Вышла первая версия Homescript — движка для автоматизации умного дома на Lua

Проект ориентирован на простоту и гибкость: интеграция через MQTT, поддержка Zigbee (Zigbee2MQTT), Frigate и других устройств.

Ключевые возможности:

• Автоматическое обнаружение устройств.
• Наглядность. Основа всего — каталог со скриптами, создаваемый при поиске устройств.
• Скрипты на Lua — легко даже для новичков.
• Событийная логика: реакция на изменения в реальном времени.
• Минимальное потребление ресурсов — работает на Raspberry Pi. И не просто работает, а потребляет очень скромную долю памяти и ресурсов CPU.

Homescript — открытая альтернатива сложным системам вроде Home Assistant, без привязки к облакам.

>>> Исходный код

>>> Homescript

Состоялся выпуск Tewi 2.0.0 — консольного приложения с текстовым интерфейсом (TUI) для управления BitTorrent-клиентами. Программа позволяет подключаться к демонам Transmission, qBittorrent и Deluge, просматривать и управлять списком торрентов, добавлять новые закачки, выполнять поиск по популярным трекерам. Поддерживаются различные режимы отображения (карточки, компактный, однострочный), просмотр детальной информации о торрентах (файлы, трекеры, пиры), управление категориями и метками, переключение альтернативных лимитов скорости. Интерфейс построен на базе библиотеки Textual. Код написан на Python и распространяется под лицензией GPLv3+.

( читать дальше... )

>>> GitHub

На платформе crates.io вскрыт новый случай компрометации цепочки поставок ПО: вредоносный пакет на Rust незаметно заражал рабочие станции разработчиков Web3, маскируясь под вспомогательный инструмент для Ethereum Virtual Machine и подстраиваясь под три популярные десктопные операционные системы.

Пакет под названием «evm-units» появился в репозитории в середине апреля 2025 года от пользователя «ablerust» и за восемь месяцев набрал более 7 тысяч загрузок. Тот же автор опубликовал пакет «uniswap-utils», где «evm-units» был указан как зависимость, что обеспечило ему ещё свыше 7,4 тысячи загрузок. Оба проекта уже удалены с площадки, однако вредоносный код успел широко разойтись по экосистеме.

По данным компании Socket, вредоносный функционал скрыт внутри на первый взгляд безобидной функции «get_evm_version()». Вместо того чтобы только возвращать версию Ethereum, она определяет операционную систему, проверяет, запущен ли процесс «qhsafetray.exe», и обращается к внешнему ресурсу «download.videotalks[.]xyz» за следующим этапом атаки.

В зависимости от платформы загружается и в фоновом режиме запускается отдельный компонент: на Linux это сценарий, сохраняемый в каталоге /tmp/init и запускаемый через nohup, на macOS загружается и исполняется файл init через osascript и nohup, а на Windows в каталог временных файлов записывается PowerShell-скрипт «init.ps1» с дальнейшим скрытым запуском.

Сотрудница Socket Оливия Браун связывает такую логику с целенаправленной ориентацией на пользователей в Китае и более широком азиатском регионе, где рынок розничных криптовалютных сервисов остаётся одним из крупнейших.

Ссылки на EVM и протокол Uniswap позволили злоумышленнику органично вписать вредоносный код в инфраструктуру Web3 и выдать его за полезные утилиты для работы с Ethereum. Дополнительный риск создала цепочка зависимостей: включение «evm-units» в популярный пакет «uniswap-utils» привело к тому, что вредоносный загрузчик автоматически выполнялся при инициализации проектов, использующих эту библиотеку.

Инцидент демонстрирует, насколько опасными становятся атаки через открытые репозитории кода и насколько критично для разработчиков блокчейн-проектов внимательно отслеживать состав и происхождение подключаемых модулей.

>>> Linux, macOS, Windows — вредонос адаптировался под все три системы.

Тихо и незаметно вышла первая версия проекта geoip — self-hosted сервиса GeoIP REST API, написанного на Rust.

( читать дальше... )

>>> GitHub

Навеяно этим

Владельцы автомобилей Porsche из России стали жаловаться на нестабильную работу своих транспортных средств. По данным клуба «Porsche Россия», у автомобилей бренда могут возникать ошибки двигателя, а также проблемы с коробкой передач. В некоторых случаях авто не заводятся или глохнут сразу после запуска. Причиной является активное использование в российских городах «глушилок». Но решение проблемы уже нашли умельцы.

