Сильное колдунство

Я очень люблю Windows Subsystem for Linux (WSL). Вот реально без неё — как без рук. Весь нужный инструмент — grep, sed, find, cat, nc, awk, wget, curl, openssl, и так далее — доступен сразу не отходя от кассы. Не надо никаких отдельно стоящих виртуалок. И да, это круче Cygwin, потому что линуксовые бинарники под вашим цЫгвином не запускаются, а под WSL — пожалуйста. Потом, у цЫгвина самый большой недостаток — это то, что если там какой-то пакет в ней не стоит, то надо запускать setup.exe и заново перевыбирать пакеты. А в WSL у меня же в ней вообще полноценная Убунта стоит, и на неё хоть чорта лысого можно поставить через apt, а если не помогает apt — то через snap, или вообще можно по-старинке самому скомпилировать и сделать make install. Кстати, выбор не ограничен Убунтой, хотя это дистро по умолчанию. Можно и Дебиан, можно kali. Да хоть SUSE, если она кому-то близка (слакварщикам, может быть).

Но при всём этом — это не отдельно стоящая виртуалка, типа как в рабочей станции ВМВарь. Она сильно интегрирована с хозяйской операционной системой. Например, можно сказать /mnt/c/windows/system32/calc.exe и он запустится! Ну, понятно, в отдельном окне. А теперь, пишут, можно даже на Винде линуксовые гуйные приложения запускать, и их использовать, но я, правда, пока не пробовал. Вот это я понимаю, сильное колдунство.

Или очень просто диски монтировать сетевые, sudo mount -t drvfs //server/share /mnt/mountpoint и вперёд, не надо мудохаться с cifs и паролями, оно пароли берёт из пользовательской сессии самой винды.

Мало того — я под ней запускаю всяческий Тензорфлоу, Олламу и прочий ИИ — и CUDA видеоускоритель прекрасно пробрасывается до гостевой ОС, она его видит и использует на всю катушку.

Google Gemini (Gemma3), запущенный в окне WSL под Ollama. До кучи тут ещё Микрософт Терминал, тоже ещё один пакет, без которого как без рук:

В-общем, использую и не нарадуюсь — на редкость полезный пакет. В кои-то веки Микрософт сделали что-то реально хорошее для всех людей, что-то, что сделало весь мир лучше, а не только вселенную Микрософта. Насколько понимаю, изначально это был софт для разработчиков приложений под Ведроид — чтобы Ведроидный код можно было писать и запускать не отходя от кассы, а теперь из него сделали отдельно стоящий сервис.

Рекомендую изо всех сил. Отличная вещь.

Пну-ка я Линукс в очередной раз

Давно я не пинал эту поделку, пну опять.

Имеем: сервер с установленной Убунтой 22.04 — самым распоследним дистрибутивом LTS. Не ставить же в продакшн бета-версии.

На сервере установлен Апач 2.4.52. На него ругается Нессус — мол, там дырка, хозяин. Причём дырке уже больше года.

Хорошо — apt update && apt upgrade? А вот шЫш — 2.4.52 это самая распоследняя версия в репозитариях Убунты 22.04:

И чего предлагаете делать? Как я в 1998 году делал, из сырцов собирать самому? Чтобы потом получить фиг знает чего, что после апгрейда библиотеки, например, libc, грохнется просто с гарантией? Нафиг такие идеи и предложения, я насобирался из сырцов выше крыши ещё в прошлом веке.

Можно добавить в репозитарии чеха, и поставить оттуда. Но всё это абсолютно без гарантий.

Что имеем в сухом остатке? Очевидную идиотию — по умолчанию самая последняя версия LTS релиза ставит Апача с дырой, и обновить её, если не делать плясок с бубном и заячьей лапкой, не получится.

А потом линуксоиды нам рассказывают, какой Виндоуз дырявый, ну-ну.

В моём любимом FreeBSD, кстати, в портах человеческая версия.

Вот вам и Линукс против BSD.

Про ентот ваш Линукс

Когда же, наконец-то, эту кривую поделку на десктопе доведут до ума? Невозможно же пользоваться.

Вот у меня есть лаптоп для скачивания торрентов всяких интернет-вещей, там браузер, ВПН, прочее. Воткнул я на него Убунту 22.04. Работало через жуткую задницу, жуткую. Скорость работы беспроводной сети аккуратно раз в день падала до 10 мегабит, периодически всё зависало и грохалось. Иногда лечилось отключением вайфая и включением его заново. Иногда приходилось принудительно перезагружать. На экране — постоянно какие-то подглюкивания.

А поставил винду-десятку — и всё сразу заработало с пол-пинка. Вот уже месяц ничего не перегружал, а скорость работы вайфая не падает ниже 300 мегабит. И всё железо работает прекрасно.

