Forwarded from Cult Of Wire
Пятничный хакинг железочек.
На этот раз не просто сухая теория, а целая hands-on платформа-лаборатория - PwnPad, для которой сначала надо бы собрать необходимую железку.
Да, заказываем плату (геберы, бомы и прочее тут), берём Arduino UNO (потребуется для прошивки), паяльник, рассыпуху и вперёд.
Что потребуется для сборки:
- Arduino UNO на ATmega328P с DIP-панелью
- Паяльник, провода, флюс
- Компоненты из BOM
- Arduino IDE
- Сама плата PwnPad
Рекомендуемое оборудование для решения задач
- Мультиметр
- Arduino UNO
- Логический Анализатор
- Провода-перемычки
- Raspberry Pi Pico и MOSFET для решения задач по Fault Injection
Всего доступно 12 задач, в ходе которых можно получить навыки использования основных протоколов (UART , SPI и I2С), навыки дампа прошивки, а так же пощупать продвинутые техники, вроде Fault Injection и Side-channel attack.
Полная инструкция по сборке и прошивке доступна в PDF, а так же есть видео сборки.
На этот раз не просто сухая теория, а целая hands-on платформа-лаборатория - PwnPad, для которой сначала надо бы собрать необходимую железку.
Да, заказываем плату (геберы, бомы и прочее тут), берём Arduino UNO (потребуется для прошивки), паяльник, рассыпуху и вперёд.
Что потребуется для сборки:
- Arduino UNO на ATmega328P с DIP-панелью
- Паяльник, провода, флюс
- Компоненты из BOM
- Arduino IDE
- Сама плата PwnPad
Рекомендуемое оборудование для решения задач
- Мультиметр
- Arduino UNO
- Логический Анализатор
- Провода-перемычки
- Raspberry Pi Pico и MOSFET для решения задач по Fault Injection
Всего доступно 12 задач, в ходе которых можно получить навыки использования основных протоколов (UART , SPI и I2С), навыки дампа прошивки, а так же пощупать продвинутые техники, вроде Fault Injection и Side-channel attack.
Полная инструкция по сборке и прошивке доступна в PDF, а так же есть видео сборки.
GitHub
GitHub - twelvesec/PwnPad: PwnPad is an affordable, hands-on hardware hacking platform built for practical learning. It features…
PwnPad is an affordable, hands-on hardware hacking platform built for practical learning. It features a range of challenges that walk users through key hardware security concepts, from PCB design t...
🔥5👍3🤮1💩1🤡1
В интернете сейчас активно рекламируют некие "прокси-фермы". Мне стало интересно и я перешел по ссылке и ознакомился с предложением.
Любителям легких денег предлагают установить у себя дома некое устройство похожее на роутер, которое будет использовать домашний IP адрес для якобы благих целей. Любой человек, хоть немного разбирающийся в компьютерах или сетях понимает какую опасность несет такой вид наживы. Для остальных я расскажу тут. Обязательно преешлите пост своим родителям и людям, не понимающим чем это может грозить.
Устройство, которое нас просят установить, на 99% роутер с настроенным VPN. В рекламе нас завлекают тем, что разные честные люди очень нуждаются в IP адресах со всей страны и готовы за это платить. На самом деле непонятно зачем честному бизнесу огромное количество адресов, к тому же зарегистрированных на разные физлица по всей стране. Если бизнесу нужен интернет, бизнес просто оплачивает подключение. Если ему нужен дополнительный адрес - для большинства провайдеров не составит ни малейшей проблемы выдать этот адрес.
Чем же на самом деле может являться эта схема? Адреса могут использоваться в качестве выходных адресов для всем известных мошеннических кол-центров или других незаконных тем. Так же эти устройства могут быть обычным ботнетом. Представьте себе: наше государство тратит огромные деньги в защиту информационного пространства - фильтры трафика, мониторинг, целые организации занимающиеся безопасностью сети и изоляцией критически важной инфраструктуры от внешнего неприятеля. И тут сотни граждан добровольно ставят у себя дома неизвестную коробку, даже не подозревая какой трафик может течь через неё.
И я молчу про банальную информационную безопасность, которая грубо нарушается установкой неизвестного устройства в домашнюю, а тем более рабочую сеть.
Моя паника может казаться параноей, но если это всё проект каких-то спецслужб с целью подорвать мероприятия по защите внутренних сетей, то я снимаю шляпу - подход гениальный!
