Brandsit

Tag: GitHub

  • Kryzys wydajności AI. Dlaczego GitHub blokuje dostęp do nowych kont Copilot?

    Kryzys wydajności AI. Dlaczego GitHub blokuje dostęp do nowych kont Copilot?

    Decyzja GitHub o tymczasowym wstrzymaniu nowych rejestracji w planach Pro, Pro+ oraz subskrypcjach studenckich to rzadki w świecie Big Tech moment, w którym popyt na sztuczną inteligencję brutalnie zderza się z fizycznymi ograniczeniami infrastruktury. Microsoft, właściciel platformy, przyznaje wprost: Copilot stał się ofiarą własnego sukcesu. Narzędzie zużywa zasoby w tempie, którego pierwotny model biznesowy po prostu nie przewidział.

    To, co początkowo wyglądało na problem techniczny, w rzeczywistości obnaża głębszy kryzys „ekonomii tokenów”. Programiści przestali traktować Copilota jak prosty autouzupełniacz kodu, a zaczęli wykorzystywać go do kompleksowych zadań architektonicznych i głębokiego refaktoryzacji. Tak zaawansowane operacje wymagają gigantycznej mocy obliczeniowej i generują koszty, które zaczynają nadwyrężać marże GitHub. Firma przyznała, że obecne obciążenie „znacznie przewyższa” założenia, na których oparto strukturę planów subskrypcyjnych.

    Wprowadzenie blokady dla nowych użytkowników ma chronić doświadczenia tych, którzy już płacą, ale nawet oni muszą przygotować się na zaciskanie pasa. GitHub ogłosił wprowadzenie rygorystycznych limitów sesyjnych i tygodniowych, co de facto kończy erę nielimitowanego wsparcia AI. Najbardziej bolesnym cięciem dla profesjonalistów jest uszczuplenie biblioteki dostępnych modeli. Z subskrypcji Pro i Pro+ zniknęły Claude Opus 4.5 oraz 4.6, pozostawiając jedynie najnowszą wersję 4.7 jako propozycję z najwyższej półki.

    GitHub otwarcie zachęca programistów do „oszczędności” i częstszego korzystania z mniejszych, tańszych modeli, gdy tylko jest to możliwe. To strategiczny zwrot, który wymusi na działach IT nową formę higieny pracy – zarządzanie budżetem tokenów stanie się tak samo istotne, jak zarządzanie budżetem na usługi chmurowe.

    Obecny paraliż rejestracji jest prawdopodobnie tylko chwilową przerwą potrzebną na przeformatowanie oferty. Możemy się spodziewać, że gdy Copilot wróci do sprzedaży, jego cennik będzie znacznie bardziej odzwierciedlał realne koszty procesowe, być może przechodząc na model „pay-as-you-go” dla najbardziej wymagających zadań. Microsoft udowadnia, że nawet przy nieograniczonym kapitale, moce obliczeniowe pozostają zasobem rzadkim, którym trzeba zarządzać z bezwzględną dyscypliną.

  • Nowa opcja GitHub: dane klientów Enterprise Cloud trafią do UE

    Nowa opcja GitHub: dane klientów Enterprise Cloud trafią do UE

    GitHub, jedna z wiodących platform programistycznych, ogłosił, że od końca października klienci korzystający z usługi GitHub Enterprise Cloud będą mogli przechowywać swoje dane w Unii Europejskiej. Jest to odpowiedź na rosnące zapotrzebowanie firm na suwerenność danych i możliwość spełnienia lokalnych wymogów regulacyjnych. Ta decyzja wpisuje się w szerszy trend wśród dostawców usług chmurowych, którzy coraz częściej oferują lokalne opcje przechowywania danych.

    Nowa opcja dla klientów Enterprise Cloud

    GitHub do tej pory wymagał od użytkowników chmurowych przechowywania danych w centrach danych zlokalizowanych w Stanach Zjednoczonych. Od 29 października sytuacja ulegnie zmianie – klienci GitHub Enterprise Cloud będą mogli wybierać opcje przechowywania danych w regionach europejskich. Wprowadzenie tej funkcji jest możliwe dzięki infrastrukturze macierzystej firmy Microsoft, która oferuje aż dwanaście aktywnych regionów Azure w Europie. Wkrótce dostępny ma być również region Azure w Belgii, co jeszcze bardziej rozszerzy możliwości lokalnego przechowywania danych.

    Co istotne, do tej pory klienci korzystający z GitHub Enterprise Server mieli już możliwość samodzielnego wyboru lokalizacji dla swoich danych. Nowa opcja dla klientów chmurowych oznacza, że firmy, które dotychczas były zmuszone do przechowywania danych w USA, będą mogły dostosować swoją infrastrukturę do wymogów lokalnych przepisów w Unii Europejskiej.

    Dane na żądanie klientów, nie wymogów regulacyjnych

    GitHub, podkreślając znaczenie tej zmiany, zaznacza, że oferta przechowywania danych w UE powstała na wyraźną prośbę klientów, a nie pod wpływem europejskich regulacji. Shelley McKinley, dyrektor prawny GitHub, w rozmowie z TechCrunch wskazała, że firmy chcą chronić swoje „klejnoty koronne”, czyli kod źródłowy, poprzez przechowywanie go jak najbliżej siebie. Zmiana lokalizacji przechowywania danych to nie tylko kwestia regulacyjna, ale także odpowiedź na potrzeby firm związane z bezpieczeństwem i suwerennością danych.

    McKinley zapowiada także, że w przyszłości GitHub planuje rozszerzenie tej oferty na inne kontynenty, gdzie rośnie zapotrzebowanie na lokalizację danych, co ma być odpowiedzią na globalne trendy związane z suwerennością cyfrową.

    Tło zmian – lokalizacja danych i suwerenność

    Coraz więcej europejskich firm zwraca uwagę na możliwość lokalnego przechowywania danych, co staje się jednym z kluczowych kryteriów przy wyborze dostawcy usług chmurowych. W odpowiedzi na te potrzeby, duzi gracze na rynku, tacy jak AWS, Microsoft i Google, intensywnie rozwijają swoje centra danych, aby zapewnić firmom ofertę chmurową zgodną z lokalnymi wymogami i przepisami.

    Warto zaznaczyć, że przepisy takie jak RODO, regulujące przetwarzanie danych osobowych w Unii Europejskiej, miały pośredni wpływ na te zmiany. Wkrótce może również pojawić się nowa ustawa o sztucznej inteligencji, która, podobnie jak RODO, może wpłynąć na kształt oferty chmurowej w Europie.

    Wprowadzenie możliwości przechowywania danych w UE przez GitHub to krok w stronę zwiększenia suwerenności danych oraz elastyczności dla europejskich klientów. Zmiany te wpisują się w szerszy trend globalnych dostawców usług chmurowych, którzy starają się dostosować swoją ofertę do lokalnych wymogów regulacyjnych i rosnących potrzeb firm w zakresie bezpieczeństwa danych.

  • Google wprowadza Gemini Code Assist – rewolucja w pomocy przy kodowaniu

    Google wprowadza Gemini Code Assist – rewolucja w pomocy przy kodowaniu

    Podczas ostatniego wydarzenia Cloud Next, Google z dumą zaprezentował najnowsze osiągnięcie w dziedzinie sztucznej inteligencji – Gemini Code Assist. Jest to zaawansowany asystent AI do programowania, stworzony z myślą o potrzebach profesjonalistów IT. Gemini Code Assist jest nastawiony na biznes i oferuje szeroką gamę narzędzi, które mają na celu usprawnienie procesu tworzenia, wdrażania i zarządzania aplikacjami.

    Bezpośredni rywal dla GitHub Copilot

    Gemini Code Assist wchodzi na rynek jako bezpośredni konkurent dla GitHub Copilot, który zdobył popularność od momentu swojej powszechnej dostępności na początku roku. Obydwa narzędzia służą podobnym celom, ale Gemini Code Assist wyróżnia się dzięki wykorzystaniu modelu językowego Gemini 1.5 Pro, który jest jednym z największych modeli językowych Google.

    Technologia i możliwości

    Podstawą Gemini Code Assist jest Gemini 1.5 Pro, który jest zdolny do przetwarzania milionów tokenów z precyzją niezbędną dla zaawansowanych zastosowań programistycznych. Co istotne, Google podkreśla, że ich model nie używa danych użytkowników do dalszego szkolenia, co zapewnia większą prywatność i bezpieczeństwo danych.

    Nowa platforma AI umożliwia integrację z różnymi środowiskami programistycznymi (IDE), takimi jak VS Code, IntelliJ, oraz Cloud Workstations. Może również być używany bezpośrednio z edytorem Cloud Shell.

    Funkcjonalności rozszerzone o komunikację

    Gemini Code Assist nie ogranicza się tylko do generowania kodu. Narzędzie to oferuje pomoc w pisaniu w różnych językach programowania, dodaje bloki kodu, generuje komentarze oraz dokumentuje i analizuje błędy w kodzie. Dzięki inteligentnej analizie, asystent może również dostarczać odpowiedzi oparte na podpowiedziach użytkownika, w tym cytować źródła, co jest szczególnie użyteczne przy tworzeniu dokumentacji.

    Wpływ na branżę

    Wprowadzenie Gemini Code Assist przez Google może znacząco wpłynąć na rynek narzędzi pomocniczych w programowaniu. Poprzez zwiększenie efektywności i precyzji, jak również poprawę dostępu do zaawansowanych narzędzi AI w codziennej pracy programistów, Google umacnia swoją pozycję jako lidera innowacji w technologii chmury i AI. Narzędzie to stanowi krok naprzód w demokratyzacji dostępu do zaawansowanych narzędzi programistycznych, co może przyczynić się do szybszego i bardziej innowacyjnego rozwoju oprogramowania na całym świecie.

  • Już jest wersja beta Copilot Chat na GitHubie

    Już jest wersja beta Copilot Chat na GitHubie

    Wersja beta GitHub Copilot Chat, wprowadzona w lipcu dla użytkowników GitHub Copilot for Business, była pierwszym krokiem ku integracji sztucznej inteligencji z narzędziami programistycznymi. Teraz, ta funkcja jest dostępna dla wszystkich użytkowników GitHub Copilot w Visual Studio i VS Code. Dzięki niej, programiści mogą teraz komunikować się w swoim preferowanym języku naturalnym bezpośrednio w swoim środowisku programistycznym. To ogromny krok w kierunku usprawnienia procesu rozwoju i eliminacji barier komunikacyjnych.

    Wsparcie dla indywidualnych użytkowników

    Dla użytkowników GitHub Copilot for Individual, proces aktywacji tej funkcji jest prosty. Po wprowadzeniu GitHub Copilot Chat wersji beta, użytkownicy otrzymają wiadomość e-mail z instrukcjami dotyczącymi kolejnych kroków.

    GitHub Copilot Chat w praktyce

    GitHub Copilot Chat otwiera drzwi do wielu nowych możliwości dla programistów. Oto kilka przykładów, jak można wykorzystać tę funkcję:

    • Nauka nowych języków: Dla tych, którzy chcą poszerzyć swoje umiejętności programistyczne, GitHub Copilot Chat może pomóc w nauce nowych języków programowania.
    • Naprawa błędów: Asystent AI może pomóc w identyfikacji i naprawie błędów w kodzie, co przyspiesza proces tworzenia oprogramowania.
    • Poznawanie nowych frameworków: GitHub Copilot Chat może dostarczać wskazówki i sugestie dotyczące różnych frameworków, ułatwiając programistom eksplorację nowych technologii.
    • Zadawanie pytań w języku naturalnym: Programiści mogą teraz zadawać pytania o kodowanie w swoim języku naturalnym, co może znacznie zwiększyć produktywność.
    • Usprawnienie procesu rozwoju: Dzięki GitHub Copilot Chat proces rozwoju staje się bardziej efektywny, pozwalając programistom skupić się na istotnych zadaniach.

