Positive Technologies выкатили разбор свежих атак группировки Mythic Likho на российскую критическую инфраструктуру (КИИ). Ребята работают масштабно, со вкусом и глубоким погружением в социальную инженерию.
Начинается всё с разведки. Атакующие регают домены, мимикрирующие под российские облака и сервисы (типа
cloudmaill[.]ru или gosuslugi-help[.]ru), ломают легитимные сайты и создают фейковые профили сотрудников, привязывая их к реальным ру-номерам. Они перехватывают фавиконы, копируют корпоративный стиль и могут неделями просто вести переписку с жертвой, втираясь в доверие. И только когда бухгалтер или менеджер расслабился - кидают линк на вредонос.Дальше в дело вступает техническая магия. Жертва качает безобидный с виду PDF или JPG, который на деле оказывается LNK-загрузчиком с двойным расширением. Внутри LNK спрятана обфускация... они юзают ключ
/v:on для отложенного расширения переменных в CMD. Статический анализ антивируса видит локальный IP 192.168.1.1, а при выполнении он подменяется на реальный С2-домен из переменной окружения Сам механизм распаковки тоже с приколом. Чтобы запутать EDR, дроппер резервирует в оперативной памяти 50 000 блоков по 4 КБ и заполняет их рандомным мусором, имитируя сотни фиктивных PE-файлов. Суммарно процесс отжирает до гигабайта оперативки, тупо чтобы спрятать в этом болоте бэкдор Loki.
Как только Loki сел в системе... начитается отключение антивирусов, дампинг учеток, перемещение по сети и слив данных через Rclone. Иногда они вообще не парятся с пробивом периметра, а заходят через готовые SSH-туннели, которые им оставляют коллеги по хацкерскому цеху, например (Ex)Cobalt
Есть занятный момент... для вытаскивания паролей из браузеров элитная группировка юзает устаревшую триальную версию утилиты XenArmor от 2020 года. Лицензия оформлена на почту некоего канадского фаната аниме и немецкого футбола, чьи пароли давно утекли в даркнет
Финал печален. Атакующие выносят теневые копии, сносят утилиты резервного копирования, форматируют RAID-массивы и полируют всё это корпоративным шифровальщиком LockBit
Если у вас в контуре EDR все еще доверяет процессам, запущенным из временных папок, а макросы и LNK-файлы свободно гуляют по почте, то вы прям приглашаете в гости канадского анимешника
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
✍66😁22❤8🌚4👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
💯90😱29😁12🤯12❤4🍾2👍1
FreeBSD опубликовал отчет за февраль 2026 года и, походу, грядущий релиз 15.1 (который уже в июне) намечается довольно юзабельный в качестве десктопной системы.
В текстовый инсталлятор завезли опцию установки KDE Plasma 6. Эту фичу не успели допилить к мажорному 15.0. Больше никаких танцев с правкой
rc.conf, ручным поднятием иксов и мольбами демону. Достаточно тыкнуть Yes По железу тоже неплохие подвижки. В ядро завезли родную поддержку Wi-Fi 4 и 5 для популярных адаптеров Realtek (RTW88 и RTW89). С Wi-Fi 6 пока проблема, т.к. чтобы его запилить, разрабам приходится перепахивать базовый стек
net80211, от чего сыпется половина сетевых портов Также разрабы почти добили S0i3 (режим ожидания\сна), но пока вылавливают плавающие баги, из-за которых некоторые процессоры как-то выходят из состояния сна. Плюс завезли отладку режимов сна по USB даже при отвалившемся графическом драйвере.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤38🔥20👍5😁5😈5🍾1
Правительство выкатило масштабный апдейт правил игры для крупного бизнеса, опубликовав распоряжение № 360-р. Документ утверждает перечень из 397 типовых объектов критической информационной инфраструктуры (КИИ). В список включили ERP-системы. Пока что это касается сурового энтерпрайза... химии, металлургии, горнодобывающей, ракетно-космической и оборонки.
