Простым русским языком СО СМЕШНЫМИ КАРТИНКАМИ!!! про шифрование

End-to-end Шифрование Как мы перестали доверять облакам и научились шифровать

🔒Cloudflare опубликовал подробный разбор ситуации с доступом к интернету через свои сервисы в России

Оригинал статьи: https://blog.cloudflare.com/russian-internet-users-are-unable-to-access-the-open-internet/

С 9 июня российские провайдеры начали ограничивать доступ к сайтам, защищённым Cloudflare. Вместо полной блокировки используется “троттлинг”: после загрузки первых 16 КБ данных соединение обрывается. Это затрагивает большинство современных сайтов — они становятся недоступны или загружаются некорректно.
Ограничения касаются всех основных протоколов (HTTP/1.1, HTTP/2, HTTP/3, TLS) и применяются у крупнейших операторов связи. Трафик из России на сервисы Cloudflare снизился примерно вдвое, а аналогичные меры затронули и другие зарубежные хостинги.

Cloudflare отмечает, что не получал официальных уведомлений от российских властей и не может восстановить доступ на своей стороне. Компания связывает происходящее с курсом на цифровой суверенитет и рекомендует владельцам сайтов обращаться к российским организациям для решения вопроса.

Таким образом, реализован новый-старый способ ограничения доступа к зарубежным сервисам — не через прямую блокировку, а через технические ограничения скорости передачи данных.

@showconfig #cloudflare #tcp #trottling #internet

Не далее как на прошлой неделе в рамках дискуссии на ПМЭФ, посвященной искусственному интеллекту и его регулированию, заместитель Председателя Правительства РФ Дмитрий Григоренко задавался вопросом стоит ли включать регуляторную машину на полную катушку, когда не до конца ясно, как его регулировать. С ним согласился Герман Греф, который привел в пример блокчейн, который зарегулировали до того, как он вообще окреп, и тем самым регулированием поставили на нем крест. И вот, кто-то обнаружил, что «Шедеврум» генерирует неправильные картинки. Немедленно возник вопрос: почему. И на него есть ответ.

Дело в том, что генеративные нейросети рисуют картинки на основе тех картинок, которые были доступны для обучения, в первую очередь, на общедоступных. Никакого – ни злого, ни доброго – умысла у нейросети нет, что ей было доступно, на том и обучилась. Почему-то не возникло вопросов к тому, что получить качественные фотографии от Роскосмоса сегодня не так-то и легко. Не возникло и вопросов к распространившимся юридическим фирмам, которые подают по сотне исков о защите авторского права на изображения, которые годами кочевали по Рунету. На чем тогда обучать нейросети? Как ему объяснить, как выглядит космонавт, если в открытом доступе и без последствий в виде миллионного иска есть фотографии только вражеских космонавтов?

Конечно, можно угрожать разработчикам той или иной сети уголовным преследованием, но это создает опасный прецедент, когда за результаты работы инструмента, будь то генеративная нейросеть или что-то еще, к ответственности хотят привлечь того, кто этот инструмент создал. Григоренко, Греф и остальные участники той дискуссии на ПМЭФ сошлись в одном: проблемы надо решать по мере поступления. Тем более решить их не так уж и сложно.

Например, оцифровывать уже имеющиеся данные и открывать к ним беспрепятственный доступ для того, чтобы нейросети лучше понимали культурный контекст. В архивах Роскосмоса и Музея космонавтики собрано огромное количество уникальных изображений и видео, так может заняться оцифровкой и созданием открытых, доступных всем изображений. Чтобы не только нейросеть могла обучиться, но и пользователи могли получить возможность не генерировать изображение космонавта, а выбрать из имеющихся. Тем более у нас их больше всех в мире.

Мягкая сила – это повсеместная и общедоступная информация, включая и видео, и изображения. И не вина «Шедеврума» или какой-то другой российской нейросети, что для обучения доступно так мало информации. У того же «Яндекса» уже накопился опыт работы с оцифровкой уникальных архивов, благодаря чему тысячи россиян нашли свои корни, а поклонники спорта смогли полистать газеты из прошлого. Может, лучше не критиковать, а созидать? Там и настоящий русский ИИ появится.