    Bezpieczeństwo i wsparcie

    GitHub Copilot Chat nie tylko usprawnia proces tworzenia oprogramowania, ale także podnosi kwestię bezpieczeństwa. Asystent AI jest w stanie sugerować poprawki bezpieczeństwa, co przyczynia się do ogólnego zwiększenia bezpieczeństwa projektów open source hostowanych na GitHub.

    GitHub Copilot Chat oferuje wiele innych funkcji i korzyści, w tym:

    • Pomoc na żywo: Sztuczna inteligencja może dostarczać wskazówki i rozwiązania dotyczące kodowania w czasie rzeczywistym, co przyspiesza proces rozwoju.
    • Analiza kodu: Możliwość analizy kodu w mniejszych fragmentach ułatwia programistom identyfikację problemów i sugeruje alternatywne rozwiązania.
    • Debugowanie: GitHub Copilot Chat potrafi identyfikować problemy w kodzie i proponować rozwiązania, co znacząco przyspiesza proces debugowania.

    Integracja z Microsoft Terminal

    Warto również wspomnieć, że Microsoft zintegrował już GitHub Copilot ze swoją aplikacją Terminal. To oznacza, że użytkownicy mogą jeszcze bardziej zoptymalizować swoje środowisko pracy, korzystając z tych potężnych narzędzi.

    GitHub Copilot Chat to przełomowa funkcja, która podnosi poziom współpracy i produktywności programistów. Dostępność tej funkcji dla wszystkich użytkowników GitHub Copilot to krok w dobrym kierunku, umożliwiający programistom korzystanie z potężnej sztucznej inteligencji do rozwiązywania problemów, uczenia się i komunikacji w bardziej naturalny sposób. To także krok w kierunku zwiększenia bezpieczeństwa projektów open source. Dla społeczności programistycznej to bez wątpienia dobra wiadomość.

  • Haker oszukał badaczy cyberbezpieczeństwa na GitHubie

    Haker oszukał badaczy cyberbezpieczeństwa na GitHubie

    Haker specjalizujący się w Linuksie zdołał oszukać badaczy cyberbezpieczeństwa i prawdopodobnie innych cyberprzestępców, używając fałszywych dowodów koncepcji (PoC), załadowanych złośliwym oprogramowaniem i opublikowanych na platformie kodowania GitHub. Exploit został wykryty podczas rutynowego skanowania przez firmę Uptycs zajmującą się analizą bezpieczeństwa, ujawniając sprytne wykorzystanie legalnych PoC w poszukiwaniu znanych luk w zabezpieczeniach wstrzykniętych przez złośliwe oprogramowanie do kradzieży haseł dla systemu Linux.

    Haker oszukał badaczy cyberbezpieczeństwa – czym jest PoC?

    PoC to kluczowe narzędzia w dziedzinie cyberbezpieczeństwa, umożliwiające naukowcom zrozumienie, przetestowanie i analizę potencjalnych skutków publicznie ujawnionych luk w zabezpieczeniach. Jednak ich wszechobecność może również dać cyberprzestępcom możliwość skuteczniejszego przeprowadzania ataków, jeśli zostaną wykorzystane do identyfikowania słabych punktów w atakowanych systemach.

    W tym przypadku haker specjalizujący się w systemie Linux sklonował prawdziwe PoC w poszukiwaniu znanych luk w zabezpieczeniach, uzupełnił je złośliwym oprogramowaniem i ponownie przesłał do GitHub. Zanim Uptycs wykrył złośliwe działanie, jeden z fałszywych PoC został już sklonowany lub „rozwidlony” 25 razy, a drugi 20 razy.

    Fałszywe PoC uruchamiały znaki ostrzegawcze podczas standardowego skanowania, wskazujące na nieprawidłowości, takie jak próby nieautoryzowanego dostępu do systemu, nietypowe transfery danych i nieoczekiwane połączenia sieciowe.

    Jeden fałszywy PoC został zamaskowany jako rozwiązanie luki w zabezpieczeniach o wysokim poziomie ważności (CVSS: 7.0/10) typu use-after-free, znanej jako CVE-2023-35829, która wpływała na jądro Linuksa przed wersją 6.3.2. Fałszywy PoC zawierał dodatkowy plik: src/aclocal.m4, ukryty program do pobierania skryptów bash dla systemu Linux, którego nie ma w legalnej wersji. Skrypt został użyty do zebrania danych maszynowych, w tym nazwy hosta, nazwy użytkownika i zawartości katalogu domowego.

    „Jego sposób działania jest dość przebiegły” – powiedział Uptycs w poradniku bezpieczeństwa. „Wykorzystywany do tworzenia plików wykonywalnych z plików kodu źródłowego, wykorzystuje polecenie make do tworzenia pliku kworker i dodaje swoją ścieżkę do pliku bashrc, umożliwiając w ten sposób złośliwemu oprogramowaniu ciągłe działanie w systemie ofiary”.

    Użytkownik GitHub opublikował również inny złośliwy PoC, udając poprawkę dla CVE-2023-20871, luki w zabezpieczeniach o wysokim poziomie ważności (CVSS: 7.8/10) umożliwiającej eskalację uprawnień, która ma wpływ na hiperwizor VMware Fusion. Oba fałszywe PoC były prawie identyczne, poza ich nazwami.

    W jaki sposób ochronić się przed takimi atakami?

    Po wykryciu fałszywych PoC konto użytkownika GitHub zostało dezaktywowane, a złośliwa zawartość usunięta. Uptycs doradza osobom, które mogły użyć fałszywych PoC, usunięcie nieautoryzowanych kluczy SSH, sprawdzenie /tmp/.iCE-unix.pid, usunięcie kworkerpliku i ścieżki kworkerz bashrcpliku.

    „Aby zapobiec rozprzestrzenianiu się takich infekcji, podczas pobierania nowych plików specjaliści do spraw cyberbezpieczeństwa powinni zawsze korzystać z sandboxów lub odizolowanego środowiska. W stale zmieniającym się świecie cyberbezpieczeństwa czujność i ostrożne praktyki są równie ważne, jak najbardziej wyrafinowane zabezpieczenia” mówi Dariusz Woźniak z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

  • Rynek druku 3D do końca roku zamknie się z niższymi przychodami

    Rynek druku 3D do końca roku zamknie się z niższymi przychodami

    Technologia druku 3D pozwoliła w wielu przypadkach na utrzymanie łańcucha dostaw w dobie ograniczeń wynikających z pandemii koronawirusa. Dzięki drukarkom 3D udało się m.in. zaopatrzyć personel medyczny w niezbędny sprzęt. Chociaż zainteresowanie technologią w tym roku znacznie wzrosło, zanotowane przychody rynku będą o jedną piątą niższe niż oczekiwane – z uwagi na znaczną liczbę usług realizowanych za darmo. Zwiększyła się jednak innowacyjność tej technologii.

    – Pandemia przyczyniła się do zwiększenia innowacyjności w zakresie druku 3D. Przede wszystkim postawiła wiele wyzwań przed branżą, ale jednocześnie pokazała, jak można wykorzystać tę technologię jako narzędzie reagowania kryzysowego w firmach. W momencie, kiedy standardowe działania łańcucha dostaw zostają przerwane, możemy ograniczyć sobie dostęp do kluczowych części zamiennych, co może grozić przestojem w produkcji. Uniknęlibyśmy tego, gdybyśmy w firmie wprowadzili rozwiązania druku 3Dwskazuje Natalia Jusiak, head of marketing w firmie Zortrax.

    Podstawową zaletą wynikającą ze stosowania drukarek 3D jest możliwość szybkiego uruchomienia produkcji. Czas potrzebny od ukończenia projektu do stworzenia prototypu narzędzia lub części zamiennej do maszyny można w tym przypadku zamknąć w zaledwie kilku godzinach. Dzięki temu, w obliczu ograniczeń wynikających z rozprzestrzeniania się SARS-CoV-2, udawało się w wielu przypadkach doraźnie utrzymać istniejący łańcuch dostaw. Szczególnie istotne było to w przypadku branży medycznej.

    – Możliwość szybkiej i rozproszonej produkcji oraz brak konieczności uruchamiania skomplikowanych procesów w fabrykach, ponieważ druk 3D jest bardzo intuicyjnym procesem, sprawiały, że firmy i prywatni użytkownicy posiadający drukarki 3D odpowiadali na bieżące zapotrzebowania lokalnych szpitali i ośrodków medycznych. Na naszych drukarkach drukowaliśmy przyłbice, jak również adaptery umożliwiające wykorzystanie masek do nurkowania w charakterze masek do respiratorów czy same komponenty respiratorów – wymienia Natalia Jusiak.

    Pandemia wpłynęła również na przemodelowanie samego procesu rynkowego wdrażania nowych produktów. O ile rozwiązania open source od lat kojarzone są z oprogramowaniem komputerowym, o tyle w branży sprzętu medycznego były one dotychczas stosowane raczej rzadko. Przykładem połączenia formuły open source z drukiem 3D był projekt respiratorów OpenBreath, do którego współrealizacji włoscy inżynierowie zaprosili lekarzy i naukowców z całego świata. Pliki projektowe urządzenia zostały udostępnione za pośrednictwem GitHub.

    – Początkowo elementy całej konstrukcji respiratora miały zostać wykonane z blachy stalowej, a te o bardziej złożonej geometrii frezowane na maszynach CNC. Niestety ograniczenia związane z pandemią, nałożone ówcześnie na włoską gospodarkę, spowodowały, że zamknęły się firmy, które miały dostarczać te części do respiratorów Open Breath. Członkowie zespołu stwierdzili, że do tego projektu wykorzystają właśnie druk 3D, wybrali do tego rozwiązania naszą drukarkę Zortrax M300 Dual i dzięki niej stworzyli kluczowe komponenty wykorzystane w respiratorze – wskazuje ekspertka Zortrax.

    Na drukarkach 3D powstają również ochronne przyłbice, stosowane zamiast maseczek nakładanych na usta i nos. Również ich projekt udostępniany jest do pobrania – tak, by szybko mógł takie narzędzie ochronne wydrukować każdy, kto dysponuje odpowiednim sprzętem do trójwymiarowego druku. Wsparcie projektowania sprzętu dla chorych i ochrona przed koronawirusem to jednak niejedyne możliwości, jakie ta technologia stwarza dla branży medycznej.

    – Już teraz druk 3D wykorzystywany jest do drukowania modeli edukacyjnych dla studentów, stosuje się również drukowane modele do planowania skomplikowanych operacji czy np. drukowania prototypów personalizowanych implantów dla pacjentów. Sektor ten bardzo prężnie się rozwija i zmierza do wykorzystania w druku materiałów biokompatybilnych. Już teraz dentyści korzystają z technologii UV LCD i żywic biokompatybilnych, żeby drukować np. korony, mosty czy szyny ortodontyczne. Trwają również prace nad możliwościami tworzenia implantów dla pacjentów z materiałów biokompatybilnych – wskazuje Natalia Jusiak.

    Z raportu MarketsandMarkets, uwzględniającego wpływ koronawirusa na gospodarkę, wynika, że światowy rynek druku 3D wzrośnie z 11,4 mld dol. przychodu, który zanotujemy w 2020 roku, do 30,2 mld dol. przewidywanych na rok 2025. Estymowana wycena na 2020 rok będzie o 19 proc. niższa w porównaniu do szacunków dokonywanych przed wybuchem pandemii, jednak jeszcze w tym roku dojdzie do stabilizacji i powrotu do dwucyfrowego tempa wzrostu. Spadek przychodów, zdaniem analityków, wynika z tego, że choć zainteresowanie drukiem 3D w dobie pandemii znacznie wzrosło, to znaczna część zamówień była realizowana bezpłatnie.

