Qualcomm тайно собирает данные со смартфонов пользователей без их согласия.

Источник: https://www.securitylab.ru/news/537814.php

В опасности 30% всех существующих Android-устройств, и банальной слежкой дело не ограничивается.

...

В проведённом специалистами Nitrokey исследовании было проверено несколько смартфонов, очищенных от сервисов Google. Такую процедуру специально проделывают некоторые пользователи Android, чтобы их конфиденциальные данные не собирались всеми любимой «корпорацией добра». 

...

Удивительно, но первое подключение «дегуглированного» телефона, согласно сетевым логам, происходит именно к «google.com». Хост «android.clients.google.com» обслуживает Google Play Store для периодической регистрации устройств, определения местоположения, поиска приложений и многих других функций. Странно, что смартфон без Google Play Store обратился по этому адресу.

Затем устройство подключилось к «connection.ecloud.global», который, согласно /e/OS, заменяет проверку подключения к серверу Google для «androidconnectioncheck.gstatic.com». Это тоже заставляет задуматься, почему анонимная дегуглированная операционная система всё равно подключается к сервисам Google? Может это какое-то глубинное отслеживание, внедрённое в код голого Android?

Однако дальше — интереснее: через две секунды телефон начал обмениваться данными с адресом «izatcloud.net». После тщательного поиска, кому принадлежит это доменное имя, исследователи Nitrokey пришли к выводу, что им владеет Qualcomm. К слову, на чипах Qualcomm сейчас работает порядка 30% вообще всех Android-устройств на планете.

При дальнейшем исследовании специалисты Nitrokey заметили, что пакеты отправляются по протоколу HTTP и не шифруются с использованием HTTPS, SSL или TLS. Это означает, что кто-либо ещё в сети, включая хакеров, правительственные учреждения, сетевых администраторов, операторов связи, местных и иностранных, может легко перехватить эти данные, сохраняя их и создавая историю записей, используя уникальный идентификатор и серийный номер телефона. Qualcomm же отправляет их в своё таинственное облако под названием Izat Cloud.

Передаю привет злочному айтишному чатику, в котором внезапно обнаружился человек, который считает, что всякая информация о его телефоне и местоположении никому неинтересна. Мало того, что интересна, так еще и MITM'ать ее можно легко :)

Продвинутым пользунам рекомендую почитать статью по ссылке и настроить фаервол на своих мобилках или сетевых железках, если у вас трубка с квалкомом.

Тут МегаФон выпустил мультик под названием "Ева: Связь сквозь время". Как раз было 20 минут до очередного созвона, оценил сей контент.

И мне понравилось. Да, есть огрехи в графоне некоторые (но некритичные), есть непонятки с физикой движений некоторые, но местами можно посмеяться, серии описывают современный взгляд на некоторые исторические события с подмешиванием фантазии.

Единственная проблема - из-за скомканности серий, недосказанности сюжета, и уже упомянутой мною проблемы с физикой движений, мультик не более, чем на один просмотр. Но любителям псевдонаучной фантастики должно зайти.

Хороший совет на будущее 😅

Mozilla начала тестирование собственной социальной сети на базе платформы Mastodon.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59079

Что ж, федиверс на слуху, появляются разные софтинки серверного толка, которые позволяют поднять свой сервер и микробложить "like in twitter", только не зависеть от Илонов Масков и прочей централизации.

Звучит хорошо, не правда ли? Я сам в федиверсе в том или ином виде присутствовал с 2012 года, и совсем недавно потушил Friendica. Почему? А вот почему:

