11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Дошли руки почитать разбор той самой DDoS-атаки HTTP/2 Rapid Reset. По итогу прочитанного в который раз поймал себя на мысли, что горе от ума преследует сети с маниакальной настойчивостью.
Был (есть) простой и понятный HTTP. Запрос ушёл – ответ получил – жизнь удалась.
Но это слишком просто, поэтому внутрь него надо запихнуть ещё один протокол, внутри которого будут сложные алгоритмы приоритизации и мультиплексирования. А ещё часть TCP-логики тоже пусть в нём будет, хотя работает это всё внутри TCP-сессии.
А потом будем удивляться, что где-то у нас поломалось.
Будьте проще и люди к вам потянутся, ну.
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
Циска, может, и сбежала, поджав хвост, а вот железки её никуда не делись. Как и дыры в софте. А там буквально на днях вылезла уязвимость на 10 из 10 по любой шкале. Дырень эпических масштабов прямо в веб-гуе (простите нас, Игорь Станиславович, убогих, языка не знающих), позволяющая создавать натурально админа или творить любой беспредел без предварительных ласк.
Цискари в своё оправдание мямлят, что рекомендация отключать веб-сервер всегда была в первых рядах, но когда их ломанули скриптом на 29 строк в полтора POST-запроса, держаться стало совсем сложно.
Обновитесь, что ли.
Не является инвестиционной рекомендацией.
И вообще никакой рекомендацией не является.
Лучше ничего не трогайте, чтобы потом рассказать клёвую историю.
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
В ядре Linux 6.6-rc6 залечили багу, вокруг которой развернулись очередные бросания какашками на тему минусов монолитной архитектуры ядра. Да и бага, если уж честно, такая, что мне казалось, про такие уже и забыли все, что так вообще бывает.
TL;DR выдёргивание логитековского юсб-свистка приводило к падению ядра.
И тут хочется отметить, что действительно, когда машина падает из-за ошибки с юсб девайсом, слушать аргументы за монолитность даже как-то и не хочется больше.
Но зафиксили и ладно.
https://git.kernel.org/pub/scm/linux/kernel/git/hid/hid.git/commit/?h=for-linus&id=dac501397b9d81e4782232c39f94f4307b137452
P.S. Но вообще багов про странное и юсб как-то подозрительного много пошло. Вот, сами посмотрите.
https://bugzilla.kernel.org/show_bug.cgi?id=217412#c58
https://bugzilla.redhat.com/show_bug.cgi?id=2227221
https://bugzilla.redhat.com/show_bug.cgi?id=2227968
https://bugzilla.redhat.com/show_bug.cgi?id=2242189
Немножко пост-линкмитапной милоты.
Кто был на стенде ребят из InRack, наверняка помнит их розыгрыш дисков. А уже после митапа, среди визиток было найдено письмо Деду Морозу:
"У нас в организации три сервера на дисках 2010 года и ксеонах 5506. Дед Мороз, подари мне AMD FX 8350X".
Ну и ребята решили задарить человеку немножечко счастья, без томительного ожидания нового года.
/channel/inrack_connect/167
Приятная приятность для любителей *BSD - релиз OpenBSD 7.4. По счёту релиз 55й, а по версии – 7.4
Обожаю магию циферок.
https://marc.info/?l=openbsd-announce&m=169746103423179&w=2
И немного о другой главной интриге митапа - лучший доклад.
По итогу мощнейшей зарубы первое место занял Дмитрий Ипатов и его доклад "Как устроен кеш-сервер в OkkoCDN".
Целиком и полностью заслуженная победа! Доклад действительно очень крутой, под завязку наполненный техническими деталями и в очередной раз доказывающий, что о технологиях надо рассказывать на конкретных примерах, а не абстрактно махая руками в воздухе.
Дмитрий молодец, что подался, Okko молодцы, что поддержали его. Все кругом молодцы.
