В экосистеме языка программирования Go обнаружен вредоносный пакет, остававшийся незамеченным три года...злоумышленники подменили популярный пакет базы данных BoltDB, используемый тысячами организаций, включая Shopify и Heroku
. . .
BoltDB, расположенный на GitHub по адресу github.com/boltdb/bolt , был создан девять лет назад и перестал обновляться спустя год после релиза. Атакующие использовали технику тайпосквоттинга, создав поддельный пакет github.com/boltdb-go/bolt. Разница в названии минимальна, но при установке подделки в проекте появляется бэкдор, позволяющий выполнять удалённый код.
. . .
Несмотря на то, что вредоносная версия оставалась доступной на Go Module Proxy в течение трёх лет, следов её массового использования не найдено. По данным Бойченко, поддельный пакет импортировался лишь дважды, причём оба раза — одним криптовалютным проектом, у которого всего семь подписчиков. Статистика скачиваний в Go не ведётся, но отсутствие звёзд и форков на GitHub за три года говорит о том, что модуль не получил широкого распространения.

Тем не менее, инцидент выявил уязвимость в системе управления пакетами Go. При первой загрузке новый пакет кешируется сервисом Go Module Mirror и остаётся доступным бессрочно. Злоумышленники воспользовались этим, сначала разместив безобидную версию, а затем изменив Git-теги, чтобы при проверке пакет выглядел легитимным. В то же время в кеше продолжала распространяться вредоносная версия.
. . .
неизменяемость модулей одновременно улучшает безопасность экосистемы и создаёт возможности для атак. Он призвал разработчиков тщательно проверять целостность пакетов перед установкой, анализировать зависимости и использовать инструменты для глубокого аудита кода.

Три года в тени: тайпсквоттинг стал угрозой для всей экосистемы Go
https://www.securitylab.ru/news/556167.php

Оригинал
Go Supply Chain Attack: Malicious Package Exploits Go Module Proxy Caching for Persistence
https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence

_______
Источник | #tech_b0lt_Genona
#хроникицифровизации

War OpenNet... War OpenNet never changes

Прекращение сопровождения подсистем dma-mapping и configfs обусловлено заявлением Линуса Торвальдса о намерении включать в ядро обвязки на языке Rust независимо от согласия мэйнтейнеров подсистем, для которых созданы данные обвязки. В январе Кристоф принципиально отказался принимать в ядро Rust-обвязку над функциями для работы с DMA, что привело к конфликту, в результате которого ядро покинули мэйнтейнеры подсистем Nouveau и ARM/Apple. 24 февраля разработчики проекта Rust for Linux предложили патч со слоем абстракции для ФС configfs, сопровождением которой занимался Кристоф Хелвиг. Кристоф не принял участие в обсуждении новой Rust-обвязки к своей подсистеме, а через несколько дней удалил себя из списка мэйнтейнеров dma-mapping и configfs.

Кристоф Хелвиг считает недопустимым использование нескольких языков программирования в таких сложных проектах как ядро Linux. По мнению Кристофа, смешанные кодовые базы усложняют работу мэйнтейнеров, так как ставят мэйнтейнеров в зависимость от кода на другом языке. В частности, при наличии обвязок на Rust разработчики подсистем, написанных на Си, должны учитывать влияние их изменений на продолжение работоспособности обвязок. Любое изменение структур данных или внутренних функций на Си может привести к необходимости изменения кода обвязок, поэтому влияющие на обвязки изменения в Си коде нужно отслеживать и синхронизировать с кодом на Rust.

Кристоф Хелвиг ушёл с поста мэйнтейнера DMA Mapping и ConfigFS после форсирования Rust
https://www.opennet.ru/opennews/art.shtml?num=62797
+
Linus Torvalds Would Reportedly Merge Rust Kernel Code Over Maintainer Objections
https://t.iss.one/mem_b0lt_Genona/245

_______
Источник | #tech_b0lt_Genona

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://t.iss.one/tech_b0lt_Genona/4983

В январе я форвардил пост в котором описывалась "железяка" для управления SIM-картой через Telegram

https://t.iss.one/tech_b0lt_Genona/4954

Туда в комменты пришёл подписчик и сказал, что делает аналогичный проект, но он его ещё не оформил и не выложил его на тот момент.

