform-istio Zapraszam.

W czwartek Microsoft przypisał niedawną falę incydentów ransomware wymierzonych w sektory transportu i logistyki na Ukrainie i w Polsce, grupie Sandworm. Ataki, które zostały ujawnione przez giganta technologicznego w zeszłym miesiącu, dotyczyły wcześniej nieudokumentowanego złośliwego oprogramowania o nazwie Prestige i podobno miały miejsce w ciągu godziny od siebie u wszystkich ofiarach. Microsoft Threat Intelligence Center (MSTIC) śledzi teraz cyberprzestępcę pod pseudonimem Iridium powiązanego z rosyjską grupą Sandworm (aka Iron Viking, TeleBots i Voodoo Bear). Firma oceniła również, że grupa zorganizowała działania na szkodę wielu ofiar "Prestige" już w marcu 2022 r., zanim zakończyło się wdrożenie oprogramowania ransomware 11 października. Metoda początkowej kompromitacji wciąż pozostaje nieznana, choć podejrzewa się, że polegała ona na uzyskaniu dostępu do wysoce uprzywilejowanych poświadczeń niezbędnych do aktywacji łańcucha złośliwego kodu. „Kampania Prestige ma na celu i może być problemem dla organizacji bezpośrednio dostarczających lub transportujących pomoc humanitarną lub wojskową na Ukrainę” – powiedziała firma. Odkrycia pojawiły się ponad miesiąc po tym, jak Recorded Future powiązało inną grupę z aktorem Sandworm, który wyróżniał ukraińskich użytkowników, podszywając się pod dostawców usług telekomunikacyjnych w kraju, aby dostarczać backdoory na zainfekowane maszyny. Microsoft w swoim raporcie Digital Defense Report opublikowanym w zeszłym tygodniu przyjął poczynania grupy za swój wzorzec atakowania infrastruktury krytycznej i jednostek technologii operacyjnej. Zródło: https://thehackernews.com/2022/11/microsoft-blames-russian-hackers-for.html

W swoich projektach czy to zawodowych czy hobbystycznych często wykorzystuję terraform. O tym czym jest możesz przeczytać w jednym z moich artykułów. Pozwól że, pokarze Ci moc tego narzędzia na przykładzie mojej konfiguracji z wykorzystaniem OVH i Digital Ocean. Zatem usiąść wygodnie i zaczynamy: Terraform i OVH Na początku musimy na czymś bazować, a więc trochę materiałów źródłowych. Zaczniemy zatem od takiej terminologii jak provider - więcej o tym możesz przeczytać w dokumentacji terraforma. providers - to nic innego jak deklaracja dostawcy zewnętrznego oraz jakich zasobów można używać u tego dostawcy (ang provider) Weźmy sobie na początek naszego dostawcę OVH - jego provider terraform OVH. Kod źródłowy privider ovh możemy znaleźć na stronie github. Właścicielem tego kodu jest OVH czyli to on napisał tego providera a nie sam HashiCopr. W samym rejestrze providerów możemy przeczytać i zobaczyć, że ma status partnera, to dobrze - bo nie chciałbym powierzać moich danych api (kluczy API) komuś obcemu - o api jeszcze sobie porozmawiamy. Zatem jeżeli chcemy użyć tego providera wystarczy w naszym projekcie dodać taka linijkę: provider.tf terraform { required_providers { ovh = { source = "ovh/ovh" } } } provider "ovh" { endpoint = "ovh-eu" application_key = "xxxxxxxxx" application_secret = "yyyyyyyyy" consumer_key = "zzzzzzzzzzzzzz" } Możemy zobaczyć że będziemy tutaj potrzebować naszych danych z OVH API w postaci klucza dostępowego. Są to dane dość wrażliwe, wiec spróbujmy je ukryć. Tak by przypadkiem nie trafiły do naszego projektu w którymś z commitów. terraform { required_providers { ovh = { source = "ovh/ovh" } } variable "ovh_endpoint" { description = "OVH endpoint" sensitive = true } variable "ovh_application_key" { description = "OVH application key" sensitive = true } variable "ovh_application_secret" { description = "OVH application secret" sensitive = true } variable "ovh_consumer_key" { description = "OVH consumer key" sensitive = true } provider "ovh" { endpoint = var.ovh_endpoint application_key = var.ovh_application_key application_secret = var.ovh_application_secret consumer_key = var.ovh_consumer_key } Teraz wygląda lepiej. Dzięki czemu nasze wartości będą bezpieczne w osobnym pliku - którego np możemy dodać w wykluczeniach .gitignore - lub podawać jako zmienne do naszej komendy lub ręcznie jako wartości odpytywane przez polecenia terraform wybór należy do Ciebie. Nasze zmienne używane w terraform też będą w stanie naszej konfiguracji przechowywane zahaszowane. O stanie sobie jeszcze porozmawiamy... Rekordy w zonie Dodawanie rekordu czy zarządzanie obecnym jest też proste - spójrzmy na nasz provider i jego zasoby (bo jak już wiemy provider to nic innego jak lista możliwych zasobów dostępnych u dostawcy, którymi możemy operować). Wybierzmy z rejestru ovh_domain_zone_record Mamy tu informacje i przykład jak używać tego zasobu, jakie ma argumenty i atrybuty referencyjne oraz jak zaimportować obecne już istniejące DNS zone records (rekordy DNS). Tylko skąd wziąć te ID. Api OVH Wszystkie te informacje od ID i do ktrego wpisu w naszej konfiguracji jest przypisany znajdziemy w API OVH - z racji że moje zony są w strefie EU logujemy się do odpowiedniego API OVH - jest to odpowiednio https://eu.api.ovh.com/ Szukamy interesującą nas domain/zone i pobieramy wartości za pomocą get (na stronie mamy specjalna funkcje, która nam to pobierze i wyświetli oraz mamy przykłady w innych językach programowania): Potem dla wybranej domeny pobieramy ID - szukamy teraz domain /zone/{zoneName}/record - i tu będziemy mieli nasze ID dla wszystkich rekordów (lub możemy ograniczyć dla konkretnego typu - ja zalecam zaimportować wszystkie, i też tak zrobię). Oczywiście import możemy sobie zautomatyzować kodem z mojego repo na bitbucket.org - ovh-terreform-import (tak, tak wiem literówka w nazwie repo, ale to specjalnie :) ). DigitalOcean i stan tf w bazie danych Mówiłem że porozmawiamy o stanie w terreform, myślę że już nadszedł czas na tym etapie. My będziemy wykorzystywać stan naszej infrastruktury zapisane w bazie danych. Można jednak wykorzystywać plik znajdujący się lokalnie na naszym dysku. Na przykład jak dopiero zaczynasz zabawę z terraform lokalny stan jest trzymany w pliku - jest tym domyślnym stanem. Zalecanym kiedy korzystasz samodzielnie z projektu (będzie to bardzo rzadko). Co w takim pliku znajdziemy, pojawi on się po wydaniu komendy terraform apply (ale poczekaj jeszcze - nie wydawaj tej komendy) pojawił się plik terraform.tfstate (pod żadnym pozorem nie należy go edytować ręcznie). To w nim terraform przechowuje wszystkie informacje na temat stworzonych zasobów i dzięki niemu jeśli jeszcze raz wykonamy skrypt, to nie zostaną utworzone nowe zasoby (ponieważ już istnieją). W przypadku gdyby ktoś ręcznie dodał np. nowy tag do ec2 to terraform plan by to pokazał jako różnicę którą zamierza usunąć. Przy naszej aktualnej konfiguracji taki plik stanu trzeba by wrzucić do repozytorium by inni widzieli nasze zmiany. Nie jest to zalecanym wyjściem, głównym problemem jest to, że dwie osoby modyfikujące ten sam plik stanu terraforma nie widzą swoich zmian, przez co pojawia się wyścig, który wygrywa osoba uruchamiająca terraforma jako ostatnia. W gorszym przypadku operacja może się zakończyć błędem, którego przyczynę będzie nam ciężko określić. Tutaj też powinniśmy się zatrzymać i pomyśleć gdzie chcemy przechowywać nasz stan konfiguracji naszej infrastruktury w terraform. Możemy (dla uproszenia) przechowywać go lokalnie (minusy już poznałeś) lub zdalnie. Ja wybiorę tą drugą opcję i skorzystam z bazy PostgreSQL w Digital Ocean. Usera oraz bazę danych do przechowywania naszego stanu można utworzyć z pgadmin lub z samego panelu postgresql w digitalocean: Konfiguracja skryptów z repo i import Na początek będą potrzebne nam dwa pliki .auto.tfvars (jeżeli nie chcemy podawać wartości podczas wywołania skryptu) i ovh.api (to na potrzeby naszego kodu do pobierania wartości/ i importu w python). plik .auto.tfvars ovh_endpoint = "ovh-eu" ovh_application_key = "" ovh_application_secret = "" ovh_consumer_key = "" plik ovh.api export OVH_ZONE="example.com" export OVH_CONSUMER_KEY='' export OVH_APPLICATION_SECRET='' export OVH_APPLICATION_KEY='' export OVH_ENDPOINT='ovh-eu' Uzupełnimy nasze klucze wygenerowane w panelu api ovh - pamiętajmy tylko o ich wykluczeniu w naszym repo git. Dodatkowo nasze API klucze możemy uwarunkować do działania tylko z konkretnego IP, lub ograniczyć czasowo. Zalecam mix tych opcji, bo zakres uprawnień choć zawężony tylko do opcji /domain to dający wszystkie uprawnienia GET, POST, PUT i DELETE Zanim przejdziemy do uruchomienia naszego skryptu, który wygeneruje nasze pliki konfiguracyjne wydajmy polecenie terraform init Zainicjalizuje to nasze moduły - i jeżeli korzystamy z naszego stanu zapisywanego w bazie danych utworzy nam nasze połaczenie. Plik 00_zones.txt uzupełniamy o nasze zony, wpisy per linia na każdą zone (Domenę z naszego panelu OVH) zakończony pustą linią (bez tej pustej lini pomija ostatni rekord - to nie bug to feature :P ) Po uruchomieniu importu (jednorazowo source ovh.api a potem nasz skrypt ./00_generate_tf.sh) będziemy mieli nasze poszczególne rekordy w naszej zonie DNS umieszczone w osobnym pliku tf, dla każdej domeny - tak by czytelność została zachowana. Jest to też odzwierciedlenie naszej infrastruktury w OVH tam też każdy rekord to osobna strona do konfiguracji. Skrypt wykona też odrazu import naszej obecnej konfiguracji w OVH do naszego stanu. Bez tej operacji każdy wpis nawet gdyby odwoływał się już do istniejącego rekordu to byłby traktowany jako nowy wpis i mielibyśmy duplikaty. Po imporcie wydajmy polecenie: terraform plan Które zwróci nam informacje o tym że nasz import i nasze pliki konfiguracyjne odpowiadają stanowi w naszej konfiguracji w OVH Czas na zmiany Może nie dokońca zmian a nowe rekordy - dodane ich nie stanowi problemu. Poniższy przykład pokazuje jak to zrobić dla rekordu txt resource "ovh_domain_zone_record" "terraform-in-txt-technicznie-nietechnicznie-cloud" { fieldtype = "TXT" ttl = "0" zone = "technicznie-nietechnicznie.cloud" subdomain = "" target = "terraform-in" } Po dodaniu takiego rekordu teraz gdy wydamy terraform plan zobaczymy taka informacje (Ja dodałem trzy rekordy): Możemy zobaczyć że nasze rekordy teraz pokazują się na liście jako do dodania. Zatem jed oddajmy poleceniem terraform apply. Na koniec tylko bedziemy musieli zaakceptować zmianę słowem yes i nasz rekord bedzie dodany. Podsumowanie. Jak widać praca z terraform może być prosta i przyjemna oraz rodzi to dużo korzyści w postaci panowania nad naszą infrastrukturą. Daj znać czy wpis i materiał się podobał oraz czy chcesz więcej takich wpisów.

