• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. Время, называемое неделей и равное семи дням закончилось и прямо здесь вы читаете то, что называется «Новостной дайджест», являющийся статьёй.

IBIT.jpg


FSF снова здесь

Но нет, Столлмана ни в чём не обвинили и ни откуда не выгнали. Эта новость напрямую с ним вообще не связана. Не успел Copilot выйти, как люди сразу озаботились вопросом этики и законности при его использовании. В фонде свободного программного обеспечения заметили эти беспокойства и решили провести исследование.
Даже по первичному осмотру фонд заметил несколько особенностей, которые противоречат принципам сообщества открытого ПО, а именно
  • Необходимость в Microsoft Visual Studio Code или хотя бы части её кода, а сия программа не является открытой, как известно;​
  • Непонятно, какой лицензией защищена нейросеть и кому будут принадлежать авторские права на код, написанный с помощью нейросетевого помощника.​
Кроме этого были и вопросы, которые задавались сторонними разработчиками и также оставались без ответа.
  • Действительно ли обучение нейронной сети на свободном программном обеспечении можно считать добросовестным использованием?​
  • Могут ли фрагменты кода и другие элементы, скопированные из репозиториев, размещенных на GitHub, привести к нарушению авторских прав?​
  • Нет ли чего-то принципиально несправедливого в том, что компания, занимающаяся проприетарным программным обеспечением, запустила такой сервис.​
На многие из задаваемых вопросов у юристов фонда ответов нет. Именно поэтому FSF пообещала выплачивать по $500 за каждую полезную статью или исследование, касающиеся аспектов использования Copilot. Также в отдельном порядке будут рассмотрены заявки на дальнейшее финансирование исследований.


Немного об уязвимостях

В одном из предыдущих дайджестов я писал о человеке по имени Алекс Бирсан. Как вы наверняка помните, он, используя имена найденные имена внутренних файлов, создавал аналогичные пакеты в открытых репозиториях, а сервера, найдя новый файлик в сети, скачивали его, тем самым заражались. Точнее, могли бы заразиться, если бы господин Бирсан преследовал эту цель.
Теперь же исследователи из университета Турку в Финляндии решили чуть лучше разобраться в ситуации и провели исследование, в рамках которого проанализировали более 190 тысяч пакетов PyPl. Из них почти половина, а точнее 46% содержали минимум одну ошибку. Но были и совсем уж монстры, состоявшие целиком из ошибок, а именно PyGGI (2589 ошибок) и appengine-sdk (2356). Несмотря на то, что в первом ошибок больше, второй берёт качеством, ведь его баги куда опаснее, ведь часть из них связана с межсайтовым выполнением сценариев и потенциально небезопасными сетевыми протоколами. Но если в предыдущих ошибок было много, но это всё же ошибки, то следующие прецеденты объяснить трудно. В пакетах noblesse, genesisbot, are, suffer, noblesse2 и noblessev2 нашли код для перехвата данных кредитных карт и телефонов, сохранённых в Chrome и Edge. Кроме того, они содержали код для передачи токенов учётных записей из Discord.
Всё вышеперечисленное было бы очень страшно и говорило бы об огромных рисках, если бы не один конкретно взятый бандит. Точнее не бандит, а «Bandit» - инструмент для сканирования кода на предмет ошибок. Разработчик сей утилиты заявил, что его детище не отличается чрезвычайной надёжностью, поэтому нужно перепроверять результаты вручную.


И ещё одна уязвимость, а точнее, новая версия старой атаки HTTP Request Smugling. Касается эта проблема всех reverse-proxy систем, поддерживающих HTTP/2. Производится это посредству передачи некорректных заголовков "Content-Length" и "Transfer-Encoding" через HTTP/2, что вызывает сбой синхронизации постоянного соединения между фротендом и бэкендом и отправку клиентам чужих ответов. А выглядит сие счастье примерно следующим образом:

HTTP2.png


С помощью этого можно осуществить следующие действия нелицеприятного характера:
  • Кража cookie;​
  • Кража данных для авторизации;​
  • Подстановка стороннего js-кода.​
В опасности оказались Netflix, Atlassian, AWS, F5 Big-IP и много кто ещё.

Кстати, если я говорю «немного», не стоит мне верить :)

Госключ

Это новый сервис от госуслуг, позволяющий бесплатно генерировать электронную подпись и использовать её там, где это возможно. А возможно это пока только на самом портале Госуслуг и при покупке сим карт (на момент написания только Теле2, но остальные операторы планируют подключиться к программе в скором времени). В дальнейшем перечень сделок и юридических документов будет расширен, как утверждают в Минцифры, можно будет осуществлять куплю-продажу автомобилей и аренду недвижимости. Но если я когда-то и скачаю это приложение, то куплю себе для него отдельный телефон. Потому что я видел разрешения, необходимые для его установки. Ах да, вы ведь ещё их не видели. Что ж, исправляю:
  • местоположение, включая approximate location (network-based) и precise location (GPS and network-based);​
  • доступ (чтение, запись, удаление) к фото/мультимедиа/файлам в основном хранилище мобильного устройства и к USB-накопителю;​
  • камера (съемка фото и видео);​
  • другие опции, включая полный доступ к сетевым настройкам и запуск при включении устройства.​


Xsolla

Казалось бы, одним заголовком всё сказано, можно не продолжать, ведь очень уж эта история известна, но я всё же предпочту о ней рассказать.