- Самохост федиверсального инстанса - штука дорогая. В плане системных ресурсов. Вот, например, Mozilla взяла Mastodon. Проблема в том, что оно написано на рельсах, с кучей нужной обвязки вроде sidekiq, который допчиком может потребовать условный Redis или RabbitMQ. И вот стек раздут настолько, что для нормальной работы для вас одного ему нужно 4 ядра, 4 гигабайта оперативки, и гигов 50-100 на диске. А теперь представьте, что нужно для хотя бы пары тысяч активных пользователей.
- Диск вообще отдельная история - фактически, к вам будут стекаться файлы со всего федиверса. Например, мой мониторинг, пока работала моя friendica, с 50 друзьяшками каждые 20 минут алертил о большой дисковой нагрузке. Просто каждый кронозапуск демона, который ответственен за обмен данными между инстансами в федиверсе этот же демон выкачивал картинки-видосики-прочее и удалял старое (не трогая при этом загруженное мной). В mastodon все точно так же - отдельная асинхронная задача, стартуемая по крону, для очистки от старья, полученного с федиверса.
- Продолжая тему файлов, абсолютно всем реализациям социальных серверов в федиверсе глубоко параллельно любое местное законодательство. То есть если вдруг кто-то запостит ЦП - оно вам на сервер и выкачается, и ладно если у вас дедик с шифрованным диском (как у меня), а если условная VPS, на физическом хосте которой сканируются ваши файлы на предмет запрещенной информации?
- Ну и интерфейсы. Ничего более юзабельного, чем у Friendica, я так и не нашел. Твиттер-лайк интерфейс в Mastodon меня аж бесит, теряешься в столбцах, подавляющее большинство других реализаций красивые, с тенями, но не используют полезное место на экране по максимуму, ибо у всех же травмы шейного отдела и вы не можете ей покрутить, правда? Хотя и у Friendica с этим есть проблемы, но там хотя бы все пошире.

В общем, ждите, вангую закрытие сего эксперимента в недалеком будущем, просто потому что оно сожрет все ресурсы Mozilla :).

Натолкнулся на пост на ЛОРе о том, что в Yandex Cloud появилась фряха. И все бы ничего, вот только стоит она 7200 р. в месяц.

Образ собрал и запостил в маркетплейсе некий Юрий Медведев, предположительно работающий в Дубае на авиакомпанию Emirates.

Юрий, если вы вдруг прочитаете этот пост, то знайте, что такое поведение как минимум странное. А что, если мне ваш саппорт нафиг не сдался? Мне просто нужна виртуалка с фряхой?

В общем, будьте осторожны. Ссылка на сам "продукт".

Тем временем жетбрейнс факапнулись, похоже.

У вас также, скажем, https://youtrack.jetbrains.com/ открывается?

Накатал в своей вики масенькую статью о том, как запускать юниты при выходе из сна или гибернации.

Надеюсь, вам тоже пригодится :)

TL;DR для ленивых:

[Unit]
Denoscription=Sets keyboard RGB backlit.
After=sleep.target hibernate.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/aucc -c white -b 4

[Install]
WantedBy=multi-user.target sleep.target hibernate.target

Поправьте только раздел Service под себя.

В арче вылили обновление AUR'а видимо, теперь вот так:

% yay -Ss python | grep sdl
 -> Ошибка поиска в AUR: 1 error occurred:
        * status 200: Too many package results.

Придется идти на сайт и искать...

Jellyfin, кстати, очень хорош как медиасервер, рекомендую ;)

Власти ЕС в рамках готовящегося 11-го пакета санкций против РФ рассматривают вариант запрета на экспорт некоторых технологий и на использование ею некоторых объектов интеллектуальной собственности.

Source: https://news.1rj.ru/str/markettwits/240804

Поднять паруса!

Учитывая обстановку в мире, поток ссанкций и внезапных блокировок (привет, ipmitool), а также то, что гитхаб сегодня прилег отдохнуть (😅), многие наверняка задумывались вопросом "а если не github, то где?". Ответ простой - самохост! Любой сервис, который не ваш, может подвергать опасности доступность вашего кода, потому что они могут вас забанить, удалить репозиторий, применить так называемый "софт бан" (например, когда вы заходить и участвовать в других проектах можете, а какой-то ваш репозиторий заблокирован, причем вы об этом даже можете не знать - у вас все будет работать как всегда, а остальные будут видеть, например, DMCAшный страйк).

Конечно, самохост в любом случае удовольствие небесплатное - вы либо арендуете мощности у провайдера в виде виртуалки или дедика (выделенного сервера, физического), либо хостите у себя дома, либо покупаете сервер и ставите его в ДЦ. Выбирайте, вариантов много!

