> 08 Июля 2024

Росреестр рассматривает возможность заказать продукты в области межсетевых экранов нового поколения (NGFW). Стоимость проекта оценивается в 1 млрд руб. Другим крупным заказчиком NGFW является ВТБ.

Сотрудничество Росреестра и Positive Technologies

Компания «Позитив Технолоджис» (Positive Technologies) вложит 1 млрд руб. в разработку продукта под общим названием «Средства защиты информации».

Это следует из дорожной карты «Новое общесистемное ПО» (ДК НОПО), разработанной VK, «Ростелекомом», «1С» и «Лабораторией Касперского» и утвержденной Правительственной комиссией по цифровому развитию.

Заказчиком продукта является Росреестр. Продукт должен достичь максимального уровня технологической готовности (УГТ-9) к 2025 г.

Росреестр закажет средства защиты информации на миллиард
https://www.cnews.ru/news/top/2024-07-08_rosreestr_zakazhet_sredstva

> Продукт должен достичь максимального уровня технологической готовности (УГТ-9) к 2025 г.

> 7 января 2025

Хакеры утверждают, что им удалось выкачать данные Росреестра.

В качестве доказательства своих слов, хакеры опубликовали в свободном доступе ссылку на скачивание фрагмента базы данных, содержащего 81,990,606 строк:

🌵 ФИО
🌵 адрес эл. почты (401 тыс. уникальных)
🌵 телефон (7,5 млн уникальных)
🌵 адрес
🌵 паспорт (серия/номер, кем и когда выдан)
🌵 дата рождения
🌵 СНИЛС
🌵 дата
🌵 компания

https://xn--r1a.website/dataleak/3441

> 7 января 2025

Росреестр не подтверждает утечку данных из Единого государственного реестра объектов недвижимости (ЕГРН).

В настоящее время проводятся дополнительные проверки информации, опубликованной в ряде телеграмм-каналов.

https://xn--r1a.website/rosreestr_news/2550

Получается утечки нет и максимальный уровень технологической готовности достигнут.

Это мы любим

В праздничные выходные мне пришло в голову, что я давно не занимался чем-то бессмысленным. Представляю вашем вниманию... Regex Chess: набор из 84688 регулярных выражений, которые при выполнении по порядку генерируют ход (валидный, то есть не совсем ужасный) для переданного в качестве входных данных состояния шахматной доски.

Шахматный движок на 84688 регулярных выражениях
https://habr.com/ru/articles/872186/

Я записал демку на два хода, оцените как оно работает "под капотом"

Оригинал
A 2-ply minimax chess engine in 84,688 regular expressions
https://nicholas.carlini.com/writing/2025/regex-chess.html
+
GitHub (даже тесты есть 🌝)
https://github.com/carlini/regex-chess
+
Demo
https://nicholas.carlini.com/writing/2025/regex-chess.html

Почти пятница 🌝

Тетрис внутри PDF сделали, что бы вы могли поиграть, пока читаете важные документы от которых нельзя отвлекаться.

GitHub
https://github.com/ThomasRinsma/pdftris

За наводку спасибо подписчику

Great question! Indeed, we already have configuration languages used in the wild:
. . .
11. And I probably missed your favourite one.
They all have one problem:

THEY DO TOO MUCH!

The Most Elegant Configuration Language
https://chshersh.com/blog/2025-01-06-the-most-elegant-configuration-language.html

Как тут не вспомнить #паста про фатальный недостаток (слега подрезал, что бы влезла в один пост)

Сначала были Windows API и DLL Hell. Революцией №1 было DDE – помните, как ссылки позволили нам создавать статусные строки, отражающие текущую цену акций Microsoft? Примерно тогда же Microsoft создала ресурс VERSION INFO, исключающий DLL Hell. Но другая группа в Microsoft нашла в DDE фатальный недостаток – его писали не они!

