Это некий "ответ" на пост от моего доброго друга Владимира, ведущего канал @leaveitru.

В принципе, все описано правильно, кроме одного (о чем я написал в комментариях). Ситуация вна Украине привела к потере доверия ко всей американской системе потребления контента.

У меня есть несколько знакомых и друзей, которые покупали разнообразный контент - начиная от нетфликсо-лайк подписок, и заканчивая лицензионной виндой и дорогостоящими эмбракадерами (это которая IDE для Delphi пишет). Причем покупали не как стремящиеся сэкономить - 20к за винду профессиональную, а не 400-700р на амазонах и в прочих магазинах ключей, ну и полная стоимость эмбракадеры, и тому подобное. У одного за год на подписки и покупки софта уходило до 1 миллиона рублей.

В апреле прошлого года общался с некоторыми из них, кто не скатился в нетвойнизм и прочую либерастию. Все как один подчеркнули (пусть и разными словами), что их 20 лет приучали к культуре потребления, подпискам, лицензиям, и в один миг все взяли и отобрали. Больше на такое они не поведутся, и будут пользовать либо отечественный аналог, либо аккуратно пиратить, чтобы не словить вирусню.

И продолжая тему "полезности" санкций и вертолетных деняк:

Red Hat начинает сокращение рабочих мест.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59027

Говорят, что это из-за того, что IBM (которая владеет Red Hat уже несколько лет) наняла 7 килочеловеков во время роста экономической активности после пандемии. Но скорее всего большеЕ влияние оказали санкции, так как IBM потеряли довольно большой рынок РФ, как бы кто не пытался упражняться в интерпретации финансовой отчетности или слов "говорящих голов" компании. Рынок потерян -> теряем условные 100 млн. на лицензиях -> сокращаем условные 1000-1500 человек, которые были заняты в поддержке потребностей рынка.

Цифры "наподумать" - IBM объявляла о том, что проведет в несколько этапов сокращение сначала 3900, а потом появилась инфа о 5000 человек. За последние несколько месяцев IBM наняла 7000 человек. Также в интернетах курсируют слухи и иногда всплывают скандалы на тему "выдавливания" тех же инженеров и программистов "в возрасте" (40+ лет), ибо нанять 20-25 летних гораздо дешевле, или вообще индусов, что может частично объяснить сокращение 5000 человек и найм 7000 человек (скорее всего как раз индусов, ибо IBM передала разработку своей ОС AIX в индийское подразделение).

Обнаружен новый способ кражи данных с процессоров Intel.

Источник: https://www.securitylab.ru/news/537789.php

Вместо того, чтобы основываться на системе кеширования, как многие атаки по сторонним каналам, новый вектор атаки использует уязвимость переходного выполнения (Transient execution). Недостаток п зволяет извлекать конфиденциальные данные из пространства пользовательской памяти с помощью анализа тайминга.

Атака работает так же, как уязвимость Meltdown, которая использует спекулятивное исполнение, позволяющее злоумышленнику обходить механизмы изоляции памяти для доступа к конфиденциальной информации, хранящейся в памяти ядра – пароли, ключи шифрования и другие личные данные.

...

Экспериментальные данные показали, что атака достигла 100% извлечения данных (утечки) в Intel i7-6700 и Intel i7-7700, а также в более новом процессоре Intel i9-10980XE, но в отдельных случаях. Эксперимент проводился на Ubuntu 22.04 Jammy Jellyfish с ядром Linux версии 5.15.0.

РЕШЕТО!

Если у вас относительно старые процессоры Intel - готовьтесь включать очередной защитный механизм и/или обновлять микрокод. Про доступность нового микрокода, как и про фиксы в коде основных ОС на рынке, информации пока нет.

Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59033

Первая уязвимость связана с тем, что git некорректно обрабатывает длинные строки в конфигурации, что может привести к выполнению произвольной команды, например, через команду git submodule deinit, так как парсер будет считать часть строки уже новым параметром.