А вот список того, что можно поднять у себя:

- gitea + drone - вот вам сразу и github-like интерфейс, и CI/CD с киллерфичами вроде возможности запуска всего пайплайна локально (что удобно для отладки). Эту связку использую сам. Написано все на Go, работает быстро, кушает мало.
- gogs + drone - в принципе, то же самое, что и предыдущее, gitea - это форк gogs. Но упомянуть стоило.
- onedev - это AIO, и хостинг кода с мерж реквестами, и продвинутый трекер задач, и CI/CD родной имеется, причем с мышетыкательной настройкой всего пайплайна. Но на Java, а следовательно - может кушать ресурсы.
- gitlab - для любителей "потяжелее". Потяжелее - всмысле поедания ресурсов, для публичного инстанса рекомендую выделять 4 ядра, 8 ГБ оперативы. А так - полный аналог github, плюс свои фишечки, вроде интеграции с кубернетесом (правда, очень странной), prometheus/grafana для отображения метрик, всякие SAST/DAST, и прочее, и прочее.

Все вышеозначенные, кстати, могут регистрировать/аутентифицировать пользователей через LDAP, Github, Gitlab.com, Google и еще тонну других провайдеров. Изюминка у gitea/gogs - они могут аутентифицировать пользователей по SMTP логину и паролю (то есть по настоящей почтовой учетке).

В случае, если хочется чего-то новенького и немного странненького - посмотрите на phorge. Это форк Phabricator'а, который был написан в недрах Facebook'a*, поддерживался бывшим разрабом facebook'a*, а когда почти 2 года назад он отказался от поддержки - сообщество его форкнуло. Потихоньку пилят.

Для совсем странненького предлагаю сходить к fossil - там вообще тотальный AIO, включая форумы. Правда, настройка за рамками дефолтного конфига может потребовать немного поломать мозг и пописать шаблончики руками, а то и залезть в БД ручками. Зато настоящая распределенность! И написано на C, то есть ресурсы не жрет от слова "совсем".

А еще класс в том, что все это можно захостить на одноплатнике, лишь бы было 2-4 ГБ оперативки.

* - facebook и материнская компания Meta признаны экстремистскими на территории РФ и запрещены.

Новая уязвимость NetFilter позволяет локальным злоумышленникам повышать свои привилегии на целевых Linux-устройствах.

Источник: https://www.securitylab.ru/news/538066.php

Настало время обновлять Linux, Linux сам не обновится, обнови его еще раз! Ты должен делать rpm upgrade/apt update && apt upgrade семь раз на дню!

Но вообще использование этой уязвимости требует наличия локальной учетки, в которую можно войти, например, по SSH, поэтому в качестве рекомендации выдам вам поход в /etc/ssh/sshd_config для включения авторизации только по ключам, а также в /etc/shadow для поиска левых учеток и деактивации ненужных.

В KDE Plasma 6 будут включены по умолчанию Wayland и плавающая панель.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59120

Основные нововведения, которые затронут практически всех пользователей:

- Переход на Wayland по-умолчанию. Пользователи nvidia напряглись, ибо у них все не слава б-гу, начиная с EGLStreams, заканчивая странными проблемами в Wayland (причем не только из-за EGLStreams). Однако пользователям ноутбуков с дискреткой nvidia бояться особо нечего, если используют intel/amd для рендера, встроенные в CPU.
- Настройки по-умолчанию для панели задач с треем и часиками будут изменены. По умолчанию будет задействован плавающий режим показа панели, при котором имеются видимые отступы между панелью и границами экрана, придающие пользовательскому окружению самобытный вид. После появления в Windows 11 панели, похожей на старую панель KDE, некоторые пользователи считают, что KDE копирует оформление Windows, хотя в KDE подобная панель была предложена задолго до Windows 11.
- Для открытия файлов и каталогов по умолчанию будет требоваться двойной щелчок мышью, а не одинарный как было раньше.
- Будет изменён интерфейс переключения между задачами на "Thumbnail Grid". Ура! Теперь не придется скроллить переключатель окон, когда у тебя открыто всего-то 4+ окон.

KDE 6 ожидается осенью 2023 года.

Российский разработчик RISC-V решений CloudBEAR увеличил годовую прибыль в 15 раз.

Источник: https://servernews.ru/1086673/

Генеральный директор Cloudbear сообщил изданию, что в 2022 году компания смогла закрыть несколько крупных сделок по лицензированию своих продуктов. Вероятно, интерес к отечественным решениям на основе RISC-V также увеличился на фоне сложившейся геополитической обстановки, спровоцировавшей уход из РФ крупных зарубежных поставщиков чипов.

