П - безопасность

Русский перевод cпециального выпуска OpenBSD Webzine: OctOpenBSD 2023

🐡 #OpenBSD #OctOpenBSD @rf @ru @elec @russian_mastodon @tech

Самое милое, что атаку произвели не какие-то невнятные хакеры, а непосредственно Хетцнер. Всё, что нужно знать о надёжности европейских контор, ящитаю.

Белоярская атомная электростанция (БАЭС), расположенная под Екатеринбургом, внедряет в работу отечественные компьютеры «Бобер».

Отмечается, что в состав комплекта входит системный блок на базе процессора «Байкал-М» и монитор «Сова». В качестве операционной системы в данных компьютерах используется Astra Linux. Частота восьмиядерного процессора «Байкал-М», которым оснащен «Бобер», достигает 1,5 гигагерца, оперативная память до 64 гигабайт, а объем жесткого диска составит до 16 терабайт.

... а также для Discource, Lobsters и HackerNews

Angie — это полная замена nginx, поэтому вы можете использовать существующую конфигурацию nginx без серьезных изменений.

Важной особенностью Angie является получение проектом сертификатов совместимости с российскими операционными системами, такими как Astra Linux SE, Альт, Ред ОС и ФСТЭК-версии Альт.

Изменения в версии 1.3.0:

• Теперь можно указывать несколько шаблонов сопоставления URI в одной директиве «location», что позволяет объединять несколько блоков «location» с похожими настройками и уменьшать дублирование кода.

• Добавлена возможность экспорта разнообразной статистики и метрик в формате Prometheus с помощью новых директив «prometheus» и «prometheus_template». Это позволяет гибко настраивать шаблоны и получать подробную информацию о работе сервера.

• В интерфейсе статистики, предоставляемом директивой «api», добавлена детальная информация и метрики для групп серверов в модуле «stream». Это позволяет получать более полную картину о работе прокси-серверов.

• В модуле «stream» добавлены новые опции для отслеживания изменений IP-адресов доменных имен и получения списков адресов из DNS-записей SRV с поддержкой приоритетов.

• Теперь можно получить доступ к содержимому файлов конфигурации текущего поколения рабочих процессов через интерфейс, предоставляемый директивой «api» с включенной опцией «api_config_files».

• В загрузке конфигурации OpenSSL теперь используется имя приложения «angie».

• В новой версии также внесены изменения из репозитория проекта Nginx версии 1.25.2.

• Исправлена ошибка, из-за которой компиляция не проходила при использовании опций «–without-http_upstream_zone_module» или «–without-stream_upstream_zone_module».

В пользовательском окружении GNOME 45, релиз которого намечен на 25 сентября, изменена организация загрузки модулей в дополнениях к GNOME Shell, что приведёт к нарушению обратной совместимости и потребует внесения изменений в дополнения. Дополнения, разработанные для прошлых версий GNOME, не смогут работать в выпуске GNOME 45, а дополнения, адаптированные для работы в GNOME 45, не смогут устанавливаться в прошлых версиях GNOME. Для сохранения совместимости с разными выпусками GNOME разработчикам дополнений необходимо загрузить в каталог extensions.gnome.org два варианта дополнения: один для GNOME 45 и следующих за ним выпусков, а другой для старых выпусков GNOME.

Нарушение совместимости вызвано переходом GNOME Shell с собственной системы импорта модулей, специфичной для JavaScript runtime GJS (GNOME JavaScript на базе движка SpiderMonkey от проекта Mozilla), на стандартный механизм импорта, JavaScript-модулей (ESM), описанный в спецификации ECMAScript 6 и применяемый в web-приложениях. Отличия сводятся к тому, что ранее в дополнениях к GNOME Shell для подключения JavaScript-модулей и GObject-обвязок применялся объект "imports", а теперь должен использоваться оператор "import".

