Штош, маргинальные вы наши
#ненуачо

Аэрофлотик, как там DR? Тоже все хорошо?

У вас впервые прибыльные кварталы шли и вы экономили на ИБ и кибербезе? Только не надо прикрываться аутсорсом в другие ИБ и ИТ компании, ок?

Вы серьезно? Или вашему менеджменту консалтеры с коучами съели остатки мозгов?

UPD: https://www.tg-me.com/aeroflot_official/2978

UPD2: согласно публичной отчётности, компания тратит 858 млн руб на вопросы цифровой безопасности, что лишь добавляет вопросов

UPD3: Задело только 54 рейса из 260, бронирование и табло снова заработало к 23:00

UPD4: Руководству компании еще в январе сообщали о признаках посторонней активности в периметре.

Просто напоминалочка

Технология Wi-Fi оказалась эффективной для слежки за людьми. Метод идентификации личности разработан в Италии и основан на информации о состоянии канала беспроводного интернета.

Технология WhoFi позволяет повторно идентифицировать человека в других местах. И работает даже без устройств с модулем Wi-Fi. В России Wi-Fi продвигается как технология, защищающая от сбоев мобильного интернета.

В последнее время всякие пидоры под госмандатами стали заниматься очень наглым сбором информации с телефонов для неопределенного круга лиц, поэтому в свете очередного мессенджера на базе украинских компонентов решил пользоваться Shelter, как средством ограничения слишком стрёмных приложений. WA - туда же.
#Android

А что там с пассажирскими онлайн функциями РЖД, оно приуныло?

На злобу непогоды дня.
+1 история "Ошибки капитального строительства"

"Жила была одна компания, которой досталось здание то ли от ночного клуба, то ли от сауны, то ли от того и другого вместе. Компания не занималась ничем вышеупомянутым, так что пришлось приспосабливать помещения под обычную офисную деятельность.
И был там бассейн, в котором уже давно никто не плескался. Долго ли, коротко ли, но решили этот бассейн использовать под серверную, а прямо в чашу бассейна стойки и поставили.

Водопровод, разумеется, перекрыли. Да вот случилась непогода сильная, лютая. Затопило все ливнёвки и канализацию. И оказалось, что водопровод то в бассейне перекрыли, а вот слив в канализацию нет.
И организовалось стихийное жидкостное охлаждение иммерсионное прямо для всего серверного хозяйства. С понятным результатом."

На фоне очередных успехов очередного ЦОДа с питанием
+1 история "Ошибки капитального строительства"

Компания организовала 2 ввода, 2 (!) ДГУ, АВР (автоматический ввод резерва). Все по красоте!

Случается инцидент по питанию - всё ложится, питания нет.

А разгадка одна:

2 ввода, АВР - они только на входе. Раз у нас все хорошо и резервировано, то после АВРа в машзал идет один луч питания с одним автоматом.
Этот автомат и сгорел.

Очередная атака на цепочку поставок:

https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/

Это отличная новость

Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого в репозитории пакета с пакетом полученным на основе пересборки из эталонного исходного кода, соответствующего заявленной версии пакета.

В настоящее время в OSS Rebuild реализована поддержка верификации пакетов из репозиториев NPM (JavaScript/TypeScript), PyPI (Python) и Crates.io (Rust). В будущем число поддерживаемых репозиториев планируют расширить. На практике инструментарий позволяет выявлять варианты атаки класса "supply chain", в ходе которых после компрометации учётных записей сопровождающих или диверсии внутри проекта в репозитории публикуется вредоносное обновление. При этом код в исходном репозитории основного проекта остаётся корректным, а вредоносные изменения вносятся только в готовые пакеты.

Система по возможности автоматически формирует сценарий для воспроизводимой сборки выбранного пакета, используя эвристику и подбирая параметры, позволяющие добиться идентичности артефактов, поставляемых в пакете. Если автоматически не удаётся воспроизвести размещённый в репозитории пакет, возможно ручное добавление сборочной спецификации. После того как удалось воспроизвести пакет, инструментарий OSS Rebuild сохраняет описание процесса сборки для последующей проверки новых версий пакета. Дополнительно публикуется информация для верификации с использованием фреймворка SLSA.

После проведения проверки конкретной версии пакета формируются данные аттестации, которые могут использоваться другими для оценки уже верифицированных пакетов. Проверку можно осуществить через запуск утилиты командной строк или сверку хэша, сохранённого в отдельном облачном хранилище. Инфраструктуру для проверки пакетов можно развернуть на собственном сервере. Так же можно воспользоваться информацией о проверках, выполняемых в Google для нескольких тысяч пакетов.

Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах
https://www.opennet.ru/opennews/art.shtml?num=63613

Репа
https://github.com/google/oss-rebuild

Оригинал
Introducing OSS Rebuild: Open Source, Rebuilt to Last
https://security.googleblog.com/2025/07/introducing-oss-rebuild-open-source.html

Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words https://opennet.ru/63656/

Впереди у нас нейронная смерть сообществ. Люди перестанут ценить комментарии и участвовать в комментировании. Спасибо ИИ за это.

К новости о том, что личный аккаунт Павла Дурова удалён из Telegram от редакции канала «Лобушкин» добавим, что подобное Павел Валерьевич практикует раз в год. Вот новость от 24 июля 2024 года: www.tg-me.com/lobushkinflash/12758

@lobushkin