Приятно видеть, что RISC-V начинает набирать популярность и обороты. Ждем отечественных массовых процессоров на этой архитектуре?

Red Hat уволила программного менеджера Fedora в рамках сокращения штата.

Источник: https://servernews.ru/1086702/

В обязанности Коттона входила координация действий участников сообщества Fedora и заинтересованных сторон, включая Red Hat и поставщиков оборудования, управление выборами в сообществе Fedora и т.д. Коттон был в числе тех, кто реализовал программу CentOS Stream. «Хотя я больше не буду вносить свой вклад в качестве программного менеджера Fedora, я был участником Fedora задолго до того, как присоединился к Red Hat, и я не позволю им отнять это у меня. Я по-прежнему буду находиться рядом с Fedora »,— пообещал Коттон в своём блоге.

За одну реализацию CentOS Stream тебя бы стоило как минимум публично обругать и демонстративно больше никуда не принимать на работу. Это было эпичнейшее деструктивное действие.

Хотя стоит отметить, что IBM (которой принадлежит Red Hat и, следовательно, CentOS) уже несколько лет находится посередине то затухающего, то снова набирающего обороты скандала по поводу сокращения пожилых сотрудников и сотрудников, отработавших много лет в компании. Так, в конце 2021 кода IBM выделило в отдельную компанию бизнес "IBM Global Technology Services", назвалась Kyndryl, однако словила очередной иск на тему увольнения пожилого сотрудника, который отработал много лет в этой компании. С одной стороны, конечно, обновлять штат компании на более молодое и незашоренное поколение - это хорошо, с другой стороны, делать это надо вменяемо, а не как эффективные менеджеры. Договариваться, в общем.

Arch переформатирует структуру репозиториев, но коснется это по большей части только пользователей staging.

Источник: https://archlinux.org/news/git-migration-announcement/ (да-да, подписывайтесь на новости дистрибутива, который используете!)

Фактически, community объединится с extra, и первый будет пустым. В конечном счете, предполагаю, community из pacman.conf надо будет удалить. То есть обычным пользователям особо ничего делать не надо.

А вот тем, кто пользует staging, нужно будет ручное вмешательство, ибо он разбивается на core-staging и extra-staging.

А начнется эта вакханалия в пятницу утром, 19 мая.

Атака PMFault, позволяющая вывести из строя CPU на некоторых серверных системах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59136

Вкраце: на некоторых серверных материнках (Supermicro с поддержкой IPMI (X11, X12, H11 и H12) и ASRock) через PMBus, к которой есть доступ через I2C, можно подать повышенное напряжение на процессор и спалить его.

Ждем обновлений для BIOS этих материнок, а обладателям оных рекомендую по возможности убрать доступ к IPMI на этих материнках (например, удалив ipmitool, или отключив функционал в BIOS).

Последнее обновление микрокода процессоров Intel не связано с безопасностью, а его назначение держится в секрете.

Источник: https://3dnews.ru/1086835/poslednee-obnovlenie-mikrokoda-protsessorov-intel-ne-svyazano-s-bezopasnostyu-a-ego-naznachenie-dergitsya-v-sekrete

Рекомендую всем, у кого работа связана с ИТ, в особенности в критичных секторах, на всякий случай посмотреть на условном алиэкспрессе девайсы на ARM и RISC-V, так как этот патч может содержать все, что угодно - от исправления косяков криворуких инженегров и снижения производительности, до ввода платных подписочных функций CPU (вроде "за $10 в месяц вы получите доступ к аппаратному ускорению вычислений SHA256") и прекращению нормальной работы процессора в подсанкционных странах (то есть в РФ). Напомню, что есть такая штука, как Intel ME, которая с легкостью может заблокировать ваш процессор, и у которой есть прямой доступ ко всему оборудованию, включая сетевой адаптер (или Wi-Fi адаптер), используя который прошивка может получать команды с удаленного сервера.

Тем временем, вышедшая 20 дней назад версия RustDesk 1.1.9 имеет веб интерфейс в бете.

Скоро можно будет выкинуть Apache Guacamole! :)

Позавчера миграцию завершили. Что надо сделать обычным пользователям:

1. Обновить pacman до версии 6.0.2-7 или выше.
2. Вручную просмотреть /etc/pacman.conf и его обновленный вариант с постфиксом .pacnew и помержить изменения.