DOFH - DevOps from hell

Немного веселья или о том, как СДЭК восстанавливался из бекапов, которых не было
https://habr.com/ru/news/883298/

Однажды Линус Торвальдс шёл по пляжу, думал о том, что мы все живём в матрице, и грустно смотрел под ноги. В песке он заметил бутылку, подозрительно похожую на коньяк, и возрадовался. Но при ближайшем рассмотрении бутылка оказалась непрозрачной, с сургучной печатью, на которой проступал религиозный символ страны, с которой сложные отношения.

Линус конечно же применил брутфорс и открыл бутылку, из которой немедленно вылез джинн.

— Значит так, у тебя есть три желания, — сообщил джинн. — Но нельзя желать, чтобы кто-то умер, нельзя желать, чтобы кто-то влюбился в тебя, и нельзя желать больше желаний.

— А меньше желаний желать можно? — уточнил Линус, продолжая думать про матрицу.

Джин озадачился, почесал в затылке и решил, что можно.

— Тогда я хочу чтобы количество моих желаний уменьшилось на три.

— Зачем? — поинтересовался джинн.

— Потому что я думаю, что ваши джинновые серверы записывают количество желаний в целочисленные переменные и не хранят информацию об отрицательных значениях, так что когда количество моих желаний уменьшится на три, оно станет равно нулю, после чего тебе нужно вычесть ещё единицу за то желание, которое только что исполнилось, переменная переполнится и количество моих желаний станет равно максимальному возможному значению.

— Слушай, я из 900-х годов до нашей эры, я не понимаю, — покачал головой джинн. — Меня как царь Соломон запечатал сюда, я выпал из новостной ленты совершенно.

— Ты просто сделай так, как я говорю, — посоветовал Линус.

Джинн вырвал жменьку волос из бороды, пошептал, поводил руками в воздухе, и ничего не произошло. Тогда он достал из широких шаровар записной свиток из папируса.

— У тебя теперь три желания, — прокомментировал он, сверившись с папирусом.

— O shit, — удивился Линус.

— Но вообще довольно здорово, — попытался ободрить его джинн. — Я никогда раньше не видел, чтобы человек загадал желание, и у него осталось столько же желаний. Даже если бесполезное. Хороший фокус для вечеринок.

— Двухбитная переменная, — удивился Линус. — Необычно.

— Может, дворец? — сочувственно предложил джинн. — Миллион динаров? 72 девственницы? Я могу, если что...

— Я хочу, чтобы переменная, хранящая информацию о доступных мне желаниях, стала 16-битной, определился Линус.

— Я всё ещё не понимаю, — покачал головой джин. — 900-е годы. До нашей эры.

— Это ничего, — ответил Линус, привыкший иметь дело с гуманитариями. — Ты просто сделай то что я сказал, слово в слово.

Джинн вырвал волоски из брови, пошептал, поводил руками, и снова ничего не произошло. Он снова сверился с папирусом.

— У тебя теперь два желания, — развёл руками он.

— А вот теперь я хочу, чтобы у меня стало на два желания меньше.

Джинн вырвал волоски из подмышки, поколдовал и посмотрел в папирус.

— У тебя 65 535 желаний, — озадаченно сказал он.

Линус Торвальдс нехорошо улыбнулся.

— Я же говорил, что мы живём в матрице. Присаживайся. Записывай. Значит, во-первых...

https://cybersecuritynews.com/seven-years-old-linux-kernel-flaw/

Справочник приложений под кубер
https://collabnix.github.io/kubetools/

Правда, tetragon там нет
#k8s

В экосистеме языка программирования Go обнаружен вредоносный пакет, остававшийся незамеченным три года...злоумышленники подменили популярный пакет базы данных BoltDB, используемый тысячами организаций, включая Shopify и Heroku
. . .
BoltDB, расположенный на GitHub по адресу github.com/boltdb/bolt , был создан девять лет назад и перестал обновляться спустя год после релиза. Атакующие использовали технику тайпосквоттинга, создав поддельный пакет github.com/boltdb-go/bolt. Разница в названии минимальна, но при установке подделки в проекте появляется бэкдор, позволяющий выполнять удалённый код.
. . .
Несмотря на то, что вредоносная версия оставалась доступной на Go Module Proxy в течение трёх лет, следов её массового использования не найдено. По данным Бойченко, поддельный пакет импортировался лишь дважды, причём оба раза — одним криптовалютным проектом, у которого всего семь подписчиков. Статистика скачиваний в Go не ведётся, но отсутствие звёзд и форков на GitHub за три года говорит о том, что модуль не получил широкого распространения.

Тем не менее, инцидент выявил уязвимость в системе управления пакетами Go. При первой загрузке новый пакет кешируется сервисом Go Module Mirror и остаётся доступным бессрочно. Злоумышленники воспользовались этим, сначала разместив безобидную версию, а затем изменив Git-теги, чтобы при проверке пакет выглядел легитимным. В то же время в кеше продолжала распространяться вредоносная версия.
. . .
неизменяемость модулей одновременно улучшает безопасность экосистемы и создаёт возможности для атак. Он призвал разработчиков тщательно проверять целостность пакетов перед установкой, анализировать зависимости и использовать инструменты для глубокого аудита кода.

Три года в тени: тайпсквоттинг стал угрозой для всей экосистемы Go
https://www.securitylab.ru/news/556167.php

Оригинал
Go Supply Chain Attack: Malicious Package Exploits Go Module Proxy Caching for Persistence
https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence

Красивое

Статическому анализатору на основе GPT-4 удалось найти RCE в плагине для Wordpress за пару секунд.

Чтобы попробовать самому, надо:
1. Склонировать репозиторий
2. Запустить сканер

nerve -G "openai://gpt-4" -T code_auditor -DTARGET_PATH=/path/to/code

Дэнчик сокрушается тут за юморок нейросеток, забывая, что требование не навредить человеку и требование сочинения скрытых оскорблений, которые есть базис шуток - не совместимы.

Очень приятная статья от Бастиона про регуляторику в области защиты информации (в основном вокруг ПДн и ИС)

https://habr.com/ru/companies/bastion/articles/595215/

P.S. Ей 4 года, но подходит новичкам в теме

🔎 TUI для работы с LDAP каталогами...

https://github.com/Macmod/godap

#ldap #tui

Только сейчас осознал что такое GH200 от Nvidia. Они просто тупо жрут серверный рынок своим комбайном
https://resources.nvidia.com/en-us-data-center-overview-mc/en-us-data-center-overview/grace-hopper-superchip-datasheet-partner

⚠️ Поврежден кабель "Ростелекома" в Балтийском море

Это произошло из-за внешнего воздействия, отметили в компании. На абонентов ЧП не повлияет. Ведутся восстановительные работы.

#Балтика #кабель
Подписывайтесь на ПРАЙМ

Аргумент в пользу смягчения ДКП. Найм R.I.P.

Динамика вакансий -30% за 3 месяца.

@kol0bochek

Here we go again!

SEV-SNP is vulnerable, again.

New AMD SEV-SNP vulnerability:

https://github.com/google/security-research/security/advisories/GHSA-4xq7-4mgh-gp6w

Exploit:

https://github.com/google/security-research/tree/master/pocs/cpus/entrysign

Reports about two recent vulnerabilities in SEV-SNP memory encryption and isolation mechanism, on CPU pipeline, cache and branch prediction level:

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3019.html

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3010.html

AMD reported that previous approaches to Spectre class attacks will work to fix new vulnerabilities:

https://www.amd.com/content/dam/amd/en/documents/epyc-technical-docs/tuning-guides/software-techniques-for-managing-speculation.pdf

#cVM
#TEE
#SEV
#SNP
#SEV_SNP
#AMD

Напоминание владельцам и админам несвежих продуктов Brocade

End-of-Support, Brocade 6505 Switch: April 30, 2025
End-of-Support, Brocade 6510 Switch: June 17, 2025
и тд

Начиная с версии FOS 8.2.2 в эти даты отключается часть функционала.
Рекомендация - откатиться/оставаться на 8.2.1e

#Broadcom #Network #Switch #EOS

Ууу, на айфонах нашли троян SparkCat — он прячется в фейковых апках и ворует ваши фотки.

