Forwarded from Linux / Линукс
Джеймс Боттомли пояснил причины удаления мэйнтейнеров из РФ
К обсуждению присоединился Джеймс Боттомли (James Bottomley), мэйнтейнер подсистемы SCSI и бывший член совета директоров Linux Foundation. Он извинился за то, как было произведено удаление, и пояснил, что удаление связано с санкциями против компаний из РФ, которые попали в список OFAC SDN, опубликованный Министерством финансов США. По словам Джеймса, возможность сотрудничать с компаниями из США для работников компаний, находящихся в санкционном списке, ограничена и подобные работники не могут находится в числе мэйнтейнеров ядра Linux.
Если удаление произведено по ошибке и текущий работодатель не находится в указанном списке, то разработчику следует предоставить информацию об этом Грегу Кроа-Хартману (это именно та документация, о которой шла речь в первом сообщении об удалении).
В любом случае Джеймс пообещал при необходимости добавить в файл CREDITS упоминание о вкладе удалённых участников в разработку ядра.
Причиной следования санкциям названо нахождение в США всей инфраструктуры для разработки ядра Linux и большого числа сопровождающих. Из-за этого при разработке ядра невозможно игнорировать требования законодательства США.
Джеймс также выразил надежду, что удаления из списка мэйнтейнеров будет достаточно для удовлетворения требований Министерства финансов США и из ядра не придётся удалять код, переданный подсанкционными разработчиками.
Задержка с публикацией пояснений и ответов на вопросы связана с тем, что юристы ещё продолжают обсуждение специфики следования санкциям при разработке ядра и в дальнейшем намерены опубликовать подробный документ, описывающего связанные с санкциями правила.
〰️〰️〰️
В списке рассылки ядра также опубликовано предложение удалить из числа мэйнтейнеров разработчиков, трудоустроенных в компании Huawei, так как данная компания также находится в санкционных списках США. Теодор Цо, создатель файловой системы Ext4, пояснил, что в США действует несколько разных санкционных режимов и те санкции, которые применяются к Huawei, попадают под исключения, допускающие возможность принимать исправления и вовлекать в рецензирование кода разработчиков данной компании, если взаимодействие с ними осуществляется на публичной платформе, такой как списки рассылки разработчиков ядра Linux.
В случае подсанкционных российских компаний требования более жёсткие, так как Linux может применяться в военных целях. Мэйнтейнеры, проживающие в США, обязаны при приёме изменений выполнять законы и требования, установленные правительством США, а также убедиться, что производимые действия не представляют опасность для других разработчиков Linux. При этом у мэйнтейнеров из других стран могут возникать другие обязательства.
Linux / Линукс🥸
К обсуждению присоединился Джеймс Боттомли (James Bottomley), мэйнтейнер подсистемы SCSI и бывший член совета директоров Linux Foundation. Он извинился за то, как было произведено удаление, и пояснил, что удаление связано с санкциями против компаний из РФ, которые попали в список OFAC SDN, опубликованный Министерством финансов США. По словам Джеймса, возможность сотрудничать с компаниями из США для работников компаний, находящихся в санкционном списке, ограничена и подобные работники не могут находится в числе мэйнтейнеров ядра Linux.
Если удаление произведено по ошибке и текущий работодатель не находится в указанном списке, то разработчику следует предоставить информацию об этом Грегу Кроа-Хартману (это именно та документация, о которой шла речь в первом сообщении об удалении).
В любом случае Джеймс пообещал при необходимости добавить в файл CREDITS упоминание о вкладе удалённых участников в разработку ядра.
Причиной следования санкциям названо нахождение в США всей инфраструктуры для разработки ядра Linux и большого числа сопровождающих. Из-за этого при разработке ядра невозможно игнорировать требования законодательства США.
Джеймс также выразил надежду, что удаления из списка мэйнтейнеров будет достаточно для удовлетворения требований Министерства финансов США и из ядра не придётся удалять код, переданный подсанкционными разработчиками.
Задержка с публикацией пояснений и ответов на вопросы связана с тем, что юристы ещё продолжают обсуждение специфики следования санкциям при разработке ядра и в дальнейшем намерены опубликовать подробный документ, описывающего связанные с санкциями правила.
〰️〰️〰️
В списке рассылки ядра также опубликовано предложение удалить из числа мэйнтейнеров разработчиков, трудоустроенных в компании Huawei, так как данная компания также находится в санкционных списках США. Теодор Цо, создатель файловой системы Ext4, пояснил, что в США действует несколько разных санкционных режимов и те санкции, которые применяются к Huawei, попадают под исключения, допускающие возможность принимать исправления и вовлекать в рецензирование кода разработчиков данной компании, если взаимодействие с ними осуществляется на публичной платформе, такой как списки рассылки разработчиков ядра Linux.
