Forwarded from Авва
В мире компьютерной безопасности сегодня интересный день. Точнее, он начался вчера вечером, когда немецкий разработчик Андрес Фройнд опубликовал отчет о тайной лазейке (бэкдор), которую он обнаружил в новых версиях широко используемой библиотеки для сжатия liblzma (часть архиватора xz). Лазейка позволяет взломщикам заходить через SSH на системы, в которых установлены эти новые версии - к счастью, похоже, что это всего несколько дистрибутивов Линукса в их до-релизовых версиях.
Всех очень впечатлило, насколько эта лазейка была сделана хитро, и как взломщик или взломщики серьезно поработали над тем, чтобы замести следы:
- взломщик под именем/псевдонимом Jia Tan почти два года (!) участвовал в разработке опенсорсного пакета xz, завоевал доверие его мейнтейнеров и получил доступ к прямому коммиту в его репозиторию. Он сделал больше 700 коммитов, лишь малая часть которых медленно подготовила код для лазейки
- основной код лазейки спрятан в тестовых файлах проекта (примеры "плохих" и "хороших" архивов)
- исходный код, который включает лазейку в собственно библиотеку, вообще не является частью основной репозитории в Github. Он спрятан в тар-архивах двух последних релизов, которые обычно используются мейнтейнерами дистрибутивов. То есть есть таг релиза, есть архив, якобы собранный из репозитории в момент этого тага, но на самом деле в нем есть крохотная добавка; в самой репозитории ее нет
- эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь
- она проверяет, когда исходники конфигурируют именно для постройки дебиан-пакета или RPM-пакета (т.е. то, что будут делать мейтейнеры дистрибутивов), и только в этом случае вынимает из тестовых файлов определенные куски и добавляет в код библиотеки
- внутри библиотеки код лазейки заменяет несколько функций, которые работают с символьными таблицами библиотек во время их подгружения. Затрачены специальные усилия, чтобы имена функций не появлялись в двоичном коде. Что именно дальше делает код лазейки, до конца еще не ясно, но он обрабатывает сам символьные таблицы библиотек, и видимо находит то, что имеет отношение к SSH серверу, и что-то там заменяет. Это еще проверяют сейчас.
- интересно, что openssh, стандартный SSH-сервер под линуксом, не использует библиотеку liblzma, в которую вставили эту лазейку, но несколько популярных дистрибутивов добавляют в него поддержку уведомлений системы, systemd, а библиотека libsystemd уже в свою очередь использует liblzma.
- после того, как вышли версии библиотеки с ошибкой, несколько разных людей с незамеченными до того именами (очевидно, альты взломщика или сообщники) стали открывать запросы в разных программах и пакетах сделать апгрейд на эти новые версии, и в некоторых случаях преуспели
Взломщик допустил только одну ошибку: код лазейки, когда он работает как часть openssh, довольно медленно обрабатывает эти символьные таблицы, или что он еще там делает, и даже неудачная попытка логина на такую систему занимает на полсекунды дольше, чем обычно. Андрес Фройнд заметил эти полсекунды задержки. Они его раздражали. Он решил найти, какой новый баг к этому приводит, и нашел эту лазейку.
Если бы все происходило быстро и не было задержки в полсекунды, очень может быть, что это не заметили бы месяцы и годы, и этот код попал бы в основные дистрибутивы, в версии Линукса, которые запускаются у основных облачных провайдеров итд. Они реально очень, ОЧЕНЬ хорошо замели следы.
Теперь все думают, что надо было/надо теперь делать по-другому, и как обнаружить следующую лазейку такого типа - или предыдущую, если она уже есть и никто не знает! - не опираясь на удачу и героическую занудливость Андреаса Фройнда.