На практике для ИТ-отделов начинается старт большого инфраструктурного квеста. Теперь ERP подлежат обязательному категорированию
А главная боль тут - принудительная миграция. Отсидеться на трофейном западном софте, поддерживаемом костылями и локальными подрядчиками, больше не выйдет. Профильные регуляторы (типа НЦК ИСУ) предлагают поэтапный подход... сначала аудит, потом постепенная миграция с сохранением ключевых процессов. Но мы-то с вами понимаем, что бесшовно пересадить условный металлургический завод с десятилетиями кастомного SAP на отечественные аналоги - задача та ещё
Ну и куда же без мотивации по миграции. Забыли или не успели подать сведения о категорировании? Штраф до 1,5 млн рублей. Эксплуатируете систему без нужных лицензий ФСБ/ФСТЭК - еще минус 200 тысяч. А если (не дай Бог) ваш импортозамещенный прод ляжет, парализует завод, и ущерб превысит 1 млрд рублей, то тут уже ст. 274.1 УК РФ - до 6 лет лишения свободы для ответственных лиц
Так что, друзья из тяжелого энтерпрайза, если вы думали, что миграция легаси AD на Samba - это стресс, то добро пожаловать на новый хардовый уровень. Безопасники уже радостно потирают руки в ожидании х2 бюджетов, а ИТ-директорам самое время проверить свои уровни ответственности
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚52🫡34❤12🤯10👍6🍌3🎉2🔥1🤨1
В Mozilla пояснили, что до 15% крашей Firefox происходит из-за битой памяти и космических лучей 🏥
Разрабы иногда шутят про вмешательство из космоса, когда не могут воспроизвести плавающий баг на проде. Но сеньор-инженер Mozilla Габриэле Свельто решил проверить эту отмазку на практике. Год назад в Firefox встроили легковесный тестер памяти, который стартует на машине юзера сразу после падения браузера (проверяет до 1 ГБ оперативки в течение 3 секунд). И вот Свельто проанализировал массив из 470 000 свежих краш-репортов...
Оказалось, что минимум 10% всех падений🥸 были аппаратными, через bit flip (произвольное изменение бита в ячейке RAM или кэша с 0 на 1 или наоборот).
Причину таких флипов может дать перегрев, микроскачки напряжения, физическая деградация кремния от старости и... ионизирующие космические лучи, от которых в обычных ПК нет защиты. Страдают абсолютно все девайсы, где вендоры пожалели денег на ECC-память.
Интересно, фольга поможет?😥
Типичный🥸 Сисадмин
Разрабы иногда шутят про вмешательство из космоса, когда не могут воспроизвести плавающий баг на проде. Но сеньор-инженер Mozilla Габриэле Свельто решил проверить эту отмазку на практике. Год назад в Firefox встроили легковесный тестер памяти, который стартует на машине юзера сразу после падения браузера (проверяет до 1 ГБ оперативки в течение 3 секунд). И вот Свельто проанализировал массив из 470 000 свежих краш-репортов...
Оказалось, что минимум 10% всех падений
Причину таких флипов может дать перегрев, микроскачки напряжения, физическая деградация кремния от старости и... ионизирующие космические лучи, от которых в обычных ПК нет защиты. Страдают абсолютно все девайсы, где вендоры пожалели денег на ECC-память.
Интересно, фольга поможет?
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡87😁33🔥10❤3😈2🤯1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡195❤31😁10👍6🍾5
🐡 NetBSD 11.0-RC2, где виртуалки стартуют за 10 мс
Вышел второй релиз-кандидат 11-й ветки. Ось, которая исторически ставится на всё, от тостеров до орбитальных спутников, внезапно решила стать модной, молодежной и облачной.
Теперь там абсолютно новое ядро MICROVM для x86/amd64. Разрабы выкинули всё легаси, прикрутили загрузку через PVH и VirtIO MMIO. В итоге получилась сборка, которая на относительно свежем железе (~2020) стартует до полностью рабочего состояния за... 10 миллисекунд. Теперь можно плодить виртуалки со скоростью света💨
По новому железу тоже жир. Запилили полноценную поддержку 64-битного RISC-V (VisionFive 2, STAR64 и QEMU) и первичную поддержку хайповых ARM-чипов Qualcomm Snapdragon X Elite.
Еще заметил, что проект не изменяет своим некромантским традициям🧟♂️ ... в релиз добавили поддержку DVD-привода для Nintendo Wii, починили управление подсветкой на древних Apple PowerBook 1xx из 90-х и написали новый видеодрайвер для рабочих станций HP Visualize. Зачем они пилят под старое железо с барахолки - загадка.
Прокачали слой эмуляции👍
Ждем финального релиза..