И вот проект причёсан и опубличен

Слово автору @VladFleur

---

Однажды передо мной возникла задача — получать СМС на SIM-карту, которую не хотелось бы носить с собой в мобильном устройстве. В моем случае это была SIM-карта Казахстана, а также потребность в получении пуш-уведомлений от банков.

Проанализировав ситуацию и имея под рукой старый 3G-модем и недавно приобретенную Orange Pi, я решил настроить систему для получения СМС и пересылки их в Telegram. Ключом к решению этой задачи стал Gammu SMS Daemon, который позволяет отправлять и получать сообщения на вашем устройстве. В этом руководстве я шаг за шагом покажу, как я это реализовал, а также постараюсь автоматизировать процесс с помощью Ansible.

https://github.com/v-kamerdinerov/smsd-gammu-daemon
---

_______
Источник | #tech_b0lt_Genona
@F_S_C_P

⚙️ Разработка ботов Telegram от 5000 руб

Пятница! Сегодня холиварная 🌝

Я в январе писал пост про то что считать номер мобильного телефона "уникальным идентификатором" (ещё и обязательным) это тупое решение
https://t.iss.one/tech_b0lt_Genona/4953

Недавно столкнулся ещё с одним тупым решением. Банки начали массово вводить так называемый универсальный код для входа с любого устройства. Код этот короткий, до 6 символов (возможно и больше есть, но я не встречал). По сути это замена паролю. И нормальные банки позволяют пропустить эту херобору, но есть те которые решили, что давать выбор пользователю не надо. Ещё и в уши срут. К счастью, мне удавалось это пропускать, но вот диалог который мне скинул подписчик с одним из банков (у меня есть скриншоты переписки, всратые переписки с "роботом" что бы достучаться до человека тоже пропущу)

Подписчик:
- Здравствуйте. Я не хочу устанавливать код доступа для входа с любого устройства. Как мне пропустить этот экран, что бы попасть в личный кабинет? 

Оператор:
- К сожалению, пропустить данный шаг невозможно. Понимаю ваше недовольство. Однако прежде, чем внедрить код доступа, мы тщательно всё проверили: он не хуже обычного пароля.

П: - Это ложь. Не может быть код в 4-6 символа безопаснее чем пароль в 20 символов

О: - Код доступа такой же надёжный, как и пароль. Если 3 раза неверно ввести код доступа, то он сбросится и зайти можно будет только по паролю. А ещё при входе по коду доступа на ваш номер придёт СМС-код для подтверждения входа.

П: - Код по СМС приходил и в случае с паролем. Если я всё равно смогу получить доступ к полю ввода пароля после неудачных попыток, то что меняет введение этого обязательного экрана? Зачем создавать сложности клиенту банка?

О: - Клиенты часто забывали пароль, из-за чего не могли в личный кабинет. Что бы решить эту проблему мы придумали код доступа. Он такой же надёжный, как и пароль.

П: - Я не забываю пароли, мне не нужна эта "забота". Как отказаться от этого? И не может быть, ещё раз повторяю, код в 4-6 символа безопаснее чем пароль в 20 символов

О: - От кода доступа нельзя отказаться, он нужен для входа в личный кабинет.

П: - У меня есть пароль + второй фактор. Зачем тут код?

...Здесь цикл одного и того же, когда оператор банка бытается убедить, что клиент тупой и лучше него знают...

О: - Мне очень жаль, но отказаться от этого, технически невозможно.

