Типичный Сисадмин

🚧 Чебурнет выходит на аппаратный уровень. Расширение заграничных каналов связи заморожено ⚰️ Если ето думал, что бесконечные игры с DPI и шейпингом VPN-трафика это пик фантазии Минцифры, то снимаем шапочку из фольги. Нас ждут суровые законы физики. Как пишет РБК... топовые магистральные операторы подписали мораторий на расширение пропускной способности зарубежных каналов связи. В чем гениальность плана? Трафик внутри РФ стабильно растет на 20-30% в год. А с массовым исходом юзеров в VPN объем трансграничного трафика вообще улетел на +50% за только за 2025 год. Если раньше операторы просто докупали порты и расширяли оптику на западных узлах, чтобы пакеты бегали свободно, то теперь им это делать накладно. Рассудили просто... зачем тратить гигантские вычислительные мощности ТСПУ на фильтрацию терабитов зашифрованного мусора, если можно просто не дать этому мусору пролезть в страну? 🚫 Каналы переполнятся естественным путем. Начнутся дикие дропы пакетов, задержки улетят в сотни миллисекунд, а зарубежный интернет сам по себе превратится в медленное, лагучее болото. Но капитализм спешит на помощь, с нюансами конечно 🤑 ... поскольку расширять канал в Европу нельзя, транзитный зарубежный трафик (а любой VPN - это именно он) станет дефицитным ресурсом. Провайдеры будут вынуждены либо жестко резать его, отдавая приоритет коммерческим клиентам, либо вводить конские тарифы на доступ к забугору (тот самый налог на VPN 😭). Заодно лица принимающие решения надеются, что деградация каналов заставит зарубежные сервисы, которые еще хотят работать в РФ, перенести свои CDN-сервера внутрь страны (прямо под колпак СОРМ) 👮‍♂️ Это даже не Оруэлл, это какой-то кибер-Кафка 👾 Грустная история... законы физики и пропускной способности оптоволокна не обойдешь никаким хитрым протоколом или туннелем. Если канал забит, то зашифрованные пакеты будут стоять в очереди вместе со всеми. Как говорится... за здравие🕯 Готовимся к тому, что скоро зарубежный интернет будет грузиться со скоростью dial-up модема из начала нулевых. Запасаемся локальными кэшами и учитмся жить в уютном, изолированном цифровом интранете 🥺 Типичный 🥸 Сисадмин

Тот случай, когда старые бэкапы наконец-то принесли реальную пользу 👴 Типичный 🥸 Сисадмин

Переезд с Windows без кнопки «боль» разблокирован — всё на вебинаре по Astra Migration! «Группа Астра» анонсирует свой новый продукт, который автоматизирует переезд с Windows на Astra Linux. В программе вебинара: ✔️ Какие задачи решает Astra Migration. ✔️ Как администратору запланировать переход, настроить сценарии и волны миграции, отслеживать результаты. ✔️ Как уведомить работника о предстоящей миграции, чтобы не прервать бизнес-процессы. Самый большой блок посвящен живой демонстрации работы решения. Вы сможете сразу оценить Astra Migration в деле.

Пользователи спокойно переезжают на Astra Linux. Администраторы — выдыхают.

