Пятничное

Всем хороших выходных!

Kubernetes resourse limits calculator
https://habr.com/ru/post/680918/
+
https://github.com/korkin25/kube-resource-calc

Там в комментах уже порекомендовали
https://github.com/robscott/kube-capacity

Показали на "ARMY-2022" в Москве.

"Колготками" обтянута, видимо, что бы не узнали модель и производителя.

Коль уж сегодня в Профунктор попал мой очередной мем (https://xn--r1a.website/profunctor_io/8177), то поделюсь каналом, куда я собираю все свои собственноручно сделанные мемасики.

Вдохновение появляется время от времени, так сказать 🌝

https://xn--r1a.website/mem_b0lt_Genona/11

Сегодня ребяты из Defcon Penza (@defcon58) проводили митап

Список докладов на скрине

Запись
https://www.youtube.com/watch?v=zGM7S4W5QNY

выпускник скинул фото диплома с моей дисциплиной :3

Казначейство США добавило проект Tornado.cash в список SDN. Это один самых жестких механизмов финансового контроля, в этом списке военные лидеры Ирана, банки, которые помогают в обходе санкций Северной Корее и т. п. Попадание в этот список значит, что все, кто боится США (а это примерно все на свете) никак не могут взаимодействовать с этим проектом и его участниками.

Tornado.cash — самый популярный анонимайзер для криптовалюты эфир, через который прошло больше 7 миллиардов долларов. Дело в том, что в эфире вся история всех переводов — публичная. Можно посмотреть, от кого вы получаете деньги и куда тратите, вплоть до каждой копейки. Это прямое следствие самой структуры блокчейна эфира.

Понятно, что не многие согласны на такую прозрачность и люди придумали так называемые «миксеры», «анонимайзеры», в которые вы закидываете деньги, они там перемешиваются с деньгами других людей и с небольшой задержкой выдаются вам на новый кошелек. За счет того, что таких людей много — связать ваш новый кошелек со старым кошельком уже невозможно.

Такими анонимайзерами часто пользуются для того, чтобы жертвовать тем, кого не любят те или иные государства — Ассанджу и Викиликс (чтобы вами не заинтересовались США), Украинцам (чтобы вами не заинтересовалась Росссия) и т. д. Именно в таком применении Tornado.cash признался создатель эфира Виталик Бутерин.

Ещё без анонимайзеров трудно представить покупку наркотиков и жизнь кибер-преступников. Трудно объяснить, зачем вы перевели деньги известному наркоторговцу или почему платите за дом или новенький автомобиль той самой криптовалютой, которой жертвы заплатили выкуп. Анонимайзеры скрывают эту информацию. Казначейство утверждает, что именно через Tornado.cash северокорейская группировка Lazarus отмыла полмиллиарда долларов.

☙

Но интересна эта история другим:

1️⃣ Во первых, tornado.cash реализован как смарт-контракт на блокчейне эфира. Это значит, что выключить его технически невозможно (подробнее в недавнем эпизоде нашего подкаста). Да, система продолжает работать, на следующий день после блокировок через неё прошло больше 2 миллионов долларов.

Правительство США может потребовать у всех крупных систем перестать принимать платежи с запрещенных адресов, но что делать, если тебе уже прислали деньги? В эфире невозможно отказаться от входящего платежа. Кто-то уже троллит — рассылает с «грязных кошельков» на публичные адреса знаменитостей по 0.1 эфира.

2️⃣ Во вторых, гитхаб (майкрософт) заблокировала аккаунт организации tornado.cash со всеми исходными кодами и даже личные аккаунты участников проекта. Хотя уж исходные коды-то точно не виноваты и вообще, охраняются от правительства первой поправкой к конституции США (право на свободу слова). Вот за них вписываются lwn.net и EFF.

