11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Не люблю я такие новости про “один товарищ слышал, как другой видел, что третий рассказал”, но как есть: в сети заметили обновлённый список паролей RockYou.
10 миллиардов учёток.
https://dailydarkweb.net/new-rockyou2024-password-list-allegedly-leaked-with-nearly-10-billion-passwords/
P.S. Говорят, там ещё и список всех возможных пин-кодов для кредиток есть.
Казалось бы, какая мелочь, всего-то скобочки адекватные добавить в питоняшную пробельно-фигурную лапшу и готово. Код можно читать без мигрени, сразу понятно, что происходит и нет ощущения, что макака билась лицом об клавиатуру.
А ведь просто не хватало адекватных скобок...
https://pypi.org/project/Bython/
От проектов странных к вещам понятным и полезным в хозяйстве: SSH over HTTPS. Особо великой науки в этом нет, просто пара ловких пассов руками на стороне клиента и сервера. Зато как только ты оказываешься в сети, где параноидально закрыто всё кроме 80/443 и 53, ты на коне.
P.S. Повесить SSH на 443 порт слишком просто. Нужно больше инкапсуляций!
https://trofi.github.io/posts/295-ssh-over-https.html
Прекрасный по всем пунктам девайс. И выглядит красиво и умеет всякое: Packet Monitor, WiFi Analyzer, Beacon Spam, Deauth Detector.
https://www.youtube.com/watch?v=bUvBjcczzcc
Мозги можно нахватить на гитхабе:
https://github.com/cifertech/ESP32-DIV
Мне иногда кажется, что каждый разработчик, узнавший про FUSE, обязан написать своё гениальное решение по загрузке линукса из самого неожиданного места.
Радует, что автор и сам не отрицает бредовость затеи, перечисляя массу возникающих проблем, но как piece of art очень даже.
https://ersei.net/en/blog/fuse-root
Невероятный удар под дых для всех диванных экспертов в опенсурсных лицензиях, которые точно знают кто, что, когда и кому должны раскрывать: МЦСТ объявили о раскрытии своих исходников, обеспечивающих работу с их платформой.
Фикус в том, что в мире настоящих юристов крайне сложно определить кто, что и кому должен, а в случае МЦСТ можно вообще на всё вешать амбарный замок, потому что разработка велась на государственные деньги. Но, видимо, они смогли как-то всё согласовать и разработка под Эльбрусы выйдет из теневой зоны.
https://dev.mcst.ru/
Поступило предположение, что это не синяя изолента, а косплей на синюю изоленту. То есть крепление заводское, надёжное, просто в форме изоленты.
Что думаете?
И снова о немного странном, но интересном и кому-то даже важном. ktunnel – тула, поднимающая туннельчик от кубового кластера до локальной машины и делай с ним что хочешь. Почувствуй себя нодой, так сказать.
https://github.com/omrikiei/ktunnel
Вот она, квинтэссенция девопса, мощи экселя и лени человеческой – SheetOps. Всё, что вам нужно для управления кубовым кластером, всё есть в этой эксельке.
Всё остальное можно удалять как рудимент.
https://github.com/learnk8s/xlskubectl
Кстати, дамы и господа, не линкмитап конечно, но осенью в питере собираемся на PGConf.СПб 2024 - главный ивент про PostgreSQL в городе.
Всё случится 1 октября (кстати, билеты сейчас со скидками), а пока идёт приём докладов.
https://pgconf.ru/SPb-2024-10
Одна из проблем мироздания, над которой и не задумывался, пока тебя в неё носом не ткнули: почему PIDы стартуют с 1, а UIDы c 0?
https://blog.dave.tf/post/linux-pid0/
Хорошая новость(или уже старость) для подозревающих, что их подслушивают - вас действительно подслушивают!
Недавняя CVE-2024-27867, вскрывшая уязвимость в AirPods. Всего-то делов перехватить Bluetooth MAC - и вот всё, что происходит в ушах жертвы, знают и ваши уши.
https://support.apple.com/en-us/HT214111
Из CISA подвезли новую версию доки про пароли. Опускаем всю скуку, переходим к мякотке: отныне рекомендуемая минимальная длина пароля это 16 символов, а хранить их строго в менеджере паролей.
