```
Федеральная служба по техническому и экспортному контролю (ФСТЭК) считает очень высокой стоимость российского программного обеспечения, заявил заместитель директора ФСТЭК Виталий Лютиков на пленарной сессии BIS Sammit, передает корреспондент РБК.

Замдиректора отметил, что «российские производители, увидев спрос на свои товары, подняли цены в десятки раз». При этом, по его словам, качество отечественного софта хуже, чем у зарубежных аналогов, а цены — выше.

В свою очередь, директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух не согласился с мнением ФСТЭК и отметил, что стоимость готовых решений российского софта в последние три года ежегодно увеличивается на 15–20%. По его словам, встречается и более значительное повышение цен, в случае если заказчик просит разработчика добавить нужную ему функциональность.
```

ФСТЭК назвала очень высокой стоимость российского ПО
https://www.rbc.ru/technology_and_media/19/09/2024/66ec00a19a79470f7395891d

```
Ситуация на рынке труда в IT-сфере складывается непредсказуемо, в отрасли информационной безопасности наблюдается дефицит «сеньоров» из-за резкого спроса со стороны работодателей. Для усиления кибербезопасности многим компаниям теперь нужны кандидаты с опытом. Таким мнением 16 сентября с «Известиями» поделилась руководитель рекрутинга системного интегратора по информационной безопасности «Бастион» Альбина Семушкина.

По ее словам, одним из вызовов, который тормозит наем, является быстрый рост финансовых запросов кандидатов.

«Они увеличились в 2–2,5 раза по сравнению с прошлым годом. Основная причина — высокий уровень конкуренции за кадры. Многие кандидаты переходят из одной компании в другую с целью повышения заработной платы. Сейчас организации либо ждут, пока студенты окончат вузы, либо открывают стажировки, где можно обучить кандидата в соответствии с задачами компании», — отметила Семушкина.
```

https://iz.ru/1759747/2024-09-16/ekspert-rasskazala-o-nepredskazuemosti-situatcii-na-rynke-truda-v-it-sfere

As announced today, the OpenSearch Project is now part of the newly formed OpenSearch Software Foundation, a community\-driven initiative under the Linux Foundation. This marks a major milestone in the history of the OpenSearch Project, and we couldn’t be more excited to share our thoughts on what this means to the OpenSearch community.

Building the future of OpenSearch together
https://opensearch.org/blog/building-the-future-of-OpenSearch-together/

Today, the Linux Foundation, the nonprofit organization enabling mass innovation through open source, announced the launch of the OpenSearch Software Foundation, a community\-driven initiative that will support OpenSearch and its search software, which is used by developers around the world to build search, analytics, observability, and vector database applications. Hosted by the Linux Foundation, the OpenSearch Software Foundation will work with community maintainers and developers, as well as founding member organizations, to support the continued growth of OpenSearch.

Linux Foundation Announces OpenSearch Software Foundation to Foster Open Collaboration in Search and Analytics
https://www.linuxfoundation.org/press/linux-foundation-announces-opensearch-software-foundation-to-foster-open-collaboration-in-search-and-analytics

Наша постоянная рубрика

Обновляем гитлабчики ???

Run pipelines as any user An issue was discovered in GitLab CE/EE affecting all versions starting from 15.8 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which could allow an attacker to trigger a pipeline as another user under certain circumstances. This is a critical severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6). It is now resolved in the latest release and is assigned CVE\-2024\-5655.

GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/

Я пропал на месяц и наверное многим будет интересно что происходило:

На прошедшей конференции PHD2 я сделал доклад, в котором осветил уязвимости в C# и сервисах Microsoft. Многих заинтересовал вопрос, почему я не связался с Microsoft по этому поводу. Отвечаю: я связывался, но, к сожалению, они просто закрыли мои тикеты без объяснения причин.

Уже после доклада на PHD2 я обнаружил новую технику, позволяющую отправлять письма от любого user@domain. И снова мои попытки связаться с Microsoft оказались безуспешными.

Тогда я написал об этом в X(запрещенная на территории Российской Федерации социальная сеть). Пост набрал уже 120 тысяч просмотров и привлёк внимание таких изданий, как Forbes и TechCrunch и многих других. Западные СМИ начали публиковать статьи о том, как Microsoft проигнорировали мои обращения.

После этого Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#, которая оставалась нерешённой с апреля.

Вышел замечательный прецедент, как общественное давление, сопровождаемое освещением в СМИ, смогло победить некомпетентность крупного вендора.

Forbes

New Security Warning For 400 Million Outlook Users As Email Bug Revealed

Beware of Outlook emails purporting to be from Microsoft. A security researcher has disclosed an unpatched spoofing vulnerability that impacts all 400 million users.

Примечательно, что новый владелец удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользователи посчитают автоматический переход инициативой авторов изначально открываемых сайтов.

Ну это охуенно

```
Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, стали жертвой вредоносных изменений, внесённых в код библиотеки новым владельцем проекта. В библиотеку, загружаемую на сайты через домен cdn.polyfill.io, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино.

Проект Polyfill в феврале был продан компании Funnull из Китая, которая получила доступ к учётной записи на GitHub и сайту polyfill.io. Спустя несколько месяцев после приобретения новый владелец организовал жульническую схему монетизации, связанную с перенаправлением части пользователей на сомнительные сайты. Перенаправление срабатывало с некоторой вероятностью, в определённые часы и при соблюдении условий, таких как открытие сайта с мобильного телефона и отсутствие Cookie, сигнализирующих, что страницу открыл администратор сайта. При выявлении на сайте систем web-аналитики, редирект задерживался на несколько секунд, чтобы не засветиться в статистике таких систем.
```

Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов
https://www.opennet.ru/opennews/art.shtml?num=61440

Вместе с летом приходит время эээкспериментов!

Многие хотя бы краем уха слышали про журнал Xakep. Но помимо коммерческих журналов в международной хакерской культуре существуют e-zine, которые делают комьюнити для комьюнити — например, это Phrack, tmpout и Paged Out!.

Мы хотим запилить нечто похожее и ищем авторов, готовых поделиться с миром своими исследованиями, проектами и интересными находками:

? вы написали крутую тулзу или собрали DIY-проект, и хотите рассказать об этом?
? разобрались в подводных камнях в какой-нибудь теме — от ядерной эксплуатации WinXP до SDR и премудростей ИИ?
?‍? наткнулись на необычный CTF-таск и считаете, что о нём должно узнать больше людей?
? любите ASCII-art и поразмышлять о киберпанке?
~~? считаете, что сцена уже не та и хотите поныть об этом?~~

Мы не ограничиваемся конкретными темами и объёмом — можно предложить как небольшую заметку, так и полноценную статью. Если есть что рассказать или остались вопросы, пишите @g1inko

Akiba Hackspace | Как нас найти? | Чат | YouTube