Технологический Болт Генона

https://max.ru/c/-72820676031167/AZ7ZpSm6CkE Оттепель

У кого опять githubusercontent.com в говне?

Продолжаем четверг! Слово автору @Fainful --- Всем привет! У меня есть ещё один четверговый проект: https://github.com/JoyHak/Launcher Лаунчер запускает ваши скрипты в фоне и управляет автозагрузкой. Его основное преимущество в двоякости: launcher.exe можно запустить запустить в терминале с аргументами и как обычное приложение (ака TUI + GUI support). При этом оно может в режиме silent запускать ваши скрипты и приложения после запуска системы. Если у вас настроен хороший эмулятор терминала вроде Cmder, то можно запускать ps1, sh, ... скрипты через него. launcher запускает, cmder выполняет.

launcher.ahk поддерживает только GUI. Используйте exe для обоих режимов.

Ну и самое главное: состояние любых запущенных скриптов можно увидеть, остановить нужные или перезапустить из GUI или терминала. Можно управлять параллельно из приложения и терминала. Отлично сочетается с моим киллером зависших скриптов. --- Предыдущий проект от этого же автора https://t.me/tech_b0lt_Genona/6448

Cozystack vs OpenStack: An Honest Comparison for 2026 https://cozystack.io/blog/2026/06/cozystack-vs-openstack/

When to Choose OpenStack OpenStack remains right if your organization has a mature ops team that already handles upgrades and cross-service troubleshooting — the switching cost may not be justified. If you depend on a specific Cinder backend with no Kubernetes CSI equivalent, OpenStack gives you the driver ecosystem. If you need bare-metal provisioning at scale via Ironic, OpenStack has a mature solution. And if compliance mandates OpenStack-specific certifications already audited, re-certifying is a real cost. When to Choose Cozystack Cozystack is the stronger choice if you are building a new cloud from bare metal and want to minimize operational complexity. If your team thinks in Kubernetes terms, Cozystack will feel native. If you need managed services without a separate DBaaS platform, they ship out of the box. If you want managed Kubernetes without dedicated control-plane VMs, Kamaji plus Cluster API is more efficient than Magnum. And if your upgrade strategy is “weekly without a maintenance window,” Flux-based reconciliation is built for that.