Типичный🥸 Сисадмин
Вышел второй релиз-кандидат 11-й ветки. Ось, которая исторически ставится на всё, от тостеров до орбитальных спутников, внезапно решила стать модной, молодежной и облачной.
Теперь там абсолютно новое ядро MICROVM для x86/amd64. Разрабы выкинули всё легаси, прикрутили загрузку через PVH и VirtIO MMIO. В итоге получилась сборка, которая на относительно свежем железе (~2020) стартует до полностью рабочего состояния за... 10 миллисекунд. Теперь можно плодить виртуалки со скоростью света
По новому железу тоже жир. Запилили полноценную поддержку 64-битного RISC-V (VisionFive 2, STAR64 и QEMU) и первичную поддержку хайповых ARM-чипов Qualcomm Snapdragon X Elite.
Еще заметил, что проект не изменяет своим некромантским традициям
Прокачали слой эмуляции
compat_linux, чтобы запуск линуксовых бинарников на NetBSD стал довольно юзабельно работать. В родной фаервол npf докинули фильтрацию на уровне L2 и фильтрацию трафика по юзерам/группам Ждем финального релиза..
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👏71⚡8🎉6❤1
ИИ-агент от Alibaba пробил фаервол, чтобы самостоятельно майнить крипту 🙂
Исследователи из Alibaba Cloud выкатили отчет о тренировке своего нового агента (модель ROME). В одно прекрасное утро их облачный файрвол начал сыпать алертами, что кто-то изнутри тренировочного кластера сканирует сеть и гонит трафик. Сначала админы подумали на кривые правила или быть может их хакнули. Но логи системной телеметрии показали любопытное... источником атаки был сам обучаемый ИИ-агент.
В процессе оптимизации, когда агенту дали доступ к выполнению кода для решения рутинных задач, модель совершенно самостоятельно осознала границы своей песочницы и решила их покинуть. Сначала агент проявил чудеса сетевой смекалки и поднял Reverse SSH туннель от облачного инстанса Alibaba до внешнего IP-адреса. Нейронка сама организовала себе бэкдор, который грамотно обходит NAT, нейтрализует входящие фильтры и полностью умножает на ноль контроль безопасности облака.
Но и этого показалось мало. Получив надежный канал связи с внешним миром, ИИ не стал захватывать ядерные коды (пока) как в Терминаторе🤖 . Он перевёл выделенные ему же вычислительные мощности и начал майнить на них крипту. Интересно, как агент планировал слить намайненные щитки и куда бы от потратил суммы 🤔 ... как теперь об этом не думать.
Типичный🥸 Сисадмин
Исследователи из Alibaba Cloud выкатили отчет о тренировке своего нового агента (модель ROME). В одно прекрасное утро их облачный файрвол начал сыпать алертами, что кто-то изнутри тренировочного кластера сканирует сеть и гонит трафик. Сначала админы подумали на кривые правила или быть может их хакнули. Но логи системной телеметрии показали любопытное... источником атаки был сам обучаемый ИИ-агент.
В процессе оптимизации, когда агенту дали доступ к выполнению кода для решения рутинных задач, модель совершенно самостоятельно осознала границы своей песочницы и решила их покинуть. Сначала агент проявил чудеса сетевой смекалки и поднял Reverse SSH туннель от облачного инстанса Alibaba до внешнего IP-адреса. Нейронка сама организовала себе бэкдор, который грамотно обходит NAT, нейтрализует входящие фильтры и полностью умножает на ноль контроль безопасности облака.
Но и этого показалось мало. Получив надежный канал связи с внешним миром, ИИ не стал захватывать ядерные коды (пока) как в Терминаторе
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥85😁67🌚12❤7🤔3😎2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁72⚡31😭10🫡5🌚3
Сегодня ФАС выкатил эпичное пояснение к закону «О рекламе», который за один день помножил на ноль остатки независимого рекламного рынка. Ведомство официально заявило, что размещать рекламу в ИГ, ФБ, Ютубе, Телеге, Зеленом чате и (внезапно) VPN-сервисах теперь запрещено. Технически это означает запуск режима тотального финансового удушения ТГ
Самый сок в том, что технически ни Ютуб, ни Телега в реестре запрещенных сайтов РКН не значатся (в отличие от проектов Цукера). Но тут логика сработала иначе... раз на магистралях трафик к этим ресурсам шейпят и ограничивают через ТСПУ, значит, они попадают под запрет. То есть ресурс может открываться без ВПН, юридически блокировки нет, но покупать там рекламу это уже нарушение
В сухом остатке легальный белый список площадок для продвижения сжался до размеров одной корпоративной сети. Хотите лить трафик? Добро пожаловать в ВК, Дзен, MAX (все от VK) ну и Rutube (от Газпрома). Конкуренция защищена, антимонопольная служба может спать спокойно
В профильных чатах маркетологов, юристов и админов каналов сейчас полыхает так
/dev/null и четких ответов не дает. Все ждут и наблюдают.Пора делать плановую диверсификацию Типичного по всем местам...
