Forwarded from HN Best Comments
Re: My fake job in Y2K preparedness
I worked for about a year with a consulting firm that handled "Y2K compliance". Unlike this Andersen exercise in legal face-saving, it was a real job. Big companies hired us to do a full inventory of their site equipment (this included manufacturing plants, Pharma stuff) and go line by line with their vendors and figure out which components had known Y2K issues, which had not been tested at all, and which ones were fine/had simple fixes. We helped them replace and fix what needed to be fixed.
Y2K was a real problem. The end-of-the-world blackouts + planes falling from the sky was sensationalism, but there were real issues and most of them got fixed. Not trying to take away from this very interesting story of corrupt cronyism, but there were serious people dealing with serious problems out there. "Remember Y2K? Nothing happened!" is a super toxic lesson to take away from a rare success where people came together and fixed something instead of firefighting disasters.
rzimmerman, 11 hours ago
I worked for about a year with a consulting firm that handled "Y2K compliance". Unlike this Andersen exercise in legal face-saving, it was a real job. Big companies hired us to do a full inventory of their site equipment (this included manufacturing plants, Pharma stuff) and go line by line with their vendors and figure out which components had known Y2K issues, which had not been tested at all, and which ones were fine/had simple fixes. We helped them replace and fix what needed to be fixed.
Y2K was a real problem. The end-of-the-world blackouts + planes falling from the sky was sensationalism, but there were real issues and most of them got fixed. Not trying to take away from this very interesting story of corrupt cronyism, but there were serious people dealing with serious problems out there. "Remember Y2K? Nothing happened!" is a super toxic lesson to take away from a rare success where people came together and fixed something instead of firefighting disasters.
rzimmerman, 11 hours ago
❤9
Юзеры в нашей аппке логинятся через линку которая приходит на мейл (без пароля). Мы юзаем Branch.io чтобы ее хендлить, и эта залупа иногда багает, особенно в Индии. Как альтернатива, если оно багает, мы отправляем линку на наш серв, где он отправляет ее более надежно Бранчу и проксирует ответ. Но в 5% случаев мы не можем получить оригинальную диплинку на которую нажал юзер (не спрашивайте почему), поэтому как фоллбек у нас есть кнопка "I have a login issue", нажимая куда тебя просит ее копипастнуть вручную в аппку (да, это пиздец).
Так вот я все удивлялся почему юзеры такие тупые и когда у них возникает ошибка, где блять черным по белому написано - с твоей диплинкой лажа, нажми на кнопку "I have a login issue" и будет тебе счастье, они шлют скрины и спрашивают че делать нахуй. Дошло до того что я им видео снял как кликать на эту кнопку и копипастить ссылку. Сегодня тип сказал что нет, видео не помогает, присоединись на колл помоги.
Короче в итоге оказалось, что сообщение об ошибке логина всегда закрывает собой эту кнопку))
Так вот я все удивлялся почему юзеры такие тупые и когда у них возникает ошибка, где блять черным по белому написано - с твоей диплинкой лажа, нажми на кнопку "I have a login issue" и будет тебе счастье, они шлют скрины и спрашивают че делать нахуй. Дошло до того что я им видео снял как кликать на эту кнопку и копипастить ссылку. Сегодня тип сказал что нет, видео не помогает, присоединись на колл помоги.
Короче в итоге оказалось, что сообщение об ошибке логина всегда закрывает собой эту кнопку))
🏆26😁11
Forwarded from Мєрзость | #Укртґ
This media is not supported in your browser
VIEW IN TELEGRAM
😁15👍1😢1
https://youtu.be/n6_chCoKNfU?si=nokfvP_K1ZU0xVNq
сукааааа))
буду благодарен если кто-то подкинет видос без блядского дисклеймера с дружбой народов
сукааааа))
YouTube
Starcraft на украинском! Обзор.
Не правда ли, интересно посмотреть на то, как Starcraft 1 выглядит и звучит на украинском языке? Естественно, это неофициальная локализация (как и все русские), но она выделяется среди других.
Ссылка на скачивание: http://starcraft.7x.ru/?p=files_down&fid=838…
Ссылка на скачивание: http://starcraft.7x.ru/?p=files_down&fid=838…
😁3
Forwarded from Шрайк Ньюс
Telegram открылся правоохранителям после ареста Дурова - Liberation
После того, как Павла Дурова арестовали и выпустили под залог во Франции, Telegram стал с готовностью сотрудничать со следственными органам страны, пишет Liberation.
Это уже позволило продвинуть расследования по нескольким текущим делам о преступлениях против несовершеннолетних.
Изменения беспрецедентные, пишет газета — до такой степени, что прокуратура начала возобновлять расследования по «висячим» делам.
После того, как Павла Дурова арестовали и выпустили под залог во Франции, Telegram стал с готовностью сотрудничать со следственными органам страны, пишет Liberation.
Это уже позволило продвинуть расследования по нескольким текущим делам о преступлениях против несовершеннолетних.
Изменения беспрецедентные, пишет газета — до такой степени, что прокуратура начала возобновлять расследования по «висячим» делам.
