🎹 Уязвимость SSL.com позволяла получать сертификаты для чужих доменов

Исследователь нашёл дыру в системе проверки SSL.com:
— Для получения сертификата нужно было создать DNS TXT-запись с email.
— Но SSL.com проверял не целевой домен, а домен из email
— Пример: email vulture@example.com → сертификат для example.com, даже если он вам не принадлежит.
— Так получили сертификат для aliyun.com (облачный сервис Alibaba) без прав на домен.

Фактически это означает, что любой, кто заметил ошибку в процессе проверки SSL.com, мог запросить и получить TLS-сертификат для чужого сайта. Затем эти сертификаты могли использоваться для подделки настоящего сайта, фишинга, атак типа man-in-the-middle и так далее.

Типичный 🥸 Сисадмин

Правило 3-2-1 соблюдено: 3 копии, 2 разных носителя (один картонный), 1 копия вне офиса (на этом же столе) 😁
#предложка

Типичный 🥸 Сисадмин

🫥 ChatGPT вместе с Cursor успешно написали эксплойт к недавней критической CVE в SSH-сервере Erlang/OTP — и это до появления проверок концепции в публичном доступе!

Нейронкам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. Далее они написали PoC, протестировали и отладили.

У исследователя на это ушёл один вечер и набор базовых промптов.

🙂 — То ли ещё будет
👍 — Так-то это круто

🥸 godnoTECH - Новости IT

Вышел nginx 1.28

Новые фичи для админов:
1. «proxy_pass_trailers» — передача хвостовых заголовков от бэкенда к клиенту.
2. «keepalive_min_timeout» — гибкое управление keep-alive соединениями.
3. Кэш SSL-сертификатов через переменные («ssl_certificate_cache max=1000»).
4. Поддержка Musl libc — для фанатов минималистичных дистрибутивов.
5. Директива «resolve» в upstream — динамическое обновление IP без downtime.

Типичный 🥸 Сисадмин

👨‍💻 Китайцы опубликовали локальную модель GLM-4-32B, которая программирует на уровне Sonnet 3.5.

Например, на видео она с первого раза сделала игру «Змейка» с автопилотом.

Модель потребляет меньше памяти, чем конкуренты, а контекстное окно — 32 тысячи символов.

HuggingFace с моделью тут, а протестировать нейронку в вебе бесплатно можно тут.

🥸 godnoTECH - Новости IT

😎 Порой Сисадмины делятся историями о самых креативных (и не очень) способах, которыми пользователи пытались злоупотребить IT-системами или обойти установленные правила. Вот некоторые из таких случаев.

На одном заводе рабочие проявили недюжинную изобретательность, оборудовав скрытую комнату отдыха в заброшенном техническом проеме между цехами. Протащили туда интернет от ближайшей розетки через дешевый роутер, поставили старые компьютеры, диванчик. Спалились, когда безопасник во время обхода засек левую Wi-Fi сеть.

Иногда злоупотребления достигают серьезных масштабов. Вызвали как-то аудиторов в одну контору перед продажей. IT-инфраструктура вроде работает, но как-то странно настроена. Оказалось, местный IT-директор несколько лет держал свой небольшой хостинг-бизнес на оборудовании компании, используя их интернет-канал и даже стойки в серверной. Оборудование списывалось или закупалось "про запас". Вскрылось только при глубокой проверке перед сделкой.

Майнинг на рабочем оборудовании – тоже весьма распространенная история. Офисные майнеры маскируют под системные процессы (svchost, python и т.д.), используют вычислительные мощности серверов или просто незаметно подключают свое оборудование. Ловят таких обычно по активности в сети, перегреву оборудования или счетам за электричество. Классикой жанра является использование рабочего интернета для скачивания фильмов и музыки через торренты, а файловые серверы иногда превращаются в личные медиаархивы.

Были случаи, когда корпоративный Wi-Fi медленный или его нет, некоторые пользователи приносят свой домашний роутер и подключают его к сети, часто неправильно, вызывая конфликты IP-адресов и падение локальной сети.

Часто проблемы возникают из-за простого человеческого фактора или не самых сложных схем. Сотрудник может решить сам настроить бэкап, но из-за незнания написать скрипт, который каждый час делает полную копию данных, быстро забивая сервер. Или пользователь может купить точно такой же ноутбук, как выдают на работе, и принести его айтишникам с выдуманной проблемой, надеясь на бесплатную настройку. Чтобы система не блокировалась при бездействии и статус в корпоративном мессенджере оставался "активен", сотрудники используют иммитаторы активности (шевелят мышкой или клавой) или запускают скрипты, имитирующие активность.

Типичный 👌 Сисадмин

Нанотехнологии крепления с использованием эластичных полимеров.

Типичный 🏥 Сисадмин

Опубликована нейросетевая утилита Zev, которая подскажет команду для терминала по её описанию

Если пользователь забыл структуру команды, то он может описать её на естественном языке прямо в терминале. Языковая модель проанализирует запрос и выведет подходящие команды с кратким описанием. Команду из выдачи можно скопировать и выполнить в этом же окне терминала.

Код утилиты написан на Python, а в основе используется языковая модель. Есть два варианта: можно подключить API от OpenAI или использовать локальную нейросеть через Ollama.

Саму утилиту в терминале можно запустить двумя способами: zev — интерактивный режим с пошаговым выполнением, zev <запрос> — прямой вопрос. Код утилиты открыт и доступен на GitHub.

Пользуемся? 😄

Типичный 🥸 Сисадмин

⚡️Дрон-Камикадзе для Дата-Центра вызывает Молнию на Себя для Защиты Инфраструктуры

Японский технологический гигант NTT разработал дрон, способный не только вызывать удар молнии во время грозы, но и переживать его. Цель – защита критической инфраструктуры от естественных разрядов, которые ежегодно наносят огромный ущерб (только в Японии оценивается в $0.7-1.4 млрд).

Принцип работы следующий: во время грозы дрон поднимается на высоту около 300 метров, разматывая при этом токопроводящий трос, который соединен с землей через лебедку и специальный переключатель. Накопление электрического потенциала, превышающего 2000 вольт между тросом и землей, приводит к локальному усилению электрического поля. Это, в свою очередь, провоцирует разряд молнии, направленный непосредственно в дрон. В момент удара слышен гром, наблюдается вспышка на лебедке и происходит частичное оплавление защитной клетки дрона ⚡️

Секрет выживания дрона кроется в специальной защитной клетке Фарадея, которую можно установить даже на коммерчески доступные модели. Эта клетка из проводящего металла выполняет несколько функций. Во-первых, она перенаправляет высокий ток молнии в обход чувствительных внутренних компонентов аппарата. Во-вторых, ее конструкция распределяет ток радиально, что эффективно нейтрализует сильные магнитные поля, возникающие при разряде, и таким образом минимизирует электромагнитные помехи (EMI) – ключевой фактор для защиты электроники. Несмотря на видимые повреждения клетки, сам дрон остается цел и продолжает стабильно лететь.

В NTT видят будущее, в котором флотилии таких дронов будут патрулировать города во время гроз. Они смогут "принимать удар на себя", предотвращая попадание молний в важные объекты, такие как ЛЭП, вышки связи или дата-центры. В компании считают, что такой подход может быть эффективнее стационарных громоотводов с их ограниченной зоной действия.

Скоро в Jira: "Task: Настроить failover-кластер из дронов-громоотводов. Priority: Highest" 🎹

Типичный 🥸 Сисадмин