  • Jak rozpocząć proces automatyzacji w swojej firmie?

    Jak rozpocząć proces automatyzacji w swojej firmie?

    Bez publicznej chmury obliczeniowej nie bylibyśmy w stanie stawić czoła pandemii na takim poziomie, jaki aktualnie udało nam się osiągnąć. Prywatne centra danych nigdy nie skalowały się w takim tempie jak obecnie, a nawet najdokładniejsze systemy planowania przepustowości na świecie nie prognozowały zużycia takiej ilości zasobów, z jaką obecnie mamy do czynienia. Gdyby nie moce chmury obliczeniowej, platformy informacyjne nie byłyby w stanie poradzić sobie z ogromną liczbą odwiedzających, którzy śledzą na bieżąco sytuację związaną z koronawirusem. Szpitale i placówki badawcze publikujące statystyki nowych przypadków zachorowań, nie byłyby w stanie zapanować nad tysiącem informacji, które co chwilę otrzymują, a platformy do wideokonferencji i streamingu danych nie mogłyby zapanować nad zwiększoną ilością przetwarzanych informacji przez osoby, które z dnia na dzień musiały się przełączyć na tryb pracy zdalnej.

    Więc czym właściwie jest publiczna chmura obliczeniowa? Przede wszystkim zadziwiającą, bezprecedensową, zdyscyplinowaną, metodyczną i wszechobecną automatyzacją.

    Automatyzacja nie tylko pozwala nam poradzić sobie ze wzrostem skali zapotrzebowania na przetwarzanie danych w chmurze publicznej, jak i wewnątrz naszych centrów danych. Dzięki niej, korporacje na całym świecie mogą bez większych komplikacji przejść do trybu home office, nie obniżając przy tym efektywności pracy. Bez automatyzacji, zespoły zajmujące się bezpieczeństwem przepływu danych, nie mogłyby bez problemu zainstalować sieci VPN na milionach laptopów, tabletów i smartfonów na całym świecie z zachowaniem zasad poufności i bezpieczeństwa.

    Co więcej, robotyzacja nie dotyczy tylko wyłącznie cyberprzestrzeni. Na co dzień, wielokrotnie korzystamy z jej zasobów. Bez półautomatycznych magazynów i centrów dystrybucyjnych nasze zamówienia ze sklepów internetowych nie byłyby w stanie dotrzeć do nas na czas.

    Jeśli prowadzisz firmę, która w obliczu COVID-19 zmaga się z wieloma utrudnieniami, automatyzacja jest Ci potrzebna. Od czego więc zacząć proces jej wprowadzania?

    1.Skup się na konkretnym działaniu, a nie na całym procesie

    Obecna sytuacja wymaga szybszego niż kiedykolwiek zwrotu z inwestycji.  Nie osiągniemy jednak wysokiego wskaźnika rentowności, jeśli skupimy się na jednym dużym procesie z wieloma skomplikowanymi podprocesami, które nigdy wcześniej nie były standaryzowane lub zautomatyzowane. Jest to marnotrawstwo zasobów. Wielokrotnie w mojej karierze widziałem, że takie podejście zawodzi – wspomina Alessandro Perilli, Senior Director i Management Strategy w Red Hat. Zacznij od małych kroków – im więcej mniejszych mechanizmów zautomatyzujesz, tym więcej zyskasz doświadczenia i pewności siebie w zakresie wybranego rozwiązania. Jednocześnie zdobędziesz podstawy, które w przyszłości mogą stać się częścią bardziej złożonych projektów – dodaje ekspert.

    2. Sprawdź, co automatyzują inni

    Jeśli sam nie posiadasz dużego doświadczenia, wiedza twoich kolegów z branży w tym przypadku może okazać się niezbędna. Za sprawą internetowych rynków automatyzacji (przykładem jednego z nich jest Ansible Galaxy) możesz sprawdzić jakie dziedziny są najczęściej automatyzowane.  Oceń, czy dane rozwiązanie będzie odpowiednie dla twojej firmy, a także co wymaga zmiany, aby proces automatyzacji przebiegł bez utrudnień.

    3. Traktuj automatyzację jako oprogramowanie

    Niektóre rozwiązania automatyzacji (jak Ansible) przyjmują język, który jest znacznie łatwiejszy do napisania, zrozumienia i rozwiązywania problemów niż rzeczywisty kod programowania. Im jest on prostszy, tym staje się bardziej powszechny i stosowany przez pracowników różnych dziedzin.

    Niemniej jednak, bez względu na to, jak bardzo czytelny może wydawać się język automatyzacji, nadal podatny jest na ludzkie błędy. Ryzyko można zminimalizować, stosując jedne z najlepszych praktyk w dziedzinie tworzenia oprogramowania. Zacznij od takich rzeczy jak, przeglądy zautomatyzowanych przepływów pracy lub systemów kontroli wersji. Dzięki temu kluczowe elementy nie zostaną pominięte – informuje ekspert.

    4. Myśl nieszablonowo

    Automatyzacja IT jest zazwyczaj ściśle związana z zaopatrzeniem i konfiguracją serwerów w centrach danych. Podczas gdy istniejące rozwiązania automatyzacyjne sprawdzają się w tego typu rozwiązaniach, niektóre z nich rozszerzyły się poza sferę działań informatycznych i stają się nieocenionymi narzędziami dla operacji sieciowych, analityków i działów bezpieczeństwa.

    Automatyzacja może pomóc w konfiguracji sprzętowych urządzeń sieciowych, tak szybko jak tylko zostaną one zainstalowane, jak również we wdrażaniu nowych rozwiązań zabezpieczających tam, gdzie potrzebna jest większa ochrona. Dodatkowo może przyspieszyć reakcję systemów na ataki z zewnątrz, zagrażające bezpieczeństwu danych.

    W czasach kiedy świat musi mierzyć się z ogromny wyzwaniem, jakim jest pandemia wirusa, społeczności open source na całym świecie jednoczą się w walce z COVID-19. Wśród ich działań znajdziemy zarówno prognozowanie natężenia pracy w szpitalach, opracowywanie osłon medycznych, drukowanie respiratorów w 3D, aż po budowanie wysokowydajnych laboratoriów testowych, które są w stanie przeanalizować do 10.000 testów dziennie.

    Społeczności open source aktywnie uczestniczą w procesach automatyzacji. Przykładem jest Ansible, który jako całkowicie otwarte oprogramowanie jest jednym z 10 najbardziej zaangażowanych projektów w GitHubie, spośród ponad 100 milionów innych.

    Ta ogromna społeczność jest gotowa rozpocząć proces twojej automatyzacji już teraz.

  • PhantomLance: aktywna, wyrafinowana kampania cyberszpiegowska

    PhantomLance: aktywna, wyrafinowana kampania cyberszpiegowska

    Badacze z firmy Kaspersky wykryli wyrafinowaną kampanię cyberprzestępczą wymierzoną w użytkowników urządzeń z systemem Android, która ze średnim prawdopodobieństwem może być przypisana ugrupowaniu o nazwie OceanLotus. Kampania ta – określona jako PhantomLance – była prowadzona od co najmniej 2015 roku i nadal jest aktywna, wykorzystując różne wersje złożonego oprogramowania spyware (którego celem jest gromadzenie danych ofiar), jak również inteligentne taktyki dystrybucji, łącznie z rozprzestrzenianiem za pośrednictwem dziesiątek aplikacji w oficjalnym Sklepie Play firmy Google.

    ’W lipcu 2019 r. badacze bezpieczeństwa poinformowali o nowej próbce oprogramowania spyware znalezionej w Sklepie Play firmy Google. Zwróciła ona uwagę firmy Kaspersky ze względu na nietypowe cechy – poziom wyrafinowania i zachowanie znacząco odbiegały od powszechnych trojanów umieszczanych w oficjalnych sklepach z aplikacjami. Badacze zdołali wykryć kolejną, bardzo podobną próbkę tego szkodnika w sklepie firmy Google. Twórcy szkodliwego oprogramowania, którym uda się umieścić szkodliwą aplikację w legalnym sklepie, zwykle inwestują wiele zasobów w jej promowanie w celu zwiększenia liczby instalacji, a tym samym liczby ofiar. Inaczej było w przypadku opisywanych nowo wykrytych szkodliwych aplikacji. Stojące za nimi osoby wydawały się niezainteresowane masowym rozprzestrzenianiem. Skłoniło to badaczy do wniosku, że mają do czynienia z ukierunkowaną aktywnością APT. Dodatkowe badanie pozwoliło wykryć kilka wersji tego szkodnika: dziesiątki próbek łączyły liczne podobieństwa w kodzie.

    Wszystkie próbki miały podobną funkcjonalność – głównym celem oprogramowania spyware było gromadzenie informacji. O ile funkcjonalność podstawowa nie była szczególnie szeroka – obejmowała geolokalizację, informacje o połączeniach, dostęp do kontaktów oraz SMS-ów – aplikacja potrafiła również gromadzić listę zainstalowanych aplikacji i informacje dotyczące urządzenia, takie jak jego model i wersja systemu operacyjnego. Co więcej, cyberprzestępcy mogli pobierać i wykonywać różne szkodliwe funkcje, dobierając taką, która pasowałaby do określonego środowiska urządzenia, jak wersja Androida czy zainstalowane aplikacje. Dzięki temu nie musieli obciążać swoich szkodliwych narzędzi niepotrzebnymi funkcjami, a jednocześnie w dalszym ciągu gromadzili potrzebne informacje.

    Dalsze badanie wykazało, że PhantomLance był głównie rozprzestrzeniany za pomocą różnych platform i sklepów, w tym m.in. Google Play oraz APKpure. Aby zwiększyć wiarygodność aplikacji, w niemal każdym przypadku cyberprzestępcy próbowali zbudować fałszywy profil twórcy poprzez stworzenie odpowiedniego konta na Github. W celu obejścia mechanizmów filtrowania stosowanych przez sklepy pierwsze umieszczone w nich aplikacje nie zawierały żadnych szkodliwych funkcji. Jednak wraz z późniejszymi aktualizacjami aplikacje zostały wyposażone zarówno w szkodliwe funkcje, jak i kod umożliwiający ich zainstalowanie i wykonanie.

    Z danych chmury Kaspersky Security Network wynika, że od 2016 r. zaobserwowano około 300 prób infekcji na urządzeniach z systemem Android w takich państwach jak Indie, Wietnam, Bangladesz oraz Indonezja. Co ciekawe, niektóre szkodliwe aplikacje wykorzystane w kampanii zostały stworzone wyłącznie w języku wietnamskim.

    Przy użyciu wewnętrznych narzędzi firmy Kaspersky służących do znajdowania podobieństw między różnymi fragmentami szkodliwego kodu badacze ustalili, że szkodliwe funkcje wykorzystane w kampanii PhantomLance były co najmniej w 20% podobne do tych znanych z jednej ze starszych kampanii wymierzonej w system Android i przypisywanej gangowi OceanLotus. Jest to cyberugrupowanie działające od co najmniej 2013 r., atakujące cele znajdujące się w większości w Azji Południowo-Wschodniej. Co więcej, zidentyfikowano kilka istotnych zbieżności z wcześniejszą aktywnością ugrupowania OceanLotus dotyczącą systemów Windows oraz macOS. Dlatego badacze z firmy Kaspersky uważają, że kampania PhantomLance może być ze średnim prawdopodobieństwem powiązana z ugrupowaniem OceanLotus.

    Firma Kaspersky poinformowała o wszystkich wykrytych próbkach właścicieli legalnych sklepów z aplikacjami. Firma Google zareagowała błyskawicznie i poinformowała już o usunięciu szkodliwych aplikacji związanych z kampanią PhantomLance ze swojego sklepu.

