Изначально пост должен был быть сюда

https://xn--r1a.website/kadr_b0lt_Genona

, но что-то пошло не так 🌝

> а сам портал невозможно взломать
> невозможно

Так его и не надо взламывать, вся функциональность используемая для слива данных абсолютно легитимна 🌝

"Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. … На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Авторизация через "Госуслуги" на всех ресурсах работает корректно. Возможности найти информацию о пользователях "Госуслуг" по ID-номеру нет", - сказано в сообщении.
Как добавили в министерстве, данные пользователей надежно защищены, а сам портал невозможно взломать: для его защиты используется многоэшелонированный подход - несколько дополняющих друг друга мер безопасности.

Минцифры опровергло информацию об уязвимости в реестре электронных повесток
https://ria.ru/20240918/gosuslugi-1973529859.html

Мои друзья делают конфу в Москве. И я очень люблю такие мероприятия, потому что они делаются сообществом.

Конфа будет проходить 29 сентября в Москве в Холидей Инн Сокольники, Русаковская ул., 24

Среди докладчиков будут, например

- Web-анархия от @deadroot

Доклад классный. Не знаю в каком виде и как он будет читаться на конфе, но на DEF CON в Питере похожий отлично зашёл - https://xn--r1a.website/DCG7812_archive/181

- Токены FIDO2 - возможности и способы применения от @n0nvme

Знаю лично, если запытать, то расскажет очень много интересного 🌝

- Reverse engineering of EVM bytecode: decompiling exploits on Ethereum-based blockchains от @gspdnsobaka

Артём давно занимается блокчейнами и, думаю, что есть что послушать. Все прошлые выступления, которые я видел, мне понравились.

Из активностей там будет воркшопы и не только.

Например, @RottenMechanism расскажет и покажет как делать различные железки, @autopsy_wt проведёт локпикинг, а так же будет Pentest Lab с двумя инфраструктурными лабораториям.

В целом и программу, и активности категорически одобряю, они прекрасны 🌝

Программа и всякие описания на сайте - https://underconf.ru/

Билеты тут - https://underconf.timepad.ru/event/3014266/

Канал - @und3rc0nf
Чат - @und3rc0nf_chat

У меня есть определённое количество проходок, которые мне по-дружески предоставили организаторы, так что если точно собрались, то напишите мне в личку (@rusdacent).

ЗЫ
А ещё будут дебаты "Бизнес vs Сообщество", где можно будет @i_bo0om и @mokando поймать =)

Федеральная служба по техническому и экспортному контролю (ФСТЭК) считает очень высокой стоимость российского программного обеспечения, заявил заместитель директора ФСТЭК Виталий Лютиков на пленарной сессии BIS Sammit, передает корреспондент РБК.

Замдиректора отметил, что «российские производители, увидев спрос на свои товары, подняли цены в десятки раз». При этом, по его словам, качество отечественного софта хуже, чем у зарубежных аналогов, а цены — выше.

В свою очередь, директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух не согласился с мнением ФСТЭК и отметил, что стоимость готовых решений российского софта в последние три года ежегодно увеличивается на 15–20%. По его словам, встречается и более значительное повышение цен, в случае если заказчик просит разработчика добавить нужную ему функциональность.

ФСТЭК назвала очень высокой стоимость российского ПО
https://www.rbc.ru/technology_and_media/19/09/2024/66ec00a19a79470f7395891d

Тут событие знаменательное произошло

 "Enable PREEMPT_RT on supported architectures:

  After twenty years of development we finally reached the point to
  enable PREEMPT_RT support in the mainline kernel.

  All prerequisites are merged, so enable it on the supported
  architectures ARM64, RISCV and X86(32/64-bit)"

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=baeb9a7d8b60b021d907127509c44507539c15e5

PREEMPT_RT это набор патчей, который добавлял real-time в ядро. Они 20 лет жили параллельно с ядром Linux и вот наконец-то теперь они в основной ветке. Поддерживаются x86_64, ARM64 и RISC-V.