На Линуксе мы имеем заколдованный круг — в основном все эти проблемы сводятся к косоруким драйверам. Драйверы нормальные для “бесплатного” линукса никто не пишет, потому что нет спроса. А спроса нет — потому что нет нормальных драйверов. Я, например, на своём рабочем лаптопе с гибридной видеокартой Intel/NVidia Quadro линукс заставить функционировать вообще не смог. Драйвер ставится, но не фурыкает.

Линукс бесплатен только если твоё время ничего не стоит.

На серверах Линукс работает более-менее нормально (хотя если есть возможность, я всё же поставлю правоверный FreeBSD). Кроме того, Линукс замечательно летает в WSL, которым я постоянно пользуюсь. Но на десктопе — жуть с ружьём.

И так как нормального десктопного линукса ждут уже лет минимум двадцать, я думаю, нормальный десктопный линукс… не выйдет никогда. Только если какая-то контора, типа ХеПе, не усыновит эту финскую поделку, и не начнёт делать свой дистрибутив, который будет нормально работать хотя бы на хепешном железе.

Пятиминутка ненависти к Линуксу и прочему Ведроиду окончена 🙂

Фаерфоксяша, гудбай

Я очень долго использовал ФаерФокс в качестве основного браузера, но больше так не могу. И дело не в том, что он меня не удовлетворяет — он мне нравится.

Но всё большее количество сайтов с ним не работают или имеют кривую функциональность. Страницы не перелистываются или ещё что подобное. Все нынче пишут под две платформы: Хромообразное или Сафари. При всей моей неприязни к разработчикам веб-сайтов мне сложно их винить — при количестве пользователей под Фаерфоксом менее 5% сложно от них требовать писать только так, чтобы и под ним тоже работало.

Фаерфокс также исключительно криво работает под Линуксом. Вот он ничего не делая, просто будучи запущенным, отжирает серьёзный ресурс у процессора. Чего он там делает — загадка, остальные-то браузеры работают нормально! Даже Эдж работает просто замечательно. Ага, Эдж есть под Линуксом! Прикиньте, компания Микрософт выпускает версию своего браузера под Линукс. Расскажи мне это в каком-нибудь 1999 году, я бы только пальцем у виска покрутил. Однако у Микрософта нынче с Линуксом любовь — что мне нравится, так как я, наверное, процентов 25 своей работы делаю под WSL. WSL в сто раз круче, чем тот же Цыгвин, потому что пакеты ставятся по-человечески, через apt. Чтобы добавить пакет в Цыгвин, надо каждый раз setup.exe запускать. И обновляться так же. Нафиг-нафиг.

В-общем, Фаерфокс меня замумил окончательно, так что я от него избавился. Нет, я перешёл не на Хром. Хром я не люблю, как и многие другие продукты компании Гугл (например, ВЕДРОИД этот ваш богомерзский).

Я перешёл на Брейв — сиречь, форк опенсорсного Хромиума. Эдж, к слову, тоже форк Хромиума. И Эдж мне в принципе, вполне нравится — я пользуюсь им для работы, так как я уж точно знаю, что с микрософтовскими сайтами он будет работать нормально. Это был мой запасной вериант, если бы Брейв мне не понравился.

Брейв пока неплох. Без проблем втащил все мои закладки и даже историю из Фаерфокса. Сайты все работают, пока всё хорошо. Буду наблюдать.

Сомсунк

Ах-ха-ха, какая ржака.

Телефон Самсунг S23, при съёмке луны крупным планом подсовывает пользователю картинку, сгенерированную искуственным интеллектом на основе реальных фотографий луны, сделанных через телескопы.

Видел в интернетах похожее, когда видео летящего в стратосфере самолёта делали этим же телефоном, причём с охрененными деталями, а потом тоже выяснилось, что картинка самолёта нарисована AI. Потому как оптика — это наука, а науку не обманешь. В толщину телефона в один сантиметр не впихнуть объёктив на 8000mm или сколько там надо.

Следующий прорыв будет — когда на пляже делаешь видео девок в купальниках, а скрозь телефон они все будут голые!!!!! Ради такого дела можно будет и богомерзский ваш Ведроид купить!!!!!

Pwn2Own

Есть такая забава у хакеров, что-то типа Олимпиады, называется Pwn2Own. Собираются разные команды, озвучиваются цели, например, “Ломаем защиту Ворда” или “Хакаем аутентификацию у Микрософт Тимз”. Команды затем подписываются выполнить различного рода задачи, и по общему количеству задач и их сложности получаются очки и зарабатываются места в общем зачёте. Также команды получают неплохие денежные призы — ибо конторы обычно платят несколько десятков тысяч долларов за обнаруженные дыры.