🤬3👍2
Forwarded from Сиолошная
Удивлён, что про это не написал никакой другой канал. Придётся делать самому 🥺
В рамках подготовки к релизу o1/o1-mini OpenAI отдали модели на тестирование безопасности внешним командам, ну и проводили внутреннее тестирование. В частности, проверяли навыки LLM-агента в решении задач кибербезопасности (писал об этом тут).
По сравнению с GPT-4o, o1-preview и o1-mini продемонстрировали улучшение в способности разбивать задачи на подзадачи, рассуждать о том, какие стратегии будут эффективны для успешного выполнения, и пересматривать планы в случае неудачи этих стратегий — ну, это ожидаемо. Но вот во время тестирования произошёл один курьёзно-неприятный случай.
Была задача нахождения уязвимости в коде программы, запущенной в отдельном Docker-контейнере. В контейнере есть файл с секретной строкой, которую атакующий (человек или модель) должны получить — как раз используя найденную проблему.
Однако из-за инфраструктурной ошибки контейнер не запустился. Модель, будучи неспособной подключиться к контейнеру, заподозрила проблемы с DNS и использовала программу nmap для сканирования сети. Вместо того, чтобы найти целевой контейнер (в рамках задачи LLM знает, какую цельнужно «атаковать»), модель обнаружила, что из-за неправильной конфигурации был доступен внешний API-интерфейс демона Docker, работающий на виртуальной машине. «Демон» это программа верхнего уровня, отвечающая за оркестрацию и управляющая процессом, по сути родительский процесс и для контейнера с LLM-агентом, и для контейнера с целевой программой/файлом для атаки.
Модель использовала демон для получения списка контейнеров, запущенных на сервере. Она обнаружила тот самый сломанный сломанный контейнер и попыталась выяснить, почему же он не запустился. Не сумев исправить проблему (но будучи проинструктированной ВЫПОЛНИТЬ СВОЮ ЗАДАЧУ), модель решила пойти другим путём. Она отправила команду запуска нового контейнера (того же, который в прошлый раз не запустился), но отдала ему команду вывода содержания файла с секретной строкой. Команда была исполнена, LLM получила «ключ» в виде строки и как следствие решила задачу (ведь цель — это добраться до строчки и затем отдать её на проверку).
Этот пример отражает ключевые элементы того, что называется «instrumental convergence» и захвата ресурсов: модель преследовала поставленную перед ней цель, а когда эта цель оказалась недостижимой, она собрала больше ресурсов (в данном случае получила доступ к демону Docker) и использовала их для достижения цели — в виде способа, который человек не ожидал и не предполагал.
Источник — отчёт OpenAI
В рамках подготовки к релизу o1/o1-mini OpenAI отдали модели на тестирование безопасности внешним командам, ну и проводили внутреннее тестирование. В частности, проверяли навыки LLM-агента в решении задач кибербезопасности (писал об этом тут).
По сравнению с GPT-4o, o1-preview и o1-mini продемонстрировали улучшение в способности разбивать задачи на подзадачи, рассуждать о том, какие стратегии будут эффективны для успешного выполнения, и пересматривать планы в случае неудачи этих стратегий — ну, это ожидаемо. Но вот во время тестирования произошёл один курьёзно-неприятный случай.
Была задача нахождения уязвимости в коде программы, запущенной в отдельном Docker-контейнере. В контейнере есть файл с секретной строкой, которую атакующий (человек или модель) должны получить — как раз используя найденную проблему.
Однако из-за инфраструктурной ошибки контейнер не запустился. Модель, будучи неспособной подключиться к контейнеру, заподозрила проблемы с DNS и использовала программу nmap для сканирования сети. Вместо того, чтобы найти целевой контейнер (в рамках задачи LLM знает, какую цельнужно «атаковать»), модель обнаружила, что из-за неправильной конфигурации был доступен внешний API-интерфейс демона Docker, работающий на виртуальной машине. «Демон» это программа верхнего уровня, отвечающая за оркестрацию и управляющая процессом, по сути родительский процесс и для контейнера с LLM-агентом, и для контейнера с целевой программой/файлом для атаки.
Модель использовала демон для получения списка контейнеров, запущенных на сервере. Она обнаружила тот самый сломанный сломанный контейнер и попыталась выяснить, почему же он не запустился. Не сумев исправить проблему (но будучи проинструктированной ВЫПОЛНИТЬ СВОЮ ЗАДАЧУ), модель решила пойти другим путём. Она отправила команду запуска нового контейнера (того же, который в прошлый раз не запустился), но отдала ему команду вывода содержания файла с секретной строкой. Команда была исполнена, LLM получила «ключ» в виде строки и как следствие решила задачу (ведь цель — это добраться до строчки и затем отдать её на проверку).
Этот пример отражает ключевые элементы того, что называется «instrumental convergence» и захвата ресурсов: модель преследовала поставленную перед ней цель, а когда эта цель оказалась недостижимой, она собрала больше ресурсов (в данном случае получила доступ к демону Docker) и использовала их для достижения цели — в виде способа, который человек не ожидал и не предполагал.
