https://motherboard.vice.com/read/exploit-company-exodus-sold-firefox-zero-day-earlier-this-year

One research company gave details of the exploit method used to a defensive cybersecurity firm last year so it could protect its own clients’ systems.

Дефенсивщики, которые год сидят на зиродее "для защиты своих клиентов".

Does not compute.

Spread shit

Dec. 12th, 2016 08:35 pm
arkenoi: (default)
Решил на старости лет освоить электронные таблицы. Сраный Apple Numbers отказывается что-то считать по клеткам таблицы, в которых формулы, а не данные.

Fuck that, лучше numpy выучу.
Tags:
[Poll #2059451]

Если вы любите Телеграм, но не пользуетесь ботами, расскажите мне в комментариях, чем он лучше, например, чем Whatsapp.
Срачи про офисные пакеты не утихают много лет, я вот хотел бы поделиться простыми и очень субъективными наблюдениями. Предположим, мне нужно создать примитивный документ с разметкой, вставить туда пару таблиц и картинок, или сделать несложную презентацию, вот это вот все. Я пробовал это делать по-разному, и вот, что я имею сказать:

MS Office: Just ok. Никаких эмоций не вызывает, делает примерно то, что от него хочешь.

Google Documents: в общем работает, но очень по-спартански. Иногда выясняется, что нужной функции просто нет, но нечасто. Импорт документов из MSO регулярно доставляет мелкие проблемы типа просранного оглавления.

Apple Pages/Keynote: ВНЕЗАПНО, довольно часто экономит несколько рутинных действий тут и там, правильно предугадав, что ты сейчас хотел. Очень симпатично, но совершенно нет никакой гарантии, что документ будет так же прилично смотреться в MS Office и наоборот.

LirbeOffice: ЕБАНОЕ ВРЕДИТЕЛЬСТВО. То есть каждое действие совершается согласно некоторой внутренней логике "программистов", которая сугубо ортогональна любому естественному рабочему процессу. То есть сначала ты смотришь "что блядь оно сделало", а потом соображаешь, что в общем, это именно то, что от него следовало бы ожидать, но ТЕБЕ ЭТО НЕ НУЖНО. И так все время. Наверное, можно привыкнуть, но при отсутствии удобных шорткатов для ПОЛЕЗНЫХ (vs "ЛОГИЧНЫХ" в этой изврашенной логике) действий совершенно бессмысленно.

Подумываю, не вернуться ли на какой-нибудь ручной document markup. Пока по возможности пользуюсь Pages.
Tags:
Все, что нужно знать про "компьютеры", UX и человеческое восприятие отлично описывается историей совсем не про компьютеры.

Как-то раз я в фейсбуке спросил, почему практически все виденные мной утюги в автоматическом режиме выдают пар не в горизонтальном положении, когда гладишь, а когда ты опрокидываешь их в вертикальное и это пар тебе совершенно не нужен.

Я получил, в сухом остатке, три варианта ответов:

1) там кнопка есть, тебе что, ее нажать лень или ты не знаешь, что она есть?
2) обычные утюги говно, тебе нужно потратить несколько сотен на систему с внешней подачей пара
3) никогда не замечал, что там какие-то проблемы.

Ну, в общем-то, вот эти три сценария и описывают "почему все через жопу".
она вообще зачем в 2016 году?

Ну я понимаю, тяжелое детство, деревянные игрушки, запуск с дискеты, два МЕГАбайта оперативной памяти включая рамдиск и squashfs, вот это вот все.

А сейчас какой смысл держать этого ублюдочного кастрата на современных устройствах с гигабайтом и более оперативной памяти?
Tags:
Вот штука, которая совсем зафейлилась -- статусы в мессенджерах.

Сначала все бросились туда интегрировать ненужную херню типа "какая музыка у меня играет". Про нужную таки забыли.

В итоге случаются неприятные казусы: человек, который видит тебя "online", мысленно представляет, что ты сейчас завис над клавиатурой компьютера в легком трансе, не зная, чем тебе заняться, или треплешься с кем-то ни о чем, или смотришь бугагашечки на развлекательных сайтах.

(на самом деле такое бы называлось "free to chat", но практически не используется)

Поэтому, послав тебе несколько ссылок на что-то совсем несрочное или затеяв small talk, он рассчитывает получить довольно-таки незамедлительную реакцию. Когда этого не происходит, он думает, что достаточно привлечь твое внимание, проалекав и проаукав нужное количество раз. И обижается: как это так, ты ж явно онлайн, а разговаривать не хочешь.