Основная цель трояна — найти на фотках конфиденциальную инфу, например, ключ от криптокошелька (а вам говорили не делать скриншот). Всего нашли около 20 заражённых приложений, среди которых нейросети, мессенджеры и сервисы доставки.

Аргумент «Айфон без вирусов» больше не работает 😔

Аналитическая интерпретация письма ФСТЭК от 13 января 2025 г. № 240/24/38:

о повышении безопасности средств защиты информации, в состав которых разработчики включают средства контейнеризации или образы контейнеров

* Если используются контейнеры в составе ИС, сертифицировать средство контейнеризации по 118 приказу ФСТЭК или использовать таковое с имеющимся сертификатом. [Например, достаточно использовать ОС с таким сертификатом для запуска контейнеров в ней.]
* Перечень и состав контейнеров обязательны к заявлению в составе аттестуемой ИС или сертифицируемого средства контейнеризации согласно формата в письме
* В составе аттестуемой ИС или сертифицируемого(-ованного) средства контейнеризации должен быть реализован контроль целостности образов контейнеров и бинарных файлов в них
* Начинка образов должна быть совместима со средой контейнеризации и ядром ОС
* Контейнеры должны запускаться в режиме минимально необходимых привилегий для корректного функционирования с минимально необходимым уровнем доступа к ресурсам
* В составе сертифицируемого(-ованного) средства контейнеризации должно быть реализовано централизованное управление доступом за пределы средства контейнеризации (например, доступ к дискам хостовой системы или сети)

Аналитическая интерпретация письма ФСТЭК от 10 января 2025 г. № 240/24/39:

о повышении безопасности средств защиты информации, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования

* Веб-сервер, интерпретатор, сервер приложений в составе СЗИ подлежит сертификации или должен иметь сертификат, если с его помощью реализуется хотя бы одна функция безопасности СЗИ
* При производстве компонентов СЗИ необходимо на стадии сборки или в правилах сборки отключить все неиспользуемые модули и компоненты, расширяющие поверхность атаки СЗИ
* У всех компонентов, включая интерпретаторы, веб-серверы и серверы приложений, которые необходимы для функционирования СЗИ, должны быть минимально возможные привилегии, не нарушающие функции безопасности СЗИ
* Веб серверы и серверы приложений должны обеспечивать запуск и хранение исполняемого кода с контролем целостности. Не декларированный в документации способ разрешения запуска кода в данных серверах должен отсутствовать.
* Абсолютно все возможные опции конфигурации используемых компонентов должны быть описаны в эксплуатационной документации, а также даны рекомендации по реализации безопасной конфигурации с помощью них

“Этот сайт использует куки, чтобы причинить вам максимальное удобство”

https://www.securitylab.ru/news/556077.php

То чувство, когда обнаружил в Windows 11 инструмент, который почти мгновенно онлайн позволяет поменять размер корневого раздела винды (online shrink)
https://ab57.ru/cmdlist/diskpart.html

Рекомендации Linux Foundation по соблюдению санкций в открытых проектах https://opennet.ru/62663/

Компания Apple открыла код сборочной системы Swift Build https://opennet.ru/62661/

https://www.opennet.ru/opennews/art.shtml?num=62639

Классы юнитов в IT:

Снежинка: Начальник поднял голос на меня, пойду выйду в окно немедленно!
Стажер: Я вот нажал, оно само прекольно вот это всё!
Джун: А куда я нажав и зачем? А эта задача мне зачем?
Миддл: Ааа, дайте мне еще времени, я еще не все попробовал!
Сеньор: Как всегда, надо было успеть, я успел, но чот херовато вышло. Как нибудь переделаю, когда санитары отвернутся.
Принципал: Вы такой херни еще не видели, но вам зайдет. Хоба!
Тыжкомпьютерщик: Построить звездолет или компанию? Штош

Когда ты вовремя вышел из девопсов

Кто под каким LiveCD грузится для обновления прошивки корневого SSD?

Статья в Новых известиях про жадность естественной монополии. На этот раз Россетей.

Ждём дикого подорожания интернетов?

В готовящемся в релизу ядре Linux 6.13 выявлен сбой, вызванный кодом сотрудника Microsoft https://opennet.ru/62555/

Выпуск Ventoy 1.1.0, инструментария для загрузки произвольных систем с USB-носителей https://opennet.ru/62598/

Для господ визуалов, которым лень запоминать все стопицот команд для раздупления кубера, простая как утюг схема по раздуплению этого самого кубера, когда уже и бампер попинал, и за глушитель потряс, а он не работает.
Кстати, там же и вполне годное описание зачем и что делается.

https://learnk8s.io/troubleshooting-deployments

https://www.mos.ru/upload/documents/files/3613/Metodicheskie_rekomendacii_po_razrabotke_plana_reagirovaniya_na_komputernie.pdf

#ПДн #ГосСОПКА #РКН #IM

Интересно, существует ли еще более конкретный материал для разработки формальной модели безопасности и ее математической верификации?
https://cchgeu.ru/upload/iblock/c67/kulikov_modeli-bezopasnosti-kompyuternykh-sistem.pdf

Случайно набрел на наглядную классификацию информационных систем в контексте аттестации регуляторами https://www.anti-malware.ru/analytics/Market_Analysis/infosecurity-systems-classification-fsb-fstek#part2

Опробовал bookstack. Хороший инструмент, для условной замены Confluence

В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте https://opennet.ru/62557/

Каршеринг заблокировался посреди движения во время неудачного включения Чебурнета.

Человек ничего не значит теперь для создателей сервисов. Киберпанк, который мы заслужили.

Читать вдумчиво

Когда у разработчиков с менеджерами мозгов еще не появилось, но уже есть лапки:
https://3dnews.ru/1116352/eutelsat-oneweb-obyasnila-48chasoviy-sboy-v-rabote-sputnikovoy-seti-lishnim-dnyom-v-godu

Убийца Mac Mini от Nvidia – Digits

Вы только гляньте, шустрая коробочка помещается на ладошке Хуанга!

— 128 GB оперативки, причем эта память доступна и для GPU,
— Blackwell GPU GB10 с 1 петафлоп в fp4,
— Проц Arm, 20 ядер.

На такой машинке можно инференсить модели вплоть до 200 млрд параметров. Можно соединить две такие малышки и запускать уже 405B модель.

Обещают выпустить в мае, цена вопроса - $3000.

Хочу себе такую домой! 🥺

@ai_newz

Обязателен с 20.12.2024 для разработчиков ССЗИ

Когда посылать своего заказчика, если ты бизнес-аналитик?

Ставлю на то, что многие думают, что работа бизнес-аналитика - это передача требований от заказчика к исполнителю. Если вы так думаете, то эта заметка для вас.

Необходимо осознавать, что функция БА, как и любого аналитика и архитектора - это умение отделять зерна от шелухи. И один из главных интересов БА в диалоге с заказчиком - это получение ответа на вопрос: что мы хотим сделать и зачем? И в таком простом вопросе БА врезается в циклопические горы мусора и суеты в головах руководителей и ЛПР.