  • Holy Water: kreatywny cyberatak wykorzystujący metodę „przy wodopoju”

    Holy Water: kreatywny cyberatak wykorzystujący metodę „przy wodopoju”

    Badacze z firmy Kaspersky wykryli kampanię cyberprzestępczą, która była wymierzona w użytkowników z Azji i trwała od maja 2019 r. Cyberprzestępcy złamali zabezpieczenia ponad 10 legalnych stron internetowych związanych z religią, wolontariatem, działalnością charytatywną oraz kilkoma innymi obszarami w celu selektywnego uruchamiania ataku mającego na celu zainstalowanie „tylnej furtki” na urządzeniach atakowanych użytkowników. Przestępcy zastosowali kreatywny zestaw narzędzi obejmujący rozprzestrzenianie za pośrednictwem serwisu GitHub oraz wykorzystywanie powszechnie dostępnego kodu open source.

    Metoda „przy wodopoju” to nazwa strategii ataków ukierunkowanych polegającej na tym, że cyberprzestępcy łamią zabezpieczenia stron internetowych uznanych za popularne wśród potencjalnych ofiar i czekają, aż umieszczone na nich szkodliwe oprogramowanie trafi na komputery tych użytkowników. Aby być narażonym na infekcję szkodliwym oprogramowaniem, wystarczy, że użytkownik odwiedzi stronę, przy której majstrowali cyberprzestępcy. Z tego powodu atak ten jest łatwy do rozprzestrzeniania, a tym samym bardziej niebezpieczny. W kampanii, której badacze z firmy Kaspersky nadali nazwę Holy Water, „wodopoje” zostały przygotowane na stronach internetowych należących do sławnych osób, podmiotów publicznych, organizacji charytatywnych oraz na innych zasobach.

    Omawiany wieloetapowy atak wyróżnia się ze względu na swoją szybką ewolucję od momentu powstania, jak również szeroki zakres wykorzystywanych narzędzi. Po otwarciu przez użytkownika jednej z zaatakowanych stron zainfekowany wcześniej zasób ładuje zaciemniony szkodliwy JavaScript, który gromadzi informacje na temat odwiedzającego. Następnie serwer zewnętrzny ustala, czy taka osoba stanowi cel ataku. Jeśli tak, następuje drugi etap, w którym zostaje załadowana wtyczka wyświetlająca fałszywe okienko wyskakujące aktualizacji Adobe Flash.

    Cyberprzestępcy liczą na to, że osoba ta da się złapać w pułapkę i pobierze pakiet szkodliwych instalatorów, który zainstaluje w systemie tylną furtkę (tzw. backdoora) o nazwie „Godlike12”, zapewniając tym samym atakującym pełny zdalny dostęp do zainfekowanego urządzenia, umożliwiając im modyfikowanie plików, przechwytywanie poufnych danych z komputera, rejestrowanie aktywności na komputerze itd. W ataku wykorzystywany jest również inny backdoor – zmodyfikowana wersja dostępnego powszechnie szkodnika Stitch. Trojan ten ustanawia bezpośrednie połączenie z serwerem kontrolowanym przez cyberprzestępców w celu wymiany zaszyfrowanych danych.

    Fałszywe okienko wyskakujące Adobe Flash było powiązane z plikiem wykonywalnym przechowywanym w serwisie github.com pod przykrywką pliku aktualizacji wtyczki Flash. Organizacja GitHub zablokowała to repozytorium 14 lutego 2020 r. po tym, jak skontaktowała się z nią firma Kaspersky, przerywając tym samym łańcuch infekcji w ramach kampanii. Niemniej jednak repozytorium to było dostępne online przez ponad 9 miesięcy, w wyniku czego badacze zdołali uzyskać unikatowy wgląd w aktywność oraz narzędzia cyberprzestępców.

    Opisywana kampania wyróżnia się na tle innych ze względu na swój niski budżet i nie w pełni rozwinięty zestaw narzędzi, który kilkakrotnie w ciągu kilku miesięcy został zmodyfikowany. Według badaczy z firmy Kaspersky, atak ten jest prawdopodobnie dziełem niewielkiego, elastycznego zespołu.

    – Kampania cyberprzestępcza wykorzystująca metodę „przy wodopoju” stanowi interesującą strategię, która przynosi rezultaty poprzez przeprowadzanie ataków ukierunkowanych na określone grupy ludzi. Ponieważ nie mogliśmy obserwować żadnych ataków na żywo, nie byliśmy w stanie określić jej celu operacyjnego. Niemniej jednak kampania ta stanowi kolejne przypomnienie, że należy aktywnie chronić prywatność online. Zagrożenia dla prywatności są szczególnie duże, jeśli chodzi o różne grupy i mniejszości społeczne, ponieważ zawsze znajdą się osoby chcące dowiedzieć się czegoś więcej na ich temat – powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z firmy Kaspersky.

  • Gospodarka w pogoni za API vs bezpieczeństwo firm

    Gospodarka w pogoni za API vs bezpieczeństwo firm

    Interfejsy programistyczne aplikacji (API) pozwalają organizacjom korzystać z funkcjonalności udostępnianych przez daną aplikację w innej aplikacji. Umożliwia to firmom korzystanie z dostępnych już zasobów, bez konieczności budowania aplikacji od zera. API przekształca modele biznesowe, bezpośrednio generuje przychody, dlatego jego potencjał i skala zastosowania gwałtownie rośnie. Cyberprzestępcy już to wykorzystują.

    W 2015 r., przychody generowane przez API stanowiły w koszyku gigantów takich jak eBay i Salesforce odpowiednio 60% i 50%[1]. W tym samym roku, na forum społeczności API portalu programmableweb.com zarejestrowanych było 12 tys. użytkowników, których liczba w 2019 r. niemal się podwoiła.

    2019 Application Protection Report, opracowany przez F5 Labs, wskazuje, że naruszenia odnotowane w ostatnim roku koncentrowały się na dużych platformach ze znaczną liczbą interfejsów API i aplikacjach mobilnych zależnych od kilku takich interfejsów. Każde wykryte naruszenie było wynikiem źle skonfigurowanej kontroli dostępu. Szeroko otwarte API – czyli zbyt szerokie uprawnienia stanowią więc jedno z największych zagrożeń dla biznesu.

    Biznes ma niską świadomość skali potencjalnych zagrożeń. Tymczasem obserwujemy niepokojący trend – programiści ułatwiający sobie pracę używają dróg na skróty. Dowodzi tego badanie North Carolina State University. Wykazało, że w serwisie internetowym dla projektów programistycznych GitHub, który udostępnia darmowy hosting programów open source i prywatnych repozytoriów wykryto ponad 100 tys. repozytoriów kodów zawierających tokeny API oraz klucze kryptograficzne w postaci tekstu otwartego, do którego jest możliwy dostęp z zewnątrz[2]. Dzięki łatwemu dostępowi do tych zasobów, cyberprzestępcom udaje się pozyskać informacje w ramach całej infrastruktury aplikacji! Dlatego wywołania API, czyli próby połączeń są podatne na ataki przez iniekcję szkodliwego kodu, łamanie haseł i kluczy kryptograficznych oraz szpiegowanie sesji.

    Dobre praktyki API dla bezpieczeństwa biznesu:

    Pełna wiedza – należy dowiedzieć się, gdzie dokładnie w organizacji wykorzystywane są interfejsy API, jakie mają funkcje w operacjach. Warto prowadzić pogłębione wywiady z zespołami ds. rozwoju i operacyjnymi, uzyskać szczegółowe informacje i przygotować oceny ryzyka.

    Uwierzytelnianie – Raport F5 na temat stanu usług aplikacji w 2019 r. wykazał, że 25% ankietowanych organizacji nie korzysta z uwierzytelniania API. 38% stwierdziło, że robiło to „przez pewien czas”, a 37% „przez większość czasu”. To duży problem. Istnieją różne formy uwierzytelniania API i przed podjęciem wyboru zaleca się podejście uwzględniające potencjalne ryzyko. Dane uwierzytelniające są kluczem dostępu do zasobów całej organizacji i powinny być przechowywane w bezpieczny sposób. Może to być kombinacja użytkownik/hasło (dla komputerów lub użytkowników) lub kluczy API (które są uproszczonymi ciągami uwierzytelniania o określonych konkretnych zastosowaniach).

    Autoryzacja – interfejsy API nie powinny przekazywać do aplikacji  nieautoryzowanych lub nieprzefiltrowanych danych wejściowych, ponieważ tworzy to ścieżkę do ataków metodą injection[3]. Dostępy do interfejsu API trzeba traktować zgodnie z zasadą minimalizacji uprawnień. Kontrola dostępu oparta na rolach jest najlepszym rozwiązaniem. Możliwe jest również zdefiniowanie konkretnych sekwencji działań, które odpowiadają konkretnemu przypadkowi użycia interfejsu API.

    Rejestrowanie połączeń API – konieczne jest rejestrowanie i monitorowanie wszystkich połączeń. Dobrą praktyką jest również rejestrowanie zasobów, które są obsługiwane przez interfejsy API.

    Szyfrowanie – coraz częściej szyfrujemy ruch użytkowników w Internecie, a przecież ruch poprzez interfejsy API niczym się nie różni. Szyfrowanie i weryfikowanie certyfikatów w tym obszarze powinno być obligatoryjne.

    Wdrożenie narzędzi bezpieczeństwa API – warto zapoznać się z dostępnymi na rynku rozwiązaniami. Wśród nich można wymienić korzystanie  serwerów proxy lub zapory sieciowej rozpoznającej API celem sprawdzania, weryfikowania i ograniczania żądania dostępu. Niektóre usługi bezpieczeństwa API mogą analizować klienta źródłowego i próbować ustalić, czy żądanie jest uzasadnione czy złośliwe.

    Nieustanne testowanie – systematyczne przeprowadzanie testów jest niezbędne dla aktualizacji zabezpieczeń. Dobrym rozwiązaniem może być również wyznaczenie nagrody za wykrywanie błędów interfejsu API (bug bounty) i zaangażowanie w ten sposób proaktywnych specjalistów ds. cyberbezpieczeństwa.

    Autor: Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland
    [1] https://hbr.org/2015/01/the-strategic-value-of-apis
    [2] https://www.zdnet.com/article/over-100000-github-repos-have-leaked-api-or-cryptographic-keys/
    [3] https://www.f5.com/labs/articles/threat-intelligence/application-protection-report-2019–episode-3–web-injection-attacks
  • Kaspersky udostępnia twórcom narzędzie do testowania aplikacji dla Android

    Kaspersky udostępnia twórcom narzędzie do testowania aplikacji dla Android

    Firma Kaspersky udostępniła publicznie swoją platformę do przeprowadzania automatycznych testów aplikacji dla systemu Android. Narzędzie o nazwie Kaspresso oferuje rozbudowane możliwości konfiguracji i jest łatwe w użytkowaniu. Dzięki Kaspresso twórcy aplikacji mobilnych mogą znacząco zredukować czas poświęcany na testowanie aplikacji, nie martwiąc się przy tym, że przeoczą jakiś błąd, a tym samym przyspieszyć proces wydania aplikacji. Narzędzie zebrało już pozytywne opinie na dwóch konferencjach technologicznych – Mobilization IX oraz Codemotion Berlin 2019.

    Wybór odpowiedniego narzędzia automatycznego testowania, które pozwoli przyspieszyć wydanie aplikacji, może stanowić spore wyzwanie dla twórców aplikacji mobilnych. Obecnie dostępnych jest wiele platform i narzędzi służących do przeprowadzania automatycznych testów, takich jak Espresso czy Appium. Platformy te nie są jednak w stanie rozwiązać wszystkich problemów twórców aplikacji dla systemu Android, takich jak te dotyczące czytelności, zawodności, raportowania czy architektury testów interfejsu użytkownika.

