Category: wtf

Я как-то рассказывал, что наплевал в пробирку генетический материал и отправил в 23&Me. Сделал я это больше хохмы ради, и не доверяя их сервису (благополучно недавно таки взломанному), зарегился на нём через VPN под выдуманным именем. И до сих пор хожу туда через VPN; параноить я люблю и умею.

Помимо чисто хохмаческого применения, поглядеть, в какой степени я швед и финн (ожидаемо) и, внезапно, сардинец (блин, откуда?), сайт также даёт возможность поглядеть генетических родственников. Эта фича бесплатная, но её надо включать. И прежде чем включать, тебе показывают дисклеймер — “ваша генетическая история может таить неожиданные сюрпризы, так что дальше на свой страх и риск”.

Правильно пишут. Вот так нежданно-негаданно у меня буквально позавчера вдруг появилась двоюродная сестра, живущая в Германии.

Дедушка воевал с 1944 года, дошёл до Берлина. Видимо, успел пожить с немкой. Вот вам и эхо войны. Переписываемся с ней по-английски, хотя общих тем, понятное дело, мало.

В БИОСе практически всех существуюших современных компьютеров есть дыра по обработке логотипа, изображаемого при включении компьютера. Его можно подменить, причём из ОС, на точно так же выглядящее изображение, но содержащее вредоносный код. Этот вредоносный код обычный антивирус удалить не может — он не умеет писать в БИОС.

https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Вот это круто, блин. Последствия могут быть самые шикарные. Неудаляемый малварь хотите?

Обалдеть, давно такого не было. Теперь прицепить такое к эксплойту-червяку и конец всему живому.

Очень интересная статья для людей, интересующихся криптографией.

Краткий пересказ. Современная тайнопись зиждется на несимметричной и симметричной криптографии. Все данные внутри уже установленной сессии шифруются симметричной криптографией — она быстрее, ибо не так ресурсоёмка. Обычно это AES. Ключ для AES шифруется уже несимметричной криптографией, чаще всего RSA, у которой есть два ключа — один открытый (публичный), другой закрытый (приватный). То, что зашифровано закрытым ключом, может быть расшифровано ключом открытым, и наоборот.

При установке сессии клиент и сервер договариваются о ключе для AES, и эти договоры шифруется RSA (курить Diffie–Hellman). Штука в том, что RSA работает на основе очень больших простых чисел, вся его защищённость состоит в том, что надо подобрать два множителя из простых чисел, у которых более тысячи цифр в каждом. Работа с настолько большими числами на компьютере иногда приводит к математическим ошибкам, и может привести к разглашению закрытого ключа! Затронутыми оказываются реализации RSA с закрытым кодом, в том числе устройства Зиксел (тот самый Зухель, ага) и Циско (гы-гы-гы). Алгоритм RSA в OpenSSH такому разглашению, что интересно, не подвержен — там знают о том, что могут возникнуть ошибки в расчётах, и от них предохранились.

Очень, очень любопытно! Покамест практические проблемы малы — даже RSA в тех же Циськах уязвим только в одном устройстве на тысячу, а реализация эксплойта не видится мне простой. Но учитывая, что таких устройств миллионы, и на кону могут стоять большие бабки…

В-общем, запасаемся попкорном. Может быть исключительно интересно.

Статья в ArsTechnica:

https://arstechnica.com/security/2023/11/hackers-can-steal-ssh-cryptographic-keys-in-new-cutting-edge-attack/

Ссылка на Cryptography ePrint:

https://eprint.iacr.org/2023/1711.pdf

А вот козлы-законодатели в Нью-Йорке:

https://www.thecentersquare.com/new_york/article_56d16c26-7210-11ee-b9c1-1b3b7858c8f4.html

И в Калифорнии:

https://bearingarms.com/camedwards/2023/02/17/new-california-gun-control-bill-aims-at-3d-printers-and-code-n67480

Хотят запретить продажу 3D принтеров и/или требовать получение лицензии на производство огнестрельного оружия (!) для их владельцев.

Идиоты. Огнестрельное оружие можно сделать из двух кусков стальной трубы, шайб, гвоздя, и сварочного аппарата. И купить всё для их изготовления можно в ближайшем строительном магазине.

До коих пор эти придурки будут стараться ограничить инструмент вместо того, чтобы ограничивать преступников? Ну идиотия же, причём очевидная идиотия.

Захотелось узнать, как у нас нынче деньгами между континентами обмениваются в связи со Специальной Волшебной Операцией. Пейпел же кукареку, и западные кредитки не работают. Начинаю печатать запрос “как послать”, и добрый браузер Брейв подсовывает варианты дописывания фразы.

Занавес.

Да, кстати, а действительно — как у нас нынче деньгами между континентами обмениваются? Если только с криптой не связываться? Раньше было просто…

Или добрый браузер Брейв мне ответил правильно?

Безопасность какой-либо платформы не определяется наличием в платформе багов. Баги есть и будут всегда, даже на солидных платформах типа FreeBSD. Безопасность определяется тем, как оперативно выпускаются обновления, закрывающие дыры. И обычно чем хуже дыра — тем быстрее выходят обновления.