Всех очень впечатлило, насколько эта лазейка была сделана хитро, и как взломщик или взломщики серьезно поработали над тем, чтобы замести следы:
- взломщик под именем/псевдонимом Jia Tan почти два года (!) участвовал в разработке опенсорсного пакета xz, завоевал доверие его мейнтейнеров и получил доступ к прямому коммиту в его репозиторию. Он сделал больше 700 коммитов, лишь малая часть которых медленно подготовила код для лазейки
- основной код лазейки спрятан в тестовых файлах проекта (примеры "плохих" и "хороших" архивов)
- исходный код, который включает лазейку в собственно библиотеку, вообще не является частью основной репозитории в Github. Он спрятан в тар-архивах двух последних релизов, которые обычно используются мейнтейнерами дистрибутивов. То есть есть таг релиза, есть архив, якобы собранный из репозитории в момент этого тага, но на самом деле в нем есть крохотная добавка; в самой репозитории ее нет
- эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь
- она проверяет, когда исходники конфигурируют именно для постройки дебиан-пакета или RPM-пакета (т.е. то, что будут делать мейтейнеры дистрибутивов), и только в этом случае вынимает из тестовых файлов определенные куски и добавляет в код библиотеки
- внутри библиотеки код лазейки заменяет несколько функций, которые работают с символьными таблицами библиотек во время их подгружения. Затрачены специальные усилия, чтобы имена функций не появлялись в двоичном коде. Что именно дальше делает код лазейки, до конца еще не ясно, но он обрабатывает сам символьные таблицы библиотек, и видимо находит то, что имеет отношение к SSH серверу, и что-то там заменяет. Это еще проверяют сейчас.
- интересно, что openssh, стандартный SSH-сервер под линуксом, не использует библиотеку liblzma, в которую вставили эту лазейку, но несколько популярных дистрибутивов добавляют в него поддержку уведомлений системы, systemd, а библиотека libsystemd уже в свою очередь использует liblzma.
- после того, как вышли версии библиотеки с ошибкой, несколько разных людей с незамеченными до того именами (очевидно, альты взломщика или сообщники) стали открывать запросы в разных программах и пакетах сделать апгрейд на эти новые версии, и в некоторых случаях преуспели
Взломщик допустил только одну ошибку: код лазейки, когда он работает как часть openssh, довольно медленно обрабатывает эти символьные таблицы, или что он еще там делает, и даже неудачная попытка логина на такую систему занимает на полсекунды дольше, чем обычно. Андрес Фройнд заметил эти полсекунды задержки. Они его раздражали. Он решил найти, какой новый баг к этому приводит, и нашел эту лазейку.
Если бы все происходило быстро и не было задержки в полсекунды, очень может быть, что это не заметили бы месяцы и годы, и этот код попал бы в основные дистрибутивы, в версии Линукса, которые запускаются у основных облачных провайдеров итд. Они реально очень, ОЧЕНЬ хорошо замели следы.
Теперь все думают, что надо было/надо теперь делать по-другому, и как обнаружить следующую лазейку такого типа - или предыдущую, если она уже есть и никто не знает! - не опираясь на удачу и героическую занудливость Андреаса Фройнда.
Forwarded from InYourEyes (Yellow Cat)
Страничка Hollow Knight: Silksong внезапно появилась в магазине Xbox
У игры даже есть плашка рейтинга. Может быть, релиз действительно не за горами.
#игры в @inyoueyes
У игры даже есть плашка рейтинга. Может быть, релиз действительно не за горами.
#игры в @inyoueyes
Forwarded from Zavtracast (Ярослав Ивус)
ChatGPT теперь можно пользоваться без регистрации.
OpenAI даёт доступ к чат-боту тем, кому было интересно его попробовать, но не хотелось создавать аккаунт.
Кроме того, теперь ChatGPT проще пользоваться из России, потому что не нужен иностранный номер.
@zavtracast
OpenAI даёт доступ к чат-боту тем, кому было интересно его попробовать, но не хотелось создавать аккаунт.
Кроме того, теперь ChatGPT проще пользоваться из России, потому что не нужен иностранный номер.
