11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Следующая неделя получится жаркой на конференции. 22-23 ноября случится IT Elements, конференция про сети и инфраструктуру ― базовые элементы, которые создают надежный ИТ-фундамент компании.
50 спикеров, 20 кейсов, 20 демо, выставка ИТ-решений, обмен отраслевым опытом и нетворкинг во все поля.
Среди спикеров замечены ребята из Яндекса, Московской биржи, Райффайзен Банка, Лаборатории Касперского, S7 Group и др. А если вглядеться, то и линкмиап есть.
Основные темы:
▪️Chaos Engineering. Управляемый краш-тест вашей инфраструктуры
▪️White Box и сетевые фабрики
▪️Миграция виртуальной инфраструктуры без хардкора
▪️Переход к platform engineering для инфраструктурных команд
▪️Есть ли в России SD-WAN?
▪️Перспективы развития отечественных процессоров и других серверных компонентов
▪️Сквозь облака: Как инфраструктура становится кодом, а DevOps-платформа — мостом к новым горизонтам
▪️Non-legacy monitoring: построение системы мониторинга предприятия на основе IAC и ITAM практик
▪️Что с отечественной разработкой ПО на сетевое оборудование?
▪️Топ-5 болевых точек российского VDI
▪️DevNetOps. Автоматизация процесса эксплуатации и внедрения сети
▪️YDB — создание универсальной платформы управления данными для транзакций и аналитики
▪️Как мигрировать сеть. Специфика миграций сетевых фабрик
▪️Как я пытался импортозаместить банк топ-5 и не смог
За вход денег не берут: Регистрация
Давно я не вытаскивал эту статью, но снова пора вспомнить классику. Как правильно работать с кредами в поше и не быть тем самым каноническим дурачком с паролями в явном виде.
https://social.technet.microsoft.com/wiki/contents/articles/4546.working-with-passwords-secure-strings-and-credentials-in-windows-powershell.aspx
Ну и продолжая тему культа Бога-мащины. Есть у японцев храм Kanda, где по сходной цене можно приобрести аутентичный амулет омамори для адептов IT секурити. Амулет заверенный, с активированной лицензией, работает удалённо, клеить полагается на ноутбук.
https://en.wikipedia.org/wiki/Kanda_Shrine
Зачем взламывать принтеры, если они и так не работают?
Или их починить пытаются?
А если серьёзно, то по ссылке интересный обзор о том, как взламывались разные модели на Pwn2Own и сколько платят их разработчики за подобные уязвимости.
https://devco.re/blog/2023/10/05/your-printer-is-not-your-printer-hacking-printers-pwn2own-part1-en/
Интересное развитие недавних (да и давних тоже) историй про утечки NTLM. В большинстве случаев там всё было завязано на 445/SMB порт, что неплохо блокируется фаерволами. Но если немного постараться, то всё то же самое легко делается на любом порту, включая банальный 80.
P.S. На самом деле, у меня уже дико давно горит, что установщику офиса нельзя простым путём объяснить, что мне нужна только святая троица из ворда-экселя-поверпоинта, а не вот эти все аксесы/ванноуты и прочее барахло сверху.
https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-forced-authentication-attacks/
Штош, с подачи милой барышни погнали делиться, кто насколько уютный домашний мамкин сетевик.
I'll go first: пара кинетиков в типа-mesh с типа-роумингом и пара tp-link powerline, дабы стационарная техника не засирала радиоэфир. Счастливы абсолютно все. Никаких шкафов, стоек и прочих серверов в шкафу.
Вопрос к знатокам теории: wrap-speed это сколько? Киношку дома посмотреть хватит или нужен double-wrap-speed?
Читать полностью…
Сие исследование пару недель назад наделало несколько шума, хотя и не там, где ожидалось. Бомбалейла произошла в лагере точно знающих, что уехали абсолютно все и не осталось никого. А реальность, она оказалась какой оказалась, и не всем её легко принять.
Коротенько по пунктам:
- Число открытых вакансий и найм вырос на 18%. Благодаря уходу вендоров, во все локальные проекты деньги хлынули безудержным потоком, а новые (и в том числе потенциальные) клиенты начали строчить списки пожеланий по функциональности. Так что количество вакансий только растёт и конца этой динамике не видно.
