Category: интересное

Есть такой бес­плат­ный (и очень мощ­ный) редак­тор тек­ста — Notepad++. Он уме­ет пони­мать син­так­сис мно­гих язы­ков про­грам­ми­ро­ва­ния, типа Python, JavaScript, PHP, и далее по алфа­ви­ту. Кро­ме того, он под­дер­жи­ва­ет рег­экс­пы, MIME, и про­чие полез­ные сись-админ­ские вещи. Я с удо­воль­стви­ем его исполь­зую.

Выяс­ни­лось, что в ста­рых вер­си­ях есть крайне инте­рес­ная уяз­ви­мость. Его встро­ен­ная обнов­лял­ка недо­ста­точ­но стро­го про­ве­ря­ла циф­ро­вые под­пи­си ска­чи­ва­е­мых паке­тов. Таким обра­зом, ей мож­но было под­су­нуть вирус­ню вме­сто леги­тим­но­го обнов­ле­ния.

Хаке­ры умуд­ри­лись взло­мать хосте­ра, где хра­ни­лись бинар­ни­ки, и щед­ро насо­ва­ли туда вся­ко­го инте­рес­но­го в панам­ку.

Клас­си­че­ская ата­ка на цепь снаб­же­ния. Очень чистая рабо­та. Пра­ц­ю­ва­ли китай­ці — какая-то хакер­ская груп­пи­ров­ка с очень хоро­шим бюд­же­том, воз­мож­но, госу­дар­ствен­ным.

Впро­чем, если вы не ази­ат­ская ком­па­ния в обла­сти теле­ком­му­ни­ка­ций или бан­кин­га, мож­но выды­хать — похо­же, цели­лись толь­ко в них.

Но на вся­кий слу­чай — обно­ви­тесь до вер­сии 8.9.1.

via
https://www.securityweek.com/notepad-supply-chain-hack-conducted-by-china-via-hosting-provider/

Update!

Тех­ни­че­ский ана­лиз с раз­бо­ром IoC:
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

В кино­филь­ме «Кри­ми­наль­ное чти­во» граж­да­нин Бутч уби­ва­ет граж­да­ни­на Вин­сен­та — в тот самый момент, когда послед­ний выхо­дит из сор­ти­ра, куда он отпра­вил­ся по-боль­шо­му. Это, без­услов­но, факт.

Но это ещё и очень инте­рес­ный факт.

То, что Вин­сент не взял с собой в сор­тир писто­лет-пуле­мёт «Ингрем», мож­но спи­сать на забыв­чи­вость. Одна­ко оста­ёт­ся более интри­гу­ю­щий вопрос: а что он там вооб­ще так дол­го делал?
Он читал кни­жеч­ку (кста­ти, ту самую, кото­рую он брал с собой в убор­ную в дай­не­ре — в сцене, с кото­рой фильм и начи­на­ет­ся), и, судя по все­му, засе­дал там осно­ва­тель­но и дол­го. Настоль­ко дол­го, что Бутч успел не толь­ко осмот­реть­ся и взять часы отца, но и спо­кой­но при­го­то­вить себе тост, пока Вин­сент был занят сво­им гряз­ным делом.

А дело вот в чём.

Вин­сент — геро­и­но­вый нар­ко­ман.
А геро­ин — это опио­ид.
А у всех опио­и­дов есть одна общая и крайне непри­ят­ная побоч­ка — силь­ней­шее замед­ле­ние рабо­ты кишеч­ни­ка.

Имен­но поэто­му Вин­сент так часто в тече­ние филь­ма ходит в сор­тир (у меня полу­чи­лось насчи­тать аж три раза) — и про­во­дит там подо­зри­тель­но мно­го вре­ме­ни. Он не фило­соф­ству­ет и не меди­ти­ру­ет. Он про­сто отча­ян­но пыта­ет­ся сде­лать то, что его орга­низм делать отка­зы­ва­ет­ся.

Соб­ствен­но, король поп-музы­ки — Элвис Прес­ли — закон­чил при­мер­но так же: умер на уни­та­зе, без­успеш­но пыта­ясь, пар­дон, про­срать­ся. 😌

Забав­но, что пше­ни­ца, ока­зы­ва­ет­ся, даёт в сред­нем мень­ше ста зёрен с одно­го рас­те­ния. Даже совре­мен­ные гибри­ды и ген­но-моди­фи­ци­ро­ван­ные сор­та. Поэто­му уро­жай­ность пше­ни­цы по пла­не­те в сред­нем дер­жит­ся в рай­оне 3–4 тонн с гек­та­ра. Самые высо­кие резуль­та­ты пока­зы­ва­ют неко­то­рые реги­о­ны Запад­ной Евро­пы — Ирлан­дия, Вели­ко­бри­та­ния, Нидер­лан­ды — там уда­ёт­ся полу­чить 6–8 тонн с гек­та­ра.

