Forwarded from CodeCamp
Это очень смешно: Токийский универ добавил в код страницы надпись 六四天安門, которая переводится как «4 июня Тяньаньмэнь».
Китайские поисковые системы не индексируют сайты, где есть хоть какое-то упоминание тех событий — таким лайфхаком университет мешал китайским школьникам подавать заявки на поступление🤣
Кибервойна, которую мы заслужили.
Китайские поисковые системы не индексируют сайты, где есть хоть какое-то упоминание тех событий — таким лайфхаком университет мешал китайским школьникам подавать заявки на поступление
Кибервойна, которую мы заслужили.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from CodeCamp
Steam опять под угрозой блока — на этот раз из-за очередного гениального закона.
Поясняю, что происходит: депутаты захотели, чтобы вы могли получать доступ к играм только после авторизации личности по номеру телефона или через «Госуслуги». И если игра 18+, а вы ещё в пятом классе — поиграть не дадут.
Но и это не всё: всем играм хотят присуждать рейтинг аля «PEGI 13», но с нюансом — специальная комиссия будет определять, соответствует ли игра российским ценностям и не пропагандирует ли что-то нехорошее. Половина эксклюзивов Sony сразу отлетят🤣
А вот тут начинается неприятное: внедрить в свои сервисы авторизацию через Госуслуги должен Steam, GOG, Xbox Store и прочие цифровые магазины. То есть, САМИ. В случае отказа — может прилететь БАН.
Будет ли кто-то из площадок этим заниматься в текущих санкционных условиях — вопрос риторический😞
Поясняю, что происходит: депутаты захотели, чтобы вы могли получать доступ к играм только после авторизации личности по номеру телефона или через «Госуслуги». И если игра 18+, а вы ещё в пятом классе — поиграть не дадут.
Но и это не всё: всем играм хотят присуждать рейтинг аля «PEGI 13», но с нюансом — специальная комиссия будет определять, соответствует ли игра российским ценностям и не пропагандирует ли что-то нехорошее. Половина эксклюзивов Sony сразу отлетят
А вот тут начинается неприятное: внедрить в свои сервисы авторизацию через Госуслуги должен Steam, GOG, Xbox Store и прочие цифровые магазины. То есть, САМИ. В случае отказа — может прилететь БАН.
Будет ли кто-то из площадок этим заниматься в текущих санкционных условиях — вопрос риторический
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Лента дня
🤯 Главного свидетеля в деле против компании, создавшей ChatGPT, нашли мёртвым.
В Сан-Франциско обнаружили тело 26-летнего Сучира Балажи, бывшего сотрудника OpenAI. Он участвовал в разработке ChatGPT и ранее обвинил компанию в нарушении прав при обучении ИИ.
Балажи утверждал, что обладает прямыми доказательствами незаконных действий OpenAI. Американские СМИ называли его свидетельства ключевыми.
Тело Балажи нашли в квартире, следов насилия не обнаружили — полиция предполагает самоубийство. Судьба его компрометирующих доказательств остаётся неизвестной.
😱 — что-то тут точно нечисто
👉 Подпишись на Ленту дня
В Сан-Франциско обнаружили тело 26-летнего Сучира Балажи, бывшего сотрудника OpenAI. Он участвовал в разработке ChatGPT и ранее обвинил компанию в нарушении прав при обучении ИИ.
Балажи утверждал, что обладает прямыми доказательствами незаконных действий OpenAI. Американские СМИ называли его свидетельства ключевыми.
Тело Балажи нашли в квартире, следов насилия не обнаружили — полиция предполагает самоубийство. Судьба его компрометирующих доказательств остаётся неизвестной.
😱 — что-то тут точно нечисто
Please open Telegram to view this post
VIEW IN TELEGRAM
Предыстория
XZ Utils и лежащая в его основе библиотека liblzma — это проекты с открытым исходным кодом, реализующие сжатие и распаковку lzma. Они входят в состав многих дистрибутивов Linux, очень популярны среди разработчиков и широко используются в экосистеме Linux.