    Wymienione problemy utrudniają twórcom aplikacji mobilnych pisanie czystych, stabilnych oraz łatwych w obsłudze i zrozumieniu testów interfejsu. Z myślą o rozwiązaniu aktualnych problemów firma Kaspersky wprowadziła nowe narzędzie o nazwie Kaspresso służące do testowania aplikacji dla systemu Android. Jest ono oparte na dwóch bibliotekach wykorzystywanych do tworzenia automatycznych testów dla systemu Android – Espresso oraz Kakao. Dzięki włączeniu biblioteki Kakao, Kaspresso poprawia czytelność testów interfejsu użytkownika, sprawiając, że opisy testów osiągają nowy poziom i są bardziej zrozumiałe.

    Kaspresso rozwiązuje ponadto problem niemiarodajnych testów oraz raportowania. W pierwszym przypadku mowa o testach dających nieprzewidywalne wyniki, gdzie każdy negatywny wynik testu wynika z innej przyczyny, mimo że na urządzeniu programisty funkcjonalność działa prawidłowo. Jeśli chodzi o problemy Espresso dotyczące raportów (brak dzienników zdarzeń z samej platformy), narzędzie firmy Kaspersky pozwala na wgląd we wszystkie działania Espresso, a nawet na modyfikowanie ich.

    Kaspresso uwzględnia najlepsze praktyki oparte na wieloletnim doświadczeniu programistów aplikacji mobilnych z firmy Kaspersky. Platforma zawiera rekomendacje dot. architektury umożliwiające ujednolicenie oraz standaryzację testów interfejsu.

    Postanowiliśmy publicznie udostępnić narzędzie Kaspresso, ponieważ stworzenie platformy służącej do przeprowadzania automatycznych testów wymaga wiele wysiłku i znacznych zasobów. Ponadto narzędzia testujące dla systemu Android ułatwiają życie programistom aplikacji mobilnych. Staraliśmy się połączyć w jednym narzędziu najlepsze zasoby oraz praktyki, wykorzystując przy tym nasze własne doświadczenie. Mamy nadzieję, że za pomocą Kaspresso twórcy aplikacji mobilnych będą rozwijali lepsze i bardziej niezawodne aplikacje dla systemu Android z pożytkiem dla użytkowników i całej branży – powiedział Wiktor Jabłokow, dyrektor działu ds. rozwoju produktów mobilnych w firmie Kaspersky.

    Platforma Kaspresso jest dostępna do pobrania na stronie https://github.com/KasperskyLab/Kaspresso

  • Polski biznes z potencjałem na otwarte oprogramowanie

    Polski biznes z potencjałem na otwarte oprogramowanie

    Open source, czyli otwarte oprogramowanie rozwijane przez społeczności, obchodzi w tym roku swoje 21-lecie. Choć na początku kojarzony był głównie ze słabo działającymi pakietami biurowymi i nie wróżono mu sukcesu, z czasem zyskał zwolenników, a jego globalna wartość ma – według prognoz – osiągnąć w 2022 r. kwotę nawet 32,95 mld. dolarów[1]. Mało kto wie, ale obecnie programiści pracujący nad rozwojem nowych aplikacji nawet w 80-90 proc. bazują na otwartych komponentach[2]. Z kompletnych rozwiązań, zaprojektowanych w duchu „wolnego oprogramowania”, korzystają dziś także np. administracje Rzymu czy Barcelony. A świadomie lub nie z oprogramowania typu open source korzystamy wszyscy. Jak jednak pokazuje badanie OVH – mimo że polscy programiści są świadomi zalet rozwiązań open source, to osoby decyzyjne w aż co piątym polskim przedsiębiorstwie są nadal na nie obojętne lub ich nieświadome.

    Open source, czyli know-how wystawione na kradzież

    Nazwą „open source” określamy oprogramowanie, którego kod źródłowy jest udostępniony do powszechnego użytku, dzięki czemu mogą nad nim pracować programiści z całego świata. Do powstania tej filozofii przyczyniło się ponad dwie dekady temu upublicznienie przez firmę Netscape kodu źródłowego bardzo popularnej przeglądarki internetowej Netscape Navigator. To był prawdziwy wstrząs. W tamtych czasach bowiem duże firmy trzymały kody swoich sztandarowych rozwiązań pod kluczem, pilnie strzegąc przed konkurencją i przestępcami. Początkowe obawy o ujawnianie swojego know-how stopniowo jednak malały. Stopniowo do grona wspierającego open source zaczęli dołączać także inni globalni gracze, włączając do wspólnej puli, jak OVH, autorskie patenty. Trend ten wciąż jest rozwojowy i niedawno jeden z gigantów uwolnił około 60 tysięcy patentów związanych z Linuksem.

    Koncepcji open source udało się w ciągu dwóch dekad rozkwitnąć, ponieważ okazało się, że zalet społecznościowego opracowywania oprogramowania jest znacznie więcej niż wad. W efekcie, za pośrednictwem samego GitHub’a i w samym tylko 2018 roku, nad setkami tysięcy projektów pracowały ponad 24 miliony programistów z ponad 200 krajów. Niektóre z tych projektów są dopracowywane do końca, a część służy jako element składowy większych lub bardziej zaawansowanych rozwiązań. Dzięki open source powstało ponadto wiele popularnych programów, takich jak pakiet biurowy LibreOffice, legendarny edytor grafiki GIMP czy najpopularniejszy darmowy edytor audio – Audacity. Prace na otwartym kodzie doprowadziły też do powstania systemu operacyjnego Ubuntu oraz elementów innego – Android OS, z którego korzysta około 2 miliardów użytkowników smartfonów. Wreszcie przyjęło się uważać, że open source jest jednym z motorów rozwoju innowacji w IT.

    Otwarte oprogramowanie, nieskończone możliwości

    Open source to jednak nie tylko aplikacje dla konsumentów. Otwarte oprogramowanie to przede wszystkim spektrum nieskończonych możliwości rozwoju kodu źródłowego przez programistów w skali globalnej. Z rodowodem otwartego oprogramowania funkcjonuje więc też bardzo wiele krytycznych obecnie rozwiązań IT. Obecnie korzystanie z otwartego oprogramowania deklaruje aż 9 na 10 polskich firm z sektora technologii[3]. Jak pokazało badanie przeprowadzone przez OVH – specjaliści, inżynierowie i osoby zarządzające projektami IT największych przewag open source upatrują w niskich kosztach zakupu i utrzymania tego typu rozwiązań. Doceniają też niezależność od wielkich dystrybutorów, a także elastyczność w tworzeniu oprogramowania na własne potrzeby.

    Właśnie ta ostatnia zdaje się przemawiać najgłośniej do innowatorów IT. Open source dostarcza bowiem doskonałe, łatwo dostosowywalne komponenty do budowy własnych, oryginalnych rozwiązań. Ktoś oparł na otwartym oprogramowaniu mobilny system operacyjny, ktoś inny rozwiązania cloud.

    Jak mówi Robert Paszkiewicz, dyrektor sprzedaży OVH Polska: open source to model, który się nie starzeje, dlatego jest także głęboko wpisany w DNA firmy OVH. Opieramy na nim m.in. naszą chmurę publiczną czy usługę zarządzania kontenerami. Lata praktyki pokazują, że moc tkwi w kooperacji i współdzieleniu wiedzy, dlatego chętnie włączamy się w działania propagujące ruch na rzecz otwartego programowania. Wierzymy, że to podejście definiuje przyszłość innowacji IT.

    Otwarty, czyli niebezpieczny?

    Idea open source ma też jednak grono przeciwników. Jednym z argumentów, który często pojawia się w ustach krytyków jest ten, że otwartość może ułatwiać hakowanie. Jak tłumaczy Robert Paszkiewicz, OVH: Już samo słowo „otwarty” może sugerować, że kod dostępny do wglądu dla każdego łatwo może stać się pożywką także dla przestępców. W praktyce jednak to właśnie w otwartości tkwi siła open source – dzięki temu, że kod jest wciąż rozwijany i mają do niego dostęp użytkownicy z całego świata, a nie tylko zamknięta grupa programistów, jak ma to miejsce w przypadku rozwiązań komercyjnych. Wszelkie luki mogą zostać łatwiej znalezione i – co za tym idzie – szybciej załatane. Nie jest także prostym wprowadzenie tzw. „backdoor’a” (luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania) właśnie z uwagi na monitoring wielu osób.

    Jako najpoważniejszą wadę otwartego oprogramowania ankietowani przez OVH wymienili brak gwarancji profesjonalnego wsparcia technicznego – sytuacja ta jednak odchodzi do lamusa. Początkowo użytkownicy open source rzeczywiście mogli liczyć głównie na pomoc społeczności, co jednak sukcesywnie zmienia się wraz z angażowaniem się w ruch otwartego oprogramowania dużych korporacji. Niektórzy z zapytanych przez OVH jako wadę open source wymieniali także problemy z kompatybilnością wsteczną.

    Zamknięci na otwarte, zamknięci na przyszłość

    Jak pokazują doświadczenia z całego świata, oprogramowanie bazujące na wolnej licencji to już rzeczywiste poligony doświadczalne, generujące impuls rozwojowy dla takich kluczowych gałęzi, jak data science czy uczenie maszynowe (przykładowo na GitHub’ie znajduje się już 295 repozytoriów). Jak natomiast wynika z badań OVH, polskie firmy IT wciąż stronią od korzystania z open source, i to kierując się powielanymi, stereotypowymi argumentami – prawie 19 proc. zapytanych przez OVH specjalistów IT uważa, że firma, w której pracuje, nie korzysta w sposób świadomy z tego modelu. Wiele jest więc jeszcze do zrobienia.

    [1] https://www.marketsandmarkets.com/PressReleases/open-source-services.asp
    [2] według firmy doradczej Forrester
    [3] https://linuxpolska.pl/aktualnosci/badanie-polski-rynek-open-source-2018/
  • Koń trojański na Androida czyta wiadomości z WhatsAppa

    Koń trojański na Androida czyta wiadomości z WhatsAppa

    Złośliwe oprogramowanie szpiegujące, które wciąż pozostaje w fazie tworzenia, jest w stanie odczytywać wiadomości oraz inne poufne dane przesyłane przez użytkowników za pośrednictwem aplikacji WhatsApp.

    Jeden z użytkowników Twittera odkrył nowy przykład złośliwego oprogramowania na system Android, o którym natychmiast poinformował w tweecie. Oprogramowanie to wyposażone jest w wiele funkcji szpiegujących, jak na przykład przesyłanie historii przeglądarki, zdjęć, bazy danych aplikacji WhatsApp, w której przechowywane są wszystkie wiadomości. Nie jest na razie jasne, do jakich celów zostało stworzone. Złośliwe oprogramowanie składa się z funkcji MainActivity.class uruchamiającej nową usługę – OwnMe.class. Kod źródłowy powiązanych plików jest odnajdowany w tym miejscu na stronie Github użytkownika earthshakira. OwnMe.class to rozszerzenie klasy Android Service. Chwilę po przywołaniu startService() wykonana zostaje funkcja onStartCommand().

    onStartCommand

    Najpierw pojawia się wyskakujące okienko adresowane do użytkownika z informacją „Service started” (co pozwala sądzić, że ten przykład złośliwego oprogramowania jest nadal w fazie rozwoju). Przestępcy bowiem dążą do tego, by ich działania były jak najbardziej ukryte po to, by nie wzbudzać wśród użytkowników żadnych podejrzeń.