Четверг, а значит время проектов от подписчиков! 🌝 Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://t.me/tech_b0lt_Genona/4983 Слово автору @maxmur --- Всем Привет! Сегодня хочу вам показать свой проект — RS-Key, security key firmware FIDO2/OpenPGP для RP2350. Начну с небольшой предистории, почему я вообще решил его сделать. Где-то около года назад я нашёл два замечательных репозитория: https://github.com/polhenarejos/pico-fido https://github.com/polhenarejos/pico-openpgp Они имплементировали прошивку yubikey/nitrokey/... на обычной RP2350, весь софт был совместимым. Тогда я загорелся, но нашёл одну небольшую проблему — в линуксе, через firefox не работал ctap/webauthn. Тогда я принялся искать проблему, отдебажил всё что только мог, и отправил отчёт мейнтейнеру: https://github.com/polhenarejos/pico-fido/issues/129 Он увидел и понял проблему, затем написал исправление. Тогда я был счастлив, у меня был собственный юбикей за 500 рублей (Да, не такой защищенный, но об это позже), который везде работает и позволяет мне полностью посмотреть исходники того, что на нём запускается. Но продлилось это не долго) https://github.com/polhenarejos/pico-fido/commit/8b086188758ad3f60e912acd969b80d6801cfab3 > Update license models and add ENTERPRISE.md > Post-quantum (PQC) key material handling. Никогда такого не было и вот опять. Поэтому я загорелся идеей написать свою прошивку и поправить те места, которые мне не нравились. https://github.com/TheMaxMur/RS-Key/ — Реимплеметация pico-keys на Rust + вынесенные "энтерпрайз" фичи в публичный доступ + нормальная (относительно) документация. Сразу оговорюсь, да, проект навайбкожен. НО. Я замарочился с тестами, и покрыл, мне кажется, абсолютно всё, что мог: 1. Unit тесты 2. Хост тесты 3. Внешние тесты из апстрим проекта pico keys 4. Тесты с помощью либы python-fido2 от yubikey 5. Fuzzing тесты 6. Miri fuzzing тесты (спасибо коллеге из ИТМО) 7. Kani, формальная верификация важных компонентов — sdk, crypto, fs, rsa-asm, rescue 8. Тесты на самом девайсе 9. Cargo-audit + gitleaks 10. И, да, всё на расте, с минимальным количеством unsafe, каждое его использование описано и протестировано 11. Тесты с внешним софтом (ykman, yubico authenticator, opengpg) По профессии я DevSecOps, и я не мог не сделать нормальный пайплайн для этого проекта: 1. GitHub Pages 2. Scheduled fuzzing 3. Scheduled Kani 4. Scheduled builds (для поверки воспроизводимости) 5. SLSA v1.2 Build L3 (полностью докручен) + Source L3 (формально не до конца докручен, там нужно ещё пару вещей сделать, но они на стороне GitHub, а не на моей) 6. Иммутабельные релизы из CI, с хешами, подписями, SBOM, аттестацией, cosign Важно оговорится, у проекта есть модель угроз, и в ней явно прописано, что это прошивка, и проблемы RP2350 она не решает. Чип был публично взломан еще на hacking challenge 1: https://www.raspberrypi.com/news/security-through-transparency-rp2350-hacking-challenge-results-are-in/ Но это касается ревизии A2, Raspberry выпустили новую A4, в которой 3 из 4 главных проблем исправлены, для последней была предложена митигация. Моя прошивка работает как с A2, так и с A4, митигации все применены, так что вскрыть её должно быть не тривиально, но всё равно возможно, OTP это не настоящий нормальный Secure Element, но, мне кажется, Raspberry идёт в эту сторону, хотя бы частично. В любом случае, идеалогически, я готов рассмотреть только Secure Element от Tropic Square, но как купить и поиграться с ним в РФ я не знаю, если вы знаете то можете написать)) На текущий момент всё ещё идёт Raspberry Hacking Challenge 2: https://www.raspberrypi.com/news/rp2350-hacking-challenge-2-less-randomisation-more-correlation/ Пока что, на новой ревизии новых проблем зафиксировано не было, и они продлили окно тестов до октября 2026, жду, интересно посмотреть что получится. У меня есть ещё идеи как развивать проект, хочу пару вещей допилить, у меня есть мой канал @themaxmur, кому интересно, можете подписаться и следить за статусом проекта. Security Through Transparency! ---

Неоднозначная новость от FIRST которую нужно внимательно осмыслить всем ответственным за управление уязвимостями: 1. С одной стороны прогнозы по количеству уязвимостей на этот год увеличились на 46 процентов до 66000 с шансом достичь рекордных 70000 за год. 2. С другой стороны FIRST заявляет, что количество уязвимостей требующих немедленных действий почти не изменилось. Уязвимости требующие немедленных действий это уязвимости из списка CISA KEV и уязвимости с метрикой EPSS выше 10%. По моему мнению такая неоднозначность может говорить о трех причинах: 1. CISA KEV и EPSS стали неэффективным способом оценки необходимости патчинга. В пользу этой версии говорят проблемы с финансированием у CISA и ожидающийся новый релиз метрики EPSS. 2. Поток уязвимостей от ИИ и новых организаций уполномоченных на присвоение уязвимостей CNA - резко снизил общий КПД процесса поиска новых уязвимостей и требует радикального пересмотра. Эта версия также может быть поддержана теми кто считает средства ИИ экономически неэффективным. 3. Новые источники уязвимостей (ИИ и CNA) имеют аномальное распределение с почти отсутствующим количеством уязвимостей требующих немедленного патча, но другие найденные уязвимости высокого уровня риска важны для борьбы с продвинутыми атаками. Также FIRST сформировала 4 лучших практики на основе своего прогноза: 1. Планируйте свой бюджет (на управление уязвимостями) с учётом разнообразия используемого ПО, а не ориентируйтесь на новостные поводы. 2.EPSS и CISA KEV остаются эффективными инструментами для отделения сигнала от шума. 3.Учитывайте в своих планах, что до конца года текущая удвоенная нагрузка на патч менеджмент сохранится. 4. Склоняйтесь к использованию ИИ для нужд защиты. ИИ может вам помочь в снижении среднего времени на поиск и устранение уязвимостей. По мнению автора сего канала такая ситуация с уязвимостями только формирует новый запрос на квалифицированных специалистов и развитие навыков в области устранение уязвимостей.