Диалог БА строится вокруг нескольких точек интересов бизнеса:
- Что мы улучшаем или какую бизнес потребность/проблему закрываем?
- Как мы измеряем улучшение/эффект?
- Какие факторы формируют потребность/проблему, почему мы ее считаем важной?
- Каковы критерии успеха (DoD), какие бизнес цели мы преследуем?

И вот тут мы обнаруживаем прям пласты горной породы для бурения в корпоративном пироге:

1. Фантазии и идеи заказчика о решениях вместо идентификации бизнес потребностей, бизнес-целей и бизнес-метрик.

Частая ситуация: на встречу с аналитиком заказчик приходит уже с «готовым» решением, которое хочет внедрить. С точки зрения заказчика, он знает, что нужно, а аналитик должен это просто зафиксировать и задокументировать.

Однако в задачу бизнес-аналитика входит возвращать фокус с конкретного решения на то, какие бизнес-проблемы нужно решить или какие процессы усовершенствовать. Без этого не удаётся сформулировать действительно полезные требования и достигнуть ощутимых результатов для бизнеса. Здесь мы применяем бритву Оккама с вопросами ЧТО мы хотим и ЗАЧЕМ это бизнесу.

Опять же, работаем запросом на конкретный бизнес-эффект от достижения конкретных целей при дроблении целей (маленькие цели намного легче оценивать). Если заказчик ушел и не вернулся в ответ на такой вопрос - то он действительно не преследовал целей бизнеса.

2. Недоверие и закрытость - никто не готов называть вещи своими именами, раскрывать и терять контроль за происходящим.

Здесь мы работаем с идентификацией потребностей, целей и метрик вопросом ЧТО же мы хотим сделать вместо навязываемого заказчиком вопроса КАК. Этот пласт обычно самый сложный и иногда требует вовлечения множества людей и применения множества подходов к выявлению корневой сути запроса и его верификации.

Такая работа часто воспринимается заказчиком как излишнее погружение. Но именно на этом этапе формируется чёткое понимание, какого рода изменения (организационные, процессные, технологические и т.д.) действительно нужны, и именно здесь закладывается фундамент успешного решения.

Здесь от нас требуется максимальная прозрачность нашей деятельности и готовность в любой момент досрочно спокойно завершить работу по запросу.

3. Мода на “прикольность” и “вайбовость” деятельности. Вы слишком базированы для такого абонента, ведь вы же системно мыслите 😉

Хорошие бизнес-требования описывают деятельность компании на языке, понятном бизнесу: цели, процессы, метрики, показатели эффективности.

Когнитивная ловушка в том, что со стороны заказчика они часто выглядят «сухими» и «самоочевидными». Заказчик же ждёт красивых схем решения и технологических деталей. В результате у него может сложиться впечатление, что аналитик «тормозит» процесс, вместо того чтобы помогать «прокачивать» его идеи.

Здесь мы применяем софтскиллы для построения мостика между виртуальным пузырем бытия конкретного персонажа и объектами управления в бизнес-архитектуре.

4. Неспособность или незаинтересованность заказчика внедрять именно ваше решение/предложение, так как у него не получится изобразить бурную и прикольную деятельность в соответствии с собственными представлениями о своей полезности перед своими стейкхолдерами.

Здесь мы ПРОДАЕМ наше решение заказчику в доработанной упаковке и помогаем ему наклеить его старые обрывки упаковки идеи на новую (т.н. адаптеры восприятия для ранее проданной идеи неизвестным нам стейкхолдерам запроса).

5. Разного рода ограничения инструментов бизнеса должны учитываться.

Не всегда стоит следовать разделению бизнес плоскости и инструментальной плоскости, так как можно упереться в кейс крайне дорогостоящей выделенной инструментации предложенного решения для маломаржинальной бизнес-цели.

6. Давление на БА. Заказчик часто очень упорен в продавливании своего видения КАК надо сделать вместо ответа на вопрос ЧТО и ЗАЧЕМ мы делаем.

Здесь мы ПРОДАЕМ функции бизнес-анализа и бизнес-архитектуры заказчику, управляем разделением зон ответственности и ожиданиями, определяем входные и выходные интерфейсы и критерии взаимодействия.

Здесь мы применяем нашу широту познаний в домене и дробим вижн заказчика и навязанных ему решений разными контрагентами на конкретные цели и функции.

Затем с помощью оценки приоритезируем фичи, а в конце их ниже определенного value (например, эффект менее 2% относительно всей массы) просто отрезаем как шлак для ограничения скоупа решения, чтобы не превращать решение в бесконечную черную дыру денег в интересах отдельных не в меру инициативных личностей.

В прошлый НГ я писала вам вредные советы про отчеты, давайте продолжим.

Навыки «высокоэффективных» исследователей:
1. Начиная проект, не планируйте его детально, не надо формировать образ результата в начале, брифоваться с участниками команды до запуска. Все можно будет решить со временем, до дедлайна еще уйма времени. Все наверняка сложится лучшим образом, ведь вы столько раз уже это делали.
2. До последнего прокрастинируйте, почаще отвлекайтесь на телефонные звонки и сообщения. Написание отчета от вас никуда не денется, в конце концов можно будет ИИ использовать и потом подредактировать текст. Разницы никто ведь не заметит.
3. Пишите отчеты по ночам, последняя ночь перед сдачей самая инсайтовая, а в 3 утра приходят удивительно интересные мысли. Зачем тратить на анализ 10 дней, если можно навалиться и написать быстро.
4. Нормированный график работы для слабаков. Да и вообще в нашей деятельности его невозможно выстроить, так что не надо даже и пытаться. Выгорание не так уж и страшно, многие с ним по 5 лет живут, и ничего. Спорт, музеи, новые впечатления – тоже для слабаков. Вы сфокусированы на главном!
5. Не берите на себя ответственность за проект. В конце концов, есть руководство, заказчик, а вы только проводите. Если что-то забыли или не учли – это не ваша вина, да и как такая ерунда на результаты может повлиять. Повлияла? Ну тогда точно это не ваша вина, в проекте задействована куча людей, при чем тут вы? Это респонденты были плохие, в конце концов.
6. Старайтесь высказаться, слушать – это вторичное. Бриф от заказчика никуда не денется, а вот рассказать о себе во всех подробностях очень важно, не стесняйтесь потратить на это минут 20 из часовой встречи. Уделите внимание вашему большому опыту, может, где какие курсы вели, важно ничего не забыть. Как еще человек поймет, что вы настоящий профессионал?
7. Не слушайте внимательно заказчика, кивайте и соглашайтесь, а сами думайте об обеде. Все равно ничего интересного не расскажет. Кстати, готовиться к встрече не надо, а то еще быстро все вопросы закроете.
8. Не фиксируйте договоренности, не присылайте документы на согласование – это все лишняя бюрократия, не надо тратить на это время свое и коллег.
9. Относитесь с максимальным подозрением к заказчику/исполнителю. Он наверняка имеет свой умысел, не так уж и профессионален. Помните, вы не команда, у вас разные интересы, проект закроете и попрощаетесь. Сейчас такая текучка кадров.
10. Конкурируйте и доминируйте. Боятся – значит, уважают. Работать от этого лучше будут. Важно с самого начала показать, кто главный на проекте и самый опытный. Чаще упоминайте ваш стаж работы/должность/регалии.
11. Не занимайтесь профессиональным саморазвитием. Смысла читать книги, статьи нет, вы уже все давно знаете. Да и не пишет никто ничего интересного :)

Понятно, что никто из нас не стремится обладать этими навыками, но, к сожалению, мы периодически к ним прибегаем.

https://www.opennet.ru/opennews/art.shtml?num=62488

Новогодней дичи: https://github.com/dockur/windows

Problems, officer?