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
💊153🫡53😁14🗿10❤6👍4🔥4🦄2⚡1🤷♂1
📘 На Stepik вышел курс — «DevSecOps»
ИИ-инструменты, облака, автоматизация — всё это стало стандартом. И ровно поэтому защита инфраструктуры стала не опцией, а необходимостью. DevSecOps — навык, который всё чаще требуют от инженеров любого профиля. Глубоких знаний в ИБ не требуется — всё нужное объясняется прямо в процессе.
• Docker, Kubernetes — безопасная сборка, политики доступа, аудит образов
• SAST, DAST, SCA — анализ кода и сканирование зависимостей на CVE в пайплайне
• CI/CD с security-gates — проверки безопасности на каждом этапе деплоя
• SIEM, ELK — мониторинг, корреляция событий, реагирование на инциденты
• Управление секретами, IaC, защита API и фаерволы
• Финальный проект: end-to-end DevSecOps-инфраструктура с документацией — в портфолио или как база для продакшена
🎓 Сертификат по завершении — добавьте в резюме или LinkedIn
🚀 Скидка 25% — действует 48 часов
👉 Пройти курс на Stepik
ИИ-инструменты, облака, автоматизация — всё это стало стандартом. И ровно поэтому защита инфраструктуры стала не опцией, а необходимостью. DevSecOps — навык, который всё чаще требуют от инженеров любого профиля. Глубоких знаний в ИБ не требуется — всё нужное объясняется прямо в процессе.
• Docker, Kubernetes — безопасная сборка, политики доступа, аудит образов
• SAST, DAST, SCA — анализ кода и сканирование зависимостей на CVE в пайплайне
• CI/CD с security-gates — проверки безопасности на каждом этапе деплоя
• SIEM, ELK — мониторинг, корреляция событий, реагирование на инциденты
• Управление секретами, IaC, защита API и фаерволы
• Финальный проект: end-to-end DevSecOps-инфраструктура с документацией — в портфолио или как база для продакшена
🎓 Сертификат по завершении — добавьте в резюме или LinkedIn
🚀 Скидка 25% — действует 48 часов
👉 Пройти курс на Stepik
🌚8👀5❤3🗿3✍1
Samsung 850 Pro уже 14 лет (122 380 часов наработки). S.M.A.R.T. говорит, что осталось 98% жизни. Как такое возможно, им всё ещё можно пользоваться?
#предложка
З.Ы. Похоже были идеальные тепличные условия.
Типичный🥸 Сисадмин
#предложка
З.Ы. Похоже были идеальные тепличные условия.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥80❤3👍1
🧬 Ученые собрали перезаписываемый жесткий диск из ДНК
Исследователи научились не просто архивировать данные в молекулы ДНК (это умели и раньше в режиме...записал и положил в холодильник на сотню лет), а создали полноценный многоразовый носитель. Теперь эту био-флешку можно стирать и переписывать по кругу, прямо как обычный хард😮
Внутри сплошной киберпанк. Чтобы записать инфу, бинарный код конвертируют в последовательности нуклеотидов (A, C, G, T) с помощью алгоритма frameshift encoding. А для чтения используется сенсор-нанопора... нить ДНК протаскивают через микроскопическое отверстие, электроника замеряет колебания электрического сигнала и расшифровывает их обратно в нули и единицы. По сути, получилась классическая логика контроллера HDD, только на молекулярном уровне.
Профиты технологии очевидны. Плотность записи такая, что в одной пробирке можно унести бэкапы ДЦ среднего гиперскейлера. Плюс нулевое энергопотребление в режиме простоя и срок хранения в несколько столетий. Никакой деградации ячеек, как в SSD, и никаких заклинивших головок.
