Hoppa till huvudinnehåll

2023-09-08

NSO-gruppen iPhone noll-klick, nolldagsexploatering fångad i naturen

  • Apple har släppt en uppdatering för att åtgärda en zero-click-sårbarhet som upptäckts av Citizen Lab, som utnyttjades för att distribuera NSO Groups Pegasus-spionprogram.
  • Exploitkedjan, som kallas BLASTPASS, kan kompromettera iPhones som kör den senaste iOS-versionen utan att offret behöver göra något. Som svar på detta utfärdade Apple två CVE:er (Common Vulnerabilities and Exposures), identifieringskoder för allmänt kända säkerhetsrisker.
  • Användare rekommenderas att uppdatera sina enheter och aktivera låsningsläge, vilket kan blockera denna attack. Denna incident understryker att det civila samhällets organisationer är måltavlor och behovet av deras cybersäkerhetsstöd.

Reaktioner

  • Diskussionen kretsar kring NSO Group, ett israeliskt cybersäkerhetsföretag som kritiserats för att sälja klickfria zero-day exploits för iPhones, med farhågor om att auktoritära stater använder deras programvara för att övervaka och förtrycka aktivister och journalister.
  • Frågor som Apples begränsningar i Lockdown Mode, iMessage-säkerhet, säkerhetsåtgärdernas effektivitet och behovet av starkare skydd för att åtgärda sårbarheter behandlas, inklusive de potentiella konsekvenserna av regionlåsning av iPhone.
  • Debatten omfattar förslag på hur säkerheten kan stärkas, t.ex. fuzzing, användning av minnessäkra språk (t.ex. Rust), övervinnande av sandboxbegränsningar samt vikten av etiska överväganden och lagstiftningsåtgärder inom cybersäkerhetsbranschen.

Chrome spårar nu användare och delar en "ämneslista" med annonsörer

  • Google har introducerat en ny annonsplattform i Chrome kallad "Privacy Sandbox", som övervakar användarnas aktivitet för att anpassa en lista över reklamämnen för webbplatser.
  • Medan Google ser detta som ett nödvändigt alternativ till spårningskakor från tredje part - och planerar att blockera dessa i slutet av 2024 - föreslår kritiker att man föreställer sig en värld utan riktade annonser.
  • Chrome-användare kan styra den här funktionen via sina webbläsarinställningar, vilket ger en viss grad av kontroll över processen.

Reaktioner

  • Diskussionen omfattar många ämnen som rör webbläsare, t.ex. integritetsfrågor, spårningsmetoder, effekter på konkurrensen, introduktion av nya funktioner och annonser, webbläsarens prestanda och behovet av strängare regler.
  • Samtalet sträcker sig till möjliga alternativ till vanliga webbläsare som Google Chrome, robotar på webbplatser, avvägningen mellan säkerhet och användarvänlighet, strängar i användaragenten och Googles behandling av användardata.
  • Dessa diskussioner understryker de rådande debatterna och farhågorna om webbläsare och användarnas integritet.

Kagi Liten Webb

  • Kagi, en plattform för webbsökning, har introducerat Kagi Small Web, ett innovativt initiativ som fokuserar på att öka synligheten för "Small Web", vilket beskrivs som det icke-kommersiella segmentet av internet.
  • Denna nya tjänst samlar in färska data från handplockade bloggar, visar dem i sina sökresultat och erbjuder även ett RSS-flöde. Den har öppen källkod och innehåller en speciellt sammanställd lista med nästan 6 000 verifierade webbplatser. Kagi Small Webs mål är att ge en mer personlig sökupplevelse, lyfta fram mindre kända aspekter av webben och betona betydelsen av den lilla webben.
  • Kagi har också presenterat Kagi Small Web, en plattform som fungerar utan JavaScript för att möjliggöra användarinteraktioner som att uppskatta inlägg och ta anteckningar. Användare kan komma åt Kagi Small Web via ett RSS-flöde eller API, och ge feedback eller bidra via olika plattformar.

Reaktioner

  • Kagi, en sökmotor för mindre webbsidor, har introducerat en ny funktion, "Small Web", som uttryckligen visar innehåll från oberoende bloggar och webbplatser.
  • Även om Kagi hyllas för sitt användarvänliga gränssnitt, engagemang för integritet och värde, finns det viss kritik mot dess införlivande av länkar till centraliserade plattformar som Twitter, vilket leder till förslag på ersättare som Mastodon eller federerade, fria programvaruval.
  • Trots osäkerheten kring skalbarhet och affärsmodeller finns det en allmän känsla av entusiasm och stöd för Kagis nya initiativ.