Для решения этой проблемы они создали OLE, и я наивно вспоминаю докладчика на Microsoft-овской конференции, говорящего, что скоро Windows API перепишут как OLE API, и каждый элемент на экране будет ОСХ-ом. В OLE появились интерфейсы, исключающие DLL Hell. Где-то в то же время Microsoft уверовала в религию С++, возникла MFC решившая все наши проблемы еще раз.

...мы внезапно поняли, что OLE (или это было DDE?) будет всегда – и даже включает тщательно разработанную систему версий компонентов, исключающую DLL Hell. В это время группа отступников внутри Microsoft обнаружила в MFC фатальный недостаток – его писали не они! Они немедленно исправили этот недочет, создав ATL, который как MFC, но другой, и попытались спрятать все замечательные вещи, которым так упорно старалась обучить нас группа COM. Это заставило группу COM (или это было OLE?) переименоваться в ActiveX и выпустить около тонны новых интерфейсов, а заодно возможность сделать весь код загружаемым через броузеры, прямо вместе с определяемыми пользователем вирусами.

...нам следует готовиться к Cairo, некой таинственной хреновине, которую никогда не могли даже толком описать, не то, что выпустить. К их чести, следует сказать, что они таки представили концепцию «System File Protection», исключающую DLL Hell. Но тут некая группа в Microsoft нашла фатальный недостаток в Java - её писали не они! Это было исправлено созданием то ли J, то ли Jole, а может, и ActiveJ, точно такого же как Java, но другого. Это было круто, но Sun засудило Microsoft по какому-то дряхлому закону. Это была явная попытка задушить право Microsoft выпускать такие же продукты, как у других, но другие.

Помните менеджера по J/Jole/ActiveJ, стучащего по столу туфлей и говорящего, что Microsoft никогда не бросит этот продукт? Глупец! Все это означало только одно – недостаток внимания к группе ActiveX (или это был COM?). Эта невероятно жизнерадостная толпа вернулась с COM+ и MTS наперевес (может, это стоило назвать ActiveX+?). Непонятно почему к MTS не приставили «COM» или «Active» или «X» или «+» – они меня просто потрясли этим! Они также грозились добавить + ко всем модным тогда выражениям. Примерно тогда же кое-кто начал вопить про «Windows DNA» и «Windows Washboard», и вопил некоторое время, но все это почило раньше, чем все поняли, что это было.

К этому моменту Microsoft уже несколько лет с нарастающей тревогой наблюдала за интернет. Недавно они пришли к пониманию, что у Интернет есть фатальный недостаток. И это приводит нас к текущему моменту и технологии .NET (произносится как «doughnut (пончик по-нашему)», но по-другому), похожей на Интернет, но с большим количеством пресс-релизов. Главное, что нужно очень четко понимать - .NET исключает DLL Hell.

В .NET входит новый язык, C#, (выясняется, что в Active++ Jspresso был фатальный недостаток, от которого он и помер). .NET включает виртуальную машину, которую будут использовать все языки (видимо, из-за фатальных недостатков в процессорах Интел). .NET включает единую систему защиты (есть все-таки фатальный недостаток в хранении паролей не на серверах Microsoft). Реально проще перечислить вещи, которых .NET не включает. .NET наверняка революционно изменит Windows-программирование... примерно на год.

Кто-то опять бросил валенок на пульт и всё пропало.

- Рунет

😘✨ Вот и начался новый год. Здоровья всем и благополучия. Оставаться собой в мире, который постоянно пытается сделать вас чем - нибудь другим -  величайшее достижение. Спокойный разум- лучшее оружие против ваших проблем. Поэтому расслабьтесь✨🌷

ЗЫ

Пользователи массово сообщают о свое в работе российского сегмента интернета. Не открываются сайты ни банков, ни поисковиков. Кроме того, наблюдаются неполадки в работе провайдеров и мобильных операторов.

Вместе с этим «лег» и сайт для проверки неполадок в сети.