    Ponadto funkcja definiuje wiele zmiennych, takich jak upLoadServerUri, android_id, username (nazwa użytkownika), obiekty JSON ping i handshake. Obiekt handshake zawiera informację o pustym polu baterii oraz pustym polu cpu. Puste pola, nieprzypisane nigdzie indziej, również potwierdzają stwierdzenie, iż ten przykład złośliwego oprogramowania jest nadal dopracowywany i w danej chwili nie jest aktywnie wykorzystywany. Po zakończeniu tej procedury złośliwe oprogramowanie przechodzi dalej, do funkcji startExploit().

    startExploit i connectWebSocket

    Gdy złośliwe oprogramowanie ma dostęp do Internetu, w następnej kolejności uruchamia funkcję connectWebSocket(), która przy dostępie do Internetu łączy z ws://ipofthec2:8080. Po otrzymaniu informacji z serwera wykonywana jest funkcja onMessage() z otrzymaną informacją jako parametrem. Następnie tworzy ona obiekt JSON v8, następnie przypisywany do uzyskanego parametru wiadomości. Jeśli przypisanie v8 się nie powiedzie, do serwera przesyłana jest wiadomość null.

    Funkcjonalności złośliwego oprogramowania

    Screenshot

    W przypadku, gdy wiadomość zawiera słowo „screenshot”, element response (odpowiedź) uzyskuje wartość none (brak), a elementowi type (typ) przypisywana jest wartość response (odpowiedź) obiektu JSON v8. Na tym etapie nie dochodzi jednak do przywołania faktycznej funkcji screenshot i w tym momencie nic nie zostaje przesłane do serwera, co jeszcze mocniej potwierdza założenie o ciągłym doskonaleniu tej funkcji.

    WhatsApp

    W przypadku, gdy wiadomość zawiera słowo “whatsapp”, przywołana zostaje funkcja uploadWhatsApp(), która wykonuje to, co sugeruje jej nazwa: ładuje bazę danych WhatsApp do web c2 w oparciu o następujące zapytanie: “ipofthec2/db/upload_whatsapp.php.

    username i android_id  pochodzą z uprzednio zdefiniowanych zmiennych ramach funkcji onStartCommand().

    Browserhistory (Historia przeglądarki)

    W przypadku, gdy wiadomość zawiera słowo “browserhistory”, element response z obiektu JSON v8 otrzymuje zwrotną wartość funkcji getHistory().

    Funkcja getHistory() wysyła string zawierający wartości id, tytuł, czas, url i wizyty z zakładek użytkownika. GetHistory() obecnie dostarcza jedynie zachowane zakładki, a nie faktyczną historię przeglądarki mobilnej, co mogłaby sugerować nazwa funkcji.

    Contacts (Kontakty)

    W przypadku, gdy wiadomość zawiera słowo “ contacts”, element response z obiektu JSON v8 otrzymuje zwrotną wartość funkcji getContacts().

    getContacts() zczytuje kontakty z telefonu i dostarcza odpowiedzi w postaci _id kontaktu, wyświetlanej nazwy (display_name) oraz numerów telefonu, jeśli są one dostępne.

    Calllog (Historia połączeń)

    W przypadku, gdy wiadomość zawiera słowo “calllog”, element response z obiektu JSON v8 otrzymuje zwrotną wartość funkcji getCallLogs().

    Jeśli aplikacja nie posiada zezwolenia android.permission.READ_CALL_LOG, funkcja getCallLogs() odpowie komunikatem „No permission” (brak zezwolenia). W przeciwnym razie kontakty zostaną przeszukane i zostaną dodane wartości nazwa, numer, typ, data i czas trwania do obiektu JSON, następnie odesłane w postaci stringu.

    Fetch

    W przypadku, gdy wiadomość zawiera słowo „fetch”, element response z obiektu JSON v8 otrzymuje zwrotną wartość funkcji getBase64(v8.get(“path)).

    getBase64() tworzy nową bitmapę w oparciu o dostarczony parametr, którą powinna być lokalna ścieżka pliku obrazu. Gdy obraz przekracza szerokość 480, zostanie on przeskalowany i skompresowany. Wynik zostanie przesłany w postaci stringu w formacie base64.

    Gallery (Galeria)

    W przypadku, gdy wiadomość zawiera słowo „gallery”, element response z obiektu JSON v9 otrzymuje zwrotną wartość funkcji v4.get(v5).toString(). Ta zwrotna wartość zawiera ścieżkę, folder i stronę z karty SD. Element id uzyskuje wartość android_id, element page wartość bieżącej strony, a total ilość dostępnych stron.

    Funkcja mWebSocketClient.send() przesyła te dane do połączenia WebSocket. Proces powtarza się do momentu, gdy pętla osiągnie maksymalną liczbę dostępnych stron.

    Camera (Aparat)

    W przypadku, gdy wiadomość zawiera słowo “camera”, przywołana zostaje funkcja openCameraVideo() wraz z parametrem typu kamery (tylna lub przednia) i liczbą ramek.

    Gdy aktywna wersja SDK urządzenia jest mniejsza niż 21, otwarty zostaje konkretny aparat, który robi zdjęcie (to zdjęcie nie jest przesyłane na serwer). W przeciwnym razie przywołana zostaje funkcja takePictureR().

    Funkcja takePictureR() zasadniczo wykonuje zdjęcie na urządzeniu z systemem Android posiadającym wersję SDK wyższą niż 21. Zdjęcie to jest następnie kodowane w oparciu o base64 i umieszczane w obiekcie JSON, a w dalszej kolejności przesyłane do połączenia WebSocket.

    UpdateBattery

    Ta funkcja dostarcza informacji o aktualnym poziomie baterii i zużyciu procesora. Jednak nie ma ona zastosowania przy sprawdzaniu treści wiadomości, jak miało to miejsce w przedstawionych powyżej przypadkach komend, dlatego nie jest jeszcze w aktywnym użyciu.

    Brak komendy

    W przypadku, gdy w wiadomości nie zostanie znaleziona żadna komenda, obiekt JSON v8 dodaje wartość „error” (błąd) i „no command found” (nie znaleziono komendy), a następnie odsyła do połączenia WebSocket.

    Trwałość

    Klasa BootCompletedIntentReceiver.java extends rozszerza klasę BroadCastReceiver. W przypadku otrzymania nowej transmisji funkcja onReceive() sprawdza, czy string “android.intent.action.BOOT_COMPLETED” jest tożsamy z zakładanym działaniem. Jeśli tak faktycznie jest, OwnMe.class zostaje uruchomione jako usługa. Oznacza to, że za każdym razem, gdy urządzenie skończy się uruchamiać, zainicjowana zostanie złośliwa aplikacja.

  • Luka Zero-Day w zabezpieczeniach systemu Windows

    Luka Zero-Day w zabezpieczeniach systemu Windows

    Na tweeterze @SandboxEscaper została ostatnio opublikowana wiadomość o świeżo ujawnionej luce zero-day, w której autor nie kryje swojej frustracji, jaką wywołuje u niego stosowany przez Microsoft proces ujawniania błędów w oprogramowaniu.

    W tweecie zamieszczono link do dowodu poprawności (PoC – ang. Proof of Concept) dotyczącego rzekomej luki zero-day w zabezpieczeniach w GitHub, zachęcając analityków bezpieczeństwa do zapoznania się z zarzutami i ich weryfikacji.

    Na podstawie oceny analityka zagrożeń CERT/CC, Phila Dormanna, błąd został zweryfikowany; potwierdzono, że stwarza on zagrożenie dla komputerów pracujących pod kontrolą w pełni spatchowanego 64-bitowego systemu Windows 10, umożliwiając atakującym uzyskanie uprawnień administratora systemu.

    Nie jest jasne, czy exploit zero-day będzie skuteczny na wszystkich, wspieranych przez Microsoft, wersjach systemu Windows, w tym 32-bitowych, ale i tak bez wątpienia jest to powód do niepokoju – PoC jest przecież dostępny publicznie i może być z łatwością użyty przez sprawców zagrożeń – komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.

    Wprawdzie, żeby luka mogła być wykorzystana, exploit zero-day wymaga bezwzględnie spełnienia określonych warunków – ofiara musi pobrać i wykonać zainfekowaną aplikację, to jednak jest to często stosowana metoda ataku, szczególnie w przypadku ataków typu APT (Advanced Persistent Threats) i spearphishing .

    Program do planowania zadań (Task Scheduler) systemu Microsoft Windows zawiera lukę w funkcji rozszerzania lokalnych uprawnień w interfejsie ALPC (Advanced Local Procedure Call), która pozwala lokalnemu użytkownikowi uzyskać uprawnienia SYSTEMU – czytamy w poradniku CERT/CC. – CERT/CC nie ma obecnie pomysłu na praktyczne rozwiązanie tego problemu.

    Chociaż nie ma pewności, czy Microsoft był wcześniej powiadamiany przez @SandboxEscaper o omawianym przypadku zero-day, tweet sugeruje, że kontakt z Microsoftem nie był pozytywny.

    Po incydencie rzecznik Microsoftu stwierdził, że firma „zareaguje na ujawnione zagrożenia tak szybko, jak to możliwe”

  • Kod źródłowy Snapchata wyciekł i został opublikowany na GitHub

    Kod źródłowy Snapchata wyciekł i został opublikowany na GitHub

    Snap- firma macierzysta Snapchat, ujawniła, że tegoroczna ​​aktualizacja do aplikacji społecznościowej przypadkowo wyeksponowała część kodu źródłowego.

    Snap twierdzi, że aktualizacja do wydania Snapchat na iOS przypadkowo ujawniła „niewielką ilość” kodu źródłowego, a firma była w stanie zidentyfikować swój błąd i natychmiast go naprawić.

    Snapchat obawia się, że niektóre z ujawnionych kodów zostały opublikowane online na GitHub przez nieautoryzowane strony – fakt ten został dostrzeżony i ujęty we wniosku Digital Millennium Copyright Act (DMCA), mówiącym o wycieku kodu źródłowego.

    Część poleceń DMCA brzmi następująco:

    ** Podaj szczegółowy opis oryginalnego dzieła chronionego prawem autorskim, które rzekomo zostało naruszone. Jeśli to możliwe, podaj adres URL do miejsca, w którym został opublikowany online. ** Kod został usunięty z GitHub pod DMCA, ale to nie gwarantuje, że nie będzie się pojawiać w innych częściach Internetu lub że nieznane strony mogłyby zarchiwizować kod do swoich własnych celów.

    Snap powiedział Motherboard, że naruszenie bezpieczeństwa nie naruszyło Snapchat i „nie miało wpływu na naszą społeczność”.

    Według raportu „The Next Web” konto Twittera, które należy do osoby, publikującej kod źródłowy online, sugeruje, że zostało opublikowane na GitHub po niepowodzeniu próby skontaktowania się z Snapchat.

    Można sobie wyobrazić, że gdyby nieautoryzowana strona zdołała uzyskać dostęp do niektórych kodów źródłowych Snapchat, które sugerowałyby poważne naruszenie bezpieczeństwa, to należałoby oczekiwać, że będzie ona rywalizować o sporą nagrodę, jeśli zostanie ujawniona w sposób odpowiedzialny.

    Mowa tutaj o sporym kodzie źródłowym do popularnego programu, który wypłynął pomimo zabezpieczeń firmy, co może oznaczać, że były one nie wystarczające. Jeśli tak dużej firmie jak Snap, zdarzyły się takie błędy i zagrożenie tak dużymi stratami, to co dopiero grozi zwykłym użytkownikom, którzy nie bronią wcale swoich maszyn. – komentuje Mariusz Politowicz, Inżynier techniczny Bitdefender z firmy Marken

    Publikowanie kodu źródłowego Snapchat zdecydowanie nie jest najlepszym sposobem na zwrócenie uwagi firmy, która w przeszłości wypłacała prawie ćwierć miliona dolarów za usługi HackerOne i zwykle odpowiada na wstępną komunikację od badaczy w ciągu 12 godzin.

    Uważa się, że kod Snapchat mógł być dostępny na GitHub przez ponad dwa miesiące.