Xsolla1.jpeg

Xsolla2.jpeg


Я думаю эти две картинки вполне качественно вводят вас в курс дела. Нужно лишь добавить, что уволены 147 человек, часть из которых вообще не имели отношения к разработке или поддержке программных продуктов, а именно грузчики и доставщики.
Господин Агапитов написал, что он «скомуницировал это напрямую и быстро без подсластителя», но вот проблема, вместе с подсластителем он забыл и русский язык. Кроме этого где-то в прошлом (а именно в 2017 году) остались и его заявления о том, что «сотрудникам платят не за количество отработанных часов, а за результат». Интересно, не правда ли?
Немного позже глава компании бросил клич по поиску «вовлечённого» PR-специалиста в России. Не мудрено, что такая выхдка сильно ударила по репутации компании и после этого могут вырасти как внутреннее напряжение в компании, так и сложность найма новых работников.
Кстати, основная причина увольнение заключается в том, что компания перестала показывать 40-процентный рост. Чтобы компенсировать подобное отставание, в компании решили «убрать» 10 % сотрудников с наименьшими зарплатами. И логично, что под удар попали сотрудники из РФ, ведь здесь зарплаты куда ниже, чем в США.
«Кажется, что людей много, но это самые низкооплачиваемые люди, которые отсиживаются»
По его мнению низкооплачиваемые работники — бесполезные. Кстати, под увольнение попали двое барист и двое хостес. И какой же высокооплачиваемый сотрудник будет варить кофе вместо барист или выполнять обязанности администратора вместо хостес. Быть может один из топ-менеджеров? Или лично вы, господин Агапитов?
Юристы, тем временем, советуют «отчисленным обращаться в суд и обжаловать решение компании.
Тест тех сообщений был настолько плох, что некоторые предположили, что он был написан нейросетью, однако глава признался, что это писал он сам, ведь по русскому и английскому у него были тройки. Что ж, жаль, что глава такой крупной компании не умеет писать.
«Конечно, такие выходки, которые я себе позволяю, они пугают людей, у них есть ощущение незащищенности и неуверенности в завтрашнем дне. Я в этом прекрасно отдаю себе отчет. Я прекрасно понимаю, что эмоциональный интеллект — это что-то, что мне тяжело дается, но я над этим работаю».
Он также сказал, что будет продолжать подобную практику и эти увольнения будут производиться раз в 6-12 месяцев, если показатели не будут соответствовать норме.
Вот такой вот жёсткий руководитель со своими жёсткими мерами и столь же жёстким ударом по репутации компании.

СПАСИБО, РОСТЕЛЕКОМ!

А вот это уже новость лично от меня, с моим личным негодованием. Я уже около года пользуюсь услугами ртк, и около трёх-четырёх месяцев назад они стали чрезвычайно радовать, т.к. после замены роутера скорость стала очень приятной, а именно 350Мбит/с, собственно, ровно столько, сколько и написано в тарифе, хотя иногда выдавало и 500Мбит/с, но так или иначе, всё было стабильно, но позавчера, 7-го августа на компьютере, подключённом проводом к роутеру, перестала грузиться часть сайтов, а устройства, подключаемые по WiFi (телефон и ноутбук) требовали аутентификацию в сети, как будто я подключаюсь к публичному WiFi, однако страница аутентификации пуста.

авторизация.jpg


По данным downdetector, я такой далеко не один.

downdetector.png


Как я и писал, грузятся далеко не все сайты, в том числе наш с вами любимый форум и мой сайт. Форум (как и многие другие сайты) на данный момент выглядит следующим образом.

Codeby.png


И чтобы загрузить эту статью, я раздаю мобильный интернет на ноутбук и через тернии 2g заливаю этот материал. Очень надеюсь, что проблема будет устранена, ведь когда ртк работает, он работает отлично.

На этом новости подошли к концу, приходите на следующей неделе, а за сим откланяюсь.
 
Последнее редактирование:

DeathDay

Green Team
18.04.2019
163
1 122
BIT
287
Всё шик, но картинки можно чуть уменишить в тексте и используй центрирование. Вроде не первый раз пишу. Автор хорош.
 
  • Нравится
Реакции: Mr Zet и dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!