Как раз под эту тему на Хабре пост подъехал. Я не всё что там написано одобряю, но почему горит жопа у автора понимаю

Логин и пароль были слишком простым способом входа? Кто-то ставит слабые пароли! И ради защиты детей тупых придумали второй фактор. Что может быть надежнее для этого, чем кусочек пластика который выходит из строя, невозможно восстановить в другой стране, и находится в зависимости от дополнительной, по сути, левой компании-оператора? Разве что e-sim, которые помимо такой же зависимости от глючных операторов в роуминге, так еще и превращаются в тыкву с поломкой телефона. Разбился экран в другой стране, добро пожаловать в бомжи!
. . .
Логин и пароль это лучшее что было. Логин и пароль надежно и удобно хранятся в специализированных БД, приложениях вроде KeePass, и так далее. Безопаснее с дополнительными факторами не стало. Стало страшнее и опаснее за хрупкие и ненадежные дополнительные факторы, которые периодически запрашивают. Вспомним, вторым фактором может выступать ключевая фраза, ответ на вопрос про любимое блюдо и так далее, практика, которую злобные гиганты намеренно ввергли в забытье.

За что безопасники будут гореть в аду?
https://habr.com/ru/articles/888708/

_______
Источник | #tech_b0lt_Genona
@F_S_C_P

⚙️ Разработка ботов Telegram от 5000 руб

Крестик или кнопка назад, как знак согласия в Тинькофф⁠⁠
https://pikabu.ru/story/krestik_ili_knopka_nazad_kak_znak_soglasiya_v_tinkoff_12486430

Открытка @s3curity_and_UX

_______
Источник | #tech_b0lt_Genona
@F_S_C_P

-------
Секретики!
-------

Проблемы возникают из-за того, что подобные ИИ-индексаторы действуют агрессивно, собирают информацию в несколько потоков и не учитывают правила доступа к контенту, заданные на сайтах через файл robots.txt. Проблему усугубляет то, что разработками в области машинного обучения занимаются большое число разных компаний по всему миру, которые пытаются собирать как можно больше данных в меру своих возможностей. Каждая компания запускает свой индексатор и все вместе они создают огромную паразитную нагрузку на элементы инфраструктуры.

После начала блокировки подобного трафика, некоторые индексаторы начали притворяться типовыми браузерами для обхода фильтрации по идентификатору User Agent и использовать распределённые сети, охватывающие большое число хостов, для преодоления ограничений интенсивности обращений с одного IP. Наиболее сильно из-за активности ИИ-индексаторов страдают инфраструктуры открытых проектов, использующих собственные хостинги Git-репозиториев, форумы и Wiki, которые изначально не были рассчитаны на обработку высокой нагрузки.

Проблемы возникли у платформы совместной разработки SourceHut, развиваемой Дрю ДеВолтом (Drew DeVault), автором пользовательского окружения Sway. Дрю сетует на то, что в очередной раз вместо того, чтобы заниматься развитием платформы ему приходится тратить большую часть своего времени на разгребание неожиданно возникших проблем.
. . .
Другие проекты, обратившие внимание на проблему:

- Из-за высокой нагрузки на инфраструктуру для противостояния ИИ-индексаторам разработчики GNOME внедрили систему защиты от ботов Anubis, допускающую вход только после вычисления хэша sha256 (proof-of-work). При открытии страниц в GitLab GNOME теперь появляется характерная аниме-заставка, которая у некоторых пользователей приводит к минутной задержке загрузки страниц. За два с половиной часа тестирования только 3% запросов прошили проверку в Anubis, а 97% обращений были совершены ботами.

- В проекте Fedora из-за запросов ИИ-индексаторов наблюдаются сбои с работой платформы совместной разработки Pagure. В процессе противостояния с ИИ-ботами пришлось заблокировать множество подсетей, включая весь диапазон IP-адресов Бразилии, что привело к блокировке и некоторых пользователей.

- Сообщается о проблемах с сервисом совместной разработки Codeberg и инфраструктурой платформы Forgejo (code.forgejo.org), которые пытаются отразить поток запросов ИИ-индексаторов. 

