11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Закрываем тему четвёртого линкмитапа традиционным отчётом, где рефлексируем над произошедшим, раскладываем всё по полочкам и открываем некоторые тайны минувшего. И пока уходим в отпуск.
https://linkmeup.ru/blog/2407/
Что интересно в разработке под старые платформы, приходится на каждом шагу трижды изворачиваться и следовать строгой типизации, дабы соблюсти ограничения железа.
Нынче ужом крутиться приходится гораздо меньше, однако я пока ни разу не слышал жалоб, что навык впихнуть невпихуемое и оптимизировать даже самыми странными путями кому-то оказался лишним.
В отличии от (сейчас скажу страшное) олимпиадного программирования. Это вещь настолько сама в себе, что неприменима в реальной жизни примерно полностью.
https://habr.com/ru/articles/767144/
Ребятушки, у нас с митапа осталось N стикерпаков (да и в принципе можем ещё допечататать) которые отчаянно жгут карманы, и мы готовы разослать их безвозмездно, то есть даром.
Заполняем форму с адресом и ждём весточку от мсье Печкина. Чем раньше заполните, тем выше шансы на успех.
https://forms.yandex.ru/cloud/652e3d9090fa7b31b72e03cc/
Ответственный за рассылку – @voxlink, так что все вопросы строго ему.
26 октября в 11:00 «Код Безопасности» зовёт всех на большой онлайн-стрим о будущем безопасности ИТ-инфраструктур. В этот раз без суровой техники, но визионерские размышления о будущем российского рынка ИБ, защиты сетей, конечных точек, а также сред виртуализации.
Обещают рассказы о ключевых новинках, которые должны увидеть свет в будущем году:
• Континент 4.1.9 и 4.2
• Континент TLS 2.6
• Континент 3.9.3 КС и КВ
• vGate 4.9
• Secret Net Studio для Windows и Linux
• Соболь 4.5
Все кнопки здесь
Статья хорошая, но если вы не слышали про синфазный шум, типы модуляций и где у оптики дисперсия, это может быть больно.
Но интересно.
И слов умных узнаете.
А вообще, конечно, поражает, что база всех подобных вещей была придумана *дцать лет назад, а технологии, позволяющие реализовывать комбинаторику в железе, только-только появляются.
https://habr.com/ru/companies/ua-hosting/articles/766414/
Буквально минута, чтобы вспомнить, как круто это было.
И буквально такая же минута, чтобы покусать свои локти, жалея, что пропустил.
P.S. Соседские тоже можно кусать, мы не против.
https://www.youtube.com/watch?v=Xigx81rOm60
Все респекты за съёмку и монтаж уходят Коду Безопасности.
Дамы и господа, а ведь уже заканчивается регистрация на десятый, юбилейный Big Monitoring Meetup 19 октября 2023 года в Москве.
Расписание и темы докладов ловить тут: https://monhouse.tech/big-monitoring-meetup-x/
Докладчики:
• Александр Лукиных [ X5 Технологии ] Начальник управления централизованного мониторинга
• Даниэль Халиулин [ Тинькофф ] Технический менеджер продуктов
• Алексей Проневский [ Cloud ] Лидер ситуационного центра
• Константин Струлев [ SmartDCIM ] Генеральный директор
• Алексей Незнанов [ Schlumberger ] Senior Data Scientist, [ НИУ ВШЭ ] Старший научный сотрудник международной лаборатории интеллектуальных систем и структурного анализа
• BMM Talks: Беседуем о мониторинге мечты с Кириллом Плетневым [ Яндекс ] и Никитой Каракозовым [ Звук ]
Параллельно с общей программой состоится круглый стол "Особенности национального мониторинга", организаторы конференции Big Monitoring Meetup X совместно с генеральным партнером мероприятия «Тинькофф» приглашают IT-руководителей обсудить настоящее и будущее мониторинга в России.
Обратите внимание, на него отдельная регистрация.
Эксперты:
• Андрей Синицын [ VK ] Руководитель группы SRE коммуникационных сервисов
• Иван Липкин [ НСПК ] Руководитель управления прикладного мониторинга
• Евгений Серебряный [ Saymon ] Руководитель департамента аналитики
• Александр Лукиных [ X5 Технологии ] Начальник управления централизованного мониторинга
• Владимир Томашев [ Тинькофф ] Руководитель продукта Sage
Бесплатная регистрация на конференцию Big Monitoring Meetup X
Чат сообщества | Группа VK
Митапы митапь, а про подкасты не забывай.
В это воскресенье обсуждаем моднейшую нынче тему NTA - Network Traffic Analysis c Денисом Батранковым из Positive Technologies и Сергеем Плотко из Цифровых Решений.