Прочтение этой статьи вызывает острый приступ ностальгии по одноранговым сетям, коаксиальным терминаторам и неприятное жжение в кончиках пальцев от уколов тонкой медной проволокой из экрана.
https://habr.com/ru/companies/timeweb/articles/765526/
Любимая рубрика "Нам пишут".
Причём в этот раз пишет не абы кто и не про мужика в юбке, а про название. Оказывается, оно у нас неправильное всю дорогу было. Сплошные понты и разводки под социальное одобрение.
Так что после консультаций с лучшими филологами страны было принято решение переименовать рабски калькированный "linkmeetup" в совершенно свободный "Ссылка Летучка Вверх".
Не допустим больше подобного позора!
Зарядиться позитивной положительной энергией на неделю вперёд можно в тредике протоколе собрания https://vk.com/wall595760_5886
P.S. Вот интересно, а сколько таких агрессивно радеющих за чистоту языка утруждали себя хотя бы на базовом уровне узнать, что такое русский язык и из чего он состоит? А то вдруг окажется, что большая часть слов их лексикона к славянским языкам вообще никакого отношения не имеет.
P.P.S. Зело советую посмотреть ролик про русский язык от Арзамаса. Будет интересно. Челом бью.
Новость любителям циферок и заковыристого нейминга QSFP модулей. Лично я в них уже давно запутался и просто киваю головой.
Итак, спецификацию QSFP-DD MSA проапгрейдили до v7 и теперь у нас есть (или могут появиться) QSFP-DD1600 на 1,6 тера. Реализовано это на восьми линиях по 200Г и чисто технически это открывает дорогу к 51,2Т на ящик с потреблением меньше 2кВт
Для любителей красивых картинок, схем и температурных графиков есть увлекательная дока.
http://www.qsfp-dd.com/wp-content/uploads/2023/09/2023-QSFP-DD%20MSA-ThermalWhitepaper.pdf
Коллеги, я в замешательстве!
Как можно допустить, что фаза и ноль разного сечения??? Да ещё и на скрутках вместо ваг.
Форменное безобразие, конечно.
Видос от Тома Скотта, где он рассказывает про Чрезвычайно Большой Телескоп. Вполне вероятно, что это предельный размер оптического телескопа, который в принципе возможно построить.
Очень крутой рассказ, но моя давнишняя любовь – это главное зеркало телескопа. Просто представьте, что сварить и правильно остудить болванку под такое зеркало занимает больше года. Это не шутка. В истории есть случаи, когда из-за слишком быстрого охлаждения подобные зеркала лопались. Просто представьте себе техпроцесс длиной в год-два, который, оказывается, был слишком быстрым, и начинай всё с начала.
А сколько это потом шлифуется, а какие там допуски. Песня! Под такие изделия строятся отдельные цеха размером с десятиэтажный дом. Цена ошибки настолько велика, что транспортировку репетируют несколько раз с ММГ, строя новые дороги, мосты и продумывая защиту от самых маловероятных событий, лишь бы не запороть результаты нескольких лет работы. И всё равно, потом может оказаться, что где-то в толще этого куска стекла весом под сотню тонн не смогли найти милипизерный пузырёк воздуха, из-за которого всё надо начинать по новой.
Но там весь объект – полный отвал башки, конечно.
P.S. Помнится, на Гавайских островах тоже хотели строить 30-метровый телескоп, но оказалось, что папуасы там поливают камни водичкой место занято для более важных дел.
https://www.youtube.com/watch?v=QqRREz0iBes
Уровень замороченности - эпически прекрасный.
Чувак решил в 2023 сдампить бутром оригинального XBox из 2001. Который Intel x86 CPU JTAG.
Если возникает вопрос о практической пользе данного мероприятия, то ответ лежит в области готового мануала как делается джейлбрейк на уровне железа.
https://blog.ret2.io/2023/08/09/jtag-hacking-the-original-xbox-2023/
Лучшее, что можно сделать в пятницу – это послушать LTE №24 с Олегом Бартуновым и ходить на позитиве все выходные. Мы говорили про OSS, почему с открытым софтом происходит что происходит, как проекты вроде постгреса умудряются сохранять свою самобытность и в чём сила комьюнити.