- GitLab-сервер проекта KDE на некоторое время оказался недоступен из-за перегрузки в результате активности ИИ-индексаторов, отравлявших запросы из подсети, принадлежащей компании Alibaba.

- Из-за высокой нагрузки на сайт разработчики Inkscape начали блокировку по спискам Prodigious и планируют установить систему Anubis для защиты от ИИ-индексаторов.

- Из-за наплыва ИИ-индексаторов отмечаются сбои в работе форума проекта FreeCAD и проблемы с Wiki проекта Arch Linux.

- Разработчики открытой социальной сети Diaspora сообщили о возрастании нагрузки на форумы Discourse, Wiki и web-сайт проекта. По статистике за ноябрь и декабрь, собранной до нашествия обезличенных ботов, около 70% всего трафика пришлось на запросы от ИИ-индексаторов: 24.6% трафика сгенерировано ботом GPTBot, 17.1% - Amazonbot, 4.3% - ClaudeBot, 2.2% - meta-externalagent (для сравнения на ботов Google и Bing приходится по 0.14% трафика).

Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов
https://www.opennet.ru/opennews/art.shtml?num=62925

Cloudflare выпустила AI Labyrinth, что бы бороться с подобной активностью
https://blog.cloudflare.com/ai-labyrinth/

A list of AI agents and robots to block.
https://github.com/ai-robots-txt/ai.robots.txt

~460 тысяч адресов с которых зафиксирована активность ИИ-ботов
https://www.partagerfichier.fr/download.php?
{...продолжить в источнике}

_______
Источник | #tech_b0lt_Genona
@F_S_C_P

▪️Генерируй картинки в боте:
Flux + MidJourney

Опубликованы результаты оценки влияния на производительность пересборки пакетов для Ubuntu с различными опциями и реализациями функций выделения памяти. Экспериментатору удалось на 90% (в 1.9 раза) повысить производительность пакета jq с инструментарием для обработки данных в формате JSON, путём обычной пересборки из того же пакета с исходным кодом, без внесения изменений в сам код. Производительность оценивалась через измерение времени выполнения типового фильтрующего запроса над данными GeoJSON, размером 500МБ.

Итоги эксперимента:

- Вариант, собранный в GCC из тех же исходных текстов с флагами по умолчанию оказался быстрее бинарного пакета Ubuntu на 2-4%.

- Пересборка в Clang 18 с уровнем оптимизации"-O3", включением оптимизации на этапе связывания ("-flto") и отключением отладочной информации ("-DNDEBUG") привела к ускорению на 20%.

- Пересборка с системой распределения памяти TCMalloc (добавление "-L/usr/lib/x86_64-linux-gnu -ltcmalloc_minimal" в LDFLAGS) привела к ускорению на 40%.

- Замена функций malloc на системы распределения памяти tcmalloc, jemalloc и mimalloc через "LD_PRELOAD=/usr/lib/x86_64-linux-gnu/lib....so" привела к увеличению производительности на 27%, 29% и 44%. При запуске с mimalloc, показавшем ускорение на 44%, выставлялась переменная окружения "MIMALLOC_LARGE_OS_PAGES=1".

- Пересборка пакета с mimalloc в LDFLAGS вместо связывания через LD_PRELOAD привела к ускорению прохождения теста на 90%. Другой тест по обработке 2.2GB JSON-данных в 13000 файлах также показал прирост производительности примерно в два раза.

Производительность Ubuntu-пакета jq удалось увеличить в 1.9 раза путём пересборки
https://www.opennet.ru/opennews/art.shtml?num=62912

Оригинальный пост
Make Ubuntu packages 90% faster by rebuilding them
https://gist.github.com/jwbee/7e8b27e298de8bbbf8abfa4c232db097

Открытка @itpgchannel и его приключениям с malloc 🌝

_______
Источник | #tech_b0lt_Genona
@F_S_C_P

-------
Секретики!
-------

И этот пост понятно к чему. Сегодня 12 часов валялась обоссавшись и обосравшись зона ru-central1-b в Яндекс.Облаке и вроде как сейчас приходит в более или менее живое состояние. Всем кто в ночи будет чинить свои сервисы мои соболезнования и лучи поддержки.

