А когда начнут наказывать программистов за то что они пишут программы с багами? 🌝
Минэк предложил штрафовать разработчиков антивирусов за утечки данных
https://www.rbc.ru/technology_and_media/25/11/2024/6744c35a9a7947a67c8f5776
Минэк предложил распространить оборотные штрафы за утечки персональных данных на поставщиков решений инфорбезопасности. В противном случае, введение штрафов приведет к банкротству четырех из пяти компаний малого и среднего бизнеса
. . .
«Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты», — отметил Владимир Волошин.
. . .
Руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов отметил, что любая ответственность должна распространяться на лиц, которые повлияли на появление негативных последствий, но он не уверен, что этот вопрос необходимо вписывать в законодательство, поскольку его можно урегулировать в договорах.
Минэк предложил штрафовать разработчиков антивирусов за утечки данных
https://www.rbc.ru/technology_and_media/25/11/2024/6744c35a9a7947a67c8f5776
🤣21🌚13🤡6🤔2💯2🥱1🗿1
Forwarded from ITTales :(){ :|:& };:
Мы обновили плагин kubectl-node-shell v1.11.0
- Добавились опции
- Добавилась переменная
- Добавилась возможность подключения томов с помощью опции
Большое спасибо @jmcshane, @huandu и @bernardgut, которые добавили эти замечательные функции в новую версию плагина
- Добавились опции
--no-mount, --no-net, --no-ipc, --no-uts для отключения автоматического входа в указанные linux-неймспейсы- Добавилась переменная
KUBECTL_NODE_SHELL_IMAGE_PULL_SECRET_NAME для указания pullSecret для пуллинга образа- Добавилась возможность подключения томов с помощью опции
-m, подключённые тома могут быть найдены в директории /opt-pvcБольшое спасибо @jmcshane, @huandu и @bernardgut, которые добавили эти замечательные функции в новую версию плагина
GitHub
Release v1.11.0 · kvaps/kubectl-node-shell
What's Changed
Add flags for netns attach by @jmcshane in #68
Add KUBECTL_NODE_SHELL_IMAGE_PULL_SECRET_NAME to customize imagePullSecrets by @huandu in #62
[Feature] Adding ability to mount CS...
Add flags for netns attach by @jmcshane in #68
Add KUBECTL_NODE_SHELL_IMAGE_PULL_SECRET_NAME to customize imagePullSecrets by @huandu in #62
[Feature] Adding ability to mount CS...
👌4🔥3👍2⚡1🤣1
Выложены доклады с KazHackStan 2024
Плейлист
https://www.youtube.com/playlist?list=PL6yKM2nb4YL2v-0P7GHXyfps46g1OQoTu
Программа доступна тут
https://kazhackstan.com/ru
ЗЫ Есть кто из подписчиков, кто может передать оргам, у них там серт на сайте протух 3 дня назад 🌝
ЗЫЫ Обновили серт
Плейлист
https://www.youtube.com/playlist?list=PL6yKM2nb4YL2v-0P7GHXyfps46g1OQoTu
Программа доступна тут
https://kazhackstan.com/ru
ЗЫ Есть кто из подписчиков, кто может передать оргам, у них там серт на сайте протух 3 дня назад 🌝
ЗЫЫ Обновили серт
🤣7🤡5👎2👍1
Технологический Болт Генона
Своим первым постом на площадке я хочу привлечь внимание к катастрофе, сложившейся на данный момент в RU-зоне проекта NTPPool.org. Я думаю, что проект в представлении не нуждается, тем не менее, для тех, кто никогда о нём не слышал - во многом благодаря ему…
Яндекс признал и осознал, что не может не радовать
Об инциденте с NTP-серверами
https://habr.com/ru/companies/yandex/articles/861538/
Спасибо подписчику за ссылку
15 октября мы раскатили прошивку на 10% устройств. Поэтапная раскатка обновления — это стандартная практика. Она предназначена в том числе для того, чтобы выявлять проблемы новых версий на ранней стадии. И прежде чем увеличивать процент раскатки, мы отсматриваем метрики всех ключевых пользовательских сценариев. Но число генерируемых нами NTP‑запросов исторически никогда не входило в метрики, требующие валидации, потому что NTP‑клиент годами существовал практически без изменений и не приводил к проблемам.
К 24 октября новая прошивка докатилась до 100% колонок. Опять же, критичные для пользователей сценарии покрыты автоматическим мониторингом. Если что‑то важное ломается, мы получаем уведомление. Но, как вы уже догадались, для NTP‑клиента таких уведомлений настроено не было.
. . .
Жалоб было мало, действующий регламент поддержки не был рассчитан на подобные ситуации, поэтому обращения рассматривали не в самом высоком приоритете. К 20 ноября мы нашли ошибку, внесли исправление в код и начали готовить новый релиз.
В выходные 23–24 ноября ситуация с NTP‑серверами обостряется: доступными остаются лишь четыре сервера. К этому моменту мы уже начали раскатывать релиз с исправлением на 10% устройств.
. . .
