К конторе, оказывающей разные услуги в сфере инфосека пришёл клиент с вопросом: "Тут какая-то страшная малварь Sakura RAT ходит, я в безопасности?" Чуваки пошли смотреть и раскопали море организованных репозиториев, которые атакуют тех, кто попытается их использовать. Основной фокус - на читерах и не сильно опытных кибер-разбойниках. Статья длинная, в самом начале описывается, что и как обнаружили, а потом детально разбирают, как был устроен каждый из обнаруженных эксплоитов, как это всё обфусцировалось и т.п.
#cybersec
#cybersec
Sophos News
The strange tale of ischhfd83: When cybercriminals eat their own
A simple customer query leads to a rabbit hole of backdoored malware and game cheats
Доказали, что любой алгоритм можно выполнить с тем же успехом, потратив больше времени, но использовав только sqrt(T logT) памяти, где T - время на изначальное выполнение. Прикольно!
#talk #cs #algorithm
#talk #cs #algorithm
YouTube
Astonishing discovery by computer scientist: how to squeeze space into time
This year, computer scientist Ryan Williams showed an astounding connection between space and time. He thought it was too strange to be true. But, it is.
It’s about space, time, fundamental constraints, a 50-year-old mystery, and magical pebbles that resolved…
It’s about space, time, fundamental constraints, a 50-year-old mystery, and magical pebbles that resolved…
🔥6
Falsehoods Programmers Believe About Aviation. Сборник забавных, интересных и отвратительных корнер-кейсов из авиации, которые ну вот всё портят.
#aviation #programming
#aviation #programming
Angle of Attack
Falsehoods Programmers Believe About Aviation
There are a lot of assumptions one could make when designing data types and schemas for aviation data that turn out to be inaccurate. In the spirit of Patrick McKenzie’s classic piece on names, here are some false assumptions one might make about aviation.
😁1
Тут детально описывают красивую дыру, которая позволяла забрутфорсить номер телефона любого Google пользователя.
#cybersec #vulnerability #google
#cybersec #vulnerability #google
brutecat.com
Leaking the phone number of any Google user
From rate limits to no limits: How IPv6's massive address space and a crafty botguard bypass left every Google user's phone number vulnerable
👍1🔥1😁1
Прикольный доклад про всю мощь полноценного REPL на примере Clojure. Показывают, чем это отличается от shell в python / js / java / … и какие возможности открывает. Я бы сказал, что хоть всё там и крутится вокруг Clojure, оно всё ещё достаточно общее, просто показывают, как может быть прикольно.
#talk #repl #clojure
#talk #repl #clojure
Vimeo
Chicago Clojure - 2017-06-21 - Stuart Halloway on Repl Driven Development
This is "Chicago Clojure - 2017-06-21 - Stuart Halloway on Repl Driven Development" by Spantree Technology Group, LLC on Vimeo, the home for high quality…
🔥2
Обнаружился интересный 0-click краш в iMessage сервисах, который как-то уж очень подозрительно случался именно у журналистов, политиков и т.д. Полного эксплоита не обнаружили, но следов прилично. Исследователи подозревают, что эксплоит-таки есть и использовался для шпиёнства. Тут детальный отчёт с собранными доказательствами, описанием, как искали, и техническим разбором.
За ссылку поблагодарим @ilushkanama
#ios #cybersec #vulnerability
За ссылку поблагодарим @ilushkanama
#ios #cybersec #vulnerability
👍1
Тут очень просто и понятно c кодом на питоне показывают, как именно АНБ встроили математический бэкдор в один из криптографических стандартов. Я медленно надеваю свою шапочку из фольги.
#cybersec #math #cryptography
#cybersec #math #cryptography
Substack
This Secret Math Equation let the US Government Spy on Anyone
Coding the Dual EC Crypto Backdoor in Python
👍4😁1💩1
Про замечательное форматирование дат и времени в Go, которое из хриплого WTF при первой встрече плавно переходит в нежное мурчание. Всё ещё не без минусов, конечно. Если вместо Monday написать Tuesday или вместо 2006 - 2007, читаться будет замечательно, а работать будет не так. Ну, pick your poison, как говорится.
#go #date #time
#go #date #time
Preslav Rachev
Why I Made Peace With Go’s Date Formatting
If we’re all going to google it anyway, we might as well google something that makes sense.
Интересное явление - Internet Resiliency Club. Девушка, проживающая в Нидерландах, заметила, что готовность страны к отключению электричества / интернета из-за войн / аварий / диверсий стремительным домкратом летит к нулю.
К примеру: где развёрнуты emergency communications системы? Правильно, в облаках. Потому что точно надёжно.
Где телеком держит тех. команды? Правильно, вне EU. Так ведь дешевле!
Ну и она предлагает людям, которые готовы в критических ситуациях подключиться к восстановлению коммуникаций, выстраивать бэкап сеть на LoRa - радио, которое мало стоит, совсем чуть-чуть энергии требует, но и бьёт не сильно далеко.
Интересная инициатива, в духе времени, так сказать. Но рекомендую ещё посмотреть на вопросы из зала после её короткого доклада - есть несколько других подходов к решению этой же проблемы, и не всё так плохо, как она обрисовывает. Но больше подходов - это всегда лучше, чем меньше подходов.
#radio #community #internet
К примеру: где развёрнуты emergency communications системы? Правильно, в облаках. Потому что точно надёжно.
Где телеком держит тех. команды? Правильно, вне EU. Так ведь дешевле!
