Официальный бэкдор в каждом Keenetic 🤡

Владельцы Кинетиков внезапно обнаружили, что вендор массово и принудительно накатил обновление KeeneticOS (версии ветки 4.x) на устройства. Пикантность ситуации в том, что апдейт прилетел даже тем пользователям, у кого в настройках было прописано auto-update disable. Галочка в GUI оказалась просто декорацией 🤣

Формальным поводом для такого беспредела стала безопасность. В интернетах началась эпидемия взломов ролтонов кинетика... ботнеты сканировали сеть, находили роутеры с открытым наружу веб-интерфейсом и слабыми паролями, после чего создавали там скрытого пользователя adminr и поднимали VPN-сервер для своих темных дел. Компания решила не ждать, пока все клиенты станут частью ботнета, и бэкдорнула каждого, принудительно обновив прошивки и запретив открывать доступ извне без установки сложного пароля 😂

На форумах Keenetic и Netcraze начали бомбить. Что если вендор имеет техническую возможность игнорировать запрет на обновления и заливать в устройство всё что угодно через собственные бэкдоры (подозревают протоколы типа CWMP/TR-069), то о каком доверии может идти речь? Сегодня они залили патч безопасности, чтобы спасти вас от хакеров, а завтра зальют обновление, которое оптимизирует работу, удалит неугодные пакеты или сольет данные нужным людям?

Напомню, что в РФ Keenetic теперь официально мимикрировал в бренд Netcraze (Сетевое Безумие?). Облачная инфраструктура переехала из буржуйского Hetzner в родной Selectel, а в логах роутеров теперь мелькают запросы к узлам вроде ndss.netcraze.ru.

Представители Keenetic пока отмалчиваются или ссылаются на критичность уязвимости. Но осадочек остался капитальный. Получается, покупая роутер за оверпрайс, вы по факту берете в аренду терминал, которым управляет некто из техподдержки. И ваше мнение о том, какая версия прошивки должна стоять на вашем железе, никого не интересует. Добровольные бэкдоры, велком 🎩

Типичный 🥸 Сисадмин

Уютно 👵

Linux / Линукс 🥸

Вышел Mesa 25.3 с новыми Vulkan-драйверами

Опубликован релиз Mesa 25.3 — ключевого обновления свободной реализации графических API. Главные новшества: новый Vulkan-драйвер KosmicKrisp для macOS на чипах Apple Silicon и значительное ускорение работы AI-моделей в Llama.cpp на GPU AMD через драйвер RADV.

Удалена поддержка устаревшего API VDPAU, вместо которого рекомендуется использовать VA-API. Также улучшена поддержка mesh-шейдеров в драйвере Zink и добавлен слой для технологии AMD Anti-Lag.

Linux / Линукс 🥸

На каждый мем найдется новый мем

Linux / Линукс 🥸

📉 Как вчера один SELECT * FROM уронил половину интернета.

Вышел официальный разбор вчерашнего падения. Случилась классика. Все началось с рутинного обновления прав доступа в кластере ClickHouse. Инженеры хотели как лучше, а получилось как всегда... была задача разграничить доступы к распределенным таблицам, но в итоге один-единственный запрос к системной таблице system.columns начал возвращать дубликаты данных. Вместо того чтобы получить список входных параметров для системы защиты от ботов один раз, система получила их дважды (из основной базы и из внутреннего шарда r0).

В итоге конфигурационный файл для модуля Bot Management мгновенно распух в два раза. И тут в дело вступил жесткий хардкод. В коде прокси-сервера (написанном на Rust) стояло ограничение на 200 входных параметров, под которые заранее аллоцировалась память, видимо разрабы наивно полагали, что больше им никогда не понадобится 😂. Когда прилетел файл большего размера, Rust сделал то, что он делает, когда встречает необработанное исключение... он запаниковал. В логах это выглядит как эпичное thread fl2_worker_thread panicked: called Result::unwrap() on an Err value. То есть разработчики просто не предусмотрели обработку ошибки переполнения и пустили весь прод под откос 🤡

Еще забавно, что в первые часы даже CEO Cloudflare был уверен, что их атакует какой-то невиданный ранее ботнет. Паники добавило то, что даже их внешняя статус-страница (которая хостится отдельно) начала отдавать ошибки, что выглядело как спланированная атака по всем фронтам. Инженеры несколько часов гонялись за призраками DDoS-атаки, пока не поняли, что их собственные сервера просто падают в kernel panic от своего же конфига.

Фиксили это дело в лучших традициях... вручную остановили раскатку обновления, подсунули старый (рабочий) файл конфигурации и начали перезагружать всю глобальную инфраструктуру. Полностью разгрести завалы и очереди сообщений удалось только к вечеру.

Cloudflare: «Helping to build a better Internet» 😮

Типичный 🥸 Сисадмин

Когда открытый код начинает жрать своего хозяина изнутри

Аспирантка из Эдинбурга Миранда Хит разобрала 57 историй полного выгорания мейнтейнеров open-source, перелопатила интервью и почтовые рассылки и выдала финальный список из шести причин, почему люди, которые буквально держат на себе весь интернет, тихо ненавидят свою жизнь.

