ANTICHAT - Новостной дайджест по ИБ/IT за 2.08-9.08

Здравия всем, дамы и господа. Время, называемое неделей и равное семи дням закончилось и прямо здесь вы читаете то, что называется «Новостной дайджест», являющийся статьёй.

https://forum.antichat.xyz/attachmen...cd8f5d40e0.png

FSF снова здесь

Но нет, Столлмана ни в чём не обвинили и ни откуда не выгнали. Эта новость напрямую с ним вообще не связана. Не успел Copilot выйти, как люди сразу озаботились вопросом этики и законности при его использовании. В фонде свободного программного обеспечения заметили эти беспокойства и решили провести исследование.
Даже по первичному осмотру фонд заметил несколько особенностей, которые противоречат принципам сообщества открытого ПО, а именно

Необходимость в Microsoft Visual Studio Code или хотя бы части её кода, а сия программа не является открытой, как известно;
Непонятно, какой лицензией защищена нейросеть и кому будут принадлежать авторские права на код, написанный с помощью нейросетевого помощника.

Кроме этого были и вопросы, которые задавались сторонними разработчиками и также оставались без ответа.

Действительно ли обучение нейронной сети на свободном программном обеспечении можно считать добросовестным использованием?
Могут ли фрагменты кода и другие элементы, скопированные из репозиториев, размещенных на GitHub, привести к нарушению авторских прав?
Нет ли чего-то принципиально несправедливого в том, что компания, занимающаяся проприетарным программным обеспечением, запустила такой сервис.

На многие из задаваемых вопросов у юристов фонда ответов нет. Именно поэтому FSF пообещала выплачивать по $500 за каждую полезную статью или исследование, касающиеся аспектов использования Copilot. Также в отдельном порядке будут рассмотрены заявки на дальнейшее финансирование исследований.
FSF-funded call for white papers on philosophical and legal questions around Copilot — Free Software Foundation — Working together for free software

Немного об уязвимостях

В одном из предыдущих дайджестов я писал о человеке по имени Алекс Бирсан. Как вы наверняка помните, он, используя имена найденные имена внутренних файлов, создавал аналогичные пакеты в открытых репозиториях, а сервера, найдя новый файлик в сети, скачивали его, тем самым заражались. Точнее, могли бы заразиться, если бы господин Бирсан преследовал эту цель.
Теперь же исследователи из университета Турку в Финляндии решили чуть лучше разобраться в ситуации и провели исследование, в рамках которого проанализировали более 190 тысяч пакетов PyPl. Из них почти половина, а точнее 46% содержали минимум одну ошибку. Но были и совсем уж монстры, состоявшие целиком из ошибок, а именно PyGGI (2589 ошибок) и appengine-sdk (2356). Несмотря на то, что в первом ошибок больше, второй берёт качеством, ведь его баги куда опаснее, ведь часть из них связана с межсайтовым выполнением сценариев и потенциально небезопасными сетевыми протоколами. Но если в предыдущих ошибок было много, но это всё же ошибки, то следующие прецеденты объяснить трудно. В пакетах noblesse, genesisbot, are, suffer, noblesse2 и noblessev2 нашли код для перехвата данных кредитных карт и телефонов, сохранённых в Chrome и Edge. Кроме того, они содержали код для передачи токенов учётных записей из Discord.
Всё вышеперечисленное было бы очень страшно и говорило бы об огромных рисках, если бы не один конкретно взятый бандит. Точнее не бандит, а «Bandit» - инструмент для сканирования кода на предмет ошибок. Разработчик сей утилиты заявил, что его детище не отличается чрезвычайной надёжностью, поэтому нужно перепроверять результаты вручную.
[2107.12699] A Large-Scale Security-Oriented Static Analysis of Python Packages in PyPI
One of the Bandit maintainers here (the tool used for this research). static ana... | Hacker News
И ещё одна уязвимость, а точнее, новая версия старой атаки HTTP Request Smugling. Касается эта проблема всех reverse-proxy систем, поддерживающих HTTP/2. Производится это посредству передачи некорректных заголовков "Content-Length" и "Transfer-Encoding" через HTTP/2, что вызывает сбой синхронизации постоянного соединения между фротендом и бэкендом и отправку клиентам чужих ответов. А выглядит сие счастье примерно следующим образом:

https://forum.antichat.xyz/attachmen...d6c0a65d52.png

С помощью этого можно осуществить следующие действия нелицеприятного характера:

Кража cookie;
Кража данных для авторизации;
Подстановка стороннего js-кода.