   // Было
   const GLib = imports.gi.GLib;
   const Main = imports.ui.main;

   imports.gi.versions.Soup = '3.0';
   const Soup = imports.gi.Soup;

   // Стало
   import GLib from 'gi://GLib';
   import * as Main from 'resource:///org/gnome/shell/ui/main.js';

   import Soup from 'gi://Soup?version=3.0';

Для работы в GNOME 45 и более новых выпусках в дополнениях необходимо изменить код, связанный с загрузкой библиотек, обеспечить присутствие в файле extension.js методов enable()/disable() в классе default и при использовании prefs.js определить подкласс ExtensionPreferences с методом fillPreferencesWindow. Изменённую версию дополнения следует привязать к новыми выпускам GNOME Shell через параметр '"shell-version": [ "45" ]' в metadata.json. Для GNOME до выпуска 45 можно сформировать отдельные варианты дополнений, также обеспечив в них привязку к старым версиям через параметр shell-version в metadata.json. Протестировать изменённые дополнения можно воспользовавшись сборками GNOME OS.

После 6 месяцев разработки представлен релиз Samba 4.19.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Разработчики HTTP Toolkit, открытого инструментария для инспектирования HTTPS-трафика, обратили внимание на изменение способа обновления сертификатов удостоверяющих центров (CA) в будущем выпуске платформы Android 14. Системные сертификаты больше не будут привязаны к прошивке, а станут доставляться отдельным пакетом, обновляемым через Google Play.

Подобный подход упростит поддержание актуальных сертификатов и удаление сертификатов скомпрометированных удостоверяющих центров, а также не позволит производителям устройств манипулировать списком корневых сертификатов и сделает процесс их обновления независимым от обновления прошивки. С другой стороны, новый способ доставки не позволит пользователю вносить изменения в системные сертификаты, даже если он имеет root-доступ в системе и полностью контролирует прошивку.

Ведущий российский разработчик операционных систем будет платить независимым исследователям за реализацию внутри системы недопустимых событий с авторским механизмом разграничения доступа, а также с функционирующей замкнутой программной средой. BI.ZONE со своей стороны обеспечит багхантерам доступ к программе, прием и обработку отчетов, а при подтверждении уязвимости проведет выплату вознаграждения. В зависимости от уровня критичности уязвимости размер выплаты может достигать 250 000 рублей, а уязвимости категории «critacal» будут рассматриваться в индивидуальном порядке.

В ГК «Астра» уверены, что багбаунти может принести более весомые результаты, чем классический анализ защищенности.

...

BI.ZONE Bug Bounty связывает организации и независимых исследователей безопасности. Компании размещают на платформе программы по поиску уязвимостей, в которых участвуют багхантеры. Они получают вознаграждение от владельцев программ за найденные уязвимости. Этот подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности.

Презентация BI.ZONE Bug Bounty состоялась на международной конференции по практической кибербезопасности OFFZONE 2022. На платформе доступны публичные программы, в том числе от VK, «Авито», Ozon, «Тинькофф» и «СберМаркета».

Звучит охуенно

релиз Tribler 7.13 — BitTorrent-клиента с открытым исходным кодом, разрабатываемого Делфтским Техническим Университетом (Нидерланды).

Для анонимизации пользователей Tribler использует собственную TOR-подобную сеть, а для поиска по торрентам - децентрализованную базу данных торрентов. Клиент написан с использованием библиотек PyQt и LibTorrent.

Релиз 7.13 был в работе почти год, авторы неустанно трудились на устранением багов и добавлением новых фич. Основные особенности релиза:

• Значительно улучшен поиск по торрентам: скорость локального поиска увеличена в 100х раз; результаты удаленного поиска показываются немедленно; сортировка результатов происходит с учетом нескольких факторов (название+сиды+свежесть и т.д.); одинаковые результаты группируются визуально
• Система тэгов преобразована в «Knowledge Component» - децентрализованную самообучающуюся семантическую базу описаний торрентов (реализована частично)
• Исправлена и улучшена система определения популярных торрентов
• Сотни багфиксов, улучшений стабильности и производительности, а также рефакторинга к современным стандартам разработки. Как результат - Tribler запускается/работает/останавливается быстрее и стабильней чем когда либо.

