15785
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите поговорить? https://t.me/linkmeup_chat № 8400531337 Хотите с нами поговорить? @LoxmatiyMamont
Страшные вещи творятся вокруг – великий и ужасный китайский фаервол слегонца потёк по памяти из-за переполнения буфера и приоткрыл свою внутрянку.
Кстати, виноват во всём оказался, как обычно, DNS. Подсистема, отвечающая за инжект правильных DNS-ответов в неправильные DNS-запросы, местами лажала и выкидывала 125 байт собственной памяти в отправляемые поддельные ответы.
И вот через эти несчастные 125 байт и три года исследований ловкие парни смогли натащить интересной инфы касательно внутренней структуры ВКФ.
https://gfw.report/publications/ndss25/data/paper/wallbleed.pdf
Хватит уже со щенячьим восторгом во взгляде смотреть на умеющих в SED.
Прочитай хоть этот мануал и пусть уже завидуют тебе.
https://www.cyberciti.biz/faq/linux-sed-command-tutorial-for-text-editing-with-syntax-examples/
Чисто фановый проект, но какой же лютый кайф: бесхитростная система передачи данных звуками. Присваиваем каждому символу свою частоту и получаем натуральный киберпанк. Главное – подобрать шаг частоты, исходя из желаемой скорости передачи данных. Тут автор остановил свой выбор на 100Гц.
https://github.com/solst-ice/chirp
Чтобы вникнуть, а как эта магия работает, надо совсем немножко понимать преобразование Фурье.
https://lcamtuf.substack.com/p/not-so-fast-mr-fourier
P.S. И не надо душнить, что гугл это показал десять лет назад, всякие колонки с алисами тоже так настраиваются, и так далее в ту степь. Здесь просто красивая обертка.
Если у самурая есть dig, ему никакой DNSSEC не страшен! Тулза одна, а вытащить можно практически всё, чего душе для спокойствия не хватает.
Очень качественный разбор с массой примеров, после которых шаманская магия DNSSEC кажется уже и не такой страшной. Хотя для справедливости надо отметить, что мозг поломать в процессе чтения придётся изрядно.
https://dxdt.ru/2025/03/02/15097/
Хороший доклад про ИБ - это не только нудота теории, но и увлекательные истории из практики, когда оказалось, что теорию надо было всё же послушать. Игорь Тюкачёв рассказывал именно об этом на линкмитапе в Алматы.
https://youtu.be/WY3InIgoLak
https://rutube.ru/video/cde42b01405cdba4eea0d7486a96692c/
В мире сорокотысячника это называется Стандартные Шаблонные Конструкции. А в нашем скучном это концепт автономного 3D принтера, который сначала всё напечатал, включая инструменты для сборки, а потом сам собрал законченное изделие.
Особенно мне понравилась колонна для смены инструмента.
13 марта, 11:00
Как увеличить производительность облачных баз данных в 10 раз?
Selectel проведет вебинар для DBA- и DevOps-инженеров, системных администраторов и руководителей IT-проектов, где покажут, как одновременно в 10 раз увеличить производительность баз данных и сократить расходы на инфраструктуру до 47%.
На практических кейсах и расчетах
— Расскажут про подбор железа и оптимизацию ОС для максимальной производительности облачных баз данных и
— Поделятся сравнением производительности баз данных на выделенном облачном сервере с аналогичными сервисами.
Мероприятие бесплатное. Посмотреть программу вебинара и зарегистрироваться можно по ссылке: https://slc.tl/4sx4l
Чтобы не пропустить вебинар и узнавать о митапах, воркшопах и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО «Селектел», ИНН 7810962785, ERID: 2VtzqxNZDsL
Рассказали мне тут волшебную историю годичной давности про гитлаб и о том, как заработать 35к долларов на чужой глупости.
Собственно, вся история в том, что исследователь заметил уморительную штуку: если в запрос на смену пароля приписать свой емейл, услужливый гитлаб отправит ссылку на форму для сброса и владельцу аккаунта, и тебе. Он мальчик не жадный, ему не сложно лишнее письмо пульнуть.
То есть, переводим на простой: чтобы угнать чужой аккаунт, достаточно было знать почту владельца.
GL в первый момент выдали тысячу денег, но потом признали, что критикал 10 из 10 и выдали полноценные 35к.
Так что, юзернейм, когда тебе на почту начинают валом идти письма о попытке сброса пароля, это ж-ж-ж-ж неспроста.
https://hackerone.com/reports/2293343
Думаю, настало время объявить ещё один доклад из ИБ-трека - Сетевой харденинг. Подходы и инструменты от Евгения Олькова.
Надо уже разобраться почему сетевой харденинг эффективней, чем хостовый, годен ли NGFW для использования в качестве ядра сети и как формировать актуальные политики доступа.
Чтобы услышать лично и задать вопросы, билеты покупать здесь. На дворе уже март, так что времени на раздумья всё меньше и меньше.