В опасности оказались Netflix, Atlassian, AWS, F5 Big-IP и много кто ещё.
HTTP/2: The Sequel is Always Worse
Кстати, если я говорю «немного», не стоит мне верить

Госключ

Это новый сервис от госуслуг, позволяющий бесплатно генерировать электронную подпись и использовать её там, где это возможно. А возможно это пока только на самом портале Госуслуг и при покупке сим карт (на момент написания только Теле2, но остальные операторы планируют подключиться к программе в скором времени). В дальнейшем перечень сделок и юридических документов будет расширен, как утверждают в Минцифры, можно будет осуществлять куплю-продажу автомобилей и аренду недвижимости. Но если я когда-то и скачаю это приложение, то куплю себе для него отдельный телефон. Потому что я видел разрешения, необходимые для его установки. Ах да, вы ведь ещё их не видели. Что ж, исправляю:

местоположение, включая approximate location (network-based) и precise location (GPS and network-based);
доступ (чтение, запись, удаление) к фото/мультимедиа/файлам в основном хранилище мобильного устройства и к USB-накопителю;
камера (съемка фото и видео);
другие опции, включая полный доступ к сетевым настройкам и запуск при включении устройства.

Минцифры запустило мобильное приложение для подписания договоров онлайн

Xsolla

Казалось бы, одним заголовком всё сказано, можно не продолжать, ведь очень уж эта история известна, но я всё же предпочту о ней рассказать.

https://forum.antichat.xyz/attachmen...f38a73c9d2.png

https://forum.antichat.xyz/attachmen...3d63f11ffe.png

Я думаю эти две картинки вполне качественно вводят вас в курс дела. Нужно лишь добавить, что уволены 147 человек, часть из которых вообще не имели отношения к разработке или поддержке программных продуктов, а именно грузчики и доставщики.
Господин Агапитов написал, что он «скомуницировал это напрямую и быстро без подсластителя», но вот проблема, вместе с подсластителем он забыл и русский язык. Кроме этого где-то в прошлом (а именно в 2017 году) остались и его заявления о том, что «сотрудникам платят не за количество отработанных часов, а за результат». Интересно, не правда ли?
Немного позже глава компании бросил клич по поиску «вовлечённого» PR-специалиста в России. Не мудрено, что такая выхдка сильно ударила по репутации компании и после этого могут вырасти как внутреннее напряжение в компании, так и сложность найма новых работников.
Кстати, основная причина увольнение заключается в том, что компания перестала показывать 40-процентный рост. Чтобы компенсировать подобное отставание, в компании решили «убрать» 10 % сотрудников с наименьшими зарплатами. И логично, что под удар попали сотрудники из РФ, ведь здесь зарплаты куда ниже, чем в США.
«Кажется, что людей много, но это самые низкооплачиваемые люди, которые отсиживаются»
По его мнению низкооплачиваемые работники — бесполезные. Кстати, под увольнение попали двое барист и двое хостес. И какой же высокооплачиваемый сотрудник будет варить кофе вместо барист или выполнять обязанности администратора вместо хостес. Быть может один из топ-менеджеров? Или лично вы, господин Агапитов?
Юристы, тем временем, советуют «отчисленным обращаться в суд и обжаловать решение компании.
Тест тех сообщений был настолько плох, что некоторые предположили, что он был написан нейросетью, однако глава признался, что это писал он сам, ведь по русскому и английскому у него были тройки. Что ж, жаль, что глава такой крупной компании не умеет писать.
«Конечно, такие выходки, которые я себе позволяю, они пугают людей, у них есть ощущение незащищенности и неуверенности в завтрашнем дне. Я в этом прекрасно отдаю себе отчет. Я прекрасно понимаю, что эмоциональный интеллект — это что-то, что мне тяжело дается, но я над этим работаю».
Он также сказал, что будет продолжать подобную практику и эти увольнения будут производиться раз в 6-12 месяцев, если показатели не будут соответствовать норме.
Вот такой вот жёсткий руководитель со своими жёсткими мерами и столь же жёстким ударом по репутации компании.

СПАСИБО, РОСТЕЛЕКОМ!

А вот это уже новость лично от меня, с моим личным негодованием. Я уже около года пользуюсь услугами ртк, и около трёх-четырёх месяцев назад они стали чрезвычайно радовать, т.к. после замены роутера скорость стала очень приятной, а именно 350Мбит/с, собственно, ровно столько, сколько и написано в тарифе, хотя иногда выдавало и 500Мбит/с, но так или иначе, всё было стабильно, но позавчера, 7-го августа на компьютере, подключённом проводом к роутеру, перестала грузиться часть сайтов, а устройства, подключаемые по WiFi (телефон и ноутбук) требовали аутентификацию в сети, как будто я подключаюсь к публичному WiFi, однако страница аутентификации пуста.

https://forum.antichat.xyz/attachmen...7dba581447.png

По данным downdetector, я такой далеко не один.

https://forum.antichat.xyz/attachmen...8263b13a93.png

Как я и писал, грузятся далеко не все сайты, в том числе наш с вами любимый форум и мой сайт. Форум (как и многие другие сайты) на данный момент выглядит следующим образом.

https://forum.antichat.xyz/attachmen...ead42cfc7e.png

И чтобы загрузить эту статью, я раздаю мобильный интернет на ноутбук и через тернии 2g заливаю этот материал. Очень надеюсь, что проблема будет устранена, ведь когда ртк работает, он работает отлично.

На этом новости подошли к концу, приходите на следующей неделе, а за сим откланяюсь.