11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Тут, видимо, опять где-то что-то случилось, но спустя жалкие 41 год после релиза в тот самый виндовый Notepad добавили спелчекинг и автокорректора.
Самое смешное, что в сети есть масса недовольных. Говорят, испортили чистый и незамутнённый text editor, чтобы сделать из него очередной word processor.
https://blogs.windows.com/windows-insider/2024/03/21/spellcheck-in-notepad-begins-rolling-out-to-windows-insiders/
Товарищ с явно прямыми руками отжал себе двухтонного робота-сварщика с вагоностроительного завода, отмыл его, почистил, залил мозги и теперь у него в гараже милый рукастый ЧПУ станок.
Вытворяет он с ним всякое, можно на канале ознакомиться. Например, сделал себе копию Delorean.
https://www.youtube.com/watch?v=vXDUZpdSU_A
Готовый мануал, со ссылочками, на различные наборы юного железячника. Прям вот самый базовый набор для человека, который хочет разобраться в том, как работает железо.
https://voidstarsec.com/hw-hacking-lab/vss-lab-guide
Во времена двухтонки MS реализовали так называемое неограниченное (или бесконечное) делегирование для Kerberos. Хорошая и удобная штука, но если не выставить принудительно ей рамки и не запретить делегирование админов, может случится описываемый в статье ой.
https://www.hub.trimarcsecurity.com/post/active-directory-security-risk-101-kerberos-unconstrained-delegation-or-how-compromise-of-a-singl
Отчаянные времена требуют отчаянных мер: Cloudflare вводит новый фильтр, отсекающий AI-ботов.
Боты устраивают фейсконтроль других ботов. Кажется, в истории есть много примеров, когда после таких чисток начинались войны.
https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click/
За некоторыми кусками кода стоят очень интересные истории. Вот, например, какие эмоции у вас вызовет этот кусочек исходников sqlite?
https://github.com/sqlite/sqlite/blob/f1bf103e4e6a7735d05b902554a73909d22ca123/src/os.h#L65-L75
Очередная история успеха, делающая больно: парень решил за месяц глубоко вникнуть в QUIC и написать свою реализацию. И, что интересно, этот подлец реально месяц в него вникал и теперь хвастается достигнутыми результатами.
Менять что-то в своей жизни после таких примеров мы конечно же не будем.
https://www.meetecho.com/blog/quic-journey/
Недавно мы проводили подкаст «Дичь и красота шоу-бизнеса», в котором Виктор Шопин делился внутренним устройством сетей концертов, театров и других объектов культуры, досуга и спорта.
А 29 июля - 2 августа его команда PRAKTIKUM.SCHOOL проводит Летнюю школу Шоу-технологий в Туле. В течение 2 бесплатных дней будет показана масса оборудования, о котором говорилось в эфире, а на докладах будут рассказывать про насущные технические и кадровые темы.
Собственно, свои вопросы по DANTE и другим технологиям, а также о ближайшем будущем и работе в индустрии, смело нести туда.
Стендов с реальным оборудованием и общения будет много. Регистрация бесплатная, все кнопки здесь: https://leto.praktikum.school
Из OVHcloud рапортовали, что словили рекордный DDoS на 840Mpps в юном месяце апреле. Словили, поресёрчили трафик и, прям готовьте золотой фонд шуток, - a great part of these IPs are known as MikroTik Routers. Зис айпи, как несложно догадаться, это те, с которых к них трафло летело. Ну и судя по всему, это не только девайсы, торчащие голым портом в сеть, но и вполне себе из внутреннего периметра компаний.
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/
P.S. we reached out to MikroTik through several communication channels to expose them the situation, but had no feedback so far.
Как дать понять всем, что ты очень переживаешь за неприкосновенность своей личной жизни.
Читать полностью…
Хороший и наглядный разбор Cilium. Смело можно ознакомиться и заодно подумать над вопросом: а как дебажить модный ebpf, чтобы найти, куда делся пакет и почему он оказался там, где оказался, а не там, где ты хотел?
https://habr.com/ru/companies/kts/articles/825136/
Продолжая изучать странное, но жутко веселое: TCP-туннельчик через файл, лежащий на общей шаре. То есть, буквально, одна машина пишет TCP-данные в файл, а другая их вычитывает.
Завидую людям с такой фантазией.
https://github.com/fiddyschmitt/File-Tunnel
Быстрая заметка про винду, а то как всегда оказывается, что не все знают.
Итак, Windows Government edition. Совершенно официальная сборка винды для установки в каких надо госах. Замечательна тем, что в ней из коробки максимально вырезано всё, что бесит в версии для простых смертных: телеметрия, асистент, странные приложения, ограничения на железо и т.д. Называется примерно так: Windows 11 Enterprise G.
Это как чистый андроид, и тот, что идёт вместе с твоим самсунгом/ксяоми. Вроде выглядят одинаково, а впечатления кардинально разные.
https://techcommunity.microsoft.com/t5/windows-11/what-is-this-windows-11-enterprise-g-version-of-windows/m-p/4178053
P.S. Да, я в курсе про проекты типа Win11Debloat.
Читатель, будь что ли осторожен на работе, ну.
P.S. Камрады по электрическому цеху дали такой комментарий: ещё советская наука и ПУЭ придумали РЛНД – высоковольтные разъединители, стоящие внизу столба, чтобы любой желающий мог внизу отключить линию, а не лезть странными штангами замыкать фазу. От взрыва масла в трансе это бы не спасло, а вот глаза точно спасибо скажут, что им не надо смотреть на взрыв. Да и бежать побыстрее и подальше такие грабли несильно помогают.
