Царский анонс подкаста на тему, которой нам удавалось избегать 11 лет, но пора.
Всё разнообразие протоколов флоу-сэмплинга. Какие есть, как выбрать, кому нужны? А как собрать коллектор, который выдержит поток со всей сети?
Кто:
- Александр Бирюков. Сетевой эксперт Сбербанк. Слесарь широкого профиля. Спикер линмитапа
- Алексадр Лопинцев. Экс-сетевик, любитель автоматизации, девопс в Яндекс
- Игорь Кравченко. Инженер по ИБ в Яндекс
Про что:
- Определяемся с целями и задачами телеметрии
- Изучаем инфраструктуру, с чего хотим снимать телеметрию/flow, узнаём, что поддерживается устройствами, Клауд провайдерами, etc
- Желательно знать подводные камни в реализации flow конкретных вендоров
- Определяемся с длительностью хранения и требованиям к отказоустойчивости, т.к. это напрямую влияет на стоимость решения
- Закладываем ресурсы на метаданные, зная приблизительное количество flow/sec
- Выбираем технологический стек коллектора и всей обвязки так, чтобы его можно было обслуживать без боли
- Не бойтесь просить помощи у смежных команд.
Когда: 21.01.2024 12:00.
https://linkmeup.ru/blog/2456/
Атомоход "Ямал".
Если даже на видео впечатляет, как эта махина прёт через льды, как же эпично это выглядит в реальной жизни.
В чём огромный плюс иметь ядерную силовую установку: тебе не надо экономить солярку. Хоть прямо в Мурманске стартуй в режиме "Я атомный волчище. Боже, как я хорош, как мощны мои винтищи!", так до самого Сахалина, не сбавляя оборотов, без заходов в промежуточные порты несёшься – и только море, только ветер, только радость впереди. И так четыре года, пока не наступает срок перезагрузки ядерного топлива.
А вот тем, кто за ним в фарватере идёт, клювом щёлкать уже нельзя.
Продолжаем изучать отечественные решения и сегодня у нас новая для меня штука - ИКС. Ибо у них недавно был релиз 11й версии (тут ссылка на релиз) , а я как-то ни сном, ни духом.
Авторы заявляют, что внутри весь джентельменский набор софта для управления сетью и инфрой: DHCP-сервер, DNS, NAT, VPN-сервер, система обнаружения и предотвращения вторжений IPS/IDS, функции контроля приложении, WAF, потоковый антивирус, прокси-сервер, файловый сервер, контент-фильтр, защищенная почта, корпоративная телефония и многое другое.
Традиционный вопрос к тем, кто пользовался - делитесь впечатлениями с остальными.
Для тех, кому интересно всё потрогать руками - ссылка на бесплатный триал 35 дней.
А кому не хочется ничего делать, но хочется посмотреть - ссылка на Демо день, где всё покажут и на вопросы ответят.
Реклама, ООО «А-Реал Консалтинг», ИНН 7606047112. Токен LjN8Jw1vD
Трещат скрепы, ох трещат. В списке рассылки разрабов ядра опять воскрес некротопик касательно судьбы C++. Всего-то шесть лет прошло...
Суть беседы не изменилась: ну давайте уже не только на чистом С, но и плюсы заиспользуем в разработке. Ну хоть 14й стандарт. Лучше, конечно, актуальный 20й, но пусть хоть 14й будет.
https://lore.kernel.org/lkml/3465e0c6-f5b2-4c42-95eb-29361481f805@zytor.com/
Подкаст, который получился настолько случайно, что у него даже нет названия.
Сидели как-то Марат и Мамонт, говорили про всякое, а потом решили что грешновато такому пропадать и записали свою беседу о том как Мамонт год прожил в Германии, а потом прислушался к советам диванных экспертов и сделал Чемодан - Вокзал - Россия.
