https://github.com/ccxt/ccxt universal trading API library

https://ororo.tv/ru/channels/computerphile
Куча лекций по Computer Science

Тут ForkLog нас немного промоутит.

https://forklog.com/ukrainskie-blokchejn-entuziasty-zapustili-proekt-po-perevodu-white-paper-s-kriptovalyutnyh-proektov/

Биткойн $8050 🚀

Биткойн 500 000 руб. 🚀 localbitcoins.net

Этому графику три года. Его создатели ошиблись с прогнозом в $10к за один биткоин на 5 дней. Ждем $100к за BTC в июле 2021 года.

Тестирую сервис облачного майнинга HashFlire. Всегда считал подобные сервисы скамом и пирамидой, за которыми не стоит реального обеспечения оборудованием. Но вот конкретно эта контора вроде бы старая и всем всё платит, хотя с ними связана одна неприятная история — бессрочные контракты на майнинг ВНЕЗАПНО стали срочными со сроком в 1 год для старых клиентов. И бурления по этому поводу не утихают. Если нормировать в фиате то ROI примерно 100 дней, можно оплатить кредиткой. Закинул на тест $490 долларов, посмотрим.

https://hashflare.io/r/8770417A

На свой страх и риск если что.

Биткойн 1 000 000 руб. 🚀

На локале и в боте уже можно продать за миллион!

С Новым Годом, криптаны! 🚀🎆🎄

Криптоомежка:
- тщательно изучает объекты инвестиций
- диверсифицирует портфолио
- хеджирует риски
- седые волосы в 28, тремор, повышенное давление
- 15% профита за полгода

Криптоальфач:
- заходит всей котлетой в говнину, выбранную случайно
- знает о ней только её название
- 4 месяца подкатывает к противоположному полу
- вдруг возвращается, снимает х7, повторяет

Короче, появилась официальная информация, и там все ОЧЕНЬ-ОЧЕНЬ плохо. Проблем 2. Первая называется Meltdown, и относится к процессорам Intel. Это как раз о том самом доступе к защищенной памяти. Очень легко эксплуатируется, так что на какое-то время будет проблемой, пока все не проапдейтятся. Лечится обновлением операционных систем.
https://meltdownattack.com/meltdown.pdf

Вторая называется Spectre, относится ко ВСЕМ процессорам, включая Intel, AMD, ARM. Используя спекулятивное исполнение какого-нибудь приложения (которое обычно бы так не исполнялось), уязвимость позволяет обеспечить утечку данных жертвы. Для нее патча вроде как пока что нет. Пишут, что эксплуатировать эту проблему сложнее.
https://spectreattack.com/spectre.pdf

https://meltdownattack.com
Тут полезная секция вопросов и ответов
https://meltdownattack.com/#faq

Добро пожаловать в ад!

# Что

https://meltdownattack.com/

Meltdown / Spectre, худшие уязвимости ИТ за последние годы. Heartbleed и Krack по сравнению с ними — детский сад.

Из-за Meltdown обычный процесс может шариться во всей оперативной памяти — например, чтобы вытащить пароли или любые другие интересные данные. Подвержены все десктопные процессоры за последние десять лет, включая, судя по всему, и AMD.

Фиксить придется в операционных системах, в браузерах, словом — везде. Эксплойты есть даже на JavaScript (!).

Spectre же можно эксплуатировать вообще примерно везде, простого фикса нет и не предвидится.

Переводить детали уязвимостей не буду: кому интересно, прочитает и разберется по-английски, а кому нет — так и не надо.

# Подробнее и история

Сайт про уязвимости, с моднейшими логотипами и названиями как из фильмов про хакеров, все как полагается:
https://meltdownattack.com/

Подробнейшее описание от обнаруживших проблемы, Google Project Zero (ссылайтесь в будущем на него, а не на рандомные статьи «о господи, все пропало»)
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

И JavaScript тоже:
https://twitter.com/mraleph/status/948683329359970304
https://twitter.com/migueldeicaza/status/948715833605459969

AMD поспешили заявить, что проблема в Intel (на этом фоне акции Intel упали и началась истерика). Оказывается, черта с два:
https://twitter.com/internetofshit/status/948684798570188806

Подробное и простое описание уязвимости от @FioraAeterna, инженера компиляторов и «твиттер-знаменитости»:
https://twitter.com/FioraAeterna/status/948684092333158400

Что делают команды ОС, чтобы хоть что-то заштопать:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
https://twitter.com/aionescu/status/948818841747955713

Более-менее объяснение ситуации по-русски:
http://www.opennet.ru/opennews/art.shtml?num=47849

# И что теперь

Активно можно сделать мало что — просто накатывать обновления по мере выхода.

На уязвимость какую-то время было эмбарго, в результате которого в самых последних версиях macOS и Windows уязвимость уже немного заштопана. Amazon AWS и Azure тоже обновились.

К сожалению, от фикса все начинает работать медленнее. Я несколько не доверяю оценке в «фикс делает все на 30% медленнее», которую растиражиловали СМИ (хайп, истерика, о чем бы еще написать), кто-то даже придумал 50%, но вот есть тред от пользователей AWS, где видно, насколько все медленее:
https://twitter.com/internetofshit/status/948682685601509377
https://twitter.com/timgostony/status/948682862844248065

И, конечно, браузеры тоже подвержены проблеме: существует эксплоит аж из JavaScript.

# Что делать

Обязательно включить везде автообновления, в первую очередь на ОС и браузерах.

Придется обновиться на самые последние версии ОС. На старых версиях macOS отсидеться не получится, теперь действительно нужно обновляться на High Sierra.

Браузеры нужно обновить как только так сразу, однозначно есть уязвимость и в Google Chrome (хваленая изоляция не помогла), и в Firefox.

Часть облачных провайдеров уже обновилась, часть еще нет. В любом случае нужно ждать новых ядер для вашего дистрибутива и мгновенно обновляться. В январе ваши администраторы устроят вам перезагрузки серверов — если они не в спячке.

Все очень плохо, и масштаб проблемы (так же как и оценки того, мог ли ее кто-то эксплуатировать раньше) еще предстоит выяснить.

https://gist.githubusercontent.com/voyeg3r/955636/raw/5ae6d373878b595568c4c2adedc4650828aa8d15/keylog2.pl

Рабочий пример кейлоггера под линукс способный работать без режима суперпользователя.