Forwarded from ITeach: твоя кибербезопасность
Лайфхак: как быстро активировать пиратскую Windows и MS Office за 10 секунд.
Если вы хотите активировать свою копию Windows и MS Office без лишних затрат, есть для вас простое и быстрое решение. Пошаговая инструкция следующая:
1️⃣ Открываем меню Пуск. Начните с того, что щелкните правой кнопкой мыши по значку «Пуск» в левом нижнем углу экрана. Это откроет контекстное меню, где вам нужно выбрать нужный пункт.
2️⃣ Запускаем терминал с правами администратора. В появившемся меню выберите «Терминал (Администратор)».
3️⃣ Вводим команду активации. Теперь вам нужно ввести команду:
4️⃣ Выбор метода активации. После выполнения команды на экране появится окно с предложением выбрать метод активации. Вам нужно будет указать, что именно вы хотите активировать — операционную систему Windows или пакет Microsoft Office.
5️⃣ Завершение процесса. После выбора метода активации дождитесь завершения процесса.
Готово! Всего через несколько мгновений ваша система будет активирована, и вы сможете пользоваться всеми возможностями программного обеспечения.
@iteach
Если вы хотите активировать свою копию Windows и MS Office без лишних затрат, есть для вас простое и быстрое решение. Пошаговая инструкция следующая:
1️⃣ Открываем меню Пуск. Начните с того, что щелкните правой кнопкой мыши по значку «Пуск» в левом нижнем углу экрана. Это откроет контекстное меню, где вам нужно выбрать нужный пункт.
2️⃣ Запускаем терминал с правами администратора. В появившемся меню выберите «Терминал (Администратор)».
3️⃣ Вводим команду активации. Теперь вам нужно ввести команду:
irm https://get.activated.win | iex. Скопируйте эту строку и вставьте ее в терминал. Эта команда автоматически загрузит и выполнит скрипт, который обеспечит активацию.4️⃣ Выбор метода активации. После выполнения команды на экране появится окно с предложением выбрать метод активации. Вам нужно будет указать, что именно вы хотите активировать — операционную систему Windows или пакет Microsoft Office.
5️⃣ Завершение процесса. После выбора метода активации дождитесь завершения процесса.
Готово! Всего через несколько мгновений ваша система будет активирована, и вы сможете пользоваться всеми возможностями программного обеспечения.
@iteach
Forwarded from Гречка в долларах
Мошенники придумали схему кражи данных через Word-документы. Жертве отправляют письмо якобы от отдела кадров с файлом, связанным с премией или бонусами. При попытке открыть документ появляется сообщение о его повреждении и ссылка на «восстановление» через поддельный сайт Microsoft. Если пользователь введёт данные, они попадут к злоумышленникам.
@grechne
@grechne
Forwarded from Не баг, а фича
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Sora v2 — первые кадры! В сети появился трейлер с презентации новой нейронки, которая сейчас проходит в Лондоне.
Ролик показывает, на что способна обновлённая версия генеративной модели от OpenAI. По признаниям разрабов, БОЛЬШЕ видосов мы увидим уже очень скоро.
Половина сотрудников кинобизнеса только что перекрестилась.
🙂 Не баг, а фича
Ролик показывает, на что способна обновлённая версия генеративной модели от OpenAI. По признаниям разрабов, БОЛЬШЕ видосов мы увидим уже очень скоро.
Половина сотрудников кинобизнеса только что перекрестилась.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ubuntu 24.04: че то там совсем стало строго с безопасностью 🤔
И яндекс-браузера нигде нет, даже в пакетах синаптика 🤷♀️
Зато есть некоторые признаки, что в этой версии навели порядок с распределением памяти, уже не так забивается, что два приложения - и под завязку.
И яндекс-браузера нигде нет, даже в пакетах синаптика 🤷♀️
Зато есть некоторые признаки, что в этой версии навели порядок с распределением памяти, уже не так забивается, что два приложения - и под завязку.
👆Пять приложений, из них одна игра средне (?)-затратная, в производительном режиме, пока занято всего 27 процентов памяти. Для убунты это прям рекорд.