Про то как айтишники уезжали неслось из каждого чайника, а вот как, почему и зачем они возвращаются говорить, почему-то, не принято. Срочно исправляем ситуацию своим примером.
https://boosty.to/linkmeup/posts/38c98095-49b5-480b-9d6e-c9dbb2bb64b3
https://sponsr.ru/linkmeup/48289/Povernuvshiesya_0_Deutschland__Rossiya
https://www.patreon.com/posts/96656845
Недавно тут шутки шутили про взлом IoT стиралок для майнинга крипты, но вот как эта история иногда несмешно аукается в реальном мире.
Берём излишне умные инструменты, пишем под них локер, и пока завод стоит, вежливо просим прислать немного деняк на корм котикам. Или рандомно меняем настройки ключей, устраивая хаос на сборочной линии.
Подобных атак пока не было, однако уязвимости находят и фиксят пачками.
P.S. Бригада просила передать: это не ключи на 32 колёса менять, а инструмент для особо точных работ за много нефти. Там уже не первый день пытаются свести к минимуму человеческий фактор, внедряя электронных болванов.
Джедайское колдунство: автор написал игру на C#(ну как игру, лабиринт) по принципу Всё в одном экзешнике.
Получилось 64 мегабайта. Потом подумал-подумал и переделал всё до 1936 байт за десять шагов.
Вот это называется знать как устроен компилятор и что у языка программирования под капотом, а не помнить как написать десять видов сортировки.
https://migeel.sk/blog/2024/01/02/building-a-self-contained-game-in-csharp-under-2-kilobytes/
Наколеночно-домашнее развёртывание мобильных сетей всё ближе и ближе к тому, что в каждой шаверме можно будет свою мини-сеть мутить. И получать за засорение радиоэфира. Не очень понятно, зачем, но приятно, что технологии больших и страшных базовых станций могут быть так близко и понятно.
Прям очень хорошо и доступно.
https://habr.com/ru/companies/timeweb/articles/776040/
Ни для кого особо не секрет, что в давно понятную процедуру найма нынче встроилась масса инструментов по автоматизации этого самого процесса. И чем контора больше, тем больше дополнительных слоёв абстракции. Но тут пара ловких парней случайно подломили один из этих слоёв и показали разную интересную внутрянку современных HR ботов. Можно смотреть анкеты, можно принимать людей на работу, можно их увольнять, можно копаться в их финансовых данных и так далее.
Точно вам говорю, скоро мы начнём вспоминать добрым словом бумажный документооборот.
https://www.404media.co/hackers-break-into-hiring-ai-chat-bot-chattr/
И продолжая разгребать доклады с ССС, который в этом году вышел ну просто неприлично каким годным, никак нельзя пропустить тех самых поляков, ломанувших те самые польские поезда, у которых напрочь отрубались мозги (вплоть до физического вывода из строя отдельных узлов) при попытке начать ремонт в неправильном депо.
Ничего лучше вы сегодня точно не посмотрите.
https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_trains?ref=404media.co#t=1742
Давайте уже выходить из послепраздничного коматоза. Тут в Питере буквально через месяц планируется Зимний ProIT Fest – не душная интерактивная конференция.
10 и 11 февраля, 11 секций, 6 одновременных потоков, 70+ спикеров. Как говорят сами организаторы: мы не делаем доклады, мы делаем интерактив!
Далее записано с их слов: "Особенность Зимнего ProIT Fest - секции, которые объединяют бизнес-юниты. Мы про взаимодействие с коллегами из разных отделов, которых объединяет их фокус: Vision (Product, Design, Front, Marketing), C Level (CEO, CMO, COO, CTO, etc), BDSM (bizdev, sales, marketing), разработка на Python (Dev, QA, DevOps, DS), System Design (Архитектура бека), HypeLoad (ИИ, blockchain, scrum, и прочие тренды) и т. д."