Иди, обрадуй тётушек в бухгалтерии, что вы следуете лучшим практиками и пора обновить бумажку на мониторе.
https://www.cisa.gov/secure-our-world/require-strong-passwords
P.S. Сразу пошутим все шутки про вражескую цису и чего это мы их бумажки читаем. Так уж получилось, юзернейм, что вражеская циса – это такое редкое место, где генерируются крайне годные доки относительно ИБ. А что случается с крайне годными доками? Правильно, постепенно они растекаются по индустрии в виде политик, указаний, руководств и так далее. Так что через полгодика жди бумажку сверху, где будет цифра 16 в минимальной длине пароля.
А давненько нас через ксероксы не ломали. При том что уязвимостям там по N лет. Так и не понял, раздолбайство это, или так и надо, но ситуация странная.
https://swarm.ptsecurity.com/inside-xerox-workcentre-two-unauthenticated-rces/
Помните прикольные видосы с аптечными крестами, на которых устраивают задорные анимации. Оказывается, для этого дела есть вполне себе SDK. Так что рисуй что хочешь да заливай по удалёночке.
https://github.com/MathisHammel/CroixPharmacie
Во времена двухтонки MS реализовали так называемое неограниченное (или бесконечное) делегирование для Kerberos. Хорошая и удобная штука, но если не выставить принудительно ей рамки и не запретить делегирование админов, может случится описываемый в статье ой.
https://www.hub.trimarcsecurity.com/post/active-directory-security-risk-101-kerberos-unconstrained-delegation-or-how-compromise-of-a-singl
Отчаянные времена требуют отчаянных мер: Cloudflare вводит новый фильтр, отсекающий AI-ботов.
Боты устраивают фейсконтроль других ботов. Кажется, в истории есть много примеров, когда после таких чисток начинались войны.
https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click/
За некоторыми кусками кода стоят очень интересные истории. Вот, например, какие эмоции у вас вызовет этот кусочек исходников sqlite?
https://github.com/sqlite/sqlite/blob/f1bf103e4e6a7735d05b902554a73909d22ca123/src/os.h#L65-L75
Очередная история успеха, делающая больно: парень решил за месяц глубоко вникнуть в QUIC и написать свою реализацию. И, что интересно, этот подлец реально месяц в него вникал и теперь хвастается достигнутыми результатами.
Менять что-то в своей жизни после таких примеров мы конечно же не будем.
https://www.meetecho.com/blog/quic-journey/
Недавно мы проводили подкаст «Дичь и красота шоу-бизнеса», в котором Виктор Шопин делился внутренним устройством сетей концертов, театров и других объектов культуры, досуга и спорта.
А 29 июля - 2 августа его команда PRAKTIKUM.SCHOOL проводит Летнюю школу Шоу-технологий в Туле. В течение 2 бесплатных дней будет показана масса оборудования, о котором говорилось в эфире, а на докладах будут рассказывать про насущные технические и кадровые темы.
Собственно, свои вопросы по DANTE и другим технологиям, а также о ближайшем будущем и работе в индустрии, смело нести туда.
Стендов с реальным оборудованием и общения будет много. Регистрация бесплатная, все кнопки здесь: https://leto.praktikum.school
Из OVHcloud рапортовали, что словили рекордный DDoS на 840Mpps в юном месяце апреле. Словили, поресёрчили трафик и, прям готовьте золотой фонд шуток, - a great part of these IPs are known as MikroTik Routers. Зис айпи, как несложно догадаться, это те, с которых к них трафло летело. Ну и судя по всему, это не только девайсы, торчащие голым портом в сеть, но и вполне себе из внутреннего периметра компаний.
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/
P.S. we reached out to MikroTik through several communication channels to expose them the situation, but had no feedback so far.
Как дать понять всем, что ты очень переживаешь за неприкосновенность своей личной жизни.
Читать полностью…
Хороший и наглядный разбор Cilium. Смело можно ознакомиться и заодно подумать над вопросом: а как дебажить модный ebpf, чтобы найти, куда делся пакет и почему он оказался там, где оказался, а не там, где ты хотел?
https://habr.com/ru/companies/kts/articles/825136/
Продолжая изучать странное, но жутко веселое: TCP-туннельчик через файл, лежащий на общей шаре. То есть, буквально, одна машина пишет TCP-данные в файл, а другая их вычитывает.
Завидую людям с такой фантазией.
https://github.com/fiddyschmitt/File-Tunnel
Быстрая заметка про винду, а то как всегда оказывается, что не все знают.