  • Twitter wprowadza fizyczne zabezpieczenia

    Twitter wprowadza fizyczne zabezpieczenia

    Twitter dał milionom użytkowników sposób na jeszcze lepsze sposoby ochrony swoich kont przed włamaniami wprowadzając obsługę fizycznych kluczy.

    Większość użytkowników Twittera chroni swoje konta w tradycyjny sposób: nazwa użytkownika i hasło. Podobnie jak w przypadku każdego innego konta internetowego, takie zabezpieczenia są narażone na wiele zagrożeń, w tym próby wyłudzenia informacji lub nierozważne wybieranie tego samego hasła, którego używają w innym miejscu w Internecie.

    Jest to główny powód, dla którego hakerzy mieli możliwość włamania się na tak wiele kont na Twitterze.

    Do sław, które stały się ofiarami należą: FC Barcelona, ​​CNN, Burger King, dyrektor generalny Google, Sundar Pichai, wikipedysta Jimmy Wales i Mark Zuckerberg.

    Jednym z najbardziej znanych włamań na konta Twittera miało miejsce w 2013 r., gdy Syryjska Armia Elektroniczna zdołała przejąć kontrolę nad kontem Twitter Associated Press i opublikowała wiadomość, że w Białym Domu wybuchła eksplozja, a Barack Obama został ranny.

    Ten fałszywy raport strącił 61 miliardów dolarów (przez chwilę) z indeksu Dow Jones.

    Jeśli jesteś rozsądny, dołożyłeś większych starań niż tylko ustawienie hasła, aby chronić swoje konto na Twitterze, i włączyłeś weryfikację dwuetapową w postaci „Weryfikacji logowania”. To stanowi dodatkową przeszkodę w procesie logowania, ponieważ wymaga podania kodu wygenerowanego przez aplikację innej firmy, np. Google Authenticator i Authy.

    Dla większości osób ten poziom ochrony prawdopodobnie wystarczy.

    Ale co, jeśli chcesz pójść jeszcze dalej i chcesz zapewnić jeszcze wyższy poziom bezpieczeństwa fizycznego na swoim koncie na Twitterze?

    Jeśli tak, to będziesz zainteresowany czytaniem wiadomości ukrytych w poście na blogu, opisującym najnowsze kroki Twittera w celu zwalczania spamu i nadużyć w witrynie.

    Twitter ujawnił, że można teraz używać fizycznego klucza bezpieczeństwa USB, który obsługuje uniwersalny standard dwuskładnikowy (U2F) podczas logowania do weryfikacji logowania.

    Ten klucz zbliżeniowy wymagają od zalogowanego użytkownika fizycznego naciśnięcia przycisku, aby potwierdzić tożsamość, a ponieważ działa on tylko na prawdziwej stronie Twittera, zapewnia wysoki poziom ochrony przed stronami phishingowymi.

    Inne strony internetowe obsługujące klucze sprzętowe FIDO U2F – które mają taki sam rozmiar i kształt, jak typowy napęd USB – obejmują Google, Facebook, Dropbox, GitHub i SalesForce.

    Rozwiązanie bezpieczeństwa nie jest oczywiście odpowiednie dla wszystkich kont na Twitterze. Na przykład, jeśli użytkownik ma konto na Twitterze, które jest współdzielone przez wielu użytkowników, stanie przed oczywistym wyzwaniem, aby wszyscy mieli dostęp do tego samego fizycznego klucza bezpieczeństwa.

    Dobrze jest wiedzieć, ze bezpieczeństwo na Twitterze jest sukcesywnie ulepszane, a także przykłada się większą wagę do unowocześniania metod ochrony kont, które są w grupie największego ryzyka. Fizyczne klucze bezpieczeństwa do weryfikacji logowania znacznie utrudnią włamywanie się na konta użytkowników – komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.

  • Cisco wprowadza nowe funkcjonalności

    Cisco wprowadza nowe funkcjonalności

    Podczas konferencji Cisco Live w Orlando, Cisco zaprezentowało nowe funkcjonalności deweloperskie w ramach swojej sieci intuicyjnej. Ich wprowadzenie stanowi kontynuację wcześniejszych działań Cisco, zmierzających ku stworzeniu otwartej, programowalnej platformy obejmującej całe środowisko sieciowe, od sieci kampusowej po centrum danych, od oddziałów po brzeg sieci. Zapewniając dostęp do otwartej sieci, Cisco umożliwia 500,000 deweloperów, 60,000 partnerów oraz trzem milionom inżynierów sieciowych tworzenie innowacji w oparciu o swoją platformę.

    Sieć intuicyjna (Intent-Based Networking) jest fundamentalną zmianą w podejściu do budowy i zarządzania siecią. Umożliwia odejście od manualnych, czasochłonnych sposobów zarządzania siecią na rzecz tworzenia polityk sieciowych w oparciu o założenia biznesowe. Polityki te są następnie automatycznie aktywowane w ramach całej infrastruktury, co daje pewność, że cele biznesowe zostaną zrealizowane zgodnie z planem.


    Platforma DNA Center

    Podczas konferencji Cisco Live zaprezentowano nowe narzędzia dla deweloperów oraz otwarty interfejs programowania aplikacji (API) w ramach Cisco DNA™ Center — centrum dowodzenia i kontroli dla sieci kampusowych, oddziałów oraz brzegowych sieci intuicyjnych. DNA Center pozwala na przekształcenie sieci składającej się z grupy urządzeń w pojedynczy spójny system. Cisco umożliwia teraz deweloperom łatwe programowanie tego systemu poprzez wykorzystanie danych analitycznych oraz informacji dostępnych w ramach sieci.

    Dzięki bogatemu katalogowi API, DNA Center daje użytkownikom niespotykane dotąd możliwości ochrony i przepływu informacji w obrębie ich organizacji.

    • Wykorzystanie inteligencji sieci w działaniach biznesowych: DNA Center umożliwia deweloperom programowanie sieci jako pojedynczego systemu za pomocą intuicyjnych interfejsów programowania aplikacji. Deweloperzy mogą teraz łatwo tworzyć nową generację aplikacji „świadomych” kontekstu sieciowego, a partnerzy zyskują możliwość integracji sieci z procesami biznesowymi.
    • Usprawnienie procesów IT w ramach wszystkich funkcji: DNA Center umożliwia administratorom sieciowym wymianę informacji w celu automatyzacji procesów w ramach systemów IT poprzez adaptery programowe. Działy IT mogą teraz zaoszczędzić czas poświęcany na działania operacyjne i wykorzystać go na innowacje.
    • Zarządzanie sieciami od wielu dostawców: DNA Center zapewnia deweloperom i partnerom elastyczność w zakresie obsługi sieci od wielu dostawców za pośrednictwem pakietu oprogramowania deweloperskiego (SDK). Pozwoli to klientom nie tylko uprościć złożoność heterogeniczych sieci, ale także zarządzać nimi jak jednym systemem.

    Już 15 partnerów Cisco zbudowało innowacyjne rozwiązania oparte na platformie DNA Center i demonstruje je podczas Cisco Live.

    Największa społeczność deweloperów aplikacji dla sieci intuicyjnych

    Cisco poinformowało także, że jej społeczność deweloperów, DevNet, przekroczyła liczbę 500 000 członków. Budując tę dużą i aktywną grupę, Cisco wprowadziło nowe źródło innowacji, w dobie bardziej programowalnych sieci.

    Podczas konferencji Cisco ogłosiło trzy nowe inicjatywy deweloperskie, które jeszcze bardziej napędzą ekosystem innowacji firmy:

    • DevNet Ecosystem Exchange ułatwi znalezienie i udostępnienie aplikacji lub rozwiązania zbudowanego dla platform Cisco. Liderzy biznesowi i programiści będą mogli korzystać z tego portalu aby odkryć rozwiązania partnerów obejmujące wszystkie platformy i produkty Cisco. Katalog zawiera ponad 1300 rozwiązań.
    • DevNet Code Exchange to miejsce dzielenia się oprogramowaniem w celu szybkiego tworzenia aplikacji nowej generacji i integracji przepływu pracy. Szczegółowo dobrana lista próbek kodu, narzędzi i zestawów SDK jest dostępna w serwisie GitHub i napisana przez społeczność Cisco i DevNet. Code Exchange obejmuje całe portfolio Cisco i jest zorganizowane zgodnie z platformami i obszarami produktowymi firmy.
    • DevNet DNA Developer Center to punkt kompleksowej obsługi dla deweloperów, ułatwiający tworzenie aplikacji i ich integrację na platformie DNA Center. Zapewnia wszystkie potrzebne zasoby, możliwości, przykłady zastosowania i materiały do nauki. 

    Dostępność, usługi i wsparcie

    • Nowe funkcje DNA Center będą dostępne latem 2018 roku. Klienci będą mogli je nabyć od Cisco i partnerów firmy za pośrednictwem istniejących ofert subskrypcji.
    • DevNet Ecosystem Exchange, Code Exchange, oraz DNA Developer Center są już dostępne dla użytkowników.
    • Cisco, razem z siecią partnerów, oferuje pełen cykl życia usług, aby wesprzeć klientów w procesie wdrażania prawdziwie intuicyjnej sieci.
  • Microsoft przejmuje GitHub

    Microsoft przejmuje GitHub

    W weekend pojawiły się w sieci doniesienia o prowadzonych negocjacjach pomiędzy przedstawicielami Microsoftu i GitHuba dotyczące przejęcia platformy przez MS. Szczegóły mają zostać podane niebawem. Na ten moment nie znana jest jeszcze wartość transakcji.

    Rok temu platforma GitHub była wyceniana na 2 mld dolarów. Nie wiadomo jednak, na jakiej kwocie zakończyły się negocjacje między firmami, ale przypuszcza się, że może być to nawet 5 mld dolarów. Microsoft zdaje się wracać do swojej pierwotnej strategii i znów skłania swoje działania w stronę programistów. Platforma GitHub ma ponadto wesprzeć działania giganta w zakresie sztucznej inteligencji.

    Do zakupu platformy przymierzał się również Google, jednak ostatecznie to Microsoft będzie nowym właścicielem. GitHub, pomimo swoich problemów finansowych, jest łakomym kąskiem. Z platformy korzysta obecnie około 23 mln użytkowników generujących przychód firmy w wysokości 200 mln dolarów miesięcznie. Pomijając kwestie finansowe, taki zakup jest efektywny z punktu widzenia strategii obecnego CEO Microsoft’u, co podkreśla Bloomberg.

    Aktualizacja

    Microsoft poinformował, że kwota transakcji przejęcia wynosi 7,5 mld dolarów, znacznie więcej niż przypuszczano. Nabycie platformy przez giganta ma nastąpić do końca roku kalendarzowego. Jednocześnie zapewniono o utrzymaniu niezależności platformy. Programiści będą nadal mogli używać języków programowania, narzędzi i systemów operacyjnych według własnego wyboru, jak również będą mogli nadal wdrażać swój kod w dowolnym systemie operacyjnym, chmurze i urządzeniu. Prezesem GitHub zostanie obecny Wiceprezes Microsoft – Nat Firedman, zaś obecny dyrektor generalny zostanie specjalistą technicznym Microsoft.

    Microsoft spodziewa się, że przejęcie platformy wpłynie na dochód operacyjny w 2020 roku w ujęciu innym niż GAAP, a wartość zamykanej firmy zasili część segmentu inteligentnej chmury Microsoft.

  • Inżynier Bitdefendera znajduje poważną lukę w systemie Windows

    Inżynier Bitdefendera znajduje poważną lukę w systemie Windows

    Wygląda na to, że Microsoft ma dziurę w zabezpieczeniach swoich systemów. Dotyczy to zarówno Windows 7 jak i Windows 10. W lipcu 2017 r. Marius Tivadar z zespołu naukowego Bitdefender odkrył exploit w systemach operacyjnych Windows, który umożliwia każdemu kto ma fizyczny dostęp do komputera, wywołanie BSOD (z ang. Blue Screen of Death – niebieski ekran z poważnym błędem systemu), poprzez proste podłączenie pamięci USB z oprogramowaniem. Badacz powiadomił o błędzie Microsoft, lecz ten niewiele w sprawie zrobił. Teraz Marius pojawia się ze szczegółami i demonstruje swoje odkrycie, aby podnieść świadomość o luce.