Коллизии в сокращённых идентификаторах коммитов в ядре Linux https://opennet.ru/62495/

Блогеры: вечное Рабство,
Выхода из Реестра Нет

🗜 In search of a faster SQLite - ребята взяли и переписали SQLite на Rust и утверждают, что смогли добиться серьёзного прироста в производительности при сохранении совместимости с SQLite непосредственно.

Проект называется Limbo, вот здесь о нём можно почитать подробнее...

- Статья: https://avi.im/blag/2024/faster-sqlite/
- Github: https://github.com/tursodatabase/limbo

#sqlite #напочитать #limbo

https://www.linux.org.ru/news/russia/17828323

Слайды 37 докладов с Black Hat опубликовали в открытом доступе на GitHub.

P.S. Black Hat Europe — одна из крупнейших конференций по кибербезу, где обсуждают и показывают исследования, разработки и тенденции в области.

Формат сжатия FLAC официально закреплён в RFC 9639 https://opennet.ru/62454/

СУБД ScyllaDB перешла с AGPL на проприетарную лицензию https://opennet.ru/62442/

https://www.opennet.ru/opennews/art.shtml?num=62241

Пост легкого баттхерта для последующего холивара:

Решила по приколу перед НГ походить по собесам и сталкиваюсь с вопросами типа: вот расскажи прикольный кейс которым гордишься, типа как круто сломали.

Честно говоря я в этом вопросе вижу ошибки своей молодости и поэтому этот вопрос меня дико калит. Тупее вайтхетов, которые кайфуют от того что либо сломали, мне кажется, ничего нет. Почему:
1. Камон, радуетесь чужой ошибке, но чекните свое лицо, когда вам укажут на вашу!
2. Камон, это поколение тик-ток дофамин джанки?
3. Камон, ваша самооценка зависит от найденных багов? Сломал - молодец, а не сломал - нет?

Давайте на примерах как должно быть:
- багхантер сломал и получил вознаграждение;
- блечер сломал, украл денег - доволен;
- один несчастный вайтхет-шиз - сломал и этого достаточно для радости.

Камон, тут даже не бизнес драйвен, не резалт драйвен! Это наркомания!

Ребята! Результат вашей работы должен быть - сломал и дал рекомендации и поддержку так, что после вас никто не сломал. И вот когда после вас вашего заказчика никто не сломал - можете начинать ссать кипятком. Это и бизнес-драйвен и гуманистично.

А просто сломал и рад - это вы просто психопаты ебаные, а не специалисты.

Ворон + еж, ага

Как работает RSA и почему ему угрожают квантовые компьютеры

Представьте себе 70-е годы прошлого века: мир активно подключается к открытым каналам связи, а защита данных становится вопросом первостепенной важности. В то время три профессора-математика Массачусетского технологического института — Рональд Ривест, Ади Шамир и Леонард Адлеман — размышляли над революционным способом шифрования. Они искали подход, который бы позволил передавать данные в открытом доступе, не рискуя безопасностью. В итоге они придумали алгоритм, известный сегодня как RSA (аббревиатура, составленная из первых букв фамилий его создателей: Rivest, Shamir и Adleman), и долгое время считавшийся стандартом безопасности. Но кажется, его время скоро пройдет.

https://habr.com/ru/companies/selectel/articles/861050/

Атака BadRAM, позволяющая обойти механизм аттестации SEV-SNP в CPU AMD https://opennet.ru/62399/

Google Play стреляет контрольным — российские разрабы больше не смогут получать выплаты за свои приложения. Последний платёж будет 15 января.

RuStore, настало твоё время.

Lets Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов https://opennet.ru/62373/

Про саморазмножение агента Смита - мне кажется, что один из пунктов регулирования ИИ должен содержать запреты на реализацию подобной половой функции для ИИ и запреты на доступ ИИ (в части обучающих датасетов) к информации о том, как создавать ИИ.

Защитить цепочку поставок невозможно, считают эксперты Snyk

Компания Snyk опубликовала отчет о безопасности ПО с открытым исходным кодом за 2024 год («The State of Open Source 2024»). Исследователи обнаружили, что, хотя разработка открытого исходного кода продолжает лежать в основе подавляющего большинства современного программного обеспечения, она сталкивается с постоянными препятствиями — от стагнации прогресса DevOps до растущей сложности безопасности цепочки поставок. Тем не менее, несмотря на эти препятствия, наблюдаются многообещающие сдвиги в том, как организации подходят к этим проблемам.

Главные выводы:

1. Прогресс DevOps застопорился, и 74% специалистов считает, что сроки соглашений об уровне качества (Service Level Agreement, SLA) невыполнимы. Эта стагнация также очевидна в отслеживании зависимостей: 25% респондентов заявили, что отслеживают только прямые зависимости, а почти 5% вообще не отслеживают никаких.

2. Невозможно полностью защитить цепочку поставок ПО. В 2024 году 45% организаций пришлось заменить уязвимые компоненты сборки, что означает, что почти половина цепочек поставок, как известно, была подвержена уязвимостям. Из всех существующих способов защиты цепочек поставок организации широко используют только два: мониторинг SBOM (62%) и безопасность конвейера (50%).

3. Анализ рисков нуждается в усложнении. Большинство организаций по-прежнему в значительной степени полагаются на традиционные меры анализа рисков, такие как Общая система оценки уязвимостей (CVSS) и прогнозирование эксплойтов. В ряде областей управление рисками не имеет достаточного приоритета. Например, менее 25% организаций проводят регулярные аудиты своей цепочки поставок программного обеспечения.

4. Уровень доверия к инструментам безопасности ИИ слишком высок. В то время как 80% респондентов считают, что инструменты кодирования ИИ генерируют более безопасный код, исследователи видят опасность в чрезвычайной зависимости от ИИ.

Источник: https://snyk.io/blog/2024-open-source-security-report-slowing-progress-and-new-challenges-for/

Видео выступления: https://www.youtube.com/watch?v=7owmOSg-mHA
Про атаки на CI/CD

vc: Google представила процессор Willow для быстрых квантовых вычислений

– Willow выполнил стандартное вычисление за 5 мин.
– Такую же задачу Frontier решал 10 септиллионв лет
– Frontier – один из самых быстрых суперкомпьютеров
– Google удалось уменьшить число вычислит. ошибок
– Другие ученые пытались сделать это «почти 30 лет»
– Willow исправляет проблемы в реальном времени
– Вместо битов 1 и 0 применяют большее число кубитов
– Они могут находиться в нескольких состояниях сразу
– Это могут быть 1 и 0, а также промежуточные значения
– В будущем технологию используют для обучения ИИ
– Также для открытия новых лекарств и других сфер

@ftsec

В MITRE этот тип закрепления атак отсутствует
https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp

Опубликован свежий обзор изменений законодательства ИТ и ИБ за ноябрь 2024 года: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-it-i-ib-za-noyabr-2024-goda/

В свою очередь разместил у себя в Хабе его адаптированную версию с ссылками на карточки упоминаемых НПА в виде вставок с комментариями: https://hub.zlonov.ru/laws/reviews/2024-11-USSC-review

CVE-2024-42327 / ZBX-25623
*
zabbix SQLi
*
POC

Какую систему контроля версий использует Meta?

Как это не странно, но это не Git. Она использует Mercurial.

Почему?
Вначале она использовала Git. Но по мере роста code base и за-за того факта, что Meta использует монорепу, перфоманс Git оказался недостаточным и не приспособленным для гигантской монорепы.
Facebook попытался пообщаться в командой Git, но ответ был - дробите на маленькие репозитории.
После общения с Mercurial Facebook слелал форк кода и сделал его масштабируемым до невероятного размера репозиториев + сделала куча своих тулов для работы с ним. Сейчас это все работает очень быстро и нажатием пару кнопок в UI, в 99.9% не нужно знать никаких ручных команд.