- Степени развития опенсорса: времена романтиков прошли, времена коммерсантов мы наблюдаем сейчас, а чьё время дальше?
- IBM, Red Hat, Hashicorp и тысячи их. Законы бизнеса, закономерности и ничего удивительного.
- Не надо путать опенсорс одного человека с опенсорсом, за которым стоит сообщество. К первым потеряно всякое доверие.
- Как Postgres умудряется оставаться открытым, бесплатным и независимым? Кому это выгодно?
- Опенсорс – это не про деньги, но без денег он мёртв. Как и без юристов.
- Как благодаря опенсорсным проектам Россия достигла такого высокого уровня цифровизации.
- Лицензии опенсорса больше не отличаются от закрытых проектов. Это не плохо, это очередной шаг эволюции.
- Чем зрелое сообщество отличается от мейнтейнера с синдромом вахтёра? Примеры реальных историй из жизни Postgres и как уберечь свой проект от волнений внешнего мира.
https://linkmeup.ru/podcasts/2400/
https://www.youtube.com/watch?v=Vd8yChC-Vxk
https://vk.com/podcast-54456105_456239317
Очень хочется начать с чего-то вроде "Когда интернет ещё был ламповым и зелёным...", но идёт речь про окружающую действительность.
Как-то все привыкли, что в robots.txt надо запрещать краулерам индексировать админку сайта и прочие служебные вещи, а тут хлоп – и нейросети учатся уже по всему интернету. Серебрянной пули от них нет, но через старый добрый роботс можно хоть как-то поумерить их аппетиты, запретив OpenAI, гуглу и прочим генеративкам кормиться на вашем контенте.
Ну и заодно на фаерволе подрезать им крылья.
Не то чтобы в мире от этого что-то глобально изменится, но живущий внутри анонимус довольно поурчит.
https://www.cyberciti.biz/web-developer/block-openai-bard-bing-ai-crawler-bots-using-robots-txt-file/
Из QIWI докладывают, как переехали с Cisco DUO на российский f2a Мультифактор. Граблей с камнями, конечно, собрали, но в целом жизнь явно есть.
https://habr.com/ru/companies/qiwi/articles/764074/
26 октября в 11:00 «Код Безопасности» зовёт всех на большой онлайн-стрим о будущем безопасности ИТ-инфраструктур. В этот раз без суровой техники, но визионерские размышления о будущем российского рынка ИБ, защиты сетей, конечных точек, а также сред виртуализации.
Обещают рассказы о ключевых новинках, которые должны увидеть свет в будущем году:
• Континент 4.1.9 и 4.2
• Континент TLS 2.6
• Континент 3.9.3 КС и КВ
• vGate 4.9
• Secret Net Studio для Windows и Linux
• Соболь 4.5
Все кнопки здесь
Статья хорошая, но если вы не слышали про синфазный шум, типы модуляций и где у оптики дисперсия, это может быть больно.
Но интересно.
И слов умных узнаете.
А вообще, конечно, поражает, что база всех подобных вещей была придумана *дцать лет назад, а технологии, позволяющие реализовывать комбинаторику в железе, только-только появляются.
https://habr.com/ru/companies/ua-hosting/articles/766414/
Буквально минута, чтобы вспомнить, как круто это было.
И буквально такая же минута, чтобы покусать свои локти, жалея, что пропустил.
P.S. Соседские тоже можно кусать, мы не против.
https://www.youtube.com/watch?v=Xigx81rOm60
Все респекты за съёмку и монтаж уходят Коду Безопасности.
Дамы и господа, а ведь уже заканчивается регистрация на десятый, юбилейный Big Monitoring Meetup 19 октября 2023 года в Москве.