🛰 Звездная связь

Пользователям Starlink в Иране пригрозили ударами плетью и сроками!
https://www.rbc.ru/politics/30/06/2025/686229609a79472c481aea62

В Иране действуют около 20 тысяч купленных на черном рынке терминалов Starlink, которые помогают пользователям обходить цензуру.

Как устроен и как регулируется спутниковый интернет?
В одном из выпуском "Запуск завтра" на пальцах рассказывают как работает спутниковый интернет и почему Starlink не очень просто заглушить или заблокировать:
https://music.yandex.ru/album/9294155/track/136144549

🚀Алиса и самая мощная модель Яндекса - YandexGPT 5 Pro

Как говорится в новости https://xn--r1a.website/alice_yndx/1537, Яндекс представила обновление приложения с ассистентом Алиса — принципиально новый уровень голосового помощника на базе продвинутого ИИ.

Ключевое:
- Собственный ИИ-движок: В основе — собственная LLM (YaFS), способная к сложным рассуждениям, анализу контекста и решению нетривиальных задач (не забудьте переключить тогл в настройках для "Рассуждений").
- Голосовой интерфейс: Понимает сложные многошаговые запросы, ведет осмысленный диалог, запоминает контекст разговора.
- Бесплатное использование: Пока работает без подписки (это только пока).
- Доступность: Приложение уже в App Store (скоро и на Android), и десктоп тоже есть - через браузер.

Что огорчило 🤔

Для инженерной деятельности использовать скорее всего не получится, либо совсем чуть-чуть. Я провел быстрое сравнение из нескольких вопросов:

1) На какой архитектуре ты основана и какие уникальные технологии или подходы используются?
2) Можешь рассказать техническим языком, какой стек технологий при этом используется?
3) Как проверить, что это правда и ничего лишнего не добавила?
4) С учетом комментария выше, напиши итоговый стек технологий?
5) Предоставь ссылку на документацию с техническим описанием

И как ответили на эти вопросы Алиса, Qwen и DeepSeek (тоже бесплатные, кстати):
- Алиса https://disk.yandex.ru/d/l7G3CZrIGQNSSw
- DeepSeek https://disk.yandex.ru/i/HLYkdyuU__c6TQ
- Qwen https://disk.yandex.ru/i/IK6L8b-TCwRx-g

Еще задавал вопросы по организации кластера NoSQL базы данных Cassandra. Хороший ответ получился у Qwen, с примерами конфигурации и объяснением. Алиса провалила задание, а DeepSeek добавил много лишнего и некоторые выдуманные пункты.

Без хейта ❤️

P. S. У Алисы без сомнения самый крутой голосовой интерфейс взаимодействия. Все напоминания о встречах и других важных делах, я менеджерю через Алису голосом.

@showconfig #Яндекс #ИИ #AI #Yandex #DeepSeek #LLM

🐞VK запустила программу Bug Bounty для поиска уязвимостей в мессенджере Max. Эта программа доступна на всех платформах, где размещена общая программа VK Bug Bounty, включая BugBounty.ru, Standoff 365 и BI.ZONE Bug Bounty. Программа позволяет исследователям безопасности выявлять уязвимости в сервисах VK, включая мессенджер Max, и получать вознаграждения, размер которых зависит от критичности найденных проблем (к размеру выплате есть вопросы, но...).

- https://bugbounty.bi.zone/companies/max/main
- https://bugbounty.standoff365.com/programs/max

@showcofig #bugbounty #infosec #max #tamtam

🙈 Как я встретил вашу маму или thecheapskatemom.com

Я использую на своем ноуте LuLu, это аналог Little Snitch, только некрасивый. С помощью LuLu можно отслеживать какое приложение куда проситься в "мир". И ты можешь разрешать или запрещать прогулку в Интернет. Иногда это доставляет сложности и неудобства, но оно стоит того.