@zavtracast
Forwarded from Zavtracast (Dmitriy Zombak)
Не знаем, первое апреля или нет, но тут режиссёр Кевин Смит анонсировал, что в этом году выйдет ремастер фильма "Догма" 1999 года, одной из самых известных комедий режиссёра с Беном Аффлеком и Мэттом Деймоном в главных ролях.
"Догма" попала в продюсерское дно, потому что в 2017-м году Смит хотел снять сиквел фильма, но права тогда принадлежали братьям Вайнштейн лично и их компании The Weinstein Company. Смит обсуждал идею сиквела, но в том же году с Харви Вайнштейном разродился секс-скандал, в результате которого Харви отъехал на тюрьму на 16 лет, а права на фильм пропали в лимбо.
В результате фильм не переиздавался, а последние его копии выходили на Blu-ray только в 2008-м году. Также фильма нет на официальных стриминговых площадках. В 2022 году, комментируя фильм "Клерки 3", Кевин Смит обмолвился, что пытается выкупить права на "Догму" у Вайнштейнов, но с переменным успехом. Также он отметил с иронией, что "моё кино об ангелах принадлежит самому дьяволу".
И вот, 1 апреля 2024 года Смит анонсирует у себя в инсте, что мол выйдет "Догма. Ремастер", только когда точно не понятно. Если это первоапрельская шутка, то довольно плохая, Кевин.
@zavtracast
"Догма" попала в продюсерское дно, потому что в 2017-м году Смит хотел снять сиквел фильма, но права тогда принадлежали братьям Вайнштейн лично и их компании The Weinstein Company. Смит обсуждал идею сиквела, но в том же году с Харви Вайнштейном разродился секс-скандал, в результате которого Харви отъехал на тюрьму на 16 лет, а права на фильм пропали в лимбо.
В результате фильм не переиздавался, а последние его копии выходили на Blu-ray только в 2008-м году. Также фильма нет на официальных стриминговых площадках. В 2022 году, комментируя фильм "Клерки 3", Кевин Смит обмолвился, что пытается выкупить права на "Догму" у Вайнштейнов, но с переменным успехом. Также он отметил с иронией, что "моё кино об ангелах принадлежит самому дьяволу".
И вот, 1 апреля 2024 года Смит анонсирует у себя в инсте, что мол выйдет "Догма. Ремастер", только когда точно не понятно. Если это первоапрельская шутка, то довольно плохая, Кевин.
@zavtracast
Forwarded from Zavtracast (Ярослав Ивус)
This media is not supported in your browser
VIEW IN TELEGRAM
Анонсирована инди-игра inKONBINI. Авторы описывают её, как симулятор сотрудника конбини.
Геймплей — нужно расславлять товары по полкам, слушать клиентом и следить за тем, как ваши решения влияют на их жизнь.
Релиз планируется в 2025 году на Nintendo Switch, Xbox Series X|S, PS5 и ПК.
@zavtracast
Геймплей — нужно расславлять товары по полкам, слушать клиентом и следить за тем, как ваши решения влияют на их жизнь.
Релиз планируется в 2025 году на Nintendo Switch, Xbox Series X|S, PS5 и ПК.
@zavtracast
Forwarded from Zavtracast (Ярослав Ивус)
Началась раздача игр из базового PS Plus. Напомним, что сейчас можно забрать:
— Immortals of Aveum
— Minecraft Legends
— Skul: The Hero Slayer
Раздача продлится до 6 мая.
@zavtracast
— Immortals of Aveum
— Minecraft Legends
— Skul: The Hero Slayer
Раздача продлится до 6 мая.
@zavtracast
Forwarded from Zavtracast (Ярослав Ивус)
Цукерберг давал Netflix просматривать сообщения пользователей Messenger. Это началось в 2013 и называлось Extended API. В то время Netflix тратил больше $100 млн в год на рекламной платформе Цукерберга.
Кроме того, он слил свой стриминг FB Watch, чтобы угодить Netflix и заставить тратить на рекламу ещё больше денег. В итоге к 2019 году этот показатель вырос до $200 млн в год.