Любителям легких денег предлагают установить у себя дома некое устройство похожее на роутер, которое будет использовать домашний IP адрес для якобы благих целей. Любой человек, хоть немного разбирающийся в компьютерах или сетях понимает какую опасность несет такой вид наживы. Для остальных я расскажу тут. Обязательно преешлите пост своим родителям и людям, не понимающим чем это может грозить.
Устройство, которое нас просят установить, на 99% роутер с настроенным VPN. В рекламе нас завлекают тем, что разные честные люди очень нуждаются в IP адресах со всей страны и готовы за это платить. На самом деле непонятно зачем честному бизнесу огромное количество адресов, к тому же зарегистрированных на разные физлица по всей стране. Если бизнесу нужен интернет, бизнес просто оплачивает подключение. Если ему нужен дополнительный адрес - для большинства провайдеров не составит ни малейшей проблемы выдать этот адрес.
Чем же на самом деле может являться эта схема? Адреса могут использоваться в качестве выходных адресов для всем известных мошеннических кол-центров или других незаконных тем. Так же эти устройства могут быть обычным ботнетом. Представьте себе: наше государство тратит огромные деньги в защиту информационного пространства - фильтры трафика, мониторинг, целые организации занимающиеся безопасностью сети и изоляцией критически важной инфраструктуры от внешнего неприятеля. И тут сотни граждан добровольно ставят у себя дома неизвестную коробку, даже не подозревая какой трафик может течь через неё.
И я молчу про банальную информационную безопасность, которая грубо нарушается установкой неизвестного устройства в домашнюю, а тем более рабочую сеть.
Моя паника может казаться параноей, но если это всё проект каких-то спецслужб с целью подорвать мероприятия по защите внутренних сетей, то я снимаю шляпу - подход гениальный!
👍25😁4❤3🤡3🤣1
Как правильно писать отчёты об ошибках:
- Первая задача сообщения об ошибке - позволить программисту увидеть сбой собственными глазами. Если вы не можете быть с ним, чтобы воспроизвести сбой перед программистом, дайте ему детальные инструкции, чтобы он смог воспроизвести сбой самостоятельно.
- В случае если первая задача не выполнена и программист не может увидеть сбой сам, вторая задача сообщения об ошибке - описать, что произошло неправильно. Опишите все детально. Определите, что вы увидели. Также определите, что вы ожидали увидеть. Запишите сообщения об ошибках, особенно если в них есть числа.
- Если компьютер делает что-то неожиданное, замрите. Не делайте ничего до тех пор, пока вы не успокоитесь, и не делайте ничего, что, как вы думаете, может быть опасным.
- Конечно, попытайтесь продиагностировать сбой, если вы считаете, что можете это сделать, но даже в этом случае следует также сообщить симптомы.
- Будьте готовы предоставить дополнительную информацию, если это потребуется программисту. Он бы не спрашивал, если бы это не было ему нужно. Он не является намеренно раздражающим (неудобным) Пусть номера версий будут у вас на кончиках пальцев потому, что они, вероятно, понадобятся.
- Пишите ясно. Скажите, что вы имеете в виду и убедитесь в том, что это не может быть истолковано неправильно.
- Прежде всего, будьте точны. Программисты любят точность.
https://www.chiark.greenend.org.uk/~sgtatham/bugs-ru.html
- Первая задача сообщения об ошибке - позволить программисту увидеть сбой собственными глазами. Если вы не можете быть с ним, чтобы воспроизвести сбой перед программистом, дайте ему детальные инструкции, чтобы он смог воспроизвести сбой самостоятельно.
- В случае если первая задача не выполнена и программист не может увидеть сбой сам, вторая задача сообщения об ошибке - описать, что произошло неправильно. Опишите все детально. Определите, что вы увидели. Также определите, что вы ожидали увидеть. Запишите сообщения об ошибках, особенно если в них есть числа.
- Если компьютер делает что-то неожиданное, замрите. Не делайте ничего до тех пор, пока вы не успокоитесь, и не делайте ничего, что, как вы думаете, может быть опасным.
- Конечно, попытайтесь продиагностировать сбой, если вы считаете, что можете это сделать, но даже в этом случае следует также сообщить симптомы.
- Будьте готовы предоставить дополнительную информацию, если это потребуется программисту. Он бы не спрашивал, если бы это не было ему нужно. Он не является намеренно раздражающим (неудобным) Пусть номера версий будут у вас на кончиках пальцев потому, что они, вероятно, понадобятся.
- Пишите ясно. Скажите, что вы имеете в виду и убедитесь в том, что это не может быть истолковано неправильно.
