Про сабж глубоко и по делу. Прямо в мозг. Больше и сказать нечего.

https://habr.com/ru/articles/712376/

Вот никогда не любил керберос за ненормальную сложность понимания и настройки. А оказывается, что всё нормально, и можно его просто обойти, громко сказав на всю сеть: "Я керберос!".
Уязвимость выглядит грустно, атака – несложной, патчик уже есть.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674

Внимание!
Очень важный навык и критически важные знания на сегодня:
0. Открыть vim
1. Написать :smile
2. Выйти без перезагрузки.
3. Опционально: начать доказывать что nvim лучше.
Спасибо за внимание.

​Подсмотренная в онторнетах почти детективная история в нескольких действиях.
1. Некий товарищ вдруг замечает, что его невероятно умная и вся из себя IoT стиралка от LG каждый день потребляет 3,6 гига трафика. Причём довольно равномерно, но с перерывом на стирку. Ибо стиралка благовоспитанная.
2. Пошутив все шутки про скачивание патчей для носков и слив цвета трусов в штаб квартиру LG, было замечено что на машинке нельзя отключить WiFi или удалить используемую сеть. Только подключиться к другой сети. (Кроме шуток, там есть DLC - Downloadable Laundry Cycles)
3. Заблочив слишком умный девайс на роутере, в интернете начали грустно шутить про майнинг битков на стиралке, пока общественности не напомнили, что именно девайсы LG уже были неоднократно поломаны и именно через IoT фичи. Так что шутка про майнинг битков или участие в ботнете, не такая уж и шутка.
https://blog.checkpoint.com/security/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/
Обсудить необходимость подключения стиральной машины и прочей техники к интернету, оставляю на вас.

Уж не знаю, доводилось ли вам пользоваться цисковым CUC (может вы даже и не слышали про такой), но факт есть факт - в Unity Connection прикрыли дыру размером с кратер, через которую можно было получить рута на целой россыпи девайсов. Хотя почему было...
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuc-unauth-afu-FROYsCsD

Давайте посмотрим ещё один доклад с линкмитапа.
Кирилл Малеванов, технический директор Selectel, рассказывал про их путь облакозамещения.
- Увеличение спроса на облачные ресурсы в 2022 году
- Размещение ГИС в облаке
- Аттестация инфраструктуры
- Кому это нужно
- Сетевые требования к решению
- Клиентские кейсы
https://youtu.be/GjZcSn4Vspk
P.S. Превьюшку ютуб совершенно шикарную сделал, конечно.

Несмотря на продолжающийся флёр таинственности вокруг WAF (ага, для многих это как было, так и остаётся невнятной магией), ловкие пацаны уже научились их обходить, не сильно напрягаясь. Для примера статейка про дуболомную тулу Hakoriginfinder. Суть проста, как чайник: отследить исходный хост за реверс прокси и не маяться дурью.
https://labs.detectify.com/ethical-hacking/discovering-the-origin-host-to-bypass-waf/

Пост об одной из вечных тем для Wi-FI: скорости много, а связи мало. В принципе, никаких тайн мироздания автор не открывает: топология, TCP окна, задержки и т.д.
Но тем, кто ещё не стал вайфайным гуру, изучить стоит.
https://www.thepacketologist.com/2023/12/why-speed-tests-arent-always-the-answer-when-troubleshooting/

​Давайте уже выходить из послепраздничного коматоза. Тут в Питере буквально через месяц планируется Зимний ProIT Fest – не душная интерактивная конференция.

10 и 11 февраля, 11 секций, 6 одновременных потоков, 70+ спикеров. Как говорят сами организаторы: мы не делаем доклады, мы делаем интерактив!

Далее записано с их слов: "Особенность Зимнего ProIT Fest - секции, которые объединяют бизнес-юниты. Мы про взаимодействие с коллегами из разных отделов, которых объединяет их фокус: Vision (Product, Design, Front, Marketing), C Level (CEO, CMO, COO, CTO, etc), BDSM (bizdev, sales, marketing), разработка на Python (Dev, QA, DevOps, DS), System Design (Архитектура бека), HypeLoad (ИИ, blockchain, scrum, и прочие тренды) и т. д."

Количество билетов строго ограничено - всего 500 билетов - поэтому успейте забрать свой билет на TimePad его не забрал котик)
Промокод на 10% скидку: Linkmeup

​Продолжаем разбирать нелёгкую судьбу трамваев. Это же локальный трамвай? Он просто смог отъехать от 127.0.0.1? И вообще, он же не маршрутизируемый, значит, едет только прямо?