Netflix был не единственным, кто мог читать сообщения пользователей Messenger. Доступ к Extended API также получил Spotify.
@zavtracast
Кроме того, он слил свой стриминг FB Watch, чтобы угодить Netflix и заставить тратить на рекламу ещё больше денег. В итоге к 2019 году этот показатель вырос до $200 млн в год.
Netflix был не единственным, кто мог читать сообщения пользователей Messenger. Доступ к Extended API также получил Spotify.
@zavtracast
Forwarded from Zavtracast (Ярослав Ивус)
This media is not supported in your browser
VIEW IN TELEGRAM
Sony сообщила, что Dave the Diver выйдет 16 апреля на PS4 и PS5. Вместе с этим игра сразу же отправится в PS Plus Extra.
Ранее она была доступна только на Nintendo Switch и ПК.
@zavtracast
Ранее она была доступна только на Nintendo Switch и ПК.
@zavtracast
Forwarded from Zavtracast (Dmitriy Zombak)
Трейлер Jump Ship - sci-fi PvE-экшена от первого лица с ко-опом на 4 игроков. Вам дают корабль, а вы боретесь с космическими пиратами, грабите их корабли, управляете пушками своего корабля, полётом, тушите пожар, чините проводку и тому подобное совместно.
Как пишет IGN это "как если бы Sea of Thieves скрестили с FTL, а её скрестили с Left4Dead". Сравнение странное, но похоже верное.
Игра выходит на ПК и Xbox в Early Access, про версию для PS5 пока ни слова.
@zavtracast
Как пишет IGN это "как если бы Sea of Thieves скрестили с FTL, а её скрестили с Left4Dead". Сравнение странное, но похоже верное.
Игра выходит на ПК и Xbox в Early Access, про версию для PS5 пока ни слова.
@zavtracast
YouTube
Jump Ship - Official Reveal Explainer Trailer
Get a deep dive into Jump Ship in this trailer for the upcoming PvE mission-based co-op FPS for up to 4 players, where you are the crew of a spaceship. The trailer gives you a breakdown of what you can expect, including a peek at a mission, the dangers you'll…
Forwarded from Zavtracast (Ярослав Ивус)
Amazon решила отказаться от технологии Just Walk Out, которую использовала в продуктовых. Она работала так: покупатель входит в магазин, проходит идентификацию, берет товары и выходит. Оплата происходит автоматически через счет Amazon.
Много лет компания рассказывала о передовом компьютерном зрении и нейросетях, но ещё год назад журналисты узнали, что Amazon просто платила более 1000 индусов, чтобы они смотрели за всем по камерам. Они сверяли то, что берёт покупатель, с его виртуальной корзиной и добавляли, если система не справляется.
Теперь Amazon займётся своей другой технологией для ретейла — умными тележками Dash Carts. Они тоже с помощью компьютерного зрения определяют, что в них положили. Так что, возможно, индусов и не уволили.
@zavtracast
Много лет компания рассказывала о передовом компьютерном зрении и нейросетях, но ещё год назад журналисты узнали, что Amazon просто платила более 1000 индусов, чтобы они смотрели за всем по камерам. Они сверяли то, что берёт покупатель, с его виртуальной корзиной и добавляли, если система не справляется.
Теперь Amazon займётся своей другой технологией для ретейла — умными тележками Dash Carts. Они тоже с помощью компьютерного зрения определяют, что в них положили. Так что, возможно, индусов и не уволили.
@zavtracast
Forwarded from Zavtracast (Dmitriy Zombak)
Stability AI (это те, кто сделали Stable Diffusion, SDXL и другие модели) выпустили свою новую нейросеть Stable Audio 2.0. Как можно догадаться из названия, она предназначена для генерации музыки.
Вот тут можно попробовать сгенерировать себе трек 3-минутной длительности (бесплатно доступно не больше 20 треков в месяц, остальное за денежку). Здесь же можно послушать стрим, где нейросеть бесконечно генерирует музыку (слегка похоже на Lo-Fi Girl). А ещё нейросеть умеет превращать загруженную музыку в музыку другого жанра и даже делать из человеческой речи (например, битбокса) мелодии в нужном стиле.