Но проблема в том, что современные "хипсторы" решили почему-то что облака (не только AWS, GCP и т.д., а в более широком смысле) круто и надёжно, поэтому всё теперь привязывается и создаётся в них. Всё конечно же ради вашего удобства (нет)

И если пост выше это типа юмор (тоже нет), то вот почитайте реальную историю о том как человек не может воспользоваться нормально посудомоечной машиной, потому что ей нужен WiFi и приложение

я решил запустить цикл ополаскивания, но обнаружил, что он, а также другие функции, например, отложенный запуск и экорежим, требуют установки приложения.

Более того, для использования приложения нужно привязать посудомойку к Wi-Fi, настроить облачный аккаунт для какой-то системы под названием Home Connect, и только тогда вы сможете пользоваться всеми функциями машины.
. . .
Приложение? Я бы мог понять наличие удобных функций для тех, кому они нужны. Как в моём новом холодильнике (который я решил не подключать к WiFI): у него есть приложение, позволяющее мониторить температуру внутри или проще искать коды ошибок. Если бы мне нужны были эти дополнительные возможности, которых не было в моём старом холодильнике, то их можно было бы получить.

Но обязательное требование приложения для доступа к функциям, которыми раньше можно было управлять кнопками на самой посудомойке, или по-прежнему можно, если заплатить на 400 долларов больше за «крутую» модель 800? Это печально.
. . .
Что можем сделать мы?

Не думаю, что мы должны прощать подобное производителям.

Во-первых, это позволяет дизайнерам устройств лениться.

Во-вторых, с моей стороны это может показаться какой-то теорией заговора, но мне кажется, это часть запланированного устаревания. Как и в случае с машиной GE, в которой многие детали спроектированы так, чтобы заржаветь спустя пять или десять лет.

Если у вас есть облачное приложение, то для него должен работать облачный сервис. А его поддержка стоит денег.

Абонентской платы пока нет, что означает один из двух вариантов:

Производители уже могут продавать кому-то наши данные.
Рано или поздно они или закроют сервис, потому что это источник затрат (поэтому цикл ополаскивания и экорежим таких посудомоек пропадут, как по мановению волшебной палочки) или они перейдут на модель с подпиской.

В-третьих, это дыра в безопасности вашей локальной сети.

Не буду я подключать посудомойку к вашему дурацкому облаку
https://habr.com/ru/companies/ruvds/articles/894602/

Оригинал
I won't connect my dishwasher to your stupid cloud
https://www.jeffgeerling.com/blog/2025/i-wont-connect-my-dishwasher-your-stupid-cloud

Если что, то Jeff Geerling достаточно известный в узких кругах человек

https://t.iss.one/tech_b0lt_Genona/3810
https://t.iss.one/tech_b0lt_Genona/3814

В целом, наблюдать за всем этим печально, потому что люди ради своего как бы удобства, перестают владеть не только купленным софтом (в самом широком смысле), но теперь уже и железом. Более того, радостно продолжают голосовать за это рублём.

_______
Источник | #tech_b0lt_Genona
________________________________

Это ебануться

А есть кто на канале из админов https://t.iss.one/yandexcloud_chat? Можно пожалуйста бан снять с @rusdacent?

Я в вашем официальном чате дал человеку ссылку на ваш же официальный канал с алертами (https://t.iss.one/yandexcloudalerts) и меня забанил ваш же бот.

_______
Источник | #tech_b0lt_Genona

#хроникицифровизации
@F_S_C_P

При обсуждении под постом https://t.iss.one/tech_b0lt_Genona/5163 я вспомнил, что хотел написать на похожую тематику ранее, но как-то замотался и забыл

Я не зря там написал последний абзац

В целом, наблюдать за всем этим печально, потому что люди ради своего как бы удобства, перестают владеть не только купленным софтом (в самом широком смысле), но теперь уже и железом. Более того, радостно продолжают голосовать за это рублём.