Ну и сделано было красиво, анонсировано во время European Open Source Summit(https://events.linuxfoundation.org/open-source-summit-europe/).

On September 19, Thomas Gleixner delivered the pull request for the realtime preemption enablement patches to Linus Torvalds — in printed form, wrapped in gold, with a ribbon, as Torvalds had requested. It was a significant milestone, marking the completion of a project that required 20 years of effort. Congratulations are due to everybody involved.

https://lwn.net/Articles/990985/

Если кто-то не знает что это такое и хочет почитать подробней историю, то ZDnet выпустили статью по этому поводу

20 years later, real-time Linux makes it to the kernel - really

The work done on real-time Linux has benefitted the open-source OS for years, but it was only this week that Linus Torvalds admitted its last piece into the mainline kernel. Exactly what took so long?
steven-vaughan-nichols

https://www.zdnet.com/article/20-years-later-real-time-linux-makes-it-to-the-kernel-really/

Мой доклад приняли на DevOops, так что увидимся в ноябре оффлайн 🌝

https://devoops.ru/talks/c6ba44b7c18b411f9753c06873cc606e/

Если это произойдёт, то это будет легендарно

Qualcomm approached Intel about acquisition, report claims
https://www.tomshardware.com/tech-industry/qualcomm-approached-intel-about-acquisition-report-claims

Разбавлю неловкое молчание небольшой историей как на работе у коллеги в браузере стали появляться странные редиректы, и как дошли до истины #будничное #поИБ. Итак, будет пошаговая история :)

1. За ноутом коллеги попробовал воспроизвести проблему. Один раз получилось увидеть своими глазами, но отловить в девтулзах не успел :( Да и не было замечено какой-то повторяемости
2. Забэкапил все экстеншны хрома https://stackoverflow.com/a/14544700 потому что я был уверен что это именно они, ибо там Mac и всякое левое туда он не ставил (не шиндовс же)
3. Начал анализировать все JS файлы уже у себя на компе, и искал разные eval(, btoa(, и прочее вызовы типа fetch(. Что может являться признаком попыток спрятать что в коде, или малвари, или адвари — хотя иногда так зарабатывают деньги разработчики плагинов.

Тут важно помнить — бесплатный плагин, бесплатен для вас потому что вы платите своим временем, ресурсами, данными или просмотрами рекламы))) Как и сыр в мышеловке, который достается в лучшем случае второй мышке. Да, тут и про бесплатные VPN/Proxy задумайтесь.

4. Нашел несколько обфусцированных JS файлов и полез их копать. Я воспользовался такой вот тулзой https://lelinhtinh.github.io/de4js/ и файл за файлом приводил плагины в читаемый вид
5. Нашел файл модуля background.js, в котором был кусок кода (см прикрепленную картинку). Там
- Делается запрос к адмитаду и туда передается URL текущей страницы (для таргерирования рекламы (наш вариант вроде), ну или целевых атак — хз какая задача может решаться)))))
- Делается парочка редиректов по разным доменам и ссылкам (не просто так там fetch с redirect: "follow")
- И финальная ссылка уже отдается в chrome.tabs.update, что обновляет страницу силами экстеншна на полученную в ответе ссылку.
6. И один из редиректов как раз имеет такую ссылку, как у коллеги была. Расследование завершено :)

В рассмотренном случае был плагин WhatFont acpcapnaopbhbelhmbbmppghilclpkep сделан с таким поведением для заработка на рекламе, а мог бы и донаты собирать или что-то еще, хз, но он не дал такой альтернативы. А еще у этого плагина в манифесте опасные достаточно права на работу на всех сайтах "permissions": [ "*://*/*", "\u003Call_urls>", "storage", "unlimitedStorage", "activeTab" ],. Так что хорошей практикой является проверка плагинов (а то хз что вы установили, или до чего обновление прилетело — были случаи и взлома разработчиков).

