Linux / Линукс 🥸

⚠️ DDoS-атака — это не только про трафик и фильтры.

🕒 В первые минуты инцидента CISO принимает решения, от которых зависит простой бизнеса, потери по SLA и репутация компании.

На открытом уроке разберём реальный сценарий атаки на доступность.
Вы увидите, какие сигналы получает команда, как отличить инцидент от шума и как выстраивается таймлайн IR: от triage и эскалации до распределения ролей между CISO, SOC, сетями и ИТ.

Особое внимание уделим управленческим дилеммам: изолировать всю инфраструктуру и потерять клиентов или сохранить частичную доступность и принять риск. Разберём критерии выбора, моделирование развития атаки, фиксацию решений и контроль эффекта. Отдельно обсудим постмортем и коммуникации с бизнесом.

📌Встречаемся 19 февраля в 20:00 МСК в преддверии старта курса «CISO / Директор по информационной безопасности».

Регистрация: https://otus.ru/lessons/ciso

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Тут в Токио на Linux Plumbers Conference подняли тему, которая болит у каждого, кто хоть раз пытался разобрать vmcore или запустить профайлер на проде. Один участник зачитал доклад о том, что текущий формат отладочной информации устарел и разжирел. Сейчас, чтобы проанализировать дамп ядра, нужно выкачивать сотни мегабайт (а то и гигов) символов в формате DWARF. Это долго, неудобно и часто невозможно в закрытых контурах, где нет доступа к внешним репозиториям 😰

В качестве решения предлагают переходить на компактные форматы типа CTF или SFrame. Идея в том, чтобы облегченные таблицы символов, необходимые для построения стек-трейсов и профилирования, весили мало и всегда были загружены в память вместе с ядром. Представьте мир, где утилиты мониторинга работают сходу, без танцев с бубном и подключения debuginfo-репов. Если индустрия это примет, мы наконец-то перестанем качать гигабайты ненужного ради того, чтобы увидеть одну строчку с адресом функции, которая уронила сервер.

Идея здравая 🥳

Типичный 🥸 Сисадмин

Проблема решена

Linux / Линукс 🥸

Роскомнадзор заблокировал Linux 🐧

Юзеры жалуются, что git.kernel.org. стал недоступен, а ведь это «основной источник обновлений ядра Linux, которое используется во всех отечественных ОС».

Теперь для обновления ядра приходится включить VPN. Проблема наблюдается уже около недели, при этом пользователи сообщают, что обращения и письма в Роскомнадзор просто игнорируются.

🥸 godnoTECH - Новости IT

Linux / Линукс 🥸

Gentoo уходит с GitHub из-за Copilot, первый этап миграции на Codeberg завершён

Разработчики объявили о завершении первого этапа перехода с GitHub на открытую платформу Codeberg (на базе Forgejo). Теперь изменения в ebuild-репозиторий можно передавать через Codeberg, там же подняты зеркала для portage, steve и gentoolkit. GitHub пока остаётся в качестве дополнительной площадки, но в будущем Gentoo планирует полностью отказаться от него.

Основная причина - это навязывание AI-сервиса Copilot, которое противоречит принципам проекта. Codeberg выбран как полностью свободная, ресурсоэффективная платформа с поддержкой всего необходимого: issues, pull-запросы, wiki, CI, Git LFS и т.д.

Хороший тренд?

Linux / Линукс 🥸

Но как?

Linux / Линукс 🥸

В Linux 7.0 пофиксят гибернацию для старых SSD, патч в 30 строк ускорил процесс в 10 раз

Разработчик Kairui Song предложил патч, исправляющий регрессию в аллокаторе подкачки, из-за которой переход в спящий режим на медленных SSD с ядрами 6.15+ стал невыносимо долгим. Проблема была в отсутствии быстрого выделения крупных регионов в swap-разделе.

Тестирование на Samsung SSD 830 (SATA II) показало драматический эффект: время гибернации упало с 324 секунд до 35. Патч крошечный - всего несколько десятков строк. Его планируют включить в разрабатываемую ветку 7.0 и бэкпортировать в стабильные 6.18 и 6.19.

