Технологический Болт Генона

Писать всякое можно только великодушным пожизненным диктаторам 🌝

Кент Оверстрит (Kent Overstreet), разработчик ФС Bcachefs, сообщил, что будущее развиваемой им файловой системы в ядре под вопросом из-за действий комитета, отвечающего за соблюдение кодекса поведения в сообществе разработчиков (CoC Committee). Линус Торвальдс отказался принимать очередной набор исправлений к Bcachefs в состав ветки ядра 6.13, сославшись на наличие претензий со стороны комитета CoC.
. . .
Блокировка Кента Оверстрита связана с оскорбительным выражением "Get your head examined. And get the fuck out of here with this shit.", высказанным в ходе дискуссии с Михалом Хочко (Michal Hocko), одним из разработчиков системы распределения памяти в ядре. Оскорбление заметили члены комитета CoC и попросили принести публичное извинение, на что Кент ответил отказом, посчитав недопустимым поднятие личных дел на публику и заявив, что они c Михалом уже решили этот вопрос в личном порядке. Кент также упомянул оставившие неприятный осадок уговоры с упоминанием необходимости поддержать имидж сообщества, но, по мнению Кента, продиктованные желанием сохранить привлекательность участия в проекте корпораций.
. . .
Кент подробно описал историю и своё видение конфликта, а также раскритиковал навязывание комитетом CoC рафинированного общения в сообществе, которое, по его мнению, нарушает сложившуюся инженерную культуру. Cпоры обычно возникают между людьми, глубоко заботящимися о своей работе, но имеющими разные точки зрения. В ходе горячих споров разработчики могут не сдержать свои эмоции и накричать друг на друга, но это принимаемый участниками рабочий процесс, который в итоге приводит к нахождению эффективного решения и движению проекта вперёд.
. . .
Кент признаёт, что не сдержался, пытаясь привести технические доводы, но получив в ответ формальные отговорки и не желание углубляться в детали. Отмечается, что конфликт с сопровождающим подсистему управления памятью (mm) зародился ещё год назад, когда сопровождающий отказался принимать изменение, необходимое для реализации легковесного механизма профилирования операций выделения памяти. Для работы механизма требовалось добавить макро-обвязки над функциями выделения памяти и сопровождающий отклонил их, опасаясь, что они могут негативно повлиять на производительность.

Спустя год ситуация повторилась при попытке добиться изменения, связанного с обработкой ошибок в файловых системах - сопровождающий подсистему mm опять отклонил изменение, на этот раз сославшись на возможное влияние на безопасность. По мнению Кента, сопровождающий не пожелал углубиться в детали и выслушать аргументы других разработчиков, согласившихся с необходимостью изменения, а ограничился лишь поверхностными суждениями (изменение было связано с принятием исключения, допускавшего обработку некоторых ошибок выделение памяти при выставленном режиме GFP_NOFAIL, запрещающем внешнюю обработку ошибок в критических секциях, таких как обработки транзакции журналирования в ФС, что приводит к принудительному завершению процесса, даже в ситуации, когда ошибку можно было обработать).

Кент также упомянул, что члены комитета CoC тоже не лишены эмоциональных выпадов, например, один из его участников при обсуждении в кулуарах на конференции позволял себе вполне оскорбительные выражения (назвал других разработчиков "asshole"). Такое поведение при личном общении на конференции не более приемлемо, чем в списке рассылки, и получается, что сторонники кодекса пытаются навязать другим правила, которые нарушают сами.

Автора BcacheFS временно отстранили от разработки ядра Linux из-за нарушения кодекса поведения
https://www.opennet.me/opennews/art.shtml?num=62276

Тут wildberries выкатил набор утилит для анализа и визуализации сетевого трафика.

We support:
- Collecting network packets passing through nftables rules marked as 'nftrace set 1'.
- Storing collected traces in the Clickhouse database.
- Providing access to stored traces and flexible analytics.

Visor includes following utilities:
- pkt-tracer - daemon for collecting network packets that pass through nftables rules marked as 'nftrace set 1', and forward them to a server for storage.
- trace-hub - server that implements an API for receiving and storing traces in a database and providing access to them via an API.
- visor-cli - command-line network traffic analyzer for fetching and analyzing traces by applied filters.
- visor-ui - terminal user interface tier of visor-cli.

https://github.com/FR-Solution/pkt-tracer

В nftables существует метка для правил nftrace set 1; когда вы её устанавливаете, netlink может отслеживать трассировку трафика. Этот инструмент позволяет перехватывать данные и отправлять их в ClickHouse. Если имеется централизованный инструмент управления этими метками например SGroups (https://h-bf.prorobotech.ru/), то можно включать и отключать детектирование. Далее есть API-шлюз, через который можно получить трассировки по фильтрам и как в Cilium Hubble Relay (https://docs.cilium.io/en/stable/internals/hubble/#hubble-relay) визуализировать весь трафик со всех нод. Кроме того, он показывает, какое правило пропустило этот трафик, как оно выглядело на хосте и его расположение в момент разрешения.

Лицо тех, кто предлагает SAP на 1С менять, представили?
https://t.me/tech_b0lt_Genona/3093

«Сейчас большинство представителей ИТ-сферы объявляют, что могут практически все. – Рассуждает Ирина Пирогова. – Но, к сожалению это не так. Для нашей отрасли вся технология, а также соответствующие железо и софт были зарубежными. Мы не госструктура и мы не вынуждены замещать наш импортный и хорошо работающий у нас софт на российские программные продукты. На нашем рынке я не вижу желающих прийти и предложить нам импортозамещение».

В числе потерь в результате санкций «Илим» числит два зарубежных ПО, поставляемых по подписке: Think-cell (надстройка над PowerPoint) и Adobe для работы с pdf-файлами. Think-cell какое-то время удавалось использовать с помощью параллельного импорта, затем были предприняты попытки найти отечественное решение на замену, но они не увенчались успехом.
. . .
 «Илим» использует на производстве для развития технического обслуживания и ремонта веб-интерфейсы SAP PM (TOPO) для мобильных устройств и стационарных ПК с целью повышения удобства и эффективности использования SAP работниками технических служб
. . .
Измерительные системы лесозаготовки фиксируют данные об объеме заготовки, выполняемых работах и расходе горюче-смазочных материалов. Данные передаются по спутниковым каналам в систему SAP.
. . .
На горизонте планирования менее суток работа лесовозной техники выстраивается через оптимизатор SAP TM с целевой функцией минимизации затрат на вывоз.
. . .
«Мы будем использовать SAP до тех пор пока нам не предложат что-то лучшее, – констатирует Ирина Пирогова. – На наш взгляд вообще ничего не подлежит замене – нам просто это не нужно. Единственное с чем у нас реально проблема – это с АСУТП (автоматизированные системы управления технологическим процессом). Там у нас есть вопросы, потому что вендоры ушли, нет поддержки, местных специалистов у нас не хватает. Мы будем заменять системы АСУТП, но постепенно – в первую очередь то, что относится к объектам критической инфраструктуры».
. . .
Кроме SAP компания использует другие западные ИТ-решения. Например, PiSystem, работать с которой помогает российская компания и немецкая автоматизированная система управления производственными процессами MES, для которой у «Илим» есть собственные специалисты.

Из используемого отечественного ПО в компании используют «Систему слежения за вагонами и контейнерами «МЦ-Слежение», а также систему учета «Проконт». Впрочем в ближайшее время «Проконт» будет заменен на более современную систему на базе SAP.
. . .
«И когда к нам приходят представители ИТ-компаний – без этой цифры все остальное уже не интересно. – Рассказывает Ирина Пирогова. – Проекты должны приносить не только хайп, но и реальный экономический эффект. Пока мы нашли только одну компанию, которая готова идти с нами в какую-то конгломерацию, которая готова не за наш счет вести научно-исследовательские и опытно-конструкторские работы, а нести такие же риски как и мы в случае неудачного выполнения пилотного проекта».

Почему ИТ-директор крупной компании разгромила красивые презентации российских поставщиков
https://www.cnews.ru/news/top/2024-11-20_pochemu_biznes_ostaetsya_na

LazyJournal - это терминальный пользовательский интерфейс (TUI) для journalctl, логов файловой системе и контейнеров Docker для быстрого просмотра и фильтрации, написанный на языке Go с использованием библиотеки gocui.

— Простая установка, для запуска достаточно загрузить в систему один исполняемый файл без зависимостей.
— Проект вдохновлен работами Jesse Duffield, по этому интерфейс будет знаком всем тем, кто уже использует LazyDocker и LazyGit.
— Для всех журналов присутствует возможность динамической фильтрации вывода с поддержкой нечеткого поиска (поиск всех фраз, разделенных пробелом в любом месте строки) и регулярных выражений (в стиле fzf и grep), а также подсветкой найденных слов.
— Позволяет получить список всех доступных журналов юнитов из journalctl (используется для чтения логов из подсистемы systemd).
— Возможность просматривать все доступные лог-файлы из каталога /var/log с сортировкой по дате изменения (например, для Apache, Nginx или СУБД), включая доступ к архивным логам.
— Поддержка логов контейнеров Docker.
— Проект будет полезен в первую очередь для системных администраторов Linux, больше не нужно вручную искать журналы в системе и каждый раз вызывать grep.

GitHub: https://github.com/Lifailon/lazyjournal

Тут @SergeySabbath, закинул мой канал в тройку своих самых любимых. Скрывать не буду, мне очень приятно.

https://t.me/IT_Friday/646

А накидайте в комменты свои любимые каналы по IT-шной тематике или около неё. Можно несколько.

Может я и подписчики найдут что-то новое и интересное для себя

Если брать строго IT, то я регулярно слежу за

https://t.me/SysadminNotes

https://t.me/itpgchannel

https://t.me/dereference_pointer_there

https://t.me/sysadmin_tools

Есть большое количество ещё других, ни о ком не забыл и всех помню, но как-нибудь сделаю ещё отдельный пост 🌝

Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешников" и "айтишников" заменят "роботы" 🌝

Сегодня мы с радостью готовы поделиться первой уязвимостью из реального мира, обнаруженной агентом Big Sleep: отрицательным переполнением (underflow) буфера стека с возможностью реализации эксплойтов в SQLite, — широко используемом опенсорсном движке баз данных. Мы обнаружили уязвимость и сообщили о ней разработчикам в начале октября, и они устранили её в тот же день. К счастью, мы обнаружили эту проблему до её появления в официальном релизе, так что она не затронула пользователей SQLite.

Как мы нашли уязвимость в SQLite при помощи LLM
https://habr.com/ru/articles/855882/

Оригинальный пост
https://googleprojectzero.blogspot.com/2024/10/from-naptime-to-big-sleep.html

Но я сейчас хотел бы не про это.

SQLite знаменит тем, что они очень трепетно относятся к тестированию своего кода.

В частности, тестового кода в 590 (пятьсот девяносто) раз больше, чем кода самого проекта

As of version 3.42.0 (2023-05-16), the SQLite library consists of approximately 155.8 KSLOC of C code. (KSLOC means thousands of "Source Lines Of Code" or, in other words, lines of code excluding blank lines and comments.) By comparison, the project has 590 times as much test code and test scripts - 92053.1 KSLOC.

Думаю говорить о том, что там 100% покрытие ветвлений не надо.

SQLite активно использует fuzzing. Использовать они его начали после того исследователь Михал Залевски (Michał Zalewski) нашёл 22 бага с помощью фаззера

Фаззинг нашёл 22 бага в SQLite за полчаса
https://xakep.ru/2015/04/16/fazzing-sqlite/

Оригинальный пост
Finding bugs in SQLite, the easy way
https://lcamtuf.blogspot.com/2015/04/finding-bugs-in-sqlite-easy-way.html

Или, например, у них есть Valgrind, который позволяет отлаживать работу с оперативой, делать профилировку и обнаруживать утечки

SQLite делает ещё кучу всего, что бы сделать свой продукт лучше. Подробней можно почитать на отдельной странице - https://www.sqlite.org/testing.html

И в таких условиях всё равно находятся регулярно баги, что-то нужно править и т.д.

А теперь посмотрите на весь остальной код, который используется вами, пишется вами и в целом существует вокруг вас. Много ли проектов так же щепетильно подходят к его качеству? 🌝

27 ноября 2024 в 19:30 состоится очередная встреча Санкт-Петербургской группы пользователей Linux.