Продолжаем внимательно следить за совершенно бесполезными, но абсолютно прекрасными вещами.
https://www.youtube.com/watch?v=M6nZiRVzauM
Иногда ты хочешь сэкономить денег и собираешь свой пятипортовый коммутатор.
Иногда. Но не сегодня.
https://blog.brixit.nl/making-a-linux-managed-network-switch/
Не люблю я такие новости про “один товарищ слышал, как другой видел, что третий рассказал”, но как есть: в сети заметили обновлённый список паролей RockYou.
10 миллиардов учёток.
https://dailydarkweb.net/new-rockyou2024-password-list-allegedly-leaked-with-nearly-10-billion-passwords/
P.S. Говорят, там ещё и список всех возможных пин-кодов для кредиток есть.
Казалось бы, какая мелочь, всего-то скобочки адекватные добавить в питоняшную пробельно-фигурную лапшу и готово. Код можно читать без мигрени, сразу понятно, что происходит и нет ощущения, что макака билась лицом об клавиатуру.
А ведь просто не хватало адекватных скобок...
https://pypi.org/project/Bython/
От проектов странных к вещам понятным и полезным в хозяйстве: SSH over HTTPS. Особо великой науки в этом нет, просто пара ловких пассов руками на стороне клиента и сервера. Зато как только ты оказываешься в сети, где параноидально закрыто всё кроме 80/443 и 53, ты на коне.
P.S. Повесить SSH на 443 порт слишком просто. Нужно больше инкапсуляций!
https://trofi.github.io/posts/295-ssh-over-https.html
Прекрасный по всем пунктам девайс. И выглядит красиво и умеет всякое: Packet Monitor, WiFi Analyzer, Beacon Spam, Deauth Detector.
https://www.youtube.com/watch?v=bUvBjcczzcc
Мозги можно нахватить на гитхабе:
https://github.com/cifertech/ESP32-DIV
Мне иногда кажется, что каждый разработчик, узнавший про FUSE, обязан написать своё гениальное решение по загрузке линукса из самого неожиданного места.
Радует, что автор и сам не отрицает бредовость затеи, перечисляя массу возникающих проблем, но как piece of art очень даже.
https://ersei.net/en/blog/fuse-root
Невероятный удар под дых для всех диванных экспертов в опенсурсных лицензиях, которые точно знают кто, что, когда и кому должны раскрывать: МЦСТ объявили о раскрытии своих исходников, обеспечивающих работу с их платформой.
Фикус в том, что в мире настоящих юристов крайне сложно определить кто, что и кому должен, а в случае МЦСТ можно вообще на всё вешать амбарный замок, потому что разработка велась на государственные деньги. Но, видимо, они смогли как-то всё согласовать и разработка под Эльбрусы выйдет из теневой зоны.
https://dev.mcst.ru/
Поступило предположение, что это не синяя изолента, а косплей на синюю изоленту. То есть крепление заводское, надёжное, просто в форме изоленты.
Что думаете?
И снова о немного странном, но интересном и кому-то даже важном. ktunnel – тула, поднимающая туннельчик от кубового кластера до локальной машины и делай с ним что хочешь. Почувствуй себя нодой, так сказать.
https://github.com/omrikiei/ktunnel
Вот она, квинтэссенция девопса, мощи экселя и лени человеческой – SheetOps. Всё, что вам нужно для управления кубовым кластером, всё есть в этой эксельке.
Всё остальное можно удалять как рудимент.
https://github.com/learnk8s/xlskubectl
Кстати, дамы и господа, не линкмитап конечно, но осенью в питере собираемся на PGConf.СПб 2024 - главный ивент про PostgreSQL в городе.
Всё случится 1 октября (кстати, билеты сейчас со скидками), а пока идёт приём докладов.
https://pgconf.ru/SPb-2024-10
Одна из проблем мироздания, над которой и не задумывался, пока тебя в неё носом не ткнули: почему PIDы стартуют с 1, а UIDы c 0?
https://blog.dave.tf/post/linux-pid0/
Хорошая новость(или уже старость) для подозревающих, что их подслушивают - вас действительно подслушивают!
Недавняя CVE-2024-27867, вскрывшая уязвимость в AirPods. Всего-то делов перехватить Bluetooth MAC - и вот всё, что происходит в ушах жертвы, знают и ваши уши.
https://support.apple.com/en-us/HT214111
Из CISA подвезли новую версию доки про пароли. Опускаем всю скуку, переходим к мякотке: отныне рекомендуемая минимальная длина пароля это 16 символов, а хранить их строго в менеджере паролей.
Иди, обрадуй тётушек в бухгалтерии, что вы следуете лучшим практиками и пора обновить бумажку на мониторе.
https://www.cisa.gov/secure-our-world/require-strong-passwords
P.S. Сразу пошутим все шутки про вражескую цису и чего это мы их бумажки читаем. Так уж получилось, юзернейм, что вражеская циса – это такое редкое место, где генерируются крайне годные доки относительно ИБ. А что случается с крайне годными доками? Правильно, постепенно они растекаются по индустрии в виде политик, указаний, руководств и так далее. Так что через полгодика жди бумажку сверху, где будет цифра 16 в минимальной длине пароля.
