The headlines that made most buzz on this page
07/04/24 09:41
7.38% of the views
מאת גיקטיים
רבים מאיתנו כבר עושים שימוש באפליקציות זיהוי מספרים דוגמת TrueCaller כדי להעלים מחייהם שיחות ספאם מחברות הימורים או הצעות מטורפות מחברה ששמה מתחרז עם בוט. אבל לא כל המספרים נמצאים במאגרים, ובכלל, לא כולם סומכים על הפרטיות של האפליקציות האלו. הדלפה חדשה חושפת שגוגל על זה. שינוי קטן ומשפר חיים גוגל עובדת על פיצ'ר חדש […]
07/04/24 23:53
7.01% of the views
מאת וואלה!
אדמירל בדימוס טוען כי למרות הכחשות בלתי פוסקות של חיל הים האמריקאי, יש ביסוס אמיתי והוכחות לכך שבכדור הארץ מתבצעים כל הזמן ביקורים של יצורים עם טכנולוגיה לא אנושית. וגם: מה הקשר בין המלחמה של ישראל לחמאס לאירועים?
07/04/24 00:21
4.8% of the views
מאת וואלה!
חברת א.א אורטופדיה משווקת בבלעדיות בישראל את TENS של חברת HiDow, מכשיר עיסוי חשמלי קומפקטי ונייד הפועל על פולסים חשמליים בשתי טכנולוגיות מתקדמות של טנס ו-EMS. בדקנו אם זה באמת יקל עליכם ועליכן
07/04/24 12:15
4.06% of the views
מאת Telecom News
זאת, בגין הפרת חובת הפרישה האוניברסלית לפיה על החברה לפרוש תשתיות בכל הארץ. מאת: מערכת Telecom News
07/04/24 19:13
4.06% of the views
מאת גיקטיים
לפני כמעט שנה, במסגרת Google I/O 2023, כנס המפתחים של גוגל, הודיעה החברה כי תרחיב את רשת Find My Device שלה, כך שלא תשמש אך ורק לאיתור טלפונים, אלא תתמוך גם באיתור תגיות חכמות של יצרניות נוספות. אז אמנם מאז אפל קצת תקעה את התוכניות הללו, אבל נראה שעכשיו הפקק מוסר. למצוא את המכשירים גם […]
07/04/24 19:49
3.69% of the views
מאת Gadgety
גוגל (Google) עובדת על שילוב פיצ’ר קטן ושימושי במיוחד בעבור חייגן הטלפון המובנה במערכת האנדרואיד, שיגיע בדמות כפתור “חיפוש” (Lookup) חדש המאפשר להריץ חיפוש מהיר על מספרי טלפון לא מזוהים שהתקשרו אליכם במנוע החיפוש של החברה. לא מדובר בפיצ’ר זיהוי שיחות מלא, אלא בכזה שנועד להקל על המשתמש לבצע חיפוש ידני אחר המספר שהתקשר אליו. […]
07/04/24 16:42
3.32% of the views
מאת אנשים ומחשבים
תגלית אחרונה בתחום הסייבר עוררה באחרונה גלי הדף בתעשיית הטכנולוגיה ובסוכנויות ממשלתיות כאחד. מדובר בדלת אחורית שהוסתרה בחוכמה והוטמעה בתוך תוכנית הקוד הפתוח XZ Utils. הפרצה הזו, אלמלא נחשפה, הייתה עלולה לגרום לאסון דיגיטלי משמעותי, ולהעניק לתוקפים שליטה על מיליוני שרתי לינוקס.
הגיבור של הסיפור הזה הוא אנדרס פרוינד, מפתח של מיקרוסופט (לא מומחה אבטחה כלל) בעל עין חדה במיוחד. בזמן הפעלת מבחני ביצועים ב-XZ Utils – כלי דחיסת קבצים תמים לכאורה – הבחין פרוינד שמשהו אינו כשורה – התוכנית צרכה כמות בלתי צפויה של כוח עיבוד. בחפירה עמוקה יותר הוא חשף ממצא מאוד מאוד מטריד – דלת אחורית, שתוכננה בקפידה כדי "לחצוב" מעבר סודי לאינספור מערכות. לפי מומחי אבטחה, שער נסתר זה, אם לא היה מזוהה, יכול היה לפתוח את הדלת למעין "מגיפה דיגיטלית" של ממש.