Количество билетов строго ограничено - всего 500 билетов - поэтому успейте забрать свой билет на TimePad его не забрал котик)
Промокод на 10% скидку: Linkmeup
Несмотря на продолжающийся флёр таинственности вокруг WAF (ага, для многих это как было, так и остаётся невнятной магией), ловкие пацаны уже научились их обходить, не сильно напрягаясь. Для примера статейка про дуболомную тулу Hakoriginfinder. Суть проста, как чайник: отследить исходный хост за реверс прокси и не маяться дурью.
https://labs.detectify.com/ethical-hacking/discovering-the-origin-host-to-bypass-waf/
Уж не знаю, доводилось ли вам пользоваться цисковым CUC (может вы даже и не слышали про такой), но факт есть факт - в Unity Connection прикрыли дыру размером с кратер, через которую можно было получить рута на целой россыпи девайсов. Хотя почему было...
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuc-unauth-afu-FROYsCsD
Внимание!
Очень важный навык и критически важные знания на сегодня:
0. Открыть vim
1. Написать :smile
2. Выйти без перезагрузки.
3. Опционально: начать доказывать что nvim лучше.
Спасибо за внимание.
Про сабж глубоко и по делу. Прямо в мозг. Больше и сказать нечего.
https://habr.com/ru/articles/712376/
Kubernetes Efficient Power Level Exporter или просто Kepler – проект, имеющий в основе своей eBPF и выдающий кучу всяких метрик для Prometheus касательно энергопотребления этих ваших кластеров кубернетиса.
А теперь вопрос: а кто вообще за этим следит, если речь не про инсталляцию в N стоек, где просто может не хватить подведённых киловатт?
https://github.com/sustainable-computing-io/kepler
Когда настоящему инженеру надо получить циферки от железки в пятидесяти метрах от него, он не городит очередной WiFi, а собирает решение на основе передачи данных ультразвуком. То есть, говоря современными терминами, он сделал SDR, где L1 – это ультразвук, чтобы не пришлось мусорить в радио диапазоне. Так что правильно это называть SDU – Software Defined Ultrasonic.
А потом не поленился и описал всю железную часть и реализацию этого протокола для ардуины.
https://www.edn.com/exploring-software-defined-radio-without-the-annoying-rf-part-1/
Кстати, чертежи антенн он тоже выложил. Бери да печатай.
https://www.thingiverse.com/thing:6268613/files
А что, юзернейм, когда доходит до миграции хостов по инфе, в которой размазано несколько EVPN-сетей, ты просто увозишь его или делаешь вид, что понимаешь, как обновляется BGP и что такое MAC Mobility?
Если нет и ты просто крестишься, чтобы всё сработало, то обязательно прочитай эту статью. А то там местами и до блекхола недалеко, как оказывается.
https://lostintransit.se/2024/01/09/vxlan-evpn-host-mobility/
Ютуб продолжает радовать нас отличными превьюшками и мы переходим к следующему докладу с линкмитапа.
Алексей Константинов из Нетологии поделился своим опытом миграции мониторинга в условиях "У вас две недели, а дальше не наши проблемы".
Спойлер: так быстро даже кошки не родятся, поэтому...
https://www.youtube.com/watch?v=AjgJ0uHcnms
Так, всем, кто с удивлением открыл для себя, что шлиц PZ – это не просто прикольный PH с лишними чёрточками, а прям отдельная история, посвящается.
Доходчиво и понятно объясняют, чем шуруповёрт отличается от гайковёрта, они оба – от дрели, и кто такой импакт. Домашнее задание: понять, чем перфоратор отличается от дрели с ударом, и больше не маяться дурью.
https://www.youtube.com/watch?v=PrSs5v1NlgY
Недавно, кстати, в PyTorch сделали нехорошее. Причём сделали давно, всех предупреждали, но как-то никто особо не чесался.
Tl;DR GitHub Actions allow the execution of code specified within workflows as part of the CI/CD process. Звучит логично и вроде ничего удивительного, но есть нюанс - GITHUB_TOKEN.
https://johnstawinski.com/2024/01/11/playing-with-fire-how-we-executed-a-critical-supply-chain-attack-on-pytorch/
Ребятушки из Netflix начали многосерийный сериал про свою историю перевоза обработки видео на микросервисы.