Чаще всего проблемы в работе автомобилей Porsche возникают из-за встроенной спутниковой системы Vehicle Tracking System (VTS). Речь идёт о фирменной противоугонной системе автопроизводителя, которая позволяет блокировать авто в экстренных ситуациях, а также отслеживать местоположение транспортного средства в режиме онлайн.

«Ситуация вполне решаемая и, как правило, не требует столь сложного и дорогостоящего вмешательства», — рассказал специалист. В сообщении сказано, что для решения проблемы можно отключить АКБ на 6–10 часов или включить зажигание, снять минусовую клемму с аккумулятора, вставить обратно, а затем провернуть ключ. Если же авто заглушится, то опять активируется защитный режим, поэтому процедуру придётся проделывать снова. Другой вариант решения проблемы заключается в удалении блока VTS, который в настоящее время не актуален на территории России из-за санкций. В специализированных центрах такая процедура стоит около 50 тыс. рублей.

Так-то, подумать, 500 ойро. Копейки по сравнению с тем, сколько можно выручить за угнанный порше.

Противоугонная система, которая взламывается за 500 ойро - куда катится мир? ;)

Simple Viewer GL – лёгкий просмотрщик изображений.

Simple Viewer GL – это однооконное приложение. В строке статуса, которую можно отключать клавишей i, отображается базовая информация: формат, разрешение, размер в памяти, размер на диске. В режиме информации о пикселе, который включается клавишей p, отображается бабл с информацией о позиции, цвете пикселя, параметрах выделенной области.

Simple Viewer GL умеет определять тип файла по его сигнатуре (параметр -a), а не только по расширению файла. Поддерживается рекурсивный обход директории (параметр -r).

Есть возможность менять в рантайме тип фона (три базовых цвета + шахматная доска) окна или задавать кастомный цвет, что удобно при просмотре изображений с прозрачными пикселями.

( читать дальше... )

>>> Simple Viewer GL on GitHub

и в облаке создавалась структура типа ./001/002/003.dat

Просто в дистре есть скажем:

cryfs
Создаёт хранилище вида:
drwxr-sr-x 2 n0mad strong    3 ноя  9 20:31 005
drwxr-sr-x 2 n0mad strong    3 ноя  9 20:31 008
drwxr-sr-x 2 n0mad strong    3 ноя  9 20:31 00B
...
drwxr-sr-x 2 n0mad strong    3 ноя  9 20:31 FFE
drwxr-sr-x 2 n0mad strong    3 ноя  9 20:31 FFF
И там располагает структуру.

ecryptfs:
drwxr-sr-x 3 n0mad strong 3 ноя  9 20:31 ECRYPTFS_FNEK_ENCRYPTED.FWbz0qqaXqhH6-VL8Ra3a5CmNiHC-OIz2tihMsmbuZJgVaQPdG88ORpO0---
drwxr-xr-x 2 sys0p sys0p  2 ноя  9 20:54 ECRYPTFS_FNEK_ENCRYPTED.FWbz0qqaXqhH6-VL8Ra3a5CmNiHC-OIz2tihZpisonVIjZ2iR6.t4KFHeU--
drwxr-sr-x 2 n0mad strong 2 ноя  9 20:26 ECRYPTFS_FNEK_ENCRYPTED.FXbz0qqaXqhH6-VL8Ra3a5CmNiHC-OIz2tih3y1NtyQxGgr4gysHyNPXGvHDqAlP2lMebAlw1BSJEJ6-

encfs:
drwxr-xr-x 2 n0mad strong 2 ноя  9 20:54 g7TOiGmR90
drwxr-sr-x 3 n0mad strong 3 ноя  9 20:32 Hgpn0,,
drwxr-sr-x 2 n0mad strong 2 ноя  9 20:19 h-S85I1VmjUAC2ZTjL5Ay,Ct,rC

Разработичики OpenSUSE представили zssh — реализацию протокола SSH на языке Zig. В разработке реализована работа с ключами и сертификатами, а также взаимодействие с ssh-agent. Алгоритмы шифрования поддерживаются с помощью уже существующих библиотек.

В качестве целей разработки называются возможности языка для легкого расширения с целью реализации постквантовых алгоритмов шифрования и расширением протокола в целом. Изначально в проект заложена поддержка криптографических библиотек libcrypto и leancrypto.

>>> Код проекта (лицензия GPLv3)

>>> Подробности

Вышла версия v1.0.0 текстового клиента Tewi для управления демонами BitTorrent-клиентов.

Главное изменение в этом релизе - добавлена поддержка qBittorrent наряду с уже поддерживаемым Transmission.