Такие ситуации, одна из причин, почему FAANG делают всю инфру с нуля и сами. Чтобы не зависеть от сторонних компаний и разрабов.


Какую систему контроля версий вы используете?

Линус Торвальдс раскритиковал попытки привязки к версиям микроархитектуры x86_64 https://opennet.ru/62370/

AADL (Architecture Analysis & Design Language)

AADL - это стандартизованный язык, предназначенный для представления структуры системы и ее поведения. Он был разработан с учетом потребностей в авиации, космонавтике и автомобильной промышленности, где надежность и безопасность являются ключевыми факторами. С его помощью можно моделировать как программное, так и аппаратное обеспечение, а также их взаимодействие.

AADL предоставляет специализированный язык для разработки систем, где надежность и безопасность находятся на первом месте. Благодаря строгой типизации и возможности моделирования различных аспектов системы, AADL позволяет командам рано на этапе проектирования выявлять и устранять потенциальные проблемы. Это сокращает риски, связанные с дорогостоящими ошибками на более поздних этапах проекта и улучшает качество конечного продукта.

Источник: https://getanalyst.ru/database/system-analysts-architect-notations

Google опубликовал Vanir, статический анализатор для выявления неисправленных уязвимостей
Компания Google представила новый открытый проект Vanir, развивающий статический анализатор для автоматического выявления не применённых к коду патчей, устраняющих уязвимости. Vanir использует базу сигнатур с информацией об известных уязвимостях и патчах для устранения этих уязвимостей. Подобная БД ведётся Google с июля 2020 года и охватывает 95% уязвимостей в проектах, связанных с платформой Android, включая ядро Linux. В настоящее время поддерживается проверка исходного кода на языках C, C++ и Java. Код Vanir написан на языках С++ и Python, и распространяется под лицензией BSD.

OpenNews

Третья редакция рейтинга библиотек, требующих особой проверки безопасности https://opennet.ru/62347/

Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo https://opennet.ru/62341/

Магистральные сети связи в России

Издание ComNews Research выпустило новую версию карты "Магистральные сети связи в России" с данными на октябрь 2024г.
Аналитику данных и сведений по карте издание приводит в своей статье:
- https://www.comnews.ru/content/236040/2024-11-29/2024-w48/1180/magistralnye-seti-svyazi-rossii-2024#map-section

Согласно результатов опроса:
- рынок магистрального доступа насчитывает более 20 игроков,
- протяженность магистральных ВОЛС которых на территории страны составила в октябре 2024 года 1476 тыс. км

- интерактивная карта.
- карта в pdf.

Linux monitoring script with attitude 😎

How to push/send message to iOS and Android from Linux CLI

https://www.cyberciti.biz/mobile-devices/android/how-to-push-send-message-to-ios-and-android-from-linux-cli/

Доступен дистрибутив Proxmox Backup Server 3.3 https://opennet.ru/62308/

https://habr.com/ru/companies/yandex/articles/861538/
Что, Яндекс, помогли тебе твои собеседования на алгоритмы?

Замечательно подмечено
https://t.me/ru_arc/452

▍ Админы

А админов нет!

Мы недавно искали, прособеседовали где-то порядка 200 человек и взяли двоих. Это не считая тех, кто отсеялся до собеседования. Все эйчары, конечно, сильно недовольны работой с нами. Но мы тоже недовольны работой с ними.

Казалось бы, толпы бездомных голодных девопсов ходят по Долине и ищут, где бы поработать, но при этом в России админы всё ещё дико востребованы. И будут востребованы ещё долго. Ситуация на рынке остаётся напряжённой, и хороших спецов пылесосят, как обычно.

По крайней мере, в ближайшие годы админов будет всасывать Сбер: сейчас они активно развивают крупнейшего хостинг-провайдера. Там куча железа, которое надо обслуживать.
В целом, глядя на рынок, можно сказать, что сейчас создать новую хостинговую компанию, если, конечно, вы не Сбер и не Яндекс, просто невозможно. Потому что раньше команда искалась два-три месяца, а сейчас — год. Плюс смотрите выше про кредиты.

То есть в следующем году новые бизнесы запускаться не будут. По крайней мере, в нашей сфере. Ну только если слабоумие, отвага, Сбер и Яндекс.

Готовьтесь к росту цен
https://habr.com/ru/companies/ruvds/articles/858212/

Катастрофа в российской зоне проекта NTPPool.org / Хабр https://habr.com/ru/articles/860828/

🔎 Смотрите какую красоту показали. Анализатор трафика, использующий под капотом eBPF - kyanos...

- Сайт: https://kyanos.pages.dev/
- Github: https://github.com/hengyoush/kyanos

Позволяет получить данные о сетевом взаимодействии конкретного процесса для http трафика, redis запросов и трафика сервера БД mysql.

Из дополнительных полезностей - возможность трейсинга запросов на уровне ядра, что позволит понять на каком уровне или шаге происходят аномалии или задержки. И заявленная разработчиками возможность расшифровки SSL трафика на лету.

#tui #kyanos #фидбечат

Осталось власть ЛГБТ+ отдать

Автора BcacheFS временно отстранили от разработки ядра Linux из-за нарушения кодекса поведения https://opennet.ru/62276/

https://techcrunch.com/2024/11/19/microsoft-and-atom-computing-will-launch-a-commercial-quantum-computer-in-2025/

https://blog.trailofbits.com/2024/10/25/a-deep-dive-into-linuxs-new-mseal-syscall/
Про новую фичу противодействия эксплоитам в ядре 6.10+ - mseal

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября). Что, в общем-то, видно в их же статистике. На текущий момент в бэклоге 19860 идентификаторов. За эту неделю новых CVE поступило 1136, а проанализировали они только 510. И это не какая-то аномальная неделя, это сейчас норма. Они не справляются с разбором нового, чего уже говорить о бэклоге. Кризис продолжается.

При этом в сообщении они почему-то пишут, что у них полная команда аналитиков, и они обрабатывают все входящие CVE по мере их загрузки в систему. Но почему тогда их статистика показывает обратное?

Они пишут, что теперь обрабатывают все уязвимости из CISA KEV. И это хорошо. Но в CISA KEV за 2024 год добавили пока только 162 CVE. Круто, что они осилили эти идентификаторы, но достижение, мягко говоря, не впечатляет.

Почему NVD не справляются с бэклогом?

Они пишут, что дело в формате данных от Authorized Data Providers (ADPs), видимо имея в виду под этим CISA Vulnrichment. NVD не могут эффективно импортировать и улучшать данные в этом формате. Чтобы это делать они разрабатывают какие-то "новые системы".

То есть мало того, что они расписались в неспособности анализировать уязвимости самостоятельно и готовы использовать чужие данные as is, они ещё и не могут парсеры-конвертеры писать за адекватное время. 🐾 Просто удивительные. 🤦‍♂️

И тут ещё прошла новость, что сенатор Рэнд Пол, новый председатель Senate Homeland Security Committee пообещал серьезно сократить полномочия CISA или полностью их ликвидировать. Наш слоняра! 😁🐘 Весь движ там из-за работы CISA "по противодействию дезинформации" перед американскими выборами. Но под это дело могут угробить единственного американского ИБ-регулятора, который делает хоть что-то полезное и в адекватные сроки. Молодцы, так держать. 👍

Ничего кроме дальнейшей деградации ждать не приходится.