В моей практике FreeDOS - это лучшее, что было придумано в этом мире для проверки всякого связанного с виртуальными машинами. Размером со средний мемас в телеге, грузится почти моментально, а если вдруг совсем уж приспичило, то даже можно файлики подвигать и дум запустить. Идеальная лабораторная мышь для опытов с гипервизорами.
А теперь внимание, вопрос - у неё есть какой-то более осмысленный практический смысл? Запуск игр молодости твоего бати в расчёт не берём. Это слишком просто.
https://www.tecmint.com/install-freedos-on-linux/
А вот вам интересный вопрос из мира физики: если металлический провод чисто технически способен передавать терагерцовые колебания, то почему DSL – это десятки мегабит, а CAT6 – это десятки гигабит? Где всё остальное?
Это вот такая подводочка к работам, где нам обещают светлое будущее.
Тут терабиты по DSL.
https://ieeexplore.ieee.org/document/8539030
Здесь в CAT6 страшные вещи уминать предлагают.
https://pubs.aip.org/aip/jap/article/137/7/073301/3336621/Estimation-of-channel-capacity-in-CAT6-cable-with
А тут утверждают, что это всё не такая уж и фантастика.
https://www.ijeetc.com/show-240-1797-1.html
И так далее. Так что рано ещё про медь забывать. Зря, что ли, который десяток лет проводами планету обвязываем.
Тут могло бы быть очередное вздыхание о качестве старых обучающих фильмов, но будет просто совет потратить 19 минут своей жизни, если хочется понять, в каком месте у двигателя машины крутящий момент, почему это не мощность и с чего вдруг обладатели дизелей ему так радуются.
https://www.youtube.com/watch?v=BUkXOcthE_U
У нас случился инцидент, но мы быстро всё починили.
Почти как в кубере
Сисадминс #56 в эфире через пять минут
Музыка уже играет
https://www.youtube.com/watch?v=bm1sJff3EWs
https://live.linkmeup.ru
Немножко практической инфы на тему того, как там поживает виндовая версия eBPF. Судя по тестам, жизнь есть, но до прода пока далековато, т.к. бинари они не подписывают.
https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/
Бросайте спорить в чате про DHCP, вот вам действительно хорошая тема для споров этим вечером: виртуалки в кубере.
Сегодня вечером в 18:30 с камрадами из Ænix будем разбираться, зачем, почему и есть ли в этом смысл.
https://linkmeup.ru/blog/2760/
https://youtube.com/live/bm1sJff3EWs
Камрад, в эту пятницу будь особенно острожен и помни, что только высокоточная метрология спасёт тебя от большинства бед этого мира.
Читать полностью…
Линкмитап без Ромы Козлова и доклада про MikroTik – это ненаучно! Поэтому, конечно же, будут вам и Рома, и микротик, и доклад Ромы про микротики, и что тут ещё говорить-то?
Кстати, увидеть Рому вживую даже мы знаем ровно три способа:
- Быть фанатом бега по лесам в любую погоду;
- Записаться к Роме на курсы;
- Ну и самый простой – купить билет на линкмитап 14 мая ;)
Очень медитативный канал, где товарищ просто чинит старые машины без болтовни и музыки на фоне. Только клацанье железа и шум автострады неподалёку. Отдельно доставляет, что это не тот случай, где восстанавливают все агрегаты до заводского состояния, обмазавшись литрами разной химии. Тут всё приземлённо: если завелось и поехало – уже победа.
Когда нужно, чтобы просто гудел фоновый шум над ухом – почти идеальный выбор.
https://www.youtube.com/watch?v=dtGEOPv6A2s
P.S. Но если уж смотреть, то кадр он выставлять мастер.
Очень
Большая
Статья
о том, почему разработать новый реактивный двигатель – крайне сложная задача, трудозатраты на которую исчисляются миллионами мифических человеко-часов, почему без нескольких миллиардов долларов даже не стоит начинать, а разработка с нуля больше похоже на аферу, поэтому проще бесконечно дорабатывать старые модели.
https://www.construction-physics.com/p/why-its-so-hard-to-build-a-jet-engine
P.S. Ну и раз последние дни в чате пытаются отрицать повсеместный след военных в подобных областях, ловите новый факт – большая часть реактивных двигателей на гражданских самолётах изначально разрабатывалась для военных целей, а потом просто адаптировалась под гражданскую авиацию.
А вы видели доклады от девопсов, где нет ни слова про контейнеры, пайплайны и деплои? Если нет, то вот вам: Владимир Мостовой, DevOps-инженер из Флант, в свободное от работы время очень любит проводить время на природе и готовиться к зомби-апокалипсису. Поэтому решил собственными силами собрать портативную солнечную электростанцию с приятным бюджетом, о чём и расскажет в форме доклада. Всё, что мы любим: немного орочьих технологий, mad skills схемотехника, запчасти с авито и полное удовлетворение от проделанной работы.