GigaChat vs Opus в агентском аудите файрвола: попытка сравнения https://habr.com/ru/companies/ideco/articles/1047692/

Взяли один агент, один навык и одну выгрузку правил Ideco NGFW – и прогнали её через GigaChat Max и Claude Opus 4.8. Рассказываем, что из этого получилось, почему «настоящего» агентского теста не вышло и сколько всё это стоило в токенах и рублях. Если вы – банк, госкомпания или объект КИИ, отправлять выгрузку правил вашего боевого файрвола в облако Anthropic – это в лучшем случае разговор с юристами, в худшем – прямое нарушение. GigaChat от Сбера работает в российском контуре, и если он справляется с аудитом конфигураций на приемлемом уровне, это меняет картину для целого класса заказчиков. Поэтому мы взяли один и тот же агент (Hermes), один и тот же навык аудита и одинаковые входные данные – и подставили под него две модели: GigaChat Max и Claude Opus 4.8 (задумку с тестированием Claude Fable 5 для этой же задачи реализовать не удалось, со всеми нашими ИБ-скиллами он работать отказался, даже когда был доступен). Где сломался «честный» агентский тест . . . С GigaChat этот сценарий не запустился на первом же шаге. Агент не смог подключиться к NGFW по API и выполнить нужную последовательность действий – то есть споткнулся ещё до того, как добрался до самого аудита. Computer/tool use у него еще явно не достаточен для автономной работы. . . . Выгрузка – это секция FORWARD реального по структуре конфига Ideco NGFW: 104 правила, CSV-экспорт из веб-интерфейса объёмом около 34 КБ. Мы специально насытили её типовыми ошибками, которые встречаются в живых инсталляциях, чтобы было что находить. Идея простая: зафиксировать всё, кроме LLM, и посмотреть, что меняет именно модель. . . . Главный тезис отчёта Opus сформулирован верно: конфигурацию «спасает» порядок правил, но это не должно считаться надёжной защитой. Дальше – приоритетный план действий из семи пунктов. Ровно тот уровень, которого ждёшь от инженера ИБ. . . . Что увидел GigaChat Цифра 4083 избыточных правила на конфиге из 104 строк – это сразу красный флаг. Из расшифровки видно, откуда она взялась: модель посчитала «перекрытием» почти любую пару правил, где совпадает источник или назначение: Но куда серьёзнее вторая строка: небезопасных правил – 0. . . . Получился комбинаторный перебор пар, а не анализ. Получилось примерно ~5300 потенциальных пар, из которых модель отметила больше четырёх тысяч. Реального дубликата в конфиге ровно один – правило 21 повторяет 18. Остальные «перекрытия» – ложные срабатывания. Получилась картина, опасная не отсутствием ответа, а ложным успокоением: отчёт уверенно сообщает, что с безопасностью всё в порядке, при том что в конфиге заложены критические дыры. . . . Мы хотели сравнить GigaChat и Opus в агентском режиме – и не смогли: GigaChat не прошёл этап подключения к Ideco NGFW по документированному в навыке API. На упрощённой аналитической задаче по CSV разрыв оказался качественным: Opus поймал все заложенные критические и высокие проблемы и дал план действий, GigaChat свёл аудит к перебору пар правил и отчитался, что небезопасных правил нет. Практический вывод на сегодня прежний, что и в прошлой статье, но теперь с поправкой на локальные модели: - Для реального аудита конфигураций нужна сильная модель и надёжный tool calling – по обоим пунктам фронтир пока впереди. - Российские LLM критичны там, где данные не должны покидать контур, поэтому их прогресс мы продолжим отслеживать и перепроверять. - Цена за токен и объём токенов – плохой ориентир. Считайте стоимость полезного результата.