W tym krótkim wpisie omówię wszystko, co trzeba wiedzieć o Terraform — narzędziu, które umożliwia bezpieczne i wydajne tworzenie, zmienianie i dostosowywanie wersji infrastruktury. Czym jest Terraform? Terraform to otwarte narzędzie typu „Infrastruktura jako kod” (IaC - Infrastructure as code) stworzone przez HashiCorp. Terraform, narzędzie do kodowania deklaratywnego, używa języka konfiguracji wysokiego poziomu o nazwie HCL (język konfiguracji HashiCorp — HashiCorp Configuration Language) do opisywania finalnego kształtu żądanej chmury lub infrastruktury lokalnej do uruchamiania aplikacji. Następnie generuje plan osiągnięcia tego stanu końcowego oraz realizuje plan zaopatrzenia infrastruktury. Ponieważ Terraform używa prostej składni, może zaopatrywać infrastrukturę w wielu chmurowych (AWS, Digital Ocean, Azure, GCP, OVH - to tylko lista niektórych przykładów) i lokalnych (Docker, KVM) centrach danych oraz pozwala bezpiecznie i wydajnie ponownie zaopatrzyć infrastrukturę w odpowiedzi na zmiany konfiguracji. Jest to bez wątpienia jedno z najpopularniejszych dostępnych narzędzi do automatyzacji infrastruktury. Dlaczego Infrastruktura jako kod (Infrastructure as Code — IaC)? Aby lepiej zrozumieć zalety Terraform, najpierw warto poznać korzyści Infrastruktury jako kodu (IaC). IaC umożliwia kodyfikację infrastruktury w sposób, który sprawia, że zaopatrywanie staje się zautomatyzowane, szybsze i powtarzalne. Jest to kluczowy element praktyk Agile i DevOps, takich jak kontrola wersji, ciągła integracja oraz ciągłe wdrażanie. Całość konfiguracji masz zapisaną w kodzie, dlatego zawsze stworzy się taka sama konfiguracja a zmianę z środowiska testowego na produkcyjne czy inne łatwo zmodyfikować Infrastruktura jako kod może pomóc w: Zwiększeniu szybkości: automatyzacja jest szybsza niż ręczna nawigacja po interfejsie, gdy trzeba wdrożyć i/lub połączyć zasoby. Wyższa niezawodność: jeśli Twoja infrastruktura jest duża, łatwo jest błędnie skonfigurować zasoby lub świadczyć usługi w niewłaściwej kolejności. Dzięki IaC zasoby są zawsze dostarczane i konfigurowane dokładnie tak, jak zadeklarowano. Zapobieganie dryfowaniu konfiguracji: dryft konfiguracji występuje wtedy, gdy konfiguracja, która udostępniła środowisko, nie pasuje już do rzeczywistego środowiska. (Patrz poniżej: „Niezmienna infrastruktura”). Wspieranie eksperymentowania, testowania i optymalizacji: ponieważ Infrastruktura jako kod sprawia, że dostarczanie nowej infrastruktury jest o wiele szybsze i łatwiejsze, można wprowadzać i testować eksperymentalne zmiany bez inwestowania dużej ilości czasu i zasobów; a jeśli spodobają Ci się wyniki, można szybko rozszerzyć nową infrastrukturę do wielkości umożliwiającej codzienną obsługę. Dlaczego Terraform? Programiści wybierają Terraform zamiast innych narzędzi typu Infrastruktura jako kod z kilku kluczowych powodów: Open Source: Terraform jest narzędziem rozwijanym przez duże społeczności współautorów, którzy tworzą wtyczki do platformy. Dzięki czemu nie jest to narzędzie zaszyte w łapskach jednej organizacji i dzięki temu szybko się rozwija. Niezależnie od tego, z którego dostawcy usług w chmurze korzystasz, możesz łatwo znaleźć wtyczki, rozszerzenia i profesjonalne wsparcie. Oznacza to również, że Terraform szybko ewoluuje dzięki stale dodawanym korzyściom oraz ulepszeniom. Niezależność od platformy: oznacza, że narzędzia można używać niezależnie od tego, kto jest dostawcą usług w chmurze. Większość innych narzędzi IaC jest przeznaczona do obsługi z jednym dostawcą usług w chmurze. (dobry przykład Cloud Formation - który działa tylko na AWS). Niezmienna infrastruktura: większość narzędzi typu Infrastruktura jako kod tworzy zmienną infrastrukturę, co oznacza, że infrastruktura może dostosować się do zmian, takich jak aktualizacja oprogramowania pośredniczącego czy nowy serwer pamięci masowej. Niebezpieczeństwo związane ze zmienną infrastrukturą to dryft konfiguracji — w miarę nagromadzania się zmian faktyczne udostępnianie różnych serwerów lub innych elementów infrastruktury znacznie „dryfuje” od pierwotnej konfiguracji, co utrudnia diagnozę i naprawę błędów oraz problemów z wydajnością. Terraform zapewnia niezmienną infrastrukturę, co oznacza, że przy każdej zmianie środowiska bieżąca konfiguracja jest zastępowana nową, która uwzględnia zmianę, a infrastruktura zostaje ponownie udostępniona. Co więcej, poprzednie wersje konfiguracji można zachować, aby umożliwić wycofanie zmian, jeśli będzie to konieczne lub pożądane. Terraform - kurs PL Moduły Terraform Moduły Terraform to małe konfiguracje Terraform wielokrotnego użytku dla wielu zasobów infrastruktury, które są używane razem. Moduły Terraform są przydatne, ponieważ umożliwiają zautomatyzowanie złożonych zasobów za pomocą konfigurowalnych obiektów wielokrotnego użytku. Napisanie nawet bardzo prostego pliku Terraform skutkuje powstaniem modułu. Moduł może wywoływać inne moduły — zwane modułami podrzędnymi — dzięki czemu tworzenie konfiguracji jest szybszym i bardziej spójnie przebiegającym procesem. Moduły można również wywoływać wiele razy, w ramach tej samej konfiguracji lub w oddzielnych konfiguracjach. Dostawcy Terraform Dostawcy Terraform pełnią funkcję wtyczek, które wprowadzają typy zasobów. Dostawcy przekazują cały kod potrzebny do uwierzytelnienia i połączenia się z usługą — zwykle za pośrednictwem dostawcy chmury publicznej — w imieniu użytkownika. Można znaleźć dostawców używanych platform i usług w chmurze, dodać ich do konfiguracji, a następnie wykorzystać ich zasoby do udostępniania infrastruktury. Lista dostawców obejmuje prawie każdego głównego dostawcę usług w chmurze, dostawców oferty SaaS i innych, stworzonych i/lub wspieranych przez społeczność Terraform lub poszczególne organizacje. Szczegółową listę można znaleźć w dokumentacji Terraform. Terraform a Kubernetes Czasami w związku z Terraform i Kubernetes występuje zamieszanie, nie wiadomo, czemu właściwie służą. Prawda jest taka, że nie są one alternatywami i skutecznie razem działają. Kubernetes to system koordynowania kontenerów typu open source, który umożliwia programistom planowanie wdrożeń w węzłach w klastrze obliczeniowym i aktywne zarządzanie obciążeniami kontenerowymi, aby upewnić się, że ich stan odpowiada intencjom użytkowników. Z kolei Terraform jest narzędziem typu Infrastruktura jako kod o znacznie szerszym zasięgu, umożliwia programistom automatyzację całej infrastruktury obejmującej wiele chmur publicznych i prywatnych. Terraform może automatyzować funkcje na poziomie infrastruktury jako usługi (IaaS), platformy jako usługi (PaaS) i oprogramowania jako usługi (SaaS) oraz zarządzać nimi oraz jednocześnie budować te wszystkie zasoby w przypadku każdego z tych dostawców. Za pomocą Terraform można zautomatyzować udostępnianie Kubernetes — w szczególności zarządzanych klastrów Kubernetes na platformach chmurowych — oraz zautomatyzować wdrażanie aplikacji w klastrze. Terraform a Ansible Terraform i Ansible są narzędziami typu Infrastruktura jako kod, ale istnieje kilka istotnych różnic między nimi: Terraform jest narzędziem czysto deklaratywnym (patrz wyżej), z kolei Ansible łączy w sobie zarówno konfigurację deklaratywną, jak i proceduralną. W konfiguracji proceduralnej określa się kroki lub dokładny sposób, w jaki infrastruktura ma być udostępniona do żądanego stanu. Konfiguracja proceduralna wymaga więcej pracy, ale zapewnia większy zakres kontroli. Terraform jest narzędziem typu open source; Ansible został opracowany i jest sprzedawany przez firmę Red Hat. Podsumowanie Na portalu technicznie-nietechnicznie.pl pojawi się jeszcze klika przykładów pokazujących siłę tego narzędzia. Mam nadzieję że ten wstęp czysto teoretyczny rozwinął trochę twoje informacje na tematy Terreform - zapraszam do subskrybcji i śledzenia informacji na bieżąco.