Таким образом, пользователи со старыми SSD снова смогут безопасно уходить в гибернацию, не заваривая чай на время ожидания.

Linux / Линукс 🥸

Gentoo начал миграцию с GitHub, чтобы не кормить Copilot

Разработчики Gentoo Linux запустили зеркало своего репозитория на Codeberg. Теперь контрибьютить в проект можно (и нужно) через эту платформу, минуя сервера Microsoft.

Команда гентушников пояснила, что они не хотят, чтобы их код использовался для бесплатного обучения GitHub Copilot. Сообщество справедливо рассудило, что уникальные ebuild-скрипты и наработки, созданные тысячами волонтеров, не должны становиться топливом для коммерческой нейросети без их согласия ✅

Codeberg выбран не случайно, т.к. это некоммерческая платформа на базе Forgejo (форк Gitea), хостится в Германии и управляется некоммерческой организацией. Никакой телеметрии, никакого скрытого слива данных и никакого ИИ.

Для работы предложили использовать AGit-flow. Это когда вы не делаете форк всего гигантского репозитория к себе в профиль (экономя место), а пушите изменения напрямую в специальную ветку апстрима через git push codeberg HEAD:refs/for/master. Максимально грамотно получается ⌨️

Open Source сообщество начинает что-то понимать, ждем, когда примеру последуют остальные.

Типичный 🥸 Сисадмин

Насколько активно нужно участвовать в разработке, чтобы получить ее кулон Kool?

Linux / Линукс 🥸

GitHub раздал 138 открытым проектам по $10 000 на безопасность

GitHub подвёл итоги третьего раунда инициативы «Secure Open Source Fund». На этот раз финансирование получили 67 проектов, критически важных для AI-стека и инфраструктуры, включая CPython, Node.js, Rustls, LLVM, curl, Pandas, SciPy, Jenkins, Keycloak и многие другие. Всего с начала программы поддержку получили 138 проектов, а 219 мэйнтейнеров прошли трёхнедельное обучение по безопасности.

Каждый участник получил $10 000 на усиление безопасности, доступ к Copilot и Copilot Autofix, секрет-сканеру и консультации от GitHub Security Lab. За время программы выявлена 191 уязвимость, обнаружено и предотвращено более 850 утечек секретов.

Linux / Линукс 🥸

Копилефт для ИИ: новая лицензия CCAI требует открывать модели, обученные на открытых данных

Исследователи из Йельского университета представили концепцию лицензии CCAI (Contextual Copyleft), адаптирующую принципы копилефта для эпохи генеративного ИИ. Суть: если вы используете код или данные под CCAI для обучения своей модели, то сама модель (включая веса, архитектуру и данные обучения) тоже должна распространяться на тех же условиях.

CCAI разработана, чтобы бороться с практикой, когда компании формально публикуют открытые модели, но скрывают данные и инструменты обучения, делая их по сути проприетарными. Лицензия может применяться как самостоятельная или как дополнение к AGPLv3.

Требования соответствуют критериям Open Source Initiative для открытых ИИ-систем: полная прозрачность обучающих данных, кода и параметров. Если модель распространяется (например, через API), она подпадает под действие лицензии.

Linux / Линукс 🥸

Когда собираешься задать вопрос в сообществе Арчеводов

Linux / Линукс 🥸

Представлен первый выпуск проекта Netbase, который портирует пользовательские утилиты из NetBSD для других Unix-подобных систем. Пока основная цель - это Linux с glibc, но заявлена потенциальная поддержка FreeBSD, OpenBSD, macOS и даже GNU/Hurd.

Для работы используется прослойка libnetbsd, реализующая специфичные для NetBSD системные вызовы и API поверх целевых платформ. Сам код утилит стараются сохранить без изменений или с минимальными правками.

В первом релизе доступны базовые команды: ls, cat, grep, ps, sh, sysctl и ещё около 50 утилит. Это позволяет, например, получить родное поведение BSD-команд на Linux-системе, не ставя эмуляцию или chroot.