1. Денег нет и никогда не будет
60 % сопровождающих работают бесплатно. Проект становится популярным, после чего баг-репорты и ишью сыплются тоннами. Человек сидит ночами, потому что «надо», а потом понимает, что крупные корпорации на его коде делают миллиарды и даже не говорят «спасибо».

2. Появились деньги → появились новые проблемы
Когда находишь спонсора, то часть комьюнити сразу записывает тебя в предателей и «продажную шкуру». Плюс теперь ты боишься, что завтра спонсор попросит запилить бэкдор или закрыть ишью «потому что нам неудобно».

3. Токсичные пользователи, которым ты «должен»
«Почему до сих пор нет фича-нейм?», «Ты что, дурак, это же баг!!!1», «Исправь быстрее, у меня завтра презентация». И ты всё это читаешь и отвечаешь «спасибо за фидбек, посмотрю в ближайшее время» 🤡

4. Гиперответственность и неспособность сказать «нет»
Люди чувствуют себя лично виноватыми, если где-то в мире кто-то не может собрать пакет. В итоге берут на себя всё: поддержку, ревью, документацию, модерацию — и тонут.

5. Рутина съедает всю радость
Хочешь писать код, а вместо этого три часа в день отвечаешь на «не работает» и «а когда будет?».

6. GitHub-метрики и вечная гонка за звёздами
Нужно постоянно доказывать, что ты не зря ешь хлеб: больше коммитов, больше форков, больше стикеров на ноутбуке. Репутация стала KPI, а выгорание — побочным эффектом.

Как итог, 73 % разработчиков open-source уже проходили через выгорание, 60 % мейнтейнеров в 2024-м думали бросить всё к чертям. Оставшиеся просто переходят в режим «поддерживаю по остаточному принципу» и игнорируют критичные уязвимости, потому что сил нет.

Что может изменить ситуацию по мнению исследования:
▪️ Регулярная и предсказуемая оплата
▪️ Культура «спасибо, ты крут» вместо культуры «ты мне должен»
▪️ Наставничество, чтобы не тащить всё в одиночку
▪️ Защита мейнтейнеров от токсиков (баны, модерация, публичные порицания такого поведения)

Берегите мейнтейнеров, пока мы не остались с одним большим CVE вместо инфраструктуры ❤️

Linux / Линукс 🥸

Миллион беглецов с Windows перешли на Zorin OS 18

Zorin OS 18 ориентирована на начинающих пользователей, привыкших работать в Windows. Разработчики сообщили, выпуск от 15 октября преодолел рубеж в миллион загрузок, что побило все прошлые рекорды проекта, а 78% от всех загрузок выполнены пользователями Windows.

Параллельно команда Zorin анонсировала тестовую, но уже работающую функцию бесшовного обновления. Теперь пользователи Zorin OS 17.x могут обновиться до 18-й версии без полной переустановки, с сохранением всех файлов, настроек и приложений. Функцию пока выкатывают осторожно, но через несколько недель обещают объявить ее стабильной.

Linux / Линукс 🥸

А их и не нужно спрашивать. Они сами расскажут

Linux / Линукс 🥸

😭 Новый налог на электронику...

Госдума в финальном чтении утвердила введение технологического сбора (поправки в закон «О промышленной политике»). С 1 сентября 2026 года за ввоз или производство любой продукции, содержащей электронную компонентную базу, придется заносить в бюджет дополнительные деньги. Платить будут все... импортеры, юрлица, ИП и даже отечественные производители, ради поддержки которых это вроде бы как и затевалось.

В самом документе есть пара волнительных нюансов. Во-первых, сбор уплачивается за каждую единицу продукции, а ставки будут установлены в фиксированных ценовых значениях (рубли за штуку), а не в процентах. Максимальная планка 5000 рублей за единицу. Звучит терпимо для сервера за миллион, но если Минпромторг решит брать фиксированные 100 рублей за каждый ввезенный контроллер или датчик, стоимость бюджетной электроники может улететь в стратосферу 😲

Во-вторых, сбор касается не только чипов, но и промышленной продукции, содержащей электронные модули. То есть под раздачу попадают станки, автомобили и любое оборудование сложнее лома. А чтобы нефтяники на буровых платформах не расслаблялись.... в законе отдельно прописано, что платить придется даже за производство на континентальном шельфе и в исключительной экономической зоне. Не спрятаться даже в море 🌊

Минфин уже планирует собрать 218 миллиардов рублей к 2028 году. Эти средства обещают направить на развитие отрасли. Внедрять сбор будут поэтапно, но любой, кто закупал железо в корпоративный сектор, понимает, что дистрибьюторы заложат в цену не только сам сбор, но и риски, и расходы на администрирование. О ценах на железо даже и думать не хочется...

- Почему этот сервер стоит как однушка в Москве?
- Там внутри 2000 компонентов 😱

Типичный 🥸 Сисадмин