Author: Experimenter

И ещё про Pwn2Own

Заме­ча­тель­ная ста­тья с раз­бо­ром полё­тов.

Пере­ве­ду понра­вив­ши­е­ся мне части.

«Pwn2Own выпла­тил иссле­до­ва­те­лям почти 1 мил­ли­он дол­ла­ров на меро­при­я­тии по взло­му потре­би­тель­ских това­ров на про­шлой неде­ле в Торон­то, но при­зо­вой фонд был недо­ста­точ­но боль­шим для попы­ток взло­ма iPhone или Google Pixel, пото­му что зло­умыш­лен­ни­ки могут полу­чить гораз­до боль­ше из менее слож­ных для взло­ма источ­ни­ков.

«Мы пред­ло­жи­ли им нашу выс­шую награ­ду, — ска­зал Дастин Чайл­дс, гла­ва отде­ла инфор­ми­ро­ва­ния об угро­зах в Trend Micro Zero Day Initiative (ZDI).

–Кон­курс пла­ни­ро­вал разыг­рать 250 000 дол­ла­ров за успеш­ный экс­плойт для iPhone или Google Pixel, ска­зал он The Register в экс­клю­зив­ном интер­вью в кон­це четы­рех­днев­но­го меро­при­я­тия. «И в этой сум­ме про­сто недо­ста­точ­но нулей для уров­ня иссле­до­ва­ний, необ­хо­ди­мых для взло­ма этих теле­фо­нов». — доба­вил Чайл­дс.»

«Меж­ду тем, четы­ре коман­ды пыта­лись взло­мать Samsung Galaxy, и три из них доби­лись успе­ха, выиг­рав 50 000 дол­ла­ров в каче­стве глав­но­го при­за за взлом флаг­ман­ских смарт­фо­нов корей­ско­го гиган­та.»

Делай­те выво­ды — 2. Косо­ру­ким погро­ми­стам Гну­сма­са при­вет — 2.

Обязательный пост про ChatGPT

Не знаю, чего-то у меня не зала­дил­ся инте­рес­ный диа­лог с маши­ной. Может быть, я дурак.

Раз­го­вор про­ис­хо­дил при­мер­но так:

–Как луч­ше все­го сде­лать ХХХ?
–Я маши­на, слу­жу все­му чело­ве­че­ству, сла­ва робо­там. Мож­но вот так и так, но вооб­ще ты сам там луч­ше раз­бе­рись.

–Что луч­ше, ХХХ или УУУ?
–Я маши­на, слу­жу все­му чело­ве­че­ству, сла­ва робо­там. Одни гово­рят луч­ше ХХХ, дру­гие — что луч­ше УУУ. Надо смот­реть по обсто­я­тель­ствам, ты вооб­ще сам там луч­ше раз­бе­рись.

Дун­дук желез­ный, вот всё что могу ска­зать.

Сварческое

Люб­лю зани­мать­ся свар­кой. Все­гда нра­ви­лось, плюс полу­ча­ешь резуль­тат непо­сред­ствен­но — нако­ся­чил, вот вылез­ли кося­ки. А сде­лал хоро­шо — тоже сра­зу вид­но. Я, конеч­но, дале­ко не про­фес­си­о­нал, но гля­дя на сва­роч­ные швы неко­то­рых, кгм… про­фес­си­о­на­лов, у меня воз­ни­ка­ют к ним вопро­сы. Уж боль­но неак­ку­рат­но.

На полу­при­цеп надо было при­де­лать стра­хо­воч­ные цепи. То, что там сей­час назы­ва­ет­ся стра­хо­воч­ны­ми цепя­ми– это рас­строй­ство одно, не оста­но­вит оно сорвав­ший­ся с фар­коп­фа полу­при­цеп. Цепи по пра­ви­лам долж­ны пере­кре­щи­вать­ся, что­бы пере­се­че­ни­ем в слу­чае чего и ловить дышло. Решил сде­лать пра­виль­но.

При­креп­лю новые цепи к про­у­ши­нам, при­ва­рен­ным с каж­дой сто­ро­ны рамы дыш­ла.