ДЫРЕНЬ размером с дупло филина, куда оный залетает, не складывая крыльев, существующая на данный момент на ВСЕХ коммутаторах фирмы Циско с включённым веб-интерфейсом, в наличии с конца сентября. Обновления IOS XE нет до сих пор. Рекомендуют только отключить веб-интерфейс и принять меры.

Да, можно долго говорить о том, что админ, оставивший веб-интерфейс, торчащий наружу — долбаный дятел. И он да, таки долбаный дятел. Но иногда по-другому не получается, особенно если ставишь оборудование в чьей-то чужой песочнице, а канала для OOBM в этой песочнице тебе не оставили. Ничуть не извиняя долбодятела-админа, на совести Циски на данный момент — свыше 10,000 (десяти тысяч) устройств, взломанных хакерами.

Мы в конторе переключились на Арубу, если чо. Циска буквально лет десять-пятнадцать назад была — уууу, а сейчас — говно. Примерно когда они вместо того, чтобы продолжать разрабатывать свои продукты, стали скупать чужие конторы (Мераки и Файрпауэр, например), тогда она в говно и стала скатываться.

Хорошо, всё же, что у нас капитализм. Даже такие слоны как Циська не могут спокойно почивать на лаврах. Надо соревноваться. Надо инновации. И не надо сидеть, засунув палец в задницу, надо в темпе вальса разрабатывать обновления. Если не совать свободному рынку палки в колёса Обама-стайл, too big to fail, делая из капитализма корпоратизм, от дурных продуктов и забронзовевших компаний этот свободный рынок избавляется сам собой. См. Novell.

В связи с обострением конфликта на Ближнем Востоке, очевидно, заодно обострился зуд в одном месте у РоскомГестапо и прочих сочувствующих.

Через RSS-читалку некоторые посты из ЖЖ читаются, а вот при попытке перейти по ссылке на сам пост начинает вылетать уже знакомая (увы да, уже знакомая) ошибка HTTP 451.

Сколько ору про эту самую фукусимскую воду — рехнуться. Громче всех вопят китайцы, которые запретили даже импорт японской рыбы. Ага, те же самые китайцы, которые меламин в молочную смесь для младенцев добавляли. А теперь они громят японские бизнесы в Китае, молодцы. Как будто эти самые японцы за это и ответственны. Чо? Групповая ответственность? Мы эти слова уже слышали, правда, от других немного граждан, которым не надо уподобляться.

Ну и зелёные подтянулись, куда же без братьев наших меньших по разуму.

А самое главное, чего там в этой воде-то? Неужто цезий-137? Радиоактивный йод-131? Стронций-90? Нет. Единственный контаминант этой воды, уже сто раз пропущенной через фильтры — тритий. Ага, тритий. Который в самом пиковом случае “светит” бетой при распаде в гелий-3, а никакой не гаммой, или другим жёстким излучением. Его даже не любой детектор радиации “берёт”. Этот самый тритий в верхних слоях атмосферы космическими лучами производится, его каждый день с дождём на нашу планету больше выливается, чем суммарный объём “радиоактивной” воды, которую собираются потихоньку выпустить в океан японцы.

А развели тут, понимаешь, балаган на ровном месте.

До начала локдаунов, бунтов чёрнокожих расистов, и последующего прихода к власти этого фигляра БэДэ коробка таких патронов стоила 17 рублей с копейками. А теперь — здрасьте:

А вот эти однолитровые баллоны с пропаном для портативных плиток охотников и туристов — стоили шестёрку:

Мои любимые обрезные доски два на четыре взад на два рубля за штучку так и не вернулись:

А ещё я не могу не отметить ухудшение качества еды и обслуживания. В отдельных продуктах изготовители очевидно начали химичить, менять поставщиков, использовать другое сырьё, видимо, подешевле и похуже, и так далее. Во многих сетевых ресторанах окончательно испортилась жратва. А уж хорошего официанта найти теперь вообще нереально, ни за какие чаевые (хотя я и так никогда менее двадцати процентов не давал).

Но “официальная” инфляция, конечно, три с небольшим прОцента.

Хотя как они считают инфляцию, мы, конечно, в курсе — ибо даже цена продуктов питания или энергии в отдельные особо хитрожопые способы расчёта инфляции, например, не входит. Хотя это именно те деньги, которые большинство людей видят своими глазами. Я в курсе про волатильность, в курсе. Только молоко и масло (а иногда и патроны) я покупаю каждую неделю, а вот то, по чьим параметрам считается эта самая “официальная инфляция” без еды и энергии, уже нет. Хотя инфляция по доскам — налицо, рост цены на 60%. Как там у классика: “Существуют три вида лжи: ложь, наглая ложь и статистика.”

И вы знаете, очень сложно сказать, что все эти локдауны и теперешняя байденомика с сопутствующей херью — это абсолютно не связанные вещи.