Вторая уязвимость позволяет перезаписывать произвольные файлы за рабочим деревом (читай - не в директории с репозиторием) с помощью подачи специально оформленного патча команде git apply --reject.

Обе уязвимости, как вы понимаете, можно выполнить только локально, однако не стоит их недооценивать, так как они могут быть использованы как один из векторов атаки, и git нужно в любом случае обновить.

Также исправлены 3 уязвимости для виндового клиента, две из них связаны с возможностью подмены нужных исполняемых бинарников, а третья - с переполнением буфера при работе с локализованными строками.

В общем, кто не обновился, тот пончик.

Qualcomm тайно собирает данные со смартфонов пользователей без их согласия.

Источник: https://www.securitylab.ru/news/537814.php

В опасности 30% всех существующих Android-устройств, и банальной слежкой дело не ограничивается.

...

В проведённом специалистами Nitrokey исследовании было проверено несколько смартфонов, очищенных от сервисов Google. Такую процедуру специально проделывают некоторые пользователи Android, чтобы их конфиденциальные данные не собирались всеми любимой «корпорацией добра». 

...

Удивительно, но первое подключение «дегуглированного» телефона, согласно сетевым логам, происходит именно к «google.com». Хост «android.clients.google.com» обслуживает Google Play Store для периодической регистрации устройств, определения местоположения, поиска приложений и многих других функций. Странно, что смартфон без Google Play Store обратился по этому адресу.

Затем устройство подключилось к «connection.ecloud.global», который, согласно /e/OS, заменяет проверку подключения к серверу Google для «androidconnectioncheck.gstatic.com». Это тоже заставляет задуматься, почему анонимная дегуглированная операционная система всё равно подключается к сервисам Google? Может это какое-то глубинное отслеживание, внедрённое в код голого Android?

Однако дальше — интереснее: через две секунды телефон начал обмениваться данными с адресом «izatcloud.net». После тщательного поиска, кому принадлежит это доменное имя, исследователи Nitrokey пришли к выводу, что им владеет Qualcomm. К слову, на чипах Qualcomm сейчас работает порядка 30% вообще всех Android-устройств на планете.

При дальнейшем исследовании специалисты Nitrokey заметили, что пакеты отправляются по протоколу HTTP и не шифруются с использованием HTTPS, SSL или TLS. Это означает, что кто-либо ещё в сети, включая хакеров, правительственные учреждения, сетевых администраторов, операторов связи, местных и иностранных, может легко перехватить эти данные, сохраняя их и создавая историю записей, используя уникальный идентификатор и серийный номер телефона. Qualcomm же отправляет их в своё таинственное облако под названием Izat Cloud.

Передаю привет злочному айтишному чатику, в котором внезапно обнаружился человек, который считает, что всякая информация о его телефоне и местоположении никому неинтересна. Мало того, что интересна, так еще и MITM'ать ее можно легко :)

Продвинутым пользунам рекомендую почитать статью по ссылке и настроить фаервол на своих мобилках или сетевых железках, если у вас трубка с квалкомом.

Тут МегаФон выпустил мультик под названием "Ева: Связь сквозь время". Как раз было 20 минут до очередного созвона, оценил сей контент.

И мне понравилось. Да, есть огрехи в графоне некоторые (но некритичные), есть непонятки с физикой движений некоторые, но местами можно посмеяться, серии описывают современный взгляд на некоторые исторические события с подмешиванием фантазии.

Единственная проблема - из-за скомканности серий, недосказанности сюжета, и уже упомянутой мною проблемы с физикой движений, мультик не более, чем на один просмотр. Но любителям псевдонаучной фантастики должно зайти.

Хороший совет на будущее 😅

Mozilla начала тестирование собственной социальной сети на базе платформы Mastodon.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59079

Что ж, федиверс на слуху, появляются разные софтинки серверного толка, которые позволяют поднять свой сервер и микробложить "like in twitter", только не зависеть от Илонов Масков и прочей централизации.