- В лидеры найма (традиционную тусовочку финтехов) с ноги ворвались ребята из Yadro, ОЦРБ, Haulmont и прочие занимающиеся софтом и железом. Пока одни увольняли, другие стояли у выхода из офисов и забирали себе под крыло целыми командами.
- Региональная айтишка в росте не отстаёт от столиц. Лепо.
- Джуном быть всё ещё плохо. Не так плохо как раньше, но весёлого всё ещё мало.
https://technokratos.com/blog/18
И прямая ссылка на презу: https://disk.yandex.ru/i/6lPRrspkcIFuIA
Cloudflare продолжает удивлять своими отчётами. С одной стороны, приятно ознакомиться, с другой, все проблемы какие-то ну не того масштаба, который от них ожидаешь.
Электричество кончилось и кины не будет. Отказоустойчивость, гео-распределённые системы, кластера, реплики, к чему это всё, если можно просто пожаловаться на электричество.
https://blog.cloudflare.com/post-mortem-on-cloudflare-control-plane-and-analytics-outage/
Не сетями едиными!
Вечером 21 ноября C++ User Group Moscow и YADRO устраивают совместный офлайн митап и зовут в гости в ДК РАссвет, недалеко от метро "Улица 1905 года".
В программе:
- Доклад «Как работает (и не работает) lifetime extension» от Елены Степановой, техлида в команде телекома (YADRO)
- Доклад «C++ 23 глазами практикующего системного программиста» от Ильи Казакова, разработчика в команде систем хранения данных (YADRO)
- Дискуссия о технических собеседованиях с Константином Владимировым (Syntacore), Ильей Шишковым (ex-Яндекс) и Еленой Степановой.
Регистрация обязательна - приходите очно или подключайтесь к эфиру!
Пока вы спали, в Австралии прилёг Optus – оператор, занимающий примерно треть рынка. Прилёт на все деньги: интернет, телефония, мобилки – всё или лежит, или успело полежать.
Самое смешное, что спустя уже 7 (или сколько там) часов лёжки, официальная причина, по которой всё упало, звучит примерно так: "Да мы как-то и сами не поняли, что случилось". Судя по графикам, более-менее всё подняли, но с мест сообщают, что имеет место классическое "Тут починили – там сломалось".
Бригады интернет-экспертов постановили, что во всём виноват BGP-флуд, хотя на местах всё обмазано RKPI. Но что-то там с ним происходит странное, потому что были зафиксированы анонсы невалидных маршрутов.
https://radar.cloudflare.com/as4804?dateRange=1d
https://ioda.inetintel.cc.gatech.edu/asn/4804
В идеях хранения ключей от криптокошельков граждане способны зайти очень далеко. Иногда даже слишком. Тут товарищ заморочился и придумал записать на VHS в нужное время кадр с ключом в виде QR кода.
Но это ещё ладно. Он же ещё додумался хранить ключ внутри сейвов на своей N64. Очень коварно. С одной стороны, всё лежит на видном месте, с другой стороны, там никто даже не подумает искать.
Наконец-то найдено объяснение, зачем ты на даче продолжаешь хранить VHS кассеты. Ну кроме того, что там всё перезаписано порнухой, само собой.
https://www.404media.co/no-one-will-find-my-bitcoin-in-this-copy-of-perfect-dark-for-the-n64/
Интересный заход на проблему поиска уязвимых драйверов и возможности их багаюза со стороны защищающейся команды. Это, конечно, не метасплоитом вебсервисы тыкать. Абсолютно другой уровень знаний и подготовки.
https://blogs.vmware.com/security/2023/10/hunting-vulnerable-kernel-drivers.html
У кого ещё от этой картинки в голове автоматически начинает проигрываться реклама? Пепси, пейджер, мтв...
После этой статьи тему пейджеров можно закрывать, ибо в ней, кажется, написано если не всё, то практически всё.
https://habr.com/ru/companies/timeweb/articles/767534/
Уважай L1, юзернейм.
А то вдруг кто узнает, что ты не слышал про синфазные и квадратурные сигналы. Неудобно получится...
https://habr.com/ru/articles/769112/
В копилку хороших генераторов трафика: в Postman накрутили функций тестирования производительности API и теперь можно локально генерить всякого на основе реальных данных. Ну и всё это красивенько, с гуйчиком, курсорчиком и интерактивчиком.
https://blog.postman.com/introducing-postmans-api-performance-testing-troubleshooting-features/
Нет, это, конечно, не поп, окропляющий стойки святой водой, но пойдёт.