Linux / Линукс 🥸

Linux / Линукс 🥸

Проблемы с финансированием каталогов пакетов открытого ПО

Майкл Уинсер из Alpha-Omega обрисовал мрачную картину: популярнейшие реестры пакетов (PyPI, npm, Crates .io, RubyGems, Maven Central) работают практически на чистом энтузиазме и спонсорских ресурсах, а их бюджеты не растут вслед за трафиком. 25% расходов уходит на CDN, 18% на хранение, но на разработку новых фич всего 2%, а на безопасность и вовсе 1%.

При этом количество вредоносных пакетов, генерируемых AI, растёт экспоненциально, а среднее время жизни такого пакета до удаления - 39 часов. В сентябре 2025 червь Shai-Hulud уже показал, как это работает, поразив экосистему npm.

Монетизировать реестры сложно: введение платы за доступ породит зеркала и фрагментацию, а без денег инфраструктура просто не выдержит. Уинсер предлагает искать баланс между коммерческими моделями и сохранением открытости, иначе безопасность всей цепочки поставок ПО окажется под вопросом.

Linux / Линукс 🥸

👨‍🦳 Когда приватность в ТГ стоит 500 рублей.

На фоне суеты с замедлением ТГ и слухов про блокировку, в сторах и рекламе начал активно форситься клиент с незамысловатым названием «Telega»👨‍🔬. Разработчики обещают, что он будет работать в РФ без VPN даже при тотальном шатдауне. Звучит заманчиво и хочется срочно поставить? А теперь давайте посмотрим, что у него под капотом (спасибо bruhcollective за декомпиляцию 🎩).

Внутри полный набор товарища майора 👮‍♂️:
🟢Клиент подменяет адреса дата-центров Telegram (DC1-5) на свои собственные прокси. Весь ваш трафик, включая медиа и файлы, идет через промежуточные сервера разрабов.
🟢При авторизации на сторону разработчика улетает не только номер телефона (который в обычном клиенте скрыт), но и auth_key_id. Это технически позволяет отслеживать активность конкретной сессии и, возможно, банить юзера точечно.
🟢В коде найдена функциональность для блокировки каналов и чатов независимо от ТГ. То есть, если РКН скажет заблокировать канал, в официальном приложении он может работать, а в приложении выдаст заглушку что материалы недоступны.
🟢При включенном фильтре клиент отправляет на сервер ID всех открываемых вами чатов. Идеально для построения социального графа... кто с кем общается и что читает😗

Но самое занятное вскрылось в последних находках. В библиотеках клиента обнаружили функцию проверки флага isPfsEnabled, которой нет в оригинальном коде Дурова. Perfect Forward Secrecy (PFS) - это механизм, гарантирующий, что даже если злоумышленник украдет долговременные ключи шифрования, он не сможет расшифровать переписку, записанную в прошлом. В официальном клиенте Telegram этот параметр - константа, всегда равная true. Его нельзя выключить, это база безопасности MTProto. А вот в «Telega» это переменная, значение которой прилетает с сервера конфигурации разработчиков 😶

Получается, что разрабы «Telega» могут удаленно, без обновления приложения, отключить PFS для конкретного пользователя или для всех сразу. Это превращает шифрование в ничто, т.к. если трафик перехватывается (а он может перехватываться через их прокси), то при наличии ключей его можно будет расшифровать постфактум.

Еще из интересного... приложение имеет галочку верификации и рекламируется через официальную платформу Telegram Ads. Это наводит на очень нехорошие мысли о том, что Кто-то 😬 мог пойти на сделку, типа... Окей, мы не дадим вам ключи шифрования, но разрешим работу специального клиента, который будет всё соблюдать.

Ну и на десерт про лицензионное соглашение. Пользователи, которые не поленились прочитать юридическую часть, нашли там прекрасное:
🟢Разработчики прямо пишут, что могут передавать персональные данные госорганам.
🟢Ответственность за разглашение данных третьим лицам? Отсутствует.
🟢Максимальная компенсация за любой ущерб - 500 рублей 😂

Вот и получается, что «Телега» - не простой форк, а с доступом к ТГ ценой приватности. Такое мы ставим? 🤢

Типичный 🥸 Сисадмин