3️⃣ В третьих, Нидерланды арестовали одного из создателей проекта, Александра Перцева (вот сайт в его защиту). Технически, создатели системы даже не проводят деньги через себя — всё делает смарт-контракт. Будет ли программист умного автомобиля нести ответственность за сбитого пешехода? Понятно, что «важна цель инструмента» и «почему они не реализовали мощный KYC, AML» и тд и тп, но тем не менее, это похоже на попытку запретить электричество или пистолеты. Лавину уже не остановить.

❧

Интересно наблюдать, как научная фантастика проникает в нашу жизнь. А ещё я лишь по счастливой случайности остался наблюдателем и не стал героем этой истории. Мы собирались помогать команде tornado.cash с одной технически сложной штукой и не начали сотрудничество лишь потому, что у нас были заняты все программисты 🙈 Гораздо удобнее рассуждать о философских аспектах, когда не сидишь в тюрьме. До этого мы с Федей рассматривали участие в крипто-проектах только как репутационный риск (там слишком много мошенников), теперь придется думать ещё и о юридических последствиях.

Итак, существует большое количество платных сервисов, например vuldb.com или vulners.com, которые предоставляют информацию об уязвимостях по подписке. В этой статье я приведу бесплатные источники, с которыми за полгода мы собрали информацию об 3153 уязвимости, для их дальнейшего ресерча.

Как мы парсили информацию об уязвимостях
https://habr.com/ru/post/670314/

+

https://github.com/eeenvik1/scripts_for_YouTrack

Всем привет! Мы с @k0tb9g9m0t подумали и решили, что пора проснуться ото спячки и запустить заново наши митапы PyData в Питере. И открываем CFP!
Ориентировочные даты следующего - середина сентября (точнее напишем чуть позже, проверяем, чтобы ни с чем важным не пересечься).

Напомню, какие темы мы любим и поддерживаем:
1) Data Engineering на Python - применение питона для перекладывания данных. Airflow, Airbyte, Meltano, плагины для Apache Nifi...
2) MLOps - процессы и компоненты для организации workflow дата-команды. MLFlow, DVC, питонячий тулинг и т.п.
3) Изнанка Data Science-инструментов. Разбор кишков scikit-learn, tensorflow, keras, Jupyter, cvxopt и т.д. Чуть меньше математики, чуть больше инжиниринга
4) Работа на питоне с базами данных и хранилищами. Apache Arrow, ORC/Parquet, устройство ORM и т.п.
5) Визуализация данных - "как мы приручили Matplotlib/seaborn/Altair", генеративная графика и т.п.
6) Кишки самого питона. Выпиливание GIL, Buffer Protocol, написание расширений на других языках, применение новых фич синтаксиса для анализа данных и т.п.
7) Что угодно еще, что вам кажется подходящим к темам "питон" и "данные" и при этом чуть больше в сторону инжиниринга, чем математики

Очень ждем ваших тем и докладов, ссылка на CFP: https://forms.gle/WHQYaSa7rVbkBnoNA

Местом проведения планируем Failover Bar на Васильевском: https://yandex.ru/maps/-/CCUR5ZD6-D . Достаточно неформальная обстановка и довольно удобно добираться.

По всем вопросам пишите в чат @pydata_spb или мне лично

Пост прикольный, но я в своей работе стараюсь отказываться от всяких удобств и прочих украшательств, потому что слишком быстро к ним привыкаешь и иногда вообще забываешь, как без какого тулинга стороннего что делать базовыми командами. Так что страдаю с удовольствием 🌝

Managing Kubernetes without losing your cool
https://marcusnoble.co.uk/2022-07-04-managing-kubernetes-without-loosing-your-cool/

За ссылку спасибо @oleg_log

Копайлот охуевает от эмббеда

#api #wordlist

Раньше мы выполняли брутфорс только для статических файлов и папок. Но в современных реалиях, мы всё больше встречаем приложения, которые работают посредством конечных точек API. Это означает, что подход должен меняться, давайте рассмотрим специфику.