Когда: 23 апреля в 11:00 МСК 🔵 ЗАРЕГИСТРИРОВАТЬСЯ

Гоблин-инженер тащит лут в свою пещеру 🤬 Типичный 🥸 Сисадмин

💰 12 миллиардов выделено на новые ТСПУ Компания «РДП.РУ» (монопольный производитель ТСПУ) ВНЕЗАПНО получила финансовый буст поистине эпических масштабов. Материнская структура АО «Градиент» (которой владеет «Ростелеком») вкачала в разработчика почти 12 ярдов рублей. Сначала это оформили как мутный долг от неназванных участников, а в феврале 2026 года ловко провели допэмиссию акций и долг списали. Уставной и добавочный капиталы конторы взлетели в небеса. Зачем разработчику DPI-железок внезапно понадобился бюджет небольшой африканской страны? Всё просто. Минцифры приказало, чтобы к концу 2026 года через фильтры проходило 100% вообще всего российского трафика, а к 2030 году суммарную пропускную способность ТСПУ нужно раскачать до 954 Тбит/с 😶 Чтобы переваривать такие объемы данных и на лету рубить хитровыдуманные туннели, нужно очень много железа. Вот Ростелеком и накачивает свою дочку деньгами, чтобы та успела наклепать тысячи новых DPI-нод и распихать их по стойкам всех провайдеров страны. Война с телеграмом и VPN - это, оказывается, невероятно прибыльный бизнес 💰 Халявные отвалы блокировок из-за нехватки мощностей скоро закончатся. На 12 миллиардов рублей можно накупить столько всего, что ТСПУ смогут заглядывать не только в SNI-заголовки, но чью-то душу 🙂. Так что... думаем. Гонка вооружений переходит в тяжелую весовую категорию 💪 Типичный 🥸 Сисадмин

👺 Похоже джуны-пентестеры больше не нужны. Ребята из PurpleAILAB выкатили в опенсорс проект Decepticon - автономного ИИ-агента, который делает полноценный Red Teaming. Это полноценный многоагентный фреймворк на базе LangGraph, который имитирует реальный, выверенный процесс пентеста. Перед тем как отправить хотя бы один пакет, агент Soundwave генерирует полный пакет документации (RoE, ConOps, план деконфликтинга и OPPLAN) и только потом в дело вступают боевые агенты (Recon, Exploit, Post-Exploit) ⌨️ Внутри всё очень красиво и параноидально: 🟢Два физически (сетевых) изолированных контура. Менеджмент (LLM, БД) живет в одной сети, а боевой инстанс (Kali Linux sandbox) - в другой. Связь между ними идет через сокет Docker. Никаких утечек ключей. 🟢Агенты умеют работать в интерактивных консолях (Metasploit, Sliver C2) через персистентные tmux-сессии. ИИ сидит в шелле, ждет выхлопа данных и шлет Ctrl+C, Ctrl+Z, если что-то зависло. 🟢По дефолту завезли интеграцию с популярным C2-фреймворком Sliver (поднимается в отдельном контейнере). Агент умеет генерить импланты, раскидывать их по сети и собирать креды. Разрабы говорят, что конечная цель - создание вакцины для конкретного предприятия. Идея в том, чтобы натравить этого автономного ИИ-агента на корпоративную сеть 24/7, чтобы Blue Team непрерывно обучался на сгенерированных атаках ⚔️ ⚔️ Профессия джуна-пентестера, который умеет только запускать сканеры уязвимостей закончилась ⚰️ Типичный 🥸 Сисадмин

😶 ВНЕЗАПНО: Генпрокуратура просит легализовать доступ к смартфонам без ордера. Тут на заседании Совфеда генпрокурор РФ Александр Гуцан выдал потрясающую базу... оказывается, внесудебный доступ к мобильным устройствам граждан и централизованным базам IMEI невероятно упростил бы работу полиции. По логике ведомства, преступники нынче пошли хитрые... сидят за NATами, юзают даркнеты и анонимные симки. А ходить каждый раз в суд за бумажкой, чтобы получить легальный доступ к логам и деанону конкретной трубы - это неэффективный устаревший процесс. Гораздо удобнее дать доступ на чтение любых идентификаторов и содержимого устройств без всяких там судебных костылей. Кстати и не поспорить... это действительно удобно, но есть нюанс 😰 Правда, Гуцан тут же деликатно добавил, что конституционные права граждан нарушать нельзя, поэтому тут надо "тщательно проработать" 😱. Получается идеальный и грамотный баланс: мы вскроем вашу переписку без суда, но сделаем это максимально уважительно к Гражданам и Конституции. Как думаете, заявления генпрокурора это оговорка или это официальный анонс грядущего обновления? 🤔 Если примут, то получается, с точки зрения Матрицы 👾, твой смартфон это не твое личное пространство. Это выданный тебе в аренду аппаратный зонд, датчик телеметрии (GPS-трекер, микрофон и сниффер социальных связей), за который ты еще и сам платишь абонентку. И если этот зонд вдруг начинает скрывать логи за криптографией, значит, систему надо пропатчить на законодательном уровне. Удобство правоохранителей будет доминировать над приватностью био-юнита. Когда ордер для доступа перестанет быть нужным, ваша приватность будет обеспечивается исключительно стойкостью пароля при холодном старте системы... ну с само собой - анлоком до рута ⌨️ Еще один гвоздь в крышку гроба приватности ⚰️ Типичный 🥸 Сисадмин