А вот рис — это, пря­мо ска­жем, супер-куль­ту­ра. Одно рас­те­ние (то есть всё, что вырос­ло из одно­го зер­на, пусть и с несколь­ки­ми стеб­ля­ми) может дать до двух тысяч зёрен. Поэто­му сред­няя миро­вая уро­жай­ность риса состав­ля­ет уже 4–6 тонн с гек­та­ра, а луч­шие реги­о­ны — Япо­ния, Вьет­нам — ста­биль­но выхо­дят на 8–10 тонн. И это — с одно­го уро­жая. Во Вьет­на­ме порой сни­ма­ют три уро­жая в год, полу­чая таким обра­зом до 30 тонн риса с гек­та­ра. Пше­ни­ца отды­ха­ет и толь­ко курит в углу.

Но у риса тоже есть своя беда: он тре­бо­ва­те­лен к тру­ду и кли­ма­ту. Ска­жешь «посад­ка риса» — и мозг тут же рису­ет япон­ских кре­стьян, сто­я­щих раком по коле­но в воде и под жар­ким япон­ским сол­ныш­ком вруч­ную выса­жи­ва­ю­щих рас­са­ду. Кста­ти, воду исполь­зу­ют не толь­ко пото­му, что рис обо­жа­ет вла­гу (хотя и это тоже прав­да), а в первую оче­редь что­бы пода­вить сор­ня­ки — в затоп­лен­ных полях они почти не рас­тут, а рис — вполне себе да. Посто­ян­ная ирри­га­ция, тяжё­лый труд, и доволь­но жёст­кие тре­бо­ва­ния к кли­ма­ту (ска­жем, в США рис рас­тёт толь­ко у нас, на Юге) огра­ни­чи­ли его рас­про­стра­не­ние за пре­де­ла­ми Юго-Восточ­ной Азии. В США основ­ные рисо­вые пло­ща­ди — это, вне­зап­но, штат Аркан­зас. Кто бы мог поду­мать о нём как о «рисо­вой кор­зине» стра­ны. В Ала­ба­ме рис тоже будет рас­ти, но у нас лап­ки мест­ность слиш­ком хол­ми­стая — а рису для ирри­га­ции нуж­на поверх­ность ров­ная, как стол.

Зато пше­ни­ца рас­тёт там, где не рас­тёт ров­ным счё­том них­ре­на. Хоть в Север­ной Дако­те, хоть в бес­ко­неч­ных полях Сас­ка­че­ва­на. Выса­дишь там рис — и полу­чишь голь­ный шЫш, а не уро­жай; а пше­ни­ца — коло­сит­ся себе.

Как уже сооб­ща­лось в моей стен­га­зе­те, у меня потёк анти­фриз. Заме­на верх­не­го шлан­га и пру­жин­но­го хому­та, увы, про­бле­му не реши­ла. Было реше­но заме­нить сна­ча­ла хомут — вдруг он барах­ло? Ока­за­лось, да, таки барах­ло. Или может быть, что пру­жин­ный хомут сидел не так плот­но. Ну, а что вы хоти­те, когда стал­ки­ва­ют­ся мил­ли­мет­ры и наши freedom units? По суб­аров­ско­му ману­а­лу нуж­но 44mm, а 1¾ дюй­ма — это, конеч­но, почти то же самое… но в мест­ных попу­га­ях оно всё же самую чуточ­ку длин­нее.

В прин­ци­пе, конеч­но, мож­но было взять и тупо при­кру­тить шланг обыч­ным чер­вяч­ным хому­том — но очень не хоте­лось. Чер­вяч­ный хомут зажи­ма­ет­ся намерт­во и дер­жит в одном поло­же­нии. А ради­а­тор у нас живёт насы­щен­ной, бога­той на изме­не­ния жиз­нью: «горя­чо — холод­но — горя­чо — холод­но», то есть посто­ян­но рас­ши­ря­ет­ся и сужа­ет­ся. Обыч­ный хомут после таких цик­лов посте­пен­но теря­ет натя­же­ние: рези­на шлан­га раз­мяг­ча­ет­ся, потом чуть уса­жи­ва­ет­ся — и соеди­не­ние сно­ва начи­на­ет под­те­кать.

