Лайк, шер https://habr.com/ru/company/flipperdevices/blog/589163/

Среда это маленькая пятница

What's Inside the EU Green Pass QR Code?
https://gir.st/blog/greenpass.html

Service Architecture at SoundCloud — Part 1: Backends for Frontends
https://developers.soundcloud.com/blog/service-architecture-1

Service Architecture at SoundCloud — Part 2: Value-Added Services
https://developers.soundcloud.com/blog/service-architecture-2

Service Architecture at SoundCloud — Part 3: Domain Gateways
https://developers.soundcloud.com/blog/service-architecture-3

Наверное, может быть полезно, но я так и не придумал как я могу для себя использовать.

apt-transport-oci is an apt-get plugin to support distributing *.deb packages over an OCI registry such as ghcr.io .

https://github.com/AkihiroSuda/apt-transport-oci

> DiscordSafety
> выявляли в системе токен сервиса Discord и отправляли на внешний хост

Класс

В каталоге PyPI (Python Package Index) выявлено 11 пакетов, включающих вредоносный код. До выявления проблем в сумме пакеты успели загрузить около 38 тысяч раз. Выявленные вредоносные пакеты примечательны применением замысловатых способов скрытия каналов связи с серверами злоумышленников.

- importantpackage (6305 загрузок), important-package (12897) - устанавливали соединение с внешним сервером под видом подключения к pypi.python.org для предоставления shell-доступа к системе (reverse shell) и использовали для скрытия канала связи программу trevorc2.
- pptest (10001), ipboards (946) - использовали DNS в качестве канала связи для передачи сведений о системе (в первом пакете имя хоста, рабочий каталог, внутренний и внешний IP, в во втором - имя пользователя и хоста).
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - выявляли в системе токен сервиса Discord и отправляли на внешний хост.
- trrfab (287) - отправлял на внешний хост идентификатор, имя хоста и содержимое /etc/passwd, /etc/hosts, /home.
- 10Cent10 (490) - устанавливал обратное shell-соединение с внешним хостом.
- yandex-yt (4183) - выводил сообщение о компрометации системы и перенаправлял на страницу с дополнительной информацией о дальнейших действиях, выдаваемой через nda.ya.ru (api.ya.cc).

В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
https://www.opennet.ru/opennews/art.shtml?num=56190

Backdooring Rust crates for fun and profit

Finally, let’s be honest, who has the resources to carefully audit each one of their dependencies (including the transitive ones), for each update?

I see 3 main axes to reduce the impact and the risks associated with these kinds of attacks.

Firstly, a bigger standard library would reduce the need for external dependencies and thus reduce the risk of compromise.

Secondly, Rust supports git dependencies. Using Git dependencies pinned to a commit can prevent some of the techniques mentioned above.

Thirdly, using cloud developer environments such as GitHub Codespaces or Gitpod. By working in sandboxed environments for each project, one can significantly reduce the impact of a compromise.

https://kerkour.com/rust-crate-backdoor/

За ссылку спасибо @vrutkovs

> «Лаборатория Касперского» представила бесплатную версию свой операционной системы KasperskyOS Community Edition

> Community Edition

На скрине очень Community получилось.

Wooooooow

Today, we’re taking a first step towards that world by announcing support for relational databases, including Postgres and MySQL from Workers.

Неужели я откажусь от Supabase и просто возьму PG где-то "там" ? (и доведу проект до релиза)

https://blog.cloudflare.com/relational-database-connectors/

Тут в СПб 2 декабря "МойОфис" проводит митап оффлайновый. Трансляции в этот раз не завезли.

Systems Engineering meetup: миграция почтовых серверов, автоматизация НТ и ArangoDB для надежного хранения данных

19:00-19:30  —  Миграция почтового сервера. Типовые сценарии и риски / Андрей Колесников, МойОфис
19:30-20:00 — Автоматизация нагрузочного тестирования / Евгений Мальцев, Московский кредитный банк
20:20-20:50 — Применение графовой модели для долгосрочного хранения древовидной структуры метаданных / Алексей Красиков, Гриша Мелихов, МойОфис

Регистрация
https://myoffice.timepad.ru/event/1796620/

Если всё сложится, то может и я доползу.

Fuzzing the Linux kernel yet again

A text version of my PHDays "Fuzzing the Linux kernel" talk is now available in both English and Russian.

Contains an overview of Linux kernel fuzzing approaches and related tips.

Thanks to folks from @xakep_ru for transcribing and translating!

Links to the original talk: slides, video (ru), video (en-dub).

В этот четверг, 25 ноября, собираемся для обсуждения докладов, задаем вопросы докладчикам шестого Big Monitoring Meetup. Доклады можно найти на нашем YouTube канале, задать вопрос в комметариях под видео или в нашем чате: https://xn--r1a.website/monhouse_tech.