Расписание и темы докладов ловить тут: https://monhouse.tech/big-monitoring-meetup-x/
Докладчики:
• Александр Лукиных [ X5 Технологии ] Начальник управления централизованного мониторинга
• Даниэль Халиулин [ Тинькофф ] Технический менеджер продуктов
• Алексей Проневский [ Cloud ] Лидер ситуационного центра
• Константин Струлев [ SmartDCIM ] Генеральный директор
• Алексей Незнанов [ Schlumberger ] Senior Data Scientist, [ НИУ ВШЭ ] Старший научный сотрудник международной лаборатории интеллектуальных систем и структурного анализа
• BMM Talks: Беседуем о мониторинге мечты с Кириллом Плетневым [ Яндекс ] и Никитой Каракозовым [ Звук ]
Параллельно с общей программой состоится круглый стол "Особенности национального мониторинга", организаторы конференции Big Monitoring Meetup X совместно с генеральным партнером мероприятия «Тинькофф» приглашают IT-руководителей обсудить настоящее и будущее мониторинга в России.
Обратите внимание, на него отдельная регистрация.
Эксперты:
• Андрей Синицын [ VK ] Руководитель группы SRE коммуникационных сервисов
• Иван Липкин [ НСПК ] Руководитель управления прикладного мониторинга
• Евгений Серебряный [ Saymon ] Руководитель департамента аналитики
• Александр Лукиных [ X5 Технологии ] Начальник управления централизованного мониторинга
• Владимир Томашев [ Тинькофф ] Руководитель продукта Sage
Бесплатная регистрация на конференцию Big Monitoring Meetup X
Чат сообщества | Группа VK
Митапы митапь, а про подкасты не забывай.
В это воскресенье обсуждаем моднейшую нынче тему NTA - Network Traffic Analysis c Денисом Батранковым из Positive Technologies и Сергеем Плотко из Цифровых Решений.
- Хакеры работают от имени сотрудника легитимными утилитами и поэтому их видят уже когда они начали уничтожать системы
- В компании много нелегитимных устройств и софта (Shadow IT) и поэтому мы не контролируем свою сеть, а хотелось бы
- Прослушивать трафик сложно - требуется очень глубокий разбор протоколов и обогащение и надежные устройства для съема трафика
Когда: 21.10.2023 14:00.
https://linkmeup.ru/blog/2402/
Вы так много об этом просили, что мы даже забыли сказать об этом отдельной новостью - все доклады митапа выложены на портале.
Логиньтесь, смотрите, получайте удовольствие.
https://online.linkmeetup.ru/rec/
Мне кажется, это история из разряда тех, после которой любители досконального изучения теории потрясают своими манускриптами и с огнём в глазах кричат на площадях "Я же говорил!".
Как наверняка многие сейчас вспомнят, IP-адрес можно записать не только в десятичном и двоичном виде, но и примерно в любом другом понятном комплюхтеру и даже комбинируя их. Причём, чисто технически, все записи будут равнозначны и должны работать одинаково. Чем, собственно, и воспользовались авторы ботнета ShellBot. Никакого рокетсаенса внутри него нет, просто ребятишки использовали адреса в HEX-виде. Как итог, системы защиты даже не пытались понять, что происходит, если после стандартного http:// стоит странное 0x2763da4e, и пускали трафик в обе стороны.
https://asec.ahnlab.com/en/57635/
Не успеете выдохнуть после линкмитапа, а уже пора будет идти на шестой по счёту nexthop - он пройдёт 20 ноября в Omega Rooftop на Цветном бульваре - да, выросли из Экстрополиса.
Теперь большие.
Будет два зала и 19 докладов про передний край сетевых технологий.
Количество мест всё ещё ограничено.
nexthop → 2023
Говорят, тут последнее время полюбили всякие беспроводные хулиганства, где нужны только телефон и пара пальцев.
Собственно, мечта каждого юного мамкиного хацкира – подломить вифи сеточку. Сегодня на арене wifite. Наловите хэндшейков, дайте хороший словарь и оставьте телефон немного подумать.
https://www.mobile-hacker.com/2023/08/29/nethunter-hacker-viii-wi-fi-hacking-using-wifite-deauthentication-and-wardriving/
Любопытство – не порок. Порок – безразличие. Поэтому хоть нас про это и спросил уже каждый второй через личку, сообщаем ответ ещё раз и на всех разом.
