⌨️Выпуск Wine 8.3

Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 8.3. С момента выпуска версии 8.2 было закрыто 29 отчётов об ошибках и внесено 230 изменений.

Наиболее важные изменения:
➖Добавлена поддержка смарткарт, реализованная при помощи прослойки PCSC-Lite.
➖При выделении памяти добавлена поддержка кучи с низкой фрагментацией.
➖В состав включена библиотека Zydis для более корректного дизассемблирования.
➖Закрыты отчёты об ошибках, связанные с работой игр: Escape from Tarkov, Hardwar UIM6.0, 3D Sexvilla 2, Saints Row: The Third, Heavy Rain.
➖Закрыты отчёты об ошибках, связанные с работой приложений: Office 2007 Installer, Untis 2015, AusweisApp2 1.x, Seneka EBDYS client, Aruba Key, Wavelab, KeePassXC, SpeedCommander 20, Rich Edit.

🔑Функция обнаружения утечек секретов GitHub теперь открыта для общедоступных репозиториев

GitHub объявил, что функция оповещений о сканировании секретов «Secret Scanning» теперь открыта для всех общедоступных репозиториев и может быть включена для обнаружения утечек секретов во всей истории публикаций.

Секреты — это конфиденциальные данные, случайно добавленные в репозитории GitHub, включая API-ключи, пароли учетных записей и др.

⌨️Пять самых громких кибератак 2022 года: чему они могут научить

2022 год запомнился рекордным количеством кибератак, направленных на российские организации.

В новом материале рассматриваем самые крупные кибер-инциденты 2022 года, а заодно изучаем успешный (и не очень) опыт их отражения.

Подробнее об:

🔵Атаках на ИТ-инфраструктуру ВТБ

🔵Попытках обрушить “Госуслуги”

🔵Потерях бизнеса в цифрах

🔵Тенденциях в кибербезопасности в 2023 году

- можно прочитать здесь

#инфобез #утечки #полезное

🇷🇺«Атомэнергопром» начал проект по созданию импортонезависимой информационно-аналитической системы «Корпоративное хранилище данных» (ИАС КХД 2.0). Бюджет – 1,11 млрд руб. – выставлен в тендере в формате открытого конкурса.

Действующее хранилище данных реализовано на базе программного продукта немецкой компании SAP — NetWeaver Business Warehouse (SAP BW/4HANA).

Подрядчику предстоит до мая 2024 года решить ряд задач, среди которых:
– проектирование и развертывание технической целевой архитектуры ИАС КХД 2.0;
– проектирование и реализация форм отчетности;
– автоматизация формирования аналитической отчетности по данным единой отраслевой системы электронного документооборота (ЕОСДО);
– миграция исторических данных;
– выполнение требований по информбезопасности в части подключения к корпоративному центру ГосСОПКА и проведения аттестации.

Серверная часть системы ориентировочно задействует ОС Astra Linux Special Edition группы «Астра» и «Альт 8 СП» компании «Базальт СПО», а также СУБД Postgres Pro.

Для рабочих станций планируется использовать ОС Astra Linux Common Edition, пакет офисных приложений «Мой офис» либо Libre Office 6.4.5.2.

Лицензии на некоторые продукты подрядчик должен получить самостоятельно, например, на прикладное ПО «Форсайт. Аналитическая платформа», «Форсайт. Бюджетирование» и т.д.

Ранее, в мае 2022 года стало известно о планах «Росатома» перевести 130 тыс. рабочих мест на отечественную ОС Astra Linux до конца 2024 года.

Помимо ОС, стали замещать и СУБД. Так, в мае 2021 года корпорация начала переносить финансовую систему с Oracle на Postgres Pro.

✅Напомним, что всё о миграции баз данных рассказывали здесь.

❗️O’Reilly: Инфраструктура как код
📚 Infrastructure as Code: Dynamic Systems for the Cloud Age

📕Описание
IaC (Infrastructure as Code) — это способ предоставления облачных ресурсов и управления ими как кодом. Использование шаблонов IaC позволяет получить определенные преимущества — повышение согласованности, возможность контроля версий и сокращение времени развертывания.

Еще десять лет назад концепцию IaC можно было назвать «инопланетной». Сегодня её применяют банки, телекомы и правительственные организации.