🚧 Час икс наступил. Как и обещали, 15 апреля корпоративный антифрод крупнейших ру-сервисов перешел в боевой режим. Если кто заворачивает весь трафик (маршрут 0.0.0.0/0) в туннель, то приложухи выдают плашки "Доступ ограничен", "Нет интернета" или просто крутят бесконечный лоадер. Типичный 🥸 Сисадмин

👨‍🦳 Зачищается рынок от мелких провайдеров ради СОРМ Минцифры выкатило проект реформы телекома. В случае одобрения - цены на домашний интернет улетят вверх, а мелкие провайдеры отправятся на свалку истории 😢 Исторически российский телеком развивался как Дикий Запад. Любой толковый айтишник мог открыть ИП, кинуть опту по крышам спального района и демпинговать цены, отбирая клиентов у крупняка. Но решили эту вольницу прекратить. Правила меняются кардинально: 🟢 Оказывать услуги связи смогут только юрлица (ИП идут лесом). 🟢 Минимальный уставной капитал провайдера повышают с 10к рублей до 5–100 миллионов (зависит от типа лицензии). 🟢 Сами лицензии на связь становятся платными (от 1 до 50 млн рублей). 🟢 И... снимается мораторий на плановые проверки 😮 В чем был баг системы? Сейчас мелкий провайдер получает лицензию, а потом у него есть 1.5-2 года льготного периода на то, чтобы купить и поставить у себя дорогущую СОРМ-коробку. Что делали хитрые местечковые провайдеры? Они работали два года, собирали абонентскую плату, а перед дедлайном проверки просто банкротились и так далее по кругу. По новым правилам ты не имеешь права оказать услугу ни одному абоненту, пока не сдашь ФСБ полностью рабочий и подключенный узел СОРМ 👮‍♂️ Парадокс в том, что российский интернет стал таким доступным именно благодаря пионернетам из нулевых. Дикая конкуренция в каждом подъезде заставляла операторов тянуть гигабит за копейки и прислушиваться к пользователю. Теперь же рынок ждет монополизация. Мелкие домовые и региональные сетки не потянут такие вливания. Они будут вынуждены либо закрыться, либо продаться. Что мы имеем с гуся 🦆? Теперь, когда на рынке останется только несколько гигантов, на которых повесили затраты по закупке железа, эти затраты предсказуемо упадут на конечного юзера 😕 Типичный 🥸 Сисадмин