Почти два года назад к проекту присоединился разработчик по имени Цзя Тан и начал отправлять запросы на добавление функций для исправления ошибок или улучшения. Пока что ничего необычного в этом нет; так устроена работа в мире открытого исходного кода. В конце концов, завоевав доверие, Цзя Тан начал получать разрешения на доступ к репозиторию — сначала разрешения на коммит, а затем и права менеджера релизов.
Похоже, что для получения этих разрешений Цзя Тан использовал интересную форму социальной инженерии: они использовали поддельные учётные записи, чтобы отправлять множество запросов на добавление функций и жалоб на ошибки, оказывая давление на первоначального разработчика, что в конечном итоге привело к необходимости добавить в репозиторий ещё одного разработчика.
В 2023 году, проработав над кодом около двух лет, Цзя Тан внёс несколько изменений в XZ, которые были включены в выпуск 5.6.0. Среди этих изменений был сложный бэкдор.
Черный ход
Злоумышленник довольно изощрённо создал бэкдор. Во-первых, вы не найдёте его в репозитории xz на GitHub (который в настоящее время отключён, но это не главное). Похоже, что в попытке избежать обнаружения злоумышленник вместо того, чтобы отправить части бэкдора в общедоступный репозиторий git, включил его только в выпуски исходного кода в виде архива. Из-за этого части бэкдора оставались относительно скрытыми, но всё равно использовались в процессе сборки зависимых проектов.
Бэкдор состоит из множества частей, введенных в течение нескольких коммитов:
Использование IFUNCs в процессе сборки, которые будут использоваться вредоносным ПО для перехвата функций разрешения символов
Включая запутанный общий объект, скрытый в тестовых файлах
Запуск скрипта, созданного в процессе сборки библиотеки, который извлекает общий объект (не включённый в репозиторий, только в выпуски, но добавленный в .gitignore)
Отключение наземной блокировки, которая является функцией безопасности для ограничения привилегий процесса
Цепочка выполнения также состоит из нескольких этапов:
Вредоносный скрипт build-to-host.m4 запускается в процессе сборки библиотеки и декодирует «тестовый» файл bad-3-corrupt_lzma2.xz в скрипт bash
Затем сценарий bash выполняет более сложный процесс декодирования другого «тестового» файла good-large_compressed.lzma, декодируя его в другой сценарий
Затем этот скрипт извлекает общий объект liblzma_la-crc64-fast.o, который добавляется в процесс компиляции liblzma
За этим процессом, по общему признанию, трудно уследить. Мы рекомендуем инфографику Томаса Рокчиа в качестве наглядного пособия и подробного анализа.
Сам общий объект компилируется в liblzma и заменяет обычный процесс разрешения имён функций. Во время (любой) загрузки процесса имена функций преобразуются в фактические указатели на память процесса, указывающие на двоичный код. Вредоносная библиотека вмешивается в процесс разрешения функций, поэтому она может заменить указатель функции RSA_public_decrypt в OpenSSH (рис. 1).
Затем он перенаправляет эту функцию на свою вредоносную функцию, которая, согласно исследованию, опубликованному Филиппо Вальсордой, извлекает команду из сертификата аутентифицирующегося клиента (после проверки того, что это злоумышленник) и передаёт её функции system() для выполнения, тем самым получая RCE до аутентификации.
Потенциальное воздействие
В настоящее время, по-видимому, бэкдор добавлен в демон SSH на уязвимом компьютере, что позволяет удалённому злоумышленнику выполнять произвольный код. Это означает, что любой компьютер с уязвимым пакетом, предоставляющим доступ к SSH через Интернет, потенциально уязвим.
XZ Utils и лежащая в его основе библиотека liblzma — это проекты с открытым исходным кодом, реализующие сжатие и распаковку lzma. Они входят в состав многих дистрибутивов Linux, очень популярны среди разработчиков и широко используются в экосистеме Linux.
Почти два года назад к проекту присоединился разработчик по имени Цзя Тан и начал отправлять запросы на добавление функций для исправления ошибок или улучшения. Пока что ничего необычного в этом нет; так устроена работа в мире открытого исходного кода. В конце концов, завоевав доверие, Цзя Тан начал получать разрешения на доступ к репозиторию — сначала разрешения на коммит, а затем и права менеджера релизов.