O’Reilly рассказывает о построении динамических облачных сред. Автор утверждает, что книга пригодится тимлидам и архитекторам инфраструктуры.

Структурно материал разбит на четыре части:

✅ в первой автор закладывает основы — как IaC помогает оптимизировать рабочие процессы в облаке;

✅ во второй — говорит о подходах к настройке, тестированию и мониторингу инфраструктурного стека;

✅ третий блок посвящен работе с кластерами и развертке приложений;

✅ четвертый — рассказ о построении бизнес-процессов в условиях, когда за инфраструктуру отвечает сразу несколько специалистов.

Читатели отмечают, что в целом книга стоит потраченного на неё времени. Однако в ней нет практики, только теория. Автор не приводит развернутые примеры конкретных реализаций облачной инфраструктуры и старается не упоминать реальные продукты cloud-провайдеров. Автор подразумевает, что читатель знаком с принципами Infrastructure as Code, поэтому не «закапывается» в базу.

В целом этот материал — must read для инженеров компаний, намеревающихся трансформировать корпоративную облачную инфраструктуру.

#полезное

​​❌ Новости инфобеза

Отмена административных регламентов ФСБ России

⛔️ ФСБ России признала утратившим силу Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны.

​​⛔️ Информация о прекращении применения некоторых СрЗИ

ФСТЭК России информирует о прекращении применения с 01.05.2023 отдельных средств активной акустической и вибрационной защиты акустической речевой информации в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки.

📝Перечень таких средств защиты информации приводится в информационном сообщении ФСТЭК России от 22.02.2023 «О прекращении применения отдельных средетв активной акустической и вибрационной защиты акустической речевой информации».

#инфобез

🔑 Как влезают в линуксовые бинарники?
Ниже серия постов с описанием и примерами методик вторжения и способами защиты.

Помимо описательной части, все сопровождается примерами на С/С++ и массой ссылок на первоисточники. Любителям основательного подхода рекомендуем!

Раз
Два
Три
Четыре
Пять

#полезное #заметкитехдира

👤75% компаний не выполняют требования закона о персональных данных

#нечаянный_инфобез

Компания «К2 Интеграция» провела опрос среди компаний и выяснила, что только 3% готовы к выполнению требований закона № 152-ФЗ "О персональных данных", вступивших в силу 1 марта 2023 года.

75% компаний до сих пор не выполнили требования первых поправок, действующих с 1 сентября 2022 года.

Также по результатам исследования:
– 66% компаний не начинали подготовку;
– 56% компаний сталкиваются с проблемами уведомления об инцидентах;
– 53% не разобрались с нюансами оценки вреда субъектам.

Напомним, что подготовили ряд материалов по выполнению требований № 152-ФЗ:

🛡Перечень НПА по ПДн с 01.03.2023 года

🛡Все цели обработки ПДн одним файлом

🛡Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных

🛡Чек-лист по выполнению новых требований закона №152-ФЗ

#персданные

💬Эволюция полос прокрутки с 1981 по 2015 год

Можно зайти на сайт и воспользоваться каждой

🔔Linux: выпуск пакетного менеджера APT 2.6 и дистрибутива Armbian 23.02

- Инструментарий и файлы конфигурации адаптированы для поддержки нового репозитория non-free-firmware, в который из репозитория non-free перенесены пакеты с прошивками, что позволяет обеспечить доступ к прошивкам без включения общего репозитория non-free.

- Оформление файла со списком авторских прав и текстами используемых лицензий (COPYING) переделано для упрощения автоматизированного разбора.

- Документирован параметр "--allow-insecure-repositories", отключающий ограничения по работе с незащищёнными репозиториями.

- В поисковых шаблонах реализована поддержка группировки с использованием круглых скобок и операции "|" (логическое ИЛИ).

- Добавлена поддержка поэтапных обновлений (phased update), позволяющих перед доставкой всем пользователям, вначале протестировать обновления на небольшой тестовой группе пользователей.

🔵Linux-дистрибутив Armbian 23.02 предоставляет компактное системное окружение для различных одноплатных компьютеров на базе процессоров ARM.