Настоящие инженеры собираются только на линкмитапе, а остальные даже не знают, чем занимаются. Кстати, первая десятка докладов раскрыта. Что скажете?
Сегодня были на конференции K2 Cloud Conf.
Из технических докладов особое место заняли SPDK(DPDK в мире storage) и нереплицируемые диски, схемы подключений клиетов в облако K2cloud и, конечно, доклад о netbox.
Сетевикам точно было место на конференции, даже пара отсылок к MikroTik нашлись. Про Аннушку так же говорили со сцены, что не может не радовать)
У ребят получилось круто, так что, если вдруг, увидите ещё мероприятия от них — обязательно сходите. Следить можно в их канале: @k2cloudlive
Доклад, посвящённый обзору современных методов борьбы с DDoS-атаками. Если кратко, то ML во все поля правит балом, но старые практики тоже никто не отменял.
https://www.youtube.com/watch?v=LWZ8MW6DyHU
Так, ну это, конечно, не нетфликс с их заоблачной цифрой в 800 Гбит/с, но как минимум, стоит ознакомиться из-за шикарной глубины повествования. Только сразу понимаем, что доклад был на конфе для разработчиков, поэтому тут про треды, буферы и дебаг, а не настройки сетевушек.
https://www.youtube.com/watch?v=L3Wm1TF6cM0
По мотивам этой истории кино надо снимать. А лучше – сериал целый. Классическая атака на цепочку поставки, случившаяся в реальной жизни.
Вполне себе настоящий наркокартель нанял группу ловких парней, чтобы те подломили инфраструктуру порта. Не из хулиганских побуждений, а чтобы нужные коробочки попадали строго куда надо, а куда не надо точно не попадали. И всё это работало само и без особого наблюдения. Там автоматизация процесса такая, что впору на конференциях выступать под кричащим названием и с громкими словами про цифровизацию бизнес-процессов.
Они вели груз от попадания в порт и до вывоза на грузовике. Начиная от компьютеров в контейнерном терминале и заканчивая отправкой нужных документов водителям, стоящим на погрузке. Сейчас это, может, и не звучит как вау, но это случилось больше десяти лет назад, когда у обычных людей такие вещи были в зародыше.
https://www.linkedin.com/posts/dlaskov_technology-cybercrime-cyber-activity-7300599438861860866-vAEg
Ох уж это вечное кунфу "Мы тут свой крайне безопасный протокол изобрели" vs "Да вы запарили свои облака в каждый чайник пихать, отдайте данные локально".
В общем, чувак купил себе солнечных панелей с умным обвесом, но у него пригорело, что производитель требовал регистрации в облаке и рисовал всякие интересные графики только там. А пригорело у него достаточно, чтобы похакать их протокол.
P.S. telnet admin admin. Серьёзно. Шёл 2025 год.
https://smlx.dev/posts/goodwe-sems-protocol-teardown/
Честно скажу, такой метод борьбы с пылью при сносе зданий вижу впервые. Выглядит эффектно, вопросов нет. Пыляку тоже сбивает отлично, хоть и не полностью.
Читать полностью…
До нас дошло. IP - Internet Protocol
Как идея защищённой связи для военных привела к тому, что вы читаете этот текст? Давайте вместе разберёмся, как случайный успех учёных и инженеров сделал интернет частью нашей повседневной жизни — даже если изначально план был совсем другим.
Слушать тут:
- https://linkmeup.ru/podcasts/2761/
- https://youtu.be/OeKOPhRaSXg
- https://vk.com/wall-54456105_5086
Выпуск подготовил Иннокентий Солнцев
Звукорежиссёр: Алексей Попов
И напрашиваемся на обратную связь - расскажите, как вам уже три выпуска нашего подкаста?
Очень длиннопост из двух статей о том, как работает Windows logon process и как создать свой Credential Provider.
И чего только в жизни не пригодится.
https://dennisbabkin.com/blog/?t=primer-on-writing-credential-provider-in-windows
Виктор Шопин – ещё один гость наших подкастов, который приедет с живым выступлением на линкмитап. Зарекомендовавший себя как мастер мультимедийных сетей, где 2.6 гигабита на поток – это не нагрузка, UDP – наше всё, а название большей части протоколов вы даже не слышали, он продолжит свой рассказ про этот увлекательный мир, который неизбежно скоро захлестнёт всех причастных.
Билеты на линкмитап по-прежнему брать здесь. В принципе, там же брать и смотреть всё остальное.
На конференции K2 Cloud Conf уже хорошо знакомый нам Влад Одинцов расскажет, как достучаться до инфраструктуры, развернутой в облаке.
Будет о разном: от банальных внешних IP-адресов до сложных топологий гибридного облака, где помимо встроенных средств сетевой безопасности можно использовать NGFW для инспектирования всего или почти всего трафика.
4-го марта. Москва. Онлайн и офлайн. Бесплатно.
Кнопки для регистрации здесь.