Исследователи обнаружили (с) новое вредоносное ПО под Linux(с). Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом загромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений.

Sad, but True!

В остальном бекдор, как и все прочие, требует наличия прав root для установки и конфигурации в системе.

https://www.opennet.ru/opennews/art.shtml?num=55054

В выходные пошел в отделение альфабанка отнести две долларовые бумажки (Отделение как бы новое, переехало в короновирусный год). И очень удивился, когда новые банкоматы отказались распознавать доллары. Я раз 10 попробовал на одной банкноте и один из банкоматов одну бумажку зачислил. Потом еще раз двадцать на другой и банкоматы так ее и не распознали. Потом сходил к нескольким старым-добрым банкоматам - тот же результат. Возвращают.

Что это за хрень? Это не запрет на прием. Это все-таки не смена стандартов проверки, потому что одну бумажку засосали. Или все-таки сбитые настройки всей сети?

по обращению ответили: [для решения] «понадобилось чуть больше времени, чем мы планировали».

Новый релиз получил сразу несколько заметных улучшений:

• поддержка OCSP (Online Certificate Status Protocol). Это новый протокол для отзыва X.509 (TLS). Использует нотацию ASN.1 поверх HTTP вроде такой:

    FooAnswer ::= SEQUENCE {
          questionNumber INTEGER,
          answer         BOOLEAN
      }
  

• новый модуль ngx_stream_set_module. модуль нужен для того, чтобы можно было определять переменные в конфигах. Наконец, доступен полноценный механизм if ($var) ... else ... .
• опция позволяет определить в командной строке лог файл для ошибок.
• опция запрета устанавливать шифрованные сообщения вообще - ssl_reject_handshake. Основное применение - добавить в описание default server и блокировать коннекты без явного хоста.
• в почтовый прокси добавлена опция proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
• опция с кучей параметров proxy_cache_path получила еще один «min_free». Специальный процесс cache manager мониторит свободное место и, если оно заканчивается, начинает вытеснять кеш. Опять же по заданным параметрам.
• убрали часть специфичных опций для HTTP/2 в пользу уже существовавших для HTTP/1. Они будут общие для обоих протоколов.
• добавлена опция proxy_cookie_flags для защиты от CSS (cross-site scripting). позволяет добавлять определенные HTTP хедеры для проксируемых соединений. Насколько может судить автор новости, раньше мы просто писали

                 add_header 'Access-Control-Allow-Origin' '*';
                 add_header 'Access-Control-Allow-Methods' blablabla
  

>>> Подробности

когда коту делать нечего, он скор считает. у лора нет статистики по скору? сколько у кого? топ? почему вообще звездочки экономить стали после 5?

Нашел сегодня на земле возле парковки какой-то хуавей с тремя камерами. Незалоченный незаблоченный. Прибрал с целью как обычно вернуть хозяину... а внутри примерно так: десяток игр, авито, сбер, телеграмм с последним сообщением «ты зачем ХОХЛА кинул??!», в контактах обязательная кристина с пирсингом и дутыми губами на лице, а когда пошел входящий вызов, я услышал про падл ментов, плюс появилась картинка с изображением, видимо, этой самой кристины в чьих-то фантазиях...

посмотрел на это все и че-то расхотелось отдавать. точнее вообще видеть владельца. так что отнес я примерно на то же место, закинул поглубже в снег под самый дутый джип и сказочки, надеюсь, конец.

Обратил внимание, что хуавей помимо трех камер имеет матовый экран, защитный чехол матовый - все очень скользкое, неудобное, никаких краев... Это вообще крутая модель для понтов, кому на эпл не хватило, или хуавей просто делает телефоны, чтобы неудобно?

p.s.

на андроиде, так что линукс.

Хочу подбросить вам картинку на ночь. Мне понадобился новый софт и я нанадолго выглянул из холодильника. Поставил Федору-xfce. И вот, что я увидел...

https://ibb.co/FBjCGkZ

этот ужас - это скринлокер из прошлого века сплющил новые федоровские обои (тож как из пейнта). В 1980х был такой фильм ужасов, «Зубастики» назывался. 1, 2 и 3 части. Они там мир съедали, оставляя черное вот это. И компьютерные эффекты были такими же. Как страшно жить-то... [захлопнул холодильник обратно]

Если кому интересно, конечно...

Павел Дуров повторил (для пущей убедительности, видимо), что рекламы в личных чатах не будет, а будет централизованное введение рекламы в каналах.

Павел Дуров «будет балансировать между затратами на привлечение рекламодателей и раздражением пользователей, которое может из-за этого возникнуть». В связи с запуском рекламной платформы у Telegram должен будет появиться отдел продаж в разных странах, что потенциально делает компанию уязвимой для претензий со стороны властей.

не на алкогольную и прочие... а

Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать).

https://www.opennet.ru/opennews/art.shtml?num=54566

а я всегда говорил, что когда программисты пишут свой пакетный менеджер до добра это не доведет. одно жаль, очень уж бездарный disclosure. бабки%( а могли бы творчески

CD Projekt взломали — хакеры получили исходный код игр и внутренние документы компании

Уже два топика про инглиш вижу за неделю. Пока не кончились выходные, спешу добавить третий. Кто у нас тут среди нейтивов постоянно живет, послушайте:

https://drive.google.com/file/d/1PWoK4nSKplHaYOWs-Rfd4NKknXkZ2ocC/view?usp=sh...

Мне сначала ритм и растягивание слов показалось необычным. Теперь я привык и уже не могу понять, был акцент или это typical american и просто автору так нравится.

p.s.

mv, может, ты знаешь?