Спасибо

В Роскомнадзоре заявили, что не знают причин падения интернета в России. 

https://xn--r1a.website/mash/60867

> не затронул протоколы, по которым работают мессенджеры

Стабильно работал конкретно один мессенджер - Telegram

Источник в одном из операторов сообщил «Ведомостям», что сбой связан с проблемами технических средств противодействия угрозам (ТСПУ) Роскомнадзора и Главного радиочастотного центра. Он напоминает, что с похожим сбоем пользователи Рунета столкнулись 30 января 2024 г. Тогда стали недоступны сервисы «Яндекса», МТС, «Билайна», «Мегафона», Ozon, «Сбера», ВТБ, «Тинькофф» и многих других. Проблемы тогда были связаны с набором расширений протокола DNS – DNSSEC. Он призван гарантировать достоверность данных при обращении к тому или иному ресурсу. Благодаря этому расширению в доменной зоне .ru гарантируется исключение вероятности подмены IP-адреса в результате атак.

Сейчас проблема затронула всех, кто работал через российских операторов связи с ТСПУ, подтвердил генеральный директор RUVDS Никита Цаплин. При этом доступность мессенджеров он объяснил тем, что сбой ТСПУ не затронул протоколы, по которым работают мессенджеры.

В работе сервисов Рунета произошел масштабный сбой
https://www.vedomosti.ru/technology/articles/2025/01/14/1086185-runeta-masshtabnii-sboi

День такой сегодня, извините. Новогодние закончились.

Зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин отметил, что документ определит единое регулирование порядка использования открытого и свободного программного обеспечения, доступного для любого желающего
. . .
"Минцифры России работает над созданием плана (концепции), который поможет развивать экосистему российских хранилищ открытого кода. Главная цель - улучшить использование "открытого" и "свободного" программного обеспечения и сделать его более безопасным. Кроме того, план включает создание профессиональных групп, которые будут работать с ПО с открытым исходным кодом", - сказал сенатор.

Минцифры работает над концепцией развития системы хранения и обмена ПО в РФ
https://tass.ru/ekonomika/22872309

Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как BackupPC, DeltaCopy и ChronoSync.
. . .
Для упрощения проверки обновления серверов до новой версии Rsync номер протокола в выпуске Rsync 3.4.0 повышен до 32.
. . .
CVE-2024-12084 - запись за пределы выделенного буфера через передачу некорректной контрольной суммы, размер которой превышает 16 байт.
CVE-2024-12085 - утечка содержимого неинициализированных данных из стека (по одному байту за раз) при выполнении операций сравнения контрольных сумм некорректного размера.

В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте
https://www.opennet.ru/opennews/art.shtml?num=62557

Rsync contains six vulnerabilities
https://kb.cert.org/vuls/id/952657

ЗЫ Ссылка на твит со скрина
https://x.com/KirillKorinsky/status/1879265433658020062

Шёл 2025 год 🌝

An Algol 68 front end for GCC
> 01 Jan 2025 03:09:44 +0100

This WIP is a GCC front-end for Algol 68, the fascinating, generally poorly understood and often vilified programming language. It is common knowledge that Algol 68 was well ahead of its time back when it was introduced, and anyone who knows the language well will suspect this probably still holds true today, but more than fifty years after the publication of the Revised Report the world may finally be ready for it, or perhaps not, we shall see.

https://lwn.net/Articles/1003916/

Полное описание тут
https://lwn.net/ml/all/20250101020952.18404-1-jose.marchesi@oracle.com/

ЗЫ

Срач относительно GPL, как и положено, присутствует по первой ссылке. Открытка @itpgchannel, так сказатб

tl;dr Rust and Go are both awesome

I hope this article has convinced you that both Rust and Go deserve your serious consideration. You should reject the false dilemma that you can only learn one or the other. In fact, the more languages you know, the more valuable you are as a software developer.

If you’re new to the tech industry, getting some skills in one or both of these two languages should be your priority. If you’re an established developer who doesn’t yet have Go or Rust on your resume, I think you’d be well advised to invest some time in acquiring them. Legacy languages such as C++, Python, Java, and friends will still be around for years to come, no doubt—that’s what “legacy” means—but they wouldn’t be the first things I’d pick up. New development in many large companies is now restricted to memory-safe languages only, which effectively means either Go or Rust, and probably the latter.