מיקרוסופט הגיבה רשמית, בפוסט שעליו חתום בראג'ן בריקן, מנהל תוכנית בצוות הנדסת זהויות במיקרוסופט, שעדכן כי: "ב-28 במרץ 2024 זוהתה דלת אחורית ב-XZ Utils. פגיעות זו – CVE-2024-3094 עם ציון CVSS של 10 – היא תוצאה של הפרה של שרשרת אספקת התוכנה המשפיעה על גרסאות 5.6.0 ו-5.6.1 של XZ Utils. הסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לשדרג לאחור לגרסה קודמת ללא הפרות של XZ Utils". בריקן סיפק בהמשך הפרסום פרטים וכן את תגובת הענקית מרדמונד לפגיעות החמורה המסוימת. הדלת האחורית ב-XZ Utils שכמעט והוחמצה
בפוסט שפרסם באתר מדיום, ציין ג'ייש גאבה, מומחה אבטחה צעיר, כי "XZ Utils הוא כלי עזר לדחיסת נתונים בקוד פתוח, הקיים בהפצות עיקריות של לינוקס וידוע ביחס הדחיסה המצוין שלו. הוא מספק יכולת דחיסה ופירוק נתונים ללא הפסדים במהלך כל מיני פעולות. XZ Utils תומך גם בפורמט .lzma מדור קודם, מה שהופך את הרכיב הזה לחיוני עוד יותר. חלקים רבים אחרים של תוכנה תלויים בתוכנה זו כדי ליישם דחיסה כמו sshd. לפיכך, אם המתקפה הייתה מתפשטת בצורה רחבה יותר, מספר לא ידוע של מערכות יכול היה להישאר בסיכון במשך שנים".
חקירה לגילוי מקור הדלת האחורית חשפה תוכנית מחושבת ומניפולטיבית. XZ Utils, במשך שנים, היה תחת השגחתו של מפתח יחיד, לאסה קולין שמו. קולין סיפר כי אחרי שחווה לחצים גוברים ו"מאבקים בתחום בריאות הנפש", הוא הכניס לתמונה את ג'יה טאן – משתף פעולה חדש. טאן, שהיה לכאורה מתנדב מועיל, רכש במהירות את אמונו של קולין ובסופו של דבר, קיבל מעמד של שותף לתחזוקה. סמכות חדשה זו העניקה לו, כך דווח במדיה העולמית, את היכולת להחדיר את הקוד הזדוני ל-XZ Utils – והוא בהחלט ניצל את הכוח הזה באופן שעלול היה להפוך לאסון אמיתי. The xz utils backdoor story is nuts both from the perspective of how it was introduced and the one in a million way it was discovered. pic.twitter.com/4z0YEb6KwL
— Dare Obasanjo???? (@Carnage4Life) April 3, 2024 מומחי סייבר מאמינים בדיעבד כי טאן אינו מפתח רגיל. לדבריהם, התחכום של הדלת האחורית מצביע על האקר מיומן, או אפילו על פעולה שמאחוריה עומדת קבוצה בחסות המדינה.
קהילת הקוד הפתוח מודאגת
החשיפה של הפרצה המסוכנת היא עוד הוכחה לנקודות התורפה של תוכנות קוד פתוח, שלעתים קרובות מתוחזקות על ידי קהילה מסורה אך חסרת משאבים של מתנדבים. כך קורה שתוכנות אלו הופכות למטרות קלות עבור בעלי כוונות זדוניות. עקב החשיפה חלה מעין טלטלה בקהילת הקוד הפתוח, מתמודדת כעת עם העובדה המטרידה שהעבודה שלהם – הפרויקטים של חברי הקהילה – עלולה להוות קרקע פוריה עבור גורמים זדוניים בסייבר, שעלולים להתחזות בתחילה לבעלי ברית בתחום הקוד הפתוח.
הממצא הדרמטי יצר לחץ בקרב גורמים רבים ואף הצית מספר דיונים דחופים בקרב גורמי ממשל. כלל הגורמם המוטרדים מהמצב ומהסכנות האורבות בו מתמקדים כעת בחיזוק ההגנות סביב גזרת הקוד פתוח. סוכנויות אבטחת סייבר דוחקות בחברות שמסתמכות במידה רבה על תוכנת קוד פתוח להשקיע מחדש בקהילות שבונות ומתוחזקות אותה.
מדובר בקריאה לפיתוח של מערכת יחסים סימביוטית, שבה ענקיות הטכנולוגיה לא רק נהנות מהתוכנה החינמית, אלא גם תורמות משאבים לחיזוק האבטחה שלה.
עם זאת, המודל הנוכחי מציע תמריץ מועט לחברות לעשות זאת. קהילות קוד פתוח מוצפות לעתים קרובות בתלונות של ענקיות טכנולוגיה, הדורשות שמתנדבים יתקנו בעיות עבור תוכנה שמניבה להו מיליארדי דולרים ברווחים.
התקווה שהתעוררה כעת היא כי הגילוי של הדלת האחורית ב-XZ Utils ישמש את התעשייה כולה כקריאת השכמה שתדגיש את הצורך הדחוף באמצעי אבטחה חזקים יותר בתוך המערכת האקולוגית של הקוד הפתוח. עושה רושם כי התקרית המסוימת העלתה את התובנות כי שיתוף פעולה בין מפתחים, סוכנויות ממשלתיות וחברות טכנולוגיה חיוני לשמירה על התשתית הדיגיטלית העומדת בבסיס עולמנו. רק כך נוכל למנוע מהסכנות האופציונליות, שאולי כבר מקננות מתחת לפני השטח, להפוך לאסון דיגיטלי רציני.
07/04/24 09:57
2.95% of the views
מאת TGspot
עדיין בגרסת בדיקה מוקדמת של המפתחים, אבל כבר יש סימנים לשיפור מצב העבודה ששולב לראשונה כבר באנדרואיד 10