🧅Tor-ноды научат страдать амнезией. Если кто когда-нибудь мечтал поднять свою выходную ноду для сети Tor, чтобы нести в мир свободный интернет ☀️, то наверняка тебя останавливал один нюанс. Рано или поздно в твою дверь могут постучатся, с последующим дампом логов и тд. 👮 Разрабы Tor Project (в коллабе с параноиками из Osservatorio Nessuno) решили, что раз физический взлом серверов неизбежен, значит, нужно сделать его абсолютно бессмысленным. Они планируют пилить тотальный переход на бездисковые узлы, которые живут исключительно в оперативной памяти и забывают всё при первой же перезагрузке или выдергивании питания. Epic Win! Но архитектура Tor построена на системе репутации (это важно для статуса, альтруизма и в исследовательских целях... иного профита нет 🤑). Чем дольше твоя нода живет в онлайне и стабильно гоняет трафик, тем больше доверия и нагрузки она получает от сети. Эта репутация жестко привязана к долговременному криптографическому ключу идентификации, который лежит на диске. Если RAM-нода ребутается и теряет этот ключ, то она превращается в ноунейм-узел и начинает зарабатывать репутацию в сети с нуля. Встал вопрос... а как сохранить личность ноды без жесткого диска, чтобы ключ нельзя было скоммуниздить при физическом доступе к серверу? 🤔 Правильно, зашить его на аппаратном уровне. Разрабы предлагают юзать модуль (Trusted Platform Module). Ключ намертво запечатывается внутри крипточипа на материнке и привязывается к эталонному состоянию загрузчика и ОС. Если кто ВНЕЗАПНО изымает сервер и пытается загрузиться с левой флешки, подкидывая свой патченный образ ядра или просто выпаяет чип... то хэши не совпадут, и TPM откажет в доступе, наглухо заблокировав отдачу ключа 🚪 Но проблема в том, что TPM-чипы в массе своей не умеют аппаратно работать с ключами ed25519 (которые юзает Tor). Поэтому ключ всё равно приходится хранить в энергонезависимой памяти (NVRAM) самого TPM в зашифрованном виде. Теоретически, при наличии бюджета на электронные микроскопы и заряженную лабу, его всё еще можно оттуда выковырять 😱 Вторая боль - обновления. Как только владелец ноды накатываешь патч на ядро, хэш системы меняется. TPM видит изменения, ПАНИКУЕТ и блокирует ключ. Поэтому придется перед каждым апдейтом пересчитывать и переподписывать доверенные состояния загрузки. Сплошной гемор для тех, кто привык к apt-get upgrade. Самая безопасная информация - это та, которой физически не существует 👾 Типичный 🥸 Сисадмин

Аппаратный межсетевой экран ИКС: железная надёжность Программно-аппаратные комплексы ИКС RF50 и ИКС RF700 обеспечивают комплексную защиту сети: контроль доступа, фильтрацию трафика и предотвращение атак. Сертифицированная безопасность: • в Реестре Минпромторга России • сертификат ФСТЭК № 4832 от 02.08.2024 Аппаратные комплексы ИКС - сбалансированное по цене и производительности решение: ⚡ совместимость с сетями любой архитектуры ⚡ бесшовная интеграция ⚡ быстрая доставка ⚡ до 3 лет гарантии ⚡ профессиональная техподдержка Подробнее о характеристиках платформ и функциональных возможностях программной части на сайте разработчика. Перейти на сайт #реклама 16+ xserver.a-real.ru О рекламодателе

🤗 ВНЕЗАПНО! Теперь планируют устроить принудительную инфо-лоботомию по встраиванию "Дзен" в каждый утюг. По инсайдам Коммерсанта, в мае 2026 года на стол депутатам ляжет законопроект о создании Национальной информационной платформы. Базой для этого назначили... барабанная дробь... VK-шный Дзен 😂 Абсолютно все российские сервисы с аудиторией свыше 5 миллионов юзеров (маркетплейсы, поисковики, соцсети, видеохостинги) законодательно обяжут жестко вшить на свои главные страницы новостной виджет Дзена. Зашел на ВБ - вот тебе блок из топ-5 правильных новостей. Открыл онлайн-кинотеатр - вот тебе кнопка с переходом на топ-15 инфоповодов. Грамотно 🎩 Тут надо остановиться и поаплодировать выбору платформы. Дзен исторически славится своей уникальной алгоритмической лентой, которая генерирует эталонный, кристально чистый инфомусор. Статьи в духе (ШОК! Чтобы суставы не болели, нужно на ночь прикладывать простой советский...), обзоры тещиных блинов, кликбейт, теории заговора и копипаста отовсюду. И вот этот генератор кринжа теперь станет официальным главным рупором. Вместо рецепта кабачков будут прямо в корзине Яндекс.Еды транслировать главное 👍 Можно задаться вопросом... а зачем понадобилось применять такое грубое проникновение в чужие сервисы и проекты? Авторы презентации даже не скрывают причину, сообщая, что официальные медиа стремительно мрут ⚰️ С 2022 года аудитория традиционных СМИ рухнула на 30–70%. Телевизор зумер не смотрит, на сайты официальных газет не заходит. Пользователь окончательно разбежался по нишевым ТГ-каналам, и теперь решается вопрос а том, как грамотно кормить его правильными новостями. Не хочешь читать газету Жизнь? Мы покажем ее заголовки на экране твоего банковского приложения 🏥 А теперь рубрика "в чем ПРОФИТ"... схема монетизации - мое увожение 🎩. Реклама будет крутиться внутри статей Дзена, а бабки попилят: 50% отдадут площадке, куда вшили виджет (чтоб ИТ-гиганты не сильно выли от потери конверсии), а остальное пустят на субсидии этим самым умирающим СМИ... пользователи скинутся вниманием. Идёт подготовка нанесения коврового удар по остаткам твоего информационного пузыря 😬. Придется более точечно резать виджеты Дзена через Pi-hole или Адгуард, или фильтры в uBlock Origin, ибо информационный детокс в 2026 году окончательно переходит в разряд хардкорных технических дисциплин ⌨️ Типичный 🥸 Сисадмин