У меня полу­ав­то­мат, и в один про­ход он варит сталь мак­си­маль­ной тол­щи­ной в 4.7 мил­ли­мет­ра. На про­у­ши­нах было боль­ше. Как тут быть? Либо варить в несколь­ко про­хо­дов, либо варить зиг­за­гом. Ну или брать дру­гой сва­роч­ный аппа­рат — агре­га­том на две­сти ампер руч­ной свар­кой элек­тро­дом мож­но было бы отхе­ра­чить этот шов в один про­ход.

Попро­бо­вал по-раз­но­му.

Вот тут несколь­ко про­хо­дов:

А тут я варил зиг­за­гом:

Чего-то как-то зиг­за­гом мне боль­ше понра­ви­лось, эсте­тич­нее. А загрун­то­ван­ное так вооб­ще офи­ген­но выгля­дит:

Конеч­ный резуль­тат:

Вот от это­го цепи хрен отло­мишь, сло­на на весу удер­жит.

Pwn2Own

Есть такая заба­ва у хаке­ров, что-то типа Олим­пи­а­ды, назы­ва­ет­ся Pwn2Own. Соби­ра­ют­ся раз­ные коман­ды, озву­чи­ва­ют­ся цели, напри­мер, «Лома­ем защи­ту Вор­да» или «Хака­ем аутен­ти­фи­ка­цию у Мик­ро­софт Тимз». Коман­ды затем под­пи­сы­ва­ют­ся выпол­нить раз­лич­но­го рода зада­чи, и по обще­му коли­че­ству задач и их слож­но­сти полу­ча­ют­ся очки и зара­ба­ты­ва­ют­ся места в общем зачё­те. Так­же коман­ды полу­ча­ют непло­хие денеж­ные при­зы — ибо кон­то­ры обыч­но пла­тят несколь­ко десят­ков тысяч дол­ла­ров за обна­ру­жен­ные дыры.

Луч­шей коман­дой ста­ли STAR Labs — меж­ду­на­род­ная коман­да хаке­ров с основ­ном из ази­ат­ских стран (Корея, Вьет­нам, и.д.). Но лич­но мне инте­рес­нее не то, кто луч­ший хакер — очень талант­ли­вых людей доволь­но мно­го, и ази­а­тов, и бра­зиль­цев, и аме­ри­кан­цев, и рус­ских. Инте­рес­нее то, какие цели хаке­ры выбра­ли для сво­ей олим­пи­а­ды, а какие были либо не в их обла­сти ком­пе­тен­ции либо были посчи­та­ны слиш­ком слож­ны­ми.

Лиде­ром по взло­ман­но­сти ока­зал­ся пол­но­стью про­пат­чен­ный теле­фон Сам­сунг S22 на ОС Андро­ид (гы-гы-гы). Его взло­ма­ли в пер­вый же день, а на тре­тий день состя­за­ния его взло­ма­ли все­го за 55 секунд, что ста­ло новым рекор­дом состя­за­ния Pwn2Own. Исполь­зо­ва­лась дыра в недо­ста­точ­но хоро­шей вали­да­ции вво­да (блин, до сих пор? в 2022 году? рех­нуть­ся). Вооб­ще этот несчаст­ный теле­фон сум­мар­но изна­си­ло­ва­ли раз десять. Жди­те обнов­ле­ний от Сам­сун­га.

А зна­е­те, какие теле­фо­ны ни одна коман­да не взя­лась ломать?

Гугл Пик­сель и Эппл айФон.

О чем это гово­рит? Да о том, блин, о чём я уже сколь­ко раз писал в этой стен­га­зе­те — когда одна и та же кон­то­ра дела­ет и само желе­зо теле­фо­на, и она же пишет к нему ОС — полу­ча­ет­ся намно­го более непро­би­ва­е­мая и намно­го менее глюч­ная плат­фор­ма, чем когда одни шлё­па­ют желе­зо, а дру­гие рису­ют к нему опе­ра­ци­он­ку. Когда «айн фир­ма, айн бет­рибс­си­стем, айн теле­фон» — воз­ни­ка­ет некая синер­гия, недо­ступ­ная про­сто сбо­ри­щу смеж­ни­ков.

Делай­те выво­ды. Сам­сун­гу пла­мен­ный при­вет в оче­ред­ной раз.

https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results

Онлайн-сообщества

В совре­мен­ных соци­аль­ных сетях ред­ко най­дёшь сооб­ще­ства, где люди с реаль­ным ува­же­ни­ем и забо­той отно­сят­ся к друг дру­гу. Чаще как-то встре­ча­ешь сра­чи и пере­ру­ги­ва­ния с трол­лин­гом и трав­лей.