Однако до коммерческого прода и компактных USB-свистков с ДНК еще пройдут годы. Но перспектива забавная. Походу в будущем придется следить за тем, чтобы полка с бэкапами случайно не мутировала🏥
Типичный🥸 Сисадмин
Исследователи научились не просто архивировать данные в молекулы ДНК (это умели и раньше в режиме...записал и положил в холодильник на сотню лет), а создали полноценный многоразовый носитель. Теперь эту био-флешку можно стирать и переписывать по кругу, прямо как обычный хард
Внутри сплошной киберпанк. Чтобы записать инфу, бинарный код конвертируют в последовательности нуклеотидов (A, C, G, T) с помощью алгоритма frameshift encoding. А для чтения используется сенсор-нанопора... нить ДНК протаскивают через микроскопическое отверстие, электроника замеряет колебания электрического сигнала и расшифровывает их обратно в нули и единицы. По сути, получилась классическая логика контроллера HDD, только на молекулярном уровне.
Профиты технологии очевидны. Плотность записи такая, что в одной пробирке можно унести бэкапы ДЦ среднего гиперскейлера. Плюс нулевое энергопотребление в режиме простоя и срок хранения в несколько столетий. Никакой деградации ячеек, как в SSD, и никаких заклинивших головок.
Однако до коммерческого прода и компактных USB-свистков с ДНК еще пройдут годы. Но перспектива забавная. Походу в будущем придется следить за тем, чтобы полка с бэкапами случайно не мутировала
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤48😁41🔥10👍2😈2
PostgreSQL и секционирование: «разделяй и властвуй!». Бесплатный урок курса «PostgreSQL для администраторов баз данных и разработчиков»
Большие таблицы в PostgreSQL сначала «просто растут», а потом внезапно начинают убивать всё вокруг: запросы тормозят, вакуум длится вечность, обслуживание превращается в боль, а любой релиз страшно трогать. Секционирование — один из немногих инструментов, который реально помогает вернуть управляемость и скорость, если применять его правильно.
📅 На открытом уроке 16 марта (пн) в 20:00:
— Разберём, зачем вообще нужно секционирование и какие проблемы больших таблиц оно решает.
— Пройдёмся по основным видам секционирования в PostgreSQL: по списку значений, по диапазону и по хэшу.
— Отдельно разберём декларативный подход, как современный способ секционирования: синтаксис, создание и обслуживание секций, добавление и удаление, а также сравнение со старым методом через наследование.
— В конце — лучшие практики и частые ошибки, из-за которых секционирование «не взлетает».
👉 Записаться: https://otus.ru/lessons/postgresql-dba
Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576
Большие таблицы в PostgreSQL сначала «просто растут», а потом внезапно начинают убивать всё вокруг: запросы тормозят, вакуум длится вечность, обслуживание превращается в боль, а любой релиз страшно трогать. Секционирование — один из немногих инструментов, который реально помогает вернуть управляемость и скорость, если применять его правильно.
📅 На открытом уроке 16 марта (пн) в 20:00:
— Разберём, зачем вообще нужно секционирование и какие проблемы больших таблиц оно решает.
— Пройдёмся по основным видам секционирования в PostgreSQL: по списку значений, по диапазону и по хэшу.
— Отдельно разберём декларативный подход, как современный способ секционирования: синтаксис, создание и обслуживание секций, добавление и удаление, а также сравнение со старым методом через наследование.
— В конце — лучшие практики и частые ошибки, из-за которых секционирование «не взлетает».
Урок не для тех, кто ищет одну универсальную схему «на все случаи», хочет «ускорить всё одним движением» и не готов менять модель данных и запросы под реальную нагрузку.
👉 Записаться: https://otus.ru/lessons/postgresql-dba
Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576
❤10🌚3👀2🗿1
Это мы пока времянку кинули, чтобы бухгалтерия заработала. На выходных придем, все красиво расшиваем и в лотки уложим 😬
#предложка
(Фото сделано спустя 7 лет после этого диалога).
Типичный🥸 Сисадмин
#предложка
(Фото сделано спустя 7 лет после этого диалога).
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁109😱65💯19🔥6😭5✍2
Прямо сейчас фиксируется масштабный сбой в работе Телеги. Судя по графикам мониторингов, количество жалоб пробило потолок... десктопные клиенты отвалились, веб-версия мертва, медиа не грузятся, а сообщения висят в вечном коннекте. Больше всего жалоб от юзверей из дефолт-сити и Питера.