Ссылка на доклды конференции: https://www.youtube.com/playlist?list=PL_6HEdnVWofdZwMqErh-eZ4hRF3PxHOyt

Участники встречи:

• Константин Михайлов, CEO в Saymon: Комьюнити версии продуктов Saymon

• Ольга Чаталян, продакт-менеджер в Tinkoff: Технические сложности миграции со спланка

• Николай Храмчихин, Software engineer в VictoriaMetrics: Примеры использования VMPodScrape

• Вячеслав Милованов, Paessler: Какие новые вещи начали мониторить, когда пришли в другой бизнес

• Майк Голубев, Solutions Architect в AWS: Использование Lambda Extensions для интеграции внешних решений мониторинга и observability

Регистрация: https://www.meetup.com/monhouse-tech/events/281711407/

25 ноября в 17:00 (MSK) буду участвовать в вебинаре "Новые вызовы при работе с Kubernetes и как их преодолевать." на площадке СЛЁРМ.

Рассмотрим какие вызовы встают перед компаниями, которые только начинают или уже используют Kubernetes. Посмотрим на это все со стороны разных департаментов: Management, Dev, Ops/SRE, DecSecOps, Security teams. А при рассмотрении различных кейсов коснёмся таких тем как troubleshooting, root cause analysis, optimizations, security и как их можно решить это сторонними OpenSource решениями и решением Luntry.

Будет 4 кейса, буде много live demo и я впервые на большую аудиторию покажу Luntry =)

Чего только не бывает

> We wanted to let you know that, between September 9th and November 18th, the Chromium source tree contained some test Office documents that included some unshielded malware. These samples were inadvertently committed to the repository without obfuscation in the process of testing the security feature to detect the presence of malware distributed through macros in Office documents. These test files were not included in any Chrome release.

[Important] Update your Chromium source code checkout to the latest version
https://groups.google.com/a/chromium.org/g/chromium-dev/c/-Jk-CXbCzEs/m/XYwgky74EwAJ

Запись вебинара. @k8security много полезного и интересного рассказал.

Новые вызовы при работе с Kubernetes и как их преодолевать.
https://www.youtube.com/watch?v=AGT8QK2xy4A

Слайды в комментарии закинул.

Московский слет FPGA разработчиков уже завтра 27 ноября! Начинаем в 10:00

Кто будет в офлайн формате, не забудьте взять пцр, qr или сертификат, и переобувку (весь день в зимних ботах тяжко). Приходите по-раньше, будет кофе и печеньки.
===
Трансляция для онлайн участников начнется в 10:00, ждем вас. Поставьте колокольчик и напоминание, что бы не пропустить. До встречи завтра.
https://youtu.be/zklfrAunxd8
==
PS перешлите ссылку на трансляцию трем знакомым плисоводам 😎

#news Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com

@tomhunter

Мы периодически с @sysadmin_tools обсуждаем всякие железки интересные или ОС. Некоторое время назад обсуждали https://serenityos.org/.

Интересно вроде выглядит, интересно написано, но удивил подход к дистрибуции.

> Where are the ISO images?
> There are no ISO images. This project does not cater to non-technical users.

Пишут нам в FAQ - https://github.com/SerenityOS/serenity/blob/master/Documentation/FAQ.md

И такой подход не понятен. И я, и @terrifilch вполне можем его собрать и мы точно не подходим под non-technical users, но совершенно не хочется сидеть и билдить какой-нибудь артефакт продукта, тем более что в любом случае это занятие не на 5 минут.

В общем, не надо так. Думается, что это очевидно, но, видимо, не всегда.

Естественно, я такое вижу не первый раз, но чего-то перед началом новой недели захотелось мыслЯми поделиться, что ли.

Мама, я в телевизоре! 😅
https://habr.com/ru/company/vk/blog/590935/

В США рассекретили документ от ноября 2020 года о том, какой доступ к каким мессенджерам имеет ФБР. iMessage и Whatsapp выдают больше всего, причем iMessage выдает расшифрованные бэкапы сообщений из iCloud (если они там есть), зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени.

▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.

Еще в таблице есть информация про Line, Threema, Wechat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.

https://propertyofthepeople.org/document-detail/?doc-id=21114562

#prog #rust #js #article #successstory

Статья о том, как переписали с нуля плеер asciinema на Rust (с компиляцией в WASM) и Solid.js и получили прирост производительности в 50 раз.

Цитаты:

"At first I planned to implement the terminal emulation part in Rust without any optimizations, just write idiomatic Rust code, then revisit the tricks from the old implementation. The initial benchmarks blew my mind though, showing that spending additional time on optimizing the emulation part is absolutely unnecessary."

"I still thought I may need to implement some form of terminal state snapshot/restore to support the “seeking” feature. This feature requires feeding the terminal emulator with the whole text stream between the current position and the desired position, or in the worst case when you’re seeking back, feeding the emulator with the whole text from the very beginning of the recording up to the desired position. Optimizing this could be done, for example, by keeping snapshot of the terminal emulator state at multiple time points, sort of like having key-frames every couple of seconds. In ClojureScript implementation this came for free, thanks to the immutable data structures. In the new JS+Rust implementation this would have required extra work, but it turned out, that’s not needed either - clicking on the progress bar in the new player, to jump to the desired time in the recording, results in instantaneous jump, even when it has to feed the emulator with megabytes of data to parse and interpret."