CSV с заложенными ошибками по ссылке (в комменты тоже положу) https://disk.yandex.ru/i/UW47C4fhNWEvWw

Платформа для партнеров MAX стала доступна самозанятым https://vk.company/ru/press/releases/12335/

Присоединившиеся к платформе предприниматели получают возможность создать собственный публичный канал и привлекать аудиторию, автоматизировать работу с клиентами с помощью чат-ботов, а также запустить мини-приложение для удобства клиентов.

🚨BGP Hijack Телеграмма 🇮🇳 AS18101 (RELIANCE) анонсирует префиксы AS-ок принадлежащих Telegram (🇻🇬 AS62041, 🇻🇬 AS62041, 🇻🇬 AS211157, 🇻🇬 AS44907). Вероятно для "локальной" блокировки, дабы предотвратить утечку ответов на экзаменационные вопросы.. Распространение идет через провайдеров AS18101: 🇮🇳 AS4755 (TATA), 🇮🇳 AS9583 (SIFY), 🇬🇧AS15412 (FLAG Telecom).

Помните историю, как Даниэль Стенберг (автор cURL), сгорел от нейрохрючева, которое пытались на h1 скормить как отчёты об уязвимостях? https://t.me/tech_b0lt_Genona/5314 Потом они прекратили выплаты, чтобы уменьшить поток https://t.me/tech_b0lt_Genona/6066 , но это видимо не сильно помогло и в продолжении этой темы, Даниэль сказал, что с 1 июля закрывает до 3 августа приём отчётов, чтобы реально отдохнуть curl summer of bliss https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/ Также предлагает присоединиться остальным

You too? If you and your Open Source projects also want to participate in the summer of bliss 2026: just do it and let us know! I would of course encourage you to do so. To take care of yourself as a top priority. The bad guys won’t rest Probably not. But we will.

А свежий релиз будет перенсён на сентябрь В целом, я его понимаю. cURL/libcurl это одна из "скреп" интернетов и сложно представить что происходит реально со всеми этими отчётами и багами коих, я уверен, количество немалое. Но по ленте на h1 видно, что всё равно там движухи много, не смотря на отсутствующие выплаты https://hackerone.com/curl ЗЫ Платная поддержка никуда не девается и не приостанавливается

В США хотят запретить одноразовые телефоны SIM-карты будут привязаны к ID Американская Федеральная комиссия по связи (FCC) предложила ввести новые правила идентификации клиентов операторов. Согласно этой инициативе операторы связи должны будут собирать и верифицировать персональные данные абонентов, включая имя, адрес и удостоверение личности каждого нового или продлевающего контракт абонента. В результате США станет таким же рынком, как все остальные: в мире осталось не так много стран, где можно купить анонимную SIM-карту, везде требуют паспорт.   В фильмах и сериалах нередко можно встретить ситуацию, когда полиция или ФБР не могут определить личность звонящего и говорят: «он использовал одноразовый телефон». Такой термин прижился в первую очередь потому, что традиционно в США продаются не SIM-карты, а мобильные телефоны с SIM-картой в комплекте. Это удобно: купил телефон, вытащил его из коробки и сразу начинаешь пользоваться. Особенно удобно это для преступников, которым важна конфиденциальность и которые нередко просто выбрасывают телефон после первого же звонка. Вот и прозвали такие телефоны одноразовыми.   Корни этого явления лежат в эпохе кнопочных телефонов: для личного пользования абонент обычно оформлял контракт на пару лет, а телефон (позже и смартфон) он получал в комплекте, платежи за него вшивались в абонентскую плату. Это уже после того, как Джон Легер навел суету с T-Mobile и стал призывать всех приходить с собственными SIM-картами, рынок стал меняться. Но одноразовые кнопочные телефоны никуда не делись. Борьба с ними оправдывается вполне обыденно борьбой с мошенничеством. Для россиян эта инициатива может иметь свои последствия. Для регистрации на зарубежных сервисах иногда требуется мобильный номер другой страны, а потому сформировался рынок аренды номеров, которым многие в России пользуются. Новые правила может и не уничтожат этот рынок, но точно усложнит процесс аренды и увеличит стоимость услуги. Такие площадки часто строят фермы из американских предоплаченных сим-карт или арендуют пулы у местных VoIP-провайдеров, которые если и проводят проверку клиентов, то без особого энтузиазма. Если же регулятор заставит поставщиков связи отвечать за своих абонентов, скупать номера станет рискованно.