Тема: "От бумажной ленты до полной интерактивности: 60 лет эволюции редактора TECO"

Редактор и язык TECO (Text Editor and Corrector) является по некоторым данным старейшим текстовым редактором и остался в общественной памяти из-за его исторической связи с Emacs и как прообраз "патологического языка программирования". В докладе представляются история редактора, основы синтаксиса и демонстрируются различные реализации. Эволюция редактора и языка TECO продолжается до сих пор в виде современного интерактивного редактора SciTECO для UNIX-систем и Windows, указывая на альтернативный путь развития текстовых редакторов.

Доклад ведёт сам автор SciTECO - Робин Хаберкорн.

Место: Миран, Евпаторийский переулок, 7, вход со стороны Пироговской набережной.

Сайт сообщества: spblug.org, вход - свободный, но объект - режимный, при себе нужно иметь документ удостоверяющий личность, паспорт или права.

Паша Жовнер пишет

Флиппер перезжает в Лондон 💂🏼‍♂️🇬🇧

Наша штаб-квартира и R&D офис теперь в Лондоне. Мы заняли целое 4х этажное здание в котором сейчас доделываем ремонт.

На нижнем этаже будет Flipper Hackspace — место для тусовки гиков и исследователей с хардварной лабораторией. 

Пока все выглядит стремно из-за стройки внутри, но скоро будет разйоб.

https://t.me/zhovner_hub/2085

В комментах у @doque_embedded подглядел, что это район North Greenwich.

Искренне рад за ребят и компанию. Желаю, что бы у них и дальше шло всё отлично.

Ну, а за себя рад, что когда-то удалось аж целый год поработать над этим проектом с замечательной командой.

ЗЫ

Надеюсь, что столы в новом хакспейсе столы тоже будет проектировать Паша, как когда-то 🌝
https://habr.com/ru/articles/427959/

Эти "наработки" потом легли в основу верстаков, которые мы делали для нашего хакспейса (https://0x08.in/), раскрой и всё остальное доступно тут https://github.com/b4ck5p4c3/desktop

Есть такое приложение/библиотека Liquibase (https://github.com/liquibase/liquibase), которое позволяет проводить миграции для баз данных. Кто с Java-приложениями работал, скорей всего с ней сталкивался.

И вот в последнем релизе они выкатили обновление, которое для Open Source версии по умолчанию включает телеметрию

The latest release of Liquibase 4.30.0 now comes with the ability to automatically send anonymous usage analytics when you run commands. You can opt in or out of this functionality at any time — it is ON by default for Liquibase OSS users and OFF by default for Liquibase Pro customers. 

When enabled, Liquibase will record the following information when a command is run:

- Command-specific data: This includes the command name, whether it succeeds or fails, and, if there is a failure, exception data.

- Liquibase data: This tells us the version of Liquibase that’s being run and the interface it’s being run in.

- Database platform details: This helps us understand what databases are used with Liquibase and what version they are.

- Changelog information: This includes the format and number of changelogs run.

- Extension information: This data includes what extensions are being used and their version.

- Liquibase Pro data: This tells us which Pro features are enabled.

- Operating system information: This includes the type of operating system, version, and architecture.

https://www.liquibase.com/blog/product-update-liquibase-now-collects-anonymous-usage-analytics

Судя по issue нет нормальной ручки для работы со Spring Boot у этой "фичи" (workaround есть)

Add a method for Spring Boot to configure the new analytics feature
https://github.com/liquibase/liquibase/issues/6501

А так же появилась внезапная проблема с тем, что Pi-hole (это фильтрующий DNS-сервер, который используется для того, что бы резать рекламу и прочий неподобающий контент; https://pi-hole.net/) блочит URL api.segment.io, на который шлётся аналитика от Liquibase и из-за этого возникает exception

Analytics is enabled by default in OSS version
https://github.com/liquibase/liquibase/issues/6503

В общем те, кто Liquibase пользуется и будет обновляться имейте ввиду.

Недавно проходил SPLASH'24. Это реально огромная конференция (в этом году пятдневная), которую устраивает ACM (https://www.acm.org/), посвящённая различным аспектам разработки и поставки ПО.

SPLASH - это акроним от Systems, Programming, Languages and Applications: Software for Humanity

Ознакомиться с программой можно тут
https://2024.splashcon.org/program/program-splash-2024/

И пока самой нашумевшей новостью оттуда, которую я видел, была новость про Fil-C — компилятор для языков C и C++, который гарантирует безопасную работу с памятью.

Проект нацелен на обеспечение полной совместимости с существующим кодом на языках C и C++ - для обеспечения безопасной работы с памятью достаточно просто пересобрать существующий код. Компилятор построен с использованием компонентов от проекта LLVM и распространяется под лицензией Apache 2.0. Runtime поставляется под лицензией BSD. В отличие от недавно анонсированного проекта TrapC, находящегося на стадии проектирования, компилятор Fil-C уже доведён до готовности сборки существующего кода.
. . .
Защита от проблем с памятью обеспечивается благодаря применению 128-разрядных указателей MonoCaps с метаданными для проверки типов и отслеживания границ буферов, а также задействованию сборщика мусора FUGC, контролирующего все операции по выделению и освобождению памяти. В случае ошибок при работе с памятью приложение сразу аварийно завершается, что не позволяет эксплуатировать возможные уязвимости.
. . .
Ценой возможности использования Fil-C для защиты существующих проектов, без необходимости переписывания их кода или задействования особых языковых конструкций, является снижение производительности. На текущем этапе развития, собираемые в Fil-C программы медленнее примерно в 1.5-5 раз, по сравнению со сборкой обычными компиляторами.
. . .
Другим ограничением Fil-C является принципиальный отказ от сохранения совместимости на уровне ABI для кода на C/C++, что не позволяет связывать собираемый в Fil-C код с библиотеками и объектными файлами, собранными другими компиляторами. Методы вызова функций и способ динамического связывания в Fil-C отличается от существующих компиляторов и компоновщиков.

Fil-C - компилятор для языков C и C++, гарантирующий безопасную работу с памятью
https://www.opennet.ru/opennews/art.shtml?num=62241

GitHub
https://github.com/pizlonator/llvm-project-deluge

Очевидно, что попытки сделать C и C++ более безопасными делаются уже не первый раз и пока писал пост наткнулся на исследование двадцатилетней давности и тоже с ACM-овской конференции SIGSOFT FSE 2004 (https://isr.uci.edu/FSE-12/)

Memory Safe C Compiler
http://www.seclab.cs.sunysb.edu/mscc/

MSCC detects memory access errors at the level of memory blocks, which correspond to the least units of memory allocation, such as a global or local variable, or memory returned by a single invocation of malloc. It flags memory errors only at a point where a pointer is dereferenced. For each pointer p, metadata that describe the temporal and spatial attributes of the memory block pointed by p are maintained at runtime and used for detecting memory errors before dereferences of p. Metadata is stored separately from a pointer for better backwards-compatibility with untransformed libraries. MSCC handles most common forms of pointer arithmetic as well as type casts that can be classified into upcasts (cast from subtype to supertype) or downcasts (casting from a supertype to a subtype), which account for most casts in typical C programs.

Paper доступен тут (в комменты скину PDF)
https://web.archive.org/web/20050529143916/http://www.seclab.cs.sunysb.edu/seclab/pubs/papers/fse04.pdf

Так что можно почитать как оно было 20 лет назад 🌝

We've noticed that some of our automatic tests fail when they run at 00:30 but work fine the rest of the day. They fail with the message

gimme gimme gimme

in stderr, which wasn't expected. Why are we getting this output?

er, that was my fault, I suggested it. Sorry.

Pretty much the whole story is in the commit. The maintainer of man is a good friend of mine, and one day six years ago I jokingly said to him that if you invoke man after midnight it should print "gimme gimme gimme", because of the Abba song called "Gimme gimme gimme a man after midnight":

Well, he did actually put it in. A few people were amused to discover it, and we mostly forgot about it until today.

I can't speak for Col, obviously, but I didn't expect this to ever cause any problems: what sort of test would break on parsing the output of man with no page specified? I suppose I shouldn't be surprised that one turned up eventually, but it did take six years.

(The commit message calls me Thomas, which is my legal first name though I don't use it online much.)

This issue has been fixed with commit 84bde8: Running man with man -w will no longer trigger this easter egg.

Why does man print "gimme gimme gimme" at 00:30?
https://unix.stackexchange.com/questions/405783/why-does-man-print-gimme-gimme-gimme-at-0030/405874#405874

Сам коммит
https://gitlab.com/man-db/man-db/-/commit/84bde8d8a9a357bd372793d25746ac6b49480525

Спасибо подписчику за наводку

#pin

Дорогие друзья! Спустя 20 лет после выхода бюджетных мобильных телефонов Motorola C380, C650, V180 и V220 на рынок, мы с dimonp25 и ребятами из [email protected] решили добавить в них поддержку исполнения ELF-приложений! По итогу у нас получилась небольшая модифицированная прошивка, в которой я постарался сохранить стоковое и оригинальное оформление в ностальгических целях. По сути это первый кастомный монстрпак для этих телефонов с полноценным ElfPack'ом.

[modded]: C650_R365_G_0B.D3.08R + ELFs

Если у кого-либо всё ещё остался такой старенький телефон как: C380, C650, V180, V220, то можете прошиться!

Большое спасибо:
metalman87, dimonp25, Viktor89, kostett, marry on me, Dimka, Osta, Vilko

Мой хороший знакомый Лев Гончаров (@ultralisc) недавно выложил у себя в блоге Devops Roadmap

https://www.goncharov.xyz/it/devops-roadmap.html

Там есть информация о том, что почитать, что посмотреть, с каких курсов начать. Так же есть разбивка материалов по направлениям в виде операционных систем, сетей, docker, CI/CD и т.д.

У Льва много статей и докладов, как на английском языке
https://github.com/ultral/ultral.github.io
так и на русском языке
https://github.com/ultral/ultral.github.io/blob/master/README-ru.md

Собственно, пост Devops Roadmap родился как раз из одного внутреннего доклада в T-Systems.

Всем интересующимся рекомендую ознакомиться.

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, в которых исправлены 35 ошибок и устранены 3 уязвимости - одна опасная и две неопасных. Также объявлено о прекращении поддержки ветки PostgreSQL 12, обновления для которой больше формироваться не будут.

Опасная уязвимость (CVE-2024-10979), который присвоен уровень опасности 8.8 из 10, позволяет локальному пользователю СУБД, обладающему правами на создание функций PL/Perl, добиться выполнения кода с правами пользователя, под которым работает СУБД. Уязвимость вызвана тем, что в функциях PL/Perl можно изменить переменные окружения рабочего процесса, включая переменную PATH, определяющую пути к исполняемым файлам, и специфичные для PostgreSQL переменные окружения. Отмечается, что для совершения атаки достаточно доступа к СУБД и не требуется наличие учётной записи в системе.

   CREATE OR REPLACE FUNCTION plperl_set_env_var()
   RETURNS void AS
   $$
    $ENV{'ENV_VAR'} = 'testval';
   $$ LANGUAGE plperl;

   SELECT plperl_set_env_var();

Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса
https://www.opennet.ru/opennews/art.shtml?num=62238

Считаю на Опёнке заголовок не то что бы верно отображает новость, да и с критичность в 8.8 я не согласен, так как связана уязвимость с PL/Perl, а это прям редкая история.

До кучи в документации PostgreSQL написано прямым текстом

> Trusted PL/Perl relies on the Perl Opcode module to preserve security. Perl documents that the module is not effective for the trusted PL/Perl use case. If your security needs are incompatible with the uncertainty in that warning, consider executing REVOKE USAGE ON LANGUAGE plperl FROM PUBLIC.

https://www.postgresql.org/docs/current/plperl-trusted.html

Поэтому достаточно просто отключить или удостовериться, что эта балалайка отключена.

Релизнулся Prometheus 3.0

Туда запилили

- новый UI
- поддержку UTF-8 для метрик и лейблов
- поддержку OpenTelemetry

Улучшили производительность (см. прикреплённые к посту графики)

Below you can see performance numbers between 3 Prometheus versions on the node with 8 CPU and 49 GB allocatable memory.