Звучит хорошо, не правда ли? Я сам в федиверсе в том или ином виде присутствовал с 2012 года, и совсем недавно потушил Friendica. Почему? А вот почему:

- Самохост федиверсального инстанса - штука дорогая. В плане системных ресурсов. Вот, например, Mozilla взяла Mastodon. Проблема в том, что оно написано на рельсах, с кучей нужной обвязки вроде sidekiq, который допчиком может потребовать условный Redis или RabbitMQ. И вот стек раздут настолько, что для нормальной работы для вас одного ему нужно 4 ядра, 4 гигабайта оперативки, и гигов 50-100 на диске. А теперь представьте, что нужно для хотя бы пары тысяч активных пользователей.
- Диск вообще отдельная история - фактически, к вам будут стекаться файлы со всего федиверса. Например, мой мониторинг, пока работала моя friendica, с 50 друзьяшками каждые 20 минут алертил о большой дисковой нагрузке. Просто каждый кронозапуск демона, который ответственен за обмен данными между инстансами в федиверсе этот же демон выкачивал картинки-видосики-прочее и удалял старое (не трогая при этом загруженное мной). В mastodon все точно так же - отдельная асинхронная задача, стартуемая по крону, для очистки от старья, полученного с федиверса.
- Продолжая тему файлов, абсолютно всем реализациям социальных серверов в федиверсе глубоко параллельно любое местное законодательство. То есть если вдруг кто-то запостит ЦП - оно вам на сервер и выкачается, и ладно если у вас дедик с шифрованным диском (как у меня), а если условная VPS, на физическом хосте которой сканируются ваши файлы на предмет запрещенной информации?
- Ну и интерфейсы. Ничего более юзабельного, чем у Friendica, я так и не нашел. Твиттер-лайк интерфейс в Mastodon меня аж бесит, теряешься в столбцах, подавляющее большинство других реализаций красивые, с тенями, но не используют полезное место на экране по максимуму, ибо у всех же травмы шейного отдела и вы не можете ей покрутить, правда? Хотя и у Friendica с этим есть проблемы, но там хотя бы все пошире.

В общем, ждите, вангую закрытие сего эксперимента в недалеком будущем, просто потому что оно сожрет все ресурсы Mozilla :).

Натолкнулся на пост на ЛОРе о том, что в Yandex Cloud появилась фряха. И все бы ничего, вот только стоит она 7200 р. в месяц.

Образ собрал и запостил в маркетплейсе некий Юрий Медведев, предположительно работающий в Дубае на авиакомпанию Emirates.

Юрий, если вы вдруг прочитаете этот пост, то знайте, что такое поведение как минимум странное. А что, если мне ваш саппорт нафиг не сдался? Мне просто нужна виртуалка с фряхой?

В общем, будьте осторожны. Ссылка на сам "продукт".

Тем временем жетбрейнс факапнулись, похоже.

У вас также, скажем, https://youtrack.jetbrains.com/ открывается?

Накатал в своей вики масенькую статью о том, как запускать юниты при выходе из сна или гибернации.

Надеюсь, вам тоже пригодится :)

TL;DR для ленивых:

[Unit]
Description=Sets keyboard RGB backlit.
After=sleep.target hibernate.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/aucc -c white -b 4

[Install]
WantedBy=multi-user.target sleep.target hibernate.target

Поправьте только раздел Service под себя.

В арче вылили обновление AUR'а видимо, теперь вот так:

% yay -Ss python | grep sdl
 -> Ошибка поиска в AUR: 1 error occurred:
        * status 200: Too many package results.

Придется идти на сайт и искать...

Jellyfin, кстати, очень хорош как медиасервер, рекомендую ;)

Власти ЕС в рамках готовящегося 11-го пакета санкций против РФ рассматривают вариант запрета на экспорт некоторых технологий и на использование ею некоторых объектов интеллектуальной собственности.

Source: https://xn--r1a.website/markettwits/240804

Поднять паруса!

