Прелесть

AMD снова на высоте.

Вкратце — в микрокоде процессоров АМД есть ошибка, из-за которой встроенный хардверный генератор случайных чисел раз за разом выдаёт 0xFFFFFFFF. Это, разумеется, приводит к серьёзнейшим дырам в безопасности для пакетов, которые используют машкод RDRAND. Чтобы починить, надо сгружать обновление для БИОСА (!) материнской платы (!!), которое обновит микрокод процессора (!!!). Нет, просто пойти на сайт АМД и скачать обновление низзя, что вы, это бы было слишком просто.

Помнится, ещё где-то в начале-середине 2000х я это уже видел — компьютеры на процессорах Интел нормально себе собирались и работали, в то время когда владельцы компьютеров на процессорах АМД пребывали в перманентном поиске нужной длины заячьей лапки и правильного размера бубна, чтобы ЭТО, наконец, нормально заработало.

Надо, правда, сказать, что часто это была вина самих владельцев, которые покупали АМД не потому, что он был лучше, а потому, что эти процессоры были дешевле. Ну, и заодно экономили ещё на всём остальном — на материнской плате, на памяти, и даже на блоке питания (не надо ржать, неустойчивая работа компьютера как правило на хреновость питания и указывает). Получалось в результате говно из серии “на грош пятаков”. И работало точно так же.

Но это также была и вина АМД, которые, например, не продавали вместе в процессором кулер. Интел продавали, а АМД нет. Поэтому форумы фанатов АМД были заполнены сообщениями типа: а площадь радиатора в 130 квадратных миллиметров это достаточно? А 40 кубов в минуту хватит? Нет, не хватит, надо минимум 45!

А владельцы Интелов не парились и ставили кулер, который шёл в комплекте. И всё нормально работало искоропки.

Отдельная ржака по охлаждению была когда на процессорах АМД не ставили защиту по перегреву, из-за чего процессор при полной загрузке, если с него снять кулер, за несколько секунд уходил вразнос и выпускал волшебный белый дым, на котором, как известно, всё и работает. Ну, а когда дым заканчивался — то и работать всё переставало. А Интеловские процессоры, увидев зашкал по температуре, тупо тормозили тапкой в пол и вставали раком.

АМД ещё тогда же начал сваливать с больной головы на здоровую — мол, изготовители материнских плат виноваты, они не ставят на платы термисторы и защиту (вот ТОЧНОСТИ как в данном примере — нехай БИОС апгрейдят, а мы белые и пушистые и вообще не при чём). А Интел без излишней зауми ставил защиту в сам процессор. Ибо нехрен.

Потом АМД взялись, наконец, за ум, и стали продавать вместе с процессорами кулеры. А теперь, вишь, опять перестали:

Нет, прелесть же. 32-х ядерная “Рязань” за почти две тыщи баксов, но кулер нихера в поставку не входит. 20 долларов сэкономили, молодцы!

Про десятую винду

Меня, в принципе, десятая винда удовлетворяет. Хотя стартовое меню я до сих пор считаю одним из кривейших решений в истории Микрософта. Его, конечно, можно настраивать, и сделать довольно удобным, но всё равно — хреновое это решение, если честно. Это, впрочем, не с десятой винды началось, а ещё с восьмой. И что характерно, совершенно непонятно, почему и зачем. То-есть, в случае с десятой виндой ещё более-менее понятно — ради лучшей работы на мобильных устройствах (Microsoft Surface весьма неплохо себя чувствует на рынке, у меня даже такое есть). Но совершенно непонятно, на кой хер это издевательство надо было тянуть на серверные версии винды, там что, тоже мобильные устройства, что ли? Ага, сервер баз данных на планшете. Или доменный контроллер. Рехнуться и не встать.

Но одна вещь в десятой винде просто ВЫБЕШИВАЕТ. Это работа с не очень стандартными USB устройствами. Почему-то тут всё строго через анальное отверстие.

Вот у меня, например, есть игра RockSmith. Игра заключается в том, чтобы подключить настоящую электрогитару с компу и играть по табам. В комплекте с игрой идёт USB кабель, с точки зрения компьютера представляющий собой USB микрофон. Один конец кабеля в комп, другой в разъём 1/4 дюйма на родном стратокастере и погнали.

Так вот заставить этот микрофон работать на десятой винде — это просто майн кампф какой-то. В последний раз я это сделал, вынеся ВСЕ USB устройства из диспетчера устройств к соответствующей матери нахер. После этого оно заработало. Но проработало недолго — до следующего обновления. Потому что в обновлении они в очередной раз что-то докручивают, после чего нихера не фурычит.

И ладно бы ещё устройства третьих фирм бы ломались. Но сейчас я, например, не могу заставить винду увидеть контроллер от коробокса. Хотя уж, ЕПТЫТЬ, казалось бы — Микрософтовский же продукт! И Микрософтовская ОС его в упор не видит.

Что за ерунда….

Какое интересное кино

Американские таможенники потребовали от Гугла и Эппла выдать информацию о пользователях мобильного приложения Obsidian. Данное приложение специально сделано для того, чтобы цепляться по вайфаю к прицелам ATN серий X-Sight 4k и ThOR 4m. При помощи приложения можно вносить поправки, делать видеозапись с прицела, считать баллистику и т.д. А мотивация для запроса таможни в том, для экспорта данных прицелов необходимо получать разрешение. Сопоставив количество выданных разрешений и количество зарубежных пользователей, можно примерно оценить, сколько прицелов было вывезено контрабасом. Чего они, правда, собираются делать с этой информацией — не вполне понятно. Прицел у них уже не отберёшь — юрисдикция не та. Разве что ещё раз вздрючить таможню на предмет “не пущать”?