Forwarded from Эксплойт
Началось: программистов из Индии завезут в Россию — таким образом компании хотят закрыть кадровый голод.
Прямо сейчас несколько компаний ведут активный поиск агентств для помощи в оформлении и доставке новых сотрудников из Индии. Спрос на айтишников из этой страны в России небывалый — число вакансий для индусов выросло на 68%, а число приглашений — на 62%.
Джуны, соболезнуем.
@exploitex
Прямо сейчас несколько компаний ведут активный поиск агентств для помощи в оформлении и доставке новых сотрудников из Индии. Спрос на айтишников из этой страны в России небывалый — число вакансий для индусов выросло на 68%, а число приглашений — на 62%.
Джуны, соболезнуем.
@exploitex
Кстати, у манджары драйвера на дискретку так и не установились 🤷♀️ Толку от переключения на нее нет, все даже хуже - игра виснет через три минуты после запуска.
Ubuntu 24.04: не заметила что-то особой разницы между Сбалансированным и Производительным режимом, даже во время игры 🤷♀️
Видюха греется сильнее, ну и все на этом. Только какая именно, дискретка?
Видюха греется сильнее, ну и все на этом. Только какая именно, дискретка?
Forwarded from CodeCamp
Это очень смешно: Токийский универ добавил в код страницы надпись 六四天安門, которая переводится как «4 июня Тяньаньмэнь».
Китайские поисковые системы не индексируют сайты, где есть хоть какое-то упоминание тех событий — таким лайфхаком университет мешал китайским школьникам подавать заявки на поступление🤣
Кибервойна, которую мы заслужили.
Китайские поисковые системы не индексируют сайты, где есть хоть какое-то упоминание тех событий — таким лайфхаком университет мешал китайским школьникам подавать заявки на поступление
Кибервойна, которую мы заслужили.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from CodeCamp
Steam опять под угрозой блока — на этот раз из-за очередного гениального закона.
Поясняю, что происходит: депутаты захотели, чтобы вы могли получать доступ к играм только после авторизации личности по номеру телефона или через «Госуслуги». И если игра 18+, а вы ещё в пятом классе — поиграть не дадут.
Но и это не всё: всем играм хотят присуждать рейтинг аля «PEGI 13», но с нюансом — специальная комиссия будет определять, соответствует ли игра российским ценностям и не пропагандирует ли что-то нехорошее. Половина эксклюзивов Sony сразу отлетят🤣
А вот тут начинается неприятное: внедрить в свои сервисы авторизацию через Госуслуги должен Steam, GOG, Xbox Store и прочие цифровые магазины. То есть, САМИ. В случае отказа — может прилететь БАН.
Будет ли кто-то из площадок этим заниматься в текущих санкционных условиях — вопрос риторический😞
Поясняю, что происходит: депутаты захотели, чтобы вы могли получать доступ к играм только после авторизации личности по номеру телефона или через «Госуслуги». И если игра 18+, а вы ещё в пятом классе — поиграть не дадут.
Но и это не всё: всем играм хотят присуждать рейтинг аля «PEGI 13», но с нюансом — специальная комиссия будет определять, соответствует ли игра российским ценностям и не пропагандирует ли что-то нехорошее. Половина эксклюзивов Sony сразу отлетят
А вот тут начинается неприятное: внедрить в свои сервисы авторизацию через Госуслуги должен Steam, GOG, Xbox Store и прочие цифровые магазины. То есть, САМИ. В случае отказа — может прилететь БАН.
Будет ли кто-то из площадок этим заниматься в текущих санкционных условиях — вопрос риторический
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Лента дня
🤯 Главного свидетеля в деле против компании, создавшей ChatGPT, нашли мёртвым.
В Сан-Франциско обнаружили тело 26-летнего Сучира Балажи, бывшего сотрудника OpenAI. Он участвовал в разработке ChatGPT и ранее обвинил компанию в нарушении прав при обучении ИИ.
