11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
Интереснейшая визуализация LLM. Интеративненько и наглядненько.
https://bbycroft.net/llm
Интерактивная карта ядра линуксов, со ссылочками на всякое полезное.
https://makelinux.github.io/kernel/map/
Проект подзаброшен, но если захочется нарисовать своё или исправить, то есть сорцы
https://github.com/makelinux/linux_kernel_map
В качестве быстрых знаний, для тех, кто не любит читать скучные документы, объяснение одной из загадок человечества: с какого рожна винда по дефолту шарит корень каждого диска, выставляя в сеть \\host\C$
TL;DR Сей ночной кошмар каждого безопасника принёс LanManager.
https://learn.microsoft.com/en-us/archive/blogs/larryosterman/why-does-windows-share-the-root-of-your-drive
Вот так и живём: вчера все идейные с горящими глазами молятся на тебя, потому что ты икона борьбы с хромом, а сегодня предлагают выпилить из дистрибутива.
Примерно это происходит сейчас с Firefox и Manjaro.
Простые люди крайне удивлены (мягко говоря), а более свободные рассказывают ужасные вещи про покупку рекламного агентства, а значит теперь слежка, наркотики и смерть. Бугурт начался со 128 релиза.
https://forum.manjaro.org/t/should-we-change-the-default-browser-with-our-next-manjaro-release/165681
Недавно тут вспоминал FUSE и что каждый скучающий уже написал себе свою ФС и невероятно горд этим. Собственно, ещё один пример. Но пример хороший и продуманный, а не типичный поток сознания "Вот тут я сохраняю файлик, а вот тут пишу, вот какой я молодец". Тут автор молодец и думает о структуре, в первую очередь.
https://blog.carlosgaldino.com/writing-a-file-system-from-scratch-in-rust.html
Для тех, кто любит позабористее: девять лекций почти на десять часов общей длительности, где исследуется исходный код интерпретатора Python. Который эталонный CPython, так что внутри очень много чистого С кода, написанного по всем заветам и практикам.
https://www.youtube.com/playlist?list=PLWkTsO24LpD-k7AgYKEpb2M2SZn-NlKTo
Тот самый случай, когда готов кидаться деньгами в монитор.
Читать полностью…
Как там говорят по курилкам? IPv6 безопасный, потому что слишком большой и сканирование обречено на провал?
Собственно, у нас для вас плохие новости.
https://blog.apnic.net/2024/06/25/exploring-ipv6-scanning-activities-and-prefix-discovery/
Как учившийся делать сайты на чистом html в блокноте по странным книжкам а-ля “Первые шаги в интернете с Internet Explorer 5”, полностью поддерживаю автора.
https://motherfuckingwebsite.com/
Самураи из Sony закрывают свой завод по штамповке CD, DVD и прочих Blu-ray. Говорят, не надо оно никому.
Аудиофилы, конечно, дико удивились, но вот как есть. Видимо, надо ждать второе пришествие в виде небольших заводиков, как это стало с винилом и кассетами.
https://av.watch.impress.co.jp/docs/news/1604689.html
P.S. А хранит кто наши кассеты в нераспакованном виде, чтобы внукам передать?
Биосы, кажется, мы тут ещё не писали. Особенно на асме. Особенно для загрузки в 64-bit.
Кстати, выглядит всё не так уж и гиперсложно. Только если руки не трясутся от попыток осознать, что ты какие-то там регистры двигаешь.
https://thasso.xyz/2024/07/13/setting-up-an-x86-cpu.html
А поднимите руки те, кто по молодости пытался удалить нейтив влан?
А потом те, кому это удавалось?
Если с тех времён остался незакрытый гештальт, пора разобраться.
https://lostintransit.se/2024/07/08/why-do-we-have-native-vlans/
Для желающих познать мир пентестинга андрюшиных приложений, гайд по вкатыванию с картинками.