Mullvad på Tailscale: Privat surfning på webben

  • Mullvad, en integritetsfokuserad VPN-tjänst (Virtual Private Network), har gått samman med Tailscale för att ge Tailscale-kunder möjlighet att använda Mullvads VPN-servrar. Detta partnerskap förbättrar användarnas integritet och säkerhet under webbsurfning.
  • Tailscale, som skapar en privat internetmiljö, fungerar som ett samordningslager mellan enheter och Mullvads nätverkskant, vilket garanterar end-to-end-kryptering och integritet.
  • Även om Tailscale känner till användarnas identiteter delar de inte personlig information med Mullvad, vilket ytterligare understryker integritetsaspekten. Detta partnerskap möjliggör olika användningar av Mullvads exit-noder med Tailscale.

Reaktioner

  • Det centrala temat i artikeln kretsar kring virtuella privata nätverk (VPN) och webbproxies, och belyser deras potentiella risker och olika perspektiv på deras användning.
  • Den innehåller ett detaljerat fokus på integrationen av Tailscale och Mullvad, två VPN-tjänster, och diskuterar deras fördelar och begränsningar.
  • Fokus ligger på integritet, censurfrågor och användning av VPN för att få tillgång till begränsat innehåll på internet.

Nordkoreansk kampanj riktad mot säkerhetsforskare

  • Googles Threat Analysis Group ger en uppdatering om en nordkoreansk kampanj riktad mot säkerhetsforskare som fokuserar på forskning och utveckling av sårbarheter.
  • De regeringsstödda aktörerna använder 0-dagars exploits, etablerar kontakt med sina mål via sociala medier och skickar sedan skadliga filer med hjälp av krypterade meddelandeplattformar.
  • Gruppen har skapat ett Windows-verktyg som kan ladda ner och exekvera ospecificerade koder från en domän som kontrolleras av en angripare. Google vidtar för närvarande åtgärder för att skydda sina användare och sprida resultaten inom säkerhetsgemenskapen.

Reaktioner

  • Nordkoreanska hackare har riktat in sig på säkerhetsforskare med skadlig kod via GitHub, vilket har väckt frågor om säkerheten vid användning av öppen källkod.
  • Diskussionerna fördjupas i potentiella hot, inklusive komprometterade underhållare, missbruk av GitHub-stjärnor och frågor kring tillskrivningen av cyberattacker till Nordkorea.
  • Samtalet utforskar också de nordkoreanska hackarnas utbildning, rekryteringstaktik och levnadsförhållanden, och väcker debatt om trovärdigheten i underrättelserapporter och de risker som dessa hackare utgör.

Microsoft kommer att ta ansvar för juridiska upphovsrättsrisker för Copilot

  • Microsofts nya Copilot Copyright Commitment försvarar kunder mot stämningar om upphovsrättsintrång relaterade till användningen av Microsofts Copilot-tjänster eller deras genererade resultat.
  • Åtagandet gäller för betalversioner av Copilot-tjänster och innebär att kunderna måste använda innehållsfilter och avstå från att generera material som utgör intrång.
  • Microsofts åtgärd syftar till att stå bakom sina kunder, ta ansvar för eventuella juridiska problem från produktanvändningen och säkerställa främjandet av AI-mål, respekt för upphovsrätt, konkurrens och innovation.

Reaktioner

  • Microsoft har lovat att stå för alla upphovsrättsliga risker i samband med sitt Copilot AI-verktyg på grund av användarnas oro över potentiella upphovsrättsintrång och effekterna på det bredare kodarkivet.
  • Det pågår en debatt om lagligheten och rättvis användning av generativ AI vid innehållsskapande, med särskilt fokus på dess skärningspunkt med upphovsrättslagstiftningen och behovet av ett rättsligt klargörande.
  • Diskussioner har också uppstått om ansvarsfrågan i samband med användning av Copilot och hur verkställbart Microsofts åtagande egentligen är. Diskussionen innehåller skilda åsikter, där vissa ifrågasätter upphovsrätten för vissa kodavsnitt och andra betonar respekten för immateriella rättigheter.