А потом ты материшь его на чем свет стоит, потому что это не ты онлайн, на самом деле. Это твой клиент онлайн, который на смартфоне, лежит в кармане или на столе чорт знает где, а ты или занят, или вообще не у компьютера, или смешная третья опция.

(что должно бы быть "away" или "do not disturb", но ты, конечно, этот статус поставить забыл)

Вот.
Если бы статусы были автоматические -- а про это знает, скажем, какой-нибудь Rescuetime, если твоя параноечка позволяет сливать ему такие данные, все было бы сильно лучше.

Но нет.
Чуть более полугода назад я снес у себя везде adobe flash волевым решением.

Да в общем, ок. Недавно даже soundcloud заработал. Проблемных сайтов почти не вижу.
Tags:
С подачи [livejournal.com profile] mbravo посмотрел -- IBM запустил в образовательных целях игрушку: квантовое облако с упражнениями.

http://www.research.ibm.com/quantum/

Очень круто, при всей практической бесполезности -- завораживает, pure fucking magic.

(да, я в курсе про то, что полно симуляторов квантовых вычислений, которые можно поставить локально или посмотреть в браузере. но не то, не то.)
Tags:
NIST выпустил отчет по post-quantum crypto (коротенький и без новых откровений)
http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8105.pdf
TL;DR:

заменить на раз старые алгоритмы на новые заморочно (размер ключа обычно сильно больше), гарантированной устойчивости к квантовым вычислениям нет ни у какого шифрования, прочем, это ничем не лучше сегодняшней ситуации с существующими криптосистемами с открытым ключом. А вот с подписью на основе хэша все ок.

It seems improbable that any of the currently known algorithms can serve as a drop-in replacement for what is in use today. One challenge that will likely need to be overcome is that most of the quantum-resistant algorithms have larger key sizes than the algorithms they will replace. This may result in needing to change various Internet protocols, such as the Transport Layer Security (TLS) protocol, or the Internet Key Exchange (IKE). The ways in which this should be done must be carefully considered.
We note that none of the above proposals have been shown to guarantee security against all quantum attacks. A new quantum algorithm may be discovered which breaks some of these schemes. However, this is similar to the state today. Although most public key cryptosystems come with a security proof, these proofs are based on unproven assumptions. Thus the lack of known attacks is used to justify the security of public key cryptography currently in use. Nonetheless, NIST believes that more research and analysis are needed before any of the above proposed post-quantum algorithms could be recommended for use today. They have not received nearly as much scrutiny from the cryptographic community as the currently deployed algorithms. One exception is hash-based signatures, whose security is well-understood. For certain specific applications, such as digital code signing, hash-based signatures could potentially be standardized in the next few years.


DJB пинает QKD
https://sidechannels.cr.yp.to/qkd/holographic-20160326.pdf
(плюс у него развеселый срачик в твитере)
Как вы наверное знаете, я последнее время слегка упарываюсь по этой теме (больше в инфраструктурном аспекте, но и про безопасную разработку тоже интересуюсь)

Ситуация интересная: моновендорские решения говно. Полностью опенсорсные решения совсем говно. Но при желании и наличии некоторого количества ресурсов можно сколхозить некоторый кастомный вариант, который всех порвет. Ну и как водится, у меня есть своя idee fixe, как за малые деньги сделать то, что вендоры и интеграторы не дадут за большие в аспекте достоверности результатов, анализа рисков и превращения всего этого в actionable items.

Но я старый пионэр, много знаю. Поэтому не могу не вспомнить, что еще лет десять (скорее пятнадцать-двадцать, но десять все еще да) не менее неистово и не более продуктивно упарывался по теме фаерволов. И то же самое вроде было: моновендорские решения говно, позиционирование невнятное, хочешь хорошо -- собирай из зоопарка и костылей.