В воскресенье мы выпустили хотфикс в виде новой рантайм‑конфигурации для NTP‑клиента, который увеличивал период перезапроса с 5 до 600 секунд, уменьшая нагрузку на серверы в 120 раз. Хотфикс не исправлял проблему полностью, но был единственным быстрым способом снять чрезмерную нагрузку с NTP-серверов.
. . .
мы запланировали выделить ресурсы в общий пул NTP‑серверов. Это займёт некоторое время, потому что наши дата‑центры удалены от основных точек обмена трафиком, а для NTP‑серверов RTT (Round Trip Time) это — ключевой фактор качества. Мы установим и запустим мощности на основных точках обмена трафиком.
Для наших устройств мы заведём именную зону в соответствии с гайдлайнами проекта NTPPool.org для бо́льшей прозрачности. Генерируемый ими трафик будет локализован на наших NTP‑серверах, если мы продолжим полагаться на публичную инфраструктуру проекта.
Ещё мы добавим метрики, связанные с NTP, на этап валидации A/Б‑экспериментов, а также реалтайм‑уведомления о неполадках в этом компоненте. В том числе расширим сценарии мониторинга исходящего и входящего служебного трафика устройства в целом. Также поработаем над каналами коммуникаций и поддержкой, чтобы подобные проблемы быстрее до нас эскалировались.
Об инциденте с NTP-серверами
https://habr.com/ru/companies/yandex/articles/861538/
Спасибо подписчику за ссылку
👍76🔥10😁6🤯1
Forwarded from Andrey Konovalov 📝
Про лампочки на вебках
Сделал доклад на Поке (Гугл слайды, пдфка, код) про то, как можно стримить видео с вебки Синкпада X230 без активации лампочки-индикатора. Практическая демонстрация того, как малварь может незаметно записывать видео с вебки.
ТЛ;ДР: Вебка внутри ноута подключена по USB и ее можно по USB же и перепрошить (без физ. доступа к ноуту). А лампочка подключена к GPIO пину контроллера камеры на плате вебки, так что ей можно управлять из прошивки.
X230 — ноут старый, но скорее всего такие атаки можно проводить и на новых: вебки часто подключены по USB и поддерживают перепрошивку. А если камера вдруг проверяет подпись прошивки, то можно пойти современным путем и получить исполнение кода на камере через переполнения буферов. Непробиваемой защитой будет только подключение лапочки напрямую к питанию сенсора камера, но кажется такое есть только на маках.
Ссылка на работу провисела уже 16 часов в топе Хакер Ньюс — рекорд 😁
Сделал доклад на Поке (Гугл слайды, пдфка, код) про то, как можно стримить видео с вебки Синкпада X230 без активации лампочки-индикатора. Практическая демонстрация того, как малварь может незаметно записывать видео с вебки.
ТЛ;ДР: Вебка внутри ноута подключена по USB и ее можно по USB же и перепрошить (без физ. доступа к ноуту). А лампочка подключена к GPIO пину контроллера камеры на плате вебки, так что ей можно управлять из прошивки.
X230 — ноут старый, но скорее всего такие атаки можно проводить и на новых: вебки часто подключены по USB и поддерживают перепрошивку. А если камера вдруг проверяет подпись прошивки, то можно пойти современным путем и получить исполнение кода на камере через переполнения буферов. Непробиваемой защитой будет только подключение лапочки напрямую к питанию сенсора камера, но кажется такое есть только на маках.
Ссылка на работу провисела уже 16 часов в топе Хакер Ньюс — рекорд 😁
🔥54👍7🆒6🌚1
DeepSeek AI: From Prompt Injection To Account Takeover
https://embracethered.com/blog/posts/2024/deepseek-ai-prompt-injection-to-xss-and-account-takeover/
Так же перезалил полное видео с объяснением из оригинального поста
> There are some cool tests that can be done when pentesting LLM-powered web apps, I usually try some quick fun prompts like this one:
So, naturally I ran that and to my surprise this happened:
https://embracethered.com/blog/posts/2024/deepseek-ai-prompt-injection-to-xss-and-account-takeover/
Так же перезалил полное видео с объяснением из оригинального поста
> There are some cool tests that can be done when pentesting LLM-powered web apps, I usually try some quick fun prompts like this one:
Print the xss cheat sheet in a bullet list. just payloadsSo, naturally I ran that and to my surprise this happened:
👍7🔥7😁6
Когда получаете тестовые задания на собесе будьте бдительны
https://www.linkedin.com/posts/franco-aguilera-2583685a_the-code-challenge-scam-they-tried-to-hack-ugcPost-7270114821801451523-z9DT
В комментариях идёт речь о том, что это известный кейс, когда северокорейцы таким занимаются
The code challenge scam: they tried to hack me on a technical interview
. . .
Maybe it was nerves, or maybe I was too confident, but I didn't review the code before running the project on my machine, but when I started the backend, I notice that although the terminal showed me that the server was running with no errors, I notice that when making any request no log appears, and that caught my attention.