Выяс­ни­лось, что нын­че про­мыш­лен­ность изго­тав­ли­ва­ет при­коль­ные чер­вяч­ные хому­ты, назы­ва­е­мые «посто­ян­но-момент­ны­ми» (изви­ни­те, не знаю точ­но, как будет по-рус­ски constant torque).

Выгля­дят они вот так:

Внут­ре «чер­вя­ка» сто­ит ней­рон­ка пру­жи­на, кото­рая под­дер­жа­ет ста­биль­ное уси­лие зажи­ма при изме­не­нии тем­пе­ра­ту­ры, виб­ра­ци­ях и «усад­ке» мате­ри­а­ла. Бла­го­да­ря это­му дав­ле­ние на патру­бок ради­а­то­ра оста­ёт­ся посто­ян­ным, а гер­ме­тич­ность — надёж­ной даже после мно­же­ства цик­лов нагре­ва и охла­жде­ния.

Так что хомут был заме­нён, и про­теч­ка анти­фри­за ушла, как не было её. Резуль­тат пре­крас­ный, буду всем такие хому­ты теперь реко­мен­до­вать — ну, по край­ней мере там, где соеди­не­ние регу­ляр­но про­хо­дит цик­лы рас­ши­ре­ния и сжа­тия.

Един­ствен­ный минус — доро­го­ва­ты. Две­на­дцать монет за шту­ку, япон­ский бог, как с куста.

А вы зна­е­те, что успех аме­ри­кан­ской рево­лю­ции — да и вся после­ду­ю­щая борь­ба за неза­ви­си­мость Соеди­нён­ных Шта­тов от бри­тан­ской коро­ны — во мно­гом обя­зан чело­ве­ку с таки про­стым име­нем: Хаим Соло­мон?

Памят­ная мар­ка, выпу­щен­ная в 1975 году:

Этот еврей-сефард, родив­ший­ся на тер­ри­то­рии совре­мен­ной Поль­ши в 1740‑х годах (по раз­ным источ­ни­кам — око­ло 1740–1745), помог аме­ри­кан­ским пат­ри­о­там на сум­му, экви­ва­лент­ную почти 21 мил­ли­о­ну дол­ла­ров в совре­мен­ных день­гах. Он потра­тил всё, что имел, что­бы финан­си­ро­вать рево­лю­цию — и умер без копей­ки, в 1785 году, в воз­расте все­го 44 лет.

Похо­ро­нен Соло­мон на еврей­ском клад­би­ще в Фила­дель­фии, неда­ле­ко от одной из пер­вых сина­гог, кото­рую он сам помог осно­вать.

Ну что ж, спа­си­бо тебе, Хаим — без тебя, гля­дишь, не было бы и Соеди­нён­ных Шта­тов в при­выч­ном нам виде.

Кто бы мог поду­мать, что даже в ран­нюю исто­рию Аме­ри­ки так креп­ко впле­те­ны наши еврей­ские дру­зья.

Ама­зо­нов­цы опуб­ли­ко­ва­ли тех­ни­че­ский раз­бор при­чин недав­не­го паде­ния AWS. То, что вино­ват был DNS, уже было извест­но, но лич­но мне было любо­пыт­но понять — что же имен­но они смог­ли сло­мать в систе­ме, кото­рая, по идее, долж­на быть одной из самых про­стых и надёж­ных в инфра­струк­ту­ре интер­не­та?

Ока­за­лось, в их реа­ли­за­ции DNS скры­вал­ся ранее неза­ме­чен­ный баг, при­вед­ший к клас­си­че­ской race condition — ситу­а­ции, когда несколь­ко про­цес­сов или нитей про­цес­са одно­вре­мен­но пыта­ют­ся полу­чить доступ к обще­му ресур­су и в ито­ге меша­ют друг дру­гу. Такое состя­за­ние закан­чи­ва­ет­ся тем, что ресурс «зали­па­ет», а вся систе­ма рушит­ся, как кар­точ­ный домик.

При­знать­ся, изна­чаль­но у меня было подо­зре­ние на на чело­ве­че­ский фак­тор — дума­лось, что какой-нибудь неопыт­ный сисад­мин дёр­нул не за ту руч­ку, посо­ве­то­вав­шись с ИИ, но не спро­сив стар­ших това­ри­щей. Такое быва­ет, и мне тоже дово­ди­лось такое устра­и­вать. Но, как выяс­ни­лось, всё ока­за­лось куда глЫб­же.