В случае подсанкционных российских компаний требования более жёсткие, так как Linux может применяться в военных целях. Мэйнтейнеры, проживающие в США, обязаны при приёме изменений выполнять законы и требования, установленные правительством США, а также убедиться, что производимые действия не представляют опасность для других разработчиков Linux. При этом у мэйнтейнеров из других стран могут возникать другие обязательства.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👎68👍34💊15🤔12❤4🍌1💅1
Вредоносные пакеты npm заражают SSH-бэкдором машины разработчиков
Исследователи обнаружили ряд подозрительных пакетов в npm и выяснили, что те были созданы для сбора приватных ключей Ethereum и получения удаленного доступа к компьютерам жертв через SSH.
С этой вредоносной кампанией удалось связать следующие пакеты, которые пытались имитировать легитимный пакет ethers:
• ethers-mew (62 загрузки);
• ethers-web3 (110 загрузок);
• ethers-6 (56 загрузок);
• ethers-eth (58 загрузок);
• ethers-aaa (781 загрузка);
• ethers-audit (69 загрузок);
• ethers-test (336 загрузок).
Типичный🥸 Сисадмин
Исследователи обнаружили ряд подозрительных пакетов в npm и выяснили, что те были созданы для сбора приватных ключей Ethereum и получения удаленного доступа к компьютерам жертв через SSH.
С этой вредоносной кампанией удалось связать следующие пакеты, которые пытались имитировать легитимный пакет ethers:
• ethers-mew (62 загрузки);
• ethers-web3 (110 загрузок);
• ethers-6 (56 загрузок);
• ethers-eth (58 загрузок);
• ethers-aaa (781 загрузка);
• ethers-audit (69 загрузок);
• ethers-test (336 загрузок).
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱24👍6😁5👏2
Лучшая IP-подсеть?
#предложка
Определенно не 192.168.0.x
Спасибо первому-эникею-любителю, который решил использовать этот диапазон адресов, когда компания впервые открыла и расширила свой офис. Не редки жалобы от пользователей, когда они говорят, что не могут получить доступ к сервису X/Y/Z через VPN, когда работают из дома.
Встречал такой формат:
10.2.10.1 - Маршрутизаторы
10.2.11.1 - Коммутаторы
10.2.12.1 - Серверы
10.2.13.1 - Принтеры
10.2.14.1 - Компьютеры
10.2.15.1 - Разное
Для филиалов 192.168.ID.0, который обрабатывается IPSec VPN.
Таким образом, для устранения неполадок легче понять где искать.
Типичный🥸 Сисадмин
#предложка
Определенно не 192.168.0.x
Спасибо первому-эникею-любителю, который решил использовать этот диапазон адресов, когда компания впервые открыла и расширила свой офис. Не редки жалобы от пользователей, когда они говорят, что не могут получить доступ к сервису X/Y/Z через VPN, когда работают из дома.
Встречал такой формат:
10.2.10.1 - Маршрутизаторы
10.2.11.1 - Коммутаторы
10.2.12.1 - Серверы
10.2.13.1 - Принтеры
10.2.14.1 - Компьютеры
10.2.15.1 - Разное
Для филиалов 192.168.ID.0, который обрабатывается IPSec VPN.
Таким образом, для устранения неполадок легче понять где искать.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
💊62👍21🤷♀6🌚2🤪2⚡1🤔1🫡1
Please open Telegram to view this post
VIEW IN TELEGRAM
👨💻30🌚21⚡4🆒4👍3🤯2😱2
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1🗿32🔥12💊4😱2
Forwarded from godnoTECH - Новости IT
Хакер под псевдонимом «Дядя Захар» взламывает электронные журналы по всей России и выставляет школьникам пятёрки 👦
Для взлома используются бездействующие аккаунты бывших учеников. Как они попали в руки к хакеру или группировке — неизвестно.
Но хорошего мало: кроме исправления оценок хакер рассылает школьникам угрозы расправы.
🥸 godnoTECH - Новости IT
Для взлома используются бездействующие аккаунты бывших учеников. Как они попали в руки к хакеру или группировке — неизвестно.
Но хорошего мало: кроме исправления оценок хакер рассылает школьникам угрозы расправы.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁71🤣39🤯7❤2👍2💊2🤔1
Fortinet обвиняют в сокрытии информации о критическом RCE-баге под атаками 🔍
Как рассказал ИБ-эксперт Кевин Бомонт, об уязвимости стало известно как минимум 13 октября 2024 года, и проблема связана с конфигурацией FortiManager по умолчанию, которая позволяет зарегистрировать в панели управления FortiManager устройства с неизвестными или неавторизованными серийными номерами.
Исследователь заявил, что, судя по найденным им доказательствам, китайские «правительственные» хакеры эксплуатировали эту проблему с начала 2024 года для взлома внутренних сетей организаций.