Компании Purism представила новый смартфон Liberty Phone, который оснащён прошивкой на базе свободного ПО и предоставляет пользователю полный контроль над устройством. Для блокирования попыток отслеживания и сбора информации о пользователе в устройстве предусмотрены аппаратные переключатели, которые на уровне разрыва цепей позволяют отключить камеру, микрофон, GPS, Wi-Fi/Bluetooth и модуль Baseband.

Заявленная стоимость устройства - $2199, что объясняется производством почти всех электронных компонентов на территории США при контроле компанией Purism всех этапов производства (исключение составляет модуль Wi-Fi, производимый в Индии). Локальное производство позволяет обезопасить цепочку поставок и минимизирует риски встраивания бэкдоров на стадии производства по контракту с китайскими компаниями. При этом аппаратная начинка Liberty Phone представляет собой усовершенствованный вариант смартфона Librem 5, разработанного в 2018 году и продаваемого по цене $1299.

Главные отличия Liberty Phone сводятся к увеличению размера ОЗУ с 3 до 4 ГБ и увеличению встроенной памяти с 64 до 128 ГБ. В Liberty Phone продолжает использоваться 5.7-дюймовый экран (IPS TFT) с разрешением 720×1440, SoC i.MX8M c четырёхядерным CPU ARM64 Cortex A53 (1.5GHz) и GPU Vivante GC7000Lite, Wi-Fi 802.11abgn, Bluetooth 4, аккумулятор ёмкостью 4500mAh и камеры в 8 и 13 мегапикселей.

Компания НТЦ ИТ РОСА представила мобильную операционную систему РОСА Мобайл (ROSA MOBILE), поддерживающую установку на российский смартфон Ayya T1. Пользовательский интерфейс РОСА Мобайл построен на основе открытой платформы KDE Plasma Mobile, развиваемой с использованием мобильной редакции рабочего стола Plasma 5, библиотек KDE Frameworks 5, телефонного стека ModemManager и коммуникационного фреймворка Telepathy. Мобильные приложения задействованы из набора Plasma Mobile Gear и базируются на библиотеке Qt, наборе компонентов Mauikit и фреймворке Kirigami, позволяющем создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК.

Для вывода графики в Plasma Mobile используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. В состав Plasma Mobile входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, просмотрщик документов Okular, музыкальный проигрыватель VVave, просмотрщики изображений Koko и Pix, система ведения заметок buho, календарь-планировщик calindori, файловый менеджер Index, менеджер приложений Discover, программа для отправки SMS Spacebar, адресная книга plasma-phonebook, интерфейс для осуществления телефонных вызовов plasma-dialer, браузер plasma-angelfish и мессенджер Spectral.

Сборка РОСА Мобайл примечательна изменением оформления Plasma Mobile и поставкой мессенджера Telegram. Системное окружение собрано из собственного репозитория ROSA 2021.1. В сборках не используются закрытые драйверы и проприетарные компоненты из состава Android-прошивок.

Объявлено о создании организации OpenTF, которая будет развивать форк платформы управления конфигурацией и автоматизации поддержания инфраструктуры Terraform. Разработку планируют перевести под покровительство организации Linux Foundation для дальнейшего развития платформы на нейтральной площадке Cloud Native Computing Foundation при участии заинтересованных в проекте компаний и энтузиастов. Присоединение к Linux Foundation позволит гарантировать сохранение открытого характера платформы и защитить проект от изменений в политике отдельных компаний. В настоящее время уже подготовлены все необходимые документы для присоединения проекта к Linux Foundation. О своей поддержке новой организации и намерении участвовать в разработке форка объявили 108 компаний, 11 проектов и 416 индивидуальных разработчиков.

Представлен выпуск инструментария Tor 0.4.8.4, используемого для организации работы анонимной сети Tor. Версия Tor 0.4.8.4 признана первым стабильным выпуском ветки 0.4.8, которая развивалась последние 15 месяцев. Ветка 0.4.8 будет поддерживаться в рамках штатного цикла сопровождения - выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.9.x.