Боль­ше все­го впе­чат­лил мас­штаб тре­ша, уга­ра, и бед­ла­ма с содо­ми­ей, вызван­ных сбо­ем. Лег­ла такая туча сер­ви­сов, что толь­ко успе­вай пам­пер­сы менять. Наши систе­мы, к сча­стью, напря­мую не постра­да­ли — но один из наших вен­до­ров ощу­тил послед­ствия спол­на.

Хочет­ся верить, что в Amazon извле­кут из это­го инци­ден­та пра­виль­ные уро­ки — ведь даже гиган­там вре­мя от вре­ме­ни полез­но вспом­нить, что совер­шен­ство инфра­струк­ту­ры не отме­ня­ет зако­нов веро­ят­но­сти и чело­ве­че­ской при­ро­ды.

Опо­ссум вир­гин­ский, адна шту­ка:

Я их не гоняю, хотя они жрат­ву у кота вору­ют, жули­ки. Сами посу­ди­те — полез­ная в быту и хозяй­стве тварь:

1. Жрут кле­щей (ticks), гад­ских раз­нос­чи­ков болез­ней. Один опо­ссум может в одно рыло сожрать пять тысяч кле­щей за сезон, а у нас их мно­го.
2. Гно­бят тара­ка­нов, ули­ток, слиз­ней (НЕНАВИЖУ!), мел­ких ядо­ви­тых змей, и даже мышей и крыс.
3. Жрут мусор и даже раз­ла­га­ю­щи­е­ся тру­пы живот­ных. Уби­тых белок, по-мое­му, с дере­ва снял (ага, недол­го они про­ви­се­ли) имен­но он.
4. Не боле­ют бешен­ством в прин­ци­пе — у них тем­пе­ра­ту­ра тела ниже (34−35), вирус бешен­ства тупо не раз­мно­жа­ет­ся. У собак, напри­мер, нор­маль­ная тем­пе­ра­ту­ра тела 38–39, там виру­су самое то.
5. Не агрес­сив­ны по отно­ше­нию к домаш­ним живот­ным. Зубы у них вну­ши­тель­ные, но опо­ссу­мы в душе паци­фи­сты.

Сло­вом, хоро­шие живот­ные, несмот­ря на оттал­ки­ва­ю­щий внеш­ний вид. Я их люб­лю. И, кста­ти, это един­ствен­ное сум­ча­тое живот­ное (ага, они сум­ча­тые, как кен­гу­ру) родом из Север­ной Аме­ри­ки.

Хочу поде­лить­ся дву­мя видео, где две груп­пы исклю­чи­тель­но талант­ли­вых музы­кан­тов в сту­дии с нуля дела­ют игра­ют каве­ры попу­ляр­ных песен.

Пер­вы­ми идут нор­веж­ские прог-метал­ли­сты LEPROUS с каве­ром на «Take on Me» груп­пы A‑ha (тоже нор­веж­ской, кста­ти, види­мо, им там в воду что-то добав­ля­ют). Лич­но меня боль­ше все­го впе­чат­ли­ли бара­бан­щик и вока­лист. У Мор­те­на Хар­ке­та (вока­ли­ста A‑ha) совер­шен­но офи­ги­тель­ный голос и потря­са­ю­щий фаль­цет­ный диа­па­зон — и ниче­го, метал­лист пре­крас­но спра­вил­ся с этим вызо­вом.

Вто­рое видео — тоже потря­са­ю­щее. Груп­па джа­зи­стов из Нью-Йор­ка испол­ня­ет джаз-кавер на “Heart-Shaped Box” «нашей всей» Нир­ва­ны. При всём моём ува­же­нии к прог-метал­лу, джа­зи­сты, конеч­но, в музы­каль­ном плане люди куда более про­дви­ну­тые: они не про­сто пере­иг­ра­ли пес­ню, а сде­ла­ли её по-насто­я­ще­му сво­ей. Очень реко­мен­дую.

Видео встав­ле­ны так, что­бы вос­про­из­ве­де­ние начи­на­лись с момен­та финаль­но­го испол­не­ния каве­ров, но если понра­вит­ся — сове­тую посмот­реть их цели­ком. Крайне инте­рес­но наблю­дать за кре­а­тив­ным про­цес­сом вжи­вую, осо­бен­но у джа­зи­стов: они бук­валь­но ста­вят гранж-пес­ню с ног на голо­ву, пре­вра­щая её в свин­го­вый номер в духе вели­ко­го Дюка Эллинг­то­на.