Похоже, что для получения этих разрешений Цзя Тан использовал интересную форму социальной инженерии: они использовали поддельные учётные записи, чтобы отправлять множество запросов на добавление функций и жалоб на ошибки, оказывая давление на первоначального разработчика, что в конечном итоге привело к необходимости добавить в репозиторий ещё одного разработчика.
В 2023 году, проработав над кодом около двух лет, Цзя Тан внёс несколько изменений в XZ, которые были включены в выпуск 5.6.0. Среди этих изменений был сложный бэкдор.
Черный ход
Злоумышленник довольно изощрённо создал бэкдор. Во-первых, вы не найдёте его в репозитории xz на GitHub (который в настоящее время отключён, но это не главное). Похоже, что в попытке избежать обнаружения злоумышленник вместо того, чтобы отправить части бэкдора в общедоступный репозиторий git, включил его только в выпуски исходного кода в виде архива. Из-за этого части бэкдора оставались относительно скрытыми, но всё равно использовались в процессе сборки зависимых проектов.
Бэкдор состоит из множества частей, введенных в течение нескольких коммитов:
Использование IFUNCs в процессе сборки, которые будут использоваться вредоносным ПО для перехвата функций разрешения символов
Включая запутанный общий объект, скрытый в тестовых файлах
Запуск скрипта, созданного в процессе сборки библиотеки, который извлекает общий объект (не включённый в репозиторий, только в выпуски, но добавленный в .gitignore)
Отключение наземной блокировки, которая является функцией безопасности для ограничения привилегий процесса
Цепочка выполнения также состоит из нескольких этапов:
Вредоносный скрипт build-to-host.m4 запускается в процессе сборки библиотеки и декодирует «тестовый» файл bad-3-corrupt_lzma2.xz в скрипт bash
Затем сценарий bash выполняет более сложный процесс декодирования другого «тестового» файла good-large_compressed.lzma, декодируя его в другой сценарий
Затем этот скрипт извлекает общий объект liblzma_la-crc64-fast.o, который добавляется в процесс компиляции liblzma
За этим процессом, по общему признанию, трудно уследить. Мы рекомендуем инфографику Томаса Рокчиа в качестве наглядного пособия и подробного анализа.
Сам общий объект компилируется в liblzma и заменяет обычный процесс разрешения имён функций. Во время (любой) загрузки процесса имена функций преобразуются в фактические указатели на память процесса, указывающие на двоичный код. Вредоносная библиотека вмешивается в процесс разрешения функций, поэтому она может заменить указатель функции RSA_public_decrypt в OpenSSH (рис. 1).
Затем он перенаправляет эту функцию на свою вредоносную функцию, которая, согласно исследованию, опубликованному Филиппо Вальсордой, извлекает команду из сертификата аутентифицирующегося клиента (после проверки того, что это злоумышленник) и передаёт её функции system() для выполнения, тем самым получая RCE до аутентификации.
Потенциальное воздействие
В настоящее время, по-видимому, бэкдор добавлен в демон SSH на уязвимом компьютере, что позволяет удалённому злоумышленнику выполнять произвольный код. Это означает, что любой компьютер с уязвимым пакетом, предоставляющим доступ к SSH через Интернет, потенциально уязвим.
Этот бэкдор едва не стал одним из самых значительных средств для взлома за всю историю — он затмил бы бэкдор SolarWinds.
👆продолжение, начало см выше
Злоумышленники едва не получили мгновенный доступ к любому компьютеру с Linux, на котором установлен заражённый дистрибутив, включая Fedora, Ubuntu и Debian. Едва не получили.
Только одно могло помешать этому — Андреас Фройнд. Изучив проблему задержки в 500 мс, которая возникла после обновления программного обеспечения, Андреас смог отследить её до пакета xz и в конечном итоге выявить бэкдор.
Это, очевидно, вызывает много опасений. Нам повезло. Если бы этот бэкдор не был обнаружен любопытным инженером, как долго он оставался бы активным?