🚧 Банки и маркетплейсы начали отстрел VPN-юзеров Помните недавний пост о том, как Минцифры рекомендовало IT-крупняку к 15 апреля внедрить у себя блокировку юзеров, которые заходят на их платформы через VPN? Так вот, час икс (15 апреля) наступит только завтра, а эффективные менеджеры уже выкатили патчи на прод. СМИ и рядовые юзеры пишут... Сбер, Т-Банк, Яндекс, Wildberries и даже Госуслуги начали дропать сессии, если ты сидишь под VPN. В приложении при этом просто вылезает заглушка (Нет интернетов) или крутится бесконечный лоадер. Причем отлетают даже белые корпоративные туннели удаленщиков (тот же Cisco AnyConnect), потому что антифроду глубоко нет дела на нюансы - он бьет по площадям и аномалиям (нестыковка таймзоны, странный TTL, заморская ASN) 😶 Пока юзерам перекрывают кислород за включенный туннель, на другом конце Рунета творится эталонный киберпанк... госзакупки прямо сейчас завалены свежими тендерами... администрации 20 регионов РФ закупают себе коммерческие VPN-сервисы на 300 лямов деревянных (официально "для оповещения населения"). Эпоха одной кнопки завершена. Типичный 🥸 Сисадмин

Опасный метод. Знаю много спившихся коллег. @itmemas

Использование BGP для маршрутизации IPv6. Бесплатный урок курса «Сетевой инженер. Продвинутый уровень» IPv6 уже давно перестал быть «технологией на потом», но на практике у многих инженеров остаются вопросы не по самому адресу, а по маршрутизации. Особенно там, где в игру входит BGP и нужно понимать, как меняется обработка маршрутов в новой адресации и что именно делает многопротокольное расширение BGP. 📅 На открытом уроке 21 апреля в 20:00: — Разберём, как BGP работает с IPv6 и зачем нужны многопротокольные расширения. — Посмотрим, как происходит обмен маршрутной информацией IPv6, чем обработка маршрутов отличается от IPv4 и какие нюансы нужно учитывать при проектировании и эксплуатации современной сети. — Отдельно обсудим практические сценарии применения BGP для IPv6 в реальной инфраструктуре.

Урок не для тех, кто хочет «просто включить IPv6», не понимая логики маршрутизации, или рассчитывает, что BGP для IPv6 работает ровно так же, как для IPv4, без важных отличий.

👉 Записаться: https://otus.ru/lessons/setevoy-inzhener Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Так выглядит отчаяние 😭 Типичный 🥸 Сисадмин

50 миллионов Android-устройств светили данными через один кривой SDK ⌨️ Microsoft нашла уязвимость в EngageLab SDK - сверхпопулярный костыль для разрабов, который массово встраивают в приложения для рассылки пуш-уведомлений и in-app сообщений. Индусы-аутсорсеры, писавшие этот код, оставили там уязвимость перенаправления интентов. Для тех, кто не курил мануалы ведроида:

Intent (интент) - это базовый механизм обмена сообщениями и командами между компонентами внутри ОС. Из-за дырявой логики валидации в EngageLab SDK, любая сторонняя малварь, живущая на том же телефоне, могла скрафтить хитрый пейлоад, пробросить его через уязвимое доверенное приложение и тупо обойти изоляцию песочницы.