Я решил, что давно не открывал Network Monitor и хочу посмотреть, что нет "лишних" исходящих сетевых соединений. Но они были. Я смотрю на процесс клиента Mattermost и вижу, что есть попытки коннекта до адреса nice.thecheapskatemom.com. Так как домен оканчивается на mom, то ничего хорошего быть там точно не может.

Открыв две вкладки в браузере – Google и Shodan – смотрю, быть может я одна из жертв какого-нибудь ботнета. Google про этот домен ничего особо не знает и никакой около инфосек темы не затрагивает. Shodan тоже предательски молчит. Иду дальше и делают nslookup nice.thecheapskatemom.com, чтобы вычислить по IP и набить ебало лицо. Получаю IP-адрес и вижу, что он мне почему-то кажется знакомым, но снова иду в Shodan и делаю поиск по этому IP-адресу, потому что моя память, точной картины мира откуда мне знаком этот адрес, не дала.

Shodan мне показывает хостнейм, где фигурирует мой домен, и тут мне стало ясно, что ранее это был тестовый стенд для Mattemost. А в клиенте я просто забыл удалить настройки подключения для тестового стенда, хотя там указаны параметры подключения для моего домена, отличные от тех, что показывает Network Monitor. Да, по мониторингу было видно, что никаких данных на этот хост не передает, но было неприятно.

P.S. LuLu можно скачать тут https://github.com/objective-see/LuLu

@showconfig #LuLu #infosec #LittleSnitch #Shodan #macOS

🚨 В Chrome исправили очередную 0-day уязвимость

Google выпустила экстренные патчи для устранения уязвимости CVE-2025-6554, которую уже активно используют хакеры. Это ошибка типа type confusion в JavaScript-движке V8, которая позволяет злоумышленникам через специально созданную веб-страницу выполнять произвольный код на устройстве жертвы.

Эта уязвимость активно используется в реальных атаках, в том числе, предположительно, государственными или продвинутыми хакерскими группами, что подтверждается участием команды Google Threat Analysis Group (TAG) в её обнаружении. Эксплойт существует и применяется злоумышленниками, что делает обновление браузера критически важным для безопасности.

Это уже четвертая 0-day в Chrome за 2025 год.

https://xakep.ru/2025/07/02/cve-2025-6554/
https://habr.com/ru/companies/tomhunter/articles/922678/

@showconfig #google #chrome #0day #CVE

🕵️‍♂️ Сканирование Oops Commits на GitHub в поисках утёкших секретов — разбор кейса

🔍 Кратко:

- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.

⚡️ Что интересного:

- Удалить коммит на GitHub невозможно:
Даже после force push коммиты остаются доступны по хэшу — их можно найти и восстановить.

- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.

- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов: .env, application.properties, docker-compose.yml, main.py.

- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.

- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.

🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner

Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!

Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets

@showconfig #безопасность #github #secrets #tokens #devops #trufflehog

🥇Получите сертификат от Минцифры

Госуслуги предлагают пройти тестирования по различным направлениям айти и подтвердить свою ИТ-компетенцию на деле, путем получения электронного сертификата прям в Личный кабинет на Госуслугах и отображением его на hh.ru

Можно пройти тестирование по таким ИТ-компетенциям, как:

С#, Git, HTML, Java, JavaScript, PostgreSQL, Python, SQL, ООП, функциональное тестирование, алгоритмы и структуры данных, API, CSS, PHP и Docker. Перечень постоянно расширяется.

🧠 Подтвердить свои ИТ-компетенции:
https://www.gosuslugi.ru/itskills

Законодательная база:
• https://ivo.garant.ru/#/document/411477805/paragraph/1:0
• https://digital.gov.ru/documents/prikaz-minczifry-rossii-%E2%84%96-505-ob-utverzhdenii-metodicheskih-rekomendaczij-po-voprosam-organizaczii-proczedury-podtverzhdeniya-it-kompetenczij-v-ramkah-provedeniya-eksperimenta-po-predost

@showconfig #Госуслуги #БесплатноеОбучение #ИТ #Git #Docker #SQL

🛠 Тулинг для специалистов по реагированию на инциденты

Kanvas - это open-source инструмент управления расследованиями кибербезопасности от компании WithSecure Labs, который предоставляет гибкий подход к работе с инцидентами безопасности. Написан на Python, предоставляет рабочее пространство для исследователей, работающих с SOD (Spreadsheet of Doom) или аналогичными таблицами.