Выложили доклады с DevOops 2023

Я отмечу два плейлиста

Kubernetes
https://www.youtube.com/playlist?list=PL-ety8gh7rTpXuTD5IfFgQp3xScreYqXT

Security
https://www.youtube.com/playlist?list=PL-ety8gh7rTr3XxYqBadi5s6YOlMqLjlH

Программа
https://devoops.ru/archive/2023/schedule/days/

- 60% мэйнтейнеров открытых проектов не получают оплаты за работу по сопровождению проектов, при этом из них 14% считают данное занятие хобби и не заинтересованы в получении за него денег, в то время как 44% были бы не против получить финансирование. У 24% мэйнтейнеров часть получаемого заработка связана с данной работой, а у 12% с сопровождением связан основной доход. 24% получают оплату в виде зарплаты у работодателя, а 32% получают средства от сторонних организаций или частных лиц (в 25% случаев это донаты через платформы, такие как GitHub Sponsors, Open Collective и Patreon, 5% - прямые переводы и 3% участие фондов). Получающие оплату мэйнтейнеры в 74% случаях имеют помощников, в то время как у тех кто не получает оплату помощники имеются в 39% случаев.

- 11% времени мэйнтейнеры тратят на задачи, связанные с обеспечением безопасности (в 2021 году этот показатель составлял 4%), 50% (в 2021 году 53%) на рутинную работу, 35% (в 2021 году 25%) на разработку новых возможностей. Получающие оплату мэйнтейнеры тратят на задачи, связанные с безопасностью, 13% времени, а не получающие - 10%.

- Используемые практики сопровождения: 53% (51% не получающих оплату) - повторяемые или верифицируемые сборки, 46% (34%) - правила по обеспечению обратной совместимости, 40% (24%) - формализованный процесс управления зависимостями, 37% (33%) - рецензирование кода несколькими участниками.

- 48% мэйнтейнеров ощущают свою работу недооценённой. 38% обдумывают возможность ухода с поста сопровождающего.

- После инцидента с бэкдором в библиотеке xz 66% опрошенных стали меньше доверять pull-запросам от разработчиков, не являющихся мэйнтейнерами, а 37% стали меньше доверять ко-мэйнтейнерам.

Полностью по ссылке
Итоги опроса более 400 мэйнтейнеров открытых проектов
https://www.opennet.me/opennews/art.shtml?num=61916

Оригинал (PDF скину в комменты)
https://explore.tidelift.com/2024-survey

ЗЫ
> 45% опрошенных не используют AI-инструменты разработки и не планируют использовать в будущем

Это я кста 🌝

Stiver - 🫡

Наверное многие уже знают, что создатель Flibusta неизлечимо болен. Stiver сам написал информацию об этом на сайте.

Будет ли жить Flibusta в нынешнем виде это вопрос, но тем не менее спасибо большое Stiver'у за его дело.

Сейчас есть активные раздачи Flibusta на рутрекере

https://rutracker.org/forum/viewtopic.php?t=5462398 (445 ГБ) - FB2-only

https://rutracker.org/forum/viewtopic.php?t=5649566 (1.2 TБ) - полный архив

Так же есть фронтенд для селфхостинга
https://github.com/zlsl/flibusta

На UnderConf теперь доступна полная программа, а у меня есть ещё проходки. Кто будет в МСК 29 сентября точно и надумал идти, пишите в личку (@rusdacent).

Канал - @und3rc0nf
Чат - @und3rc0nf_chat

Билеты тут - https://underconf.timepad.ru/event/3014266/

Этот день настал!

Winamp теперь open source официально!

https://github.com/WinampDesktop/winamp

🌟 Exciting News! 🌟

Cozystack has officially been included in the CNCF Landscape under the Platform and Certified Kubernetes - Installed categories! 🚀

This milestone highlights our commitment to delivering top-notch solutions and staying at the forefront of cloud-native technology. Thanks to everyone who’s been part of this journey! 🌐