Учитывая обстановку в мире, поток ссанкций и внезапных блокировок (привет, ipmitool), а также то, что гитхаб сегодня прилег отдохнуть (😅), многие наверняка задумывались вопросом "а если не github, то где?". Ответ простой - самохост! Любой сервис, который не ваш, может подвергать опасности доступность вашего кода, потому что они могут вас забанить, удалить репозиторий, применить так называемый "софт бан" (например, когда вы заходить и участвовать в других проектах можете, а какой-то ваш репозиторий заблокирован, причем вы об этом даже можете не знать - у вас все будет работать как всегда, а остальные будут видеть, например, DMCAшный страйк).

Конечно, самохост в любом случае удовольствие небесплатное - вы либо арендуете мощности у провайдера в виде виртуалки или дедика (выделенного сервера, физического), либо хостите у себя дома, либо покупаете сервер и ставите его в ДЦ. Выбирайте, вариантов много!

А вот список того, что можно поднять у себя:

- gitea + drone - вот вам сразу и github-like интерфейс, и CI/CD с киллерфичами вроде возможности запуска всего пайплайна локально (что удобно для отладки). Эту связку использую сам. Написано все на Go, работает быстро, кушает мало.
- gogs + drone - в принципе, то же самое, что и предыдущее, gitea - это форк gogs. Но упомянуть стоило.
- onedev - это AIO, и хостинг кода с мерж реквестами, и продвинутый трекер задач, и CI/CD родной имеется, причем с мышетыкательной настройкой всего пайплайна. Но на Java, а следовательно - может кушать ресурсы.
- gitlab - для любителей "потяжелее". Потяжелее - всмысле поедания ресурсов, для публичного инстанса рекомендую выделять 4 ядра, 8 ГБ оперативы. А так - полный аналог github, плюс свои фишечки, вроде интеграции с кубернетесом (правда, очень странной), prometheus/grafana для отображения метрик, всякие SAST/DAST, и прочее, и прочее.

Все вышеозначенные, кстати, могут регистрировать/аутентифицировать пользователей через LDAP, Github, Gitlab.com, Google и еще тонну других провайдеров. Изюминка у gitea/gogs - они могут аутентифицировать пользователей по SMTP логину и паролю (то есть по настоящей почтовой учетке).

В случае, если хочется чего-то новенького и немного странненького - посмотрите на phorge. Это форк Phabricator'а, который был написан в недрах Facebook'a*, поддерживался бывшим разрабом facebook'a*, а когда почти 2 года назад он отказался от поддержки - сообщество его форкнуло. Потихоньку пилят.

Для совсем странненького предлагаю сходить к fossil - там вообще тотальный AIO, включая форумы. Правда, настройка за рамками дефолтного конфига может потребовать немного поломать мозг и пописать шаблончики руками, а то и залезть в БД ручками. Зато настоящая распределенность! И написано на C, то есть ресурсы не жрет от слова "совсем".

А еще класс в том, что все это можно захостить на одноплатнике, лишь бы было 2-4 ГБ оперативки.

* - facebook и материнская компания Meta признаны экстремистскими на территории РФ и запрещены.

Новая уязвимость NetFilter позволяет локальным злоумышленникам повышать свои привилегии на целевых Linux-устройствах.

Источник: https://www.securitylab.ru/news/538066.php

Настало время обновлять Linux, Linux сам не обновится, обнови его еще раз! Ты должен делать rpm upgrade/apt update && apt upgrade семь раз на дню!

Но вообще использование этой уязвимости требует наличия локальной учетки, в которую можно войти, например, по SSH, поэтому в качестве рекомендации выдам вам поход в /etc/ssh/sshd_config для включения авторизации только по ключам, а также в /etc/shadow для поиска левых учеток и деактивации ненужных.