🎯 Основные возможности

- Управление расследованиями
Построен на базе SOD

- Визуализация данных
Визуализация цепочки атак для анализа латерального движения
Временная шкала инцидентов в хронологическом порядке

- Маппинг фреймворков безопасности
Актуальные тактики и техники MITRE ATT&CK
Интерфейс для отчетности VERIS
Информация о CVE и уязвимостях

- Разведка угроз
Анализ доменов/URL с данными WHOIS и DNS
Проверка репутации IP-адресов, геолокация, открытые порты

- Управление знаниями
Справочник Windows Event ID
Справочник Entra ID AppIDs

🔗 Откуда брать:
Репозиторий: https://github.com/WithSecureLabs/Kanvas
Лицензия: GPL-3.0
Требования: Python 3, виртуальная среда, API-ключи для внешних сервисов (VirusTotal, Shodan)
Последняя версия: 0.4.3
Дополнительная информация: findevil.io/Kanvas-page/

@showconfig #infosec #безопаснось #opensource #Python #SOC

💬 Мессенджер через Bluetooth Mesh

bitchat — мессенджер, работающий через Bluetooth mesh-сети, без интернета, серверов и даже номеров телефонов. Это инструмент для общения в условиях отсутствия связи (Привет, Воронеж и Санкт-Петербур!)

Что может:
- Децентрализованная mesh-сеть
- Сквозное шифрование
- IRC-стиль (Олды тут?)
- Групповые комнаты

И, да, это для яблочников.

Репозиторий на Github: https://github.com/jackjackbits/bitchat
@shoconfig #iOS #IRC #bluetooth #LTE #bye-bye-LTE

💸 Meta* переманила инженера Apple Пэна с зарплатой более чем в $200 млн
Оригинал: https://www.bloomberg.com/news/articles/2025-07-09/meta-poached-apple-s-pang-with-pay-package-over-200-million

Такой айтишный трансфер догоняет переход Неймара из испанской «Барселоны» во французский «ПСЖ».

Марк и Meta* продолжают агрессивно собирать таланты из числа ведущих специалистов по искусственному интеллекту, чтобы удерживать лидерство в быстро меняющейся технологической среде. На прошлой неделе стало известно, что компания переманила одного из ключевых разработчиков Apple — Янгуна Пэна (Yangeun Paeng), который отвечал за создание чипов для iPhone.

💡 Почему это важно:
— Meta* активно развивает собственные технологии вместо закупки у NVIDIA.
— Это серьезный удар для Apple, теряющей ключевых специалистов. Для Apple потеря такого специалиста может ослабить позиции в разработке новых поколений чипов.
— Марк лично участвовал в найме.

P. S. Интересно, а АО «НИИЭТ» https://niiet.ru будет кого-то хантить из Гигачата?

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

@showconfig #apple #технологии #AI #ИИ

🖥️ Silicon Valley, 1991: как начиналось будущее

Пользователь с Reddit r/wallstreetbets поделился воспоминаниями о жизни в Кремниевой Долине в начале 90-х — времени, когда не было ни Google, ни соцсетей, зато были гаражи, терминалы и идеи, способные перевернуть мир.

Техника той эпохи:
— Серверы собирались вручную, часто прямо в гаражах.
— Память считалась по мегабайтам, а дисковые массивы занимали полкомнаты.
— Программирование шло на C++, без IDE, с кучей бумажных блокнотов и кофе.
— Интернет? Ну, был dial-up...

Стартапы в те годы:
— Инвесторы приезжали с чековой книжкой и без презентаций.
— Венчурщики верили в людей, а не в метрики.
— Команды росли от 2–3 человек до сотен за пару лет.

💡 Мораль от старших товарищей:
Если ты сейчас сидишь с ноутбуком, пишешь код и думаешь, что «никто не оценит», помни — так начинали те, кто сегодня в книгах по истории IT. Главное — не бросать.