Ну и она предлагает людям, которые готовы в критических ситуациях подключиться к восстановлению коммуникаций, выстраивать бэкап сеть на LoRa - радио, которое мало стоит, совсем чуть-чуть энергии требует, но и бьёт не сильно далеко.
Интересная инициатива, в духе времени, так сказать. Но рекомендую ещё посмотреть на вопросы из зала после её короткого доклада - есть несколько других подходов к решению этой же проблемы, и не всё так плохо, как она обрисовывает. Но больше подходов - это всегда лучше, чем меньше подходов.
#radio #community #internet
ripe90.ripe.net
Daily Archives – RIPE 90
A RIPE Meeting is a five-day event where Internet Service Providers (ISPs), network operators and other interested parties from all over the world gather.
👍8
Что нас ждёт в Go 1.25 где-то в августе. Мне больше всего хочется json/v2 (ну, только в эксперименте под флагом оно будет, но всё же) и корректного GOMAXPROCS в контейнерах (можно выкинуть automaxprocs).
#go #language
#go #language
antonz.org
Go 1.25 interactive tour
Fake clock, new GC, flight recorder and more.
А тут про странности текущих JSON, XML и YAML парсеров в Go, которые уже не один раз приводили к серьёзным уязвимостям.
#go #cybersec #vulnerability
#go #cybersec #vulnerability
The Trail of Bits Blog
Unexpected security footguns in Go's parsers
File parsers in Go contain unexpected behaviors that can lead to serious security vulnerabilities. This post examines how JSON, XML, and YAML parsers in Go handle edge cases in ways that have repeatedly resulted in high-impact security issues in production…
❤1
JavaScript Chose Violence. Никогда не надоест, даже если смотреть на некоторые из этих приколов по второму кругу.
#js #humor #rant
#js #humor #rant
Martinrue
JavaScript Chose Violence
Let's take a short tour through the slums of JavaScript.
Narcissistic Design - забавный доклад про то, как быть незаменимым и никогда не остаться без работы. Старый, конечно, но всё ещё смешно.
#talk #humor #code
#talk #humor #code
YouTube
Stuart Halloway - Narcissistic Design
The software industry changes rapidly, but you can protect yourself from these changes by creating code that is complicated enough that only you can maintain it.
Of course you should not engage in obvious bad practices. The good news is that you don't have…
Of course you should not engage in obvious bad practices. The good news is that you don't have…
😁1
What can't you do in Neovim?
Мини-доклад от одного из core разработчиков Neovim. Я сел это смотреть с ожиданием, что сейчас мне покажут невероятную мощь. Ну, в каком-то смысле мне её показали. Пикер цветов, подключение bluetooth устройств, переключение Spotify треков, game of life, cron - всё чему как будто бы не место в TUI редакторе. В общем, закончил я это всё смотреть с другой мыслью: therapy was also an option.
#talk #neovim
Мини-доклад от одного из core разработчиков Neovim. Я сел это смотреть с ожиданием, что сейчас мне покажут невероятную мощь. Ну, в каком-то смысле мне её показали. Пикер цветов, подключение bluetooth устройств, переключение Spotify треков, game of life, cron - всё чему как будто бы не место в TUI редакторе. В общем, закончил я это всё смотреть с другой мыслью: therapy was also an option.
#talk #neovim
YouTube
What can't you do in Neovim? VimConf.live 2020
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
😁6❤3👍1
Тут просто смешное. В федеральном резервном банке Чикаго есть музей денег. В этом музее есть прозрачный куб. В кубе - пачки $1 купюр. Рядом написано, что так выглядит миллион баксов. Но автор поста решил проверить. Целый веб-апп под это дело развернул. И, на удивление, не сошлось. Денег либо в ~1.5 раза больше (если внутри нет полостей), либо в ~2 раза меньше (если закрыт только внешний слой), либо что-то ещё. Но опять получается, что фед брешет.
#money #us #museum
#money #us #museum
calvin.sh
The Fed says this is a cube of $1M. They're off by half a million. - Calvin Liang
Trust me, I counted.
😁10
Ещё забавное: группа разработчиков малвари проверяет, какие языки установлены в винде, и отказываются беспредельничать, если видят там языки стран бывшего СССР и ещё нескольких.
#cybersec #keyboard
#cybersec #keyboard
🤡8👏1😁1
Уже не первый раз происходит какая-то херня с компаниями, в которые вложились Y Combinator. В прошлый раз это, кажется, были чуваки, слямзившие open source AI-форк VS Code. В этот раз нагло спёрли GPLv3 код софтины, чтобы читерить на собесах, и налепили поверх Apache лицензию.
#ai #license #oss
#ai #license #oss
X (formerly Twitter)
soham (@soham_btw) on X
you didnt build shit in 4 days
you yoinked a gpl-v3 code, slapped an apache license on it, and called it a startup
here’s a quick 101 on how not to steal open source
@garrytan @ycombinator is this what you invest in? yuck
you yoinked a gpl-v3 code, slapped an apache license on it, and called it a startup
here’s a quick 101 on how not to steal open source
@garrytan @ycombinator is this what you invest in? yuck
Прикольно, в Neovim появился встроенный package manager vim.pack. Он пока очень примитивный и считается глубокой alpha, которая будет меняться, но всё равно здорово. Основан на mini.deps, к слову.
#neovim #package #editor
#neovim #package #editor
GitHub
feat(pack): add built-in plugin manager `vim.pack` by echasnovski · Pull Request #34009 · neovim/neovim
This PR adds a minimal built-in plugin manager vim.pack. This is a first step towards resolving #20893. A general design is a minimized (496 LOC for core functionality when PR is opened) and rework...
👍3