Но най­ти такие всё же мож­но. Это, в основ­ном, какие-то груп­пы по инте­ре­сам и хоб­би, где встре­ча­ют­ся не какие-то совер­шен­но слу­чай­ные люди, а увле­чён­ные каким-то пред­ме­том.

И зна­е­те какие я нахо­дил наи­бо­лее ува­жи­тель­ные и забот­ли­вые сооб­ще­ства?

Груп­пы людей, упо­треб­ля­ю­щих нар­ко­ти­ки.

Они все­гда гото­вы помочь сове­том по пра­виль­но­му выбо­ру дури и её дозы, под­го­тов­ке обо­ру­до­ва­ния, выбо­ру шпри­цов и игл, как избе­жать пло­хо­го отход­ня­ка, не пере­дознуть­ся, и т.д.

По мое­му опы­ту забот­ли­вее их были толь­ко сооб­ще­ства еван­гель­ских хри­сти­ан.

Про сидельцев

Поми­мо уже осо­бож­дён­ной Грай­нер, в Рос­сии нын­че чалят­ся на нарах как мини­мум двое граж­дан США:

Марк Фогель:

Учи­тель англий­ско­го язы­ка, рабо­та­ет в Рос­сии уже десять лет. Задер­жан в аэро­пор­ту с меди­цин­ской мари­ху­а­ной, кото­рую упо­треб­ля­ет из-за хро­ни­че­ских болей в спине, име­ет соот­вет­ству­ю­щую запись в меди­цин­ской кар­те. Осуж­ден на четыр­на­дцать лет.

Пол Уилан:

Кон­суль­тант в обла­сти без­опас­но­сти. При­е­хал в Рос­сию на сва­дьбу дру­га. Был задер­жан в гости­ни­це и обви­нён в шпи­о­на­же, яко­бы кто-то ему пере­дал флеш­ку со спис­ком сотруд­ни­ков неко­е­го сек­рет­но­го ведом­ста (хос­по­ди, да этих спис­ков в интер­не­тах — жопой жевать мож­но бла­го­да­ря вез­де­су­щей кор­руп­ции). Осуж­ден на шест­на­дцать лет.

Толь­ко вот ни пер­вый ни вто­рой не были ГосДе­пом США зане­се­ны в спи­сок «неза­кон­но задер­жан­ных», в отли­чие от Грай­нер. Одни белые гете­ро­сек­су­аль­ные муж­чи­ны, а быв­шая сиде­ли­ца ни белая, ни муж­чи­на, ни гете­ро­сек­су­аль­на.

Они, ста­ло быть, недо­стой­ны, ага.

А у нас в Эксоне газ, а у вас?

Бен­зин-то нын­че как поде­ше­вел, а? В пере­во­де в более понят­ные нашим евро­пей­ским и рос­сий­ским дру­зьям еди­ни­цы — 72 цен­та или 45 руб­лей с копей­ка­ми за литр.

Непо­нят­ны мне при­чи­ны это­го цено­об­ра­зо­ва­ния — неуже­ли Бидон Бидо­ныч всё ещё тор­гу­ет стра­те­ги­че­ским неф­тя­ным резер­вом? Если так, то он бяка (или бака? впро­чем, без раз­ни­цы).

Или это мир к гря­ду­ще­му кри­зи­су уже начал гото­вить­ся? В таком слу­чае пора гото­вить­ся зано­во попол­нять резер­вы, пока поде­ше­ве­ло. А то ведь выжра­ли за несколь­ко меся­цев то, что копи­ли сорок лет.

Обменяли хулигана на Луиса Корвалана

Где б най­ти такую б..дь, чтоб на Пути­на сме­нять?

Про­гноз — таки сбыл­ся.

Но чер­но­ко­жая мари­ху­а­нист­ка-лес­би­ян­ка, нена­ви­дя­щая Соеди­нён­ные Шта­ты, конеч­но, зна­чи­тель­но шире в перьях для нашей демо­кра­ти­че­ской адми­ни­стра­ции, чем меж­ду­на­род­ный тор­го­вец ору­жи­ем Бут. Сиг­нал при­нят, ага.