- Прежде всего, будьте точны. Программисты любят точность.
https://www.chiark.greenend.org.uk/~sgtatham/bugs-ru.html
🤡2
Mikrotik Ninja
Вас тоже бесят чуваки с блутус колонками повсюду? Вы знаете что делать #bluetooth #security
Уязвимости в Bluetooth чипах, позволяющие завладеть устройством.
Уязвимо большинство популярных наушников:
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
Эксплойта в паблике ещё нет. Но молодежь с говнорэпом из блутус колонок очень очень ждет его. А ещё тут скоро будет запись доклада об этом
#security #bluetooth
Уязвимо большинство популярных наушников:
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
Эксплойта в паблике ещё нет. Но молодежь с говнорэпом из блутус колонок очень очень ждет его. А ещё тут скоро будет запись доклада об этом
#security #bluetooth
❤4🤔3🔥1
COMMISSION_STAFF_WORKING_DOCUMENT_Counterfeit_and_Piracy_Watch_List.pdf
604.9 KB
Спасибо Еврокомиссии за подробный лист пиратских сайтов с работающими ссылками в докладе Counterfeit and Piracy Watch List.
Ваш вклад в победу свободного доступа к знанию неоспорим
Ваш вклад в победу свободного доступа к знанию неоспорим
🔥38
Oracle предлагает поучиться и бесплатно получить 4 своих сертификата
https://education.oracle.com/race-to-certification-2025-program-overview
https://education.oracle.com/race-to-certification-2025-program-overview
👍11🤡5
https://www.youtube.com/watch?v=i-FFVM4cIXQ
2:21 DBMS
5:50 Архитектуры DBMS
9:50 Storage
11:55 Paging
15:53 Overflow Page
19:44 Page Header
22:40 VACUUM
24:50 Row/Column oriented DB
29:08 System Catalog
30:10 Buffer Pool
33:10 LRU Cache
35:33 Sequential flood
36:56 Индексы
42:00 Hash индекс
45:10 B Trees
52:47 Bitmap индекс
54:50 Инвертированный индекс
56:29 Embedding
57:53 R Tree
1:04:19 LSM Storage
1:15:25 Bloom Filter
1:22:37 WAL, Manifest Log
1:23:12 Memtable
1:23:50 Skip List
1:28:15 Обобщение
1:30:03 Query Plan
1:31:52 Эквивалентные выражения
#database
2:21 DBMS
5:50 Архитектуры DBMS
9:50 Storage
11:55 Paging
15:53 Overflow Page
19:44 Page Header
22:40 VACUUM
24:50 Row/Column oriented DB
29:08 System Catalog
30:10 Buffer Pool
33:10 LRU Cache
35:33 Sequential flood
36:56 Индексы
42:00 Hash индекс
45:10 B Trees
52:47 Bitmap индекс
54:50 Инвертированный индекс
56:29 Embedding
57:53 R Tree
1:04:19 LSM Storage
1:15:25 Bloom Filter
1:22:37 WAL, Manifest Log
1:23:12 Memtable
1:23:50 Skip List
1:28:15 Обобщение
1:30:03 Query Plan
1:31:52 Эквивалентные выражения
#database
YouTube
База по Базам Данных - Storage (Индексы, Paging, LSM, B+-Tree, R-Tree) | Влад Тен Систем Дизайн
База по Базам Данных - Storage (Индексы, Paging, LSM, B+-Tree, R-Tree) | Влад Тен Систем Дизайн
Подарка на 10 000 подписчиков
Подарка на 10 000 подписчиков
👍12
PGTune рассчитывает конфигурацию PostgreSQL, исходя из максимальной производительности для данной конфигурации оборудования
https://pgtune.leopard.in.ua/
#postgresql
https://pgtune.leopard.in.ua/
#postgresql
pgtune.leopard.in.ua
PGTune - calculate configuration for PostgreSQL based on the maximum performance for a given hardware configuration
PgTune - Tuning PostgreSQL config by your hardware
🤡4👍3
Главные выводы исследования оверимплоймента
🔍 ЧТО ВЫЯСНИЛИ:
Миф 1: «Эпидемия оверимплоймента захватила IT»
❌ Реальность: только 1 из 33 айтишников работает фуллтайм на несколько компаний одновременно
Миф 2: «Все айтишники жадные и нелояльные»
❌ Реальность: только 23% подрабатывают исключительно ради денег. Остальные 77% мотивированы развитием, страхом потерять работу, желанием подстраховаться.
Миф 3: «Подработки = оверимплоймент»
❌ Реальность: 80% подрабатывающих практикуют обычную подработку, не скрываясь от работодателя и не воруя его время.
Миф 4: «Это молодежная блажь»
❌ Реальность: возраст и пол не влияют на склонность к подработкам. Главный фактор — грейд и специальность.