Проект написан на Python и использует фреймворк Textual для реализации интерфейса. Лицензия - GPLv3+.

( читать дальше... )

>>> Полный список изменений

Группой депутатов во главе с первым зампредом комитета по информационной политике, информационным технологиям и связи Антоном Горелкиным внесен в Госдуму законопроект, устанавливающий административную ответственность за авторизацию в интернете на сайтах/приложениях/информационных системах не предусмотренными законом способами.

Сами требования к авторизации пользователей вступили в силу с 01 декабря 2023 года, однако за их неисполнение до настоящего времени не предусмотрено какой-либо ответственности.

( читать дальше... )

>>> Страница законопроекта

Здравствуйте мои маленькие любители security и родного начальства. Сегодня я расскажу вам об очередной его победе, на ниве защиты персональных данных:

В даркнете появилось объявление о продаже базы данных объёмом около 3 ТБ, которая, по словам продавца, была получена после взлома двух крупных российских СМС-агрегаторов.

В архиве базы данных содержатся имена пользователей, номера телефонов, IP-адреса, банковские уведомления, коды подтверждения и другие сообщения.

На момент публикации официальных комментариев от компаний-агрегаторов, операторов связи или регуляторов РФ не поступало. Да и вообще это, как водится одно большое:

ВРЁТИ

и

FAKE NEWS

https://habr.com/ru/news/957766/

Состоялся выпуск каталогизатора домашней библиотеки MyLibrary 4.2.1. Код программы написан на языке программирования С++ и доступен (GitHub, GitFlic) под лицензией GPLv3. Графический интерфейс пользователя реализован с помощью библиотеки GTK4. Программа адаптирована для работы в операционных системах семейства Linux и Windows. Для пользователей Arch Linux в AUR доступен готовый сценарий сборки пакета. Для пользователей Windows доступен экспериментальный инсталлятор.

MyLibrary каталогизирует файлы книг в формате fb2, epub, pdf, djvu, odt, txt, md, как доступные напрямую, так и упакованные в архивы (zip, 7z, jar, cpio, iso, tar, tar.gz, tar.bz2, tar.xz, rar), и создаёт собственную базу данных, не изменяя исходные файлы и не меняя их положения. Для каталогизации также доступен формат fbd (файл книги упакованный в архив вместе с файлом с расширением fbd, содержащем тэг description формата fb2). В формате fbd могут храниться любые файлы, не только книги. Контроль целостности коллекции и её изменений осуществляется за счёт создания базы данных хэш-сумм файлов и архивов.

( читать дальше... )

>>> Подробности на OpenNET

16 октября, после более года разработки, состоялся выпуск 15.0.0 быстрой кроссплатформенной консольной утилиты ripgrep, предназначенной для многопоточного рекурсивного поиска текста в файлах.

По умолчанию ripgrep использует поиск по регулярному выражению в файлах текущей директории, учитывает правила .gitignore и автоматически пропускает двоичные файлы и скрытые файлы и директории.

( читать дальше... )

>>> Подробности на GitHub

Даже пользователь без прав администратора способен вызвать необратимую рассинхронизацию дисков.

В Linux обнаружена серьёзная уязвимость, существующая уже более десяти лет, и связана она с механизмом программного RAID при использовании флага O_DIRECT. Проблема позволяет привести массив в несогласованное состояние, причём без каких-либо ошибок или предупреждений со стороны системы. Несмотря на то, что баг впервые был зарегистрирован ещё в 2015 году, интерес к нему вновь возрос в контексте современных задач, таких как живая миграция виртуальных машин.

( читать дальше... )

>>> Подробности

Вышел первый релиз Epha-ots, ПО для обеспечения обмена одноразовыми зашифрованными сообщениями.

( читать дальше... )

>>> Код на GitHub

Состоялись выпуски Newsraft 0.33 и 0.34, консольной программы для просмотра RSS-лент. Проект во многом вдохновлён Newsboat и преследует цель быть его облегчённым аналогом.

Примечательные возможности Newsraft:

• параллельные загрузки;
• группировка лент по разделам;
• настройки для открытия ссылок любой командой;
• просмотр новостей всех лент в explore-режиме;
• автоматические обновления лент и разделов;
• назначение нескольких действий для клавиш;
• текстовый поиск по заголовкам и содержанию новостей;
• сортировка по времени, алфавиту, прочитанности;
• детальные отчёты об ошибках при обновлениях;
• поддержка практически всех форматов лент;
• импорт/экспорт лент в формате OPML.