Что я упустил тогда в более крупной картинке? Коммодитизацию и место фаервола в общей картине безопасности сети. Да, я оказался прав в том смысле, что фаервол никуда не делся и все пророки его смерти несли какую-то лажу. Что я не понял -- это то, что коммодитизация привела к тому, что в общем случае тебе настолько не до того, какой у тебя фаервол, что забивать голову деталями технической реализации уже нет никакого смысла -- особенно, если ты за регулярно упоминаемой мной "чертой бедности" инфобеза, т.е. не в fortune 1000 и не в банкинге/финтеке/других отраслях с аномально высоким бюджетом на безопасность. У тебя есть слишком много другой головной боли. Бери с полки любой продукт, если там нет очевидных факапов (привет, Palo Alto) и он будет работать. Нужна дополнительная функциональность -- опять же, она есть у любого крупного вендора. Что твои админы знают, то и сгодится. А у кого внутри asic быстрее или стейт-машина корректнее -- да б-же упаси вникать в такую ерунду.

Я делал тогда много прогнозов, большая часть сбылась, некоторые нет. Например, я пророчил большое будущее XML-фаерволам, потому что считал, что это важно. Я до сих пор считаю, что это крутая недооцененная технология, но дорогая, заморочная, требующая иных подходов при проектировании и самое главное -- я не вижу в типовой организации "покупателя", готового драйвить ее внедрение. Просто разработать детальную модель рисков, которая оправдает ее применение уже для большинства слишком дорого. Помогла бы она предотвратить хоть один из громких инцидентов последних лет? Сомневаюсь. Ну и чорт тогда с ней. Может, военным пригодится. У них уже есть хорошее кладбище на заднем дворе, начиная с десктопов с мандатным контролем доступа.

Да, так вот, возвращаясь к continuous vulnerability management -- не ждет ли и тут нас коммодитизация? Нужно ли мне пилить очередной простиг-ди openfwtk (кто помнит), если в ближайшее время вендорские решения станут достаточно хороши, финансово доступны и значительно более функциональны, чем очередной конструктор от команды энтузиастов?

P.S. комментируйте лучше здесь, на комментарии в фейсбуке я отвечу не раньше, чем завтра.
А, забыл рассказать, какой развлекухой была собственно установка системы на старый макбук. Я поставил туда новый старый ssd, который вынул из thinkpad'а и решил взворотить на него систему. Взял dmg ретейлового Lion'а, сконвертил в ISO, записал unetbootin'ом, тыр-пыр -- не едет. Видит оставшийся на том ssd центос и презрительно именует его "windows".

Начал гуглить. Выяснилось, что маку для efi boot флэшки надо размечать с особыми приседаниями. Но можно сказать dd с iso на флэшку и там типа все будет.

Тыр-пыр -- не едет.

Начал гуглить дальше. Все советуют "пиши на маке". На своем не могу: забыл заказать переходник с гейского USB на обычный, флэшку в него не вставить, в нашем городе в компьютерных лавках этих переходников почему-то нет, хотя по идее, распространенный копеечный предмет. Ладно, завел десктоп жены, воткнул флэшку, записал.

Тыр-пыр -- не едет.

И тут Зоркий Глаз понял, что у сарая нет одной стены! Точнее, заглянув в содержимое .dmg, я обратил внимание, что там нет нихерашеньки никакого бутлоадера! Только OS X Lion Install App чи как там ее. И так во ВСЕХ образах инсталляшек, которые есть на kat.cr с приличной репутацией. Кроме одной сраной девелоперской превьюхи!

Это ПОТОМ мне объяснили, что внутри dmg есть еще один dmg, и вот на нем-то и лежит загрузочный образ, чтобы ты мог ставить образ, пока ставишь образ!

Ну вот ее я в итоге и поставил, она сама себя проапдейтила до нормального Lion.

Но бля!

Ну и кстати, пока не разметишь диск с помощью disk utility, инсталлятор его не видит. Это логично, но для системы для домохозяек несколько контринтуитивно.
Tags:
http://finance.yahoo.com/news/execs-not-responsible-cybersecurity-132538945.html

90% топ-менеджеров не в состоянии прочитать отчет о кибербезопасности.
Это нормально, это означает, что ИБ ниасилили родить такой отчет, в котором было бы написано то, что им интересно прочитать. Примерно ожидаемо.

Но 40% считают, что вообще не отвечают ни за безопасность организации, ни за сохранность данных клиентов. "Не ощущают ответственности".

Да охуеть теперь. Этим блядям платят охулионы долларов за то, что они как кокеточка теперь расскажут, что я не я, лошадь не моя?