Итак, Windows Government edition. Совершенно официальная сборка винды для установки в каких надо госах. Замечательна тем, что в ней из коробки максимально вырезано всё, что бесит в версии для простых смертных: телеметрия, асистент, странные приложения, ограничения на железо и т.д. Называется примерно так: Windows 11 Enterprise G.
Это как чистый андроид, и тот, что идёт вместе с твоим самсунгом/ксяоми. Вроде выглядят одинаково, а впечатления кардинально разные.
https://techcommunity.microsoft.com/t5/windows-11/what-is-this-windows-11-enterprise-g-version-of-windows/m-p/4178053
P.S. Да, я в курсе про проекты типа Win11Debloat.
Читатель, будь что ли осторожен на работе, ну.
P.S. Камрады по электрическому цеху дали такой комментарий: ещё советская наука и ПУЭ придумали РЛНД – высоковольтные разъединители, стоящие внизу столба, чтобы любой желающий мог внизу отключить линию, а не лезть странными штангами замыкать фазу. От взрыва масла в трансе это бы не спасло, а вот глаза точно спасибо скажут, что им не надо смотреть на взрыв. Да и бежать побыстрее и подальше такие грабли несильно помогают.
Комбо статья: интересное чтиво об устройстве большой инфры для обучения большой модели. InfiniBand, 511 хостов, 128 лифов/спайнов, рейды, GPU и вот как они это всё включали и заставляли работать как им надо.
И есть прям супер фраза, после которой не остаётся никаких сомнений почему NVIDIA сейчас гребёт деньги платиновыми лопатами: A rule of thumb for GPU clusters using the newest hardware: expect about 3% of machines to break every week.
Это жесть какая-то. Там они конечно вяло отмазываются что это не те три процента о которых вы подумали, но так-то покупая топовое железо от него ожидаешь более стабильной работы. Но другого железа у нас для вас нет. Кушайте, не обляпайтесь.
https://imbue.com/research/70b-infrastructure/
Наверняка, уже все слышали про взлом офисной сети TeamViewer. Как это дело было опубликовано, товарищи как-то крайне активно пытаются замять эту историю и не оставить следов.
Всё самое интересное происходит на страничке с секурити-апдейтами. Внезапно она стала content="noindex/nofollow", чтобы поисковики её не кэшировали и не находили. Правда, потом извинились и удалили.
А так, как обычно, говорят, что украли пароли рядового гребца, продакшн сеть изолирована, спите дальше спокойно.
https://www.teamviewer.com/en/resources/trust-center/statement/
P.S. А, ну и, конечно, во всём виноваты наши прекрасные рашн хакирз. Тимвьювер тычет пальцем в сторону Midnight Blizzard.
На днях принял участие в беседе о повышении вычислительных попугаев, в которой опять всё хотели свести к тому, что давайте считать на GPU, они же еге-гей и ого-го!
И я вот что вспомнил: такая малоизвестная студия по рисованию мультиков как Pixar, неоднократно заявляла что при рендере не использует GPU, а считает всё на CPU. Шок, скандалы, интриги, расследования!!!
Так вот, мой маленький друг, любящий везде посчитать на GPU, запомни простую истину: GPU заточены на быстрое всасывание инфы и её обработку, но не отдачу. И как только доходит до того, что надо забрать с него что-то обратно, это боль, тормоза и унижение.
А что же с пиксарами? Они же видосики считают, это же самое оно. Как бы да, но есть нюанс: размер сцены для просчёта каждого кадра это, ну пусть будет, сотня гигабайт. То есть, чтобы получить все прелести рендера на GPU, нам нужна карточка с таким объёмом оперативки, чтобы туда влезла вся сцена разом, а не кусками. И тут уже начинает ролять его стоимость.
К сожалению, особо много инфы на эту тему в сети нет, но можно ознакомиться с видосом от Intel про железо на котором они рендерят свои мульты. За четыре года многое могло измениться, но крайняя специфичность железа точно осталась.
https://www.youtube.com/watch?v=-WqrP50nvN4
А для любителей помучать своё железо странным, у диснея есть расшаренная сцена одного кадра из Моаны, весящая 90 гигабайт. Дело было 8 лет назад.
https://www.disneyanimation.com/data-sets/?drawer=/resources/moana-island-scene/