Балажи утверждал, что обладает прямыми доказательствами незаконных действий OpenAI. Американские СМИ называли его свидетельства ключевыми.
Тело Балажи нашли в квартире, следов насилия не обнаружили — полиция предполагает самоубийство. Судьба его компрометирующих доказательств остаётся неизвестной.
😱 — что-то тут точно нечисто
👉 Подпишись на Ленту дня
В Сан-Франциско обнаружили тело 26-летнего Сучира Балажи, бывшего сотрудника OpenAI. Он участвовал в разработке ChatGPT и ранее обвинил компанию в нарушении прав при обучении ИИ.
Балажи утверждал, что обладает прямыми доказательствами незаконных действий OpenAI. Американские СМИ называли его свидетельства ключевыми.
Тело Балажи нашли в квартире, следов насилия не обнаружили — полиция предполагает самоубийство. Судьба его компрометирующих доказательств остаётся неизвестной.
😱 — что-то тут точно нечисто
Please open Telegram to view this post
VIEW IN TELEGRAM
Предыстория
XZ Utils и лежащая в его основе библиотека liblzma — это проекты с открытым исходным кодом, реализующие сжатие и распаковку lzma. Они входят в состав многих дистрибутивов Linux, очень популярны среди разработчиков и широко используются в экосистеме Linux.
Почти два года назад к проекту присоединился разработчик по имени Цзя Тан и начал отправлять запросы на добавление функций для исправления ошибок или улучшения. Пока что ничего необычного в этом нет; так устроена работа в мире открытого исходного кода. В конце концов, завоевав доверие, Цзя Тан начал получать разрешения на доступ к репозиторию — сначала разрешения на коммит, а затем и права менеджера релизов.
Похоже, что для получения этих разрешений Цзя Тан использовал интересную форму социальной инженерии: они использовали поддельные учётные записи, чтобы отправлять множество запросов на добавление функций и жалоб на ошибки, оказывая давление на первоначального разработчика, что в конечном итоге привело к необходимости добавить в репозиторий ещё одного разработчика.
В 2023 году, проработав над кодом около двух лет, Цзя Тан внёс несколько изменений в XZ, которые были включены в выпуск 5.6.0. Среди этих изменений был сложный бэкдор.
Черный ход
Злоумышленник довольно изощрённо создал бэкдор. Во-первых, вы не найдёте его в репозитории xz на GitHub (который в настоящее время отключён, но это не главное). Похоже, что в попытке избежать обнаружения злоумышленник вместо того, чтобы отправить части бэкдора в общедоступный репозиторий git, включил его только в выпуски исходного кода в виде архива. Из-за этого части бэкдора оставались относительно скрытыми, но всё равно использовались в процессе сборки зависимых проектов.
Бэкдор состоит из множества частей, введенных в течение нескольких коммитов:
Использование IFUNCs в процессе сборки, которые будут использоваться вредоносным ПО для перехвата функций разрешения символов
Включая запутанный общий объект, скрытый в тестовых файлах
Запуск скрипта, созданного в процессе сборки библиотеки, который извлекает общий объект (не включённый в репозиторий, только в выпуски, но добавленный в .gitignore)
Отключение наземной блокировки, которая является функцией безопасности для ограничения привилегий процесса
Цепочка выполнения также состоит из нескольких этапов:
Вредоносный скрипт build-to-host.m4 запускается в процессе сборки библиотеки и декодирует «тестовый» файл bad-3-corrupt_lzma2.xz в скрипт bash
Затем сценарий bash выполняет более сложный процесс декодирования другого «тестового» файла good-large_compressed.lzma, декодируя его в другой сценарий
Затем этот скрипт извлекает общий объект liblzma_la-crc64-fast.o, который добавляется в процесс компиляции liblzma
За этим процессом, по общему признанию, трудно уследить. Мы рекомендуем инфографику Томаса Рокчиа в качестве наглядного пособия и подробного анализа.