Пользователи на Reddit так же предупреждали, что это 0-day уязвимость, которая позволяет злоумышленникам «похитить сертификат Fortigate из любого Fortigate, зарегистрироваться в FortiManager и получить к нему доступ».
Только спустя несколько дней после этих сообщений и предупреждений представители Fortinet наконец опубликовали официальную информацию о проблеме FortiJump, которая получила идентификатор CVE-2024-47575 (9,8 балла по шкале CVSS). При этом в компании подтвердили, что уведомляли пользователей FortiManager о проблеме в частном порядке, начиная с 13 октября 2024 года.
В компании подчеркнули, что на данном этапе никаких доказательств установки вредоносного ПО в скомпрометированные сервисы FortiManager или изменения настроек FortiGate не обнаружено.
Зато аналитики компании Mandiant уже сообщили, что, по их информации, проблема FortiJump использовалась злоумышленниками из хак-группы UNC5820 с июня 2024 года, и от действий хакеров пострадали более 50 серверов.
Типичный🥸 Сисадмин
Как рассказал ИБ-эксперт Кевин Бомонт, об уязвимости стало известно как минимум 13 октября 2024 года, и проблема связана с конфигурацией FortiManager по умолчанию, которая позволяет зарегистрировать в панели управления FortiManager устройства с неизвестными или неавторизованными серийными номерами.
Исследователь заявил, что, судя по найденным им доказательствам, китайские «правительственные» хакеры эксплуатировали эту проблему с начала 2024 года для взлома внутренних сетей организаций.
Пользователи на Reddit так же предупреждали, что это 0-day уязвимость, которая позволяет злоумышленникам «похитить сертификат Fortigate из любого Fortigate, зарегистрироваться в FortiManager и получить к нему доступ».
Только спустя несколько дней после этих сообщений и предупреждений представители Fortinet наконец опубликовали официальную информацию о проблеме FortiJump, которая получила идентификатор CVE-2024-47575 (9,8 балла по шкале CVSS). При этом в компании подтвердили, что уведомляли пользователей FortiManager о проблеме в частном порядке, начиная с 13 октября 2024 года.
В компании подчеркнули, что на данном этапе никаких доказательств установки вредоносного ПО в скомпрометированные сервисы FortiManager или изменения настроек FortiGate не обнаружено.
Зато аналитики компании Mandiant уже сообщили, что, по их информации, проблема FortiJump использовалась злоумышленниками из хак-группы UNC5820 с июня 2024 года, и от действий хакеров пострадали более 50 серверов.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🤣6❤2👨💻1
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡55🤣20👍10🌚6👏3😁2
Forwarded from Linux / Линукс
Харальд Вельте выразил сожаление о том, во что превратилось Linux-сообщество
По словам Харальда, он гордился вовлечённостью в работу сообщества разработчиков ядра, но нынешнее сообщество не похоже на то, которое он помнит, и ему больно видеть, что сейчас там происходит. По его мнению нет ничего хуже дискриминации людей только из-за их паспорта, места жительства или места работы.
Помимо дискриминации разработчиков на основе их имени, email или работодателя, удивление вызвало то, что удаление произведено без каких-либо объяснений. Последующие разъяснения дали понять, что дело в санкциях, и удаление выполнено на основе консультации с юристами, но при этом не было предоставлено полного юридического анализа и не были отмечены вовлечённые в необходимость выполнения санкций субъекты (Linux Foundation? разработчики из США? Создатели дистрибутивов?).
Но даже в случае предоставления убедительных юридических доводов, перед фактическим исключением мэйнтейнеров было бы правильным провести публичное обсуждение, попытаться найти способ обойти требования юристов и организовать общественное движение против. В крайнем случае, если обходные пути не были бы найдены, по мнению Вельте, можно было ожидать гражданского неповиновения или оставления в файле MAINTAINERS пояснений о том, что удаление стало вынужденной мерой. Вместо этого наиболее значимые разработчики без лишней огласки в составе исправлений символьных драйверов применили патч с размытой формулировкой и тем самым проявили неуважение к работе удалённых участников и показали другим разработчикам как в сообществе люди относятся друг к другу.
Linux / Линукс🥸
Харальд Вельте – известный разработчик ядра Linux, лауреат премии за значительный вклад в развитие свободного ПО, основатель организации gpl-violations.org, создатель проекта Openmoko и один из разработчиков netfilter/iptables.
По словам Харальда, он гордился вовлечённостью в работу сообщества разработчиков ядра, но нынешнее сообщество не похоже на то, которое он помнит, и ему больно видеть, что сейчас там происходит. По его мнению нет ничего хуже дискриминации людей только из-за их паспорта, места жительства или места работы.