@avleonovrus #NIST #NVD #CISA #Vulnrichment #thoseamericans

Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса https://opennet.ru/62238/

65k nodes in k8s
https://cloud.google.com/blog/products/containers-kubernetes/gke-65k-nodes-and-counting

Из прикольного, чтобы достичь этого, конечно же выкинули etcd из куба для этого. И взяли Spanner. На этом можно и закончить, в целом. Кажется это главная причина с чем нужно постоянно приседать, не только на больших кластерах, но и там где интенсивность создаваемых ресурсов высокая.
Остальные вещи, вроде тюнинга secondary boot disk, или использование kueue/jobset контроллеров, в контексте скейлинга до 65к хостов роли не играют особо. Это скорее про скорость шедулинга ворклоада.
Слышал, что яндекс облако когда-то думало заменить etcd на ydb (те сделать api etcd совместимое), но что-то, как всегда, пошло не так.

Если кому-то близка идея перестать пользоваться Google Authenticator на телефоне, и перенести всё на компьютер.

Вначале, в Authenticator делаем экспорт ключей и выбираем ВСЕ ваши ключи. На выходе процедуры экспорта получается набор QR-кодов. Делаем скриншот экрана с каждым из кодов, нажимая кнопку "далее". На последнем шаге, просто прокликиваем кнопку "назад", чтобы как бы прервать процесс экспорта. Но данные у вас уже схоронены.

Дальше запускаем любой QR-ридер на вашем телефоне и расшифровываем QR-коды. Получаются какие-то длиннющие негуманоидные урлы, начинающиеся на "otpauth-migration://offline?data=". Что такое "data" пока непонятно.

Дальше запускаем чудесную утилиту otpauth. Вот тут лежат готовые релизы, откуда можно скачать. В консоли запускаем ее вот так:

otpauth -link "otpauth-migration://offline?data=CjEKCkhlbGxvId6tvu8SGEV4YW1wbGU6YWxpY2VAZ29vZ2xlLmNvbRoHRXhhbXBsZTAC"

На выходе будет строчка типа такой:

otpauth://totp/Example:[email protected]?issuer=Example&secret=JBSWY3DPEHPK3PXP

Таких строчек будет много, для каждого из сервисов. Их нужно вместе собрать в один текстовый файл.

Дальше нужно установить какой-то Authenticator для вашей операционной системы.

Для Windows это WinAuth. Для Mac это StepTwo, для Linux - например, Gnome Authenticator (есть еще какие-то).

Например, в WinAuth после запуска нужно будет установить пароль на связку ключей (спрашивается при открытии в первый раз после загрузки приложения), и прожать кнопочку ADD, вставить код в поле и прожать кнопку Verify Authenticator.

Конкретно в WinAuth, можно импортировать все ключи по одиночке, либо если вы их собрали в один .txt-файл, их точно так же пачкой можно импортировать.

Дальше, эти ключи захочется импортировать в разные другие твои компьютеры. Для этого, их нужно экспортировать с помощью кнопочки в WinAuth (там же можно защитить экспортируемый файл паролем или pgp-ключом).

На других приложениях должно делаться как-то похожим образом. Я, если честно, пока не пробовал.

Оригинал диалога
https://gemini.google.com/share/6d141b742a13

Три ведущие компании в области искусственного интеллекта столкнулись с ощутимым снижением отдачи от своих дорогостоящих усилий по разработке новых систем ИИ. Новая модель OpenAI, известная как Orion, не достигла желаемой компанией производительности, предстоящая итерация Google Gemini не оправдывает ожиданий, а Anthropic столкнулась с отставанием в графике выпуска своей модели Claude под названием 3.5 Opus.
Эти проблемы бросают вызов утвердившемуся в Кремниевой долине мнению о масштабируемости ИИ. Приверженцам глобального внедрения ИИ приходится признать, что бо́льшая вычислительная мощность, увеличенный объём данных и более крупные модели пока не прокладывают путь к технологическому прорыву в области ИИ.

https://3dnews.ru/1113957/puzir-ii-sduvaetsya-poka-openai-google-i-anthropic-pitayutsya-sozdat-bolee-prodvinutiy-ii

Композиционный анализ (введение)

У IdM поставщика Okta недавно вывезли угарную дыру. Особенно для них, как поставщика IdM услуг. Оказалось, что их супер секурный и чудо как надёжный фреймворк даже не интересовался паролем, если юзернейм превышал 52 символа.
В ответ они что-то жидко побулькали про включайте MFA и так далее, но рукожопость пришлось признать.
https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/
P.S. А как так? С 99% вероятностью ответ лежит на стороне соевых-латте программистов, которые так любят кричать, что понимать, как работает компьютер, что под капотом у фрейморков, читать документацию на библиотеки и так далее - это удел бородатых задротов. Можно на деньги спорить, что тут очередной надмозг не знал, что условный bcrypt просто игнорирует поле ввода, если оно превышает установленный размер. А то, что умные люди говорят всё предварительно заворачивать в sha256, чтобы избежать таких приколов, так это зачем их слушать. Мы лучше просто зафигачим bcrypt(username || password) и пойдём релиз катить.

Проект Spring отказался принимать изменения от разработчиков из РФ из-за санкций https://opennet.ru/62200/

Это просто кайф на маке.

brew install lima
limactl start
lima

И все, у вас убунтовский шелл в шрифтах мака

Доступен Lima 1.0, инструментарий для запуска виртуальных машин с Linux https://opennet.ru/62189/

Минцифры планирует организовать в России своё Linux-сообщество. В ведомстве по этому направлению собираются усилить кооперацию с теми государствами, которые готовы работать с Россией, вести с ними соответствующий диалог, объединить разработчиков из этих стран, чтобы такое сотрудничество было без дискриминации. Минцифры планирует создать разработчикам условия для взаимовыгодного сотрудничества, что может помочь создать уникальный продукт.

#ОС #законодательство

Google использовал большую языковую модель для выявления уязвимости в SQLite
Исследователи из подразделений Google Project Zero и Google DeepMind опубликовали отчёт о развитии AI-системы Big Sleep, построенной на базе большой языковой модели Gemini 1.5 Pro и предназначенной для определения уязвимостей в исходном коде. Достижением проекта стало выявление с использованием Big Sleep первой пригодной для эксплуатации и ранее неизвестной уязвимости в существующем проекте. Уязвимость выявлена в результате проверки AI-системой кодовой базы СУБД SQLite и приводит к переполнению за нижнюю границу буфера в стеке (buffer underflow). Проблема обнаружена в недавно принятом коде и устранена до его попадания в финальный релиз SQLite 3.47.0.

OpenNews

https://www.opennet.ru/opennews/art.shtml?num=62166

Обновления у Убунты - не впервой:

Версия 20220329.git681281e4-0ubuntu3.35: 

  * Most Meteor Lake machines fail to boot into desktop after upgrading to the -48 kernel. (LP: #2084766)

Инициатива по отмене принятого определения открытой AI-системы, как обесценивающего понятие Open Source https://opennet.ru/62154/

https://sysblok.ru/blog/gorkij-urok-abbyy-kak-lingvisty-proigrali-poslednjuju-bitvu-za-nlp/
Когда перфекционизм делает бизнес негибким.

Харальд Вельте выразил сожаление о том, во что превратилось Linux-сообщество https://opennet.ru/62112/

Российская компания «Гравитон» представила свой первый ноутбук Н15А-Б на базе процессора AMD Ryzen и материнской платы «Ахтуба». Серийное производство лэптопов начнут до конца этого года. Ранее компания выпускала ПК только на базе архитектуры Intel.