Поясняю: менеджер -- это такой чувак, который отвечает за то, что у него происходит. В том числе за вещи, в которых он нихуя не понимает: его, блядь, годами учили, как обращаться с тем, чего не понимаешь, чтобы оно работало и приносило деньги. Если ты так не умеешь, ты не менеджер, а говно.

У меня есть пример родной сестры -- она финансист и нихуя не знает про IT от слова совсем. Но когда у них в компании IT начало хуевничать и ссать всем в уши на своем птичьем языке, она просто пошла и стала задавать вопросы. В основном всего три: "почему?" "что из этого получится?" и "сколько денег стоит это исправить?". Если ответ был на technobabble, она опять просила объяснить те аспекты, которые интересуют бизнес, а не техников. И нормально, выяснилось, что никаких пиздецовых неразрешимых проблем нет, а есть долбоебы, которые не хотят работать.

Вот она -- хороший менеджер.

А этим мудилам за что деньги дают?
Как некоторые обратили внимание, RHEL/CentOS до сих пор не выпустили патча для CVE-2016-2851.

Конечно, атака не очень практичная, требует вливания гигабайтов данных и вы ее, наверное, заметите. Но.

Можно все обновить.

Описание ебли вприсядку )
Все-таки выяснилось, что из CentOS6 беспроблемный десктоп не получается. Например, HEVC есть только в vlc, причем vlc только с atrpms, а там собирают вообще упоротые люди, которые хотят даунгрейда целой кучи пакетов. Можно было бы заняться своим репозиторием, но жить ему осталось слишком недолго, что имело смысл морочиться. Да и вообще я слишком стар для этого дерьма. Когда умрет этот ноутбук (IBM T61), десктопный линукс у меня окончательно переедет в короткоживущие виртуалки.
У меня есть вопрос, который я в т.ч. задавал известному в определенных кругах Windows-евангелисту в каком-то трояносраче ("а вот теперь и под ваш Linux есть трояны-шифровальщики"), а он мне ничего не ответил и почему-то потер все мои комменты в этой ветке.

Вопрос этот простой: зачем СЕЙЧАС, в 2015 году, операционная система Windows по-прежнему имеет в качестве действия по умолчанию на произвольный исполняемый файл в случайном месте по дабл-клику -- запустить его? Если бы этого не было, проблема с троянами и малварью волшебным образом бы урезалась на десятичный порядок, как мне кажется.

Я примерно понимаю, зачем это БЫЛО сделано. В ранних версиях Windows постоянный запуск чорт знает чего чорт знает откуда был базовым рутинным процессом, вмешиваться в который было смертельно с точки зрения UX. Но сейчас-то!
Ну расскажите мне еще о том, какие всегда офигенные шрифты у Apple, не то что во всяких прыщелинуксах.

Screenshot 2015-10-23 17.11.04

(этот шедевр креативного кернинга -- дефолтный сериф, если что)
Tags:

Прыщи

Oct. 9th, 2015 03:07 pm
arkenoi: (atwork)
Поставил libpurple-facebook , он проработал месяц и тупо сдох.

Сцукерберг, верни XMPP!
Tags:
У меня тут от кучки дискуссий в социальных сетях очередной раз слегка кровоточат глаза. На этот раз на тему криптолокеров.

Люди на ПОЛНОМ СКОТСКОМ СЕРЬЕЗЕ обсуждают, насколько от криптолокеров помогает всякая advanced antimalware, защита от 0-day через сэндбоксинг и профилирование, белые списки приложений, вот это вот все.

ААААААААА!!!!!

Мои попытки объяснить, что это все решения для компаний, зрелость которых в ИТ и ИБ минимум на два очевидных уровня выше, чем та, при которой может беспокоить криптолокер, не приводят ни к чему.

И да, еще есть люди, которые верят, что проблемы решаются покупкой чего-то. И что менять бизнес-процессы ИБ никто не пустит, а вот денег купить это что-то, пусть задорого и без разумной отдачи, найти куда легче.
http://www.phdays.ru/program/40974/ спешите видеть (прямую ссылку на видео дать не удалось, но оно там есть): Лаборатория Касперского vs тролль ,лжец и девственник показывают на Positive Hack Days веселое шоу "есть два стула"! Реакция публики доставляет.

Profile

arkenoi: (Default)
arkenoi

January 2017

S M T W T F S
1234567
891011121314
1516 1718192021
22232425262728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 25th, 2017 12:41 am
Powered by Dreamwidth Studios