11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Заговоры масонской ложи в реальном мире или зачем вычислять по IP, если можно вычислить по карте.
https://x-it.medium.com/how-to-track-realtime-location-of-any-telegram-user-2-methods-ec09d873b839
Пока вы там переживаете, сколько фул вью и впн с шифрованием можно запихать в ваш домашний роутер, правильные пацаны запускают на тплинках GTA: Vice City.
С оговорками на eGPU(Radeon HD 7470) и дебиан(спасибо порту на PowerPCSPE), но не будем привередничать, ибо TP-Link TL-WDR4900 уже лет десять как, если память не подводит.
https://kittenlabs.de/real-gaming-router/
Пс-с-с, ты никому не говори, но 4 июня в Новосибирске будет линкмитап, и самые ловкие спикеры уже могут подавать заявки на доклад. Ходят слухи, что слотов всего 20 и в большой семье не стоит совершать щёлкающие движения клювом.
https://forms.yandex.ru/u/65e752d9c09c02197369b5cf/
Расскажи о своем факапе и получи обучение от Слерм.
Ошибки делают все. Yandex падал, Сloudflare падал, Vk падал… и каждый из нас падал и совершал ошибки)
Чтобы своевременно их исправить, нужны знания. А чтобы рассказать о них остальным — уверенность в себе и самоирония!
Поделись своим самым ярким эпик фейлом и получи обучение в подарок.
Что надо сделать?
- Ты рассказываешь о своем факапе здесь. Айтишные факапы могут быть связаны не только с кодом.
- Мы выбираем самые интересные истории и дарим победителям обучение.
- Итоги подведем 11 марта в нашем канале Slurmnews
Важно.
- Успеть написать до 10 марта.
- Факапы, любым образом связанные с работой в it очень приветствуются!
- Пиши максимально подробно, чтобы мы могли погрузиться в контекст.
А подарки получат все!
- 1-2 место — бесплатное место на потоке «Go-разработчик»
- 3-4 место — скидка 50% на курс
- Всем остальным — скидка 20%
Кто будет выбирать победителя?
Команда Слёрм совместно с Виталием Лихачевым, Senior Software Engineer в Avito и по совместительству спикером курса «Go-разработчик», рассмотрят историю каждого.
П.С. Компании и личные данные останутся анонимными
Реклама ООО «Слёрм» ИНН 3652901451
В сети уже несколько дней громыхает отказ HDMI форума от поддержки открытых драйверов от AMD. У одних горит тухес от месяцев спущенной в унитаз работы, у других – от решения закрыть 2.1 спецификацию и ощущения тупиковой ветви эволюции.
Словом, горит у всех и все оскорбились. По курилкам предвещают, что с такими приколами HDMI сами себя зароют и победит DisplayPort.
https://www.phoronix.com/news/HDMI-2.1-OSS-Rejected
Если есть лишняя штука евро, чемодан и 12 дней, то можно в чемодане собрать автомобиль в миниатюре. Вернее, его электрическую часть. В статье товарищ запускает мозги от Volkswagen Passat B8 2016 года.
За изобретение пять, а за Зачем - полное не понял.
https://blog.quarkslab.com/how-i-built-a-car-in-a-box.html
Если нужен пример чего-то про через подмышку и в сапоги, то вы в правильном месте: побег из QEMU через кастомный VirtIO девайс. Дыру нашли в обработчике очереди запросов между девайсом и драйверов, что позволяет бегать за пределы выделенной памяти. Правда, для этого придётся свой драйвер написать. И запихнуть в ядро. Но кого волнуют такие мелочи.
https://blog.bi0s.in/2024/02/28/Pwn/bi0sCTF24-virtio-note/
Ну вот что здесь сказать?
Подломить WiFi через порт NAT – это интересно, вопросов нет. Вся история про хитросплетения последовательностей из-за недостаточно параноидальной проверки обратных маршрутов через TCP окно – уже звучит страшно. И даже большой список задетых девайсов – ужас и кошмар. Но какой реальный урон от всего этого может быть?
https://www.ndss-symposium.org/wp-content/uploads/2024-419-paper.pdf
Нет повести печальнее на свете, чем статический сайтец в облаке, на который приехал ддос, а следом владельцу приехал счёт за трафик.
Или как попасть на $104k, потому что просто так.
https://old.reddit.com/r/webdev/comments/1b14bty/netlify_just_sent_me_a_104k_bill_for_a_simple/
Продолжая тему импортозамещающих докладов с линкмитапа, переходим к докладу камрадов из Ростелеком-ЦОД, в котором они поделились своим опытом построения испытательной лаборатории для всякого.
https://www.youtube.com/watch?v=NNzO1Fdpmoo
Хорошее и правильное мнение касательно сложившихся корпоративных стандартов IT-безопасности. Всем подавай бумажки и неважно, о чём они, ИБД и отчётность возведены в культ, а на местах все привыкли решать какие угодно задачи без оглядки на реальные потребности бизнеса. Ну и денег мало, как без этого.
https://crankysec.com/blog/shite/
После фейковых историй про ботнет из зубных щёток немного реального взлома тех самых щёток.
Мир может спать спокойно.
https://www.youtube.com/watch?v=-qvn0YUiH5o
Гитхабик:
https://github.com/atc1441/ATC_Wifi_Toothbrush
И вот так всегда. Сначала ты просто хочешь обновить карты в навигаторе машины, а потом выясняется, что там двоичный протокол передачи файлов на .xs, потом вспышка слева, вспышка справа – и вот ты уже пишешь бекдор для машины.
https://goncalomb.com/blog/2024/01/30/f57cf19b-how-i-also-hacked-my-car
Ещё одно доказательство, что лучшие бизнес ноуты это ThinkPad.