Бьёрн Страуструп дал разработчикам несколько ценных советов на всю жизнь

Не слишком специализируйтесь. Не будьте слишком уверены, что знаете будущее. Будьте гибкими и помните, что карьера и работа — это долгосрочная вещь. Слишком много молодых людей думают, что могут что-то оптимизировать, а затем обнаруживают, что потратили пару лет или больше на специализацию на чём-то, что, возможно, было неправильным. И в процессе они выгорают, потому что не уделяют достаточно времени налаживанию дружеских отношений и жизни вне компьютеров.

Я встречаю много таких… не знаю, как вы их называете, "юных вундеркиндов", которые просто думают, что единственное, что имеет значение — это специализация вычислений, программирование, искусственный интеллект, графика или что-то в этом роде. И — ну, это не так… А если они больше ничего не делают, что ж — если вы не передаёте свои идеи, вы с тем же успехом можете заниматься судоку… Вы должны общаться. И многие карикатурные ботаники об этом забывают. Они думают, что если смогут написать лучший код, то изменят мир. Но нужно уметь слушать. Вы должны иметь возможность общаться со своими потенциальными пользователями и учиться у них. И вы должны быть в состоянии донести до них свои идеи.

Так что вы не можете просто писать код. Вам нужно что-то сделать с культурой и с тем, как выражать идеи. То есть я ни разу не пожалел о времени, потраченном на историю и математику. Математика обостряет ваш ум, история даёт некоторое представление о ваших ограничениях и о том, что происходит в мире. Так что не будьте слишком уверены. Найдите время, чтобы вести сбалансированную жизнь.

И будьте готовы к такой возможности. Я имею в виду, что широкое образование, широкий набор навыков — это то, что вы приобретаете во время обучения, вы, по сути, создаёте портфель навыков — означает, что вы можете воспользоваться возможностью, когда она появится. Иногда это можно узнать. У нас много возможностей. Но многими из них мы либо не можем воспользоваться, либо не замечаем. У меня довольно обширное образование, я изучал стандартную информатику, компиляторы, несколько языков... Думаю, на тот момент я знал две дюжины языков. И я занимался архитектурой машин, операционными системами. И этот набор навыков оказался полезным.

@tech @elec #habr

Основные изменения:

• Добавлена поддержка Magpie, временного форка композитного менеджера Mutter, синхронизированного c GNOME 43. Основной целью создание Magpie является подготовка к переходу в будущем на работу с использованием протокола Wayland. В текущем виде Budgie по-прежнему использует X11, но после доведения Magpie до версии 1.0 и создания собственного композитного менеджера для Wayland, основанного на wlroots, будет осуществлён переход на использование Wayland с полным прекращением поддержи X11.
• В состав включён апплет Budgie Trash, позволяющий просматривать содержимое корзины, очищать её и восстанавливать помещённую в корзину файлы.
• В апплете с индикатором заряда аккумулятора предоставлена возможность выбора профиля производительности: режим экономии энергии, режим сбалансированного энергопотребления и режим максимальной производительности.
• Улучшена внутренняя тема оформления. Цвет, применяемый для выделения активных элементов (accent), заменён с голубого на светло-зелёный. Некоторые элементы, такие как панель и меню, сделаны более тёмными.

"Несмотря на то, что многие пользователи привыкли к подобной модели, она не является оптимальной и создаёт трудности для новичков, которые сталкиваются с необходимостью вручную разбирать возникающее нагромождение из перекрывающихся мелких окон или искать нужное окно, перекрытое другими окнами. В идеале, система должна сама оптимально размещать окна таким образом, чтобы пользователь сразу мог приступить к работе и видеть окна, необходимые для решения текущей задачи, без необходимости тратить время на манипуляции с окнами, добиваясь их приемлемого расположения и размера. Применяемый ныне подход для работы с окнами, характеризуется как беспорядок, который нужно разбирать пользователю. "

И вот в чем-то я даже и согласен, но нужно будет посмотреть как это всё будет работать.

