11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Пока вы по чатам зубоскалите над очередными багами очередного вендора, есть люди, у которых работа – это принимать на грудь народный гнев и разгребать что происходит.
Артемий Махонин из техподдержки Кода Безопасности рассказывает, почему не всегда всё однозначно и как максимально эффективно с ними работать.
https://www.youtube.com/watch?v=_G92Gq08s9I
Оказывается, так тоже можно было...
P.S. Toughbook CF-W2
Ничего себе! Давненько я принтаков от Lexmark не видел.
Читать полностью…
Я тут уже несколько раз пел дифирамбы команде рэд була за умение реализовывать самые крышесносные идеи. В этот раз они устроили гонки дрона и болида F1. В дождь. Снимая всё с дрона. На скорости 300км\ч.
Да, это самый быстрый дрон в мире, на данный момент. Пять лошадиных сил на 985 грамм. Это 5000 л.с. на тонну.
Отвал башки, конечно.
P.S. Самые нетерпеливые могут мотать на девятую минуту.
https://www.youtube.com/watch?v=9pEqyr_uT-k
Из CF порадовали: выкатили фреймворк для создания сетевых сервисов, писанный на расте и весь такой из себя безопасный, что прям бери и пользуйся.
https://blog.cloudflare.com/pingora-open-source/
Кто это мы?
Кто такие мы, я вас спрашиваю???
Эксель и дух скрепыша? Или весь сапорт майкрософта из Бангладеша?
Медленно, но верно – мы дожили до публикации первой версии диздока про Secure shell over HTTP/3 connections.
Это так, к недавнему обсуждению.
P.S. SSH3 – это прям лютый фейл в названии, конечно.
https://www.ietf.org/archive/id/draft-michel-ssh3-00.html
Если вы вдруг проспали последние несколько дней, то в интернете бурлит кипишь на тему заявления увОжаемых людей из CISA и прочих, кто рядом стоял, что C и С++ – небезопасные языки, поэтому срочно выкинуть их на помойку истории и начать использовать безопасный Rust. А лучше даже Go. Пруфов не будет, но вы нам поверьте. Вот прямо так и написали:
Experts have identified a few programming
languages that both lack traits associated with memory safety and also have high proliferation across critical systems, such as C and C++.
С полным текстом ознакомиться можно тут: https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf
Такой битвы мемов сеть давно не видела.
В блоге Netflix Engineering вышла статья про их проект bpftop. Консольная тула для мониторинга и оптимизации eBPF программ.
Отсюда простой вывод (не сильно удивительный, если задуматься): в нетфликсе прониклись силой eBPF и активно пилят на нём всякое, для чего возникла необходимость написания подобной тулы. Судя по описанию, пока это нечто среднее между просто мониторилкой и профайлером, но вполне заслуживает внимания.
https://netflixtechblog.com/announcing-bpftop-streamlining-ebpf-performance-optimization-6a727c1ae2e5
Крайне важные знания вам на сегодня:
- В коде линуксового ядра неуклонно падает количество упоминаний "fuck", но стабильно растут упоминания "crap".
https://www.vidarholen.net/contents/wordcount/
- Вообще, кажется, контрибьюторы в ядре проходят курсы по управлению гневом, но Линус явно не сдаётся
https://www.vidarholen.net/contents/wordcount/#fuck*,shit*,damn*,idiot*,retard*
- А вот с курвой вообще беда какая-то
https://www.vidarholen.net/contents/wordcount/#kurwa
Самое оно для решивших окунуться в страшные вещи, начинающиеся на С. Экскурс в устройство ELF-файлов.
Особенно мне нравится первый пункт: давайте просто откроем его блокнотом. Но дальше всё по-честному, не бойтесь.
https://jvns.ca/blog/2014/09/06/how-to-read-an-executable/
Я извиняюсь, а это какой-то плагин vim'a? Ведь правда?
Два режима, вроде всё сходится...
P.S. Шутки про выйти из вима резко влезатают в цене на бирже мемов.
Вы совершенно точно не захотите показывать это своим детям, однако знайте - isovalent сделали детскую книжку с картинками про eBPF. Так что если мануалы из многа букав слажна, теперь можешь беспалевно разглядывать приключения пингвинёнка и пчёлок, прикрываясь детьми.