Popularna skrócona usługa udostępniania wideo TikTok zmienia swoją politykę prywatności dla europejskich użytkowników, aby wyraźnie wyjaśnić, że dostęp do danych użytkowników mogą mieć niektórzy pracownicy z całego świata, w tym z Chin. Platforma będąca własnością ByteDance, która obecnie przechowuje dane użytkowników z Europy w Stanach Zjednoczonych i Singapurze, powiedziała, że ​​rewizja jest częścią jej bieżących wysiłków w zakresie zarządzania danymi, aby ograniczyć dostęp pracowników do użytkowników w regionie, zminimalizować przepływy danych poza nią i przechowywać informacje lokalnie. Aktualizacja polityki prywatności dotyczy użytkowników znajdujących się w Wielkiej Brytanii, Europejskim Obszarze Gospodarczym (EOG) i Szwajcarii i wchodzi w życie 2 grudnia 2022 r., według The Guardian. „W oparciu o wykazaną potrzebę wykonywania swojej pracy, z zastrzeżeniem szeregu solidnych kontroli bezpieczeństwa i protokołów zatwierdzania oraz za pomocą metod uznanych w ramach RODO, zezwalamy niektórym pracownikom w naszej grupie korporacyjnej z siedzibą w Brazylii, Kanadzie i Chinach , Izrael, Japonia, Malezja, Filipiny, Singapur, Korea Południowa i USA zdalny dostęp do europejskich danych użytkowników TikTok” – podała firma . TikTok powiedział dalej, że jego kontrola bezpieczeństwa obejmuje ograniczenia dostępu do systemu, szyfrowanie i bezpieczeństwo sieci, dodając, że nie zbiera dokładnych informacji o lokalizacji od swoich użytkowników w Europie. Rozwój odbywa się również wbrew rosnącej kontroli regulacyjnej platformy po obu stronach Atlantyku, która ma ponad miliard aktywnych użytkowników miesięcznie. ByteDance wielokrotnie zaprzeczał, że jest kontrolowany przez chiński rząd. W lipcu 2022 r. zahamowała kontrowersyjna aktualizacja polityki prywatności w Europie, która mogła pozwolić na wyświetlanie reklam kierowanych na podstawie aktywności użytkowników na platformie wideo społecznościowej bez ich wyraźnej zgody. Zmagała się również z niesprzyjającą pogodą w USA, z Brendanem Carrem, republikańskim członkiem Federalnej Komisji Łączności (FCC), wzywającym do zakazu aplikacji ze względu na obawy związane z bezpieczeństwem narodowym, aby chińskie władze mogły uzyskać dostęp do danych użytkowników. W zeszłym miesiącu firma zakwestionowała raport Forbesa , że ​​chiński zespół ByteDance planuje wykorzystać platformę do śledzenia lokalizacji wybranych obywateli USA bez ich wiedzy i zgody. #tiktok #bezpieczenstwo