Лицензия сканера безопасности NMAP признана несовместимой с Fedora

В качестве причины называется наличие в версии 0.92 лицензии пункта, дискриминирующего отдельные категории пользователей

https://www.opennet.ru/opennews/art.shtml?num=54382

Казалось бы надо хотя бы ответ от NMAP сперва услышать, а потом исключать. А то как уязвимости публиковать, так мы все за особый толерантный процесс, за 3 месяца предупредим. А как исключать, то вот бегом.

Как в современном интернете коротко и емко назвать раздел, куда я складываю ... эээ... ну вот пока сложил перевод (мой) интервью (комментарии к фильму)... потом вводную статью о литературе (не мою)... потом рядом техническую книги отдельным файлом - это уже вообще Downloads...

Texts - ни о чем... Reading? тип чтиво? Books? но это не все книги...

Контейнер для формирования универсальных исполняемых файлов основан на совмещении специфичных для разных операционных систем сегментов и заголовков (PE, ELF, MACHO, OPENBSD) в одном файле. Для обеспечения запуска одного исполняемого файла в Windows и Unix-системах применяется трюк, суть которого в кодировании файлов Windows PE в виде shell-скрипта, пользуясь тем, что Thompson Shell не использует маркер скриптов «#!». В итоге создаётся исполняемый файл, в котором скомбинировано несколько разных форматов, используемых в Unix, Windows и macOS.

https://www.opennet.ru/opennews/art.shtml?num=54325

там по ссылке еще прикольная видяшечка. (чем отлаживается?)

p.s.

надеюсь, не баян??

Захотел сделать новогоднее видео. Для этого при помощи редактора из кино вырезать всех как бы анти-персонажей типа гоблинов. Решил сделать это тихо, без шума и пыли. Просто придти к другу с виндой и там в адоб-премьер отрезать. Готовлюсь... Прихожу... А адобе не может загрузить mkv! Гоблины сделали меня всухую 1:0. Так... Засучиваю рукава... ну сейчас я вас тр*хну в стиле BSD и еще и скриншот на лор выложу! Обновляю фрибзд, собираю из портов shotcut... собираюсь ставить и смотрю что-то много тянет! аж 1 Гб! убираю все зависимости, пересобираю заново... ставлю 37 мб... запускаю этот гламур на QT5... готовлюсь уже отрубить гоблинам самые важные органы и тут... shotcut падает с segfault! Я опять запускаю, опять готовлюсь... и опять падает! Короче, reproducible bug. Судя по трейсу где-то в libmlt... вот вам значит... готов к десктопу в 2020... и что прикажете делать? репоритить и ждать следующего НГ? ставить виртуальные машины с Ubuntu и тестировать shotcut там? переходить на windows и изучать пинакл?

Я походу восточнее многих живу, раньше всех заметил.

После того, как фейсбук сменил морду, у меня сломался их мессенджер. Сначала он отправлял все в '????'-таком вот виде: https://ibb.co/zhsNc9R Теперь вообще No connection (vk рядом работает). Может, я их заблочил случайно? Какие хитрые порты-протоколы они теперь используют?

в интернете есть что-то про TURN, но у меня вроде эти порты не задействованы.

3478 for STUN (over UDP)
3478 for TURN over UDP – same as STUN
3478 for TURN over TCP – same as STUN and as TURN over UDP
5349 for TURN over TLS

В недавней теме Индексация в связи с падением курса был примерно такой диалог:

лоровец-не-проживающий-в-россии> Я слышал, что в РФ 200 000 рублей в месяц считается очень неплохим окладом, так ли это?

лоровец-из-россии> В регионах людей с такими зарплатами все остальные жители знают в лицо.

Я сделал тематическую фотографию, чтобы показать, что не все так однозначно. На снимке пара объявлений «на столбе»:

https://sun9-72.userapi.com/bVXXwTYfcg98M0u6rS-QmhxlI4H99cd88p36ow/MYg3EVgF6u...

Видимо, когда речь о котиках, деньги не имеют значения...

Зашел проверить, как дела на https://www.horriblesubs.info/, а там написано, что они закончили учиться, ушли в реальную жизнь и переводить больше не будут. Если это не дефейс, то кто сейчас регулярно делает с англ. сабами? Хотя я уже сто лет ничего не смотрю из новых аниме (хороших нет), но хочу следить, что выходит.

сдох фотоэкспонометр, я его раскрутил и там внутри какая-то шняга (коричневая на фото), к ней провод идет.

https://ibb.co/nkFR8wz

кто может предположить что это? отражатель? заземлитель? охладитель? или че вообще за хрень?

спрашиваю потому, что есть идея взять такой же и залить внутрь силиконовый герметик, чтобы на улице можно было спокойно использовать.

Собственно сабж. Новый релиз «базовой системы» Linux. Опять попытка объять необъятное и большущий changelog, который админы systemd должны выучить. Опять несовместимые изменения, которые «должны быть автоматически сконвертированы»

«StandardError= and StandardOutput= in unit files no longer support the „syslog“ and „syslog-console“ switches.»

Ес-но, use case, где используется центральное управление конфигами не учитывается. То есть, как обычно, Поттеринг как бы обо всем позаботился, но на самом деле в каждом релизе что-нибудь ломают. Я вообще не помню, чтобы раньше init за меня переписывал конфиги.

changelog: https://raw.githubusercontent.com/systemd/systemd/master/NEWS

opennet: https://www.opennet.ru/opennews/art.shtml?num=53468

Из новостей с опеннета за одну неделю: Нэт Фридмэн (Nat Friedman), руководитель GitHub подтвердил намерение компании перейти по умолчанию на использование для основных веток имени «main» вместо «master», а Проект OpenZFS из-за политкорректности избавился от упоминания слова «slave» в коде.

Мы с Томарой ходим парой? (с) (И если она сверху, то я должен говорить про нее main?)