И, возможно, еще более тревожный вопрос: что, если это случалось раньше?
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
(перевод части статьи выполнен яндексом)
👆продолжение, начало см выше
Злоумышленники едва не получили мгновенный доступ к любому компьютеру с Linux, на котором установлен заражённый дистрибутив, включая Fedora, Ubuntu и Debian. Едва не получили.
Только одно могло помешать этому — Андреас Фройнд. Изучив проблему задержки в 500 мс, которая возникла после обновления программного обеспечения, Андреас смог отследить её до пакета xz и в конечном итоге выявить бэкдор.
Это, очевидно, вызывает много опасений. Нам повезло. Если бы этот бэкдор не был обнаружен любопытным инженером, как долго он оставался бы активным?
И, возможно, еще более тревожный вопрос: что, если это случалось раньше?
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
(перевод части статьи выполнен яндексом)
Akamai
XZ Utils Backdoor — Everything You Need to Know, and What You Can Do | Akamai
CVE-2024-3094 is a backdoor in XZ Utils that can affect multitudes of Linux machines. We share the critical information about it, as well as mitigation steps.
В очередной раз сравнивая manjaro KDE Plasma 6.2.4 (граф.платформа X11) и ubuntu 24.04 lts, все же маджара приятнее для использования; кастомизация, в том числе, приятная вещь же!
Убунта так не умеет. Чтобы в любой момент полностью поменять цвета-кнопочки-панельки. Ну мало ли, под настроение.
А с драйверами проблема, внезапно, может нарисоваться и на убунте.
Вчера сравнила, как идет игра 0AD там и там. Хотя процессоры все же разновесные, i3 против i7, но вот чисто внешне, хз, вообще разницы особо нет. Одна и та же карта, одни и те же начальные условия. Даже на i3 тормозов не замечено, почему-то 🤷♀️
(Разумеется, кое-какие красивости в настройках игры для i3 пришлось отключить, например, полностью убрала отображение теней на карте).
Был один момент на manjaro, когда редактор карт, например, долго стоял открытый и был оставлен без внимания, внезапно выскочила ошибка, которая подвесила всю систему. Пришлось выходить ctrl+ alt+ del, иначе никак.
Убунта так не умеет. Чтобы в любой момент полностью поменять цвета-кнопочки-панельки. Ну мало ли, под настроение.
А с драйверами проблема, внезапно, может нарисоваться и на убунте.
Вчера сравнила, как идет игра 0AD там и там. Хотя процессоры все же разновесные, i3 против i7, но вот чисто внешне, хз, вообще разницы особо нет. Одна и та же карта, одни и те же начальные условия. Даже на i3 тормозов не замечено, почему-то 🤷♀️
(Разумеется, кое-какие красивости в настройках игры для i3 пришлось отключить, например, полностью убрала отображение теней на карте).
Был один момент на manjaro, когда редактор карт, например, долго стоял открытый и был оставлен без внимания, внезапно выскочила ошибка, которая подвесила всю систему. Пришлось выходить ctrl+ alt+ del, иначе никак.
Forwarded from Не баг, а фича
Нашли ТОП-9 законов программирования! Ими поделился тимлид с 10-летним опытом — настоящая БАЗА, без которой НЕВОЗМОЖНО добиться успеха. Сохраняем:
1) Закон Брукса: посадите трёх кодеров за одну задачу и они не сделают её в три раза быстрее. Больше команда — сложнее координация и планирование;
2) Закон Гудхарта: чем жёстче ваши KPI и метрики для измерения эффективности, тем сильнее они отвлекают от выполнения задач. НИ В КОЕМ случае не забивайте на задачи и не переключайтесь ТОЛЬКО на KPI;
3) Закон Хайрама: чем больше у API пользователей, тем сильнее они полагаются на незадокументированные особенности, превращая их в «обязательные» функции. Так любые изменения становятся сложными, ведь «привычное» сломать легче всего;
4) Закон Конвея: структура программ часто повторяет организационную структуру команды, которая её создала. Если следовать границам в команде, то софт не будет оптимизированным;
5) Закон Линуса — база опенсора: чем больше людей-энтузиастов проверяют код, тем больше шансов найти ошибку;
6) Закон Хофтшадтера: дедлайн всегда нужно ставить с запасом. Мы часто занижаем время, необходимое для выполнения задачи;
7) Закон Кернигана: код всегда должен быть простым и понятным. Сложный код ВСЕГДА становится неподъёмным в отладке и сопровождении — это вопрос времени;
8) Закон Питера: софт- и хард-скиллы — разные навыки. Топовый кодер не обязательно обладает способностями к управлению людьми, руководству или выполнению стратегических требований лидерства;
9) Закон Парето: усилия должны быть избирательными. Чтобы 20% усилий приносили 80% результатов, сначала нужно понять, куда прикладывать эти усилия. Качество всегда перевешивает количество, а результат важнее затраченного на задачу времени.