Несмотря на то, что Stability AI обычно выкладывают свои модели в OpenSource, у этой модели пока не выложены ни документация, ни веса. Возможно, Stability AI не будет этого делать вовсе, поскольку при обучении Stable Audio 2.0 использовался только лицензионный контент через датасет AudioSparx.
Но, в любом случае, музыканты уже напряглись.
@zavtracast
Вот тут можно попробовать сгенерировать себе трек 3-минутной длительности (бесплатно доступно не больше 20 треков в месяц, остальное за денежку). Здесь же можно послушать стрим, где нейросеть бесконечно генерирует музыку (слегка похоже на Lo-Fi Girl). А ещё нейросеть умеет превращать загруженную музыку в музыку другого жанра и даже делать из человеческой речи (например, битбокса) мелодии в нужном стиле.
Несмотря на то, что Stability AI обычно выкладывают свои модели в OpenSource, у этой модели пока не выложены ни документация, ни веса. Возможно, Stability AI не будет этого делать вовсе, поскольку при обучении Stable Audio 2.0 использовался только лицензионный контент через датасет AudioSparx.
Но, в любом случае, музыканты уже напряглись.
@zavtracast
Forwarded from Zavtracast (Ярослав Ивус)
Hollow Knight: Silksong ещё 20 февраля получила возрастной рейтинг в Южной Корее.
Кажется, что релиз и правда может состояться в этом году.
@zavtracast
Кажется, что релиз и правда может состояться в этом году.
@zavtracast
Forwarded from Zavtracast (Dmitriy Zombak)
Google планирует взымать плату за "премиум" фичи своего ИИ.
Идея в том, чтобы спрятать некоторую функциональность нейросети Gemini за платную подписку, причём не только в привычном чатботе, но и в ИИ-ассистентах к Gmail и Docs. Также Google будет предлагать "усиленный ИИ" поиск.
Сам же обычный поисковик Google останется для пользователей бесплатным, но будет, как и раньше, показывать рекламу.
Financial Times пишет, что это крупнейшее изменение операционной модели Google за много лет. Ранее компания зарабатывала на рекламной деятельности, теперь же подумывает переключить своё видение на подписочную модель. Это произошло не от хорошей жизни - у Гугла сильно упали доходы от рекламы и компания смотрит в будущее, где всё будет в платных подписках.
Финальное решение руководством, впрочем, пока не принято, но инженеры уже пилят нужные фичи.
Но к Гугл, на всякий случай, не привыкайте.
@zavtracast
Идея в том, чтобы спрятать некоторую функциональность нейросети Gemini за платную подписку, причём не только в привычном чатботе, но и в ИИ-ассистентах к Gmail и Docs. Также Google будет предлагать "усиленный ИИ" поиск.
Сам же обычный поисковик Google останется для пользователей бесплатным, но будет, как и раньше, показывать рекламу.
Financial Times пишет, что это крупнейшее изменение операционной модели Google за много лет. Ранее компания зарабатывала на рекламной деятельности, теперь же подумывает переключить своё видение на подписочную модель. Это произошло не от хорошей жизни - у Гугла сильно упали доходы от рекламы и компания смотрит в будущее, где всё будет в платных подписках.
Финальное решение руководством, впрочем, пока не принято, но инженеры уже пилят нужные фичи.
Но к Гугл, на всякий случай, не привыкайте.
@zavtracast
Forwarded from Zavtracast (Dmitriy Zombak)
Студия Rare выпустила ролик с фишками PS5 для ко-оп игры про пиратов Sea of Thieves, которая раньше была эксклюзивом Xbox.
Обещают 3D-звук, поддержку тактильной обратной связи, адаптивных триггеров и тому подобного, к чему люди на PlayStation уже привыкли. Также добавят 250 трофеев, которые можно разблокировать на консоли.
Выходит 30 апреля на PS5 (также доступна на ПК и Xbox).