🔗 Оригинал поста: https://old.reddit.com/r/wallstreetbets/comments/1lwy2nq/silicon_valley_1991/

@showconfig #SiliconValley #Reddit #Google #coding #startup

🔒 Приватные мобильные браузеры

Вам нечего скрывать и вы не ходите на сайты запрещенные Минюстом, но всё же:

- Firefox Focus:
https://www.firefox.com/ru/browsers/mobile/focus/
https://play.google.com/store/apps/details?id=org.mozilla.focus
https://apps.apple.com/ru/app/apple-store/id1055677337

- DuckDuckGo Mobile Browser:
https://duckduckgo.com/app
https://apps.apple.com/app/duckduckgo-privacy-browser/id663592361
https://play.google.com/store/apps/details?id=com.duckduckgo.mobile.android

🎯 Какой выбрать?

Выбирайте DuckDuckGo, если:
- Нужен полноценный браузер для повседневного использования
- Важны дополнительные функции приватности
- Требуется работа с множеством вкладок и закладок

Выбирайте Firefox Focus, если:
- Нужен браузер для быстрых поисковых запросов
- Предпочитаете максимальную простоту
- Хотите полностью очищать историю одним тапом

Оба браузера отлично защищают вашу конфиденциальность 🔐

@showconfig #Firefox #DuckDuckGo #Privacy #browser

🔐 Mullvad Browser - зачем нужен?

Mullvad Browser — это браузер, разработанный для обеспечения повышенной конфиденциальности пользователей в интернете. Он основан на движке Firefox ESR и предлагает функции, которые помогают защитить данные от слежки и идентификации.

Основные характеристики
- Защита конфиденциальности: Mullvad Browser предназначен для работы в сочетании с Mullvad VPN(в РФ заблокирован), что обеспечивает дополнительный уровень анонимности. Он блокирует сторонние файлы cookie и использует шифрование трафика с помощью режима HTTPS Only для всех сайтов.

- Режимы безопасности: Браузер предлагает три уровня защиты — Standard, Safer и Safest. Эти режимы позволяют настраивать уровень безопасности в зависимости от их потребностей.

- Удаление данных: При использовании режима приватного просмотра все cookies и история посещений удаляются после закрытия браузера, что минимизирует риск утечки личной информации.

- Блокировка отслеживания: Встроенные расширения, такие как NoScript и Ublock Origin, помогают блокировать скрипты отслеживания и рекламу, что дополнительно защищает пользователей от нежелательной слежки.

- Поиск: По умолчанию браузер использует DuckDuckGo для конфиденциального поиска, что исключает сбор данных о поисковых запросах.

🔗 Применение
Mullvad Browser не является классическим антидетект-браузером, но предоставляет пользователям инструменты для повышения конфиденциальности при серфинге в интернете. Он подходит для тех, кто ищет надежное решение для защиты своих данных и желает избежать слежки со стороны сайтов и других третьих лиц - отличное решение для использования GPT всех видов, и не только.

Скачать: https://github.com/mullvad/mullvad-browser/releases

@showconfig #Mullvad #browser #DuckDuckGo #Privacy

Да, нагнули 😑

Только ленивый, вот уже второй день, не предложил свои советы по информационной безопасности или не потроллил Аэрофлот. Многие на фоне этой ситуации активно продвигают свои услуги, кто-то просто ловит хайп. Но есть ли среди ИТ-специалистов те, кто действительно поддержал Аэрофлот? Нашлись ли люди, которые просто отправили слова поддержки тем, кто, скорее всего, уже сутки сидит за ноутбуком и восстанавливает инфраструктуру? Кто-нибудь предложил конкретную помощь? Зато мы с большим энтузиазмом обсуждаем неподтверждённую никем и ничем новость про пароль.

Порой кажется, что в трудные моменты проще бросить камень, чем протянуть руку помощи.

@showconfig #Аэрофлот #ИТ #взлом #hackers

😑 Да зачем нужен этот ваш Касперский?!

@showconfig #sec #антивирус #mac