122 уязвимости обнаружено в системах Министерства внутренней безопасности США

Программа вознаграждения за обнаружение уязвимостей Hack DHS запущена ​​​​в декабре 2021 года. В рамках программы исследователи сообщают подробную информацию об уязвимости и о том, как ее можно эксплуатировать для получения доступа к данным компьютерных систем.

Исследователи, зарегистрированные в этой программе, выявили 122 уязвимости во внешних системах Министерства внутренней безопасности США. 27 проблем оцениваются как критические.

450 ИБ-экспертам выплатили в общей сложности $125,6 тыс. за обнаруженные проблемы.

​​Представлен язык системного программирования Hare

Автор пользовательского окружения Sway, почтового клиента Aerc и платформы совместной разработки SourceHut, представил язык программирования Hare.

Hare преподносится как язык системного программирования, близкий к языку Си, но проще, чем Си. Из ключевых принципов проектирования Hare заявлена ориентация на упрощение и полное доверие к действиям программиста (выполнять именно то, что указано, без самодеятельности и неявного поведения), при наличии вспомогательных инструментов для выявления типовых ошибок и проблем.

В первом публичном выпуске заявлена поддержка операционных систем Linux и FreeBSD на платформах x86_64, aarch64 и riscv64, а также самодостаточное использование для запуска поверх оборудования без операционной системы.

В языке применяется ручное управление памятью и статическая система типов, при которой каждой переменной явно должен быть присвоен определённый тип. Язык оптимизирован для решения низкоуровневых задач, таких как разработка операционных систем, компиляторов, сетевых приложений и системных утилит, для которых требуется достижение максимальной производительности и полный контроль за выполнением.

Проекты на языке Hare: микроядро Helios, менеджер паролей Himitsu, система трассировки лучей raytracing, программа для шифрования box, bittorrent-демон btqd, scheduled (аналог системы cron), toothbrush (клиент и сервер для протокола finger).

Башни замедляют рост. Сотовым вышкам не хватает оборудования.
https://www.kommersant.ru/doc/5327603

CISA добавило 7 новых CVE в список эксплуатируемых уязвимостей

Агентство по кибербезопасности и безопасности инфраструктуры США добавило семь уязвимостей, которые позволяют злоумышленникам выполнять атаки, включая кражу учетных данных, получение доступа к сетям, удаленное выполнение команд, загрузку и выполнение вредоносных программ или кражу информации с устройств.

С добавлением этих семи уязвимостей список CISA теперь содержит 654 CVE. Семь новых уязвимостей должны быть исправлены до 16 мая 2022 года.

CVE-2022-29464, CVE-2022-21919, CVE-2022-26904, CVE-2022-0847, CVE-2021-40450, CVE-2021-41357, CVE-2019-1003029.

​​Ubisoft отключит серверы более 90 устаревших игр

В этих играх отключится мультиплеер и вся онлайн активность: внутриигровые новости, валюта, статистика и задания. Геймеры теперь не смогут получать задания, выполнять их и зарабатывать награды.

Среди отключенных игр оказались Far Cry и Far Cry 2 для PC;
Ghost Recon — PC;
Ghost Recon Advanced Warfighter 2 — PC, PS3, Xbox 360;
Rayman 3 — PS3, Xbox 360;
Rayman Origins — PC, PS3, Xbox 360;
И другие.

ФСИН предложила привлекать осуждённых ИТ-специалистов к удалённой работе на российские компании

Исправительные центры подразумевают, что это форма наказания через исправительные работы.

Согласно законодательству, осужденный в исправительных центрах может работать в пределах одного региона, однако формат удаленный работы позволит им работать для компании в другом субъекте.

@godnotech

Google Play начал сообщать, какие пользовательские данные собирают приложения. До 20 июля все разработчики должны добавить соответствующие данные.

Отвечаем на эти и другие важные вопросы на канале Цифровизируй это — медиаплощадке для обмена мнениями и опытом по теме цифровой трансформации от команды VK Цифровые технологии.

Подписывайтесь на канал @digitize_IT и узнайте:

✔️ какая корпоративная культура предпочтительна для компаний;
✔️ как управлять командами, чтобы реализовывать проекты быстро, по техзаданию и без интриг. Что менять в подходе, когда команда — распределенная;
✔️ где искать ИТ-специалистов в России и критичен ли их отток. Что предпринять компаниям и государству, чтобы удержать лучших;
✔️ как запускать цифровые проекты в условиях ограниченных бюджетов и неопределенности.


Подписывайтесь: @digitize_IT

​​Рекордная DDoS-атака мощностью в 15 млн запросов в секунду

Мощная DDoS-атака длилась менее 15 секунд и была нацелена на клиента Cloudflare, использующего платформу запуска криптовалюты. Специалисты Cloudflare назвали это «одной из крупнейших HTTPS DDoS-атак в истории».

VK подписала соглашение с Яндексом по покупке сервиса агрегирования новостей «Яндекс.Новости» и рекомендательной платформы «Яндекс.Дзен».