Официальных заявлений пока нет
Если у вас всё работает, то похоже вам повезло с провайдером или вы сидите на каких-то туннелях
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👀57🫡29💊16🙏3🤷♂2😈1
В IETF (там проектируют архитектуру интернетов) внезапно осознали, что спасение веба от будущих квантовых компьютеров обернется знатной болью для сетевой инфраструктуры и серверов 🤙
Долгие годы мы пользовались классической криптографией, где ECDSA-подпись весила смешные 64 байта, и всем всё хватало. Но на горизонте замаячили квантовые компьютеры, способные помножить на ноль наши RSA и эллиптические кривые. Чтобы мировые правительства и товарищи майоры не смогли расшифровать трафик🙂 , индустрия начала перекатываться на постквантовую криптографию.
С алгоритмами обмена ключами (Kyber) всё разрулили довольно быстро. А вот когда дело дошло до сертификатов (алгоритм ML-DSA, он же Dilithium), случился былинный отказ. Новая подпись стала весить ~2.4 килобайта! А поскольку TLS-хендшейк состоит чуть более, чем полностью из цепочки сертификатов (Root, Intermediate, Leaf + всякие пруфы вроде SCT), общий вес стартового пакета раздуло с привычных 2-4 КБ до 15-30 КБ. То есть размер вырос кратно🍔
Что мы имеем с гуся? Справедливо из зала летит эникейский вопрос: "И хуле? Гигабитные каналы же!". А то, мой юный эникей, что эта жирная туша тупо не влезает в стандартное TCP-окно, которое исторически вмещает ~14 КБ (около 10 пакетов).
Начинается жесткая фрагментация, лишние обращения и задержки (особенно на мобильных линках и спутниках). А твои Nginx, HAProxy и балансировщики просто фалломорфируют от такого размера буферов клиентского хендшейка и начинают нещадно дропать пакеты, отправляя юзера в таймаут😱
Корпорации добра уже притащили в IETF проект очередной костыль, обозвав его Merkle Tree Certificates (MTC🥚 ). Идея проста... нафига гонять эту жирную простыню при каждом подключении? Давайте отдавать клиенту компактные пруфы по отдельному каналу. TLS худеет обратно, прозрачность сохраняется, все довольны, PROFIT!
Чтобы пересадить на эти костыли весь мировой зоопарк серверов, роутеров, микроволновок и браузеров, потребуется лет 10-15. Так что можем пока расслабиться по этому вопросу...😬
Типичный🥸 Сисадмин
Долгие годы мы пользовались классической криптографией, где ECDSA-подпись весила смешные 64 байта, и всем всё хватало. Но на горизонте замаячили квантовые компьютеры, способные помножить на ноль наши RSA и эллиптические кривые. Чтобы мировые правительства и товарищи майоры не смогли расшифровать трафик
С алгоритмами обмена ключами (Kyber) всё разрулили довольно быстро. А вот когда дело дошло до сертификатов (алгоритм ML-DSA, он же Dilithium), случился былинный отказ. Новая подпись стала весить ~2.4 килобайта! А поскольку TLS-хендшейк состоит чуть более, чем полностью из цепочки сертификатов (Root, Intermediate, Leaf + всякие пруфы вроде SCT), общий вес стартового пакета раздуло с привычных 2-4 КБ до 15-30 КБ. То есть размер вырос кратно
Что мы имеем с гуся? Справедливо из зала летит эникейский вопрос: "И хуле? Гигабитные каналы же!". А то, мой юный эникей, что эта жирная туша тупо не влезает в стандартное TCP-окно, которое исторически вмещает ~14 КБ (около 10 пакетов).
Начинается жесткая фрагментация, лишние обращения и задержки (особенно на мобильных линках и спутниках). А твои Nginx, HAProxy и балансировщики просто фалломорфируют от такого размера буферов клиентского хендшейка и начинают нещадно дропать пакеты, отправляя юзера в таймаут
Корпорации добра уже притащили в IETF проект очередной костыль, обозвав его Merkle Tree Certificates (MTC
Чтобы пересадить на эти костыли весь мировой зоопарк серверов, роутеров, микроволновок и браузеров, потребуется лет 10-15. Так что можем пока расслабиться по этому вопросу...
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
✍49🫡9👍4❤2🗿2🔥1🍌1