Для самого старта самое оно.
https://owlhacku.com/introduction-to-android-pentesting/
Объяснение из первых рук фееричной истории про утечку(хотя можно ли назвать это утечкой вообще) токена с правами полного доступа к репозиториям Python, PyPI и прочего питонячьего на гитхабе.
Как-то вроде никто особо и не виноват, но получилось неприятненько. Интересно как это будет учтено в будущих сборках.
https://blog.pypi.org/posts/2024-07-08-incident-report-leaked-admin-personal-access-token/
vx-underground выложили в свободный доступ (временный, вроде как) их коллекцию всякой малвари.
Для понимания масштабов:
- Архивы на 222 гига
- 123915 образцов
- Сортировка на 763 вида
Пароль infected. Только это, юзернейм, перед тестами отруби сеть. Лучше физически.
https://vx-underground.org/tmp
Если не врут, то история полный сюр. Но это нормально.
По интернетам запустили слух, что скромная авиакомпания из Далласа Southwest Airlines не упала во время победоносного шествия по планете CrowdStrike т.к. не обновляла свой софт с 1992 года и вообще там винда 3.1
На тему 3.1 написали уже многие, почему такого быть не может, однако лучше всех выступили их пиарщики, сообщив что вообще-то они используют один единственный Commodore 64, стоящий где-то на складе.
Шутки-шутками, но они действительно не упали.
https://www.tomshardware.com/software/windows/windows-31-saves-the-day-during-crowdstrike-outage
Хочу (eucariot) провести вечерний микромитап для сетевиков, админов и девопсов в Новосибирске. 15 августа ориентировочно.
20-40 человек, 3-4 докладика, пицца, пиво, поболтать.
Мероприятие пройдёт в офисе Яндекса. Сейчас определяю в каком - городском или академовском.
Обзор того самого кукурузно-архитектурного коммутатора, о котором рассказывал Антон Гузарев в недавнем подкасте.
https://habr.com/ru/companies/mclouds/articles/829442/
Открыл новый для себя способ емейл спуфинга - контрабанда SMTP.
Однако есть ощущение, что нынче встретить железку, спокойно реагирующую на CR и LF – это прям достижение. Реджект – да, а молча пропуститься – как-то сомнительно.
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
Продолжаем бродить по блогу Даниэля, и сегодня другой его экзерсис про 802.1Q – как будут реагировать неуправляемые коммутаторы на сабж.
Если сразу хочется воскликнуть, что они должны покорно перенаправлять пакеты дальше, ибо ничего не знают про вланы и не их дело в них нос совать, то вас ждёт сюрприз.
https://lostintransit.se/2024/07/09/802-1q-tagged-frames-through-unmanaged-switch-forwarded-or-dropped/
Опять всё неспокойно в мире кровавых корпораций и светлых лиц. На сей раз случился (вернее, происходит) классический делёж нейминга и товарных знаков. Собственно, всё довольно бесхитростно: SUSE попросили переименовать openSUSE, потому что особенно никто им и не разрешал использовать слово SUSE. А тут уже и люди путаются, и вообще негоже как-то. Пока всё вежливо и с расшаркиваниями, но все мы знаем, чем это заканчивается, так что в openSUSE смирились и начали вяленько обсуждать новое имя.
https://lists.opensuse.org/archives/list/project@lists.opensuse.org/thread/HZTCWECHJK6RBMY5KNGGY7LDLGAG7S7L/
Как прекрасно знают все в чате, мы сделали всё неправильно, без уважения, и нам стало стыдно за последний выпуск телекома пр разработку фичей в комутаторах. Так что мы его удалили.
Но для тех, кто готов потерпеть, всё же выложили.
Но за пейвол, чтобы терпеть пришлось не просто так, а за деньги.
https://boosty.to/linkmeup/posts/dcd4ddaf-807a-4cb2-a1bb-e752d09c1f1b
https://sponsr.ru/linkmeup/60188/telecom_137_Jiznennyi_cikl_fichi_vkommutatore
https://www.patreon.com/posts/telecom-no-137-v-108383560
Теперь сомневаемся всем составом, стоит ещё делать что или пора завязывать и пойти потрогать траву.
