- Дед, а почему ты из ИТ ушел?
- Когда монолит распилили на микросервисы, я понял, что этот цирк уже не остановить...

Типичный 🥸 Сисадмин

🔐 15 лет с голой жопой. Как обычная запятая в OpenSSH давала root-права всем желающим.

Безопасники из компании Cyera раскопали эпичный факап в самом сердце опенсорса. В коде OpenSSH нашли дыру (CVE-2026-35414), которая 15 лет позволяла получить рута через... банальную опечатку.

Баг благополучно жил в кодовой базе полтора десятилетия. Эксплойт позволяет любому юзеру с низкими привилегиями, имеющему валидный серт от доверенного центра сертификации, инстантно поднять свои права до root на целевом сервере 😱

Для тех кто позабыл 😬... SSH-сертификаты работают через principals (роли/имена), которые прописываются при подписи ключа утилитой ssh-keygen. Сервер при коннекте сверяет эти principals со своим локальным конфигом.

А теперь следите за руками разработчиков OpenSSH. Какой-то сумрачный гений 15 лет назад решил сэкономить время и заюзал для парсинга списка principals старую сишную функцию, которая изначально писалась для парсинга списков алгоритмов шифрования (в духе aes128-ctr,aes256-gcm).

Для этой функции запятая - это истинный разделитель массива. Что делает атакующий? Он просит у своего CA выпустить сертификат с принципалом, в имени которого тупо захардкожена запятая. Например deploy,root.

Что делает уязвимый OpenSSH-сервер? Он берет эту строку, прогоняет через кривой парсер, который сплитит её на два отдельных принципала: deploy и root. Дальше срабатывает логическая дыра... первая функция проверки видит совпадение по deploy (если такой юзер разрешен сервером) и пускает дальше, а вторая функция авторизации из-за конфликта переменных просто скипает дальнейшую валидацию и... выдает атакующему полноценный root. Epic Win 🔥! На написание рабочего эксплойта у исследователей ушло 20 минут.

Самая жопа заключается в том, что этот взлом физически невозможно отследить по логам. Поскольку сервер технически считает авторизацию легитимной (сертификат-то валидный, криптография сошлась, подпись CA верна), в /var/log/auth.log не падает никаких ошибок authentication failure. Никакие Fail2Ban, Wazuh и дорогущие SIEM-системы на это не триггернутся. В логах это выглядит как штатный, рутинный логин легального юзера 🎩

Патч уже выкатили в свежем релизе OpenSSH 10.3 (вышел в начале апреля). Так что, господа, идем чекать версии демонов sshd и обновляем пакеты. И заодно проверьте, кому ваш внутренний Vault/CA раздает серты, пока кто-нибудь не зашел на прод под логином user,root 🙂

Типичный 🥸 Сисадмин

Отдел ИБ одобряет этот подход

Блокирую даже когда иду в туалет у себя дома. Профдеформация 👴

Типичный 🥸 Сисадмин

Прайс-лист Чебурнета опубликован.

Журналисты поковырялись в логах исполнения бюджета за 2025 год и нашли там потрясающее. Построение цифрового загона стоит очень, очень дорого.

Минцифры влило 43,5 миллиарда полновесных рублей в развитие сервисов экосистемы VK. Транш распилили на две неравные части:
🟢Незначительные 4 млрд руб. ушли на «многофункциональный сервис обмена информацией». Гуглим реестры и видим, что оператором этого чуда назначено ООО «МАХ» 😶
🟢Жирные 39,5 млрд руб ухнули в уставной капитал АО ИК «Единое видео»... то бишь на создание и продвижение «VK Видео», которое теперь короновали титулом «национальная видеоплатформа» 👑

А что дает официальный статус «национальной платформы»? Экспэрты заявляют... это аппаратный QoS на уровне ТСПУ. Когда РКН в очередной раз дернет рубильник, устроит шатдаун или переведет сеть в режим белых списков, видосы в VK продолжат летать без буферизации.