Duża aktualizacja dla VirtualBox. Ta wersja jest dość interesująca, ponieważ w ostatnich latach nie widzieliśmy większej aktualizacji. Dla osób niezaznajomionych z VirtualBox jest to oprogramowanie do wirtualizacji opracowane przez Oracle. Wraz z wprowadzeniem VirtualBox 7.0 dodano wiele nowych funkcji. Przyjrzyjmy się niektórym z najważniejszych. VirtualBox 7.0: co nowego? VirtualBox 7.0 to pomocne uaktualnienie. Dostępne są aktualizacje ikon, ulepszenia motywów i niektóre najważniejsze informacje, w tym: Nowe narzędzie do wyświetlania statystyk wydajności dla uruchomionych gości. Wsparcie bezpiecznego rozruchu. Pełna obsługa szyfrowania maszyn wirtualnych (przez CLI). Przerobiony kreator nowej maszyny wirtualnej. Pełne szyfrowanie maszyn wirtualnych za pośrednictwem interfejsu CLI Maszyny wirtualne (VM) mogą być teraz w pełni szyfrowane, ale tylko za pomocą interfejsu wiersza polecenia. Obejmuje to również dzienniki konfiguracji i zapisane stany. W tej chwili użytkownicy mogą szyfrować swoje maszyny tylko za pomocą interfejsu wiersza poleceń, a w przyszłości zostaną dodane różne metody. Nowe narzędzie do monitorowania zasobów Nowe narzędzie pozwala monitorować statystyki wydajności, takie jak użycie procesora, pamięci RAM, we/wy dysku i inne. Będzie zawierał statystyki wydajności dla wszystkich biegających gości. Nie najatrakcyjniejszy dodatek, ale przydatny. Ulepszona obsługa motywów Poprawiono obsługę motywów na wszystkich platformach. Natywny silnik jest używany w systemach Linux i macOS, a w systemie Windows obowiązuje oddzielna implementacja. Wsparcie dla bezpiecznego rozruchu VirtualBox obsługuje teraz Secure Boot, zwiększając ochronę przed złośliwym oprogramowaniem, wirusami i oprogramowaniem szpiegującym. Uniemożliwi również uruchomienie maszyny wirtualnej z uszkodzonymi sterownikami, co jest bardzo ważne w przypadku aplikacji korporacyjnych. Użytkownicy korzystający z systemów operacyjnych wymagających bezpiecznego rozruchu powinni mieć możliwość łatwego tworzenia maszyn wirtualnych. Inne zmiany VirtualBox 7.0 to znacząca aktualizacja. Istnieje więc kilka dodatków i udoskonaleń funkcji na całej planszy. Na przykład nowy kreator maszyn wirtualnych został przerobiony, aby zintegrować nienadzorowane instalacje systemu operacyjnego gościa. Inne ulepszenia obejmują: Maszyny wirtualne w chmurze można teraz dodawać do VirtualBox i kontrolować jako lokalne maszyny wirtualne. Ikona VirtualBox została zaktualizowana w tym wydaniu. Wprowadzono nowy stos 3D, który obsługuje DirectX 11. Używa DXVK , aby zapewnić taką samą obsługę hostów innych niż Windows. Obsługa wirtualnego modułu TPM 1.2/2.0. Ulepszona obsługa myszy w konfiguracjach wielomonitorowych. Vorbis to domyślny kodek audio do nagrywania dźwięku. Dodatkowe informacje można znaleźć w uwagach do wydania. Jeśli szukasz ulepszonych funkcji, takich jak lepsza obsługa motywów, funkcje szyfrowania, obsługa bezpiecznego rozruchu i podobne dodatki, VirtualBox 7.0 to niezła aktualizacja. #wirtualizacja #virtualbox #vm #oprogramowanie #oracle

Każdy użytkownik i logowanie do aplikacji SaaS jest potencjalnym zagrożeniem; (niezależnie od tego, czy są to źli aktorzy, czy potencjalni niezadowoleni byli współpracownicy), zarządzanie tożsamością i kontrola dostępu mają kluczowe znaczenie dla zapobiegania niechcianym lub błędnym dostępem do danych i systemów organizacji. Ponieważ przedsiębiorstwa mają od tysięcy do dziesiątek tysięcy użytkowników i od setek do tysięcy różnych aplikacji, zapewnienie bezpieczeństwa każdego punktu wejścia i roli użytkownika nie jest łatwym zadaniem. Zespoły ds. bezpieczeństwa muszą monitorować wszystkie tożsamości, aby upewnić się, że aktywność użytkowników spełnia wytyczne dotyczące bezpieczeństwa ich organizacji. Rozwiązania do zarządzania tożsamością i dostępem (IAM) zarządzają tożsamościami użytkowników i kontrolują dostęp do zasobów i aplikacji przedsiębiorstwa. Ponieważ tożsamości stały się nową granicą, zapewnienie, że ten obszar jest zarządzany przez zespół bezpieczeństwa, ma kluczowe znaczenie. Gartner niedawno nazwał nową dziedzinę bezpieczeństwa o nazwie Identity Threat Detection and Response (ITDR), która obejmuje mechanizmy wykrywania, które badają podejrzane zmiany postawy i działania oraz reagują na ataki w celu przywrócenia integralności infrastruktury tożsamości. ITDR zawiera silne metodologie SaaS Security IAM Governance i najlepsze praktyki, które można znaleźć w rozwiązaniach SaaS Security Posture Management (SSPM), umożliwiając zespołom ds. bezpieczeństwa uzyskanie ciągłej i skonsolidowanej widoczności kont użytkowników, uprawnień i uprzywilejowanych działań w stosie SaaS, takich jak: Identyfikowanie, kto ma dostęp do czego i kiedy oraz z odpowiednimi poziomami uprawnień Kryminalistyka związana z działaniami użytkowników, skupiająca się na uprzywilejowanych użytkownikach Ciągłe i zautomatyzowane wykrywanie i konsolidacja ról Dostosowanie rozmiaru roli poprzez cofnięcie niepotrzebnego lub niepożądanego dostępu Niezależnie od tego, czy jesteś CISO, IT, czy członkiem zespołu Governance, Risk and Compliance (GRC), w tym artykule omówimy rolę Identity and Access Management Governance w ramach programu bezpieczeństwa SaaS organizacji. Co to jest zarządzanie uprawnieniami IAM Governance umożliwia zespołowi ds. bezpieczeństwa reagowanie na pojawiające się problemy, zapewniając stały monitoring stanu SaaS Security firmy oraz wdrożenie kontroli dostępu. Istnieje kilka krytycznych domen prewencji, w których SSPM, takie jak Adaptive Shield , może zarządzać zarządzaniem tożsamością i dostępem: Błędne konfiguracje Luki Narażenie. Błędne konfiguracje Kontrole uprawnień muszą być odpowiednio konfigurowane w sposób ciągły. Konfigurację uprawnień należy monitorować pod kątem wszelkich podejrzanych zmian i zapewnić podjęcie odpowiednich kroków w celu zbadania i podjęcia działań naprawczych w stosownych przypadkach. Na przykład organizacja może włączyć usługę MFA w całej organizacji i jej nie wymagać. Ta luka w egzekwowaniu zasad może narazić organizację na ryzyko — a SSPM może ostrzec zespół ds. bezpieczeństwa o tej luce. Luki Rozwiązanie SSPM może wykorzystywać łatanie lub kompensację kontroli w celu usunięcia często wykorzystywanych luk w infrastrukturze tożsamości, takiej jak urządzenie użytkownika SaaS. Na przykład uprzywilejowany użytkownik CRM może stanowić duże ryzyko dla firmy, jeśli jego urządzenie jest podatne na ataki. Aby wyeliminować potencjalne zagrożenia pochodzące z urządzeń, zespoły ds. bezpieczeństwa muszą być w stanie skorelować użytkowników aplikacji SaaS, role i uprawnienia z higieną powiązanych urządzeń. Ta kompleksowa taktyka umożliwia holistyczne podejście zerowego zaufania do bezpieczeństwa SaaS. Inna krytyczna luka wynika z protokołów uwierzytelniania, w których dostęp do hasła jest ograniczony do metody uwierzytelniania jednoskładnikowego, na przykład w przypadku starszych protokołów, takich jak IMAP, POP, SMTP i Messaging API (MAPI). SSPM może określić, gdzie te protokoły są na miejscu w stosie SaaS organizacji. Narażenie SSPM pomaga zmniejszyć powierzchnię ataku poprzez identyfikację i łagodzenie miejsc ekspozycji. Na przykład usunięcie niepotrzebnych lub nadmiernych uprawnień lub zezwolenie administratorowi zewnętrznemu na aplikację o znaczeniu krytycznym dla firmy. Ponadto dostęp do aplikacji innych firm, znany również jako dostęp SaaS do SaaS, może narazić organizację na ryzyko. Użytkownicy łączą jedną aplikację z inną aplikacją, aby zapewnić rozszerzone funkcje lub informacje o użytkowniku (np. kontakty, pliki, kalendarz itp.). To połączenie zwiększa wydajność przepływu pracy, w wyniku czego obszary robocze pracowników są połączone z wieloma różnymi aplikacjami. Jednak zespół ds. bezpieczeństwa najczęściej nie wie, które aplikacje zostały połączone z ekosystemem ich organizacji, nie mogąc monitorować ani łagodzić żadnych zagrożeń. IAM to metoda wzmacniania kontroli dostępu, podczas gdy IAM Governance w SSPM oferuje ciągłe monitorowanie tych funkcji, aby zapewnić, że zespoły ds. bezpieczeństwa mają pełną widoczność i kontrolę nad tym, co dzieje się w domenie.