В основную ветку проекта Mesa принят код NVK, открытого драйвера с реализацией графического API Vulkan для видеокарт NVIDIA. Драйвер создан командой, в которую входят Карол Хербст (Karol Herbst, разработчик Nouveau из Red Hat), Дэвид Эйрли (David Airlie, мэйнтейнер подсистемы DRM из Red Hat) и Джейсон Экстранд (Jason Ekstrand, активный разработчик Mesa из Collabora). Драйвером пока поддерживаются только GPU на базе Turing (RTX 20XX and GTX 16XX) и более новых микроархитектур (карты, выпускаемые с сентября 2018 года). В будущем планируют добавить поддержку семейства GPU Kepler (GeForce 600 и 700)

Очередное доказательство, что корпорасты несут не только зло

И казалось бы, вот оно - обратная совместимость, единый набор пакет, тыры-пыры.

Но на самом то деле - это ещё одно напоминание того, что корпорасты приносят в этот мир не только добро, но и множечко говнеца.

Небольшая хронология свершений:

2013 год: Telegram пообещал "в скором времени" открыть исходный код своих серверов (http://web.archive.org/web/20150905224928/https://telegram.org/faq) — код не выпущен до сих пор.

Декабрь 2020-го: Telegram объявляет о внедрении рекламы и платных подписок (https://t.me/durov/142) — ранее обещалось, что Telegram будет "без рекламы, без абонентской платы, навсегда" (http://web.archive.org/web/20150905224928/, https://telegram.org/faq#q-how-is-telegram-different-from-whatsapp).

Март 2021-го: Fedora и Gentoo отказались от сопровождения пакетов (https://www.cnews.ru/news/top/2021-03-02_sborshchiki_po_dlya_znamenityh) с Telegram Desktop из-за хамства разработчиков мессенджера (https://www.opennet.ru/opennews/art.shtml?num=54681).

Сентябрь 2021-го: Telegram заблокировал (https://www.kommersant.ru/doc/4995148) бот «Умного голосования» в РФ

Декабрь 2021-го: Основатель Signal назвал Telegram худшим мессенджером с точки зрения конфиденциальности (https://kod.ru/osnovatel-signal-vs-zashita-telegram/).

Февраль 2022-го: Telegram блокирует 64 канала посвященные COVID протестам по требованию властей (https://www.sueddeutsche.de/politik/telegram-kanaele-sperrung-1.5527255).

Март 2022-го: Зампред комитета по информационной политике, информационным технологиям и связи РФ заявляет (https://www.securitylab.ru/news/530561.php): «ФСБ вместе с Дуровым пришли к компромиссу... Telegram установил оборудование для отслеживания опасных субъектов, и отвечает на запросы в рамках оперативных мероприятий.»

Март 2022-го: Telegram блокирует каналы оппозиции в Бразилии (https://3dnews.ru/1062347/telegram-poluchil-sutki-chtobi-izbegat-blokirovki-v-brazilii , https://www.theverge.com/2022/3/20/22988183/telegrams-ban-brazil-lifted-president-bolsonaro)

Май 2022-го: Telegram подменяет определение слова «бесплатный» (https://translations.telegram.org/en/android/login/Page3Message). «Telegram бесплатный навсегда. Без рекламы. Без подписок» заменено на: «Telegram предоставляет бесплатное безлимитное облачное хранилище для чатов и медиа».