- Хакеры работают от имени сотрудника легитимными утилитами и поэтому их видят уже когда они начали уничтожать системы
- В компании много нелегитимных устройств и софта (Shadow IT) и поэтому мы не контролируем свою сеть, а хотелось бы
- Прослушивать трафик сложно - требуется очень глубокий разбор протоколов и обогащение и надежные устройства для съема трафика
Когда: 21.10.2023 14:00.
https://linkmeup.ru/blog/2402/
Вы так много об этом просили, что мы даже забыли сказать об этом отдельной новостью - все доклады митапа выложены на портале.
Логиньтесь, смотрите, получайте удовольствие.
https://online.linkmeetup.ru/rec/
Мне кажется, это история из разряда тех, после которой любители досконального изучения теории потрясают своими манускриптами и с огнём в глазах кричат на площадях "Я же говорил!".
Как наверняка многие сейчас вспомнят, IP-адрес можно записать не только в десятичном и двоичном виде, но и примерно в любом другом понятном комплюхтеру и даже комбинируя их. Причём, чисто технически, все записи будут равнозначны и должны работать одинаково. Чем, собственно, и воспользовались авторы ботнета ShellBot. Никакого рокетсаенса внутри него нет, просто ребятишки использовали адреса в HEX-виде. Как итог, системы защиты даже не пытались понять, что происходит, если после стандартного http:// стоит странное 0x2763da4e, и пускали трафик в обе стороны.
https://asec.ahnlab.com/en/57635/
Не успеете выдохнуть после линкмитапа, а уже пора будет идти на шестой по счёту nexthop - он пройдёт 20 ноября в Omega Rooftop на Цветном бульваре - да, выросли из Экстрополиса.
Теперь большие.
Будет два зала и 19 докладов про передний край сетевых технологий.
Количество мест всё ещё ограничено.
nexthop → 2023
Говорят, тут последнее время полюбили всякие беспроводные хулиганства, где нужны только телефон и пара пальцев.
Собственно, мечта каждого юного мамкиного хацкира – подломить вифи сеточку. Сегодня на арене wifite. Наловите хэндшейков, дайте хороший словарь и оставьте телефон немного подумать.
https://www.mobile-hacker.com/2023/08/29/nethunter-hacker-viii-wi-fi-hacking-using-wifite-deauthentication-and-wardriving/
Любопытство – не порок. Порок – безразличие. Поэтому хоть нас про это и спросил уже каждый второй через личку, сообщаем ответ ещё раз и на всех разом.
Доклады с линмитапа нарезаны и обработаны, но на выходных надо отдыхать и проводить время с пользой, а не в экраны пялиться. Так что всё будет опубликовано в понедельник.
Если кто пропустил:
- Каждом купившему билет рядом с письмом с билетом приходило письмо с доступом до онлайн трансляции.
- Все видео и презы будут доступны по этим кредам.
- Если в порыве борьбы за чистоту почтового ящика письмо с кредами было отправлено в Вальхаллу, то на online.linkmeetup.ru есть кнопка "восстановить пароль".
- В паблик записи тоже будут выложены. Но сильно (это важное слово) позднее.
- Если вам чего-то не хватило на раздаче, досталось бракованное или ещё какой-то наш косяк делает вас грустнее - обязательно пишите, мы примем все меры чтобы вы снова обрели счастье.
https://youtu.be/aIV-xN8VpZg
Слушайте, а ведь облако – это когда много свичей и все они связаны между собой? Ну, там, лифы, спайны и другие умные слова.
У меня уже облако или надо докинуть ещё пару железок для надёжности?
Как наверняка запомнил уже каждый, валидность BGP надо проверять и лучше всего это делать с помощью RPKI ROA.
Во всяком случае такое мнение чаще всего встречается в сети. Но это не значит что других вариантов нет. Например, сейчас на стадии драфта находится проект Autonomous System Provider Authorization - ASPA. Его разработчики копают в сторону защиты от Route Leaks и пусть пока это только драфт, первые наброски тулзов уже начали появляться.
Да, похоже пора начинать учиться новым трюкам.
https://rfc.hashnode.dev/aspa-path-verification-explained
Когда мне говорят, что у сетевиков запутанная система выдачи жёлтых штанов сертификации, я предлагаю посмотреть на возможные пути получения красивых бумажек у безопасников и пойти дальше спокойно читать свой CCNA.
https://pauljerimy.com/security-certification-roadmap/
Задумался автор чисто по фану посчитать, сколько стоит взлом хэндшейка от WiFi на современных железках. Прям в лоб и дуболомно: мегахэши, цена аренды, синус, косинус, интеграл туда, дифура сюда – и вот некая цифра.