Document Foundation ogłosiła dzisiaj wydanie i ogólną dostępność LibreOffice 7.3.7 jako ostatniej aktualizacji serwisowej pakietu biurowego LibreOffice 7.3, który zakończy się jeszcze w tym miesiącu. LibreOffice 7.3.7 jest dostępny około dwa miesiące po aktualizacji konserwacyjnej LibreOffice 7.3.6 i zawiera łącznie 28 poprawek błędów, które dotyczą ostatnich pozostałych problemów zgłoszonych przez użytkowników lub wykrytych przez programistów LibreOffice. Sprawdź dziennik zmian RC1 i RC2 , aby uzyskać więcej informacji na temat tych poprawek. Osoby korzystające z pakietu biurowego LibreOffice 7.3 powinny zaktualizować swoje instalacje do wersji 7.3.7, gdy tylko trafi ona do stabilnych repozytoriów oprogramowania ich dystrybucji GNU/Linux. Jednak The Document Foundation zaleca użytkownikom LibreOffice 7.3 rozważenie uaktualnienia do najnowszej i najlepszej wersji LibreOffice 7.4. LibreOffice 7.4 pojawił się w sierpniu 2022 roku z wieloma nowymi funkcjami i poprawioną interoperacyjnością dokumentów. Najnowsza aktualizacja, LibreOffice 7.4.2 , jest już dostępna do pobrania z oficjalnej strony internetowej , jeśli planujesz aktualizację, oferowana jako 64-bitowe pliki binarne dla dystrybucji opartych na DEB i RPM. Seria LibreOffice 7.3 nie będzie już otrzymywać aktualizacji konserwacyjnych i zostanie oficjalnie wycofana pod koniec tego miesiąca, 30 listopada. Z drugiej strony, seria LibreOffice 7.4 będzie obsługiwana do 12 czerwca 2023 r., z czterema kolejnymi aktualizacjami konserwacyjnymi do wersji 7.4.6.

Phylum pisze: https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack W zeszłym tygodniu zautomatyzowana platforma wykrywania ryzyka powiadomiła o podejrzanej aktywności w dziesiątkach nowo opublikowanych pakietów PyPI. Wygląda na to, że te pakiety są bardziej wyrafinowaną próbą dostarczenia W4SP Stealer na komputery programistów Pythona poprzez ukrycie złośliwego __import__ . Wstrzykiwanie złośliwego kodu w mniejsze (i mniej znane) biblioteki, ale takie, które wykorzystywane są jako zależności do innych programach to znana technika, tzw. supply chain attack. Okazuje się, że od połowy października ktoś regularnie próbuje w ten sposób zainfekować programistów Pythona. Importy zostały wstrzyknięte w pliki setup.py lub __init__.py. Ale co ciekawe, niektóre z nich zostały dodane po sporej liczbie spacji, aby na pierwszy rzut oka nie były tak łatwo zauważalne: Inną techniką wykorzystywaną przez atakujących było dodawanie “pip install” do plików setup.py. Payload po deobfuskacji zawierał następujące żądanie: hxxp://wasp.plague[.]fun/inject/Fu643XzaSbmCcnGN To tylko jeden z przykładowych URL-i. Ale mimo wszystko warto sprawdzić logi wyjściowe z waszej sieci i środowisk programistycznych do tego adresu. Co jeszcze warto zrobić? Sprawdźcie, czy od 12 października nie pobraliście i nie skorzystaliście z podmienionej, złośliwej wersji tych bibliotek: typesutil typestring sutiltype duonet fatnoob strinfer pydprotect incrivelsim twyne pyptext installpy faq colorwin requests-httpx colorsama shaasigma stringe felpesviadinho cypress pystyte pyslyte pystyle pyurllib algorithmic oiu iao curlapi type-color pyhints Supply chain attack to tylko jeden z przykładów ataków, które mogą być bolesne dla programistów. Inne bazują wprost na błędach w kodzie tworzonych aplikacji. Dlatego warto wiedzieć, jakich błędów nie popełniać i jakimi technikami/narzędziami takie błędy w porę wychwytywać. To pokazuje niebezpiecznik na swoich szkoleniach Źródło: https://niebezpiecznik.pl/post/uwaga-programisci-wiele-bibliotek-pythona-zostalo-zainfekowanych/ https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack

Projekt OpenSSL wdrożył poprawki, które zawierają dwie bardzo poważne wady w szeroko używanej bibliotece kryptograficznej, które mogą skutkować odmową usługi (DoS) i zdalnym wykonaniem kodu. Problemy, śledzone jako CVE-2022-3602 i CVE-2022-3786 , zostały opisane jako luki w zabezpieczeniach związane z przepełnieniem bufora, które mogą zostać wyzwolone podczas weryfikacji certyfikatu X.509 poprzez podanie specjalnie spreparowanego adresu e-mail. „W kliencie TLS można to wywołać, łącząc się ze złośliwym serwerem” — powiedział OpenSSL w poradniku dla CVE-2022-3786. „Na serwerze TLS może to zostać wywołane, jeśli serwer zażąda uwierzytelnienia klienta, a złośliwy klient nawiąże połączenie”. OpenSSL to implementacja open source protokołów SSL i TLS używanych do bezpiecznej komunikacji i jest wypiekana w kilku systemach operacyjnych i szerokiej gamie oprogramowania. Wersje 3.0.0 do 3.0.6 biblioteki są dotknięte nowymi błędami, które zostały usunięte w wersji 3.0.7. Warto zauważyć, że powszechnie wdrażane wersje OpenSSL 1.x nie są podatne na ataki. Według danych udostępnionych przez Censys około 7062 hostów korzystało z podatnej wersji OpenSSL na dzień 30 października 2022 r., przy czym większość z nich znajduje się w USA, Niemczech, Japonii, Chinach, Czechach, Wielkiej Brytanii, Francji, Rosji, Kanada i Holandia. Chociaż CVE-2022-3602 był początkowo traktowany jako podatność krytyczna, jego istotność została obniżona do wysokiego, powołując się na zabezpieczenia przed przepełnieniem stosu w nowoczesnych platformach. Badacze bezpieczeństwa Polar Bear i Viktor Dukhovni zostali uznani za zgłoszenie CVE-2022-3602 i CVE-2022-3786 w dniach 17 i 18 października 2022 r. Projekt OpenSSL zauważył ponadto, że błędy zostały wprowadzone w OpenSSL 3.0.0 jako część funkcji dekodowania kodu punycode , która jest obecnie używana do przetwarzania ograniczeń nazwy adresu e-mail w certyfikatach X.509. Pomimo zmiany istotności, OpenSSL powiedział, że uważa „te problemy za poważne luki w zabezpieczeniach, a dotkniętych nimi użytkowników zachęca się do jak najszybszej aktualizacji”. Wersja 3.0, bieżąca wersja OpenSSL, jest dołączona do systemów operacyjnych Linux, takich jak między innymi Ubuntu 22.04 LTS, CentOS, macOS Ventura i Fedora 36. Dotyczy to również obrazów kontenerów utworzonych przy użyciu wersji systemu Linux, których dotyczy problem. Zgodnie z poradnikiem opublikowanym przez Docker, około 1000 repozytoriów obrazów może być dotkniętych różnymi obrazami Docker Official Images i Docker Verified Publisher. Ostatnia krytyczna luka usunięta przez OpenSSL miała miejsce we wrześniu 2016 r., kiedy zamknęła CVE-2016-6309 , błąd typu use-after-free, który mógł spowodować awarię lub wykonanie dowolnego kodu. Na pakiet oprogramowania OpenSSL w największym stopniu wpłynął Heartbleed ( CVE-2014-0160 ), poważny problem z obsługą pamięci w implementacji rozszerzenia TLS/DTLS heartbeat, umożliwiający atakującym odczytywanie części pamięci serwera docelowego. „Krytyczna luka w zabezpieczeniach biblioteki oprogramowania, takiej jak OpenSSL, która jest tak szeroko stosowana i tak fundamentalna dla bezpieczeństwa danych w Internecie, to taka, której żadna organizacja nie może przeoczyć” – powiedział SentinelOne . Identyfikowanie podatnych wersji OpenSSL Ustalenie, czy host jest podatny na ten niewydany błąd, jest nadal niejasne, ponieważ nie znamy wszystkich szczegółów. Możemy jednak przyjrzeć się usługom w Internecie, które reklamują konkretną wersję OpenSSL, z której korzystają, aby uzyskać ogólne pojęcie o tym, co jest podatne na ataki. Obecnie nie znamy żadnej techniki poza sprawdzaniem nagłówków HTTP w celu określenia dokładnej używanej wersji OpenSSL, ale wciąż badamy alternatywy. Oznacza to, że chociaż widzimy wiele potencjalnie podatnych serwerów, nie mamy wglądu w nie wszystkie, a statystyki w tym poście to dolne granice tego, co istnieje. Na szczęście niektóre serwery internetowe, takie jak Apache, oferują informacje, które dają nam wgląd w to, jakie konkretne wersje OpenSSL są używane. Na przykład w poniższym wyniku widzimy, że Apache dodał wszystkie załadowane moduły do ​​danych wyjściowych nagłówka „Server”. Jedną z nich jest wersja OpenSSL, z którą skompilowano moduł mod_ssl: $ curl -vvv https://127.0.0.1/ * Próbuję 127.0.0.1:443... * Podłączony do 127.0.0.1 (127.0.0.1) portu 443 (#0) > POBIERZ / HTTP/1.1 > Host: 127.0.0.1 > User-Agent: zwijanie/7.81.0 > Zaakceptuj: */* > < HTTP/1.1 200 OK < Data: poniedziałek, 31 października 2022 21:27:29 GMT < Serwer: Apache/2.4.53 (Win64) OpenSSL/1.1.1n PHP/8.0.18 < Zawartość-Długość: 1436 < Content-Type: text/html;charset=UTF-8 Linki: https://thehackernews.com/2022/07/openssl-releases-patch-for-high.html