В KDE Plasma 6 будут включены по умолчанию Wayland и плавающая панель.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59120

Основные нововведения, которые затронут практически всех пользователей:

- Переход на Wayland по-умолчанию. Пользователи nvidia напряглись, ибо у них все не слава б-гу, начиная с EGLStreams, заканчивая странными проблемами в Wayland (причем не только из-за EGLStreams). Однако пользователям ноутбуков с дискреткой nvidia бояться особо нечего, если используют intel/amd для рендера, встроенные в CPU.
- Настройки по-умолчанию для панели задач с треем и часиками будут изменены. По умолчанию будет задействован плавающий режим показа панели, при котором имеются видимые отступы между панелью и границами экрана, придающие пользовательскому окружению самобытный вид. После появления в Windows 11 панели, похожей на старую панель KDE, некоторые пользователи считают, что KDE копирует оформление Windows, хотя в KDE подобная панель была предложена задолго до Windows 11.
- Для открытия файлов и каталогов по умолчанию будет требоваться двойной щелчок мышью, а не одинарный как было раньше.
- Будет изменён интерфейс переключения между задачами на "Thumbnail Grid". Ура! Теперь не придется скроллить переключатель окон, когда у тебя открыто всего-то 4+ окон.

KDE 6 ожидается осенью 2023 года.

Российский разработчик RISC-V решений CloudBEAR увеличил годовую прибыль в 15 раз.

Источник: https://servernews.ru/1086673/

Генеральный директор Cloudbear сообщил изданию, что в 2022 году компания смогла закрыть несколько крупных сделок по лицензированию своих продуктов. Вероятно, интерес к отечественным решениям на основе RISC-V также увеличился на фоне сложившейся геополитической обстановки, спровоцировавшей уход из РФ крупных зарубежных поставщиков чипов.

Приятно видеть, что RISC-V начинает набирать популярность и обороты. Ждем отечественных массовых процессоров на этой архитектуре?

Red Hat уволила программного менеджера Fedora в рамках сокращения штата.

Источник: https://servernews.ru/1086702/

В обязанности Коттона входила координация действий участников сообщества Fedora и заинтересованных сторон, включая Red Hat и поставщиков оборудования, управление выборами в сообществе Fedora и т.д. Коттон был в числе тех, кто реализовал программу CentOS Stream. «Хотя я больше не буду вносить свой вклад в качестве программного менеджера Fedora, я был участником Fedora задолго до того, как присоединился к Red Hat, и я не позволю им отнять это у меня. Я по-прежнему буду находиться рядом с Fedora »,— пообещал Коттон в своём блоге.

За одну реализацию CentOS Stream тебя бы стоило как минимум публично обругать и демонстративно больше никуда не принимать на работу. Это было эпичнейшее деструктивное действие.

Хотя стоит отметить, что IBM (которой принадлежит Red Hat и, следовательно, CentOS) уже несколько лет находится посередине то затухающего, то снова набирающего обороты скандала по поводу сокращения пожилых сотрудников и сотрудников, отработавших много лет в компании. Так, в конце 2021 кода IBM выделило в отдельную компанию бизнес "IBM Global Technology Services", назвалась Kyndryl, однако словила очередной иск на тему увольнения пожилого сотрудника, который отработал много лет в этой компании. С одной стороны, конечно, обновлять штат компании на более молодое и незашоренное поколение - это хорошо, с другой стороны, делать это надо вменяемо, а не как эффективные менеджеры. Договариваться, в общем.

Arch переформатирует структуру репозиториев, но коснется это по большей части только пользователей staging.

Источник: https://archlinux.org/news/git-migration-announcement/ (да-да, подписывайтесь на новости дистрибутива, который используете!)

Фактически, community объединится с extra, и первый будет пустым. В конечном счете, предполагаю, community из pacman.conf надо будет удалить. То есть обычным пользователям особо ничего делать не надо.

А вот тем, кто пользует staging, нужно будет ручное вмешательство, ибо он разбивается на core-staging и extra-staging.

А начнется эта вакханалия в пятницу утром, 19 мая.