Книга тут: https://ebpf.io/books/buzzing-across-space-illustrated-childrens-guide-to-ebpf.pdf
Озвученная версия здесь:
https://www.youtube.com/watch?v=PqNs89tXxE4
Сетевики, тут про вас уже сериалы снимают.
Сетевые инженеры Selectel регулярно проводят митапы — собираются в большом зале и обсуждают коммутаторы, резервирование, вендоров и прочие темы. И часто им не хватает трех часов для разбора всего интересного. Потому митапы делятся на части.
Видео с митапов выкладывают в блог Академии Selectel. В каждом материале есть таймкоды, полезные тексты по теме, ссылки на инструкции, документацию и бесплатный курс «Как работают сетевые протоколы».
Делимся материалами с двух недавних митапов, на которых обсуждали полезные рабочие инструменты (помимо бубна).
Эпизод 1: Looking glass, MTR, ZTP, плановые работы и внеплановые факапы.
Эпизод 2: Netbox, NetConf API и создание собственных инструментов.
Присоединяйтесь к сетевому сообществу Selectel — там регулярно обновляют материалы по сетям в блоге компании.
Реклама ООО «Селектел» erid 2Vtzqw81T8v
Дамы и господа, погнали опять делиться мудростями. Вопрос дня: кто чем HEX редачит?
Из прикольно-цветастого-везде-работающего могу накинуть Hexwalk https://github.com/gcarmix/HexWalk и классический ImHex https://github.com/WerWolv/ImHex
Расскажи о своем факапе и получи обучение от Слерм.
Ошибки делают все. Yandex падал, Сloudflare падал, Vk падал… и каждый из нас падал и совершал ошибки)
Чтобы своевременно их исправить, нужны знания. А чтобы рассказать о них остальным — уверенность в себе и самоирония!
Поделись своим самым ярким эпик фейлом и получи обучение в подарок.
Что надо сделать?
- Ты рассказываешь о своем факапе здесь. Айтишные факапы могут быть связаны не только с кодом.
- Мы выбираем самые интересные истории и дарим победителям обучение.
- Итоги подведем 11 марта в нашем канале Slurmnews
Важно.
- Успеть написать до 10 марта.
- Факапы, любым образом связанные с работой в it очень приветствуются!
- Пиши максимально подробно, чтобы мы могли погрузиться в контекст.
А подарки получат все!
- 1-2 место — бесплатное место на потоке «Go-разработчик»
- 3-4 место — скидка 50% на курс
- Всем остальным — скидка 20%
Кто будет выбирать победителя?
Команда Слёрм совместно с Виталием Лихачевым, Senior Software Engineer в Avito и по совместительству спикером курса «Go-разработчик», рассмотрят историю каждого.
П.С. Компании и личные данные останутся анонимными
Реклама ООО «Слёрм» ИНН 3652901451
В сети уже несколько дней громыхает отказ HDMI форума от поддержки открытых драйверов от AMD. У одних горит тухес от месяцев спущенной в унитаз работы, у других – от решения закрыть 2.1 спецификацию и ощущения тупиковой ветви эволюции.
Словом, горит у всех и все оскорбились. По курилкам предвещают, что с такими приколами HDMI сами себя зароют и победит DisplayPort.
https://www.phoronix.com/news/HDMI-2.1-OSS-Rejected
Если есть лишняя штука евро, чемодан и 12 дней, то можно в чемодане собрать автомобиль в миниатюре. Вернее, его электрическую часть. В статье товарищ запускает мозги от Volkswagen Passat B8 2016 года.
За изобретение пять, а за Зачем - полное не понял.
https://blog.quarkslab.com/how-i-built-a-car-in-a-box.html
Если нужен пример чего-то про через подмышку и в сапоги, то вы в правильном месте: побег из QEMU через кастомный VirtIO девайс. Дыру нашли в обработчике очереди запросов между девайсом и драйверов, что позволяет бегать за пределы выделенной памяти. Правда, для этого придётся свой драйвер написать. И запихнуть в ядро. Но кого волнуют такие мелочи.
https://blog.bi0s.in/2024/02/28/Pwn/bi0sCTF24-virtio-note/
Ну вот что здесь сказать?