P.S. ALL HAIL THE MACHINE SPIRIT!
Эталонный жабогадюкинг намечается.
Государства (примерно все) не верят авторам браузеров. А те, в свою очередь, отказываются устанавливать царёвы CA root. Причём обе стороны прикрываются словами про защиту граждан/пользователей. Поэтому в бой вступает госрегулирование и топает ножкой, дабы обязать устанавливать свои корневые сертификаты. Правда, это топанье ножкой пока никого особо не заботит кроме диванных экспертов.
https://www.eff.org/deeplinks/2023/11/article-45-will-roll-back-web-security-12-years
Пояснения от бригады: евросоюз уже давно спать не может оттого, что не имеет никакой возможности влиять на происходящее в браузерных CA root certificate. Там много красивых слов про безопасность и заботу, но все прекрасно понимают, что суть проблемы исключительно в происхождении текущего набора и его полной зависимости от прихоти ровно одного государства. А другим тоже хочется, да.
Им уже даже из мозилы красивое письмо написали, куда идти. Даже подписей от звучных контор собрали, а они всё не уймутся.
https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf
P.S. Большой привет свидетелям открытого и свободного интернета, который живёт где-то там в их фантазиях.
Дело поуехавших продолжает жить своим чередом. Перемещаемся с нашими героями туда, где потеплее и нет ничего кроме вина и Криштиану Роналду – в Португалию.
https://boosty.to/linkmeup/posts/2575fb40-f406-46b1-9d95-6704f1555f8b
https://sponsr.ru/linkmeup/44390/Pouehavshie_30_Portugaliya
https://www.patreon.com/posts/pouekhavshie-no-92710225
Мы стартуем 129-й выпуск telecom - про сети в шоу-индустрии.
И начнём с центра Сфера в Лас-Вегасе - для его работы нужен целый встроенный дата-центр
https://www.youtube.com/watch?v=fOYVts0REYw
https://live.linkmeup.ru/
И тут я подумал: а почему у нас на митапе не было ни одного доклада от телефонистов?
https://habr.com/ru/articles/770274/
По слухам(чисто птичка напела, вы не подумайте) уже совсем скоро начнут рассылать апрувы на nexthop 2023. Так что ещё есть шанс и возможность заполучить билетик.
А если вы сомневаетесь, то в расписании второго зала есть нечто душевное, ламповое и секретное. Мы сами ничего не знаем, но активно вам подмигиваем ;)
https://nexthopconf.com/
При общении с современными ноутами у меня подгорает от двух вещей:
1. Когда зарядка и/или наушники вставляются с правой стороны. Кроме как заговором левшей я такое решение объяснить не могу.
2. Количеством доступных портов. Я понимаю что унификация, юсб и всё такое, но дайте же хоть этих юсб не две дырки, ну честное слово. В счастливом неунифицированном детстве любой ноут обвешивался гирляндой интерфейсов и даже мысли не было, что чего-то может не хватить.
Лучше BGP может быть только кривая его реализация.
Дано: Здравый смысл говорит нам, что негоже роутеру принимать анонсы от неизвестных соседей, ибо ну это же бред какой-то.
Задача: Проверить, а как оно на самом деле на разных вендорах.
Реальность: Несколько удивляет и требует напильника.
https://blog.ipspace.net/2023/10/reject-unknown-bgp-session.html
Статья не новая, но показательная. Автор очень обстоятельно показывает, как ловкими пальцами использовать сразу две уязвимости в nf_tables и получить систему в своё распоряжение.
А учитывая любовь к установке патчей многими согражданами, в актуальности материал практически не потерял.
https://blog.dbouman.nl/2022/04/02/How-The-Tables-Have-Turned-CVE-2022-1015-1016/
В детстве я смотрел пошаговую анимацию пластилиновых фигурок, а теперь смотрю анимацию кабелей в стойке.
На что я трачу свою жизнь...
Должен признаться, что я даже и не знал про электрокарандаши.
А теперь знаю. Люблю подобные девайсы, где внутри всё настолько просто, что даже как-то неловко, что не догадался, как оно устроено.
https://habr.com/ru/companies/timeweb/articles/770636/
Дамы и господа, а рисовать графики пингов в консоли – это грешновато или допустимо?
https://github.com/orf/gping