Для формирования сборок используются пакетные базы Debian и Ubuntu, но окружение полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом данных на накопитель раз в день или при завершении работы. Раздел /tmp монтируется при помощи tmpfs.

Проектом поддерживается более 30 вариантов сборок ядра Linux для разных платформ ARM и ARM64. Для упрощения создания своих системных образов, пакетов и редакций дистрибутива предоставляется SDK. Для подкачки используется ZSWAP. При входе по SSH предоставляется опция для использования двухфакторной аутентификации.

👮‍♂️В сервере автоматизации Jenkins с открытым исходным кодом была обнаружена пара серьезных уязвимостей.

Уязвимости, отслеживаемые как CVE-2023-27898 и CVE-2023-27905 и влияющие на сервер Jenkins и Центр обновлений, получили общее название CorePlague. Все версии версий Jenkins до 2.319.2 уязвимы. Пользователям рекомендуется обновить свой сервер Jenkins до последней доступной версии, чтобы снизить потенциальные риски.

🟡Импортозамещение виртуализации: платформа РЕД

Платформа РЕД виртуализация (версия 7.3) — заключительная отечественная система виртуализации, которую команда CORTEL тестировала в рамках задачи по импортозамещению VMware в одной из крупнейших электросетевых компаний в России.

Ознакомиться с результатами исследования, функциональными и эксплуатационными характеристиками РЕД, включая:
🔵Систему мониторинга
🔵Управление ролевой моделью доступа
🔵Поддержку систем резервного копирования
🔵Поддержку блочных и файловых систем хранения данных -

- можно здесь.

#импортозамещение #полезное #заметкитехдира

🚓Утечка данных в Acronis

Хакеры выложили в открытый доступ внутренние данные компании Acronis – разработчика ПО для защиты данных, резервного копирования и восстановления виртуальных, физических и облачных сред.

В архиве с утечкой acronis.tar.gz размером 12,2 ГБ содержатся:

🔵файлы сертификатов;
🔵журналы команд;
🔵системные конфигурации;
🔵журналы системной информации;
🔵архивы их файловой системы;
🔵скрипты python для их базы данных maria.db;
🔵конфигурация резервного копирования;
🔵множество снапшотов операций резервного копирования.

Напомним, что в марте 2022 года Acronis объявила, что приостанавливает все операции в России.

Профильные эксперты считают, что если утечка является подлинной, инцидент принесёт репутационные риски для ИБ-компании Acronis.

Аналоги или альтернативы Acronis — Paragon Software, Clonezilla, GParted, «Кибер Бэкап» от «Киберпротект» (ранее «Акронис-Инфозащита»).

#утечки

🔆С 13 марта на GitHub станет обязательна двухфакторная аутентификация - но пока не для всех пользователей.

Платформа анонсировала поэтапное внедрение опции. 2FA станет обязательной к концу 2023 года.

🔰Site Reliability Engineering

Данная книга является одной из первых, где был упомянут SRE – подход к работе с непрерывностью веб-сервисов. SRE-инженеры обеспечивают стабильную и предсказуемую работу приложений/сайтов и т.д, обнаруживая проблемы до того, как о них сообщит клиент. Они объединяют команды разработки и операционные службы – и выстраивают единый, слаженный процесс.

Это — бесплатный материал, в котором инженеры делятся опытом в DevOps-практике и SRE. Начиная с таких базовых вещей, как определение SLO (service level objectives), авторы постепенно переходят к более глубоким топикам — пайплайнам обработки данных, управлению нагрузкой, реакциям на инциденты, и объясняют, как со всем этим работать на масштабе.

А перед тем, как приступать к изучению книги, рекомендуем ознакомиться с вводным материалом, где рассказали:
✅ О подходе и культуре SRE
✅Историю появления SRE
✅ Как потерять 100 млн рублей за несколько часов?
✅ Как считать, контролировать, внедрять и использовать SRE-подход -

– здесь.

#полезное #заметкитехдира

🔵Отличным дополнением в теме SRE может стать книга Building Secure & Reliable Systems. Она рассказывает, как строить защищенные и надежные системы.

Авторы говорят о дизайн-стратегиях, дают рекомендации по написанию кода и его отладке, а также предлагают алгоритмы для обработки инцидентов, которые можно брать и применять на практике.

#полезное #заметкитехдира