Июнь 2022-го: Telegram передает данные пользователей 3000 каналов и групп силовикам Германии: (https://tginfo.me/spiegel-talked/)

Июнь 2022-го: Telegram вводит платные чаты (https://www.theverge.com/2022/6/19/23174976/telegram-premium-subscription-4-99-month-bigger-uploads-faster-downloads , https://trashbox.ru/link/2022-06-20-chats-for-elite)

Июнь 2022-го: Telegram передает данные пользователей в Google для перевода сообщений голоса в текст (https://habr.com/ru/post/672782/). Об этом прямо указано в новых Условиях обслуживания, пункт 7.4: https://telegram.org/tos#7-4-voice-to-text-conversion

Август 2022-го: Telegram отбирает у пользователей юзернеймы и продает с аукциона (https://t.me/black_triangle_tg/2833)

Сентябрь 2022-го: Telegram вводит ссылки нарушающие конфиденциальность пользователей: (https://habr.com/ru/post/688948/)

Октябрь 2022-го: Telegram сдал 545 пиратских каналов и их администраторов полиции Италии (https://torrentfreak.com/telegram-piracy-police-target-545-channels-eight-suspected-admins-221010/)

Октябрь 2022-го: Telegram начал ограничивать в функционале бесплатные аккаунты (аккаунты без активированной подписки Telegram Premium не могут писать в комментариях и группах от имени канала)

Ноябрь 2022-го: Telegram передал данные индийских пиратов полиции (https://www.livelaw.in/news-updates/after-court-order-telegram-discloses-phone-numbers-ip-addresses-of-users-accused-of-sharing-infringing-material-215311)

Февраль 2023-го: Telegram ограничивает в функционале не официальные клиенты. Это про SMS для входа, которые не будут отправляться в не официальные приложения Telegram.

Февраль 2023-го: Глава WhatsApp призывает: «Используйте что угодно, только не Telegram» (https://habr.com/ru/news/t/717116/)

Май 2023: Telegram запрещают на правительственных устройствах штата Монтана, США. (https://www.theverge.com/2023/5/17/23727750/montana-bans-telegram-temu-wechat-other-bytedance-apps-government-devices-tiktok)

Июль 2023-го: Реклама в Telegram становится целенаправленной и персонализированной (https://telegram.org/privacy/en).

Август 2023-го: Telegram блокирует оппозиционные каналы Ирака (https://incrussia.ru/news/iraq-telegram/)

По мотивам поста Черного Треугольника... в Телеграме. 😁️

Оригинальный пост со ссылками на тг-посты и каналы:

https://t.me/black_triangle_tg/4051

#Telegram #Durov #Дуров #телеграм

Навороченный фронтенд для Lemmy, который, кмк, выглядит очень не дурно и интересно.

Он не столько напоминает форумный движок, сколько микроблогинк, но в тоже время имеет множественные преймущества Lemmy

Тот редкий случай, когда выражаю хакерам гросс респект! В этот раз они отправили в нокаут сучью контору по разработке шпионского софта:

С 31 августа 2023 года польский разработчик шпионского программного обеспечения LetMeSpy прекращает свою работу. Причиной закрытия сервиса стала кибератака , произошедшая в июне. Тогда хакеры получили доступ к базе данных компании, содержащей личную информацию и переписки более 100 тысяч пользователей.

Источник

Эх, как бы их подбить на флешмоб по массовому убиению контор, разрабатывающих шпионский и следящий софт? 🤔

#spy #security #безопасность #взлом #ТакВам!

В утопическом (имхо) варианте уже должна бы начинаться эпоха мелких региональных и узкоцелевых, возможно федерируемых, поисковичков, перелинкованных между собой и, возможно, сведенных в директории типа ветхозаветного DMOZ. Например, "спорттовары, спорт, туризм в Заречном районе г.Приреченска". Но как я вижу, #YaCy, не взлетел. Да поисковик на яве имхо идея сомнительная. А альтернатив и нет. Начали вроде пилить YGGo!, но на первый взгляд рабочим вариантом это не выглядит.

Был еще #Sphider, заброшенный ныне. Точнее, есть платный форк Sphider Plus, который вроде поддерживается до сих пор. Но он тоже на PHP, что тоже врядли лучший вариант для такого софта. Хотя в конце нулевых сетку из 80+ довольно емких сайтов он у меня тянул нормально на не шибко могучей впс-ке... Но тоже массово не взлетело.

#поиск #поисковики

Illustration by Icons 8