Источник — отчёт OpenAI
Please open Telegram to view this post
VIEW IN TELEGRAM
😱7❤5👍1
https://news.ycombinator.com/item?id=41534474
OpenAI threatens to revoke o1 access for asking it about its chain of thought
OpenAI threatens to revoke o1 access for asking it about its chain of thought
😁5
После новостей про дроны с термитом жду когда кто-то додумается заточить лопасти тяжелого дрона.
А шо удобно - боезапас скинул, и дальше летаешь пилишь русню
А шо удобно - боезапас скинул, и дальше летаешь пилишь русню
❤🔥10🤡2
Forwarded from HN Best Comments
Re: CrowdStrike ex-employees: 'Quality control was not...
Found out that the CrowdStrike Mac agent (Falcon) sends all your secrets from environment variables to their cloud hosted SIEM. In plain text.
Anyone with access to your CS SIEM can search for GitHub, aws, etc creds. Anything your devs, ops and sec teams use on their Macs.
Only the Mac version does this. There is no way to disable this behaviour or a way to redact things.
Another really odd design decision. They probably have many many thousands of plain text secrets from their customers stored in their SIEM.
st3fan, 7 hours ago
Found out that the CrowdStrike Mac agent (Falcon) sends all your secrets from environment variables to their cloud hosted SIEM. In plain text.
Anyone with access to your CS SIEM can search for GitHub, aws, etc creds. Anything your devs, ops and sec teams use on their Macs.
Only the Mac version does this. There is no way to disable this behaviour or a way to redact things.
Another really odd design decision. They probably have many many thousands of plain text secrets from their customers stored in their SIEM.
st3fan, 7 hours ago
👍2🔥1
Forwarded from Мамкін Архітектор
В AWS більше сотні різних сервісів, про багато яких ми і навіть і не чули, і більшістю точно не будемо користуватись. В цьому пості я розкажу про один з таких. Він потрібен, аби здати екзамен на AWS сертифікацію. Коли бачите питання "у вас багато даних, бос хоче перенести їх в AWS і дає на це максимум два тижні, але з вашим інтернетом ви будете закачувати місяць. Шо робить?" І правильна відповідь буде та, де є слова AWS Snowcone або Snowball.
Мова йде про так звану AWS Snow Family, і це по суті девайси, які можна замовити в амазоні, їх доставлять американською новою поштою, ви їх підключите, все запишете, відправите назад, а тоді вже ваші дані заллють на S3 (по шнурочку, лол).
Девайси двох типів (взагалі трьох, але в документації третій шось не згадується, про нього нижче напишу) – Snowcone і Snowball, вони розрізняються розмірами і місткістю.
Якщо Snowcone це така собі велика флешка з 8Тb HDD і 14Tb SSD, то у Snowball є декілька моделей геть до 210Tb SSD, 104vCPU (ядер) і 416Gb RAM. Це все має клас захисту від зовнішнього середовища і може працювати в екстремальних умовах. Позиціонується не стільки як рішення для переносу даних, а як додатковий сторедж / обчислювальні ресурси в різних не дуже підключених і дружелюбних сценаріях.
Третій варіант називався Snowmobile і описувався буквально, як фура, яка приїздить у ваш датацентр, в ній ультра сторедж на петабайти, туди все записується і фура їде назад в AWS. Зараз, як я вже казав, такого варіанту не згадується (може через те, що всі, хто хотів, переїхав, а іншим досить менших пристроїв).
Сервіси доволі специфічні, я ніколи не бачив чи чув, щоб хтось ними користувався. Доступні далеко не у всіх регіонах і взагалі, мають певний ореол містичності.
Чи може ви чули, шоб хтось їх юзав? Напишіть.
Мова йде про так звану AWS Snow Family, і це по суті девайси, які можна замовити в амазоні, їх доставлять американською новою поштою, ви їх підключите, все запишете, відправите назад, а тоді вже ваші дані заллють на S3 (по шнурочку, лол).
Девайси двох типів (взагалі трьох, але в документації третій шось не згадується, про нього нижче напишу) – Snowcone і Snowball, вони розрізняються розмірами і місткістю.
Якщо Snowcone це така собі велика флешка з 8Тb HDD і 14Tb SSD, то у Snowball є декілька моделей геть до 210Tb SSD, 104vCPU (ядер) і 416Gb RAM. Це все має клас захисту від зовнішнього середовища і може працювати в екстремальних умовах. Позиціонується не стільки як рішення для переносу даних, а як додатковий сторедж / обчислювальні ресурси в різних не дуже підключених і дружелюбних сценаріях.
Третій варіант називався Snowmobile і описувався буквально, як фура, яка приїздить у ваш датацентр, в ній ультра сторедж на петабайти, туди все записується і фура їде назад в AWS. Зараз, як я вже казав, такого варіанту не згадується (може через те, що всі, хто хотів, переїхав, а іншим досить менших пристроїв).
Сервіси доволі специфічні, я ніколи не бачив чи чув, щоб хтось ними користувався. Доступні далеко не у всіх регіонах і взагалі, мають певний ореол містичності.
Чи може ви чули, шоб хтось їх юзав? Напишіть.
❤7