Rust vs Go in 2025
https://bitfieldconsulting.com/posts/rust-vs-go

Открытка @dereference_pointer_there

За этой историей наблюдаю с прошлого года и вот решил поделиться, потому что упорство впечатляет.

Человек никак не мог купить себе одну конфету в Ашане

> 3 октября 2024

решил десерт приобрести, но весы не могут пробить 1 конфету, просто не печатают из-за недовеса, вынуждая брать больше 

Но я хотел именно 1 штуку, поэтому отстоял очередь в кассу, где мне сказали, что пробить не могут никак, надо взвешивать. 

https://xn--r1a.website/pulpvr/459

Через какое-то время был придуман алгоритм для решения этой проблемы

> 15 октября 2024

Гайд, как купить одну единицу весового товара в Ашане:
1. Взвесить 
2. Ровно сфоткать штрих-код на весах 
3. Отсканировать экран телефона на кассе самообслуживания 

Одну виноградину протестить не успел 🍇

https://xn--r1a.website/pulpvr/468

> 17 октября 2024

После публикации последнего поста, расклад по Ашану поменялся кардинально. Старые правила больше не действуют, угнетатели обычных работяг предприняли все возможные меры
. . .
Что произошло? Они пофиксили отображение штрих-кода для товара на экране, выставив ту же весовую планку, что и для печати наклейки.
. . .
Но борьба продолжается. Если их ПО не может рассчитать мне штрих-код, рассчитает моё...

https://xn--r1a.website/pulpvr/471

> 12 января 2025

Удалось выкроить минутку, чтобы сделать приложение со штрих-кодами для КСО Ашан и быстрым доступом к каталогу, с помощью которого можно купить одну конфету 

https://xn--r1a.website/pulpvr/593

Собственно, в прикреплённом виде пример работы приложения

GitHub
https://github.com/spacebagel/OneCandyBuyer

Есть такая операционная система, которая зовётся Haiku. Цель этого проекта изначально была создать открытую версию коммерческой операционной системы BeOS, которая уже давно почила в веках (последний релиз был в 2000).

В интернете вся информация доступна, но есть даже книга
https://www.amazon.com/The-desktop-operating-system-Haiku/dp/3869558350

Часть этой книги доступна всем желающим (в комменты тоже положу)
https://www.haiku-os.org/files/Survey-Results-OS-Haiku.pdf

Haiku вполне себе ставится на "железо" (понятно, что не на всё). Вот например с Lenovo IdeaPad 100S-14IBR и ThinkPad T430S
https://www.hemrin.com/business-blog/exploring-haiku-os-part-1

На самом деле попыток сделать открытую версию было несколько, но выжила только Haiku.

Чего было в BeOS и переехало в Haiku

- Вытесняющая многозадачность
- Микроядерная архитектура
- BeFS (файловая система с расширенными атрибутами, умела в транзакционность и могла поддерживать терабайтные партиции)
- SMP (Symmetric MultiProcessing; потоки могли использовать несколько процессоров)
- ...

Я про неё знал давно, но в целом она не то что бы известна и популярна. Но недавно ворвались так нормально в информационное пространство и теперь про неё знает гораздо больше людей 🌝