Помимо дискриминации разработчиков на основе их имени, email или работодателя, удивление вызвало то, что удаление произведено без каких-либо объяснений. Последующие разъяснения дали понять, что дело в санкциях, и удаление выполнено на основе консультации с юристами, но при этом не было предоставлено полного юридического анализа и не были отмечены вовлечённые в необходимость выполнения санкций субъекты (Linux Foundation? разработчики из США? Создатели дистрибутивов?).
Но даже в случае предоставления убедительных юридических доводов, перед фактическим исключением мэйнтейнеров было бы правильным провести публичное обсуждение, попытаться найти способ обойти требования юристов и организовать общественное движение против. В крайнем случае, если обходные пути не были бы найдены, по мнению Вельте, можно было ожидать гражданского неповиновения или оставления в файле MAINTAINERS пояснений о том, что удаление стало вынужденной мерой. Вместо этого наиболее значимые разработчики без лишней огласки в составе исправлений символьных драйверов применили патч с размытой формулировкой и тем самым проявили неуважение к работе удалённых участников и показали другим разработчикам как в сообществе люди относятся друг к другу.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤111👍61💯29💊8🌚2👎1👌1
Forwarded from DevOps MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣74🌚7😱3👍2🤪2
Raspberry Pi выпустила улучшенную плату для задач машинного обучения
▪️ Младшая версия AI HAT+ на 13 TOPS построена на том же ускорителе Hailo-8L, что и модуль AI Kit. Она обойдется в 70 долларов.
▪️ Мощная плата на 26 TOPS уже использует более производительный ускоритель Hailo-8. Она обойдется в 110 долларов.
Модуль AI Kit подключается к одноплатнику с помощью разъёма M2. В случае с AI HAT+ все компоненты интегрированы в плату.
Обновлённая плата позволяет запускать на Raspberry Pi более мощные модели машинного обучения. Также можно запускать одновременно несколько нейросетей, например распознавать объекты, оценивать их положение и выполнять сегментацию в реальном времени.
Типичный🥸 Сисадмин
▪️ Младшая версия AI HAT+ на 13 TOPS построена на том же ускорителе Hailo-8L, что и модуль AI Kit. Она обойдется в 70 долларов.
▪️ Мощная плата на 26 TOPS уже использует более производительный ускоритель Hailo-8. Она обойдется в 110 долларов.
Модуль AI Kit подключается к одноплатнику с помощью разъёма M2. В случае с AI HAT+ все компоненты интегрированы в плату.
Обновлённая плата позволяет запускать на Raspberry Pi более мощные модели машинного обучения. Также можно запускать одновременно несколько нейросетей, например распознавать объекты, оценивать их положение и выполнять сегментацию в реальном времени.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤪4👎2
Forwarded from godnoTECH - Новости IT
В коде популярных приложений нашли незашифрованные ключи AWS и Azure
Для удобства разработчики вставляют учётные данные прямо в код, а после релиза не удаляют их. Это грубое нарушение безопасности, которое даёт возможность злоумышленникам похитить пользовательские данные.
▪️ В Google Play ключи для доступа к облачным сервисам нашли в следующих приложениях:
▪️ В App Store похожая ситуация, но магазин приложений Apple не показывает общее количество загрузок (обычно они в несколько раз превышают оценки):
🥸 godnoTECH - Новости IT
Для удобства разработчики вставляют учётные данные прямо в код, а после релиза не удаляют их. Это грубое нарушение безопасности, которое даёт возможность злоумышленникам похитить пользовательские данные.
▪️ В Google Play ключи для доступа к облачным сервисам нашли в следующих приложениях:
• Pic Stitch (более 5 млн загрузок) — учётные данные Amazon;
• Meru Cabs (более 5 млн загрузок) — учётные данные Amazon;
• ReSound Tinnitus Relief (более 500 000 загрузок) — учётные данные Microsoft Azure Blob Storage;
• Saludsa (более 100 000 загрузок) — учётные данные Microsoft Azure Blob Storage;
• Chola Ms Break In (более 100 000 загрузок) — учётные данные Microsoft Azure Blob Storage;
• EatSleepRIDE Motorcycle GPS (более 100 000 загрузок) — учётные данные Twilio;
• Beltone Tinnitus Calmer (более 100 000 загрузок) — учётные данные Microsoft Azure Blob Storage.
▪️ В App Store похожая ситуация, но магазин приложений Apple не показывает общее количество загрузок (обычно они в несколько раз превышают оценки):
• Crumbl (более 3,9 млн оценок) — учётные данные Amazon;
• Eureka: Earn money for surveys (более 402 100 оценок) — учётные данные Amazon;
• Videoshop – Video Editor (более 357 900 оценок) — учётные данные Amazon;
• Solitaire Clash: Win Real Cash (более 244 800 оценок) — учётные данные Amazon;
• Zap Surveys - Earn Easy Money (более 235 000 оценок) — учётные данные Amazon.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁37👍3🤪3🙏1