Zorin OS to jedna z najpiękniejszych dystrybucji Linuksa oparta na wydaniach Ubuntu LTS. Na moim jednym laptopie ta wersja już zagościła. Zorin OS 16.2: Co nowego? Istnieje kilka znaczących ulepszeń, między innymi: Łatwiejsza instalacja aplikacji Windows Poprawiona kompatybilność z dokumentami biurowymi Microsoft Ulepszone połączenie Zorin Narzędzie GDevelop dodane do Zorin OS Education Łatwiejsza instalacja aplikacji Windows Zorin OS może już wykryć pliki .exe i poprowadzić Cię do zainstalowania ich w Twojej dystrybucji za pomocą Wine pod maską. Nowe menu „ Obsługa aplikacji Windows ” znajduje się w sekcji „ Narzędzia systemowe ”. Za jego pośrednictwem możesz włączyć obsługę aplikacji Windows. Wraz z nowym menu rozszerzono również bazę danych do wykrywania plików instalatora systemu Windows, aby zapewnić lepsze wrażenia użytkownika. Udoskonalenia środowiska biurowego Zorin OS dodał alternatywy dla popularnych zastrzeżonych czcionek, aby poprawić zgodność z dokumentami Microsoft Office. Na przykład Carlito jest alternatywą dla Calibri (domyślny krój pisma w Office 365). Zorin Connect staje się lepszy Zorin Connect to cenne narzędzie, które pomaga podłączyć urządzenie mobilne do komputera z systemem Zorin OS. To już zapewniało bezproblemowe działanie. Teraz możesz wyświetlić stan baterii komputera w telefonie, co powinno być przydatne dla użytkowników laptopów. Statystyki baterii są domyślnie dostępne w Zorin OS 16.2. Jeśli masz starszą wersję Zorin OS, powinieneś najpierw zaktualizować aplikację Zorin Connect. Inne ulepszenia Oprócz najważniejszych zmian, inne znaczące zmiany obejmują: Zaktualizowana aplikacja LibreOffice 7.4 z obsługą WebP Zaktualizowane aplikacje i sterowniki graficzne Dodano efekt maksymalizacji i udoskonaloną fizykę w trybie Jelly Nowsza kompatybilność sprzętowa

Usługa hostingu plików Dropbox ujawniła we wtorek, że padła ofiarą kampanii phishingowej, która umożliwiła niezidentyfikowanym cyberprzestępcom uzyskanie nieautoryzowanego dostępu do 130 repozytoriów jej kodu źródłowego w serwisie GitHub. Dropbox pisze: „Te repozytoria zawierały nasze własne kopie bibliotek innych firm, nieco zmodyfikowane do użytku przez Dropbox, wewnętrzne prototypy oraz niektóre narzędzia i pliki konfiguracyjne używane przez zespół ds. bezpieczeństwa” – ujawniła firma w swoim doradztwie. W wyniku naruszenia uzyskano dostęp do niektórych kluczy API używanych przez programistów Dropbox, a także „kilka tysięcy nazwisk i adresów e-mail należących do pracowników Dropbox, obecnych i byłych klientów, leadów sprzedażowych i dostawców”. Podkreślił jednak, że repozytoria nie zawierają kodu źródłowego związanego z jego podstawowymi aplikacjami lub infrastrukturą. Dropbox, który oferuje między innymi usługi przechowywania w chmurze, tworzenia kopii zapasowych danych i podpisywania dokumentów, ma ponad 17,37 mln płacących użytkowników i 700 mln zarejestrowanych użytkowników według stanu na sierpień 2022 r . Ujawnienie nastąpiło ponad miesiąc po tym, jak zarówno GitHub, jak i CircleCI ostrzegły przed atakami phishingowymi mającymi na celu kradzież danych uwierzytelniających GitHub poprzez fałszywe powiadomienia rzekomo pochodzące z platformy CI/CD. Firma z siedzibą w San Francisco zauważyła, że ​​na początku października „wielu Dropboxerów otrzymało wiadomości phishingowe podszywające się pod CircleCI”, z których część prześlizgnęła się przez automatyczne filtry antyspamowe i trafiła do skrzynek pocztowych pracowników. „Te autentycznie wyglądające e-maile kierowały pracowników do odwiedzenia fałszywej strony logowania CircleCI, wprowadzenia nazwy użytkownika i hasła GitHub, a następnie użycia klucza uwierzytelniania sprzętowego do przekazania hasła jednorazowego (OTP) do złośliwej witryny” – wyjaśnił Dropbox. Dlatego warto rozważyć stosowanie klucza fizycznego np Yubikey Firma nie ujawniła, ilu jej pracowników padło ofiarą ataku phishingowego, ale poinformowała, że ​​podjęła natychmiastowe działania w celu rotacji wszystkich ujawnionych danych uwierzytelniających programistów i zaalarmowała organy ścigania. Powiedział również, że nie znalazł dowodów na to, że jakiekolwiek dane klientów zostały skradzione w wyniku incydentu, dodając, że aktualizuje swoje systemy uwierzytelniania dwuskładnikowego, aby obsługiwały sprzętowe klucze bezpieczeństwa w celu ochrony przed phishingiem. „Czujni profesjonaliści mogą paść ofiarą starannie opracowanej wiadomości dostarczonej we właściwy sposób we właściwym czasie” – podsumowała firma. „Właśnie dlatego phishing jest tak skuteczny”. Źródło: https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox https://dropbox.gcs-web.com/news-releases/news-release-details/dropbox-announces-second-quarter-fiscal-2022-results https://thehackernews.com/2022/09/hackers-using-fake-circleci.html #bezpieczeństwo #dropbox #github #phishing

