Как слабый ноутбук заставил человека разобраться в работе игры без исходников и написать патч, в два раза уменьшающий аппетиты к RAM.

Читается как хороший детектив. Автору моё почтение

https://habr.com/ru/articles/110395/

Немножко про сети

Все знают про ширину канала в Wi-Fi и что этих каналов 11 (вы ошибаетесь 😊), но не каждый знает про MCS - Modulation and Coding Scheme

Точка доступа может выбрать разные типы модуляции в зависимости от состояния среды: помехи, уровень сигнала клиента, занятость полосы, ...

От типа модуляции зависит количество передаваемых по сети данных. Вот вам шикарная табличка пропускной способности на разных MCS

#wifi #mcs

Снова wiki и снова взлом железочек. На этот раз HardBreak, an open-source Hardware Hacking Wiki.

Без срыва покровов и инноваций, но пошагово и в одном месте. Местами ещё есть пробелы, но работа автором проделана большая.

Что уже готово:
- Методология (Как вообще начать ковырять железки)
- Основы (Обзор общих протоколов и инструментов, необходимых для начала работы)
- Разведка (Выявление интересующих точек на печатной плате)
- Взаимодействие с интерфейсами (Как найти и использовать UART, JTAG, SPI)
- Обход мер защиты (voltage glitching)
- Практические ситуации на примере роутера Asus RT-N12 и дрона Parrot Anafi
- Анализ сети и Radio Hacking (в процессе)

Ссылки:
hardbreak.wiki
GitHub: HardBreak

#hardware #hacking #security

Мы поговорили с Алексеем Рыбаком о том, как в Рунете зарождались и развивались высокие нагрузки: от первых новостных сайтов до больших социальных проектов.
Выпуск полон практических советов и инсайтов для разработчиков и тимлидов.

https://www.youtube.com/watch?v=hU1VOEcU7Ig

Альтернативные платформы: ВК Видео | Аудио
https://www.youtube.com/watch?v=hU1VOEcU7Ig

Чтобы картинка была чище

Из t.me/sysadminka

Critical Ingress NGINX Controller Vulnerability Allows RCE Without Authentication

Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes.

Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974) получил общее кодовое название IngressNightmare. Стоит отметить, что эти недостатки не затрагивают NGINX Ingress Controller, который является еще одной реализацией контроллера Ingress для NGINX и NGINX Plus.

Коротко о уязвимостях:
- CVE-2025-24513 (CVSS: 4,8) — уязвимость, связанная с неправильной проверкой входных данных, которая может привести к directory traversal внутри контейнера, что приведет к отказу в обслуживании (DoS) или ограниченному раскрытию секретных объектов из кластера в сочетании с другими уязвимостями.
- CVE-2025-24514 (CVSS: 8,8) — аннотация Ingress auth-url может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1097 (CVSS: 8,8) — аннотация Ingress auth-tls-match-cn может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1098 (CVSS: 8,8) — аннотации Mirror-Target и Mirror-Host Ingress могут использоваться для внедрения произвольной конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера Ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1974 (CVSS: 9,8) — неаутентифицированный злоумышленник, имеющий доступ к сети модулей, может выполнить произвольный код в контексте контроллера ingress-nginx при определенных условиях.

Wiz выпустили детальную статью IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX с подробным описанием работы уязвимости, а так же процессом детекта и митигации.

Exploring Operating Systems

Пошагово за 70 дней разбираются концепты ОС и приводятся попытки имплементации на С. Много ссылок на полезные ресурсы

Опять же не устану напоминать про лучшее, что я читал про ОС

#linux #os

С днём радио!
Всем стабильной связи, мудрых собеседников, увлекательных разговоров!

73!

Developers Are Users Too: Designing Crypto and Security APIs That Busy Engineers and Sysadmins Can Use Securely

Преза о проблемах в работе с современными криптографическими API. С интересной аналитикой.
Например,
0.8 % of Google Play Market apps exclusively use HTTPS URLs

GitHub Actions Pipeline Enumeration and Attack Tool

GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.

#security #github

HackTheBox Belgrade local group организует митап Attacking and Detecting AD Attacks в эту субботу 10 мая

Обещают показать возможности платформы HackTheBox и показать техники атаки и защиты Active Directory

Митап только онлайн
https://www.meetup.com/hack-the-box-meetup-belgrade-rs/events/307291415/

В прошлом году я выступал на конференции GetNet — это была чисто онлайн-конференция для админов и сетевиков.

В этом году GetNet уже скоро - 6 июня в 11:00, но теперь уже в гибридном формате — будет и онлайн, и впервые офлайн в Москве.

Темы: сети, инфраструктура, мониторинг, безопасность, эксплуатация — всё, что у нас болит каждый день. Часть программы уже на сайте, можно глянуть тут

Я в этот раз не смогу поучаствовать — как раз попадает на мой день рождения :)
Но если вы рядом и хотите не просто послушать доклады, а пообщаться с людьми, которые варятся в том же — очень советую. (Онлайн бесплатно, рега тут)

Кто пойдёт — потом расскажите, как всё прошло. Завидую вам

А ещё тут Technology Radar вышел
https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2025/04/tr_technology_radar_vol_32_en.pdf