Александр фон Глюк (Alexander von Gluck), входящий в совет директоров некоммерческой компании Haiku Inc, курирующей разработку операционной системы Haiku, сообщил о намерении до 16 марта заблокировать доступ пользователей из Великобритании к форуму проекта и другим платформам, на которых осуществляется взаимодействие с сообществом. Решение объясняется юридическими и финансовыми рисками, возникшими из-за принятого в Великобритании закона Online Safety Act, вступающего в силу 16 марта.
...
Отмечается, что у проекта нет ресурсов для юридического анализа и приведения инфраструктуры к требованиям закона. Выполнение требований усложняет необходимость выполнения большого объёма бюрократических процедур, связанных с подготовкой документации, описывающей процессы и оценивающей имеющиеся риски (перечень рисков занимает 84 страницы с запутанными и неоднозначными формулировками).
...
Предполагается, что без привлечения юристов сложно корректно заполнить все документы и выполнить требования закона. Игнорирование же закона создаёт существенные риски, например, размер штрафа за нарушение закона достигает 22 млн долларов.
...
Требования закона Online Safety Act связаны с модерацией контента, отправляемого пользователями, удалением содержимого, нарушающего законы Великобритании, и ограничением доступа детей к контенту для взрослых. Сайты, насчитывающие более 700 тысяч пользователей, обязаны на этапе публикации отслеживать, фильтровать и сканировать отправляемое пользователями содержимое (ссылки, тексты, изображения). Требования к остальным ограничивается необходимостью реагировать на жалобы, но дополнительно может потребоваться проведение анализа рисков, назначение ответственных и создание регламента рассмотрения жалоб.

Haiku ограничит доступ из Великобритании из-за риска нарушения закона Online Safety Act
https://www.opennet.ru/opennews/art.shtml?num=62579

Оригинал
Online Safety Act Notes for Small Sites
https://russ.garrett.co.uk/2024/12/17/online-safety-act-guide/

Сайт - https://www.haiku-os.org/
Англоязычный чат - @haiku_os
Русскоязычные чаты - @haiku_ru, @Haiku_RUS

Doom в Word'е

How it works

The Word document contains the library doomgeneric_docm.dll and doom1.wad game data encoded in base 64, which a VBA macro extracts onto the disk and then loads. Every game tick, doomgeneric.dll creates a bmp image containing the current frame and uses GetAsyncKeyState to read the keyboard state. The main VBA macro's game loop runs a tick in doom, then replaces the image in the document with the latest frame.

GitHub
https://github.com/wojciech-graj/doom-docm

ЗЫ У меня в LibreOffice не заработало. Было ожидаемо 🌝

Пост хороший, но вывод какой-то слишком убаюкивающий 🌝

Вот к чему мы пришли: предсказуемый и немного унылый вывод, что странное ещё не значит плохое. Мы проделали эту работу, вполне обойдясь без аппаратной лаборатории; хватило всего лишь запастись терпением и изобретательно погуглить.  

Честно говоря, осталась ещё одна невскрытая карта: в самой интегральной схеме SR9900 содержится два маленьких микроконтроллерных ядра — USB и Ethernet — и на каждом из них выполняется свой внутренний код. Если нам кажется, что производитель чипа в чём-то темнит, то почему бы не заглянуть в них. В Realtek предоставляется свободно распространяемый драйвер Linux для RTL8152, способный немного пропатчить память прошивки. Лично мне не кажется, что там имеет место какое-либо шифрование или цифровое подписывание.

Стоит ли беспокоиться, что кто-нибудь пришлёт нам из дальних стран вредоносную флешку? Если вы — учёный, занятый в иранской ядерной программе, то, пожалуй, стоит! Если вы состоите в совете директоров критически важной гражданской компании, то, пожалуй, некоторая осторожность также не повредит. Возможно, кто-то занимается промышленным шпионажем и заносит в Excel-табличку список всех ваших поставщиков — так, на всякий случай.

Но если я всего лишь администрирую домашнюю сеть, то, думаю, ничего страшного не случится.

Исследуем «вредоносную» флешку RJ45
https://habr.com/ru/articles/875124/

Оригинал
Investigating an "evil" RJ45 dongle
https://lcamtuf.substack.com/p/investigating-an-evil-rj45-dongle

Представитель «Ростелекома» сообщил «Ведомостям», что ранее оператор уже фиксировал инциденты нарушения информбезопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Утечка данных произошла, вероятно, из инфраструктуры подрядчика и компания уже приняла меры по устранению выявленных угроз, добавил он.

Как выкрали данные пользователей у «Ростелекома»
https://www.vedomosti.ru/technology/articles/2025/01/21/1087478-vikrali-dannie-rostelekoma

Данные чувствительные, в прямом смысле этого слова, как видно на скриншоте 🌝