Jak podaje i pisze sekurak Atak „ad hijacking” polega na kupieniu reklamy w wyszukiwarce, np. w Google Ads dla określonego słowa wyszukiwania (w tym przypadku „gimp”), gdzie fałszywa strona prezentowana jest na pierwszym miejscu wyników wyszukiwania. Po kliknięciu reklamy przenosi nas na stronę o identycznym wyglądzie, z której ofiara nieświadomie pobiera narzędzie GIMP ze złośliwym kodem. Po wpisaniu w wyszukiwarkę słowa „gimp” użytkownikowi w pierwszej kolejności wyświetlała się reklama z linkiem do strony gimp.org, ale po kliknięciu w nią trafiał do serwisu gilimp[.] Org Reklama stosunkowo szybko została usunięta z wyników wyszukiwania dzięki reakcji zespołu GIMP-a, który zgłosił sprawę firmie Google Inc. Pojawiła się jednak jej inna wersja, wskazująca na witrynę gimp[.] Monster z tym samym złośliwym oprogramowaniem. Na początku społeczność zastanawiała się, na jakiej podstawie sponsorowana reklama wyświetla wyniki w wyszukiwarce Google przy innej stronie niż ta, na którą wskazuje. W toku analizy wykluczono technikę "substytucji homografów" polegającą na stosowaniu znaków alfabetu innych niż łaciński, ale łudząco podobnych w nazwie domeny. Więc gdzie jest problem? Google umożliwia tworzenie reklam z dwoma adresami URL: wyświetlanym adresem URL i docelowym adresem URL. Oba adresy nie muszą być takie same, ale obowiązuje ścisła zasada związana z tym, że oba adresy muszą znajdować się w jednej domenie – jak wyjaśnia dokumentacja Google Ad Managera. Po pobraniu zainfekowanej wersji narzędzia o rozmiarze 700 MB z sumą okazuje się, że przy pomocy polecenia sed '$ s / \ x30 * $ //' można było zweryfikować rzeczywistą wielkość pliku, która była jedynie rzeczywistą wielkością pliku, wynoszącą 4.000 MB. W tym przypadku stosowana jest technika maskowania „binar padding”, redundantne wypełnianie kodu programu bezsensownymi danymi, aby rozmiar pobranego fałszywego pliku był rzeczywisty w stosunku do oryginału, który użytkownik zamierzał pobrać. Technika ta jest również wykorzystywana do zmiany sumy skrótu, aby zmylić porównanie sygnatur prostych systemów antywirusowych. Złośliwe oprogramowanie było VIDAR , który pojawiał się dokładnie w ten sam sposób kilka dni wcześniej w fałszywych reklamach YouTube jako „Office 365 cr [a] ck”, jak zgłoszono przez użytkownika 0xToxin. Oprogramowanie kradnie co najmniej następujące dane: dane z przeglądarek w postaci haseł, ciasteczek, historii wyszukiwania i danych kart bankowych dane portfela kryptowalut Poświadczenia konta Windows Telegram poświadczenia przechowywane w narzędziach do przesyłania danych (WinSCP, FTP, FileZilla) poświadczenia z aplikacji pocztowych (Outlook, Thunderbird) Poprzednie ataki z wykorzystaniem VIDAR dotyczyły co najmniej 27 różnych programów, w tym Notepad ++, Thunderbird, przeglądarka Tor, Microsoft Visual Studio. Jak się zabezpieczyć Zainstalowanie jednego z popularnych adblockerów może być również dobrym sposobem na ochronę siebie. Unikanie klikania w linki reklamowe. Źródło: https://sekurak.pl/umiescili-w-google-falszywa-reklame-popularnego-narzedzia-graficznego-gimp-link-prowadzil-do-strony-ze-zlosliwym-oprogramowaniem/ https://www.reddit.com/r/GIMP/comments/ygbr4o/comment/iu85cgz/?utm_source=share&utm_medium=web2x&context=3 https://twitter.com/0x0luke https://twitter.com/0x0luke/status/1586699718394089473 https://dmcxblue.gitbook.io/red-team-notes-2-0/red-team-techniques/defense-evasion/t0127-obfuscated-files-or-information/binary-padding https://bazaar.abuse.ch/sample/29dc4071c3232c5cd82186be9155bd7288bc4eb4013159ceaed06da36ef29607/ https://twitter.com/0xToxin/status/1586753529963847682 https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar

Po porzuceniu wsparcia dla starożytnej linii procesorów i386 , ponad dekadę temu, jądro Linuksa szykuje się do ewentualnego porzucenia linii procesorów i486 . Seria procesorów i486 została wydana w 1989 roku i obecnie obsługuje ją niewiele dystrybucji Linuksa, takich jak Gentoo , Slackware i KNOPPIX . Linus Torvalds wspomniał o porzuceniu wsparcia na liście dyskusyjnej jądra: Pozbyliśmy się obsługi i386 w 2012 roku. Może nadszedł czas, aby pozbyć się obsługi i486 w 2022 roku? Dobre czy złe wieści? Linia procesorów i486 została opracowana przez firmę Intel w 1989 roku i traciła na znaczeniu od czasu jej zaprzestania w 2007 roku. W wątku listy dyskusyjnej Linus dodaje również więcej szczegółów dotyczących tej zmiany, zmieniając jednocześnie podstawowe wymagania jądra Linuksa: Maybe we should just bite the bullet, and say that we only support x86-32 with 'cmpxchg8b' (ie Pentium and later). Get rid of all the "emulate 64-bit atomics with cli/sti, knowing that nobody has SMP on those CPU's anyway", and implement a generic x86-32 xchg() setup using that try_cmpxchg64 loop. I think most (all?) distros already enable X86_PAE anyway, which makes that X86_CMPXCHG64 be part of the base requirement. Not that I'm convinced most distros even do 32-bit development anyway these days. Jednym z głównych powodów jest ilość pracy wymaganej do stworzenia obejścia dla tak starej architektury procesora do pracy na nowszych jądrach Linuksa. Spowoduje to również "złe" wsparcie, które powoduje dziwne błędy i usterki. Oczywiście linia procesorów i486 to starożytna historia. Nie chodzi tylko o Linusa Torvaldsa, myślę, że wszyscy możemy się zgodzić na tym froncie. Wspomina on również, że nie ma to już znaczenia z punktu widzenia rozwoju jądra, a bardzo niewielu tworzy nowy sprzęt oparty na tej architekturze. Linus zamierza przenieść linię bazową do zestawu instrukcji cmpxchg8b , obsługiwanego przez procesory, takie jak seria Pentium i nowsze. Spowoduje to, że minimalne wymagania dotyczące procesora dla jądra Linux podniosą się do Pentium. Jeśli mnie pytasz, to dobrze, myślę, że nadszedł czas, aby wycofać wsparcie dla procesorów i486 z jądra Linux. Wydaje się, że w pewnym stopniu powstrzymuje to jądro i powoduje niepotrzebne błędy, które mogą wymagać dużo czasu i cierpliwości od programistów. Kilka osób może się tym zdenerwować, ale jest to ryzyko, które Linus i inni muszą podjąć, aby poczynić postępy w rozwoju jądra Linuksa. #linux #linuks #kernel