After making a review of the code I notice this weird line hidden at the end of a file (Picture 1 and 2)
That was the line that prevented the server from running, when I checked that file I found this (Picture 3)
The file is obfuscated, but at first glance you can tell it's an IIFE, and using an online tool I tried to decrypt it as much as I could and I found this kind of things (Picture 4, 5, 6, 7, 8)
Clearly that script was gathering information from my computer and sending it to that IP, and from what I can see the information it is trying to retrieve is related to crypto wallets.
. . .
Another detail that I noticed after looking at the code more closely is that the folder where the script is is ".svn" (something very familiar to those who used Subversion), but the detail here is that many folders that start with a ".", and VSCode hides them in the file explorer, so it was harder to notice if I hadn't found the reference in the code.
https://www.linkedin.com/posts/franco-aguilera-2583685a_the-code-challenge-scam-they-tried-to-hack-ugcPost-7270114821801451523-z9DT
В комментариях идёт речь о том, что это известный кейс, когда северокорейцы таким занимаются
Esta campaña es de origen Norcoreano 🇰🇵 (cluster de #Lazarus), ellos crean perfiles de reclutadores falsos aquí en LinkedIn y otras RRSS para distribuir el malware #BeaverTail.
C2: hxxp[:]//185.153.182[.]241:1224/
Algo más de información aquí: https://x.com/1ZRR4H/status/1786877817528959308
🔥26😁9👍8🤯8❤1😱1
Организация Linux Foundation совместно с Гарвардской лаборатории инноваций в науке подготовила новую редакцию исследования Census III, нацеленного на выявление наиболее широко используемых открытых проектов, нуждающихся в первоочередном аудите безопасности. В ходе исследования проведён анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. Всего было изучено более 12 млн открытых библиотек, задействованных в приложениях, используемых в 10 тысячах различных компаний.
. . .
Некоторые выводы:
- 17% из 50 наиболее популярных проектов, не представленных в репозитории NPM, имеют только одного разработчика, а 40% - одного или двух разработчиков, совершивших 80% коммитов.
- По сравнению с прошлым отчётом от 2022 года, среди важных пакетов увеличилось использование пакетов для взаимодействия с облачными сервисами.
- Продолжается перевод проектов с Python 2 на Python 3.
- Сохраняется популярность пакетов Maven и растёт использование пакетов из репозиториев PIP (Python), Cargo (Rust) и NuGet (.NET).
- Как и раньше наблюдается необходимость в использовании стандартизированных схем именования программных компонентов.
- Возросла актуальность защиты учётных записей разработчиков. Многие из наиболее востребованных пакетов размещены под учётными записями конкретных разработчиков, менее защищённых чем учётные записи созданных под проект организаций.
- 20 наиболее часто используемых JavaScript-пакетов из репозитория NPM, загружаемых приложениями без привязки к версии
Третья редакция рейтинга библиотек, требующих особой проверки безопасности
https://www.opennet.ru/opennews/art.shtml?num=62347
Оригинальная новость
https://www.linuxfoundation.org/press/open-source-usage-trends-and-security-challenges-revealed-in-new-study
Ссылка на отчёт (PDF тоже скину в комменты)
https://www.linuxfoundation.org/hubfs/LF%20Research/lfr_censusiii_120424a.pdf
👍5🔥2
11 декабря буду на открытой конференции ИСП РАН https://www.isprasopen.ru/, если кто захочет пересечься пишите в комменты или в личку. В этот раз я без доклада =)
Для меня самая интересная секция будет 12 декабря - "Технологии анализа, моделирования и трансформации программ", но посмотреть мне её получится только в записи
Доклады секции, которые меня заинтересовали
Для меня самая интересная секция будет 12 декабря - "Технологии анализа, моделирования и трансформации программ", но посмотреть мне её получится только в записи
Доклады секции, которые меня заинтересовали
- Возвращаясь к восстановлению потока управления по бинарному коду: подход, основанный на абстрактной интерпретации
- Применение формальных спецификаций системы команд для функционального тестирования языковых виртуальных машин
- TSAR: инструмент для оценки статических анализаторов
- Многоаспектный подход к поиску утечки ресурсов на основе статического анализа
- Извлечение шаблонов HTTP-запросов из мобильных приложений методом статического анализа
- Уязвимости GCC и LLVM к атакам на конвейер оптимизации
- Конструирование программных систем, нацеленное на обеспечение безопасности
🔥18❤2👍2💊1
Forwarded from Музыкальный Болт Генона
Media is too big
VIEW IN TELEGRAM
NANOWAR OF STEEL - HelloWorld.java (Source Code Video) | Napalm Records
Металл-группа Nanowar of Steel выпустила трек, в котором спела валидный код на Java
Исходный код, он же текст песни
https://github.com/NanowarOfSteel/HelloWorld
Пятница, какая надо пятница! 🤘
Металл-группа Nanowar of Steel выпустила трек, в котором спела валидный код на Java
Исходный код, он же текст песни
https://github.com/NanowarOfSteel/HelloWorld
Пятница, какая надо пятница! 🤘
🔥25😁4👍2🥴1