- 2.0.0 (7 years ago)
- 2.18.0 (4 years ago)
- 3.0.0 (now)

Почитать подробней о том что ещё добавили и улучшили можно в блоге
https://prometheus.io/blog/2024/11/14/prometheus-3-0/

и на странице релиза
https://github.com/prometheus/prometheus/releases/tag/v3.0.0

Новость прекрасная

Today, we’re pleased to help drive cloud-native evolution further into the next-generation of IT with our intent to contribute a comprehensive set of container tools to the Cloud Native Computing Foundation (CNCF), including bootc, Buildah, Composefs, Podman, Podman Desktop and Skopeo.

Upon acceptance by the CNCF, the contributed tools will become hosted projects – alongside technologies like Kubernetes, Prometheus, Helm and many more – and part of a vendor-neutral foundation aligned with the projects’ technical interests. The tools will start as Sandbox projects, allowing end-users to contribute, collaborate, grow the project communities and mature the technology.

While already popular tools with strong user bases - with Podman Desktop having been downloaded more than 1.5 million times and Podman having 23.6k GitHub Stars - we believe as CNCF-hosted projects, these tools will continue to meet the needs of developers today while paving the way for container technologies to grow organically and evolve to meet the dynamic needs of tomorrow.

Red Hat to Contribute Comprehensive Container Tools Collection to Cloud Native Computing Foundation
https://www.redhat.com/en/blog/red-hat-contribute-comprehensive-container-tools-collection-cloud-native-computing-foundation

Ссылки на проекты

Podman:
https://github.com/containers/podman

Buildah:
https://github.com/containers/buildah

Skopeo:
https://github.com/containers/skopeo

Bootc:
https://github.com/containers/bootc

Podman Desktop:
https://github.com/podman-desktop/podman-desktop

А я напомню, что у нас есть ламповый чат по Podman и тому что рядом с ним - @ru_podman

65k nodes in k8s
https://cloud.google.com/blog/products/containers-kubernetes/gke-65k-nodes-and-counting

Из прикольного, чтобы достичь этого, конечно же выкинули etcd из куба для этого. И взяли Spanner. На этом можно и закончить, в целом. Кажется это главная причина с чем нужно постоянно приседать, не только на больших кластерах, но и там где интенсивность создаваемых ресурсов высокая.
Остальные вещи, вроде тюнинга secondary boot disk, или использование kueue/jobset контроллеров, в контексте скейлинга до 65к хостов роли не играют особо. Это скорее про скорость шедулинга ворклоада.
Слышал, что яндекс облако когда-то думало заменить etcd на ydb (те сделать api etcd совместимое), но что-то, как всегда, пошло не так.

Я даже не знаю как описать масштаб бедствия, потому что когда это всё смотреть решительно непонятно 🌝

Выложены доклады с USENIX Security '24 в количестве 415 штук

Плейлист
https://www.youtube.com/playlist?list=PLbRoZ5Rrl5ldQ2K_dpmPKHEyRgyf5JSxd

Программа
https://www.usenix.org/conference/usenixsecurity24/technical-sessions

Тут @gecube принёс в личку новый проект от AWS

Today, we’re excited to release Kube Resource Orchestrator (kro), a new experimental open source project that simplifies and empowers the use of custom APIs and resources with Kubernetes. With kro, you can define complex, multi-resource API extensions for reuse in any Kubernetes cluster. Defining new resource groups with kro is like creating your own custom application and infrastructure building blocks for Kubernetes.
. . .
kro is a Kubernetes-native solution that lets you create reusable APIs for deploying multiple resources as a single unit. It transforms complex Kubernetes deployments into simple, reusable components that your teams can use. By handling resource dependencies and configuration under the hood, kro lets you focus on building your applications and services and less on the operational burden of managing CRD versions and controller lifecycle.

kro has one fundamental custom resource, the ResourceGroup. When you install kro in your cluster, it installs ResourceGroup as a Custom Resource Definition (CRD). Platform and DevOps teams can create custom Kubernetes APIs with operational standards and best practices baked in by defining specific custom resources and configuration as part of the ResourceGroup.

Introducing kro: Kube Resource Orchestrator
https://aws.amazon.com/ru/blogs/opensource/introducing-open-source-kro-kube-resource-orchestrator/

GitHub
https://github.com/awslabs/kro

Документация
https://kro.run/docs/overview/

Мои слайды с сегодняшнего доклада

Так же они выложены на сайте конференции
https://devoops.ru/talks/c6ba44b7c18b411f9753c06873cc606e/

Завтра и послезавтра на DevOops буду. Кто хочет пересечься пишите в комменты или в личку.

Балдёж

Компания BlackBerry QNX предоставила возможность бесплатного использования микроядерной операционной системы реального времени QNX в некоммерческих целях. Также объявлено о начале формирования системных образов QNX 8.0 для плат Raspberry Pi 4 и 5. Комментируя вопрос о возвращении проекта QNX к публикации исходных текстов, менеджер, отвечающий за взаимодействие с разработчиками, отметил, что компания движется в сторону большей открытости и прозрачности, но о сроках подобных изменений он ничего сказать пока не может.

В 2007 году была запущена инициатива по открытию исходных текстов QNX под лицензией, допускавшей внесение изменений. В открытом доступе был опубликован код микроядра QNX Neutrino, файловых систем, системной библиотеки, драйверов, microGUI, сетевого стека и входящих в комплект утилит. В 2010 году фирму QNX Software Systems поглотила компания Research In Motion (RIM), владеющая брендом BlackBerry, после чего публикация кода была прекращена. В настоящее время открытые инициативы QNX ограничиваются репозиторием в GitLab, в котором собраны порты открытых приложений для QNX, фреймворки, компоненты для гипервизора QNX Hypervisor и примеры приложений.

Операционная система QNX стала бесплатной для некоммерческого использования
https://www.opennet.ru/opennews/art.shtml?num=62198

Оригинал
https://forums.openqnx.com/t/topic/47580

GitLab
https://gitlab.com/qnx

4:19

> Начала искать статьи по этой теме и словила бомбеж очка: большинство найденных мною статей не только не объясняют концепцию этого инструмента, но и еще больше запутывают читателя, пытающегося разобраться в теме.

> Непонятно, почему для объяснения тем, необходимых новичкам, используются такие сложные и абстрактные формулировки. Причины могут быть следующие:

> Причина 1: Автору не хватило времени/желания разобраться в сути и создать качественный, уникальный материал. Был совершен копипаст определения с официального сайта, без попытки объяснить своими словами устройство инструмента и вникнуть в детали.

> Я хочу сказать, что король голый, и многие статьи и посты, якобы объясняющие основные концепции для новичков - тупорылая калька, написанная на коленке для привлечения аудитории к продаже своего курса/продукта.

> Менторство - https://teletype.in/@ekaterina-57036/javaGymRatMentor

https://t.me/javaGymRat/76

4:20

Полное видео - https://www.youtube.com/watch?v=lRT4kh67Ivw

UPD:
Так как в комментах были вопросы, то вынесу в пост

Мне лично не нравится, что автор говорит, что не нашла определений, видосов, статей, что никто объяснить не может нормально, но при этом снимает обычный видос, которых на ютубе как говна за баней.

"Волчары", менторство и вот это всё меня интересует в меньшей степени.

Ща SOC Forum (https://forumsoc.ru/) проходит и там что-то происходит 🌝

Сейчас взаимодействовать с ГосСОПКА обязаны только субъекты КИИ - государственные органы власти, индивидуальные предприниматели и российские юридические лица, владеющие объектами критической информационной инфраструктуры или обеспечивающие их взаимодействие. Также операторы персональных данных имеют возможность информировать ГосСОПКА об утечках информации, однако другие компании не обязаны передавать никаких данных. По мнению заместителя директора НКЦКИ, отсутствие других категорий организаций, обязанных предоставлять информацию, затрудняет оценку ситуации и прогнозирование развития угроз.

Бизнес на пороге обязательного подключения к ГосСОПКА
https://www.securitylab.ru/news/553778.php

В 2022 году АНБ США рекомендовало отказываться от C/C++ - https://t.me/tech_b0lt_Genona/3408

Новый виток в этой истории

31 октября 2024 года

Это самая жёсткая позиция правительства в отношении безопасности программного обеспечения, которая предупреждает производителей: устраняйте опасные методы программирования, иначе вас могут обвинить в халатности.
Федеральное правительство предупреждает об опасных методах разработки программного обеспечения. Агентство по кибербезопасности и защите инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) публикуют жёсткие предупреждения о нарушениях базовых мер безопасности, которые продолжают затрагивать критически важную инфраструктуру.
. . .
Однако для производителей программного обеспечения время идёт. У компаний есть время до 1 января 2026 года, чтобы составить планы по обеспечению безопасности памяти.
«Для существующих продуктов, написанных на небезопасных для памяти языках, отсутствие опубликованной дорожной карты по обеспечению безопасности памяти к 1 января 2026 года опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения», — говорится в отчёте.
. . .
Что касается программного обеспечения с открытым исходным кодом, в отчёте говорится, что особое внимание следует уделять уязвимостям в программах с открытым исходным кодом. Другие рекомендации включают:

- Компании должны поддерживать спецификации программного обеспечения (SBOM).

- Требуется кэшировать зависимости, а не извлекать их из общедоступных источников.

- Необходимо ответственно подходить к проектам с открытым исходным кодом, от которых они зависят.

«Производители программного обеспечения должны ответственно относиться к потреблению и вносить устойчивый вклад в развитие программного обеспечения с открытым исходным кодом, от которого они зависят», — говорится в отчёте.
В отчете также содержится призыв к большей прозрачности, в котором говорится, что:

- Компании должны публиковать политики раскрытия уязвимостей.

- Требуется выдавать CVE для всех критических уязвимостей.

- Должно предоставлять четкую документацию о проблемах безопасности.

- Ожидается, что журналы безопасности будут храниться шесть месяцев.
. . .
«Однако в документе по-прежнему остаётся достаточно лазеек для сохранения статус-кво, — сказал Макнамара в интервью The New Stack. — Похоже, что авторы явно опасаются превысить свои полномочия. Обратите внимание, что в тексте используются такие термины, как «настоятельно рекомендуем», «должны» и «разумные усилия».
Кроме того, требования документа также довольно мягкие
. . .
Есть также важные исключения. Дорожные карты не требуются для продуктов, срок службы которых истекает в 2030 году, несмотря на то, что многие программы работают гораздо дольше, чем предполагалось».
Макнамара отметил, что в 2007 году MITRE опубликовала отчёт под названием «Непростительные уязвимости», в котором на первом месте была проблема безопасности памяти. Однако эти ошибки не считаются халатностью при разработке программного обеспечения. «Я не вижу других областей, где допустимо не применять известные решения для устранения серьёзных проблем с безопасностью», — сказал он.

Правительство США: критически важное программное обеспечение должно отказаться от C/C++ к 2026 году
https://habr.com/ru/articles/856804/

Оригинал
Feds: Critical Software Must Drop C/C++ by 2026 or Face Risk
https://thenewstack.io/feds-critical-software-must-drop-c-c-by-2026-or-face-risk/

Ссылки на PR'ы
https://github.com/reactor/reactor-core/pull/3897
https://github.com/reactor/reactor-core/pull/3921

Ссылки на оригинальные посты
https://t.me/kuleshov_razgonyaet/58
https://t.me/kuleshov_razgonyaet/60

День сегодня такой, так что продолжаем

В октябре CloudFlare включил на своей стороне по умолчанию TLS ECH (Encrypted Client Hello). ECH - предназначен для сокрытия от сторонних наблюдателей метаданных при установлении TLS-соединения. Например, это имя сайта (SNI) к которому происходит подключение.

Пример, того как это выглядит (секция ech=)

https://dns.google/query?name=cloudflare-ech.com&rr_type=HTTPS&ecs=

  "Answer": [
    {
      "name": "cloudflare-ech.com.",
      "type": 65 /* HTTPS */,
      "TTL": 300,
      "data": "1 . alpn=h3,h2 ipv4hint=188.114.98.233,188.114.99.233 ech=AEX+DQBBygAgACD4A+m+HCagcdlVGpNSQVGB+UW6nQShROBoUiqUsg1qeAAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2a06:98c1:3122:e000::9,2a06:98c1:3123:e000::9"
    }
  ],

Анализ SNI используется ТСПУ, что бы Роскомнадзор мог блокировки подрубать. Соответственно, ECH ломает блокировки.