Obsługa nowego sprzętu w systemie Linux jest zawsze dobra. Daje użytkownikom swobodę wyboru dowolnej platformy. Ale w przypadku sprzętu do gier nie zawsze tak jest. W systemie Linux nie wszystkie akcesoria do gier działają zgodnie z oczekiwaniami. Z drugiej strony Sony podejmuje rozsądny wysiłek, dodając początkowe wsparcie dla sprzętu, który nie został jeszcze wprowadzony na rynek. DualSense Edge , bezprzewodowy kontroler nowej generacji firmy Sony, otrzymuje wsparcie dla systemu Linux! Obsługa technologii DualSense Edge dla systemu Linux Sony rozpoczęło prace nad zapewnieniem początkowego wsparcia w systemie Linux dla swojego niedawno ogłoszonego kontrolera bezprzewodowego DualSense Edge, który ma trafić na półki sklepowe około 26 stycznia 2023 roku . Bezprzewodowy kontroler DualSense Edge oferuje wiele opcji dostosowywania i funkcji, które odróżniają go od standardowych kontrolerów DualSense. Niektóre z najważniejszych funkcji to: Programowalne przyciski Wymieniane przez użytkownika drążki Możliwość dostosowania czułości drążka i spustu Profile kontrolne Dotykowa informacja zwrotna Roderick Colenbrander jest liderem rozwoju początkowego wsparcia dla systemu Linux firmy Sony. Niedawno dodał nową łatkę do oficjalnego repozytorium sterowników hid-playstation , która umożliwiła wstępną obsługę kontrolera DualSense Edge. Możesz oczekiwać, że to wczesne wsparcie pojawi się wraz z nadchodzącym jądrem Linux 6.1 . Wspomina, że ​​dodanie identyfikatorów urządzeń do repozytorium powinno umożliwić kontrolerom DualSense Edge działanie podobne do standardowych kontrolerów DualSense. Obsługa nowych funkcji, takich jak reprogramowalne przyciski i dostosowywanie czułości drążków, zostanie wprowadzona później. Dlatego wsparcie dla tego kontrolera powinno dojrzeć w miarę upływu czasu, a decyzja Sony o dodaniu obsługi Linuksa wydaje się słuszna. Dodanie obsługi Linuksa dla nadchodzącego produktu zwiększa zaufanie potencjalnych klientów, którzy lubią używać kontrolera na wielu platformach. Nie zapominajmy, że powinno to pomóc w zwiększeniu sprzedaży i dać im przewagę nad konkurencją. #ps5 #dualsense #kernel #linuks #linux

O pierwszych doniesieniach można było przeczytać na łamach portalu sekurak.pl już 02.11.2022 - że Instytut Centrum Zdrowia Matki Polki w Łodzi został "zhakowany" i padł ofiarą ataku ransomware. Dzisiaj w Łodzi w instytucie Centrum Zdrowia Matki Polki powiedzieli mi podczas pobrania krwi, że cały system leży bo ich zhackowali i nikt nie wie kiedy będą wyniki siostra pracuje w Instytucie Centrum Zdrowia Matki Polki w Łodzi, oni podobno zostali zaatakowani. Cały Clininet do tej pory prawdopodobnie nie działa. W sobotę padło już wszystko z samego rana. Żona jest tam lekarzem i mówi mi ze od kilku dni problem z siecią 😕 (…) właśnie mówi mi że nie ma sieci, zasobów sieciowych, nic nie działa i piszą na kartkach… To tylko niektóre informacje które docierały do portalu sekrak.pl - od czytelników tego portalu. Oficjalnie też tego samego dnia tą informację potwierdził rzecznik prasowy tej placówki. "Prowadzimy intensywne działania, które mają doprowadzić do jak najszybszego, pełnego ich uruchomienia. We wspomnianych działaniach uczestniczy cały zespół IT ICZMP przy wsparciu Ministerstwa Zdrowia, Centrum e-Zdrowia i NASK" Jak widać trwają prace by zniwelować atak i przywrócić sprawność systemów informatycznych w placówce medycznej. Na portalach społecznościowych możemy też wyczytać że problem i sama sieć padła całkowicie w sobotę (29.10.2022) rano. Obecnie jeszcze nie wiemy kiedy dokładnie został zaobserwowanym podejrzany program w sieci szpitala. Choć sam atak wstępnie ustalony został na dzień 28.10.2022, czyli piątek. Obecnie szpital pracuje w trybie analogowym wystawiając recepty, skierowania na papierze oraz prowadząc dokumetacje medyczna papierowa. #centrumzdrowiamatkipolkiwlodzi #ransomware #bezpieczenstwo

Jak podaje Zaufana Trzecia Strona https://zaufanatrzeciastrona.pl/post/wyciekla-baza-ofiar-producenta-spyware-sprawdz-czy-jest-tam-twoj-telefon/ Przekazane 34 GB danych zawiera informacje o ofiarach aplikacji i jej klientach. W bazie znaleźć można przede wszystkim dane telefonów zainfekowanych między początkiem 2019 a kwietniem 2022 (z tego miesiąca pochodzą najnowsze informacje). Według opisu dziennikarzy baza zawiera IMEI telefonów (identyfikator sprzętowy urządzenia), identyfikator reklamowy Google (używany w przypadku tabletów), rejestry połączeń telefonicznych, treść wiadomości SMS, dane o lokalizacji urządzeń, nazwy sieci Wi-Fi, z którymi łączyły się telefony, zawartość schowka w trakcie kopiowania informacji, nazwy plików wykonywanych zdjęć i nagrywanych filmów (samych multimediów brak) oraz informacje o tym, kiedy i jakie rozmowy zostały zarejestrowane (w bazie brak także samych nagrań rozmów). Łącznie w bazie znaleziono dane 360 tysięcy zainfekowanych urządzeń. Co ciekawe, baza zawiera także adresy e-mail 337 tysięcy klientów firmy, którzy zamawiali aplikacje szpiegujące (liczba mniejsza od liczby urządzeń ofiar, bo jeden klient mógł infekować więcej niż jedno urządzenie).

Projekt OBS Studio został wydany dzisiaj OBS Studio 28.1 jako pierwsza duża aktualizacja najnowszej serii 28.x tego potężnego, powszechnie używanego, darmowego, open-source i międzyplatformowego oprogramowania do strumieniowania na żywo i nagrywania ekranu dla GNU/Linuksa, macOS i Windows. OBS Studio 28.1 jest tutaj dwa miesiące po OBS Studio 28.0 i wprowadza zaktualizowane ustawienia wstępne NVENC, dzieląc je na trzy różne ustawienia, a mianowicie tryb Preset, Tuning i Multipass. Tryb wieloprzebiegowy sam w sobie zawiera trzy ustawienia, a mianowicie Wyłączone, Rozdzielczość ćwiartkowa i Pełna rozdzielczość, i są one używane do określenia, czy podczas kodowania używany jest drugi przebieg. Z drugiej strony tryb strojenia służy do określania, czy podczas kodowania priorytet będzie miała latencja lub jakość, a także oferuje trzy ustawienia, a mianowicie wysoką jakość, niską latencję i bardzo niską latencję. Ponadto ustawienia wstępne NVENC są teraz oznaczone jako P1 do P7 od najniższej do najwyższej jakości. Zwróć uwagę, że wyższe ustawienia wstępne mogą wiązać się z większym użyciem GPU, co może wpłynąć na wydajność gier działających jednocześnie z OBS. Liczba jednoczesnych sesji kodowania NVENC może być mniejsza w przypadku korzystania z najwyższych ustawień wstępnych. OBS automatycznie zmapuję twoje bieżące ustawienia NVENC do najbliższego ustawienia wstępnego podczas aktualizacji” – wyjaśnili twórcy w informacjach o wydaniu. OBS Studio 28.1 umożliwia również wybór określonego źródła dla kamery wirtualnej, przenosi opcję „Zawsze na wierzchu” do menu Widok i naprawia różne błędy mające wpływ na metodę mieszania w trybie Studio, wygląd widżetu Stats, jak a także gry Direct3D 9 i kamera wirtualna systemu Windows. Rozwiązuje również przypadek, w którym przechwytywanie wideo jest przyciemnione, gdy zarówno luma wipe, jak i filtrowanie skali są włączone w tym samym czasie. Dla użytkowników systemu Windows ta wersja dodaje koder sprzętowy NVENC AV1, który obecnie działa tylko z formatami kolorów NV12 (domyślny OBS) i P010 oraz procesorami graficznymi NVIDIA GeForce RTX 40. OBS Studio 28.1 jest już dostępny do pobrania jako aplikacja Flatpak z Flathub . Jeśli masz zainstalowaną wersję 28.0 na swoich dystrybucjach GNU/Linux, wszystko, co musisz zrobić, aby zaktualizować wersję 28.1, to uruchomić flatpak update polecenie w emulatorze terminala. W Ubuntu można go zainstalować wydając polecenie: sudo add-apt-repository ppa:obsproject/obs-studio sudo apt update sudo apt install ffmpeg obs-studio