    To, co czyni ten exploit tak niebezpiecznym jest fakt, że BSOD można wymusić nawet jeśli system Windows jest zablokowany. Tivadar pisze: „Można wygenerować BSOD za pomocą ręcznego obrazu NTFS. Atak typu Denial of Service (przyp. red. atak, ma na celu uniemożliwienie działania poprzez przeciążenie maszyny lub aplikacji) może być przeprowadzony z trybu użytkownika bez praw administratora”.

    Dalsza weryfikacja doprowadziła do odkrycia, że ta sama luka znajduje się w Windows 7 Enterprise, Windows 10 Pro i Windows 10 Enterprise. Atak jest możliwy, ponieważ funkcja Windows Auto-Play jest domyślnie włączona, co powoduje, że system automatycznie daje dostęp do napędu USB. W efekcie odnaleziony w obrazie NTFS kod jest uruchamiany. Jednak nawet wyłączenie automatycznego odtwarzania nie spowoduje całkowitego wyeliminowania problemu.

    Dowolny program, który próbuje uzyskać dostęp do dysku USB (np. automatyczne skanowanie systemu przez Windows Defender), uruchomi BSOD.

    Ten rodzaj ataku może przynieść wyjątkowo duże straty , szczególnie jeśli luka znajdzie zastosowanie w serwerowym systemie operacyjnym – komentuje Mariusz Politowicz, inżynier techniczny Bitdefender w firmie Marken Systemy Antywirusowe, która jest oficjalnym przedstawicielem marki Bitdefender w Polsce.

    Tivadar jest szczególnie zaniepokojony, że może się to zdarzyć w przypadku zablokowanej maszyny. „Zdecydowanie uważam, że to zachowanie powinno zostać zmienione, nie należy podłączać nieznanej pamięci USB nawet,  gdy system jest zablokowany. Takie zachowanie można w prosty sposób wykorzystać, a scenariuszy wykorzystania takiego złośliwego oprogramowania są tysiące”.

    Jaka była zatem reakcja Microsoftu na wyniki Tivadara? Według pracowników z Redmond „Wiele hałasu o nic”. Odpisali oni bowiem Mariusowi, że jego odkrycie odnosi się tylko do fizycznego dostępu do komputera. Taki błąd według producenta najpopularniejszego systemu operacyjnego nie spełnia wymagań do wydania poprawki bezpieczeństwa. Natomiast analityk Microsoftu docenił Tivadara za ujawnienie luki. W wiadomości zwrotnej żywi nadzieje, że dalej będzie on testować zabezpieczenia ich produktu.

    Tivadar siedział cicho przez prawie rok po swojej początkowej odpowiedzi z Microsoftu i najwyraźniej nadal nie jest zadowolony z braku działania w tej kwestii; stąd jego ostatnie opublikowanie dokumentacji [ PDF ], przykładowe wideo (link) i plik obrazu NTFS na GitHub.

  • 25 faktów na temat Red Hat

    25 faktów na temat Red Hat

    Dwadzieścia pięć lat temu świat wyglądał zupełnie inaczej. W Stanach Zjednoczonych galon benzyny kosztował 1,16 dol.; „Park Jurajski” był najbardziej dochodowym filmem na świecie; Nelson Mandela otrzymał Pokojową Nagrodę Nobla, Pałac Buckingham po raz pierwszy otworzył drzwi przed zwiedzającymi, CERN opublikował kod źródłowy sieci WWW, a w Polsce odbył się pierwszy koncert Wielkiej Orkiestry Świątecznej Pomocy. Wtedy też na jednej z konferencji technicznych doszło do spotkania drobnego przedsiębiorcy z pewnym geekiem komputerowym, które doprowadziło do założenia firmy Red Hat.

    Od tego czasu organizacja przebyła długą drogę. Dzisiaj z okazji świętowania 25-lecia działalności, Red Hat spogląda w przeszłość, przypominając zarówno kluczowe momenty w swojej historii, jak i podając mniej znane fakty.

    1. Red Hat założono 26 marca 1993 r.
    2. Nazwa firmy wywodzi się od założyciela Marca Ewinga, który nosił czerwoną czapkę do lacrosse’a z Uniwersytetu Cornella. Dostał ją od swojego dziadka, kiedy studiował na Uniwersytecie Carnegie Mellon.
    3. Red Hat uczestniczy w ponad 450 projektach open source obejmujących wszystkie aspekty stosu oprogramowania, od systemu operacyjnego i narzędzi deweloperskich do oprogramowania pośredniczącego, desktopu i chmury.
    4. Red Hat Linux pojawił się po raz pierwszy w 1994 r., a jego październikowe wydanie nosiło jakże trafną nazwę Halloween.
    5. Pierwsza oferta publiczna Red Hat odbyła się 11 sierpnia 1999 r.
    6. Od czasu wejścia na giełdę Red Hat przejął ponad 25 firm. Pierwszy zakup nastąpił w 1999 r., kiedy nabyto niektóre aktywa Atomic Vision, studia designerskiego z San Francisco, w celu ulepszenia witryny internetowej redhat.com.
    7. Obecne logo Red Hat zostało opracowane w 2000 r. Widnieje na nim ikona Shadowmana, który stał się punktem odniesienia dla społeczności open source. W 2018 r. zainicjowano otwartą inicjatywę w celu unowocześnienia i uproszczenia firmowego logo i marki.
    8. W 2002 studio DreamWorks wydało film Mustang z Dzikiej Doliny, który wyprodukowano z wykorzystaniem Linuksa.
    9. Red Hat przedstawił system Red Hat Enterprise Linux (początkowo nazywany Red Hat Linux Advanced Server) w 2002 r. i stał się pionierem modelu subskrypcji open source.
    10. Red Hat zorganizował swoją pierwszą konferencję Summit w 2005 r. w Nowym Orleanie.
    11. Red Hat nabył dostawcę middleware JBoss 5 czerwca 2006 r.
    12. Pierwsza konferencja partnerska Red Hat odbyła się w 2007 r. z udziałem siedmiu partnerów. Dziś w konferencjach partnerskich na całym świecie biorą udział setki partnerów.
    13. Red Hat stworzył swoją obecną misję przedsiębiorstwa poprzez dwie rundy zgłaszania propozycji i otwartą debatę pomiędzy ponad 400 pracownikami Red Hat w 2009 r.
    14. Red Hat przeniósł swoją siedzibę do Raleigh w 2012 r.
    15. W 2012 r. Red Hat stał się pierwszą firmą zajmującą się wyłącznie technologiami open source, której obroty przekraczają miliard dolarów – osiągnął wówczas przychody sięgające 1,13 mld dol.
    16. Podczas konferencji Red Hat Summit 2015 przyznano pierwsze nagrody Women in Open Source Awards. Nagrody te wyróżniają kobiety, które wnoszą ważny wkład w projekty i społeczności open source albo promują metodologie open source.
    17. 2 czerwca 2015 r. Jim Whitehurst, dyrektor generalny Red Hat, wydał swoją książkę The Open Organization, Igniting Passion and Performance we współpracy z wydawnictwem Harvard Business Review Press.
    18. W roku obrachunkowym 2016 Red Hat uzyskał łączne przychody w wysokości 2 mld dol.
    19. 16 października 2015 r. Red Hat przejął Ansible, startup specjalizujący się w automatyzacji IT.
    20. W 2016 r. na głównej scenie Red Hat Summit odbył się ślub, którego udzielił Paul Cormier, prezes ds. produktów i technologii.
    21. 100-milionowe żądanie pobrania kodu z GitHuba nastąpiło 31 maja 2017 r. i było związane z aktualizacją OpenShift.
    22. Kiedy Red Hat otwierał swoje centrum Open Innovation w Singapurze w 2017 r., uroczystości obejmowały tradycyjny, przynoszący szczęście chiński taniec smoka.
    23. Red Hat ma ponad 200 patentów, a w 2017 r. rozszerzył swoją Obietnicę Patentową z 2002 r., aby stworzyć strefę nieegzekwowania patentów dla ponad 99 proc. oprogramowania bezpłatnego i open source.
    24. 71-procentowy udział Partnerów Red Hat w drodze produktów na rynek w czwartym kwartale roku obrachunkowego 2017 podkreśla ich wielkie znaczenie dla firmy.
    25. Aby uświetnić 25. rocznicę istnienia firmy, gubernator Karoliny Północnej Roy Cooper oraz burmistrz miasta Raleigh Nancy McFarlane ogłosili 26 marca 2018 r. Red Hat Day odpowiednio w Karolinie Północnej i w Raleigh.
  • Atak DDoS na serwis GitHub. Co było przyczyną?

    Atak DDoS na serwis GitHub. Co było przyczyną?

    Kilka dni temu popularny serwis programistyczny GitHub odnotował kilkuminutową przerwę w funkcjonowaniu strony. Okazało się, że problem spowodowany był atakiem DDoS, podczas którego napastnicy zalewali serwery GitHub niewyobrażalną ilością danych. W szczytowym momencie ruch osiągnął przepustowość 1,35 terabajta na sekundę, co wskazywałoby na rekordową ilość. Nic bardziej mylnego.

    Rekordowa liczba danych, która „zalewała” serwery

    Rekord ten został pobity zaledwie po 4 dniach. Podczas kolejnego ataku hakerzy wykorzystali praktycznie niemożliwą ilość danych. Serwer Arbor Networks osiągnął przepustowość 1.7 terabajta na sekundę! Dla porównania, atak DDoS przeprowadzony na dostawcę DNS Dyn w październiku 2016 roku wyniósł 1,2 Tb/s. Jak widać problem był naprawdę poważny.

    Atak na Dyn został zainicjowany przez botnet Mirai, który przechwycił miliony słabo strzeżonych urządzeń IoT. Działanie ataku DDoS jest bardzo łatwe do wytłumaczenia. Przechwycone przez hakerów urządzenia miały na celu zbombardowanie serwerów zapytaniami, wskutek czego wszystkie wolne zasoby zostały zajęte, a największe portale takie jak Netflix, Spotify, Reddit czy Twitter korzystające z usług atakowanej firmy przestały działać.

    Przyczyna? Nieprawidłowa konfiguracja, którą wykorzystali przestępcy

    Ataki na serwery GitHub oraz Arbor Networks przeprowadzono wykorzystując nieprawidłowo skonfigurowane serwery Memcached. Jest to usługa, która pomaga w zarządzaniu dużym ruchem na stronie. Internetowi przestępcy są w stanie wykorzystywać serwery memcached w celu wzmocnienia ataków na ukierunkowaną usługę online. Przestępca próbujący zaatakować swoją ofiarę poprzez fałszywy adres UDP jest w stanie wysłać paczkę danych do serwera memcache zmuszając go wysłania aż 50 tysięcy razy więcej danych w odpowiedzi.

    „Podczas, gdy internetowa społeczność wspólnie zbliża się do zamknięcia dostępu do wielu otwartych serwerów memcached, liczba ataków na tego typu serwery będzie rosła. Warto więc pamiętać, aby dla dobra naszych interesów na bieżąco aktualizować swoje systemy zabezpieczeń i mieć oko na wszelkie podejrzane czynności dziejące się na naszych serwerach. By być pewnym, że dane są w stu procentach bezpieczne należy upewnić się, że UDP jest całkowicie odizolowany od serwerów memcached. „ – sugeruje Mariusz Politowicz certyfikowany inżynier rozwiązań Bitdefender w Polsce.