Раньше так же было сложно представить ситуацию с принтерами, как в посте с посудомоечной машиной, но прошло время и мы в моменте, когда чуть ли уже не последний крупный производитель принтеров залез в "очко".

Brother начал блокировать картриджи сторонних производителей после принудительного обновления прошивки принтеров. Также в Brother запустили процесс удаления старых версий прошивок своих принтеров и МФУ с портала техподдержки.
. . .
Россманн признался, что раньше говорил многострадальным владельцам печатающих устройств HP или Canon, столкнувшимся с проблемами DRM картриджей: «Купите лазерный принтер Brother за 100 долларов, и все ваши беды будут решены». Но теперь и Brother пошла по пути HP или Canon.

Brother начал блокировать картриджи сторонних производителей после принудительного обновления прошивки принтеров
https://habr.com/ru/news/888020/

Оригинал
Brother accused of locking down third-party printer ink cartridges via forced firmware updates, removing older firmware versions from support portals
https://www.tomshardware.com/peripherals/printers/brother-accused-of-locking-down-third-party-printer-ink-cartridges-via-firmware-updates-removing-older-firmware-versions-from-support-portals

И это ещё половина проблемы. Софт, который "вставляет палки в колёса", ещё и ломает ваше "железо"

Американская компания HP Inc. окончательно «убила» свои принтеры и многофункциональные устройства (МФУ). Как пишет портал Ars Technica, она выпустила прошивку, которая не дает печатать даже на принтерах, в которых установлены оригинальные расходные материалы.

Опасная прошивка имеет номер 20250209 и ряд устройств, в том числе LaserJet MFP M232-M237 она превращает в «кирпич». Точное количество моделей, которых зацепила проблема, пока не установлено.

Принтеры и МФУ отказываются печатать, даже если установить в них только что купленный оригинальный картридж. Они выдают ошибку с кодом 11. Пользователи начали жаловаться на проблему, притом как на сторонних ресурсах, так и на официальном форуме HP, однако к моменту публикации материала у HP не было готового ее решения.

HP доигралась. Новая прошивка «окирпичила» ее принтеры, теперь они не работают даже с оригинальными картриджами
https://www.cnews.ru/news/top/2025-03-11_hp_doigralaskrivaya_proshivka

Оригинал
Firmware update bricks HP printers, makes them unable to use HP cartridges
https://arstechnica.com/gadgets/2025/03/firmware-update-bricks-hp-printers-makes-them-unable-to-use-hp-cartridges/

Так что ждём картриджи с моющими средствами без которых ваша посудомойка откажется работать.

ЗЫ С автомобилями такая же ситуация, если не хуже.

_______
Источник | #tech_b0lt_Genona
@F_S_C_P

Узнай судьбу картами Таро:
✨Anna Taro bot

Подробный разбор инцидента от 30 марта в Яндекс Облаке

Что случилось?

В период с 30.03.2025 12:25 по 31.03.2025 00:00 (МСК) сервисы Yandex Cloud, расположенные в зоне ru-central1-b, были недоступны. Инцидент был вызван двойным отказом по питанию из-за сбоя на городской высоковольтной подстанции, питающей ряд областных и промышленных объектов, включая дата-центр Яндекса.
. . .
Предотвращение

Корневая причина инцидента – потеря напряжения на двух независимых источниках питания одновременно. Команда Yandex Cloud анализирует возможные варианты предотвращения этого риска (включая вариант добавления третьего независимого источника питания). Об итоговом решении мы сообщим дополнительно.

Резюме по инциденту
https://status.yandex.cloud/ru/incidents/1129

_______
Источник | #tech_b0lt_Genona

———
очень интересно как объект получил tier1 если там принципиально нет ДГУ ...

———
@F_S_C_P

▪️Генерируй картинки в боте:
Flux + MidJourney v7