🙂 Не баг, а фича
1) Закон Брукса: посадите трёх кодеров за одну задачу и они не сделают её в три раза быстрее. Больше команда — сложнее координация и планирование;
2) Закон Гудхарта: чем жёстче ваши KPI и метрики для измерения эффективности, тем сильнее они отвлекают от выполнения задач. НИ В КОЕМ случае не забивайте на задачи и не переключайтесь ТОЛЬКО на KPI;
3) Закон Хайрама: чем больше у API пользователей, тем сильнее они полагаются на незадокументированные особенности, превращая их в «обязательные» функции. Так любые изменения становятся сложными, ведь «привычное» сломать легче всего;
4) Закон Конвея: структура программ часто повторяет организационную структуру команды, которая её создала. Если следовать границам в команде, то софт не будет оптимизированным;
5) Закон Линуса — база опенсора: чем больше людей-энтузиастов проверяют код, тем больше шансов найти ошибку;
6) Закон Хофтшадтера: дедлайн всегда нужно ставить с запасом. Мы часто занижаем время, необходимое для выполнения задачи;
7) Закон Кернигана: код всегда должен быть простым и понятным. Сложный код ВСЕГДА становится неподъёмным в отладке и сопровождении — это вопрос времени;
8) Закон Питера: софт- и хард-скиллы — разные навыки. Топовый кодер не обязательно обладает способностями к управлению людьми, руководству или выполнению стратегических требований лидерства;
9) Закон Парето: усилия должны быть избирательными. Чтобы 20% усилий приносили 80% результатов, сначала нужно понять, куда прикладывать эти усилия. Качество всегда перевешивает количество, а результат важнее затраченного на задачу времени.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Не баг, а фича
Шок: игровые кресла — СКАМ в 100% случаев убивающий вашу спину! Обыкновенный ютубер провёл МЕГАИССЛЕДОВАНИЕ и рассказал, что любители игровой мебели уже 18 лет находятся в рабстве у лжи и маркетинга.
Важное:
• Проблема почти всех игровых кресел — отсутствие эргономики, ведь их делали по подобию гоночных кресел;
• Компания DXRacer, делавшая кресла для авто, не смогла в гонки и решила впаривать дешёвые копии кресел от болидов… геймерам! Это сработало: форма стала безумно популярной;
• Несмотря на популярность, кресла были и остаются неудобными для обычного чела, сидящего за компом;
• Причина — гоночное сиденье должно сохранить тело в НЕПОДВИЖНОМ состоянии, запирая гонщика в «ковше». Поэтому шея у геймера болтается в воздухе, голова опущена вперед, зад не зафиксирован, спина тонет в «ковше», образуя горб, а подушки и боковые крылья мешают выпрямить позвоночник и расправить плечи;
• Геймер не в состоянии сохранить нейтральную позу, ИДЕАЛЬНУЮ для работы за компом;
• Мягкость кресла проблему не решает — тело рано или поздно начнёт ныть, а регулировок нет даже в дорогих моделях;
• Материалы у игровых кресел недышащие — привет тотальные проблемы с кожей;
• Игровые кресла также зачастую выглядят глупо: яркий дизайн не вписывается в интерьер, а «гоночные» элементы не несут никакого смысла.