⚡️ САМЫЕ НЕОЖИДАННЫЕ ИНСАЙТЫ:
➤ Парадокс контроля: чем жестче работодатель контролирует сотрудников (камеры, трекеры активности), тем чаще они подрабатывают
➤ Парадокс политик: 75% работодателей считают, что у них есть четкая политика по подработкам, но 54% сотрудников о ней не знают
➤ Парадокс оценки: 54% работодателей считают подработки вредными для основной работы, но если они сами нанимают чужих сотрудников — считают, что это окей
📊 КЛЮЧЕВЫЕ ЦИФРЫ:
77% подрабатывающих планируют продолжать это делать
73% продолжат даже при жестком запрете работодателя
76% случаев оверимплоймента — вынужденная мера, а не «образ жизни»
50% подрабатывают ради профессионального развития
Жесткие запреты сокращают подработки в 2,5 раза, но проблему не решают
🎯 ГЛАВНЫЕ ВЫВОДЫ:
Для работодателей:
✅ Не подозревайте каждого сотрудника в неверности
✅ Работайте с причинами подработок, а не только с последствиями
✅ Чётко доносите свою политику до сотрудников
✅ Различайте обычные подработки и оверимплоймент
Для сотрудников:
✅ Трезво оценивайте свои возможности
✅ Не романтизируйте оверимплоймент — это сложно, рискованно и приводит к выгоранию
✅ Попробуйте открыто поговорить с текущим работодателем о повышении
✅ Помните: оверимплоймент — временная мера, а не карьерная стратегия
💡 ОСНОВНОЙ ВЫВОД:
Оверимплоймент — не новая норма индустрии, а индикатор системных проблем: нестабильности рынка, неадекватных зарплат, отсутствия карьерных перспектив.
Решение — не в тотальном контроле и запретах, а в системном подходе к управлению персоналом.
🔍 ЧТО ВЫЯСНИЛИ:
Миф 1: «Эпидемия оверимплоймента захватила IT»
❌ Реальность: только 1 из 33 айтишников работает фуллтайм на несколько компаний одновременно
Миф 2: «Все айтишники жадные и нелояльные»
❌ Реальность: только 23% подрабатывают исключительно ради денег. Остальные 77% мотивированы развитием, страхом потерять работу, желанием подстраховаться.
Миф 3: «Подработки = оверимплоймент»
❌ Реальность: 80% подрабатывающих практикуют обычную подработку, не скрываясь от работодателя и не воруя его время.
Миф 4: «Это молодежная блажь»
❌ Реальность: возраст и пол не влияют на склонность к подработкам. Главный фактор — грейд и специальность.
⚡️ САМЫЕ НЕОЖИДАННЫЕ ИНСАЙТЫ:
➤ Парадокс контроля: чем жестче работодатель контролирует сотрудников (камеры, трекеры активности), тем чаще они подрабатывают
➤ Парадокс политик: 75% работодателей считают, что у них есть четкая политика по подработкам, но 54% сотрудников о ней не знают
➤ Парадокс оценки: 54% работодателей считают подработки вредными для основной работы, но если они сами нанимают чужих сотрудников — считают, что это окей
📊 КЛЮЧЕВЫЕ ЦИФРЫ:
77% подрабатывающих планируют продолжать это делать
73% продолжат даже при жестком запрете работодателя
76% случаев оверимплоймента — вынужденная мера, а не «образ жизни»
50% подрабатывают ради профессионального развития
Жесткие запреты сокращают подработки в 2,5 раза, но проблему не решают
🎯 ГЛАВНЫЕ ВЫВОДЫ:
Для работодателей:
✅ Не подозревайте каждого сотрудника в неверности
✅ Работайте с причинами подработок, а не только с последствиями
✅ Чётко доносите свою политику до сотрудников
✅ Различайте обычные подработки и оверимплоймент
Для сотрудников:
✅ Трезво оценивайте свои возможности
✅ Не романтизируйте оверимплоймент — это сложно, рискованно и приводит к выгоранию
✅ Попробуйте открыто поговорить с текущим работодателем о повышении
✅ Помните: оверимплоймент — временная мера, а не карьерная стратегия
💡 ОСНОВНОЙ ВЫВОД:
Оверимплоймент — не новая норма индустрии, а индикатор системных проблем: нестабильности рынка, неадекватных зарплат, отсутствия карьерных перспектив.
Решение — не в тотальном контроле и запретах, а в системном подходе к управлению персоналом.
newhr.org
Выводы. Overempolyment: проблема или новая норма в русскоязычном IT?