Доклады с линмитапа нарезаны и обработаны, но на выходных надо отдыхать и проводить время с пользой, а не в экраны пялиться. Так что всё будет опубликовано в понедельник.
Если кто пропустил:
- Каждом купившему билет рядом с письмом с билетом приходило письмо с доступом до онлайн трансляции.
- Все видео и презы будут доступны по этим кредам.
- Если в порыве борьбы за чистоту почтового ящика письмо с кредами было отправлено в Вальхаллу, то на online.linkmeetup.ru есть кнопка "восстановить пароль".
- В паблик записи тоже будут выложены. Но сильно (это важное слово) позднее.
- Если вам чего-то не хватило на раздаче, досталось бракованное или ещё какой-то наш косяк делает вас грустнее - обязательно пишите, мы примем все меры чтобы вы снова обрели счастье.
https://youtu.be/aIV-xN8VpZg
Слушайте, а ведь облако – это когда много свичей и все они связаны между собой? Ну, там, лифы, спайны и другие умные слова.
У меня уже облако или надо докинуть ещё пару железок для надёжности?
Как наверняка запомнил уже каждый, валидность BGP надо проверять и лучше всего это делать с помощью RPKI ROA.
Во всяком случае такое мнение чаще всего встречается в сети. Но это не значит что других вариантов нет. Например, сейчас на стадии драфта находится проект Autonomous System Provider Authorization - ASPA. Его разработчики копают в сторону защиты от Route Leaks и пусть пока это только драфт, первые наброски тулзов уже начали появляться.
Да, похоже пора начинать учиться новым трюкам.
https://rfc.hashnode.dev/aspa-path-verification-explained
Пока мы митапили/работали/спали/свой вариант, гугл отбил DDoS рекордного размера - 398 миллионов rps. Рекорд случился из-за использования новой техники HTTP/2 Rapid Reset, основанной на мультиплексировании потоков. Хотя, любая техника в ддосе, в конечном счёте, это про усиление чего-то банального до ненормальных размеров.
Собственно, гугл уже всё по полочкам разложил. Можно ознакомиться.
https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps
Причём они настолько горды собой, что расписали процесс аж в двух статьях.
https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
curl, лично для меня, был и есть самый "человечный" опенсорс проект. Всё благодаря его автору, Даниэлю Стенбергу, который не только тянет сам проект, но и ведёт очень честный блог. К примеру, девятого числа он опубликовал предупреждение, что есть две CVE (CVE-2023-38545 и CVE-2023-38546), одну из которых он сам расценивает как серьёзный залёт и уходит срочно фиксить. Уровень залёта таков, что он даже не стал разглашать, что именно сломалось и для каких версий, кроме общих слов про уязвимость тянущуюся несколько лет. А учитывая, что libcurl есть примерно везде, круто напряглось ощутимое количество людей.
Однако наступило 11 число, Даниэль выпустил новую версию и раскрыл все подробности. Оказалось, что ошибка была в переполнении буфера кучи и вела к возможности выполнения произвольного кода. На поднявшийся бубнёж, что как же такой уважаемый специалист допустил такую детскую ошибку, которая лежала на видном месте почти четыре года, он ответил буквально так: да, я накосячил, да мне стыдно, но я всего лишь человек. И дальше размышления на тему, что пишу как умею на старой версии С, потому что переход на новую версию\язык для одного разработчика – задача практически невозможная. И что он продолжит писать на С. А если кому такой расклад не нравится, то недовольные всегда могут начать писать код самостоятельно. Опенсорс же....
Мировой мужик, конечно.
А курл обновите, да. Прям не затягивайте.
https://curl.se/docs/CVE-2023-38545.html
Дамы и господа, нужна ваша помощь и честное мнение.
Наше скромное комьюнити номинировали на премию HighLoad++. Приятно, скрывать не будем.
Так что кому не жалко, сходите поставить плюсик ;) Голосование идёт до конца недели.
https://awards.highload.ru/vote