Пару дней назад РКН просто начал блокировать всё, что использует ECH. Когда начались жалобы и вопросы вида "а чо всё отвалилось, когда должно работать", РКН дал ответ

Американская компания CloudFlare, поставщик услуг CDN, включила в октябре применение по умолчанию на своих серверах расширение TLS ECH (Encrypted Client Hello). Эта технология – средство обхода ограничений доступа к запрещенной в России информации. Его использование нарушает российское законодательство и ограничивается техническими средствами противодействия угрозам (ТСПУ).

Рекомендуем владельцам информационных ресурсов отключить расширение TLS ECH или, что правильнее, использовать отечественные CDN-сервисы, которые обеспечивают надежное и безопасное функционирование ресурсов и защиту от компьютерных атак.

Рекомендуем отказаться от CDN-сервиса CloudFlare
https://portal.noc.gov.ru/ru/news/2024/11/07/рекомендуем-отказаться-от-cdn-сервиса-cloudflare/

Наблюдаем дальше 🌝

По информации источников издания «КоммерсантЪ», система подтверждения компетенций и навыков для разработчиков ПО в РФ, которую планирует запустить Минцифры, получит интеграцию с «Госуслугами».

В Минцифры сообщили СМИ, что разрабатывают подходы к этой системе совместно с бизнесом и пока получили соответствующее предложение только от компании HeadHunter. В ведомстве отметили, что «готовы рассмотреть и другие варианты тестирования и открыты к выбору партнёров». Потенциальную интеграцию системы с «Госуслугами» в Минцифры не прокомментировали.
. . .
Интерес Минцифры к формированию кадровой платформы понятен, «она позволяет формировать базу данных IT-специалистов с подтвержденными компетенциями», уточнил СМИ гендиректор CorpSoft24 Константин Рензяев. По его мнению, в этом случае специалисты смогут «дать ссылку не просто на резюме, а на верифицированную площадку».

Примечательно, что Ассоциация предприятий компьютерных и информационных технологий (АПКИТ; входят VK, 1C, Softline) работает над другим способом подтверждения компетенций в IT — путем сертификации, по аналогии с вендорскими системами ушедших из РФ компаний. Председатель совета АПКИТ по развитию сертификации IT-специалистов Наталья Починок сообщила СМИ, что ассоциация, помимо создания своей системы, участвует в разработке аналогичной сторонней системы на правах экспертов. В инициативе АПКИТ «заложена гармонизация требований к сертификатам участников, включая идентификацию по СНИЛС, что даст возможность в будущем интегрироваться с госсервисами».

В «Хабре» пояснили СМИ, что видят интерес аудитории сайта к оценке навыков на базе сайта: «Считаем, что на российском рынке должен быть набор разных возможностей оценки от разных игроков».

У каждой компании существуют собственные требования к квалификации специалистов, уточнила СМИ директор по персоналу Postgres Professional Ксения Замуховская. По её словам, «если у IT-компаний будут запрашивать такие данные, то маловероятно, что найдутся желающие их распространять — есть риск раскрытия чувствительной информации».

Основатель IT-компании Tiqum Юрий Гизатуллин считает, что систему подтверждения навыков нужно строить не на базе текущего решения одной компании, а в формате отдельной платформы.

Система подтверждения компетенций и навыков для разработчиков ПО в РФ получит интеграцию с «Госуслугами»
https://habr.com/ru/news/856654/

Сегодня форсят новость про то что в США на кофеварку поставили майнер и залочили функциональность (прикрепил видос). Ну, а я напомню о "платиновом" твите из 2018 года, когда на кофеварке нашли Hadoop и не менее платиновую цитату с bash.org.ru

xxx: У нас тут YYY (билд инженера) сманили. Чел принципиально жил только в консоли и vim, диаграммы рисовал скриптами в dot, доки писал в wiki маркдауном, если что-либо требовало больше чем 1.5 минуты писал скрипт. Сидим разбираем его наследие.

xxx: Из прекрасного

xxx: smack-my-bitch-up.sh - шлет видимо его жене "Задержался на работе" и генерит отмазки из списка. Поставлено в cron, стреляет после 9 вечера если на рабочей станции висят интерактивные сессии по ssh с его логином.

xxx: kumar-mudak.sh - сканит почту, ищет письма от Кумара (заграничный ДБА с говорящей фамилией) с ключевыми словами (sorry, help и т.д.) откатывает упомянутую базу стейджинга на последний бэкап и отписывается типа не вопрос будь аккуратнее в следующий раз. Зело заколебал его Кумар вестимо.

xxx: badun.sh - поставлен на cron на определенные даты, шлет письма "плохо себя чувствую, поработаю из дома" опять же если к 8-45 утра не обнаружилось интерактивных сессий на рабочей станции.

xxx: И наконец первый приз: coffe-blyat.sh - ждет 17 сек (!!!) логинится по ssh в кофе-машину (епрст, мы и понятия не имели что она в сетке да и еще что на ней sshd поднят) и засылает туда какую-то абракадабру. Экспериментальным путем выяснили что ЭТО запускает процесс варения half-caf chai latte среднего размера, которое начинает выливаться в чашку как раз к тому моменту когда неспеша идущий человек добирается от его офиса до автомата

"Так выпьем же эту чашку кофия за автоматизацию" 🌝

Как-то я пропустил, но тут в сентябре наконец-то выпустили Falco Talon условно стабильной версии.

Falco, если кратко, мониторит системные вызовы, анализирует что происходит и выдаёт предупреждение, если что-то нарушает его правила (делает это не только для Kubernetes, но и хоста).

Раньше, после того как Falco стриггерился на что-то, надо было придумать как на алерт реагировать. Так же Falco не позволял выстроить цепочку событий, которая бы объясняла, как к событию в алерте пришли.

Например, об этом рассказывал @gecube тут
https://youtu.be/uKX8TaLJK6E?t=293

Ответом на запрос в контексте реагирования появился Falco Talon

Falco Talon is a Response Engine for managing threats in Kubernetes clusters. It enhances the solutions proposed by the Falco community with a no-code tailor-made solution. With easy rules, you can react to events from Falco in milliseconds.

Introducing Falco Talon v0.1.0
https://falco.org/blog/falco-talon-v0-1-0/

Если кратко, то как это работает (схематично на первой картинке)

Falco ловит событие, которое прокидывается на falco-talon (можно через sidekick). После этого, согласно настроенным actionner выполняется действие. На данный момент список поддерживаемый

- kubernetes:terminate
- kubernetes:label
- kubernetes:networkpolicy
- kubernetes:exec
- kubernetes:script
- kubernetes:log
- kubernetes:delete
- kubernetes:drain
- kubernetes:download
- kubernetes:tcpdump
- aws:lambda
- calico:networkpolicy
- cilium:networkpolicy

https://docs.falco-talon.org/docs/actionners/list/

Как это можно применять можно почитать в посте от Sysdig
Optimizing Wireshark in Kubernetes
https://sysdig.com/blog/optimizing-wireshark-in-kubernetes/

Там они рассказали, как дампили трафик с помощью Wireshark, отправляли в Falco, а потом с помощью Falco Talon реагировали на то что происходит.

В посте, где рассказывают про релиз, показан пример со складированием трафика в Amazon S3 (на второй картинке)

GitHub
https://github.com/falcosecurity/falco-talon

Документация
https://docs.falco-talon.org/

Вот это внезапно

On October 20, the original author of the Fernflower Java decompiler, Stiver, passed away after a long fight against glioblastoma.
. . .
Twenty years ago, he developed a deep professional interest in Java virtual machine internals. You may remember his research blog posts, like this one (in Russian) from 2006 about how to tweak the Java class hierarchy using Unsafe when Java 1.5 was just released. Around 2008, Stiver became fascinated by Java decompilation.
. . .
Stiver decided to write his own decompiler as a side project. To overcome the weaknesses of existing alternatives, he took a different approach. After reading the bytecode, he constructed a control-flow graph in static single-assignment form, which is much better to express the program semantics abstracting the particular shape of bytecode. At the beginning of this project, Stiver knew little about static analysis and compiler design and had to learn a lot, but the effort was worth it. The resulting decompiler produced much better results than anything available at that time. It could even decompile the bytecode produced by some obfuscators without any explicit support.
. . .
Stiver did the main development himself between 2008 and 2010. The first public version became available in May 2009 as a web service. A user could upload an individual CLASS file or a whole JAR file and get the decompiled result. The decompiler quickly gained popularity – during the first four months, users decompiled more than half a million Java classes. There was no public standalone version, but Stiver sent it privately to a few Beta testers.
. . .
In 2013, JetBrains approached Stiver with a suggestion to include Fernflower in IntelliJ IDEA. Part of the deal was making Fernflower open source. Everything went well, and the contract was signed. On July 11, 2014, the early access version of IntelliJ IDEA 14 was released, including the decompiler for the first time. You can still see the initial import of the Fernflower source code in the IntelliJ IDEA Git history, on March 4, 2014.
. . .
As Fernflower became open source, many other tools in the Java world used it – you can find a number of forks on GitHub. The Java team at JetBrains is constantly improving Fernflower, but it’s still mainly Stiver’s code. 
. . .
Thank you, Stiver! We are deeply saddened by the loss of such a brilliant pioneer whose work and dedication had such a lasting and profound impact. 

In Memory of Stiver
https://blog.jetbrains.com/idea/2024/11/in-memory-of-stiver/

Спасибо подписчику за ссылку

Flipper-Zero Key Maker App Key Copier for Physical Keys (прицепил тоже к посту)
https://www.youtube.com/watch?v=RPrd-S5Cmxo

Приложение
https://lab.flipper.net/apps/key_copier

GitHub
https://github.com/zinongli/KeyCopier

Сегодня будет стрим из Томского хакспейса "Akiba" в 18:00 (время UTC+7:00), 14:00 по МСК.

Список докладов

- Артефакты нейровокодеров
Докладчик: @Jl4cTuk
Узнаем какие артефакты оставляют модели синтеза речи, как с этим борются и живут.

- Основы электроники для начинающих радиогубителей.
Докладчик: @Alkekseevich
Доклад о том как я вкатился в электронику с нуля. Расскажу о том какие знания необходимы, а так же про траекторию развития в данной отрасли.

- SIGKILL 'Em All: цель и путь сигналов в Linux.
Докладчик: @g1inko
Как доставляются сигналы? Что они такое, и какие бывают? И из-за чего процессы могут стать не убиваемыми?

- NixOS: Что это и как с этим жить.
Докладчик: @M4maI
На докладе познакомимся с NixOS, что это за дистрибутив, как с ним работать и узнаем как его использовать в CTF

- ХэСС
Докладчик: @var1m
Что ты знаешь про ХэСС? Точно?

- Жизнь и смерть tcp сокета в ядре Linux.
Докладчик: @Daniil159x
Думаю, все так или иначе работали с TCP. Посмотрим как оно работает под слоями абстракций.


Ссылка на трансляцию
https://www.youtube.com/live/nbOsBA3BYPE

Чат хакспейса @hackspace_tomsk

Запись созвона сообщества

Смотреть 📺Youtube | 💰Boosty

Немного ссылок от Толи:
Доклад на БЕКОН 2024 - "Латаем огрехи в образах приложений с помощью Kubernetes"
Слайды, ВК, YouTube

Доклад на DevOpsConf 2023 - "Локальная инфраструктура для разработки K8s-native ПО"
Слайды, Видео

Доклад на HighLoad++ 2022 - "eBPF в production-условиях"
Слайды, Видео, Расшифровка доклада

Материалы воркшопа SafeCode 2024 Autumn
https://t.me/tech_b0lt_Genona/4783

Доклад на OFFZONE 2023 - "Как мы SBOM генерировали и к чему пришли"
Слайды, Видео

Cozystack + Aenix
https://cozystack.io/ + https://t.me/cozystack
https://aenix.io/ + https://t.me/aenix_io

Создание собственного base-образа Docker с ОС Linux
https://tbhaxor.com/create-docker-base-image/

И чуть-чуть моих:
Доклад на Heisenbug 2023 Autumn - "7 раз отрежь, 1 раз отмерь"
Слайды, Видео

📹YT | 📺RT | 📺VK | 💰Bty
👀@ever_secure

Мы к себе в Luntry (https://luntry.ru/) ищем Auto QA Engineer (Middle/Senior)

Про нас:
- Делаем продукт для observability и security Kubernetes
- Разработка и поддержка высоконагруженной системы, обрабатывающий большие потоки данных с кластеров Kubernetes

Требования:
- Знание методов и методик тестирования
- Опыт написания автотестов
- Опыт тестирования web-приложений (frontend & backend)
- Опыт работы в командной строке linux-подобных операционных систем
- Знание Python, SQL
- Опыт работы с системами контроля версий
- Опыт работы с системами учета багов

Всякие печеньки и ДМС присутствуют.