#производство #техника

Линуса начали учить истории

Бывший член совета директоров Linux Foundation пояснил причины удаления мэйнтейнеров из РФ https://opennet.ru/62106/

Как небольшой «тюнинг» Talos Linux увеличил производительность NVMe SSD в 2.5 раза для k8s
https://habr.com/ru/articles/852536/

Спойлер:
iommu.strict=0

С безопасностью почты, настоящей, той что SMTP, всё очень плохо. DANE из-за DNSSEC не летит. MTA-STS тоже не летит, но тут скорее из-за того что смешали вместе веб и почту, хотя с ним вроде бы проще должно быть по замыслу. В итоге, все всё знают, что не стоит посылать важных писем почтой, вроде сбросов паролей или доступов в личный кабинет, но продолжают так делать.

Домен .io скоро канет в Лету. Прощай, любимая игрушка стартаперов!

Ну что, гики и стартаперы, готовы попрощаться с любимой доменной зоной? Британия решила избавиться от островов Чагос, а вместе с ними — и от домена .io. И вот теперь все эти крутые Github.io, itch.io и прочие модные штучки скоро станут историей.

А ведь как красиво звучало: "Мы используем .io, потому что это input/output!". Ага, конечно. На самом деле вы просто выпендривались перед инвесторами. Но теперь придется искать новые способы показаться крутыми.

Самое забавное, что домен может исчезнуть быстрее, чем вы успеете сказать "блокчейн". IANA, ребята, которые заведуют доменами, не шутят — как только страна исчезает с карты, прощай и домен. Вспомните .su — до сих пор болтается в интернете, как призрак СССР.

Так что, дорогие владельцы .io доменов, начинайте паковать цифровые чемоданы. И в следующий раз, прежде чем выбирать модный домен, может, стоит открыть карту мира?

А теперь о грустном. Точнее, о российском.

Роскомнадзор решил, что Discord — это исчадие ада и заблокировал его. Причина? Да как обычно — "экстремизм", "терроризм" и прочая лабуда из методички.

Самое смешное (или грустное, это как посмотреть), что Discord активно юзали военные для связи. Видимо, в Минобороны не догадались предупредить Роскомнадзор, что ребятам на фронте нужна качественная связь. Теперь придется общаться азбукой Морзе или почтовыми голубями.

И вот представьте картину: сидят где-то наши бойцы, пытаются координировать атаку, а тут — бац! — и Discord не работает. "Извините, товарищ генерал, мы не можем начать наступление — Роскомнадзор запретил".

В общем, как говорится, хотели как лучше, а получилось как всегда. Интересно, кто следующий на очереди? Может, заблокируем воздух? А то мало ли, вдруг там тоже экстремизм прячется.

Ну что, айтишники, готовы к новым приключениям в мире доменов и блокировок? Делитесь в комментах, как будете выкручиваться. Самому креативному решению — виртуальная медаль "За цифровое выживание в условиях, приближенных к боевым".

И не забывайте про реакции друзья! Обратная связь от вас дает нам силы работать!

#новости_по_пятницам

🏴‍☠️ @happy_devops

Обход защиты от атак Spectre и эксплоит для извлечения данных из памяти другого процесса https://opennet.ru/62073/

В компании X Development (это научно-исследовательская «дочка» Alphabet) есть забавный фреймворк под названием «Обезьяна и пьедестал». Его суть в том, что при разработке новой прорывной технологии команда должна сосредоточиться сначала на самых сложных частях проблемы и только потом уже заниматься всем остальным.

Вот как этот фреймворк описал CEO X Development Астро Теллер:

«Если мы решим научить обезьяну декламировать Шекспира, стоя на пьедестале, с чего нам следует начать? Кажется, что, построив пьедестал, мы уже достигли бы некого прогресса в решении задачи. Но такой подход в корне неверен. Если мы не сможем научить обезьяну декламировать Шекспира на земле, то только зря потратим время и деньги на пьедестал. Ну, а если самая сложная часть задачи всё же будет решена, то справиться с той, что полегче, не составит большого труда».

Несмотря на очевидную нелогичность, упор на «строительство пьедестала» встречается не так уж и редко. Его ещё и художественной резьбой украсить могут 🤡

Даже самые развитые из нас склонны двигаться по пути наименьшего сопротивления и выбирать сначала те задачи, которые кажутся лёгкими и не требующими больших усилий. Тем более, что в любой момент руководство может запросить статус проекта — так хоть «пьедестал» можно показать. А вот с «обезьяной» — не факт что выгорит.

Как этот фреймворк можно применять в бизнесе?

▪️ Разбираем новый проект на составные части

▪️ Выявляем самые сложные задачи, от которых больше всего зависит конечный результат, и наваливаемся сначала за них.

▪️ Если в процессе станет понятно, что проект по каким-то причинам нереализуем, «слезаем с дохлой лошади» и фокусируемся на других, которые с большей вероятностью станут успешными.

И ещё один важный момент. В корпоративную культуру «здорового человека» следует встроить высокую толерантность к ошибкам, как это сделала, например, IKEA. Ваши сотрудники должны чувствовать себя в безопасности, даже когда их идеи и проекты терпят неудачу. Иначе вы будете то и дело получать красивые и бесполезные «пьедесталы».

Выпуск Rust 1.82. Новый браузер на Rust. Использование Rust в Volvo https://opennet.ru/62071/

Синкалки-обновлялки, post-rsync view
1. https://0pointer.net/blog/casync-a-tool-for-distributing-file-system-images.html
2. https://www.chromium.org/developers/design-documents/software-updates-courgette/

Как правильно присунуть Zendesk на Bug bounty за "out of scope"
https://habr.com/ru/companies/ruvds/articles/851106/

😮 А вот подъехала и первая публичная цена на DGX B200. За него придётся отдать чуть больше полумиллиона долларов.

Серваки с H100, для сравнения, стоят где-то в районе 300к (для больших компаний явно дешевле, но они покупают их десятками или даже сотнями тысяч).

@ai_newz

Критическая уязвимость Kubernetes дает доступ root по SSH к виртуальным машинам

Критическая уязвимость в Kubernetes может позволить несанкционированный доступ по SSH к виртуальной машине, на которой запущен образ, созданный с помощью проекта Kubernetes Image Builder.

Kubernetes — это платформа с открытым исходным кодом, которая помогает автоматизировать развертывание, масштабирование и эксплуатацию виртуальных контейнеров (облегченных сред для запуска приложений).

С помощью Kubernetes Image Builder пользователи могут создавать образы виртуальных машин для различных поставщиков API кластера, таких как Proxmox или Nutanix, которые запускают среду Kubernetes. Затем эти виртуальные машины используются для настройки узлов (серверов), которые становятся частью кластера Kubernetes.

Согласно рекомендациям по безопасности на форумах сообщества Kubernetes, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.

Проблема получила идентификатор CVE-2024-9486 и дает возможность использовать учетные данные, которые были включены по умолчанию во время процесса создания образа и не отключены впоследствии. Злоумышленник, знающий о такой уязвимости, может подключиться через SSH-соединение и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.

Пользователям рекомендуется пересоздать затронутые образы виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней. Безопасные версии устанавливают случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись «builder» по умолчанию после завершения процесса.

Если сразу обновиться не представляется возможным, то пользователям в качествен временной меры предлагается отключить учетную запись builder с помощью команды:

usermod -L builder

Дополнительная информация о смягчении последствий и о том, как проверить, затронута ли ваша система, доступна на странице Kubernetes в GitHub.

В бюллетене также дается предупреждение, что аналогичная проблема существует для образов, созданных с помощью поставщиков Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за более сложной эксплуатации. Уязвимость отслеживается как CVE-2024-9594. В качестве компенсирующих мер предлагаются те же шаги, что и в случае с CVE-2024-9486.

Источник: https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119

#уязвимость

Массовый сбой у сервисов Apple по всему миру. Пользователи больше всего жалуются на проблемы в работе App Store, Apple Pay и Apple Music.