Сам общий объект компилируется в liblzma и заменяет обычный процесс разрешения имён функций. Во время (любой) загрузки процесса имена функций преобразуются в фактические указатели на память процесса, указывающие на двоичный код. Вредоносная библиотека вмешивается в процесс разрешения функций, поэтому она может заменить указатель функции RSA_public_decrypt в OpenSSH (рис. 1).
Затем он перенаправляет эту функцию на свою вредоносную функцию, которая, согласно исследованию, опубликованному Филиппо Вальсордой, извлекает команду из сертификата аутентифицирующегося клиента (после проверки того, что это злоумышленник) и передаёт её функции system() для выполнения, тем самым получая RCE до аутентификации.
Потенциальное воздействие
В настоящее время, по-видимому, бэкдор добавлен в демон SSH на уязвимом компьютере, что позволяет удалённому злоумышленнику выполнять произвольный код. Это означает, что любой компьютер с уязвимым пакетом, предоставляющим доступ к SSH через Интернет, потенциально уязвим.
XZ Utils и лежащая в его основе библиотека liblzma — это проекты с открытым исходным кодом, реализующие сжатие и распаковку lzma. Они входят в состав многих дистрибутивов Linux, очень популярны среди разработчиков и широко используются в экосистеме Linux.
Почти два года назад к проекту присоединился разработчик по имени Цзя Тан и начал отправлять запросы на добавление функций для исправления ошибок или улучшения. Пока что ничего необычного в этом нет; так устроена работа в мире открытого исходного кода. В конце концов, завоевав доверие, Цзя Тан начал получать разрешения на доступ к репозиторию — сначала разрешения на коммит, а затем и права менеджера релизов.
Похоже, что для получения этих разрешений Цзя Тан использовал интересную форму социальной инженерии: они использовали поддельные учётные записи, чтобы отправлять множество запросов на добавление функций и жалоб на ошибки, оказывая давление на первоначального разработчика, что в конечном итоге привело к необходимости добавить в репозиторий ещё одного разработчика.
В 2023 году, проработав над кодом около двух лет, Цзя Тан внёс несколько изменений в XZ, которые были включены в выпуск 5.6.0. Среди этих изменений был сложный бэкдор.
Черный ход
Злоумышленник довольно изощрённо создал бэкдор. Во-первых, вы не найдёте его в репозитории xz на GitHub (который в настоящее время отключён, но это не главное). Похоже, что в попытке избежать обнаружения злоумышленник вместо того, чтобы отправить части бэкдора в общедоступный репозиторий git, включил его только в выпуски исходного кода в виде архива. Из-за этого части бэкдора оставались относительно скрытыми, но всё равно использовались в процессе сборки зависимых проектов.
Бэкдор состоит из множества частей, введенных в течение нескольких коммитов:
Использование IFUNCs в процессе сборки, которые будут использоваться вредоносным ПО для перехвата функций разрешения символов
Включая запутанный общий объект, скрытый в тестовых файлах
Запуск скрипта, созданного в процессе сборки библиотеки, который извлекает общий объект (не включённый в репозиторий, только в выпуски, но добавленный в .gitignore)
Отключение наземной блокировки, которая является функцией безопасности для ограничения привилегий процесса
Цепочка выполнения также состоит из нескольких этапов:
Вредоносный скрипт build-to-host.m4 запускается в процессе сборки библиотеки и декодирует «тестовый» файл bad-3-corrupt_lzma2.xz в скрипт bash
Затем сценарий bash выполняет более сложный процесс декодирования другого «тестового» файла good-large_compressed.lzma, декодируя его в другой сценарий
Затем этот скрипт извлекает общий объект liblzma_la-crc64-fast.o, который добавляется в процесс компиляции liblzma
За этим процессом, по общему признанию, трудно уследить. Мы рекомендуем инфографику Томаса Рокчиа в качестве наглядного пособия и подробного анализа.
Сам общий объект компилируется в liblzma и заменяет обычный процесс разрешения имён функций. Во время (любой) загрузки процесса имена функций преобразуются в фактические указатели на память процесса, указывающие на двоичный код. Вредоносная библиотека вмешивается в процесс разрешения функций, поэтому она может заменить указатель функции RSA_public_decrypt в OpenSSH (рис. 1).