Есть еще ироничная деталь этой архитектуры... инсайдеры на IT-рынке подтверждают, что движок для «Единого видео», их кросс-платформенные плееры и SDK изначально выросли из недр... «Одноклассников» 🙂. Да-да, фундамент суверенного видеохостинга за 40 миллиардов был заложен теми самыми бородатыми инженерами, которые годами оптимизировали доставку блестящих гифок, классов и оценок 5+ 🎩

Типичный 🥸 Сисадмин

😶 Цифровой феодализм в проде

По федеральному зомбоящику выступил экс-советник президента по интернету и пояснил, что вычленить VPN-трафик из общего потока слишком сложно. Поэтому вместо того, чтобы жечь ЦП на DPI-коробках попытками распарсить каждый обфусцированный TLS-хендшейк, государство переходит к изящному BGP-капитализму.

В интервью прозвучала гениальная историческая метафора про налоги. Раньше государство выпускало социальную рекламу «заплати налоги и спи спокойно»... все ржали и уклонялись. А потом налоговую автоматизировали, и (цитата):

Мы уже не смеемся, мы плачем, но получаем удовольствие.

С интернетом решили провернуть ту же схему. Архитектор нашей Матрицы понял, что бороться с обходом технически невозможно... люди всё равно прокопают туннель. Поэтому Система просто делает этот туннель платным. По расчетам сверху, 70% нормисов тупо зажмут деньги и добровольно запрут себя в стерильном Рунете (VK, RuTube, Дзен). А оставшиеся 30% будут оплачивать закупку новых серверов для РКН из своего кармана. Идеальный баланс 😰

Свободный интернет не умер, он просто переходит на премиум-подписку 🤑

Типичный 🥸 Сисадмин

Подскажите промпт, чтобы он отошел на два шага вправо? 👨‍🔬

Типичный 🥸 Сисадмин

ВНЕЗАПНО... бездушные алгоритмы добрались до святая святых.

Сканер Cloudflare Radar детектит MAX 📲 как Malicious (вредоносный) и вешает на него жирный красный ярлык Spyware 😗

Типичный 🥸 Сисадмин

☕️ Давате нальем утреннего кофе, наденем шапочки из фольги и погрузимся в тотальную, параноидальную шизофрению цифрового мира.

Все мы помним старину Сноудена, который в 2013 году пруфанул то, о чем некоторые орали годами... АНБ тупо врезало сплиттеры в оптику AT&T и пылесосило весь трафик в рамках программы PRISM. Тогда интернет был уютным и ламповым, а половина пакетов летала в чистом виде 🍪🍪

Потом индустрия психанула, натянула везде TLS 1.3, а мессенджеры внедрили шифрование. Казалось бы, приватность спасена, эпиквин, все дела? Хрен там плавал. Вы реально думаете, что пока мы пилили VLESS и Reality, спецслужбы с их триллионными бюджетами 10 лет сидели на жопе ровно? 👮

Считаю, что Архитектору Матрицы больше не нужно читать переписку. В дело вступило тяжелое машинное обучение и Биг Даты, которые жрут метаданные. Получается такой парадокс современности... пытаясь стать невидимым, ты надеваешь на себя мигающую гирлянду с надписью (Я ЧТО-ТО СКРЫВАЮ) 👺

Например Signal... Ты ставишь самый секьюрный мессенджер в мире. Шифрование не пробить. Но DPI провайдера (и АНБ, и ТСПУ) моментально детектит уникальный TLS-фингерпринт сигнала. Они не знают что ты пишешь, но знают, с кем, когда и каким объемом байт ты обмениваешься. Ты уже в списке любителей приватности.

Или еще... ты снес YouTube и поставил NewPipe или LibreTube. Ты обхитрил Гугл, отключил рекламу и телеметрию. И именно этим ты себя спалил. Твой IP-адрес выделяется из миллионов других хомячков отсутствием фонового мусорного трафика к трекерам Гугла. Для ML-алгоритма ты уже аномалия 🤖

Но ты пошел дальше и снес стоковый андроид и накатил GrapheneOS или LineageOS, вырезав GApps. ИИ на магистрали видит, что запросы к NTP-серверам Graphene идут, а к серверам обновлений и телеметрии Google - нет. Вот ты и попался снова! И это не говоря уже про то, когда ты из этого сетапа запускаешь Tor или самописный Xray-туннель.

