Технологический Болт Генона
This Arduino Cassette Tape Makes Loading ZX Spectrum Software Incredibly Easy https://www.hackster.io/news/this-arduino-cassette-tape-makes-loading-zx-spectrum-software-incredibly-easy-c44a6b0731e7 + https://github.com/jamhamster/TZX-Cassette-Mod + A TZXDuino…
I got a Pi Zero W into a cassette tape and I'm using it to emulate a ZX Spectrumhttps://www.reddit.com/r/raspberry_pi/comments/m5mq6r/i_got_a_pi_zero_w_into_a_cassette_tape_and_im/
+
https://twitter.com/RealJamHamster/status/1369990830916767749
Forwarded from oleg_log (Oleg Kovalov)
Why Security Defects Go Unnoticed during Code Reviews? A Case-Control Study of the Chromium OS Project
ТЛДР не сделаю ибо забил читать, но вещь крутая, действительно люди заморочились.
http://amiangshu.com/papers/paul-ICSE-2021.pdf
ТЛДР не сделаю ибо забил читать, но вещь крутая, действительно люди заморочились.
http://amiangshu.com/papers/paul-ICSE-2021.pdf
Forwarded from SecAtor
Мы неоднократно писали, что исследователи Positive Technologies весьма успешно потрошат микрокод процессоров Intel.
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Twitter
Mark Ermolov
Wow, we (+@h0t_max and @_Dmit) have found two undocumented x86 instructions in Intel CPUs which completely control microarchitectural state (yes, they can modify microcode)
Forwarded from Sysadmin Tools 🇺🇦
Если вы ждали поддержку ui для #victoriametrics такую же как и #prometheus graph то можно затестить.
Фидбек приветствуется
Фидбек приветствуется
GitHub
GitHub - VictoriaMetrics/vmui: UI monorepo for VictoriaMetrics
UI monorepo for VictoriaMetrics . Contribute to VictoriaMetrics/vmui development by creating an account on GitHub.
Forwarded from Zhovner Hub
Хабр
Flipper Zero — вымученная сертификация, открытие исходников и новые приколдесы
Flipper Zero — проект карманного мультитула для хакеров в формфакторе тамагочи, который мы разрабатываем. Предыдущие посты [ 1 ],[ 2 ],[ 3 ],[ 4 ],[ 5 ],[ 6 ],[ 7 ],[ 8 ],[ 9 ],[ 10 ],[ 11 ],[ 12 ]....
Компания Nokia перелицензировала ОС Plan9 под лицензией MIT
https://www.opennet.ru/opennews/art.shtml?num=54815
+
https://www.bell-labs.com/institute/blog/plan-9-bell-labs-cyberspace/
https://www.opennet.ru/opennews/art.shtml?num=54815
+
https://www.bell-labs.com/institute/blog/plan-9-bell-labs-cyberspace/
www.opennet.ru
Компания Nokia перелицензировала ОС Plan9 под лицензией MIT
Компания Nokia, в 2015 году поглотившая компанию Alcatel-Lucent, которой принадлежал исследовательский центр Bell Labs, объявила о передаче всей связанной с проектом Plan 9 интеллектуальной собственности некоммерческой организации Plan 9 Foundation, которая…
Secure containerized environments with updated threat matrix for Kubernetes
https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
Тут в Ruby on Rails пробрался GPL-2 код
В issue разборка как с этим жить
https://github.com/rails/rails/issues/41750
В issue разборка как с этим жить
https://github.com/rails/rails/issues/41750
PostgresPro выложили расширенный курс по PostgreSQL 12.
Страница курса
https://postgrespro.ru/education/courses/DEV2
Плейлист
https://www.youtube.com/playlist?list=PLaFqU3KCWw6K3AyBVcZGdXMtM2xvjHA1N
Уровень выложенного курса DEV2, предлагается сначала проштудировать курс предыдущего уровня DEV1
https://postgrespro.ru/education/courses/DEV1
Страница курса
https://postgrespro.ru/education/courses/DEV2
Плейлист
https://www.youtube.com/playlist?list=PLaFqU3KCWw6K3AyBVcZGdXMtM2xvjHA1N
Уровень выложенного курса DEV2, предлагается сначала проштудировать курс предыдущего уровня DEV1
https://postgrespro.ru/education/courses/DEV1
postgrespro.ru
DEV2
Postgres Professional - российская компания, разработчик систем управления базами данных
https://permission.site/
Тут можно посмотреть, куда браузеры захотят получить доступ. Если покликать, то можно понять, что отключено/включено по-умолчанию, а что может запрашивать прав.
Тут можно посмотреть, куда браузеры захотят получить доступ. Если покликать, то можно понять, что отключено/включено по-умолчанию, а что может запрашивать прав.
CAN MY WATER COOLED RASPBERRY PI CLUSTER BEAT MY MACBOOK?
https://www.the-diy-life.com/can-my-water-cooled-raspberry-pi-cluster-beat-my-macbook/
За наводку спасибо @sysadmin_tools
https://www.the-diy-life.com/can-my-water-cooled-raspberry-pi-cluster-beat-my-macbook/
За наводку спасибо @sysadmin_tools
Forwarded from AWS Notes
Как узнать AWS ID любого публичного S3 бакета:
https://www.cloudar.be/awsblog/finding-the-accountid-of-any-public-s3-bucket/
Перебрав максимум 120 комбинаций, можно вычислить номер любого аккаунта. И нет, это не баг, это фича:
https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/
В самом конце 2020-го года у S3 появилась возможность делать строгий доступ для нужных аккаунтов (по их AWS ID). В полиси можно использовать
Короче, публичные бакеты — зло. А теперь это вдвойне опасно. Раскрытие AWS ID не смертельно само по себе, но это как сказать недругам номер своей квартиры — дверь должна быть железная и находиться постоянно под охраной.
#security #S3
https://www.cloudar.be/awsblog/finding-the-accountid-of-any-public-s3-bucket/
Перебрав максимум 120 комбинаций, можно вычислить номер любого аккаунта. И нет, это не баг, это фича:
https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/
В самом конце 2020-го года у S3 появилась возможность делать строгий доступ для нужных аккаунтов (по их AWS ID). В полиси можно использовать
*-wildcard, потому просто подбирая последовательно 0*, 12*, 123*... легко можно подобрать реальный AWS ID.Короче, публичные бакеты — зло. А теперь это вдвойне опасно. Раскрытие AWS ID не смертельно само по себе, но это как сказать недругам номер своей квартиры — дверь должна быть железная и находиться постоянно под охраной.
#security #S3
Forwarded from Sysadmin Tools 🇺🇦
Compare AWS and Azure services to Google Cloud
https://cloud.google.com/free/docs/aws-azure-gcp-service-comparison
#aws #azure #gce #google #microsoft
https://cloud.google.com/free/docs/aws-azure-gcp-service-comparison
#aws #azure #gce #google #microsoft
The CISA Hunt and Incident Response Program (CHIRP) is a tool created to dynamically query Indicators of Compromise (IoCs) on hosts with a single package, outputting data in a JSON format for further analysis in a SIEM or other tool. CHIRP does not modify any system data.
A forensic collection tool written in Python.
https://github.com/cisagov/CHIRP
GitHub
GitHub - cisagov/CHIRP: A DFIR tool written in Python.
A DFIR tool written in Python. . Contribute to cisagov/CHIRP development by creating an account on GitHub.