@zavtracast
Обещают 3D-звук, поддержку тактильной обратной связи, адаптивных триггеров и тому подобного, к чему люди на PlayStation уже привыкли. Также добавят 250 трофеев, которые можно разблокировать на консоли.
Выходит 30 апреля на PS5 (также доступна на ПК и Xbox).
@zavtracast
YouTube
Sea of Thieves - Official PS5 Features Overview Trailer
Sea of Thieves is an online co-op multiplayer pirate game developed by Rare. Take a look at the latest trailer highlighting PlayStation 5-specific features fitted with the new release of Sea of Thieves for the Sony console including 3D audio, Haptic Feedback…
Forwarded from Zavtracast (Dmitriy Zombak)
Во вселенной ПУХИвёрса (Poohiverse) новый фильм - "Бэмби: Расплата" (Bambi: The Reckoning). Напомним, что Пухивёрс - это вселенная героев Дисней, переосмысленная в виде хорроров. У авторов вышла пока два фильма - "Винни-Пух: Кровь и Мёд 1 и 2"
По сюжету "Бэмби", Ксана (Роксана Макки) и ее сын Бенджи (Том Малхерон) попадают в автокатастрофу, и вскоре их выслеживает злобная машина для убийства - олень Бэмби, который уничтожит каждого на его пути.
Выход трэш-хоррора планируется где-то в этом году.
@zavtracast
По сюжету "Бэмби", Ксана (Роксана Макки) и ее сын Бенджи (Том Малхерон) попадают в автокатастрофу, и вскоре их выслеживает злобная машина для убийства - олень Бэмби, который уничтожит каждого на его пути.
Выход трэш-хоррора планируется где-то в этом году.
@zavtracast
YouTube
Bambi: The Reckoning | Official Teaser Trailer
Get an exclusive first look at BAMBI: THE RECKONING, the next instalment in the POOHNIVERSE.
We follow Xana (Roxanne McKee) and her son Benji (Tom Mulheron) who find themselves in a car wreck and soon hunted down by the vicious killing machine, Bambi.
Bambi…
We follow Xana (Roxanne McKee) and her son Benji (Tom Mulheron) who find themselves in a car wreck and soon hunted down by the vicious killing machine, Bambi.
Bambi…
Forwarded from Zavtracast (Ярослав Ивус)
Legendary подтвердила, что работает над адаптацией «Дюны: Мессия» вместе с Вильнёвым. Кроме того, у студии уже есть планы на совместное будущее с режиссёром.
Компания купила права на экранизацию книги Nuclear War: A Scenario. В ней описываются последствия атомного взрыва на основе интервью с различными специалистами.
Legendary хочет, чтобы Вильнёв снял этот фильм вместе с ними.
@zavtracast
Компания купила права на экранизацию книги Nuclear War: A Scenario. В ней описываются последствия атомного взрыва на основе интервью с различными специалистами.
Legendary хочет, чтобы Вильнёв снял этот фильм вместе с ними.
@zavtracast
Forwarded from Zavtracast (Ярослав Ивус)
Кодзима устроил у себя в офисе сходку разработчиков. За два дня к нему приехали Нил Дракманн, Сэм Лэйк и Ким Хён Тэ (Stellar Blade).
Никто не знает, что происходит, но всем нравится.
@zavtracast
Никто не знает, что происходит, но всем нравится.
@zavtracast
Forwarded from InYourEyes (Илья Корпылёв)
The Snitch пишет, что на майской презентации PlayStation покажут новую Astro Bot и ремейк Silent Hill 2.
Джефф Грабб также рассказал, что в этом году на PS5 выйдет несколько небольших игр от внутренних студий. Журналист подтвердил, что среди них — новая Astro Bot.
#playstation в @inyoueyes
Джефф Грабб также рассказал, что в этом году на PS5 выйдет несколько небольших игр от внутренних студий. Журналист подтвердил, что среди них — новая Astro Bot.
#playstation в @inyoueyes