А теперь ВНИМАНИЕ: решение есть и оно КРАЙНЕ простое! Надо просто обратить внимание не на геймерские кресла, а на хорошие офисные, вроде Duorest Alpha и Harachair. У них есть регулировка поддержки спины и шеи, дышащая сеточка, а также понимание анатомии работающего за компом человека.
Проверить своё кресло ЛЕГКО — встаньте, расправьте плечи, выпрямите шею, направьте взгляд четко вперед, а потом сядьте на кресло. Если оно не смогло сохранить такое положение тела, то ему место на помойке.
Подробности смотрим тут.
🙂 Не баг, а фича
Важное:
• Проблема почти всех игровых кресел — отсутствие эргономики, ведь их делали по подобию гоночных кресел;
• Компания DXRacer, делавшая кресла для авто, не смогла в гонки и решила впаривать дешёвые копии кресел от болидов… геймерам! Это сработало: форма стала безумно популярной;
• Несмотря на популярность, кресла были и остаются неудобными для обычного чела, сидящего за компом;
• Причина — гоночное сиденье должно сохранить тело в НЕПОДВИЖНОМ состоянии, запирая гонщика в «ковше». Поэтому шея у геймера болтается в воздухе, голова опущена вперед, зад не зафиксирован, спина тонет в «ковше», образуя горб, а подушки и боковые крылья мешают выпрямить позвоночник и расправить плечи;
• Геймер не в состоянии сохранить нейтральную позу, ИДЕАЛЬНУЮ для работы за компом;
• Мягкость кресла проблему не решает — тело рано или поздно начнёт ныть, а регулировок нет даже в дорогих моделях;
• Материалы у игровых кресел недышащие — привет тотальные проблемы с кожей;
• Игровые кресла также зачастую выглядят глупо: яркий дизайн не вписывается в интерьер, а «гоночные» элементы не несут никакого смысла.
А теперь ВНИМАНИЕ: решение есть и оно КРАЙНЕ простое! Надо просто обратить внимание не на геймерские кресла, а на хорошие офисные, вроде Duorest Alpha и Harachair. У них есть регулировка поддержки спины и шеи, дышащая сеточка, а также понимание анатомии работающего за компом человека.
Проверить своё кресло ЛЕГКО — встаньте, расправьте плечи, выпрямите шею, направьте взгляд четко вперед, а потом сядьте на кресло. Если оно не смогло сохранить такое положение тела, то ему место на помойке.
Подробности смотрим тут.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎄❄️ Чем я занимаюсь в новый год? Побеждаю прозрачность окон Manjaro KDE!
Даже скрипт какой-то нашла, полностью бесполезный.
Все то же самое, оказывается, легко делается через внутренний параметр окна приложения! И совершенно безопасно, если внимательно читать настройки.
Однако, осталась проблема размытия, которую, видимо, просто не тянет видеокарта 🤷♀️
Даже скрипт какой-то нашла, полностью бесполезный.
Все то же самое, оказывается, легко делается через внутренний параметр окна приложения! И совершенно безопасно, если внимательно читать настройки.
Однако, осталась проблема размытия, которую, видимо, просто не тянет видеокарта 🤷♀️
🌚1
Forwarded from Gray
хех) положить точное время в ру сегменте.. это нужно суметь)
Forwarded from Antifilter Download News
https://habr.com/ru/articles/860828/
Коллеги, кто может - призываю участвовать. Надо спасать ситуацию.
Коллеги, кто может - призываю участвовать. Надо спасать ситуацию.
Хабр
Катастрофа в российской зоне проекта NTPPool.org
Привет, Хабр! Своим первым постом на площадке я хочу привлечь внимание к катастрофе, сложившейся на данный момент в RU-зоне проекта NTPPool.org . Я думаю, что проект в представлении не нуждается, тем...
сделала себе тему оформления для телеги
https://t.me/addtheme/Orchid_Serifa
https://t.me/addtheme/Orchid_Serifa
Telegram
Powerful Orchid