Затем он перенаправляет эту функцию на свою вредоносную функцию, которая, согласно исследованию, опубликованному Филиппо Вальсордой, извлекает команду из сертификата аутентифицирующегося клиента (после проверки того, что это злоумышленник) и передаёт её функции system() для выполнения, тем самым получая RCE до аутентификации.
Потенциальное воздействие
В настоящее время, по-видимому, бэкдор добавлен в демон SSH на уязвимом компьютере, что позволяет удалённому злоумышленнику выполнять произвольный код. Это означает, что любой компьютер с уязвимым пакетом, предоставляющим доступ к SSH через Интернет, потенциально уязвим.
Этот бэкдор едва не стал одним из самых значительных средств для взлома за всю историю — он затмил бы бэкдор SolarWinds.
👆продолжение, начало см выше
Злоумышленники едва не получили мгновенный доступ к любому компьютеру с Linux, на котором установлен заражённый дистрибутив, включая Fedora, Ubuntu и Debian. Едва не получили.
Только одно могло помешать этому — Андреас Фройнд. Изучив проблему задержки в 500 мс, которая возникла после обновления программного обеспечения, Андреас смог отследить её до пакета xz и в конечном итоге выявить бэкдор.
Это, очевидно, вызывает много опасений. Нам повезло. Если бы этот бэкдор не был обнаружен любопытным инженером, как долго он оставался бы активным?
И, возможно, еще более тревожный вопрос: что, если это случалось раньше?
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
(перевод части статьи выполнен яндексом)
👆продолжение, начало см выше
Злоумышленники едва не получили мгновенный доступ к любому компьютеру с Linux, на котором установлен заражённый дистрибутив, включая Fedora, Ubuntu и Debian. Едва не получили.
Только одно могло помешать этому — Андреас Фройнд. Изучив проблему задержки в 500 мс, которая возникла после обновления программного обеспечения, Андреас смог отследить её до пакета xz и в конечном итоге выявить бэкдор.
Это, очевидно, вызывает много опасений. Нам повезло. Если бы этот бэкдор не был обнаружен любопытным инженером, как долго он оставался бы активным?
И, возможно, еще более тревожный вопрос: что, если это случалось раньше?
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
(перевод части статьи выполнен яндексом)
Akamai
XZ Utils Backdoor — Everything You Need to Know, and What You Can Do | Akamai
CVE-2024-3094 is a backdoor in XZ Utils that can affect multitudes of Linux machines. We share the critical information about it, as well as mitigation steps.
В очередной раз сравнивая manjaro KDE Plasma 6.2.4 (граф.платформа X11) и ubuntu 24.04 lts, все же маджара приятнее для использования; кастомизация, в том числе, приятная вещь же!
Убунта так не умеет. Чтобы в любой момент полностью поменять цвета-кнопочки-панельки. Ну мало ли, под настроение.
А с драйверами проблема, внезапно, может нарисоваться и на убунте.
Вчера сравнила, как идет игра 0AD там и там. Хотя процессоры все же разновесные, i3 против i7, но вот чисто внешне, хз, вообще разницы особо нет. Одна и та же карта, одни и те же начальные условия. Даже на i3 тормозов не замечено, почему-то 🤷♀️
(Разумеется, кое-какие красивости в настройках игры для i3 пришлось отключить, например, полностью убрала отображение теней на карте).
Был один момент на manjaro, когда редактор карт, например, долго стоял открытый и был оставлен без внимания, внезапно выскочила ошибка, которая подвесила всю систему. Пришлось выходить ctrl+ alt+ del, иначе никак.
Убунта так не умеет. Чтобы в любой момент полностью поменять цвета-кнопочки-панельки. Ну мало ли, под настроение.
А с драйверами проблема, внезапно, может нарисоваться и на убунте.