Волна хайпа про открытие исходных кодов Эльбруса прошла, а самое важное-то не сказали. Множество инфы было добавлено в лучший репозиторий про архитектуру Эльбрус-2000. И ссылочки на получение доступов, и патчи, и уже портированный софт.
https://github.com/e2k-community/awesome-e2k
Открыл для себя существование негласного соревнования за звание самого длинного командлета. Сейчас лидирует
Remove-MgBetaIdentityAuthenticationEventFlowAsOnGraphAPretributeCollectionExternalUserSelfServiceSignUpAttributeIdentityUserFlowAttributeByRef на 142 символа.
Предыдущий чемпион – Get-MgBetaDeviceManagementAdvancedThreatProtectionOnboardingStateSummaryAdvancedThreatProtectionOnboardingDeviceSettingStateCount на жалкие 125.
Если вы такой же слоупок как и я, то сейчас узнаете про крутую фичу вирустотала: там прикрутили LLM, которая пытается предсказать поведение образца. Прям вот грузишь нечто, а оно тебе молвит голосом человеческим, чего и как эта штука делает. Без вникания в хитросплетения обфусцированного кода, а прям, например: "эта штука тащит твои пароли и отправляет в Бангладеш домой Раджешу".
https://www.virustotal.com/gui/file/74662107227a6a28bebb77d5b9ec3890a80e507ee22ed99eb17f35c9d8730bf3/detection
Скоро начнём говорить про фичи в этих ваших коммутаторах.
Залетайте, музычка уже играет.
YT: https://youtube.com/live/yCma5huzrA4
Сайт: https://live.linkmeup.ru/
Оказывается, в этом году стукнуло 30 лет FreeDOS. Более чем странный проект, который непонятно зачем нужен, но не гниёт на помойке истории, продолжает развиваться.
Хотя, чего уж скрывать, сам его часто использовал, когда в лабе нужна машина, стартующая примерно сразу, и чисто пинг запустить или проверить, что файлик существует.
https://groups.google.com/g/comp.os.msdos.apps/c/oQmT4ETcSzU/m/O1HR8PE2u-EJ?pli=1
И другая история, которая длится не первый день и не факт, что скоро закончится.
Началось всё когда ловкие парни подломили систему генерации билетов на всякие ивенты, у крупнейшего билетного оператора Ticketmaster. А если у тебя есть доступ к генератору, значит, ты и сам можешь выписывать билеты куда угодно. История довольно быстро всплыла наружу и в тикетмастере придумали ловкий мув ушами: теперь нельзя просто так показать пдфку с билетом и кодом, а надо поставить приложеньку, и там будет постоянно меняющийся QR-код, который и будет верифицироваться на входе.
План, очевидно, надёжный как швейцарские часы, и простые люди воют по сети от свалившегося на них удобства. А те, кто немного умеет в реверсинженеринг, уже разбирают новый генератор и посмеиваются себе в усы.
https://conduition.io/coding/ticketmaster/
Из Red Hat докладывают, что GRUB продолжает им мешать и они уже почти вот-вот заменят его своим быстрым, безопасным, юзерспейс базвордным решением, да ещё и основанном на чистом ядре.
Мы загружаем ядро, чтобы ты мог загрузить ядро, пока загружаешь ядро. Но пока не очень понятно, что там с дуалбутом будет в таком раскладе.
P.S. А что там с Lilo, кстати? Оно ещё никому не мешает?
https://pretalx.com/devconf-cz-2024/talk/W3AVCT/
Это даже смешно. Роутер отправляющий плейнтекстом твои SSID, пароли, имена сетей и прочие атрибуты куда-то там на сервера амазона, такое даже отмазывать не надо что это сделано исключительно во благо пользователя.
https://www.test-aankoop.be/hightech/wifi-versterkers/nieuws/router-linksys-onveilig
