программирование

Интересный хак

Есть такой бесплатный (и очень мощный) редактор текста — Notepad++. Он умеет понимать синтаксис многих языков программирования, типа Python, JavaScript, PHP, и далее по алфавиту. Кроме того, он поддерживает регэкспы, MIME, и прочие полезные сись-админские вещи. Я с удовольствием его использую.

Выяснилось, что в старых версиях есть крайне интересная уязвимость. Его встроенная обновлялка недостаточно строго проверяла цифровые подписи скачиваемых пакетов. Таким образом, ей можно было подсунуть вирусню вместо легитимного обновления.

Хакеры умудрились взломать хостера, где хранились бинарники, и щедро насовали туда всякого интересного в панамку.

Классическая атака на цепь снабжения. Очень чистая работа. Працювали китайці — какая-то хакерская группировка с очень хорошим бюджетом, возможно, государственным.

Впрочем, если вы не азиатская компания в области телекоммуникаций или банкинга, можно выдыхать — похоже, целились только в них.

Но на всякий случай — обновитесь до версии 8.9.1.

via
https://www.securityweek.com/notepad-supply-chain-hack-conducted-by-china-via-hosting-provider/

Update!

Технический анализ с разбором IoC:
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Набрали, блин, по объявлениям

Нарисовали тут граждане аналитики скриптов на R — финансовые данные обрабатывать. Всё бы ничего, только на их лаптопах оно летает, а в продакшене скрипт встаёт колом.

Ну ладно, говорю, давайте посмотрим, в чём разница. Разница нашлась быстро.

Поджигаем скрипт — он радостно стартует, бодро грузит в память 40 с лихером гигабайт данных, а потом начинает долго и вдумчиво делать всякую фигню.

Открываю диспетчер задач. Смотрю… ага.

Гляжу в книгу — вижу фигу: из 64 ядер скрипт бодро молотит ОДНО ядро. Остальные 63 стоят вокруг, жуют сено, и курят бамбук.

Потому что про многонитевость и многопроцессность товарищ финансовый аналитик, как выясняется, слышит впервые в жизни.

На ноутбуке у него — AMD «Рязань» с турбочастотой 5.1 ГГц. А в продакшене, извините, ядер-то хоть отбавляй, но они попроще лицом будут, и на 2 ГГц.

Разработчик винит железо.
Я виню разработчика.

Потому что в 2026 году писать однопоточный процесс — это не просто западло, а тупизна со взломом.

Вот так и живём. Пойду писать грозное письмо проджект-лиду. Пусть он им в команду хоть одного погромиста с реальной степенью в CS вкрутит, иначе они продолжат выдавать херню на гора. Таких дундуков даже ИИ не спасает.

Корретто мне, корретто!

Давненько не доводилось трогать Джаву — и оказалось, что с тех пор многое успело поменяться.

Во-первых, ещё в 2011 году Сан/Оракл наконец открыли исходники Джавы — ну, про это уже было известно. Та самая открытая Джава появилась, например, в Шапке.
А во-вторых, в 2018 году Оракл (видимо, решив поэкспериментировать с реальностью) объявил, что долгосрочную поддержку своей JDK они больше бесплатно давать не будут. А к этому моменту Джава уже работала в бесчисленных облачных и не только проектах, так что вендоры почесали репу и решили, что дешевле и проще будет разливать этот кофий самостоятельно.

И понеслась… Все начали клепать свою Джаву — и теперь у нас есть вариации от Амазона, Azul, SAP и даже самого Микрософта (!) Китайцы тоже подсуетились: теперь своя версия есть у Алибабы, Тенсента, Хуавея… Русские не остались в стороне и тоже разлили этот кофий в свой самовар; для государственных проектов существует, например, Астра JDK. В ней, к слову, есть поддержка русской криптографии ГОСТ-2012.

В общем, про Оракл (и их чудовищный сайт) нынче можно забыть как про страшный сон — бери любую Джаву, какая нравится, и используй под свои нужды. Больше нет нужды связываться с их «родной» JDK и её тупорылым, бессмысленным, и тормозным установщиком.

Для себя выбрана Амазоновская чашка под красивым названием «Корретто». Это, если что, такой кофейный напиток — эспрессо с капелькой алкоголя, традиционно — с граппой.

Установщик их JDK отличный, продукт поставился моментально. В качестве IDE была выбрана IntelliJ IDEA CE вместо устаревшего в корягу Эклипса. Эклипс, конечно, продукт заслуженный, но застыл по развитию году примерно в 2005. Открылись старые исходники писулек десятилетней давности, и, не поверите, всё скомпилировалось и запустилось. Даже удивительно (и приятно). Современная Джава по производительности теперь, поди, ещё больше уделывает енту вашу корягу под названием «Си-плюс-плюс» 😉

Сисадминско-ИИшно-рабочее

Дано: отказоустойчивый кластер Hyper‑V.
Надо: обеспечить сорок рыл виртуальными десктопами на Windows 11.

Делаем сорок клонов одинаковых виртуалок. Теперь нужно раздавать их пользователям так, чтобы они друг другу на пятки не наступали: чтобы соединение попадало на свободную машину, причём автоматически.

Какие варианты решения?

Официальный RDS от Microsoft. Стоит каких-то совершенно невменяемых денег — по 220 монет за рыло (CAL, client access license)! Это, на минуточку, дороже, чем лицензия на Винду!

Но можно сделать своё решение — ничем не хуже, из говна и палок, и совершенно бесплатно.

Понадобится:

Одна машинка под Linux. На неё ставим nginx, который будет работать ~~крокодилом~~ балансировщиком нагрузки. Цепляться люди будут именно к нему — а он будет читать список доступных виртуалок из файла available.conf, и раздавать траффик на них:
stream { upstream rdp_pool { least_conn; include /etc/nginx/upstreams/available.conf; }

server {
listen 3389;
proxy_pass rdp_pool;
proxy_timeout 10m;
proxy_connect_timeout 5s;
}
}

А available.conf постоянно обновляется другим скриптом — на Python.
Этот скрипт поднимает крохотный веб-сервер на Flask, в который каждая виртуалка присылает свой статус: «занято» или «свободно».

Статус они получают с помощью встроенной команды Windows:
qwinsta | Select-String "Active"

Если выводится хоть что-то — машина занята. Дальше PowerShell-скрипт формирует JSON и шлёт его на Flask через Invoke-RestMethod.

PowerShell-скрипт добавляем в Task Scheduler, раз в минуту — и впердё.

Питоновский скрипт довольно замухрёжный (в хорошем смысле), и я его тут выкладывать не буду. Скажу только, что он не только добавляет свободные машины, но и чистит пул: выкидывает те виртуалки, которые заняты, либо которые не присылали свой статус в течение двух минут — потому что если виртуалка выключена, послать статус она, разумеется, не может. За этим надо следить.

Всё это было придумано и реализовано при помощи Кейт — так я называю свою ChatGPT-чку.
Безусловно, под моим чутким руководством:

— А что будет, если виртуалку выключить?
— Ах да, сломается. Надо обновить скрипт, чтобы старые машины удалял, вот так: [код].

Получилось бы у меня всё это воплотить самостоятельно? Конечно. И не такое приходилось делать.
Но, японский бог, это заняло бы уйму времени: мне пришлось бы отдельно выяснять, как запускать Flask-сервер, как слать JSON из PowerShell, как его принимать, как менять конфиги nginx на лету, и так далее.

А тут — всё получилось буквально за пару часов.

Не знаю, как в других IT-профессиях, но в сисадминстве ИИ — это чудовищной мощности умножитель силы, который позволяет за то же время делать гораздо более сложные проекты.

И да, приятно, японский бог — когда из сложной, непонятной задачи получается красивое, работающее решение.

А помните?

Как несколько лет назад нам активно впаривали технологию под названием блокчейн? Мол, эта технология способна на то, чтобы перевернуть мир. И как всем вдруг стало казаться, что в блокчейне обязательно надо хранить решительно всё – от результатов голосования до всех финансовых транзакций компании?

Нет, я не спорю, в качестве решения для хранения данных, обязательно требующих верифицируемости, причём публично — это не обязательно плохое решение. Навалять код можно буквально минут за десять, у меня в журнале даже было пару рассказов про эту технологию. Но повсеместный снос крыши на этой почве я хорошо помню. АААА!!!! Блокчейн это круто!!! Обязательно внедрять!!! Немедленно!!! Хватай мешки — вокзал отходит!!!»

А теперь я сижу и чешу репу — а в этот раз не снесло ли, случаем, у всех крышу на обязательном внедрении систем исскуственного интеллекта, причём повсеместно? Нет, искуственный интеллект — это прекрасно, но вот на кой чорт он мне в нотпаде? Системы ИИ небезгрешны. И повсеместное их вкорячивание в недра всех программ без разбору я считаю абсолютно ненужным. ИИ в софте хорош, когда он к месту. Скажем, он очень к месту в фотошопе. А на кой бес он в Аксессе? Все что, так сильно соскучились по Скрепышу?

Каждый раз одно и то же: сначала «всем срочно внедрить», потом — «а зачем мы это сделали?» Очень может быть, что «ИИ» скоро займёт почётное место рядом с «блокчейном» — в списке забытых модных слов. Ведь видно, что уже наступает отрезвление — прогресс ИИ начал упираться в закон убывающей отдачи, а в Британии внезапно оказалось, что при любых раскладах на все хотелки тупо не хватит электроэнергии. А у нас (тоже внезапно) выяснилось, что чтобы накормить все эти ИИ-мозги электричеством, пришлось вернуть в строй угольные станции. Хотя все вроде бы уже согласились, что уголь — это плохо, радиоактивно (не шучу, они выбрасывают больше радиации чем АЭС), и вообще, на другом конце земного шара Греточка плачет в тужурку. А АЭС строить — это дорого, долго и не хайпово. Я вот уже несколько раз упоминаю в журнале АЭС «Воугл», что в братской Джорджии. Два её реактора ввели в строй только в 2023 году, а подписал бумаги на её строительство ещё Обама, в 2009. А ИИ всем надо «прямщас», и чего с этим делать при таких вводных — решительно неясно.

Все думали, что повсеместный переход на электромобили перегрузит нашу энергосистему, ан беда подползла с совсем другого боку. Ждём, когда появятся стартапы по оптимизации потребления электричества с помощью ИИ. Круг замкнётся.

Про замену айтишников ИИ

Вот подумал, а какие профессии в мире информационных технологий может убить искуственный интеллект?

На мой взгляд, никакие.

Возьмём, например, сисадминство, мне наиболее близкое.

Что в мире сисадминства может сейчас сделать ИИ? Писать несложные скрипты? Ну, может — хотя с большими оговорками, про них ниже. Рисовать правила для брандмауэра под нужные задачи? С большим скрипом, знаете ли. Вот я попросил нарисовать правила для брандмауэра, стоящего между IIS веб-сервером, прицепленным к домену, и контроллером домена — ИИ полностью просохатил NTP, например (порт 123/UDP). А если у тебя на серверах и доменных контроллерах время не совпадает, то кверху мехом поплывёт керберос, после чего вообще вся аутентификация в домене пойдёт по известному месту.

ИИ — птица гордая, не пнёшь — не полетит:

Да шут с ними, со скриптами и правилами для брандмауэра. Витую пару кто будет обжимать? Тоже ИИ? А по фальш-потолку лазить будет кто, тоже он? Менять батарейки в ИБП, сервера ставить в рэки, подключать и настраивать коммутаторы, монтировать точки беспроводного доступа, менять картриджи в ленточных накопителях, отвозить их в банк, и так далее, и тому подобное — кто будет? Неужели тоже ИИ?

Нет, братцы-кролики, это какой-то киберсисадмин-терминатор понадобится, и что самое главное — стоить-то он будет дороже человека.

Вот дурацкие картинки рисовать — это оно умеет, да.

Какие ещё профессии в ИТ может заменить ИИ? Программиста, что ли? Ну, я не вполне программист, хотя бакалавра я получил в CS. Но даже из того, с чем я сталкивался лично, вполне очевидно, что код, генерируемый ИИ, во всяком случае, на данный момент — говно. Нет, я не хочу сказать, что он не работает.

Просто во-первых, библиотеки, объекты, и вызовы, которые использует программа, ИИ написанная, обычно уже года два-три не используются, так что от среды разработки в рожу как минимум прилетают предупреждения о том, что «code deprecated». А во-вторых, в программировании способов снять шкуру с кошки — мильён, и ИИ не выберет самый лучший. Он выберет тот, который знает.

Я тут у себя давненько написал было гневный пост о том, что R, дескать, медленнее Питона с Нампаем — используя код на R, нарисованный ЧатЖПТ. А потом в комменты пришёл погромист на R и немножко, но нежно повозил меня рожей об стол, дав мне нормальный код на R, который выполнялся раз в десять быстрее минимум.

На данный момент код, генерированный ИИ, годится максимум на то, чтобы начать с чем-то разбираться (как вот я, например, ничего не знал про язык R), а как только разберёшься — сразу же выясняется, что делать лучше не так, а совсем даже по-другому.

И даже простенькие скрипты для сись-админирования ИИ рисует через задницу. Скрипты, которые пишу я, обычно раза в два-три короче генерируемых ИИ, их легче настраивать под свои нужды, их проще читать, и работают они быстрее.

Можно, конечно, уповать на то, что «щас ИИ допилят и тогда». А вы знаете, я не разделяю оптимизма. И дело даже не в том, что я считаю, что мы практически полностью выбрали тот запас, который есть в существующих моделях ИИ — хотя и это тоже правда. Чтобы продолжать развивать модели так, как они развиваются сейчас, экстенсивно, нам надо было позавчера начинать строить ядерные электростанции, причём массово. Потому что жрёт это дело сейчас — просто как не в себя. Вот у шурина есть школьный товарищ, инженер-электрик «Сатерн Компани». Пришёл к ним Микрософт, говорит, хотят строить датацентр для ИИ в Миссиссиппи — благо там земля дешёвая. Главный затык — ентому датацентру вынь да положь 500 мегаватт мощности. А где её взять, спрашивается? 500 мегаватт — это, мягко выражаясь, дохера как много. И ента ваша «зелёная энергия» с ветрячками да панельками её обеспечить тупо не в состоянии. Не в режиме ²⁴⁄₇.

Главный затык — он в том, что любая, самая сложная модель — бессмысленна без тренировки, а на чём её тренировать? На том, что лежит в интернете? В интернете лежит «мнение большинства», а в узкоспециальных вопросах большинство, как известно, всегда неправо.

Но даже если в интернете лежала бы «правда», то я не знаю, как в других областях, а в сфере информационных технологий «правда» теряет актуальность чуть быстрее, чем мгновенно, а так как модель требует для тренировки огромное количество машинных часов, к тому времени, как она эту «правду» усвоит, она уже устареет. Именно поэтому код, генерируемый ИИ, почти всегда (в моём опыте) маркируется как «deprecated».

Так что лично я считаю, что айтишникам бояться нечего. Пока (пока) ИИ работает, на мой взгляд, именно так, как он должен работать — «множителем силы» для мастеров. Подмастерье, если можно так высказаться; подспорье как максимум.

Урод 3.0

Вышел GIMP 3.0. Скачал, поставил. Убедился в очередной раз, что эта поделка до сих пор ни для чего нормального не годится, и стёр.

History brush? Не слышали.
Создание файла CMYK? Нет, до сих пор не видели.
Почему в примитивном диалоге Curves в УРОДЕ 3.0 до сих пор, японский бог, нет пипеток выставить high, mid, и low? На кой чорт вообще нужен этот диалог, если ты ему даже нормально сказать не можешь, что на твоём изображении является самой тёмной точкой (или наоборот, самой светлой) — и что всё остальное надо посылать нахер? А? А???

Да что там Curves — эффекты слоёв, которых мне в сравнении с нормальным редактором изображений (фотошопом) не хватало — долго делали-делали, тужились-тужились, и наконец-то высрали. И получилось, как водится, говно.

Во-первых, ими очень сложно пользоваться. Мне пришлось просмотреть два ролика на ютубе, чтобы понять, КАК — вот такой вот «продуманный» интерфейс. В фотошопе ты идёшь в меню слой — эффекты — и применяешь, какие надо. А здесь надо сначала применить какой-то эффект, чтобы он появился в меню применённых эффектов для слоя.

Во-вторых, не все эффекты являются обратимыми — например, эффекты освещённости (lighting) как ты применил — и всё, хана, выбито зубилом в граните, как-то поменять не получится, разве что через Ctrl+Z. Но фишка-то — как раз в лёгкой изменяемости и обратимости!!

В‑третьих, работают они исключительно медленно — глазами видно, как изображение меняется по кусочкам, будто снова за 80486 компьютер сел. Видеоускорители? Нет, извините, прошло мимо нас.

А знаете, почему «всё у них так»? Потому что GIMP создают программисты. Во-первых, они делают то, что им кажется важным. А во-вторых, они делают это так, как им кажется правильно, а не пользователям. А фотошоп? А фотошоп создаётся не сколько программистами, сколько командой профессионалов из самых разных отраслей, как то: печатников, редакторов, верстальщиков, фотографов, художников, дизайнеров интерфейсов, вебмастеров, и так далее. А над ними всеми стоит начальник проекта, с плёткой в руках, и всех постоянно бьёт по жопе, чтобы было так, как он/а сказал/а, а не так, как они сами себе придумали, чтобы было удобно и нужно. Потому что если так не делать, то вот и получится УРОД версии 3.0.

Может ли машина мыслить?

Написал коммент ув. dibr, решил, что он достоин отдельного поста.

Скажу сразу, ответ на вопрос я не знаю, может ли. Не видел пока примеров того, как ИИ способен на такие способы мышления, например, как аналогия — хотя видел примеры дедукции.

Я не знаю, какое конкретно мышление есть у ИИ, но знаю точно, какого у него нет. У ИИ до сих пор отсутствует критическое мышление, он как Адам и Хавва до того, как они поддались козням шайтана. «Как в тренировочных материалах указано — так и верно». Об этом свидетельствуют периодические очевидные прогалы в логике, например:

Люди даже отследили это до какой-то шутейной статьи в стиле The Onion, из которой ИИ почерпнул сей премудрости. Хотя человеку, знакомому с пищеварительной системой, вполне очевидно, что даже если в гравии были бы какие-то микроэлементы, обычного пищеварительного сока и энзимов решительно недостаточно, чтобы достать их из кварца или там полевого шпата.

Не менее прекрасно предложение добавить «нетоксичный клей» к пицце.

И вот то, что ИИ сам не умеет критически относиться к материалу, который сам же переваривает — не знаю, как другим, а мне говорит о том, что с реальным мышлением там пока туговато.

Статистика с фаерволла

Сделал, наконец, правильную отгрузку статистики с файерволла на pfSense через Syslog, написал парсер на Питоне, который затем загружает все метаданные о каждом пакете данных в базу данных на SQL Server. SQL Server, кстати, работает на ентом вашем Линупсе, потому как где я ещё возьму машину, чтобы сразу и SQL Server и Syslog?

Так вот, за последние семь месяцев файрволл пропустил через свой наружный интерфейс 104,992,979 пакетов данных. Из которых 56,178,554 были злонамеренными, и были фаерволлом блокированы. Это у нас получается, на минуточку, что 53% (больше половины!) всего трафика — это боты и и прочие крякеры. На самом деле, ещё больше — ибо фаервол, голову прозакладывать можно, блокировал далеко не всё, что надо бы.

Рехнуться, сколько в этих ваших интернетах — ГОВНА всякого. Намного больше, чем нормального, нужного людям контента. А ведь и за этот говнотрафик деньги плОчены — его тоже надо раутить, пересылать туда-сюда, гонять по волокнам. Прямо как реактивная нагрузка какая-то, нихрена полезной работы не делает, а провода греет. И что с этим делать — решительно непонятно.

Конечно, некоторые отдельные страны вокруг себя фаерволлов понастроили, и могли бы, наверное, теоретически этот говнотрафик хоть как-то фильтровать. Но на деле ни в одной из таких стран я бы не хотел жить, а вычислительные мощности их фаерволов уходят на борьбу с инакомыслием и прочим пердячим паром, а не с интернет-преступниками и ботами.

ИИ-погромизм

Занимался вчера созданием нейросетей под руководством ChatGPT. По итогам я имею сказать вот что.

В целом — впечатляет. Даёт не самый плохой код на Питоне для создания нейросети на TensorFlow, что характерно — используя keras. Практически то же самое, что я сам рисовал четыре года назад.

Только в этот раз я замахнулся пошЫрше и решил нейросети скормить csv с «финансовыми транзакциями». Внутри csv было одиннадцать колонок, десять просто с числами, а одиннадцатая — с довольно сложным вычислением из данных, находящихся в шести колонках (сложение двух дробей, вычисление 10% от полученного, и складывание с ещё двумя колонками). Четыре оставшиеся колонки не делали ничего.

Модель делал пятислойную, сто нейронов в четырёх слоях, один нейрон в выходном слое (это уже не ЧатЖПТ предлагал, это уже я сам). Наверное, это даже избыточно сложная модель.

Сделал два csv файла, один с 200 строками — это был тренировочное множество, и второй — всего с десятью. Я хотел посмотреть, сможет ли нейросеть распознать, какая именно зависимость существует в одиннадцатой колонке, и сможет ли она предсказать данные, полученные таким образом.

Скажу сразу, всё получилось. Конечно, математика на нейросетях довольно неаккуратна, но после 5000 эпох тренировки она смогла предугадывать значения с точностью, не выходящей за рамки 5%. Планирую показать результат начальнику, контора сильно озаботилась встраиванием ИИ в продукцию.

Но помимо этого, у меня возникли небольшые сложности, и возникли они именно от применения ИИ.

Во-первых, ЧатЖПТ нередко даёт код для Питоновских библиотек, который уже является устаревшим (deprecated). Например, свойство pandas.DataFrame.iloc — вытаскивание индивидуальных колонок из pandas.DataFrame.

Во-вторых, ЧатЖПТ создаёт в коде баги. Например, вместо десяти строк в тестовом наборе данных у меня почему-то считывались только девять. Разговор шёл примерно вот так:

–А у меня вместо десяти ожидаемых строк только девять.
–Может, данные кривые? Вот как их надо нормализировать.
–Данные нормальные, но считывается только девять строк вместо десяти. Первая строка проглатывается.
–Не должна. Вот код, как правильно считывать csv через pandas.read_csv
–Я этот код и использую, но первой строки нет.
–Ну, правильно, потому что по умолчанию первая строка считывается в имена колонок. В pandas.read_csv надо ставить параметр header=None, чтобы так не происходило.
–А чо сразу-то не сказал?
–Извиняюсь.

Но в целом (в целом) — впечатляет, да. Далеко не с каждым человеком я на эту тему могу поговорить, более того, не каждый сразу «на гора» выдаст работающий (более-менее) код. Ошибается иногда? Ну да, ошибается. Покажите мне человека, который не ошибается, и я покажу вам лентяя, который никогда ничего не делает. Тем не менее, лентяю в способности рассуждать почему-то не отказывают, а искуственному интеллекту — таки да. Неправильно это, ИМХО. ИИ вполне способен на рассуждения.