Подломить WiFi через порт NAT – это интересно, вопросов нет. Вся история про хитросплетения последовательностей из-за недостаточно параноидальной проверки обратных маршрутов через TCP окно – уже звучит страшно. И даже большой список задетых девайсов – ужас и кошмар. Но какой реальный урон от всего этого может быть?
https://www.ndss-symposium.org/wp-content/uploads/2024-419-paper.pdf
Нет повести печальнее на свете, чем статический сайтец в облаке, на который приехал ддос, а следом владельцу приехал счёт за трафик.
Или как попасть на $104k, потому что просто так.
https://old.reddit.com/r/webdev/comments/1b14bty/netlify_just_sent_me_a_104k_bill_for_a_simple/
Продолжая тему импортозамещающих докладов с линкмитапа, переходим к докладу камрадов из Ростелеком-ЦОД, в котором они поделились своим опытом построения испытательной лаборатории для всякого.
https://www.youtube.com/watch?v=NNzO1Fdpmoo
Хорошее и правильное мнение касательно сложившихся корпоративных стандартов IT-безопасности. Всем подавай бумажки и неважно, о чём они, ИБД и отчётность возведены в культ, а на местах все привыкли решать какие угодно задачи без оглядки на реальные потребности бизнеса. Ну и денег мало, как без этого.
https://crankysec.com/blog/shite/
После фейковых историй про ботнет из зубных щёток немного реального взлома тех самых щёток.
Мир может спать спокойно.
https://www.youtube.com/watch?v=-qvn0YUiH5o
Гитхабик:
https://github.com/atc1441/ATC_Wifi_Toothbrush
И вот так всегда. Сначала ты просто хочешь обновить карты в навигаторе машины, а потом выясняется, что там двоичный протокол передачи файлов на .xs, потом вспышка слева, вспышка справа – и вот ты уже пишешь бекдор для машины.
https://goncalomb.com/blog/2024/01/30/f57cf19b-how-i-also-hacked-my-car
Ещё одно доказательство, что лучшие бизнес ноуты это ThinkPad.
Товарищ превратил свой ThinkPad X1 Carbon шестого поколения в программируемый USB девайс с помощью xDCI контроллера. Получилась очень умная флешка с процессором =)
https://xairy.io/articles/thinkpad-xdci
Если вам скучно, я вам покушать принёс.
https://app.any.run/tasks/4a2ca271-3861-467b-8756-84a29d8b20a7/
P.S. Если прям совсем скучно, скачать локально и запустить под админом.
Немного про альтернативные мнения касательно SSH3 и его ожидаемой тесной любви с HTTP/3.
Берём, к примеру, эту статью от APNIC и узнаём, что:
- SSH3 гораздо быстрее устанавливает сессию благодаря TLS 1.3 Хотя я как-то не помню жалоб, что приходилось слишком долго ждать;
- Сертификаты Х.509 прям ух, не обманешь;
- SSH3 использует общий механизм авторизации HTTP, поэтому запросы будут в стандартных заголовках. Ну и так далее, всякие прикольные плюшки.
Но наши любимые криптоманьяки и секурити параноики не спят и уже начинают задавать неудобные вопросы:
- Так-то SSH был придуман как раз чтобы отделить от HTTP секурити фичи. А теперь нам говорят, что надо их скрестить?
- SSH – одна из самых оттестированных годами и безопасных вещей в мире, но теперь её хотят заменить альтернативой, написанной группой неких специалистов, просто чтобы nmap не палил её на отдельном порту? Отдаёт эпичным оверкиллом.
- Пока всё это выглядит просто как попытка облегчить жизнь корпоратам, проведя унификацию во имя IdP.
А какое твоё мнение, юзернейм, по данному вопросу?
https://blog.apnic.net/2024/02/02/towards-ssh3-how-http-3-improves-secure-shells/
Хватит отдыхать, давайте лучше умные вещи про DWDM слушать.
В серии эпизодов telecom мы раскроем все глубины DWDM - дадим общее представление об устройстве и истории оптической связи, разберём физику процессов и расскажем, что благодаря OTN, DWDM - это отдельный мир сравнимый своим разнообразием со стеком TCP/IP.
В первом выпуске мы делаем историческую ретроспективу и разбираемся, как устроены оптические сети.
https://linkmeup.ru/podcasts/2472/
https://www.youtube.com/watch?v=6CaosdxzX44