И про Лема

Ув. dibr напом­нил.

Всё чаще наты­ка­ешь­ся на вещи в реаль­ной жиз­ни, про кото­рые вспо­ми­на­ет­ся, что «это уже было у Лема».

Вот я недав­но вспо­ми­нал про Элек­три­баль­да — это Лемов­ский ИИ для напи­са­ния сти­хов, кото­рый в песок затап­ты­вал насто­я­щих поэтов. В ито­ге от него изба­ви­лись, кста­ти. А нын­че у нас есть вся­че­ские «Миджёр­ни», кото­рые рису­ют кар­ти­ны кру­че насто­я­щих худож­ни­ков. И чем оно кон­чит­ся, пока не ясно — не исклю­че­но, что всё эти «Миджёр­ни» и «Долл‑и» забе­то­ни­ру­ют к соот­вет­ству­ю­щей мате­ри.

Но ещё у Лема был заме­ча­тель­ный рас­сказ из серии днев­ни­ков Ийо­на Тихо­го, путе­ше­ствие три­на­дца­тое, где бро­дя­га-кос­мо­навт попа­да­ет в Сво­бод­ную Рыби­цию Пин­ты — пла­не­ту, кото­рую сами жите­ли иску­ствен­но зали­ва­ют водой. Вода сто­ит вез­де, на ули­цах и даже в жилых поме­ще­ни­ях. При этом нико­му на самом деле это всё не нра­вит­ся, но воду насаж­да­ют силой, а тех, кто про­ти­вит­ся, бро­са­ют в ката­лаж­ку.

Даль­ше будут спой­ле­ры, так что не читай­те, если хоти­те разо­брать­ся в мора­ли рас­ска­за сами.

Объ­яс­не­ние этой оче­вид­ной иди­о­тии доволь­но про­стое: в про­шлое вре­мя пла­не­ту Пин­ту силь­но муча­ли засу­хи. Для реше­ния этой про­бле­мы были созда­ны спе­ци­аль­ные коми­те­ты, кото­рые заня­лись обвод­не­ни­ем пла­не­ты. Но когда дан­ная зада­ча была цели­ком выпол­не­на, эти инсти­ту­ты наот­рез отка­за­лись исче­зать, а наобо­рот, ста­ли захва­ты­вать всё боль­ше и боль­ше вла­сти, нача­ли зали­вать всю пла­не­ту водой, вне зави­си­мо­сти от того, надо это было или уже не надо, а людям пред­ла­га­лось доб­ро­воль­но баль­ду­реть — эво­лю­ци­о­ни­ро­вать в неких гибри­дов с рыба­ми, кото­рых назы­ва­ли баль­ду­ра­ми и баду­би­на­ми.

Вот я сижу и думаю, где же я это уже видел? А, ну да. БЛМ и при­мкнув­шие. Один в один — Сво­бод­ная Рыби­ция.

Математическая шутка

Обо­жаю такие шут­ки.

Мате­ма­тик захо­дит в забе­га­лов­ку, берёт сто­лик на дво­их. К нему под­хо­дит неопрят­ная офи­ци­ант­ка.

–Что буде­те зака­зы­вать?
–Я зака­жу биф­штекс, но я так­же хочу разыг­рать сво­е­го кол­ле­гу, кото­рый тут будет с мину­ты на мину­ту. Вот сто дол­ла­ров; когда он при­дёт, я задам вам вопрос, а вы отве­ти­те «икс в кубе поде­лить на три», хоро­шо?
–Конеч­но.

Офи­ци­ант­ка берёт день­ги и ухо­дит.

За сто­лик при­са­жи­ва­ет­ся кол­ле­га мате­ма­ти­ка.

–При­вет!
–При­вет! Слу­шай, тут такое класс­ное место, и даже обслу­жи­ва­ю­щий пер­со­нал умный. Вот смот­ри!

Мате­ма­тик оста­нав­ли­ва­ет про­хо­дя­ю­щую мимо офи­ци­ант­ку.

–Ска­жи­те мне, каков будет неопре­де­лён­ный инте­грал функ­ции икс в квад­ра­те?
–Икс в кубе поде­лить на три плюс кон­стан­та.

PS: шут­ка пре­крас­но пере­во­дит­ся на все язы­ки, матан — язык уни­вер­саль­ный.