А простые люди как-то слишком близко к сердцу такой подход восприняли и вот уже битва на ~170 каментов. А потом говорят, что по работе загрузка большая и ничего не успевают.
https://habr.com/ru/articles/767164/
Дошли руки почитать разбор той самой DDoS-атаки HTTP/2 Rapid Reset. По итогу прочитанного в который раз поймал себя на мысли, что горе от ума преследует сети с маниакальной настойчивостью.
Был (есть) простой и понятный HTTP. Запрос ушёл – ответ получил – жизнь удалась.
Но это слишком просто, поэтому внутрь него надо запихнуть ещё один протокол, внутри которого будут сложные алгоритмы приоритизации и мультиплексирования. А ещё часть TCP-логики тоже пусть в нём будет, хотя работает это всё внутри TCP-сессии.
А потом будем удивляться, что где-то у нас поломалось.
Будьте проще и люди к вам потянутся, ну.
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
Циска, может, и сбежала, поджав хвост, а вот железки её никуда не делись. Как и дыры в софте. А там буквально на днях вылезла уязвимость на 10 из 10 по любой шкале. Дырень эпических масштабов прямо в веб-гуе (простите нас, Игорь Станиславович, убогих, языка не знающих), позволяющая создавать натурально админа или творить любой беспредел без предварительных ласк.
Цискари в своё оправдание мямлят, что рекомендация отключать веб-сервер всегда была в первых рядах, но когда их ломанули скриптом на 29 строк в полтора POST-запроса, держаться стало совсем сложно.
Обновитесь, что ли.
Не является инвестиционной рекомендацией.
И вообще никакой рекомендацией не является.
Лучше ничего не трогайте, чтобы потом рассказать клёвую историю.
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
В ядре Linux 6.6-rc6 залечили багу, вокруг которой развернулись очередные бросания какашками на тему минусов монолитной архитектуры ядра. Да и бага, если уж честно, такая, что мне казалось, про такие уже и забыли все, что так вообще бывает.
TL;DR выдёргивание логитековского юсб-свистка приводило к падению ядра.
И тут хочется отметить, что действительно, когда машина падает из-за ошибки с юсб девайсом, слушать аргументы за монолитность даже как-то и не хочется больше.
Но зафиксили и ладно.
https://git.kernel.org/pub/scm/linux/kernel/git/hid/hid.git/commit/?h=for-linus&id=dac501397b9d81e4782232c39f94f4307b137452
P.S. Но вообще багов про странное и юсб как-то подозрительного много пошло. Вот, сами посмотрите.
https://bugzilla.kernel.org/show_bug.cgi?id=217412#c58
https://bugzilla.redhat.com/show_bug.cgi?id=2227221
https://bugzilla.redhat.com/show_bug.cgi?id=2227968
https://bugzilla.redhat.com/show_bug.cgi?id=2242189
Немножко пост-линкмитапной милоты.
Кто был на стенде ребят из InRack, наверняка помнит их розыгрыш дисков. А уже после митапа, среди визиток было найдено письмо Деду Морозу:
"У нас в организации три сервера на дисках 2010 года и ксеонах 5506. Дед Мороз, подари мне AMD FX 8350X".
Ну и ребята решили задарить человеку немножечко счастья, без томительного ожидания нового года.
/channel/inrack_connect/167
Приятная приятность для любителей *BSD - релиз OpenBSD 7.4. По счёту релиз 55й, а по версии – 7.4
Обожаю магию циферок.
https://marc.info/?l=openbsd-announce&m=169746103423179&w=2
И немного о другой главной интриге митапа - лучший доклад.
По итогу мощнейшей зарубы первое место занял Дмитрий Ипатов и его доклад "Как устроен кеш-сервер в OkkoCDN".
Целиком и полностью заслуженная победа! Доклад действительно очень крутой, под завязку наполненный техническими деталями и в очередной раз доказывающий, что о технологиях надо рассказывать на конкретных примерах, а не абстрактно махая руками в воздухе.
Дмитрий молодец, что подался, Okko молодцы, что поддержали его. Все кругом молодцы.
Прочтение этой статьи вызывает острый приступ ностальгии по одноранговым сетям, коаксиальным терминаторам и неприятное жжение в кончиках пальцев от уколов тонкой медной проволокой из экрана.
https://habr.com/ru/companies/timeweb/articles/765526/
Любимая рубрика "Нам пишут".
Причём в этот раз пишет не абы кто и не про мужика в юбке, а про название. Оказывается, оно у нас неправильное всю дорогу было. Сплошные понты и разводки под социальное одобрение.
Так что после консультаций с лучшими филологами страны было принято решение переименовать рабски калькированный "linkmeetup" в совершенно свободный "Ссылка Летучка Вверх".