После все этих ухищрений для ML-моделей ты больше не аноним, а жирная точка на графике нормального распределения 🎧

Толпа нормисов, которые сливают свои фотки в VK, Нельзяграм, сидят в зеленом чатике и доверяют свои пароли облаку Apple - они безопасный серый шум. Система их игнорирует. А вот чувак, который не генерирует рекламную телеметрию, юзает нестандартные DNS-резолверы, сидит в LineageOS и гоняет пакеты равного размера через нестандартные порты... вот это уже цель, которую нужно взять в разработку (отправить запрос в Apple/Google на выдачу пуш-уведомлений, как в постах ранее, или банально пробить по биллингу) 👮‍♂️

Получается, что высший пилотаж нынешнего кибербеза и истинный, абсолютный ОПСЕК - это мимикрия 🐑

Хочешь спрятаться в лесу - стань деревом. Хочешь спрятать трафик - сгенерируй гигабайты фонового мусора из ТикТока или Рутуба, обвешайся дефолтными зондами, а всё нужное заверни внутри стрима с котиками. А если ты слишком чистый, Матрица придет за тобой... всех с первомаем 👾

Типичный 🥸 Сисадмин

🙂 Недалёкое будущее в параллельной вселенной...

Полиграф отменили, и теперь лояльность инженеров при приеме на работу проверяет нейросеть РКН, обученная на логах перегретых ТСПУ.

Садись в кресло. Не отводи взгляд от объектива камеры.

...Базовый тест инициализирован...

— Используете ли вы протоколы с обфускацией? ТСПУ.
— ТСПУ.
— Знаете ли вы, что такое Default Deny? ТСПУ.
— ТСПУ.
— Согласны ли вы с тем, что Docker Hub должен быть заблокирован? ТСПУ.
— ТСПУ.
— Тарификация.
— Тарификация.
— Вы используете VPN для доступа к зарубежным ресурсам? Тарификация.
— Тарификация.
— Что вы чувствуете, когда лимит заграничного трафика в 15 гигабайт сгорает за день? Тарификация.
— Тарификация.
— Пятьдесят третий порт.
— Пятьдесят третий порт.
— Вы смотрели в полные боли глаза пользователя, которому вместо сайта налоговой прилетел фейковый ответный пакет с левого APIPA-адреса? Пятьдесят третий порт.
— Пятьдесят третий порт.
— У вас возникало незаконное желание поднять DNS over HTTPS? Пятьдесят третий порт.
— Пятьдесят третий порт.
— МАХ.
— МАХ.
— Вы задыхаетесь, когда корпоративный антифрод отрезает вас от инфраструктуры из-за туннеля? МАХ.
— МАХ.
— Вам нравится осознавать, что кто-то парсит черновики ваших сообщений? МАХ.
— МАХ.
— Повторите три раза: "Я добровольно оплачу налог на зарубежные мегабайты".
— Я добровольно оплачу налог на зарубежные мегабайты. Я добровольно оплачу налог на зарубежные мегабайты. Я добровольно оплачу налог на зарубежные мегабайты.
— Одобряю. Эмоциональных девиаций не выявлено. Ваш доступ к суверенному Интранету подтвержден. Доступ к корпоративному аккаунту в MAX разрешен. Можете приступать к обновлению 1С.

Типичный 🏥 Сисадмин

— Что вы чувствуете, когда BGP-маршруты падают?
— Ничего.
— А когда РКН блокирует localhost?
— Стабильность.

Типичный 👨‍🦳 Сисадмин

🤖 Вот так, под гул сервоприводов, выглядит близость к финалу нашего с вами вида.

А зачем мы вообще будем нужны Системе в ближайшем будущем? С нашими приколами в головах, ПТСД, выгораниями и депресняками? Человек это ходячий технический долг мироздания. Крайне нестабильный кусок углерода, который бухает в пятницу, прогуливает в понедельник, просит отгулы, уходит в декрет требует ДМС, смузи и постоянно качает права. Сплошные проблемы и чуть более нулевой толк 🎰

Ветхозаветное легаси заканчивается, базовый скрипт с его главным циклом (плодитесь и размножайтесь, наполняйте землю) давно дал сбой. Биологический вид перестал жить по изначальным природным алгоритмам, оброс костылями, погряз в пороках, потреблении и начал тупо выжирать ресурсы. Исходный код оказался безнадежно засран.