Google начал принимать запросы на удаление номера телефона, физических адресов и адресов электронной почты из результатов поиска. Можно отправить запрос и на удаление учетных данных (логины и пароли).

Google не обязательно будет одобрять каждый запрос. Например, компания не будет удалять сведения из государственных или официальных источников.

Контент пропадет только из результатов поиска, но будет существовать на сайте, где он опубликован.

В Google Chrome обнаружено 30 новых уязвимостей. Семь из них представляют высокий уровень угрозы:

CVE-2022-1477 — уязвимость использования после освобождения в Vulkan.
CVE-2022-1478 — уязвимость использования после освобождения в SwiftShader.
CVE-2022-1479 — уязвимость использования после освобождения в ANGLE.
CVE-2022-1480 — уязвимость использования после освобождения в Device API.
CVE-2022-1481 — уязвимость использования после освобождения в Sharing.
CVE-2022-1482 — некорректная реализация в WebGL.
CVE-2022-1483 — переполнение буфера кучи в WebGPU.

Microsoft тестирует встроенный VPN-сервис в браузере Edge. На странице поддержки описана будущая функция, которая обеспечивает шифрование данных и защиту от online-отслеживания с помощью сервиса Cloudflare. В месяц будет бесплатно доступно 1 ГБ трафика.

Релиз Google Chrome 101. Среди изменений: новый интерфейс загрузок, сохранение групп вкладок, а также возможность добавлять примечания к сохраненным паролям.

​​Жители Северной Кореи взламывают свои смартфоны для обхода государственного надзора

Сейчас смартфоны в Северной Корее достаточно распространены, однако большинство жителей не имеют полноценного доступа к глобальной Сети. На гаджеты в КНДР устанавливаются государственные приложения. Они фиксируют и передают в надзорное ведомство скриншоты, сделанные в случайное время, и разрешают доступ только на внутренние сайты и сервисы в стране.

Большую часть знаний, необходимых для взлома телефонов, северокорейские пользователи получили от инженеров, которые ездили в Китай для выполнения работ по аутсорсу ПО. В том числе завезли и софт, эксплуатирующий уязвимости операционной системы.

Обойдя защиту телефона, корейцы получают возможность устанавливать различные приложения, скачивать недоступные до этого медиафайлы, а также удалять приложение Trace Viewer, делающее скриншоты для слежки.

При этом правительство предпринимает соответствующие меры. Например, отключает на телефонах интерфейс USB. До недавнего времени на северокорейских гаджетах также не работал доступ к сетям Wi-Fi. Он появился после того, как власти ввели дополнительные средства защиты, не позволяющие использовать локальные беспроводные сети в противозаконных целях.

Из сервиса сбора данных о сбоях и отключениях Downdetector пропали все российские компании и платформы. Если переключиться на региональную версию сайта, то сработает переадресация на глобальный сайт.

Группа Meta, которую в марте признали экстремистской организацией и запретили в России, подала апелляцию на решение суда. Жалоба компании поступила 26 апреля. До этого апелляции подавали 8 и 12 апреля, но кто именно выступил заявителем жалобы, не указано.

​​Илон Маск хочет ввести сквозное шифрование в Twitter сообщениях

"Сообщения Twitter должны иметь сквозное шифрование наподобие Signal, чтобы никто не мог шпионить за вами или взламывать сообщения", - написал Маск в твиттере.

Поскольку сообщения без сквозного шифрования, Twitter имеет к ним доступ и может передавать информацию по запросу правоохранительных органов, а внутренним доступом могут злоупотреблять хакеры и сами сотрудники Twitter.

​​Weibo раскрывает местоположение и IP-адреса пользователей

Крупнейший в Китае сервис микроблогов Sina Weibo начал публиковать IP-адреса и данные о местонахождении пользователей.

«С целью уменьшить нежелательное поведение, такое как выдача себя за другого человека, злонамеренные слухи, а также чтобы обеспечить подлинность и прозрачность распространяемого контента, в марте нынешнего года web-сайт запустил функцию “территориальный IP”», — заявил официальный представитель социальной сети.

Функция позволяет видеть записанные IP-адреса пользователей, а также провинцию или муниципалитет, из которых они публикуют сообщения. Этот функционал отключить нельзя. Кстати, предоставление услуг VPN без лицензии от правительства в Китае запрещено.

Windows XP запустили на процессоре с частотой 1 МГц

Энтузиаст решил проверить, получится ли запустить Windows XP на таком CPU. D списке минимальных требований к системе значится процессор с частотой 233 МГц. Оказалось, что хватит и в 233 раз меньшей частоты.

Правда, придётся подождать более трёх часов. Система запустилась и даже позволила произвести простейшие манипуляции. Однако через полчаса работы система показала синий экран смерти.

В описании видео автор пишет о перекомпиляции 86Box/PCem и установке нужной частоты CPU, так что, видимо, физически используемый процессор был намного быстрее.