Возьмём, в качестве примера, запрос на удаление аккаунта пользователя:

DELETE /api/v1/users/<int> HTTP/2
Host: example.com
Content-Type: application/xml

HTTP/2 200 OK
Connection: close

1. Для того чтобы обнаружить эту конечную точку, в словаре должны быть сущности : api, v1, users
2. Вам нужно в запросе использовать метод DELETE
3. Поставить верный Content-Type
4. В последнем пути — нужно добавить число.

В противном случае ответ будет: 404 Not Found

Из этого следует, что нужен хороший словарь, специфичный для API, а также ротация методов GET, POST, DELETE, etc.

При брутфорсе нас интересуют следующие поля (%s):

%s /api/v1/%s/<int> HTTP/2
Host: example.com
Content-Type: %s

Поскольку обычные словари не нацелены на API спецификацию, я собрал свой. Для этого использовал замечательный массив данных от Assetnote из 67 500 файлов Swagger, собранных с помощью Google BigQuery.

Нарезал сущности и отфильтровал их по популярности — файл прикреплён к посту.

Доступна запись

Доклад о применении систем композиционного анализа программного обеспечения (Software Composition Analysis, SCA) в контексте отслеживания безопасности компонентной базы разработки.

https://www.youtube.com/watch?v=oZWH1BiyZ40

Возможно, кто-то не знает, но в нашей тележеньке произошла ДРАМА1!1!1

Причина драмы пост Пашки (https://xn--r1a.website/durov/194)

Перевод полностью - https://vc.ru/services/487117-durov-rasskazal-o-vozmozhnom-aukcione-korotkih-yuzerneymov-v-telegram

Я действительно впечатлен успехом аукциона . . . Wallet.ton был продан за ~260000 долларов . . . casino.ton был продан за ~244000 долларов

Если TON смог добиться таких результатов, представьте, насколько успешным мог бы быть Telegram с его 700 миллионами пользователей, если бы мы выставили на аукцион зарезервированные @usernames, ссылки на группы и каналы. В дополнение к миллионам запоминающихся t.me адреса, такие как @storm или @royal, все четырехбуквенные имена пользователей могут быть доступны для продажи (@bank, @club, @game, @gift и т.д.).
. . .
Давайте посмотрим, сможем ли мы добавить немного Web 3.0 в Telegram в ближайшие недели.

Много возмущения и недопонимания можно найти в каналах и чатах. Вот, например, хороший пост https://xn--r1a.website/inside_microwave/1481

Я понимаю людей у которых поотжимали красивые юзернеймы по какой-то всратой причине. Телега могла бы разослать заранее владельцам каналов уведомление, что ваш канал не активен, мы отожмём его юзернейм и дать неделю, например.

НО я хочу сказать о другом аспекте всей этой истории.
Пашке напихали пачку дизов такую огромную, что он отключил реакции. И я считаю это главным фейлом, потому что это сдача позиций и авторитета, если так можно сказать.
По моему скромному мнению можно эту ситуацию было использовать и выпустить следующий пост, сославшись на дизы, сделать заход на объяснение и донести что-то до пользователей. Теперь Дурову просто опасно врубать реакции (а это самый быстрый фибдек), потому что последующие посты будут нещадно минусоваться, да и никак это не поможет перебороть недовольство пользователей.

Диджитал резистанс пал под кучей дизов 🌝

Запись вчерашнего митапа от украинского Go комьюнити

Доклады на украинском языке

- Runtime immutability checks for GoRuntime immutability checks for Go / Bogdan Storozhuk, Software Engineer and Open Source Software Contributor

- Write-Ahead Log / Logical Decoding / Vitaliy Kozlovskyi

https://www.youtube.com/watch?v=_QHePUYVDr0

Про второго докладчика я мало что знаю, но у Богдана есть прикольный доклад на русском. Откровений в нём нет, но Богдан показывает и рассказывает куда смотреть, что б потом больно не было с тестами.

Yet another talk about testing
https://www.youtube.com/watch?v=bg6G6yeDYMc