Кто из микросервисов, по верной традиции нетфликса, негр, а кто гей, пока понять не получается. Но судя по пилотному эпизоду, может получиться годный материал.
https://netflixtechblog.com/rebuilding-netflix-video-processing-pipeline-with-microservices-4e5e6310e359
Это точно прекрасно: новые владельцы VMware продают их VDI (который Horizon) и ИБшный Carbon Black.
А чтобы не расслаблялись, полностью отказываются от обычных лицензий в сторону подписок. Просто зайчики, по-другому и не скажешь. Тут купили – там продали. Капитализм в полный рост.
https://www.theregister.com/2023/12/07/broadcom_q4_2023/
Выходные на дворе, а значит, самое время находить уязвимости.
Джуны выкатили хотфикс (нет, не новый цвет тонера, рано ещё) для RCE с рейтингом 9.8 под EX свичи и SRX фаерволы. Беда CVE-2024-21591 типичная: J-Web позволяет делать всякое до аутентификации. Нам критически важно иметь ещё больше веб-консолей!
https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591
Продолжаем разбирать нелёгкую судьбу трамваев. Это же локальный трамвай? Он просто смог отъехать от 127.0.0.1? И вообще, он же не маршрутизируемый, значит, едет только прямо?
Читать полностью…Пост об одной из вечных тем для Wi-FI: скорости много, а связи мало. В принципе, никаких тайн мироздания автор не открывает: топология, TCP окна, задержки и т.д.
Но тем, кто ещё не стал вайфайным гуру, изучить стоит.
https://www.thepacketologist.com/2023/12/why-speed-tests-arent-always-the-answer-when-troubleshooting/
Давайте посмотрим ещё один доклад с линкмитапа.
Кирилл Малеванов, технический директор Selectel, рассказывал про их путь облакозамещения.
- Увеличение спроса на облачные ресурсы в 2022 году
- Размещение ГИС в облаке
- Аттестация инфраструктуры
- Кому это нужно
- Сетевые требования к решению
- Клиентские кейсы
https://youtu.be/GjZcSn4Vspk
P.S. Превьюшку ютуб совершенно шикарную сделал, конечно.
Подсмотренная в онторнетах почти детективная история в нескольких действиях.
1. Некий товарищ вдруг замечает, что его невероятно умная и вся из себя IoT стиралка от LG каждый день потребляет 3,6 гига трафика. Причём довольно равномерно, но с перерывом на стирку. Ибо стиралка благовоспитанная.
2. Пошутив все шутки про скачивание патчей для носков и слив цвета трусов в штаб квартиру LG, было замечено что на машинке нельзя отключить WiFi или удалить используемую сеть. Только подключиться к другой сети. (Кроме шуток, там есть DLC - Downloadable Laundry Cycles)
3. Заблочив слишком умный девайс на роутере, в интернете начали грустно шутить про майнинг битков на стиралке, пока общественности не напомнили, что именно девайсы LG уже были неоднократно поломаны и именно через IoT фичи. Так что шутка про майнинг битков или участие в ботнете, не такая уж и шутка.
https://blog.checkpoint.com/security/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/
Обсудить необходимость подключения стиральной машины и прочей техники к интернету, оставляю на вас.
Вот никогда не любил керберос за ненормальную сложность понимания и настройки. А оказывается, что всё нормально, и можно его просто обойти, громко сказав на всю сеть: "Я керберос!".
Уязвимость выглядит грустно, атака – несложной, патчик уже есть.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
В LTE №26 вечная история про то, как люди боятся, сомневаются, но всё же идут в тимлиды.
- Почему под тимлидом понимают разное в разных компаниях?
- Стать тимлидом – это единственный способ, как инженеру поднять зарплату. Так ли это?
- Как переписать всё с Go на Python и спать спокойно (?)
- Уместно ли кодить с командой, чтобы не просесть в хардскилах?
- В итоге идти или не идти, если без всяких оговорок и “если“?
https://www.youtube.com/watch?v=3l2nWzTbDPA
https://linkmeup.ru/podcasts/2451/