Вакансия на hh - https://spb.hh.ru/vacancy/109640019

Писать можно мне в личку - @rusdacent

Так как уже больше трёх человек спросили в личке откуда я форварднул вчерашний пост про фаззинг и где такими вещами занимаются, то решил рассказать на канале. Мало ли кому ещё интересно будет.

Есть такое движение сторонников РБПО (Разработка Безопасного Программного Обеспечения), в котором несколько направлений. Выражу их список через чаты в телеге 🌝

@sdl_static - чат, посвященный вопросам компиляторики и статического анализа (в первую очередь безопасный компилятор/Svace/Svacer, но не только)

@sdl_dynamic - чат, посвященный вопросам динамического анализа (в первую очередь Crusher/Sydr/Casr/Блесна/Natch, но не только). Собственно, вчерашний форвард сделан из него.

@sydr_fuzz - чат пользователей фаззера Sydr

@ispras_natch - чат системы определения поверхности атаки Natch

@sdl_flood - чат флудилка на тему безопасной и качественно разработки - то, что не укладывается в темы указанных выше чатов

@SDL_Community_SPb - локальный чат Питерской ветки сообщества

Так же рядом со всей этой движухой проводится открытая конференция ИСП РАН, которая является ежегодной и там регулярно появляются интересные доклады. Например, список докладов за 2023 год можно посмотреть тут https://www.isprasopen.ru/2023/#Agenda

В этом году она тоже будет проходить в декабре, так что кому интересно можно подавать свои доклады и регистрироваться https://www.isprasopen.ru/

Так же напоминаю про "Центр исследований безопасности системного программного обеспечения" https://t.me/tech_b0lt_Genona/4755, который идейно очень близок и сильно пересекается по группам интересов.

Вроде, ничего не забыл и покрыл тему, но если что задавайте вопросы в личку или в комментах.

Отличный пост про то как исследователь распотрошил наушники и нашёл много интересного в них, в том числе и что-то похожее на spyware

Close to a year ago, I stumbled upon the Kekz Headphones, which seemed like an interesting approach on the whole digital audio device space. They claimed to work without any internet connection and all of the content already on the headphones itself. They are On-Ear Headphones, which work by placing a small chip (I call them “Kekz” or “Cookie”) into a little nook on the side and it plays an audio story. I was intrigued, because there were some speculations going around, how they operate with those “Kekz”-Chips.

I invite you to join me on a journey into the inner workings of those headphones. We will talk about accessing the encrypted files on the device, breaking the crypto and discovering disclosure of data from customers.
. . .
Open Questions

- What is the full functionality of the Jieli-Chip? These chips are strange and challenging to identify. I only guessed which Chip it could be and got lucky with the HID Interface through the Windows Application

- What does the other Jieli-Chip on the other PCB Do?

- A full application to create a custom SD Card with a content manager to not only support the content already present on the Kekz Headphones, but furthermore all non-taken directories.

- Are there more HID commands?

- How good is the Geolocation Data sourced from a Laptop, which is probably triangulated Wifi Signals? Do the 30m-500m from the privacy policy hold up, or can it be narrowed down?

- What is this PII Data in the Azure cosmos database?

Reverse Engineering and Dismantling Kekz Headphones
https://nv1t.github.io/blog/kekz-headphones/

Не знаю почему сглючила телега, но если что, то комменты к посту выше пишите под этот.

Коллеги, добрый день
Решили поделиться опытом фаззинга dhcp сервера с помощью фаззера nyx-net. Перед нами стояла задача пофаззить dnsmasq, причём функционал, отвечающий за dhcp сервер. Мы решили, что данная цель хорошо подходит для того, чтобы потренироваться фаззингу клиент-серверных приложений с сохранением состояния (Crusher, AFLNet, StateAFL, SGFuzz). Мы давно хотели попробовать запустить [SGFuzz](https://github.com/bajinsheng/SGFuzz), но он к сожалению работает только с tcp протоколами, а dhcp протокол работает на udp. Поэтому сначала мы решили попробовать запустить AFLNet.

Fuzzing dnsmasq with AFLNet
AFLNet - это graybox фаззер, который позволяет тестировать имплементацию протоколов в сетевых серверах или клиентах. AFLNet выступает в качестве клиента, отправляя серверу смутированные пакеты. При этом фаззер учитывает не только покрытие кода тестируемого проекта, но и его состояние. Состояние сервера определяется с помощью кода возврата в ответе от сервера (например, код 200 в HTTP протоколе). При этом в качестве начального корпуса фаззер использует записанные с помощью tcpdump (или другой утилиты для захвата сетевого трафика) пакеты.
Таким образом, AFLNet пытается обеспечить максимальную имитацию реальных условий использования целевой программы. Ведь фаззить сетевое приложение с помощью стандартных подходов зачастую оказывается довольно сложно, так как какую-нибудь отдельную функцию сложно выделить из приложения из-за глобального состояния сервера. Поэтому в некоторых случаях настройка фаззинга сетевого приложения с помощью AFLNet является в разы проще чем стандартными фаззерами (AFL++, LibFuzzer).
Но к сожалению, у AFLNet есть большой недостаток - скорость фаззинга:
- AFLNet передаёт пакеты по сети, что довольно медленно в условиях фаззинга.
- AFLNet использует задержку по времени для инициализации сервера. То есть AFLNet ждёт определённое количество времени для инициализации сервера прежде чем отправить пакет.
- AFLNet использует задержку по времени чтобы дождаться ответа от сервера. То есть фаззер будет просто ждать некоторое время ответа от сервера и если ответа не поступило, то только после истечения этого таймаута фаззер завершит сессию.
Всё это приводит к очень низкой скорости фаззинга (в наших условиях было ~10 запусков в секунду).

Fuzzing dnsmasq with nyx-net
Мы решили посмотреть, какие существуют альтернативы AFLNet, которые позволяют нам решить перечисленные проблемы. Нас заинтересовал инструмент nyx-net. Nyx-Net - это snapshot based graybox фаззер, основанный на фаззере nyx. Использование снепшотов для фаззинга позволяет решить озвученные проблемы:
- nyx-net подменяет общение по сети на работу с shared memory. Этот механизм используется не только для увеличения скорости доставки тесткейса до целевой программы, но и для определения состояния сервера (например, сервер готов к считыванию пакета).
- nyx-net отслеживает вызовы чтения и записи в сетевой сокет. Таким образом, фаззер создаст базовый снепшот (root snapshot) перед вызовом функции для чтения из сокета. В дальнейшем при фаззинге фаззер будет откатываться до этого базового снепшота, чтобы начать новую сессию. Такой метод позволяет избежать задержки по времени при инициализации серевера.
- nyx-net создаёт возрастающие (incremental) снепшоты. То есть после отправки нескольких пакетов фаззер может сделать снепшот и потом откатываться уже до этого состояния, а не до базового снепшота. Таким образом, фаззеру не нужно воспроизводить цепочку пакетов, чтобы исследовать, как ведёт себя сервер в открытом состоянии при получении новых пакетов.
Но к сожалению, в nyx-net не было реализовано функции для подмены вызова recvmsg(), которая используется в dnsmasq для чтения сообщения и дополнительной информации из сокета. Поэтому мы написали свой патч, который эмулирует работу этого вызова, и отправили его разработчикам.
Таким образом, у нас получилось увеличить скорость фаззинга dnsmasq с помощью Nyx-Net примерно в 450 раз по сравнению с AFLNet. Поэтому рекомендуем добавить этот фаззер в свой набор инструментов.

В последний месяц разработчики, использующие Trivy для сканирования контейнеров, столкнулись с серьёзной проблемой: при попытке загрузить базу данных уязвимостей из GitHub Container Registry (ghcr.io) возникает ошибка TOOMANYREQUESTS. Это связано с тем, что GitHub начал ограничивать количество подключений к своему реестру, что негативно сказывается на работе Trivy и создаёт дополнительные трудности для разработчиков.

https://habr.com/ru/companies/flant/news/854318/

В посте зря трагедию рисуют

На самом деле Trivy выкладывает ещё базы в
- https://hub.docker.com/r/aquasec/trivy-db/tags
- https://gallery.ecr.aws/aquasecurity/trivy-db

Это можно увидеть в их Actions

          declare -A registries=(
            ["ghcr.io"]="${lowercase_repo}"
            ["public.ecr.aws"]="${lowercase_repo}"
            ["docker.io"]="${lowercase_repo}"
          )

https://github.com/aquasecurity/trivy-db/blob/main/.github/workflows/cron.yml#L87C1-L92C1

Для того, что бы указать БД не по умолчанию используйте ключ --db-repository.

А ещё вот вам кусочек GitLab pipeline (написанный своими руками 🌝), которым можно перекладывать к себе в registry базу Trivy

variables:
  TRIVY_DB_ARCHIVE_NAME: "db.tar.gz"
  TRIVY_DB_EXTERNAL_TAG: "2"
  TRIVY_DB_EXTERNAL_IMAGE: "ghcr.io/aquasecurity/trivy-db:${TRIVY_DB_EXTERNAL_TAG}"
  TRIVY_DB_ARTIFACT_TYPE: "application/vnd.aquasec.trivy.config.v1+json"
  TRIVY_DB_ARTIFACT_META: "application/vnd.aquasec.trivy.db.layer.v1.tar+gzip"
  TRIVY_DB_INTERNAL_IMAGE: "${CI_REGISTRY}/path/trivy-db:latest"


pull-push-trivy-db:
  image: ${CI_REGISTRY}/tools/oras:latest
  stage: build
  script:
    - docker login --username "${CI_REGISTRY_USER}" --password "${CI_REGISTRY_PASSWORD}" "${CI_REGISTRY}"
    - /oras pull "${TRIVY_DB_EXTERNAL_IMAGE}"
    - /oras push --artifact-type "${TRIVY_DB_ARTIFACT_TYPE}" "${TRIVY_DB_INTERNAL_IMAGE}" "${TRIVY_DB_ARCHIVE_NAME}:${TRIVY_DB_ARTIFACT_META}"

в дальнейшем тоже используйте ключик --db-repository, который будет указывать на ваш registry.

Если что, то посмотреть как с публикацией и управлением базами работает Trivy можно тут
https://github.com/aquasecurity/trivy-db/blob/main/.github/workflows/cron.yml#L81

А вообще, собирайте базы сами и держите их при себе 🌝

Предлагаю создать Министерство Linux'а.

Минцифры планирует создать собственное Linux-сообщество для разработчиков из стран, готовых сотрудничать с Россией. Такое решение — реакция на отстранение российских разработчиков от мирового IT-сообщества
. . .
Панченко указал, что будет правильно, если новый форк Linux будет сделан сообществом стран, а не отдельной страной. «Это прибавит веса и авторитета. Но чтобы это сообщество заработало, России придется в нем быть лидером и донором программного кода и экспертизы в его разработке. Но есть важное препятствие — в России не так много разработчиков такого уровня, чтобы мы могли полностью взять на себя ответственность за ядро операционной системы. Поэтому важно срочно растить свои кадры», — рассуждает Панченко.
. . .
Идея Минцифры создать собственное Linux-сообщество выглядит слишком амбициозно, считает член совета директоров российского разработчика НТЦ ИТ РОСА и компании «Рутек» Сергей Кравцов. «Не стоит ожидать, что в официальной ветке Linux будут приняты изменения от российского сообщества. Основные решения относительно развития ядра Linux, по сути, будут оставаться международным сообществом, даже если Минцифры организует локальную команду разработчиков», — считает он.

Минцифры предложило создать собственное Linux-сообщество
https://www.rbc.ru/technology_and_media/28/10/2024/671e424c9a7947704249be2c

Accelerate State of DevOps 2024

"Миллиард" страниц про AI.

За наводку спасибо @IT_Friday

Сам отчёт в комменты закину.

В общем вчера на конфе упомянули новый стандарт "МАРШРУТ ПРОЕКТИРОВАНИЯ И ВЕРИФИКАЦИИ ПРОГРАММИРУЕМЫХ
ЛОГИЧЕСКИХ ИНТЕГРАЛЬНЫХ СХЕМ" от 2024 года. Пока еду в поезде домой решил заглянуть и почитать.