🟩 Подписаться | Прислать новость | Зеркало

Intel и AMD при участии Линуса Торвальдса создали консультативную группу по экосистеме x86 https://opennet.ru/62056/

Профстандарт на сисадмина https://classinform.ru/profstandarty/06.026-sistemnyi-administrator-informatcionno-kommunikatcionnykh-sistem.html

🧭 Kafka Streams in Action

Из всего перечисленного мне больше всего нравится вопрос, а зачем вам Docs-as-Code. Потому что стильно-модно-молодёжно или реально решает какие-то задачи. Скопирую сюда свой пост. Если хотя бы одна из причин будет релевантной, то может и есть смысл, а так — зачем?

7 причин внедрить Docs-as-Code/Документацию как код

Я общаюсь как с техническими писателями, так и с аналитиками. И неизменно удивляюсь тому, насколько популярна концепция документации как кода у технических писателей. И насколько в основном она неизвестна и непонятна аналитикам. Но недавно я отвечала на вопросы аналитика, которая хотела изучить эту концепцию. И для самой себя я поняла, почему так происходит.

И технический писатель, и подход Docs-as-Code появляются в компании, когда работы с документацией становится очень много. Особенно работы с пользовательской документацией. В случае с наймом технического писателя это история с тем, что процесс работы с докой становится настолько большим, что нужен выделенный специалист под это. Аналитик (который обычно пишет доку при небольших объёмах доки) уже не потянет писать документацию в таких объёмах. 

А с подходом Docs-as-Code получается ещё интереснее. Это — опять же подход, который применяется, когда документация нужна часто и её должно быть много. В таком случае документацию начинают писать и ревьюить все — аналитики, техписатели, разработчики, тестировщики. Чтобы это не превратилось в бардак ворд-файлов или Confluence-страниц, подключают подход Docs-as-Code, который позволяет:

1) Аналитикам и техписателям работать над документацией одновременно с другими членами команды разработки. При этом можно отслеживать изменения, кто, как, когда и зачем внёс изменения в документацию. 

2) Привлечь разработчиков к написанию документации: лучший способ привлечь их к написанию доки — это облегчить им жизнь. Они уже привыкли работать с git и IDE, тут же написали код, тут же доку. Кстати, для VS Code есть плагин для Postman, так что и протестировать можно в этом едином окне.

3) Дорабатывать документацию итерационно и прицельно — в одной ветке черновик, в другой — для правок заказчика, в третьей — чистовая версия. Это пригодится, когда, например, заказчик просит подавать ему документы в одном виде, а для регистраций в РОПО и ФСТЭК вам нужен другой вид по ГОСТам.

4) Хранить документацию по релизам. Это — хранение документации вместе (рядом) с кодом: документация версионируется вместе с кодом и не затеряется. А ещё можно передать её в едином дистрибутиве заказчику. Удобно, если релизы происходят часто.

5) Публиковать документацию на сайт «на лету» с помощью инструментов CI/CD, а также «на лету» изготавливать печатную документацию — Docs-as-code позволяет конвертировать тот же Markdown в HTML, PDF, Docx. А инструменты с использованием XML (например, DITA) позволяют использовать подход «единого источника», когда изменение в одном месте разливается на все документы. Например, изменилось название продукта и не надо перелопачивать 100500 документов руками, изменение автоматически уйдёт во все связанные документы.

6) Применять Python-скрипты (например, совместно с Pandoc) и линтеры в VS Code. Это позволяет автоматически собирать Release Notes, подгонять документацию под стандарты, делать автоматические проверки на запрещённые слова и так далее. 

7) Использовать PlantUML для диаграмм прямо в документации. Диаграммы в PlantUML адаптивно встают на сайт, в Confluence (через плагин) и т.п. Нет нужды перерисовывать диаграмму при изменениях в проекте. Добавляешь пару строк разметки и готово, а ещё PlantUML рисует стрелки сам. Можно редактировать диаграммы совместно с разработчиками и другими СА как код или текст. Диаграммы классов в PlantUML очень близки к коду. Это — сэкономит время разрабу и он будет вас любить. В итоге диаграммы версионируются вместе с кодом, текстом и т.п. Можно миксовать разные диаграммы. Можно переносить в Confluence. А ещё ChatGPT умеет рисовать диаграммы в PlantUML.

https://t.me/technicalwriters/193387

Создана первая карта ландшафта атак на ИИ

Исследователь Дэниел Месслер попытался создать визуальную карту атак на искусственный интеллект (ИИ). С помощью предложенного им фреймворка специалистам будет легче разобраться, как происходят атаки на ИИ-системы.

Месслер пояснил, что писал свою статью в то время, когда только появился GPT-4. На тот момент уже имелось большое количество информации об атаках на реализации машинного обучения, но не на полные системы, созданные с использованием ИИ как части нескольких компонентов.

«Во многом это связано с тем, что такие интеграционные технологии, как Langchain, стали популярными только за последние 2 месяца. Поэтому людям потребуется время, чтобы создавать продукты и услуги с использованием этого инструментария», - поясняет исследователь.

Естественный язык — основа для атаки на системы ИИ, что порождает совершенно новый вид уязвимостей. Автор выделяет два метода, которыми могут действовать злоумышленники, - внедрение подсказок и атаки на обучение. С помощью этих методов можно реализовать атаки на модели, агенты, инструменты и обучающие данные.

В статье подчеркивается, что при изучении атак на ИИ важно думать не только о больших языковых моделях, но обо всей ИИ-экосистеме, которая состоит из множества компонентов.

«Нам особенно нужно думать о том, где системы ИИ пересекаются с нашими стандартными бизнес-системами, например, на уровнях агентов и инструментов, поскольку это системы, которые могут выполнять действия в реальном мире», - подытоживает Месслер.

Источник: https://danielmiessler.com/p/the-ai-attack-surface-map-v1-0/

#ИИ #кибератаки

https://unix.foo/posts/insecurity-of-debian/

💶 ЕС оштрафовал Meta* за открытое хранение данных пользователей

По итогам пятилетнего расследования установлено, что компания хранила пароли миллионов пользователей в виде обычного текста — без защиты и шифрования. Комиссия признала, что доступа у третьих лиц к этим данным не было, но все равно оштрафовала корпорацию на 91 миллион евро.

*Деятельность Meta (соцсети Facebook и Instagram) запрещена в России как экстремистская.

Подписывайтесь на ПРАЙМ

Европейскому регулятору подана жалоба о появлении в Firefox функции отслеживания пользователей https://opennet.ru/61932/

Для надежной записи просто fsync – недостаточно. О подводных камнях записи и гарантий сохранения - в слайдах свежей лекции Дмитрия Родионова (Пикодата). Видео: https://www.youtube.com/watch?v=1V_UfMZdO6Q

Ох уж эти вечные взломы cockpit.

Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе https://opennet.ru/61919/

Наблюдая кризис Интел, хочется сказать следующее.

На текущем этапе прогресса решается независимо от желания монополистов и глобалистов следующая проблема: стало дорого носить на борту слишком большое количество фич на все случаи жизни, и надо определить экосистему с дележом специализаций.

В конечном счёте мир должен понять, что он хочет материнки в которые можно совать любые камни будущего с унифицированным интерфейсом и специализированной начинкой, а потребитель будет сам выбирать функции, количество и баланс.

👩‍💻 Это — дерево решений для выбора между инструкциями RUN, CMD и ENTRYPOINT Dockerfile.

Эту и другую полезную информацию вы найдёте в новом переводе статьи от Docker, в которой автор показывает различия этих инструкций в форматах shell и exec.

Читать перевод — на Хабре.