( читать дальше... )

>>> Подробности

Ведущий блога Anagogistis, обнаружил серьёзные уязвимости в Linux-клиентах PureVPN, которые подрывают базовые гарантии анонимности и защиты трафика. Проблемы затрагивают как графическую версию (2.10.0), так и консольную (2.0.1). Обе были протестированы на Ubuntu 24.04.3 LTS.

Главная брешь связана с тем, что при переподключении к Wi-Fi или выходе системы из спящего режима реальный IPv6-адрес пользователя становится видимым. В консольном клиенте с активированной функцией Internet Kill Switch сервис автоматически сообщает о восстановлении соединения, но в это время система получает маршруты IPv6 через Router Advertisements, и пакеты начинают уходить в обход VPN-туннеля. Так как политика ip6tables по умолчанию остаётся в состоянии ACCEPT, трафик свободно покидает компьютер напрямую.

GUI-клиент добавляет ещё больше риска. При разрыве соединения он корректно блокирует IPv4 и выводит уведомление о потере сессии, но при этом IPv6-трафик продолжает передаваться без ограничений до тех пор, пока пользователь вручную не нажмёт кнопку Reconnect. Таким образом, остаётся значительный временной промежуток, когда данные уходят в открытый интернет.

Не менее опасен и способ, которым клиент работает с настройками брандмауэра.

( читать дальше... )

>>> Подробности

В сеть утекли свыше 500 ГБ внутренних данных «Великого китайского файрвола».

В Китае произошла крупнейшая в истории утечка данных системы, известной как «Великий китайский файрвол». Как подтвердили независимые исследователи, в открытый доступ попало свыше 500 ГБ внутренних документов, включая исходный код, рабочие журналы и рабочие сообщения, относящиеся к этой системе.

Сообщается, что в утечке содержатся полные сборочные материалы для платформы глубокого анализа пакетов (DPI). Они раскрывают архитектуру коммерческой платформы Tiangou, которая позволяет провайдерам и пограничным шлюзам выявлять и блокировать инструменты обхода цензуры, такие как VPN, SSL-фингерпринтинг и регистрация сессий.

Документы свидетельствуют, что данная система развернута в 26 дата-центрах Мьянмы, где используется для мониторинга более 81 млн одновременных TCP-соединений и массовой блокировки контента.

Известно, что архив был скопирован хакерскими группами, в том числе Enlace Hacktivista

>>> Подробности

Вышло обновление пакета программ для работы в Фидонет. Комплект содержит набор последних версий классических программ ФИДО (только свободное ПО): мейлер для получения почты через Интернет, тоссер для обработки сообщений и редактор сообщений.

Кратко об основных изменениях в этой версии:

• улучшена поддержка платформ: Linux, Android (в Termux), FreeBSD, NetBSD, OpenBSD и Dragonfly BSD.
• конфигуратор пакета теперь позволяет настроить адрес прокси-сервер для работы мейлера binkd и загрузки обновлений списка узловых станций (нодлиста);
• в узловых конфигурациях для мейлера binkd, если он собран с поддержкой perl, автоматически включаются perl-hooks для разбора поступивших обновлений списка узловых станций (нодлиста);
• для отчетов о состоянии узла ФИДО, которые публикуются в эху .robots, написана новая утилита sysmon (как отдельный проект здесь: https://sysmon.sourceforge.io). Она выводит информацию о текущем состоянии операционной системы и для работы не требует привилегий суперпользователя;
• в новом разделе загрузок linux (https://sourceforge.net/projects/fidoip/files/linux/) выложены образы дистрибутива FIDOSlax Retro Edition, в котором пакет fidoip уже встроен.
• разделе загрузок videoguide (https://sf.net/projects/fidoip/files/media/videoguide/) выложены новые видеоролики по настройке поинта и узла для разных операционных систем.

Комплект fidoip прост в настройке. Используя его, вы можете легко подключиться к Фидонет (предварительно нужно связаться с системными операторами сети, список которых приведен в документации), а также быстро поднять свой узел ФИДО.

>>> http://sourceforge.net/projects/fidoip

AliveColos — это растровый графический редактор с поддержкой широких возможностей для обработки изображений, включая слои, различные цветовые пространства, множество эффектов, векторные операции, операции с текстом и другие.

Программа доступна бесплатно для некоммерческого использования и включена в «Единый реестр российских программ для электронных вычислительных машин и баз данных» (№ 4285).

( читать дальше... )

>>> Подробности