Это &#₽% какой-то, я пока не продвинулся дальше введения, но у меня уже подгорело. (Вложу пдф стандарта в ниже)

Обратите внимание на то, кто сделал этот стандарт ... Там три разных АО, и один из них это бывшие официалы каденса и алдека.

В самом стандарте из разряда - только алдек даст вам благополучие и счастье за небольшую подать в размере покупки одного автоматизированного рабочего места

Ну в общем я к чему, тут все уши прожужжали с этим импортозамещением, но достаточно собраться на троих и просто выпустить стандарт.

Предлагаю компании макро выпустить стандарт на самые лучшие Плис amd 😁

Ну и второе. Я привел скриншот введения из стандарта. Это ж надо так умудриться в стандарт вставить перевод маркетинговых материалов алдека!!! Мне кажется это финиш

Чат, привет!

Я выпустил новую версию NextBox UI Plugin для отрисовки сетевых топологий в NetBox, и это самый большой релиз за 4 года его существования:

– Новый движок визуализации, написанный мной же с нуля (в итоге назвал его topoSphere).
– Основательно переработанные фильтры.
– Поддержка темного режима.
– Экспорт в PNG/JPEG/JSON.

Обновиться, как и прежде, можно через PIP или из исходников на GitHub. Буду рад обратной связи и багрепортам.

Харальд Вельте (Harald Welte), известный разработчик ядра Linux, лауреат премии за значительный вклад в развитие свободного ПО, основатель организации gpl-violations.org, создатель проекта Openmoko и один из разработчиков netfilter/iptables, опубликовал своё мнение относительно удаления участников из списка мэйнтейнеров ядра Linux на основании их предполагаемой работы в подсанкционных компаниях. По словам Харальда, он гордился вовлечённостью в работу сообщества разработчиков ядра, но нынешнее сообщество не похоже на то, которое он помнит, и ему больно видеть, что сейчас там происходит. По его мнению нет ничего хуже дискриминации людей только из-за их паспорта, места жительства или места работы.
. . .
Помимо дискриминации разработчиков на основе их имени, email или работодателя, удивление вызвало то, что удаление произведено без каких-либо объяснений. Последующие разъяснения дали понять, что дело в санкциях, и удаление выполнено на основе консультации с юристами, но при этом не было предоставлено полного юридического анализа и не были отмечены вовлечённые в необходимость выполнения санкций субъекты (Linux Foundation? разработчики из США? Создатели дистрибутивов?).

Вельте полагал, что при разработке ядра значение имеет совместная работа отдельных разработчиков, независимо от того, кто их работодатели, а вклад в разработку оценивается по заслугам, а не по личности участника и не на основании работы в какой-то компании. Удаление из списка сопровождающих, по мнению Вельте, можно было понять, если бы конкретные разработчики были добавлены в санкционный список, но в рассматриваемом случае удалены люди, которые лишь предположительно могли быть связаны с подсанкционными компаниями.

Но даже в случае предоставления убедительных юридических доводов, перед фактическим исключением мэйнтейнеров было бы правильным провести публичное обсуждение, попытаться найти способ обойти требования юристов и организовать общественное движение против. В крайнем случае, если обходные пути не были бы найдены, по мнению Вельте, можно было ожидать гражданского неповиновения или оставления в файле MAINTAINERS пояснений о том, что удаление стало вынужденной мерой. Вместо этого наиболее значимые разработчики без лишней огласки в составе исправлений символьных драйверов применили патч с размытой формулировкой и тем самым проявили неуважение к работе удалённых участников и показали другим разработчикам как в сообществе люди относятся друг к другу.

Харальд Вельте выразил сожаление о том, во что превратилось Linux-сообщество
https://www.opennet.ru/opennews/art.shtml?num=62112

Пятница!

В августе состоялся OFFZONE 2024 (https://t.me/tech_b0lt_Genona/4638) и на бейджи конфы можно было цеплять разные аддоны (примеры на фотках тут https://t.me/offzone_moscow/1105).

Однин из таких аддонов сделал мой друг и просто хороший человек @RottenMechanism

Так получилось, что аддон я увидел ещё до конфы, выступив своего рода тестировщиком 🌝

Я к посту прикрепил видос + картиночки

На одной из фоток вы можете найти старт для увлекательного квеста, который делал тоже мой друг и просто хороший человек @stonedowl

Квест живой и кто хочет развлечься на выходных, то могу рекомендовать.

На него уже есть врайтап https://t.me/RottenMechanism/435 для тех кому хочется просто почитать.

ЗЫ За качество видео извините, снимал "с руки".

ЗЫЫ В более хорошем качестве обзор от автора тут https://t.me/RottenMechanism/425

We finally got clearance to publish the actual advice:

   If your company is on the U.S. OFAC SDN lists, subject to an OFAC sanctions program, or owned/controlled by a company on the list, our ability to collaborate with you will be subject to restrictions, and you cannot be in the MAINTAINERS file.

> What are "various compliance requirements"?
> What does "sufficient documentation" mean?

The documentation Greg is looking for (which a group of Lawyers at the LF will verify) is that someone in the removed list doesn't actually work for an OFAC SDN sanctioned entity.

> I can guess, but I think it's better to spell out the rules, as Linux
> kernel development is done "in the open". I am also afraid this is
> opening the door for further (ab)use...

I agree we should have been more transparent about this but I think it would be hard for someone other than Greg to get a Maintainer removed on the "compliance issue" grounds so it's probably not that open to
abuse.

https://lore.kernel.org/all/7ee74c1b5b589619a13c6318c9fbd0d6ac7c334a.camel@HansenPartnership.com/

OFAC (Office of Foreign Assets Control) это подразделение Минфина США, которое, собственно, за санкции (и не только) и отвечает.

Искать нужные компании можно тут
https://sanctionssearch.ofac.treas.gov/
+
Теперь в мейл листах пришли спрашивать за Huawei. Мол, почему они есть в списке, а их не выпиливают
https://sanctionssearch.ofac.treas.gov/Details.aspx?id=30947

Продолжаем наблюдение 🌝

Извините, но пока у меня других новостей для вас нет

Follow 6e90b67, remove some entries due to various compliance requirements. They cannot come back in the future as huawei is sanctioned by most freedom countries in the world.

Update MAINTAINERS #988
https://github.com/torvalds/linux/pull/988

From: Aleksandr Mezin @ 2024-10-23 20:12 UTC (permalink / raw)

I'm a Russian troll. So remove myself from the maintainers list.

Signed-off-by: Aleksandr Mezin <[email protected]>
---
Never did a good job as a driver maintainer anyway.

Maybe Jonas Malaco or Aleksa Savic will be interested in picking up
the driver.

Apologies for any inconvenience.
. . .

I'm Russian. Whether I'm a troll or not - depends on your perception,
I guess. After reading recent emails on the topic, I decided I don't
want to contribute anymore.

I haven't been that active, it was just a hobby, sending a small patch
from time to time. I think you'll not lose much. After all, maybe I
should have been removed anyway - but was overlooked because my e-mail
isn't on a ".ru" domain.
. . .
Could you remove me correctly with a patch description that you like,
please? I can't make up anything good-looking and non-political. And
I'm not going to submit any patches anymore. Sorry.

https://lore.kernel.org/all/CADnvcf++bWv=Ohwc=dwSA-Hy5_G3jNS5hjWgA_-yx5HSiS1f4A@mail.gmail.com/T/#t

ЗЫ

Там уже понеслось

Господи, спаси и сохрани раба Твоего заблуждшего Линуса и ближних его во веки веков; аминь!

https://lore.kernel.org/all/[email protected]/

Grandpa, take the pills or you'll get your ass kicked.

Дед, пей таблетки, а не то получишь по жопе

https://lore.kernel.org/all/[email protected]/

Дорогие подписчики!

Я понимаю, что последние сообщения по теме разработки ядра Linux вызвали бурную реакцию, но большая просьба не тащить сюда политоту (ну или хотя бы не устраивать философский кружок у меня в комментах).

Я в течении часа, если не больше, разбирался во всём написанном, что бы хоть как-то привести комменты в порядок.

Срачи технические по прежнему максимально одобряю 🌝

> * linux: Goodbye from a Linux community volunteer
> @ 2024-10-24 4:27 Serge Semin

Hello Linux-kernel community,

I am sure you have already heard the news caused by the recent Greg' commit 6e90b675cf942e ("MAINTAINERS: Remove some entries due to various compliance requirements."). As you may have noticed the change concerned some of the Ru-related developers removal from the list of the official kernel maintainers, including me.

The community members rightly noted that the _quite_ short commit log contained very vague terms with no explicit change justification. No matter how hard I tried to get more details about the reason, alas the senior maintainer I was discussing the matter with haven't given an explanation to what compliance requirements that was. I won't cite the exact emails text since it was a private messaging, but the key words are "sanctions", "sorry", "nothing I can do", "talk to your (company) lawyer"... I can't say for all the guys affected by the change, but my work for the community has been purely _volunteer_ for more than a year now (and less than half of it had been payable before that). For that reason I have no any (company) lawyer to talk to, and honestly after the way the patch has been merged in I don't really want to now. Silently, behind everyone's back, _bypassing_ the standard patch-review process, with no affected developers/subsystem notified - it's indeed the worse way to do what has been done. No gratitude, no credits to the developers for all these years of the devoted work for the community. No matter the reason of the situation but haven't we deserved more than that? Adding to the GREDITS file at least, no?..

I can't believe the kernel senior maintainers didn't consider that the patch wouldn't go unnoticed, and the situation might get out of control with unpredictable results for the community, if not straight away then in the middle or long term perspective. I am sure there have been plenty ways to solve the problem less harmfully, but they decided to take the easiest path. Alas what's done is done. A bifurcation point slightly initiated a year ago has just been fully implemented. The reason of the situation is obviously in the political ground which in this case surely shatters a basement the community has been built on in the first place. If so then God knows what might be next (who else might be sanctioned...), but the implemented move clearly sends a bad signal to the Linux community new comers, to the already working volunteers and hobbyists like me.
. . . 

I also wish to say huge thanks to the community members trying to defend the kicked off maintainers and for support you expressed in these days. It means a lot.

A little bit statics of my kernel-work at the end:

Signed-off patches:    518
Reviewed and Acked patches:  253
Tested patches:      80

You might say not the greatest achievement for seven years comparing to some other developers. Perhaps. But I meant each of these tags, be sure.

I guess that's it. If you ever need some info or consultation regarding the drivers I used to maintain or the respective hardware or the Synopsys IP-cores (about which I've got quite comprehensive knowledge by this time), feel free to reach me out via this email. I am always willing to help to the community members.

Hope we'll meet someday in more pleasant circumstances and drink a couple or more beers together. But now it's time to say good bye. Sorry for a long-read text. I wish good luck on your Linux-way.

Полностью текст письма доступен тут
https://lore.kernel.org/netdev/2m53bmuzemamzc4jzk2bj7tli22ruaaqqe34a2shtdtqrd52hp@alifh66en3rj/T/#mdef37a4707eca10bf6e3a58271d28767d280c5ee

Ох уж эти ебучие кеширующие сервера. Управы на них нет.

Как сообщил глава Роскомнадзора Андрей Липов в кулуарах конференции «Спектр-2024», служба фиксирует падение трафика у YouTube на сетях фиксированной связи. Он связал это с работой установленных на этих сетях кеширующих серверов Google (Google Global Cache, GGC). «У Google в России было очень много серверов: практически каждый узел, где достаточно много абонентов, был присоединен к серверу GGC. Компания эти серверы перестала поддерживать с момента, как ушла из России, и никто в них не вкладывается. Серверы деградируют, где-то выключились. Мы видим падение трафика в сторону YouTube в первую очередь на сетях фиксированной связи», — рассказал Липов. То, что на мобильных сетях трафик YouTube остался прежним, по его мнению, может быть связано с тем, что рядом с узлами сотовых операторов Google могла устанавливать «более мощные серверы».

> 23 окт, 17:31
https://www.rbc.ru/technology_and_media/23/10/2024/6718fc469a7947f3be50635b

Отмена

$ curl -s -w "%{http_code}" https://us.download.nvidia.com/Windows/566.03/566.03-notebook-win10-win11-64bit-international-dch-whql.exe

200

Этот пост я давно хотел написать, но чо та всё никак не получалось нормально засесть за него. А тут на волне приключений с ядром Linux (https://t.me/tech_b0lt_Genona/4750, https://t.me/tech_b0lt_Genona/4754) вроде как и в тему что ли.