Получив привилегии уязвимого аппа, атакующий мог незаметно парсить локальные файлы, дергать сессионные токены, воровать учетки и вычищать финансы. Из 50 миллионов установок дырявого SDK, как минимум 30 миллионов пришлось на различные криптовалютные приложения и кошельки... сколько же могло быть слито приватных ключей и сид-фраз 😮 Баг поселился в коде еще в версии 4.5.4 (апрель 2025 года), а пропатчили его только в версии 5.2.1 (ноябрь 2025). То есть больше полугода огромный пласт хомяков ходил с распахнутым бэкдором, даже не подозревая об этом. А, куда смотрел Google Play Protect? А никуда 🙂. Только после публичного пинка Гугл зашевелился и начал удалять из Play Store все приложения, которые не обновили зависимость EngageLab до безопасной версии. Не ставьте левые крипто-помойки... и помните, любая секурная песочница защищает вас ровно до тех пор, пока очередной пуш-провайдер не пустит ее по звизде одним кривым интентом 🎩 Типичный 🥸 Сисадмин

🐧 Линус выкатил ядро Linux 7.0 Торвальдс принял больше 11 тысяч коммитов. Начнемс с фундаментального. Во-первых, поддержка Rust в ядре лишилась статуса экспериментальной. Язык закрепился в мейнлайне окончательно. Во-вторых, разрабы провели рефакторинг работы с памятью. Классическое выделение через kmalloc(sizeof(*ptr)) массово заменяют на макросы семейства kmalloc_obj(), которые работают на основе типа данных, а не их байтового размера. Это на корню рубит целый класс багов с переполнением буфера из-за неверного подсчета памяти 👍 В-третьих, из ядра выкинули старый код загрузки initrd на базе linuxrc. Теперь единственным верным способом загрузки остается initramfs. По файловым системам и хранилищам завезли отличные фичи для прода: 🟢 В ядро вмерджили абсолютно пустую, неизменяемую файловую систему - nullfs. Идеальный костыль для init-процессов. Теперь юзерспейс может монтировать поверх нее нужные ФС и делать pivot_root(), не заморачиваясь с очисткой содержимого старого initramfs. 🟢 XFS получила систему автономного самовосстановления. 🟢 NFS версии 4.1 стала дефолтной. Демон NFSD обзавелся динамическим пулом потоков, который сам масштабируется под нагрузкой. Плюс закрыта старая логическая дыра... NFS больше не будет экспортировать служебные псевдо-ФС ядра (типа pidfs и nsfs), так как они требуют специфичной обработки прав доступа. 🟢 Оптимизировали сброс страниц в Zram. Раньше сжатые в RAM данные перед выгрузкой на физический диск (writeback) приходилось сначала распаковывать. Теперь механизм умеет писать на диск сжатые данные напрямую, минуя декомпрессию. Контейнерные рантаймы (Docker, Podman) смогут использовать новый флаг OPEN_TREE_NAMESPACE. Он позволяет открыть новое пространство имен монтирования без полного клонирования существующего. Старт новых контейнеров на серверах с тысячами маунт-поинтов станет ощутимо быстрее 🟢 Также ядро начало готовиться к квантовому будущему... добавлена поддержка пост-квантовых цифровых подписей ML-DSA для аутентификации модулей ядра. А в подсистему SELinux завезли контроль доступа для BPF-токенов. Никаких революций в 7.0 не произошло, просто ядро становится безопаснее, контейнеры грузятся быстрее, а легаси-код скидывают в /dev/null. Финальный стейбл ожидается в середине апреля 🐧 Типичный 🥸 Сисадмин

Я выбираю 127.0.0.1 Типичный 😬 Сисадмин