Лучшей командой стали STAR Labs — международная команда хакеров с основном из азиатских стран (Корея, Вьетнам, и.д.). Но лично мне интереснее не то, кто лучший хакер — очень талантливых людей довольно много, и азиатов, и бразильцев, и американцев, и русских. Интереснее то, какие цели хакеры выбрали для своей олимпиады, а какие были либо не в их области компетенции либо были посчитаны слишком сложными.

Лидером по взломанности оказался полностью пропатченный телефон Самсунг S22 на ОС Андроид (гы-гы-гы). Его взломали в первый же день, а на третий день состязания его взломали всего за 55 секунд, что стало новым рекордом состязания Pwn2Own. Использовалась дыра в недостаточно хорошей валидации ввода (блин, до сих пор? в 2022 году? рехнуться). Вообще этот несчастный телефон суммарно изнасиловали раз десять. Ждите обновлений от Самсунга.

А знаете, какие телефоны ни одна команда не взялась ломать?

Гугл Пиксель и Эппл айФон.

О чем это говорит? Да о том, блин, о чём я уже сколько раз писал в этой стенгазете — когда одна и та же контора делает и само железо телефона, и она же пишет к нему ОС — получается намного более непробиваемая и намного менее глючная платформа, чем когда одни шлёпают железо, а другие рисуют к нему операционку. Когда “айн фирма, айн бетрибссистем, айн телефон” — возникает некая синергия, недоступная просто сборищу смежников.

Делайте выводы. Самсунгу пламенный привет в очередной раз.

https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results

айФоныч 14 Про Макс

Приехал таки долгожданный телефончик. По сравнению с 12 Про Макс, который был у меня ранее, изменения, конечно, есть.

Самое заметное — это то, что у телефона постоянно включен экран. В спящем режиме, он, конечно, сильно тускнеет, переводится в режим высокой контрастности и обновляется с частотой только в 1 герц, но какие-то там сообщения и время поглядеть можно легко. Да, ночью оно отключаемо — надо только настроить временной промежуток, когда это не нужно.

Фича не новая, была давно доступна на некоторых ведроидных девайсах, видимо, Яббл решил тоже добавить. Не знаю насчёт удобства… по-моему, бесполезное улучшение. Может быть, совсем отключу — батарейка живее будет.

Самое удобное — это то, что телефон теперь можно разлочить лицом в повёрнутом, ландшафтном режиме. Это очень удобно в машине, где у меня держалка именно так телефон и хватает. Не надо теперь вводить код, так как телефон тебя распознаёт самостоятельно.

Так, а чо там с этой фичой на Пихлях и Гнусмасах? Ага, понятно, нету — как обычно.

Связь со спасательными службами через спутник пока, слава Артемиде, пробовать не пришлось.

А вот камера — впечатлила очень сильно. И не только постоянными улучшениями в качестве картинки, а ещё и тем, как близко теперь телефонная камера может фокусироваться. Это даёт — без всяких ухищрений в виде насадок — очень неплохие макро-возможности:

И это ещё сильно уменьшенная копия. На самом деле ещё круче.

В-общем, покупочкой очень доволен! Одел телефон в кожаный сюртук NOMAD. Крайне рекомендую их чехлы для яблофонов (они делают их только для продукции Apple), кожа высочайшего качества и защищает телефон лучше, чем кожаные чехлы даже самого Эппла.

Проклятый яблочник опять написал пост, полный любви и обожания. Няяяяяяяя!!!!

Новый айФон 14

Подходит срок апгрейда на новый телефон. В этот раз Эппл меня ОЧЕНЬ круто впечатлил, побегу отдавать свои денежки на новый 14 Про Макс. И дело даже не в 48-мегаписькельной камере с оптическими зумами 3х и прочими прибамбасами, мы-то с вами знаем, что дело не в писькелях. Впрочем, новые технологии матриц и алгоритмы обработки изображения всё более и более нивелируют разницу между зеркалками и телефонами. Я уже не помню, когда я в последний раз свой Никон доставал — в 95% случаев телефонная камера удовлетворяет полностью, даже для портретов и распечатки оных. Если только не надо ставить искуственный свет, пыхи, и не рассматривать фотографии попиксельно — можно вполне обойтись и без зеркалки.

Впечатлило меня в новых айФонах не это. Впечатлило меня то, что в новом айФоне есть, без всякого дополнительного оборудования, режим работы через спутник.

Пока это только для экстренных сообщений, сказать родным, что заблудился и лежишь в лесу со сломанной ногой. Это именно та причина, по которой я озаботился в своё время радиостанцией “двойкой” и получением позывного, благо там, где я шатался, был репитер.

А теперь и этого не надо.

Очень впечатлён.

В ентих ваших убогих ведроидах функция тоже появится, не бздеть! Ведроидщики же обезъянничают, фичи-то копируют после того как настоящий инноватор их сначала сделает. Но будет это на Ведроидах только в середине-конце следующего года.