Товарищ превратил свой ThinkPad X1 Carbon шестого поколения в программируемый USB девайс с помощью xDCI контроллера. Получилась очень умная флешка с процессором =)
https://xairy.io/articles/thinkpad-xdci
Так и живём: хочешь вправить мозги своей стиралке, а тебя шлют лесом и приходится самому брать в руки хекс-редактор.
Особый цимес в том, что автор обозначает себя как полного профана в этом деле, просто прижало и пришлось разбираться.
https://www.genbeta.com/seguridad/pidio-firmware-su-lavadora-averiada-al-fabricante-se-nego-asi-que-ha-hackeado-derecho-a-reparar-esta-su-lado-1
Автор – очень хитрый человек. Всё подробненько описал, кроме самого жира – какой такой хитрый колбек и BYOVD позволили Lazarus подломить AppLocker (appid.sys), чтобы получить ручки с правами ядра? Обошли ли они kCFG или нашли сильно спрятанную функцию?
Кому все эти детали скучно читать, просто смотрите CVE-2024-21338.
А кому интересно, наливайте какаушку – и вперёд. Зеродейчик вышел шикарный, да.
https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/
Пока вы по чатам зубоскалите над очередными багами очередного вендора, есть люди, у которых работа – это принимать на грудь народный гнев и разгребать что происходит.
Артемий Махонин из техподдержки Кода Безопасности рассказывает, почему не всегда всё однозначно и как максимально эффективно с ними работать.
https://www.youtube.com/watch?v=_G92Gq08s9I
Оказывается, так тоже можно было...
P.S. Toughbook CF-W2
Ничего себе! Давненько я принтаков от Lexmark не видел.
Читать полностью…
Я тут уже несколько раз пел дифирамбы команде рэд була за умение реализовывать самые крышесносные идеи. В этот раз они устроили гонки дрона и болида F1. В дождь. Снимая всё с дрона. На скорости 300км\ч.
Да, это самый быстрый дрон в мире, на данный момент. Пять лошадиных сил на 985 грамм. Это 5000 л.с. на тонну.
Отвал башки, конечно.
P.S. Самые нетерпеливые могут мотать на девятую минуту.
https://www.youtube.com/watch?v=9pEqyr_uT-k
Из CF порадовали: выкатили фреймворк для создания сетевых сервисов, писанный на расте и весь такой из себя безопасный, что прям бери и пользуйся.
https://blog.cloudflare.com/pingora-open-source/
Кто это мы?
Кто такие мы, я вас спрашиваю???
Эксель и дух скрепыша? Или весь сапорт майкрософта из Бангладеша?
Медленно, но верно – мы дожили до публикации первой версии диздока про Secure shell over HTTP/3 connections.
Это так, к недавнему обсуждению.
P.S. SSH3 – это прям лютый фейл в названии, конечно.
https://www.ietf.org/archive/id/draft-michel-ssh3-00.html
Если вы вдруг проспали последние несколько дней, то в интернете бурлит кипишь на тему заявления увОжаемых людей из CISA и прочих, кто рядом стоял, что C и С++ – небезопасные языки, поэтому срочно выкинуть их на помойку истории и начать использовать безопасный Rust. А лучше даже Go. Пруфов не будет, но вы нам поверьте. Вот прямо так и написали:
Experts have identified a few programming
languages that both lack traits associated with memory safety and also have high proliferation across critical systems, such as C and C++.
С полным текстом ознакомиться можно тут: https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf
Такой битвы мемов сеть давно не видела.
В блоге Netflix Engineering вышла статья про их проект bpftop. Консольная тула для мониторинга и оптимизации eBPF программ.
Отсюда простой вывод (не сильно удивительный, если задуматься): в нетфликсе прониклись силой eBPF и активно пилят на нём всякое, для чего возникла необходимость написания подобной тулы. Судя по описанию, пока это нечто среднее между просто мониторилкой и профайлером, но вполне заслуживает внимания.
https://netflixtechblog.com/announcing-bpftop-streamlining-ebpf-performance-optimization-6a727c1ae2e5
Крайне важные знания вам на сегодня:
- В коде линуксового ядра неуклонно падает количество упоминаний "fuck", но стабильно растут упоминания "crap".
https://www.vidarholen.net/contents/wordcount/
- Вообще, кажется, контрибьюторы в ядре проходят курсы по управлению гневом, но Линус явно не сдаётся
https://www.vidarholen.net/contents/wordcount/#fuck*,shit*,damn*,idiot*,retard*
- А вот с курвой вообще беда какая-то
https://www.vidarholen.net/contents/wordcount/#kurwa
Самое оно для решивших окунуться в страшные вещи, начинающиеся на С. Экскурс в устройство ELF-файлов.
Особенно мне нравится первый пункт: давайте просто откроем его блокнотом. Но дальше всё по-честному, не бойтесь.
https://jvns.ca/blog/2014/09/06/how-to-read-an-executable/
Я извиняюсь, а это какой-то плагин vim'a? Ведь правда?
Два режима, вроде всё сходится...
P.S. Шутки про выйти из вима резко влезатают в цене на бирже мемов.
Вы совершенно точно не захотите показывать это своим детям, однако знайте - isovalent сделали детскую книжку с картинками про eBPF. Так что если мануалы из многа букав слажна, теперь можешь беспалевно разглядывать приключения пингвинёнка и пчёлок, прикрываясь детьми.
Книга тут: https://ebpf.io/books/buzzing-across-space-illustrated-childrens-guide-to-ebpf.pdf
Озвученная версия здесь:
https://www.youtube.com/watch?v=PqNs89tXxE4