Несколько лет назад на базе ИСП РАН (https://www.ispras.ru/) была создана инициативная группа, которая в конце 2023 года выросла в "Центр исследований безопасности системного программного обеспечения".

https://portal.linuxtesting.ru/ (сертификат Минцифры)

Основной целью центра является повышение безопасности ядра Linux

На данный момент список патчей в ядро Linux равен 420 (список положу ещё отдельно в комментарии). Для понимания темпов с марта по октябрь было отправлено около 100 патчей.

https://portal.linuxtesting.ru/LVCImprovements.html#fixed-bugs

В рамках рабочих групп проводятся:

- Статический анализ
- Системное и модульное тестирование
- Фаззинг-тестирование
- Анализ помеченных данных
- и т.д.

Сейчас центр уже перерос ядро Linux и созданы группы по разным направлениям. Например:

- Qemu
- Nginx
- libvirt
- runc
- .NET6/8
- NodeJS

Полный список доступен тут (сертификат не Минцифры)

В телеге есть канал информирующий о найденных проблемах и их статусе в рамках продуктов - @sdl_for_upstream

Линус отписался

Ok, lots of Russian trolls out and about.

It's entirely clear why the change was done, it's not getting reverted, and using multiple random anonymous accounts to try to "grass root" it by Russian troll factories isn't going to change anything.

And FYI for the actual innocent bystanders who aren't troll farm accounts - the "various compliance requirements" are not just a US thing.

If you haven't heard of Russian sanctions yet, you should try to read the news some day. And by "news", I don't mean Russian state-sponsored spam.

As to sending me a revert patch - please use whatever mush you call brains. I'm Finnish. Did you think I'd be *supporting* Russian aggression? Apparently it's not just lack of real news, it's lack of history knowledge too.

https://lore.kernel.org/all/CAHk-=whNGNVnYHHSXUAsWds_MoZ-iEgRMQMxZZ0z-jY4uHT+Gg@mail.gmail.com/

🫡

$ curl -s -w "%{http_code}" https://us.download.nvidia.com/Windows/566.03/566.03-notebook-win10-win11-64bit-international-dch-whql.exe

403

При открытии окна загрузки на официальном сайте Nvidia, в сообщении говорится, что запрос заблокирован файерволом Edgecast WAF.

В сентябре 2022 года правительство США проинформировало американскую компанию Nvidia о введении новых лицензий на экспорт в отношении Китая и России.

Nvidia запретила россиянам обновлять видеокарты
https://www.bfm.ru/news/560584

UPD:
https://t.me/tech_b0lt_Genona/4756

This is very vague...
What are "various compliance requirements"?
What does "sufficient documentation" mean?

I can guess, but I think it's better to spell out the rules, as Linux kernel development is done "in the open".  I am also afraid this is opening the door for further (ab)use...

This patch is one such instance where we find ourselves questioning the  legitimacy and indeed, the feasibility, of an international, open, and  open source project. Vagueness breeds distrust.

It's not difficult to deduce what the "various compliance requirements" are and I'm sure Greg is aware of this. The Linux Foundation, if interested in continuing their governance role over the Linux kernel, should be ready to explain themselves over this decision. Greg and Linus, I'm not sure if I'm ready to believe that this is supposed to be a political show - but if this is the case, please leave the ground for the Foundation - they should be the one responsible and receiving the scrutiny (or insult, as I'm sure many - myself included - find this patch insulting).

So I repeat - call the decision-makers out and ask for their explanation.

Haha, I received a similar off-list reply.

I deeply sympathize with Greg-kh's situation and his unspoken difficulties, although I don't understand why the MAINTAINERS file, as part of the kernel code, should be off-limits to non-maintainer developers, especially when this clearly isn't just about 'modifying the MAINTAINERS file.'

If any Linux developer tacitly approves of this, they're essentially giving a green light to some shady political actors from a certain country to coerce people into betraying it's constitution.

That's absurd. Again, my heart goes out to all (including Greg-kh) that affected by this.

I mean no offense to anyone, but this action will completely destroy the trust that developers worldwide have in the Linux kernel project and the entire Linux Foundation, and the politicians forcing you to do this 
clearly don't care about that.

To avoid becoming pawns in a political game and to prevent alienating all the developers who have contributed to the Linux kernel, I sincerely suggest that you maintainers revert this commit and promise not to do something like this again.

And I urge everyone who agrees that this is unreasonable to reply to "[PATCH] Revert "MAINTAINERS: Remove some entries due to various compliance requirements." with their own "Reviewed-by".

Remember: What sets humans apart from animals is our undying spirit of resistance. We cannot be domesticated or tamed by others.

Finally, I'd like to share a quote from Norse mythology: Only warriors who die in battle are worthy of entering Valhalla.

Эти и другие сообщения в мэйл листах
https://lore.kernel.org/all/CpPiTF0xZwq_zhrYVO2pCA9TxAmJi_zwVBmyl9Z1RHKCjgf332fcmsc86C_1CMaZPNLlIDcvqOIWa1vR2lr2qMaZpcyIisxLqL1IVvq9ZNQ=@proton.me/T/#u

🫡

Stiver, ты был хорош.

Согласно его последней публикации, Stiver ушёл из жизни с помощью эвтаназии, разрешённой в Германии. «Если не отпишусь в понедельник, значит сработало :)», — сказано в сообщении.

Умер создатель онлайн-библиотеки Flibusta
https://www.fontanka.ru/2024/10/22/74242946/

🫡

Removal of (mostly Russian) email addresses from MAINTAINERS

Posted Oct 21, 2024 13:57 UTC (Mon) by paulbarker (subscriber, #95785)
Parent article: Kernel prepatch 6.12-rc4

This was merged for v6.12-rc4: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/...
"Remove some entries due to various compliance requirements. They can come
back in the future if sufficient documentation is provided."

I guess this is something to do with sanctions, but I think the folks removed from the MAINTAINERS file deserve a little more informative notice than that!

https://lwn.net/Articles/994868/

Коммит
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6e90b675cf942e50c70e8394dfb5862975c3b3b2

https://lore.kernel.org/linuxppc-dev/CAHk-=wiUaWnHGgusaMOodypgm7bVztMVQkB6JUvQ0HoYJqDNYA@mail.gmail.com/

Вот, и Линус тоже считает их "ненастоящими"!

"Honestly, I'm pretty damn fed up with buggy hardware and completely theoretical attacks that have never actually shown themselves to be used in practice.

So I think this time we push back on the hardware people and tell them it's *THEIR* damn problem, and if they can't even be bothered to say yay-or-nay, we just sit tight.

Because dammit, let's put the onus on where the blame lies, and not just take any random shit from bad hardware and say "oh, but it *might* be a problem""

Безопастность такая безопастность.

У меня в сборках ядра mitigations=off на уровне кода, чтобы даже случайно не пролезло - https://github.com/pg83/ix/blob/main/pkgs/bin/kernel/t/2/ix.sh#L21

24.10 в 19:00 состоится созвон сообщества в Zoom 💬
Гость выпуска: Анатолий Карпенко (@tech_b0lt_Genona)
Тема: в предверии классного воркшопа Толи по правильной и безопасной готовке контейнеров пообщаемся про них

Подключаться по ссылке
Добавляй к себе календарь мероприятий, что бы не пропустить события сообщества ссыль

Разыскиваются спикеры 👀, если заинтересован, пиши @aleksey0xffd
Тематика не обязательно безопасность

👀@ever_secure

🫡

Неделю назад в IDE выскочило сообщение, что у меня закончилась лицензия, хотя я точно знал что она оплачена на несколько месяцев вперед.

Компания JetBrains начала блокировать оплаченные лицензии пользователей, находящихся на территории РФ
https://habr.com/ru/news/852254/

Ну это было ожидаемо после этих новостей

https://t.me/tech_b0lt_Genona/4545
https://t.me/tech_b0lt_Genona/4655

В далёком 2020 году я пост написал о том, что в 2020 году происходит с Prolog'ом и где он на тот момент был в мире IT, так сказать
https://t.me/tech_b0lt_Genona/1595

И тут в 2024 году ВНЕЗАПНО11!1!!! он появляется, причём с неожиданном для меня контексте

Use Prolog to improve LLM's reasoning
https://shchegrikovich.substack.com/p/use-prolog-to-improve-llms-reasoning

LLM это large language model, то есть большая языковая модель (миллиарды весовых коэффициентов). Всё что сейчас на слуху из всяких GPT и LLaMA это оно самое.

В посте рассматривается статья, которая предлагает запрос пользователя преобразовывать в Prolog, исполнять его и отдавать пользователю результат

The idea is to convert the user's request to Prolog code, execute it and return the answer to the user. The paper suggests using Chain of thought (CoT) to generate Prolog code and using Multiple Try inference. If the model fails to generate a working Prolog code, then try one more time. This technique is similar to the Program of Thought (PoT) approach.

Оригинальная статья называется "Reliable Reasoning Beyond Natural Language"
https://arxiv.org/abs/2407.11373

Так же в посте даны ссылки на другие релевантные материалы, так что кому интересно могу рекомендовать ознакомиться.

Тут внутри bitwarden что-то происходит 🌝

Пару дней назад создали issue

Desktop version 2024.10.0 is no longer free software
https://github.com/bitwarden/clients/issues/11611

Краткая суть её в том, не смотря на то что клиент opensource, но теперь не собирается без проприетарного компонента bitwarden-sdk.

На это Kyle Spearrin, CTO Bitwarden, ответил (xxkylexx, ник на Reddit)

However, our goal is to make sure that the SDK is used in a way that maintains GPL compatibility. 

- the SDK and the client are two separate programs
- code for each program is in separate repositories
- the fact that the two programs communicate using standard protocols does not mean they are one program for purposes of GPLv3

Being able to build the app as you are trying to do here is an issue we plan to resolve and is merely a bug.

https://www.reddit.com/r/Bitwarden/comments/1g7uwa2/comment/lstss5i/

Но в issue, которую я указал выше, так же вспомнили о лицензии, которую меняли летом
https://github.com/bitwarden/sdk/issues/898. Хотя теперь и туда, под закрытую issue, опять пришли с вопросами и заявлениями 🌝

> From Bitwarden's response, we can tell that they are willing to suppress freedom of speech at all costs in order to keep the software closed-source.
https://github.com/bitwarden/sdk/issues/898#issuecomment-2425011669

Ответ развёрнутый по лицензии дан в этом комментарии (со ссылками на Reddit)
https://github.com/bitwarden/sdk/issues/898#issuecomment-2425052091

В vaultwarden, альтернативной реализации серверной части Bitwarden, есть обсуждение, но пока там спокойно достаточно
https://github.com/dani-garcia/vaultwarden/discussions/5115

За наводку спасибо подписчику

9.4 CRITICAL

The SQL Expressions experimental feature of Grafana allows for the evaluation of `duckdb` queries containing user input. These queries are insufficiently sanitized before being passed to `duckdb`, leading to a command injection and local file inclusion vulnerability. Any user with the VIEWER or higher permission is capable of executing this attack. The `duckdb` binary must be present in Grafana's $PATH for this attack to function; by default, this binary is not installed in Grafana distributions.

https://nvd.nist.gov/vuln/detail/CVE-2024-9264

PoC

This PoC demonstrates the exploitation of CVE-2024-9264 using an authenticated user to perform a DuckDB SQL query and read an arbitrary file on the filesystem.

https://github.com/nollium/CVE-2024-9264

Спасибо подписчику за ссылку

Я уже писал, что выступаю осенью на двух конфах

- На SafeCode (online) с воркшопом https://safecodeconf.ru/talks/aae5116ee0fc4c8f8b921ebb46a14231/
- На DevOops (online+offline) с докладом https://devoops.ru/talks/c6ba44b7c18b411f9753c06873cc606e/

Если кто хочет, но ещё в раздумьях, то напишите в личку (@rusdacent) попробую помочь со скидкой на билет.

Пока отмена, он зачем-то от меня каких-то аккаунтов требует во время сборки 🌝

4:19

> OpenVMM currently requires a handful of external dependencies to be present in order to properly build / run. e.g: a copy of protoc to compile Protobuf files, a copy of the mu_msvm UEFI firmware, some test linux kernels, etc...