Взлом резервных копий смартфонов iPhone

Для начала немного теории.

Как хранятся пароли в операционных системах, вебсайтах, и т.д. Не открытым текстом, разумеется. Они хранятся в виде хешей. Хеш — это строка определённой длины, получаемая при обработке ввода (пароля в данном случае) хеш-функцией. До недавнего времени (да и сейчас кое-где) использовался алгоритм MD5. Так, хеш MD5 слова “password” представляет собой строку 5f4dcc3b5aa765d61d8327deb882cf99.

Поэтому когда ты логинишься на вебсайт, пароль обрабатывается алгоритмом MD5, и сравниваются хеши. Если на выходе 5f4dcc3b5aa765d61d8327deb882cf99, то всё нормально. Винда делает немного по-другому: хеш генерируется прямо на клиенте, и пересылается не пароль, а сразу хеш. Это цуцуть безопаснее. Ещё хеш солят, но про это в другой раз.

Чтобы взломать пароль, надо сначала украсть хеш пароля. Взлом паролей перебирает все возможные комбинации, хеширует их и сравнивает хеши. Но это тупой перебор, есть варианты поинтереснее, типа словарей, комбинаций замены букв на цифры, и математическо-статистические методы, типа цепей Маркова. Но подробное разбирание этих методов — это материал для огромного отдельного поста.

Я уже давно люблю программу котохеш (hashcat) для взлома паролей. У неё исключительно высокая производительность, так как она использует видеокарту для расчётов вместо центрального процессора. Нет, она и процессор может использовать, просто на видеокарте быстрее, там этих процессоров тысячи, а хеширование исключительно хорошо распараллеливается.

Сломаем MD5 хеш 5f4dcc3b5aa765d61d8327deb882cf99:

hashcat.exe -m 0 -a 3 hash.txt ?l?l?l?l?l?l?l?l

И меньше, чем за секунду всё сломано.

На моей уже старенькой 1070GTX поиск хешей MD5 происходит со скоростью около 8 миллиардов комбинаций в секунду.

Даже если сменить пароль на более сложный, типа P@$$w0rd, то 8-значный пароль взламывается в обозримые сроки, даже на не очень новом железе — за несколько дней.

НО. Подобные сроки — они для паролей, хешированных MD5. От которого везде отказываются как могут. Он считается криптографически нестойким: во-первых, он подвержен коллизиям (т.е. два совершенно разных пароля могут дать одинаковый хеш), а во-вторых он имеет недостаточную вычислительную сложность. Т.е. тот факт, что даже на моём старом железе я могу перебирать восемь миллиардов паролей в секунду — он из-за этого происходит.

А недавно я попробовал сломать бекап смартфона Apple. Для тёщи, которая раскокала телефон вдребезги, успев, правда, незадолго до сделать ему бекап. Но вот беда — она забыла пароль от бекапа! Она только знала, что пароль восьмизначный.

Хеш пароля для айфонного бекапа берётся в файле Manifest.plist. Этот файл скармливается вот этому сайту, например, и тебе дают хеш.

Так вот хеш там — какой-то проприетарный. И имеет настолько высокую вычислительную сложность, что на моей видеокарте котохеш перебирает комбинации со скоростью… 83 варианта в секунду. Надо отдать должное чувству юмора разработчиков котохеша: во время работы оно показывает, сколько времени осталось до перебора всех вариантов. Так вот в данном случае оно говорит, что работа программы закончится после следующего Большого Взрыва 😀

Вот так вот Плотнег лососнул тунца.

Огромный респектищще Эпплу — я в очередной раз убедился, что уж с чем-чем, а с надёжностью шифрования у них всё всегда было в полном порядке. Огромным плюсом является то, что Эппл контролирует весь цикл производства телефона — от железа до софта. Поэтому что, как и каким способом — всегда было хорошо известно и задокументированно. Ну и традиционно, пнём Ведроид 🙂 На Ведроидах, кто шифрует что и как — а хер его знает! Кто из производителей как захотел, тот так и шифрует. И скажи ещё спасибо, если задокументировано. А могут и тово, на хрен послать.

Андроидные телефоны шпионят за пользователями

Британские учёные установили, что практически все телефоны на ОС Андроид постоянно шпионят за пользователями. Рассматривались телефоны Самсунг, Сяоми, Хуавей, Реалми, и прочие.

Кто бы сомневался.

Интересно было бы сделать подобный анализ для эппловских телефонов. Т.е. понятно, что “кое-кто у нас порой честно жить не хочет” даже на Эппловской экосистеме, вопрос, насколько это хуже/лучше ведроидной альтернативы. Недавно Эппл хотели было включить анализ фотографий заливаемых на эппловское облако; это вызвало просто швал ненависти, и они от таких изменений (пока) отказались.