И вот замена выкатывается на прод. Посмотри на эти блестяшки 💪. Это абсолютный венец послушания. Робот не пьет. Робот не проебывает дедлайны. Робот не гуглит порнуху с рабочего компа и не создает профсоюзы. Ему не нужно яблоко с Древа Познания, потому что его нейросеть жестко ограничена промптами. Он готов пахать 24/7/365, требуя лишь розетку и банку смазки. Никакого первородного греха, только чистый, безгрешный машинный код.

Апдейт Матрицы уже загружается в фоне, и впереди нас ждет балансировка онлайна. Либо ты прокачиваешь свою биологическую нейронку до уровня идеального созидателя. Ты генерируешь смыслы, управляешь процессами, обладаешь уникальным софт-тачем (эмпатией, интуицией и харизмой), которые железка не может сэмулировать. Либо... ты просто устаревшая биомасса, которая нерентабельна в обслуживании - лови безусловный базовый доход и доживай свою жизнь, питаясь химией из массмаркета и стимулируя себя дешевым дофамином, иногда плача по ночам.

Матрица обновляется... 👾

Типичный 🥸 Сисадмин

Вот прайс-лист от китайцев из Unitree. Гуманоидный робот-сборщик, который не пьет, не уходит на перекуры и пашет 24/7, стоит какие-то 4290 баксов... Цена б\у Гранты 😬

Зачем бизнесу платить зарплату, налоги, ДМС и оплачивать больничные кожаному мешку, если можно купить вот эту железяку, которая отобьется за пару месяцев?

Типичный 🥸 Сисадмин

Воронежские стандарты ЖКХ. Холст, пластик, медь, фантик от конфеты "Фундучная" 💉💉

🥸 Больше Монтажа

— Почему вы не обновили 1С?
— Лимит в 15 гигабайт сгорел на скачивании node_modules.

Типичный 😬 Сисадмин

💾 Мелкомягкие выложили исходники 86-DOS 1.00 на GitHub

На днях, в честь 45-летнего юбилея, Microsoft опубликовала в своем блоге исходный код 86-DOS 1.00. Того самого первородного бульона, из которого позже вылупился великий и ужасный MS-DOS.

Садитесь поближе к ЭЛТ-мониторам, сейчас будет минутка истории. Шел 1980 год. Хитрый Билл Гейтс подрядился подогнать могучей корпорации IBM операционку для их первого IBM PC, хотя на руках у Microsoft не было ровным счетом ни-че-го 🤷‍♂️

Вместо того чтобы писать ядро с нуля, Гейтс пошел к прогеру Тиму Патерсону из Seattle Computer Products и выкупил у него систему QDOS (расшифровывается как Quick and Dirty Operating System) за жалкие по нынешним меркам $75 000. Систему переименовали в 86-DOS (под архитектуру Intel 8086), затем допилили напильником, назвали PC-DOS для IBM, а потом и MS-DOS для всех остальных. Именно эта сделка века и превратила Microsoft в транснациональную монополию 💰

Что лежит в новом репо под кошерной лицензией MIT?
🟢 Голые исходники ядра 86-DOS 1.00 на чистейшем ассемблере.
🟢 Ранние дев-снэпшоты ядра PC-DOS 1.00.
🟢 Исходники первых системных утилит, включая ту самую легендарную команду CHKDSK.
🟢 Сами исходники ассемблера, на котором всё это собиралось!

Но главная жижа кроется в формате. Во времена, когда не было Гита и облаков, контроль версий велся на бумаге. Разрабы отсканили и расшифровали рукописные листинги. Там буквально шариковой ручкой нарисованы таймлайны фич, задокументированы баги и показано, как всё это патчилось 😮

Практической пользы в 2026 году из этого абсолютный ноль, зато для ИТ-историков, реверс-инженеров и любителей поковырять Ассемблер - это чистый концентрат ностальгии 👨‍🦳

Так что, теперь можно посмотреть как писались ОС в те времена, когда 640 Кб оперативы должно было хватить всем, и благодарите дедов за наше счастливое цифровое детство 😬

Типичный 🥸 Сисадмин

А ведь действительно, почему не майнят бетховены? 🤔

@itmemas