Running the following command will fetch and unpack these various artifacts into the correct locations within the repo:

cargo xflowey restore-packages

4:20

Сам я его ещё не попробовал, но в ближайшее время планирую

Microsoft представила открытый проект мультиплатформенного диспетчера виртуальных машин OpenVMM. Исходный код проекта написан на Rust и опубликован на GitHub под лицензией MIT.

«OpenVMM — это написанный с нуля модульный универсальный VMM для Windows, Linux и FreeBSD, написанный на Rust», — уточнили в Microsoft. Подобно другим универсальным VMM (таким как Hyper-V, QEMU, VirtualBox), OpenVMM может размещать широкий спектр как современных, так и устаревших гостевых операционных систем поверх своей гибкой виртуальной аппаратной платформы.

Microsoft представила открытый проект диспетчера виртуальных машин OpenVMM, написанный на Rust
https://habr.com/ru/news/851274/

GitHub
https://github.com/microsoft/openvmm

Документация
https://openvmm.dev/

Логичный, но неожиданный союз (с) (тм)

Ведущие российские разработчики в сфере Open Source-технологий, Postgres Professional и компания «Флант», объявляют о заключении стратегического партнерства, целью которого является инвестирование в развитие экосистемы решений Deckhouse.

В рамках договора о стратегическом партнерстве Postgres Professional направит инвестиции в размере 3 млрд рублей в развитие экосистемы программных продуктов компании «Флант». В настоящее время в экосистему Deckhouse входят платформа контейнеризации Deckhouse Kubernetes Platform, платформа виртуализации Deckhouse Virtualization Platform, система мониторинга Deckhouse Observability, менеджер кластеров Deckhouse Commander и ряд других решений.

По условиям стратегического партнерства Postgres Professional до 2028 года получит миноритарную долю «Фланта», контроль в компании остается у действующих акционеров. Доля, передаваемая инвестору, будет определена на основе финансовых результатов «Флант» в последующие 3 года. Во «Фланте» рассчитывают, что к этому моменту благодаря финансовым инвестициям со стороны партнера компания сможет значительно укрепить свои лидерские позиции, расширить пул потенциальных заказчиков, нарастить выручку и в три раза увеличить свое присутствие на российском рынке.

Postgres Professional и АО «Флант» объявляют о заключении стратегического партнерства
https://postgrespro.ru/blog/news/5971243

Postgres Professional инвестирует 3 млрд рублей в Deckhouse
https://flant.ru/news/postgres-professional-investiruet-3-mlrd-rublei-v-deckhouse

Ресурсы в телеге @postgrespro и @flant_ru

> Компания Llama Group, которая в сентябре опубликовала исходный код мультимедийного проигрывателя Winamp, удалила репозиторий проекта с GitHub.

Да да, держи в курсе.

🫡

В Госдуме и ФСБ поддержали предложение о том, чтобы исключить использование российскими операторами измерителя скорости интернета SpeedTest американской компании Ookla. 
. . .
Ookla работает в тесной связи со спецслужбами США — американцы смогли создать по всему миру систему тестового контроля сетей связи, объясняет свою обеспокоенность президент Международной академии связи Анастасия Оситис в своем обращении в Госдуму (документ есть у «Известий»). 
. . .
Системы тестового контроля позволяют получить информацию о сетях связи: их конфигурации, используемом на них оборудовании, нагрузке, пропускной способности и многом другом, перечисляет академик МАС Сергей Мельник. По его словам, эти данные, попав в руки иностранных спецслужб, могут быть использованы, к примеру, для организации адресных DDoS-атак.

Скорость отступа: в РФ хотят запретить использование сервиса SpeedTest
https://iz.ru/1775426/valerii-kodacigov/skorost-otstupa-v-rf-hotat-zapretit-ispolzovanie-servisa-speedtest

> ProxTag is a Python project designed to offer VM power state management on a Raspberry Pi using an e-Ink display and a rotary encoder.

A Proxmox Manager designed for price-tag sized e-Ink displays
https://github.com/josephdc96/ProxTag

The exact model powering his ProxTag project is a Raspberry Pi Zero 2 W. This offers plenty of computing power (comparable with a Raspberry Pi 3B) without chewing up too much electricity along with the Wi-Fi connectivity necessary to interface with Proxmox. It's connected to a 2.13-inch Waveshare e-Ink display which requires very little power and is well-suited for the small, tag-like form factor he was going for. A rotary encoder makes it possible to sift through the virtual environments and select them as needed.

Keeping in the same spirit as Proxmox, Cauble opted to make ProxTag completely open source. Most of the script is written in Python, including the graphic interface that appears on the e-Ink panel. Cauble confirms in the project documentation that you will need a local installation of Docker or Python alongside a service account associated with a local Proxmox server.

ProxTag makes managing virtual Proxmox environments easy with a Raspberry Pi
https://www.tomshardware.com/raspberry-pi/proxtag-makes-managing-virtual-proxmox-environments-easy-with-a-raspberry-pi

> Так как в моём баге использовался спуфинг почты, его посчитали не входящим в рамки («out of scope») программы компании на HackerOne, а мой отчёт был отклонён. Невероятно.

> Несмотря на угрозу безопасности, компания не предприняла никаких действий по отчёту, потому что он выходил за рамки её программы.

> Несмотря на устранение проблемы, Zendesk в конечном итоге решила не выплачивать баунти за мой отчёт. Как они это мотивировали? Я нарушил инструкции HackerOne по раскрытию и поделился уязвимостью с компаниями, которые она затронула.

Это просто охуенно

Вот, как это работало: при отправке письма на портал Zendesk техподдержки компании (например, [email protected]) Zendesk создаёт новый тикет техподдержки. Чтобы отслеживать цепочку писем, Zendesk автоматически генерирует адрес reply-to, который выглядит так: support+id{id}@company.com, где {id} — это уникальный номер тикета. Благодаря этому адресу все будущие ответы будут отправляться напрямую на тот же тикет.

Также у Zendesk есть функция совместной работы над тикетами. Если добавить кого-нибудь в CC в одном из ответов на письмо, то Zendesk автоматически добавляет его к тикету, позволяя ему видеть полную историю тикета на портале техподдержки.

Эксплойт было реализовать легко: если нападающий знает адрес почты техподдержки и ID тикета (который достаточно просто подобрать, потому что ID тикетов увеличиваются инкрементально), он может применить спуфинг почты, чтобы выдать себя за исходного отправителя. Если отправить поддельное письмо на support+id{id}@company.com с почтового адреса пользователя и добавив в CC своё собственное письмо, то Zendesk подумает, что письмо подлинное. Затем он добавит почтовый адрес нападающего к тикету, давая ему полный доступ ко всей истории тикета.

Это значит, что нападающий, по сути, мог присоединиться к любой беседе техподдержки и читать конфиденциальную информацию; и всё это благодаря тому, что Zendesk не обеспечил должной защиты от спуфинга электронной почты.
. . .
В то время я обнаружил пост TICKETTRICK, написанный в 2017 году. В нём исследователь безопасности Инти Де Сёклер подробно описал, как он воспользовался Zendesk для внедрения в приватные рабочие пространства Slack сотен компаний. Так как многие компании использовали Slack SSO на том же домене, что и Zendesk, исследователь догадался, что можно выполнить почтовые верификации через почтовый адрес [email protected] и получить доступ к приватным каналам Slack. В те годы Zendesk ещё не была такой большой и существовали другие баги, позволявшие любому, кто знает ваш адрес почты, просматривать тикеты.
. . .
1. Создаём аккаунт Apple с почтой [email protected] и запрашиваем код верификации. Apple отправляет код верификации с [email protected] на [email protected] и Zendesk автоматически создаёт тикет.

2. В то же самое время создаём тикет на портале техподдержки company.com с моего собственного адреса почты, что позволяет мне отслеживать диапазон значений ID.

3. Используем баг со спуфингом почты, чтобы попытаться добавить себя во все тикеты в рамках определённого выше диапазона.

4. Выполняем логин в портал техподдержки company.com (обычно на support.company.com) со своего аккаунта ([email protected]) и просматриваем тикеты, включённые в CC.

5. Вводим код верификации в Apple

6. Используем функцию Slack «Login with Apple» и выполняем вход с аккаунтом Apple, связанным с почтой company.com
Я воспроизвёл эти шесть этапов на сотнях уязвимых инстансов Zendesk и Slack.

Как я получил 50000 + 0 долларов за уязвимость в Zendesk
https://habr.com/ru/companies/ruvds/articles/851106/

Оригинал
https://gist.github.com/hackermondev/68ec8ed145fcee49d2f5e2b9d2cf2e52

🚀 Прикури от root'а: как взломать Linux с помощью зажигалки

Бомбовый материал от David'а Buchanan'а — атака с использованием обычной зажигалки для bit-flip'а в памяти! 📲🔥

Исследователь показал, как с помощью электромагнитных импульсов, создаваемых пьезоэлектрическим воспламенителем зажигали, можно вызвать аппаратные сбои в памяти, получить произвольный доступ к данным и поднять привилегии до root на Linux.

Суть эксплойта:
- Припаиваем антенну к шине DDR3 💻
- Щелкаем зажигалкой 🔥
- Ловим переворот бита 🎯
- Эксплуатируем CPython, создавая примитив для чтения/записи в памяти 📜
- Загружаем shell-код и получаем root 🏴‍☠️

💥 Эта статья замечательная демонстрация того, как изящно можно использовать физические уязвимости для реальных атак.

Полный разбор + код здесь:
[PoC]
[Оригинальная статья]

Берите на вооружение ;)
Спейсинвейдера жми
👾

Опача! Мы в Ульяновске решили собраться и провести встречу 0x0A в рамках DC78422 9 ноября 2024 (в субботу), где послушаем разные доклады (программа еще формируется — успейте подать свой доклад). Приходите-приезжайте в Ульяновск! Ссылка на встречу: https://dc78422.ru/meetup/0x0A/

У меня будет полтора доклада:
- Как мы дошли до жизни такой в контексте DevSecOps'а и пайплайнинга, и, почему если базово проверять свои проекты, даже на дефолтных конфигах утилит, — то вы получите защищенность от 70% атак. Да и вообще, это полезная штука :)
- Доклад про "умные" технологии в наших квартирах и домах, доступ к которым можно получить проще, чем вы думаете. У нас будет готовый стенд, который мы будем тестировать с разных сторон — как информационно, так и физически, но главное — все будет про безопасность.

P.S. После митапа будет афтепати с нашим роботом-наливатором Бендером и небольшим алко-CTF ;)

Куберов безопасности день!

Мой коллега, Сергей Канибор (R&D Luntry, @useful_security и сооавтор канала @k8security) сходил на подкаст, где ведущим был Лёша Федулаев (руководитель направления Cloud Native Security, MTC Web Services, @ever_secure). Так же гостем подкаста был Вадим Шелест (руководитель группы анализа защищенности Wildberries, @purple_medved).

Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s — в подкасте [SafeCode Live]

Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы узнаем в новом выпуске подкаста. А гости расскажут крутые истории из практики.

Поговорим про: 
— отличия пентеста контейнеров от пентеста веба и инфраструктуры; 
— компетенции специалиста, который этим занимается;
— уязвимости и способы защитить контейнеры.

https://t.me/safecode_channel/74

Слушать и смотреть можно тут

https://www.youtube.com/watch?v=PfxP0hKy7zU
https://podcasts.apple.com/us/podcast/safecode-live/id1705272703
https://music.yandex.ru/album/28211808
https://vk.com/podcasts-222298328

> Как мы перенесли игру «Герои меча и магии III» на 1С
https://infostart.ru/1c/articles/2208631/
+
> 1С не будет прежним. Как я исполнил свою мечту
https://vc.ru/life/1567449-1s-ne-budet-prezhnim-kak-ya-ispolnil-svoyu-mechtu

Скачать можно по ссылке
https://disk.yandex.ru/d/bDJhNawJWqouIw
+ скину в комменты

#article

The story of the first "computer bug"... is a pile of lies.

Вы, вероятно, слышали историю про то, как Грейс Хоппер нашла ошибку в компьютере, вызванную мотыльком, застрявшим в реле? И записала его, как "first actual case of bug being found"? Так вот, это байка.

* Запись в журнале (с приклеенным мотыльком) была сделана не Грейс Хоппер;
* Ошибки в электронных машинах называли "bug" и задолго до этого инцидента;
* Это даже не первый случай, когда делают шутку, основанную на этой омонимии.