👍6🤡6❤4🥱1
Forwarded from Коробочка хорони
Kubernetes 1.34 — что завезли
⭐️ Стабильно в прод
• DRA (Dynamic Resource Allocation) — наконец-то stable. Нормальный менеджмент “железа” (GPU/FPGA и т.п.) через клеймы/плагины без адских костылей.
• VolumeAttributesClass — stable: можно менять QoS/параметры PV на лету (тип, IOPS/throughput — зависит от CSI). Полезно для тюнинга производительности без пересоздания тома.
🧪 Беты (включены по умолчанию или почти)
• Pod-level CPU/Memory — requests/limits на уровне Pod, влияют на QoS/ OOM. Пока без resize и без Windows. Гейт: PodLevelResources.
• Стриминговые LIST-ответы — API-сервер меньше ест память на гигантских списках, быстрее и стабильнее. Гейты: StreamingCollectionEncodingToJSON/Protobuf.
• Anonymous auth только на “здоровье” — можно оставить /healthz|/readyz|/livez анонимными, всё остальное — 401. Гейт: AnonymousAuthConfigurableEndpoints.
• TrafficDistribution — появились PreferSameZone/PreferSameNode (тонкая настройка локальности трафика). Хорошо для кэшей и latency-чувствительных сервисов.
• Устойчивее watch-кэш и консистентные чтения из кэша — меньше походов в etcd при quorum-ридс.
• kubelet ↔︎ реестр через SA-токены — интеграция credential-provider c короткоживущими Pod-scoped токенами (менее больно, чем статические imagePullSecrets). В 1.34 — beta, по умолчанию включают многие.
• Relaxed DNS/ENV validation — меньше бессмысленных ограничений в dnsConfig.searches и env-именах (в рамках здравого смысла).
🔬 Альфы (пощупать в тесте)
• KYAML — новый вывод kubectl -o kyaml: строгий под-диалект YAML без “Norway problem” и прочих сюрпризов. Удобно для CI/ревью. (Альфа, опт-ин).
• PodCertificateRequest — нативные короткоживущие X.509 для подов (mTLS без сайдкаров). Красиво для zero-trust внутри кластера.
🛡️ Ломают что-нибудь?
• В релизе нет удалений/депрекейтов — апгрейд относительно безопасный (ну, насколько это вообще бывает).
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.34.md
⭐️ Стабильно в прод
• DRA (Dynamic Resource Allocation) — наконец-то stable. Нормальный менеджмент “железа” (GPU/FPGA и т.п.) через клеймы/плагины без адских костылей.
• VolumeAttributesClass — stable: можно менять QoS/параметры PV на лету (тип, IOPS/throughput — зависит от CSI). Полезно для тюнинга производительности без пересоздания тома.
🧪 Беты (включены по умолчанию или почти)
• Pod-level CPU/Memory — requests/limits на уровне Pod, влияют на QoS/ OOM. Пока без resize и без Windows. Гейт: PodLevelResources.
• Стриминговые LIST-ответы — API-сервер меньше ест память на гигантских списках, быстрее и стабильнее. Гейты: StreamingCollectionEncodingToJSON/Protobuf.
• Anonymous auth только на “здоровье” — можно оставить /healthz|/readyz|/livez анонимными, всё остальное — 401. Гейт: AnonymousAuthConfigurableEndpoints.
• TrafficDistribution — появились PreferSameZone/PreferSameNode (тонкая настройка локальности трафика). Хорошо для кэшей и latency-чувствительных сервисов.
• Устойчивее watch-кэш и консистентные чтения из кэша — меньше походов в etcd при quorum-ридс.
• kubelet ↔︎ реестр через SA-токены — интеграция credential-provider c короткоживущими Pod-scoped токенами (менее больно, чем статические imagePullSecrets). В 1.34 — beta, по умолчанию включают многие.
• Relaxed DNS/ENV validation — меньше бессмысленных ограничений в dnsConfig.searches и env-именах (в рамках здравого смысла).
🔬 Альфы (пощупать в тесте)
• KYAML — новый вывод kubectl -o kyaml: строгий под-диалект YAML без “Norway problem” и прочих сюрпризов. Удобно для CI/ревью. (Альфа, опт-ин).
• PodCertificateRequest — нативные короткоживущие X.509 для подов (mTLS без сайдкаров). Красиво для zero-trust внутри кластера.
🛡️ Ломают что-нибудь?
• В релизе нет удалений/депрекейтов — апгрейд относительно безопасный (ну, насколько это вообще бывает).
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.34.md
👍2❤1