Tailscale har ingått partnerskap med Mullvad

  • Tailscale har inlett ett samarbete med Mullvad VPN, så att deras kunder kan använda båda tjänsterna parallellt.
  • Partnerskapet innebär att Tailscales kunder kan nå sina enheter via Tailscales mesh-nätverk och skicka utgående anslutningar via Mullvad VPN:s WireGuard-servrar.
  • Samarbetet ger användarna en högre grad av funktionalitet och mångsidighet.

Reaktioner

  • Tailscale har inlett ett samarbete med Mullvad, ett företag som är väl förankrat inom området internetsäkerhet och integritet.
  • De närmare detaljerna kring detta partnerskap och vad det kan komma att innebära är för närvarande inte offentliggjorda.

Textuell webb: TUI för webben

  • Textual Web är ett projekt som omvandlar Textual-stödda terminalapplikationer till webbapplikationer, vilket eliminerar behovet av brandväggs- och portkonfigurationer.
  • Det förenklar delning av applikationer via URL-adresser, vilket gör utveckling av webbappar mer lättillgänglig för Python-utvecklare som saknar erfarenhet av webbutveckling.
  • Framtida uppdateringar syftar till att införliva ytterligare API:er för webbplattformar och stöd för att bygga terminal-, webb- och desktopappar från samma kodbas. Just nu är Textual Web-projektet i offentlig betaversion.

Reaktioner

  • I artikeln undersöks konceptet textuella användargränssnitt (TUI) och hur det kan jämföras med grafiska användargränssnitt (GUI), vilket belyser deras potentiella samexistens.
  • Den lyfter fram vissa verktyg, som AutoCAD och Emacs, som erbjuder både TUI- och GUI-alternativ, vilket visar på flexibiliteten i utformningen av användargränssnittet.
  • Appen Textual, ett ramverk för utveckling av TUI för Python, introduceras, och några användares erfarenheter och synpunkter på Textual presenteras, vilket ger en faktisk tillämpning och reaktion på TUI.

Mojo är tillgänglig för lokal nedladdning

  • Mojo, ett högpresterande programmeringsspråk skräddarsytt för AI-utvecklare, är nu redo för lokal nedladdning. Det integreras med Python, vilket gör det möjligt att använda hela Mojos funktionsuppsättning, inklusive kompileringsfunktioner och IDE-verktyg.
  • Mojo Software Development Kit (SDK) erbjuder verktyg som Mojo Driver, ett Visual Studio Code-tillägg och Jupyter-integration. Det gör det möjligt för utvecklare att utnyttja Python-prestanda och få tillgång till Python-ekosystemet på ett smidigt sätt.
  • Framtidsplanerna för Mojo inkluderar öppen källkod för vissa delar av språket för vidareutveckling och förbättring.

Reaktioner

  • Samtalet fokuserar på Mojo, ett programmeringsspråk, med farhågor kring dess licensmodell, slutna källkod och oklara framtid inom öppen källkod.
  • Användarna är ovilliga att investera tid i Mojo på grund av dess slutna källkodsaspekt och osäkerheten kring skaparnas öppenhet.
  • Det råder delade meningar om Mojos syntaxstil, prestanda och dess effektivitet jämfört med Python för programmering och maskininlärning.

Grindr förlorar nästan hälften av sin personal på grund av 2-dagars RTO-krav

  • HBTQ-dejtingappen Grindr har sett ca 45% av sin personalstyrka säga upp sig efter att ha infört en strikt back-to-office-policy mitt i fackföreningsplanerna.
  • Grindrs policy krävde att anställda arbetade personligen två dagar i veckan, annars riskerade de att bli uppsagda.
  • Följaktligen var cirka 80 av 178 anställda tvungna att säga upp sig på grund av att de inte höll med om företagets nya strategi.

Reaktioner

  • I denna sammanfattning diskuteras vissa frågor, nämligen personalnedskärningar på Grindr och anklagelser om felaktig hantering av anställda och potentiella säkerhetshot.
  • Den noterar Elon Musks påstående att Twitters annonsintäkter minskade på grund av Anti-Defamation League (ADL) och Center for Countering Digital Hate (CCDH).
  • Sammanfattningen innehåller också en diskussion om de kostnader som uppstår vid förvaltningen av ett programvaruföretag, skillnaden mellan företag som programvaruföretag och deras förmåga att anpassa sig till marknadens krav via programvaruabonnemang.