И продолжая разгребать доклады с ССС, который в этом году вышел ну просто неприлично каким годным, никак нельзя пропустить тех самых поляков, ломанувших те самые польские поезда, у которых напрочь отрубались мозги (вплоть до физического вывода из строя отдельных узлов) при попытке начать ремонт в неправильном депо.
Ничего лучше вы сегодня точно не посмотрите.
https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_trains?ref=404media.co#t=1742

Выходные на дворе, а значит, самое время находить уязвимости.
Джуны выкатили хотфикс (нет, не новый цвет тонера, рано ещё) для RCE с рейтингом 9.8 под EX свичи и SRX фаерволы. Беда CVE-2024-21591 типичная: J-Web позволяет делать всякое до аутентификации. Нам критически важно иметь ещё больше веб-консолей!
https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591

Ни для кого особо не секрет, что в давно понятную процедуру найма нынче встроилась масса инструментов по автоматизации этого самого процесса. И чем контора больше, тем больше дополнительных слоёв абстракции. Но тут пара ловких парней случайно подломили один из этих слоёв и показали разную интересную внутрянку современных HR ботов. Можно смотреть анкеты, можно принимать людей на работу, можно их увольнять, можно копаться в их финансовых данных и так далее.
Точно вам говорю, скоро мы начнём вспоминать добрым словом бумажный документооборот.

https://www.404media.co/hackers-break-into-hiring-ai-chat-bot-chattr/

Это точно прекрасно: новые владельцы VMware продают их VDI (который Horizon) и ИБшный Carbon Black.
А чтобы не расслаблялись, полностью отказываются от обычных лицензий в сторону подписок. Просто зайчики, по-другому и не скажешь. Тут купили – там продали. Капитализм в полный рост.
https://www.theregister.com/2023/12/07/broadcom_q4_2023/

Наколеночно-домашнее развёртывание мобильных сетей всё ближе и ближе к тому, что в каждой шаверме можно будет свою мини-сеть мутить. И получать за засорение радиоэфира. Не очень понятно, зачем, но приятно, что технологии больших и страшных базовых станций могут быть так близко и понятно.
Прям очень хорошо и доступно.
https://habr.com/ru/companies/timeweb/articles/776040/

Ребятушки из Netflix начали многосерийный сериал про свою историю перевоза обработки видео на микросервисы.
Кто из микросервисов, по верной традиции нетфликса, негр, а кто гей, пока понять не получается. Но судя по пилотному эпизоду, может получиться годный материал.
https://netflixtechblog.com/rebuilding-netflix-video-processing-pipeline-with-microservices-4e5e6310e359

Джедайское колдунство: автор написал игру на C#(ну как игру, лабиринт) по принципу Всё в одном экзешнике.
Получилось 64 мегабайта. Потом подумал-подумал и переделал всё до 1936 байт за десять шагов.
Вот это называется знать как устроен компилятор и что у языка программирования под капотом, а не помнить как написать десять видов сортировки.
https://migeel.sk/blog/2024/01/02/building-a-self-contained-game-in-csharp-under-2-kilobytes/

Недавно, кстати, в PyTorch сделали нехорошее. Причём сделали давно, всех предупреждали, но как-то никто особо не чесался.
Tl;DR GitHub Actions allow the execution of code specified within workflows as part of the CI/CD process. Звучит логично и вроде ничего удивительного, но есть нюанс - GITHUB_TOKEN.
https://johnstawinski.com/2024/01/11/playing-with-fire-how-we-executed-a-critical-supply-chain-attack-on-pytorch/

​Недавно тут шутки шутили про взлом IoT стиралок для майнинга крипты, но вот как эта история иногда несмешно аукается в реальном мире.
Берём излишне умные инструменты, пишем под них локер, и пока завод стоит, вежливо просим прислать немного деняк на корм котикам. Или рандомно меняем настройки ключей, устраивая хаос на сборочной линии.
Подобных атак пока не было, однако уязвимости находят и фиксят пачками.

P.S. Бригада просила передать: это не ключи на 32 колёса менять, а инструмент для особо точных работ за много нефти. Там уже не первый день пытаются свести к минимуму человеческий фактор, внедряя электронных болванов.

Так, всем, кто с удивлением открыл для себя, что шлиц PZ – это не просто прикольный PH с лишними чёрточками, а прям отдельная история, посвящается.
Доходчиво и понятно объясняют, чем шуруповёрт отличается от гайковёрта, они оба – от дрели, и кто такой импакт. Домашнее задание: понять, чем перфоратор отличается от дрели с ударом, и больше не маяться дурью.
https://www.youtube.com/watch?v=PrSs5v1NlgY