Не допустим больше подобного позора!
Зарядиться позитивной положительной энергией на неделю вперёд можно в тредике протоколе собрания https://vk.com/wall595760_5886
P.S. Вот интересно, а сколько таких агрессивно радеющих за чистоту языка утруждали себя хотя бы на базовом уровне узнать, что такое русский язык и из чего он состоит? А то вдруг окажется, что большая часть слов их лексикона к славянским языкам вообще никакого отношения не имеет.
P.P.S. Зело советую посмотреть ролик про русский язык от Арзамаса. Будет интересно. Челом бью.
Новость любителям циферок и заковыристого нейминга QSFP модулей. Лично я в них уже давно запутался и просто киваю головой.
Итак, спецификацию QSFP-DD MSA проапгрейдили до v7 и теперь у нас есть (или могут появиться) QSFP-DD1600 на 1,6 тера. Реализовано это на восьми линиях по 200Г и чисто технически это открывает дорогу к 51,2Т на ящик с потреблением меньше 2кВт
Для любителей красивых картинок, схем и температурных графиков есть увлекательная дока.
http://www.qsfp-dd.com/wp-content/uploads/2023/09/2023-QSFP-DD%20MSA-ThermalWhitepaper.pdf
Коллеги, я в замешательстве!
Как можно допустить, что фаза и ноль разного сечения??? Да ещё и на скрутках вместо ваг.
Форменное безобразие, конечно.
Видос от Тома Скотта, где он рассказывает про Чрезвычайно Большой Телескоп. Вполне вероятно, что это предельный размер оптического телескопа, который в принципе возможно построить.
Очень крутой рассказ, но моя давнишняя любовь – это главное зеркало телескопа. Просто представьте, что сварить и правильно остудить болванку под такое зеркало занимает больше года. Это не шутка. В истории есть случаи, когда из-за слишком быстрого охлаждения подобные зеркала лопались. Просто представьте себе техпроцесс длиной в год-два, который, оказывается, был слишком быстрым, и начинай всё с начала.
А сколько это потом шлифуется, а какие там допуски. Песня! Под такие изделия строятся отдельные цеха размером с десятиэтажный дом. Цена ошибки настолько велика, что транспортировку репетируют несколько раз с ММГ, строя новые дороги, мосты и продумывая защиту от самых маловероятных событий, лишь бы не запороть результаты нескольких лет работы. И всё равно, потом может оказаться, что где-то в толще этого куска стекла весом под сотню тонн не смогли найти милипизерный пузырёк воздуха, из-за которого всё надо начинать по новой.
Но там весь объект – полный отвал башки, конечно.
P.S. Помнится, на Гавайских островах тоже хотели строить 30-метровый телескоп, но оказалось, что папуасы там поливают камни водичкой место занято для более важных дел.
https://www.youtube.com/watch?v=QqRREz0iBes
Уровень замороченности - эпически прекрасный.
Чувак решил в 2023 сдампить бутром оригинального XBox из 2001. Который Intel x86 CPU JTAG.
Если возникает вопрос о практической пользе данного мероприятия, то ответ лежит в области готового мануала как делается джейлбрейк на уровне железа.
https://blog.ret2.io/2023/08/09/jtag-hacking-the-original-xbox-2023/
Лучшее, что можно сделать в пятницу – это послушать LTE №24 с Олегом Бартуновым и ходить на позитиве все выходные. Мы говорили про OSS, почему с открытым софтом происходит что происходит, как проекты вроде постгреса умудряются сохранять свою самобытность и в чём сила комьюнити.
- Степени развития опенсорса: времена романтиков прошли, времена коммерсантов мы наблюдаем сейчас, а чьё время дальше?
- IBM, Red Hat, Hashicorp и тысячи их. Законы бизнеса, закономерности и ничего удивительного.
- Не надо путать опенсорс одного человека с опенсорсом, за которым стоит сообщество. К первым потеряно всякое доверие.
- Как Postgres умудряется оставаться открытым, бесплатным и независимым? Кому это выгодно?
- Опенсорс – это не про деньги, но без денег он мёртв. Как и без юристов.
- Как благодаря опенсорсным проектам Россия достигла такого высокого уровня цифровизации.
- Лицензии опенсорса больше не отличаются от закрытых проектов. Это не плохо, это очередной шаг эволюции.
- Чем зрелое сообщество отличается от мейнтейнера с синдромом вахтёра? Примеры реальных историй из жизни Postgres и как уберечь свой проект от волнений внешнего мира.
https://linkmeup.ru/podcasts/2400/
https://www.youtube.com/watch?v=Vd8yChC-Vxk
https://vk.com/podcast-54456105_456239317