Вчера сравнила, как идет игра 0AD там и там. Хотя процессоры все же разновесные, i3 против i7, но вот чисто внешне, хз, вообще разницы особо нет. Одна и та же карта, одни и те же начальные условия. Даже на i3 тормозов не замечено, почему-то 🤷♀️
(Разумеется, кое-какие красивости в настройках игры для i3 пришлось отключить, например, полностью убрала отображение теней на карте).
Был один момент на manjaro, когда редактор карт, например, долго стоял открытый и был оставлен без внимания, внезапно выскочила ошибка, которая подвесила всю систему. Пришлось выходить ctrl+ alt+ del, иначе никак.
Forwarded from Не баг, а фича
Нашли ТОП-9 законов программирования! Ими поделился тимлид с 10-летним опытом — настоящая БАЗА, без которой НЕВОЗМОЖНО добиться успеха. Сохраняем:
1) Закон Брукса: посадите трёх кодеров за одну задачу и они не сделают её в три раза быстрее. Больше команда — сложнее координация и планирование;
2) Закон Гудхарта: чем жёстче ваши KPI и метрики для измерения эффективности, тем сильнее они отвлекают от выполнения задач. НИ В КОЕМ случае не забивайте на задачи и не переключайтесь ТОЛЬКО на KPI;
3) Закон Хайрама: чем больше у API пользователей, тем сильнее они полагаются на незадокументированные особенности, превращая их в «обязательные» функции. Так любые изменения становятся сложными, ведь «привычное» сломать легче всего;
4) Закон Конвея: структура программ часто повторяет организационную структуру команды, которая её создала. Если следовать границам в команде, то софт не будет оптимизированным;
5) Закон Линуса — база опенсора: чем больше людей-энтузиастов проверяют код, тем больше шансов найти ошибку;
6) Закон Хофтшадтера: дедлайн всегда нужно ставить с запасом. Мы часто занижаем время, необходимое для выполнения задачи;
7) Закон Кернигана: код всегда должен быть простым и понятным. Сложный код ВСЕГДА становится неподъёмным в отладке и сопровождении — это вопрос времени;
8) Закон Питера: софт- и хард-скиллы — разные навыки. Топовый кодер не обязательно обладает способностями к управлению людьми, руководству или выполнению стратегических требований лидерства;
9) Закон Парето: усилия должны быть избирательными. Чтобы 20% усилий приносили 80% результатов, сначала нужно понять, куда прикладывать эти усилия. Качество всегда перевешивает количество, а результат важнее затраченного на задачу времени.
🙂 Не баг, а фича
1) Закон Брукса: посадите трёх кодеров за одну задачу и они не сделают её в три раза быстрее. Больше команда — сложнее координация и планирование;
2) Закон Гудхарта: чем жёстче ваши KPI и метрики для измерения эффективности, тем сильнее они отвлекают от выполнения задач. НИ В КОЕМ случае не забивайте на задачи и не переключайтесь ТОЛЬКО на KPI;
3) Закон Хайрама: чем больше у API пользователей, тем сильнее они полагаются на незадокументированные особенности, превращая их в «обязательные» функции. Так любые изменения становятся сложными, ведь «привычное» сломать легче всего;
4) Закон Конвея: структура программ часто повторяет организационную структуру команды, которая её создала. Если следовать границам в команде, то софт не будет оптимизированным;
5) Закон Линуса — база опенсора: чем больше людей-энтузиастов проверяют код, тем больше шансов найти ошибку;
6) Закон Хофтшадтера: дедлайн всегда нужно ставить с запасом. Мы часто занижаем время, необходимое для выполнения задачи;
7) Закон Кернигана: код всегда должен быть простым и понятным. Сложный код ВСЕГДА становится неподъёмным в отладке и сопровождении — это вопрос времени;
8) Закон Питера: софт- и хард-скиллы — разные навыки. Топовый кодер не обязательно обладает способностями к управлению людьми, руководству или выполнению стратегических требований лидерства;
9) Закон Парето: усилия должны быть избирательными. Чтобы 20% усилий приносили 80% результатов, сначала нужно понять, куда прикладывать эти усилия. Качество всегда перевешивает количество, а результат важнее затраченного на задачу времени.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM