Category: wtf

Я как-то рас­ска­зы­вал, что напле­вал в про­бир­ку гене­ти­че­ский мате­ри­ал и отпра­вил в 23&Me. Сде­лал я это боль­ше хох­мы ради, и не дове­ряя их сер­ви­су (бла­го­по­луч­но недав­но таки взло­ман­но­му), заре­гил­ся на нём через VPN под выду­ман­ным име­нем. И до сих пор хожу туда через VPN; пара­но­ить я люб­лю и умею.

Поми­мо чисто хох­ма­че­ско­го при­ме­не­ния, погля­деть, в какой сте­пе­ни я швед и финн (ожи­да­е­мо) и, вне­зап­но, сар­ди­нец (блин, отку­да?), сайт так­же даёт воз­мож­ность погля­деть гене­ти­че­ских род­ствен­ни­ков. Эта фича бес­плат­ная, но её надо вклю­чать. И преж­де чем вклю­чать, тебе пока­зы­ва­ют дис­клей­мер — «ваша гене­ти­че­ская исто­рия может таить неожи­дан­ные сюр­при­зы, так что даль­ше на свой страх и риск».

Пра­виль­но пишут. Вот так неждан­но-нега­дан­но у меня бук­валь­но поза­вче­ра вдруг появи­лась дво­ю­род­ная сест­ра, живу­щая в Гер­ма­нии.

Дедуш­ка вое­вал с 1944 года, дошёл до Бер­ли­на. Види­мо, успел пожить с нем­кой. Вот вам и эхо вой­ны. Пере­пи­сы­ва­ем­ся с ней по-англий­ски, хотя общих тем, понят­ное дело, мало.

В БИО­Се прак­ти­че­ски всех суще­ству­ю­ших совре­мен­ных ком­пью­те­ров есть дыра по обра­бот­ке лого­ти­па, изоб­ра­жа­е­мо­го при вклю­че­нии ком­пью­те­ра. Его мож­но под­ме­нить, при­чём из ОС, на точ­но так же выгля­дя­щее изоб­ра­же­ние, но содер­жа­щее вре­до­нос­ный код. Этот вре­до­нос­ный код обыч­ный анти­ви­рус уда­лить не может — он не уме­ет писать в БИОС.

https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Вот это кру­то, блин. Послед­ствия могут быть самые шикар­ные. Неуда­ля­е­мый мал­варь хоти­те?

Обал­деть, дав­но тако­го не было. Теперь при­це­пить такое к экс­плой­ту-чер­вя­ку и конец все­му живо­му.

Очень инте­рес­ная ста­тья для людей, инте­ре­су­ю­щих­ся крип­то­гра­фи­ей.

Крат­кий пере­сказ. Совре­мен­ная тай­но­пись зиждет­ся на несим­мет­рич­ной и сим­мет­рич­ной крип­то­гра­фии. Все дан­ные внут­ри уже уста­нов­лен­ной сес­сии шиф­ру­ют­ся сим­мет­рич­ной крип­то­гра­фи­ей — она быст­рее, ибо не так ресур­со­ём­ка. Обыч­но это AES. Ключ для AES шиф­ру­ет­ся уже несим­мет­рич­ной крип­то­гра­фи­ей, чаще все­го RSA, у кото­рой есть два клю­ча — один откры­тый (пуб­лич­ный), дру­гой закры­тый (при­ват­ный). То, что зашиф­ро­ва­но закры­тым клю­чом, может быть рас­шиф­ро­ва­но клю­чом откры­тым, и наобо­рот.

При уста­нов­ке сес­сии кли­ент и сер­вер дого­ва­ри­ва­ют­ся о клю­че для AES, и эти дого­во­ры шиф­ру­ет­ся RSA (курить Diffie–Hellman). Шту­ка в том, что RSA рабо­та­ет на осно­ве очень боль­ших про­стых чисел, вся его защи­щён­ность состо­ит в том, что надо подо­брать два мно­жи­те­ля из про­стых чисел, у кото­рых более тыся­чи цифр в каж­дом. Рабо­та с настоль­ко боль­ши­ми чис­ла­ми на ком­пью­те­ре ино­гда при­во­дит к мате­ма­ти­че­ским ошиб­кам, и может при­ве­сти к раз­гла­ше­нию закры­то­го клю­ча! Затро­ну­ты­ми ока­зы­ва­ют­ся реа­ли­за­ции RSA с закры­тым кодом, в том чис­ле устрой­ства Зик­сел (тот самый Зухель, ага) и Цис­ко (гы-гы-гы). Алго­ритм RSA в OpenSSH тако­му раз­гла­ше­нию, что инте­рес­но, не под­вер­жен — там зна­ют о том, что могут воз­ник­нуть ошиб­ки в рас­чё­тах, и от них предо­хра­ни­лись.

Очень, очень любо­пыт­но! Пока­мест прак­ти­че­ские про­бле­мы малы — даже RSA в тех же Цись­ках уяз­вим толь­ко в одном устрой­стве на тыся­чу, а реа­ли­за­ция экс­плой­та не видит­ся мне про­стой. Но учи­ты­вая, что таких устройств мил­ли­о­ны, и на кону могут сто­ять боль­шие баб­ки…

В‑общем, запа­са­ем­ся поп­кор­ном. Может быть исклю­чи­тель­но инте­рес­но.

Ста­тья в ArsTechnica:

https://arstechnica.com/security/2023/11/hackers-can-steal-ssh-cryptographic-keys-in-new-cutting-edge-attack/

Ссыл­ка на Cryptography ePrint:

https://eprint.iacr.org/2023/1711.pdf

А вот коз­лы-зако­но­да­те­ли в Нью-Йор­ке:

https://www.thecentersquare.com/new_york/article_56d16c26-7210–11ee-b9c1-1b3b7858c8f4.html

И в Кали­фор­нии:

https://bearingarms.com/camedwards/2023/02/17/new-california-gun-control-bill-aims-at-3^d-printers-and-code-n67480

Хотят запре­тить про­да­жу 3D прин­те­ров и/или тре­бо­вать полу­че­ние лицен­зии на про­из­вод­ство огне­стрель­но­го ору­жия (!) для их вла­дель­цев.

Иди­о­ты. Огне­стрель­ное ору­жие мож­но сде­лать из двух кус­ков сталь­ной тру­бы, шайб, гвоз­дя, и сва­роч­но­го аппа­ра­та. И купить всё для их изго­тов­ле­ния мож­но в бли­жай­шем стро­и­тель­ном мага­зине.

До коих пор эти при­дур­ки будут ста­рать­ся огра­ни­чить инстру­мент вме­сто того, что­бы огра­ни­чи­вать пре­ступ­ни­ков? Ну иди­о­тия же, при­чём оче­вид­ная иди­о­тия.

Захо­те­лось узнать, как у нас нын­че день­га­ми меж­ду кон­ти­нен­та­ми обме­ни­ва­ют­ся в свя­зи со Спе­ци­аль­ной Вол­шеб­ной Опе­ра­ци­ей. Пей­пел же кука­ре­ку, и запад­ные кре­дит­ки не рабо­та­ют. Начи­наю печа­тать запрос «как послать», и доб­рый бра­у­зер Брейв под­со­вы­ва­ет вари­ан­ты допи­сы­ва­ния фра­зы.

Зана­вес.

Да, кста­ти, а дей­стви­тель­но — как у нас нын­че день­га­ми меж­ду кон­ти­нен­та­ми обме­ни­ва­ют­ся? Если толь­ко с крип­той не свя­зы­вать­ся? Рань­ше было про­сто…

Или доб­рый бра­у­зер Брейв мне отве­тил пра­виль­но?

Без­опас­ность какой-либо плат­фор­мы не опре­де­ля­ет­ся нали­чи­ем в плат­фор­ме багов. Баги есть и будут все­гда, даже на солид­ных плат­фор­мах типа FreeBSD. Без­опас­ность опре­де­ля­ет­ся тем, как опе­ра­тив­но выпус­ка­ют­ся обнов­ле­ния, закры­ва­ю­щие дыры. И обыч­но чем хуже дыра — тем быст­рее выхо­дят обнов­ле­ния.

ДЫРЕНЬ раз­ме­ром с дуп­ло фили­на, куда оный зале­та­ет, не скла­ды­вая кры­льев, суще­ству­ю­щая на дан­ный момент на ВСЕХ ком­му­та­то­рах фир­мы Цис­ко с вклю­чён­ным веб-интер­фей­сом, в нали­чии с кон­ца сен­тяб­ря. Обнов­ле­ния IOS XE нет до сих пор. Реко­мен­ду­ют толь­ко отклю­чить веб-интер­фейс и при­нять меры.

Да, мож­но дол­го гово­рить о том, что админ, оста­вив­ший веб-интер­фейс, тор­ча­щий нару­жу — дол­ба­ный дятел. И он да, таки дол­ба­ный дятел. Но ино­гда по-дру­го­му не полу­ча­ет­ся, осо­бен­но если ста­вишь обо­ру­до­ва­ние в чьей-то чужой песоч­ни­це, а кана­ла для OOBM в этой песоч­ни­це тебе не оста­ви­ли. Ничуть не изви­няя дол­бо­дя­те­ла-адми­на, на сове­сти Цис­ки на дан­ный момент — свы­ше 10,000 (деся­ти тысяч) устройств, взло­ман­ных хаке­ра­ми.

Мы в кон­то­ре пере­клю­чи­лись на Ару­бу, если чо. Цис­ка бук­валь­но лет десять-пят­на­дцать назад была — уууу, а сей­час — гов­но. При­мер­но когда они вме­сто того, что­бы про­дол­жать раз­ра­ба­ты­вать свои про­дук­ты, ста­ли ску­пать чужие кон­то­ры (Мера­ки и Файр­пау­эр, напри­мер), тогда она в гов­но и ста­ла ска­ты­вать­ся.

Хоро­шо, всё же, что у нас капи­та­лизм. Даже такие сло­ны как Цись­ка не могут спо­кой­но почи­вать на лав­рах. Надо сорев­но­вать­ся. Надо инно­ва­ции. И не надо сидеть, засу­нув палец в зад­ни­цу, надо в тем­пе валь­са раз­ра­ба­ты­вать обнов­ле­ния. Если не совать сво­бод­но­му рын­ку пал­ки в колё­са Оба­ма-стайл, too big to fail, делая из капи­та­лиз­ма кор­по­ра­тизм, от дур­ных про­дук­тов и заброн­зо­вев­ших ком­па­ний этот сво­бод­ный рынок избав­ля­ет­ся сам собой. См. Novell.

В свя­зи с обостре­ни­ем кон­флик­та на Ближ­нем Восто­ке, оче­вид­но, заод­но обост­рил­ся зуд в одном месте у Рос­ком­Ге­ста­по и про­чих сочув­ству­ю­щих.

Через RSS-читал­ку неко­то­рые посты из ЖЖ чита­ют­ся, а вот при попыт­ке перей­ти по ссыл­ке на сам пост начи­на­ет выле­тать уже зна­ко­мая (увы да, уже зна­ко­мая) ошиб­ка HTTP 451.

Сколь­ко ору про эту самую фуку­сим­скую воду — рех­нуть­ся. Гром­че всех вопят китай­цы, кото­рые запре­ти­ли даже импорт япон­ской рыбы. Ага, те же самые китай­цы, кото­рые мела­мин в молоч­ную смесь для мла­ден­цев добав­ля­ли. А теперь они гро­мят япон­ские биз­не­сы в Китае, молод­цы. Как буд­то эти самые япон­цы за это и ответ­ствен­ны. Чо? Груп­по­вая ответ­ствен­ность? Мы эти сло­ва уже слы­ша­ли, прав­да, от дру­гих немно­го граж­дан, кото­рым не надо упо­доб­лять­ся.

Ну и зелё­ные под­тя­ну­лись, куда же без бра­тьев наших мень­ших по разу­му.

А самое глав­ное, чего там в этой воде-то? Неужто цезий-137? Радио­ак­тив­ный йод-131? Строн­ций-90? Нет. Един­ствен­ный кон­та­ми­нант этой воды, уже сто раз про­пу­щен­ной через филь­тры — три­тий. Ага, три­тий. Кото­рый в самом пико­вом слу­чае «све­тит» бетой при рас­па­де в гелий‑3, а ника­кой не гам­мой, или дру­гим жёст­ким излу­че­ни­ем. Его даже не любой детек­тор ради­а­ции «берёт». Этот самый три­тий в верх­них сло­ях атмо­сфе­ры кос­ми­че­ски­ми луча­ми про­из­во­дит­ся, его каж­дый день с дождём на нашу пла­не­ту боль­ше выли­ва­ет­ся, чем сум­мар­ный объ­ём «радио­ак­тив­ной» воды, кото­рую соби­ра­ют­ся поти­хонь­ку выпу­стить в оке­ан япон­цы.

А раз­ве­ли тут, пони­ма­ешь, бала­ган на ров­ном месте.

До нача­ла лок­дау­нов, бун­тов чёр­но­ко­жих раси­стов, и после­ду­ю­ще­го при­хо­да к вла­сти это­го фиг­ля­ра БэДэ короб­ка таких патро­нов сто­и­ла 17 руб­лей с копей­ка­ми. А теперь — здрас­ь­те:

А вот эти одно­лит­ро­вые бал­ло­ны с про­па­ном для пор­та­тив­ных пли­ток охот­ни­ков и тури­стов — сто­и­ли шестёр­ку:

Мои люби­мые обрез­ные дос­ки два на четы­ре взад на два руб­ля за штуч­ку так и не вер­ну­лись:

А ещё я не могу не отме­тить ухуд­ше­ние каче­ства еды и обслу­жи­ва­ния. В отдель­ных про­дук­тах изго­то­ви­те­ли оче­вид­но нача­ли хими­чить, менять постав­щи­ков, исполь­зо­вать дру­гое сырьё, види­мо, поде­шев­ле и поху­же, и так далее. Во мно­гих сете­вых ресто­ра­нах окон­ча­тель­но испор­ти­лась жрат­ва. А уж хоро­ше­го офи­ци­ан­та най­ти теперь вооб­ще нере­аль­но, ни за какие чае­вые (хотя я и так нико­гда менее два­дца­ти про­цен­тов не давал).

Но «офи­ци­аль­ная» инфля­ция, конеч­но, три с неболь­шим прО­цен­та.

Хотя как они счи­та­ют инфля­цию, мы, конеч­но, в кур­се — ибо даже цена про­дук­тов пита­ния или энер­гии в отдель­ные осо­бо хит­ро­жо­пые спо­со­бы рас­чё­та инфля­ции, напри­мер, не вхо­дит. Хотя это имен­но те день­ги, кото­рые боль­шин­ство людей видят сво­и­ми гла­за­ми. Я в кур­се про вола­тиль­ность, в кур­се. Толь­ко моло­ко и мас­ло (а ино­гда и патро­ны) я поку­паю каж­дую неде­лю, а вот то, по чьим пара­мет­рам счи­та­ет­ся эта самая «офи­ци­аль­ная инфля­ция» без еды и энер­гии, уже нет. Хотя инфля­ция по дос­кам — нали­цо, рост цены на 60%. Как там у клас­си­ка: «Суще­ству­ют три вида лжи: ложь, наг­лая ложь и ста­ти­сти­ка.»

И вы зна­е­те, очень слож­но ска­зать, что все эти лок­дау­ны и тепе­реш­няя бай­де­но­ми­ка с сопут­ству­ю­щей херью — это абсо­лют­но не свя­зан­ные вещи.