Вот такая вот интересная новость, сплав компьютерного оборудования и огнестрельного оружия.

Началось

Абсолютно любая технология, очевидно, может быть использована как в благих, так и в злонамеренных целях. Компьютер, естественно, не исключение, и современные компьютерные технологии типа искуственного интеллекта и машинного обучения тоже.

Жульё использовало компьютер для того, чтобы эмулировать голос директора. “Директор” потребовал срочного перевода денег “вендору” в Венгрии. Компания потеряла 220 тысяч евро.

Подобные технологии уже демонстрировала Adobe. Или вот, у нас есть https://lyrebird.ai/, делающий всё то же самое. Нужна только запись голоса длиною не менее минуты, а дальше дело техники.

Т.н. “глубокие фейки” давно стали обыденной реальностью — что говорит нам, собственно, о том, что внешность и голос более не являются достаточными подтверждениями аутентичности. Поэтому воленс-ноленс, но, видимо, обществу таки придётся перейти на повсеместное использование, например, цифровых подписей. И хотя это тоже, безусловно, не панацея — сертификаты и пароли для создания подписей тоже можно украсть — но по крайней мере для этого потребуется существенно более высокий уровень компетенции жулья. Это вам не у доверчивых старушек деньги тырить.

Касперский — прелесть

Помимо того, что данный… кгм… продукт у меня регулярно подвешивал компьютер, он, как теперь выясняется, ещё давал прекрасную возможность отслеживать пользователей в интернете. Под соусом якобы определения злонамеренности посещаемого вебсайта, с 2015 года Касперский добавлял на все посещаемые страницы небольшой кусочек джаваскриптовского кода. Не знаю, как он по результатам этого собирался определять злонамеренность, но скрипт, который он добавлял, имел уникальный индивидуальный идентификатор. А так как при таких раскладах этот скрипт тоже становится частью DOM, его содержимое становится доступным ВСЕМ скриптам на этой странице. То-есть, любой дурак мог взять и заполучить уникальный идентификатор пользователя, и именно что злонамеренно использовать его в целях, например, подсовывания рекламы или ещё чего похуже.

С какой целью на самом деле всё делалось именно вот так — затрудняюсь сказать. Но *многозначительно шевеля усами* учитывая, что Евгений Валентинович закончил Высшую Школу КГБ…

В-общем, я как свалил с него, так с тех пор ни разу не пожалел.

Луганск — Дикий Запад

Интереснейшая статья про кибержульё, которое крадёт кредитки через джаваскриптовского трояна MageCart:

https://blog.malwarebytes.com/cybercrime/2019/07/no-mans-land-how-a-magecart-group-is-running-a-web-skimming-operation-from-a-war-zone/

Самое интересное тут то, что рассадник крадунов — Луганск. Где, по сути, сейчас творится полный дикий запад в отношении кибербезопасности.

Даже есть специальный хостинг для жулья:

Я не сомневаюсь, что руководство ЛНР знает о существовании рассадника кибержулья на своей территории. Просто крадуны аккуратно заносят куда и кому надо.

Советский компьютер — это дорого

Интереса ради поглядел на иБее, сколько заряжают за советский клон DEC PDP-11, сиречь, БК-0010-01.

О(хрен)еть, меньше $225 на круг никак не получается.

Антиквариат, блин.

А вообще, если кому-то сильно захотелось вспомнить программистскую юность, то есть эмулятор.

Кроме того, если очень хочется вспомнить старенькое, то можно значительно дешевле приобрести антикварный компьютер на базе Zilog-80. Под него и софта больше, благо эти компьютеры были популярны не только в России, но и на Западе. Я, кстати, не знал, что Z80 являлся совместимым с Intel-8080 (предшественника 8086, что стоял в XT). Это многое объясняет.

Микрософт в своём стиле

Подход этой компании к установке некоторых обновлений для ОС Windows — не устаёт повергать меня в состояние когнитивного шока.

Вот, например, руководство по митигации уязвимости CVE-2017-8529. Вот вы чо думали — что достаточно накатить нужное обновление и всё, вы в домике, да? Авотхер.

Установка обновления только накатывает новые бинарники в операционную систему. Для того, чтобы обновление заработало, ещё надо врукопашную редактировать реестр. Надо лезть в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ и создавать там новые записи. Всё это сопровождается пояснительными записками, что, мол, редактирование реестра — очень опасное занятие, и что если ошибётесь — будьте готовы переставить операционную систему с нуля.

Молодцы, чо.

PS: Кстати, абсолютно та же херня была с установкой обновления для Windows2000, которое позволяло ей работать с дисками более 120, что ли, гигабайт. Там тоже — установка обновления делала только пол-дела. Надо было ещё ручками реестр редактировать.

Круто блин

Описание методов работы группы (предположительно российских) хакеров под названием Turla:

https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/

Вкратце — на почтовый сервер поставили троян, способный читать почтовые сообщения. Инструкции для трояна вставляются в абсолютно безобидные PDF файлы, прикреплённые к сообщениям, при помощи стеганографии.

Каждый раз читаю про Turla и слегка обалдеваю. Это та же самая группа, которая придумала как красть данные через спутниковый интернет, никак не выдавая своего местоположения.