Владельцы сайтов могут бесплатно получить российские TLS-сертификаты https://ria.ru/20260613/vladeltsy-2098780656.html

Для получения сертификата владельцам сайтов - физическим и юридическим лицам, а также индивидуальным предпринимателям — необходимо подать заявление на "Госуслугах".

Ясно

Возможно, кто-то посчитает, что я наркоман, но, кажется, гипотеза взлетела. Мне удалось без модификации кода Cilium расширить его сетевую модель так, что поверх SRv6 появился VRF-идентификатор, а вместе с ним — поддержка overlapping-сетей. Что получилось: 1. Cilium можно расширять, не правя сам Cilium. 2. Удалось собрать тенантированную сеть по смыслу близкую к kube-ovn: полноценная VPC-модель с изоляцией, своими сетями и своим контекстом маршрутизации. 3. Политику Cilium по непересечению адресов можно обойти архитектурно. В результате разные VPC могут иметь пересекающиеся CIDR и при этом оставаться изолированными. 4. Трафик без особых доработок нативно виден в Hubble. 5. С малыми доработками Hubble можно научить обогащать трейсы полезным контекстом: vpcID, subnetID, nicID и другими идентификаторами. 6. Вишенка на торте — нативные сетевые политики на базе CiliumNetworkPolicy и CiliumIdentity продолжают работать в этой модели. По сути, Cilium можно использовать не только как CNI/eBPF dataplane, а как основу для полноценной multi-tenant VPC-сети внутри Kubernetes. Самое интересное здесь не SRv6 само по себе, а то, что получилось совместить: — изоляцию VPC; — overlapping CIDR; — наблюдаемость через Hubble; — сетевые политики Cilium; — расширение без форка Cilium. Дальше нужно нормально упаковать это в понятную архитектуру, описать ограничения и прогнать больше edge-case’ов. Но как инженерная гипотеза — выглядит очень вкусно.

https://t.me/ixbtnocomments/3013 Когда играл в GeoIP и проиграл

Список отозванных сертификатов НСПК прилетело, а это всех задеть может

👮 Правительство США осознало мощь новых нейросетей Fable 5 и Mythos 5 и запретило давать к ним доступ любым иностранным гражданам (даже собственным сотрудникам). Политика снова победила инженерию, добро пожаловать в эру Цифрового Феодализма... уже сегодня 😭

Модели класса Mythos обладают беспрецедентными возможностями в сфере кибербезопасности. Они способны автономно находить сложные уязвимости в критическом софте, операционных системах и браузерах.

На данный момент Anthropic пытается оспорить решение регулятора и ведет переговоры, чтобы вернуть модели в доступ. Типичный 🥸 Сисадмин

"Домино" посыпалось дальше (https://t.me/tech_b0lt_Genona/6615) Японский GlobalSign начал отзыв «цифровых паспортов» российских сайтов https://www.rbc.ru/technology_and_media/13/06/2026/6a2d12da9a7947f7d5334aa0

Один из крупнейших глобальных центров сертификации начал отзывать сертификаты безопасности российских сайтов. Под угрозой до 20 тыс. сайтов, говорят эксперты: зарубежные браузеры могут признать их небезопасными В письме Рыжикова говорится, что Международный консорциум CA/Browser Forum (глобальный регулятор, в который входят все крупнейшие центры сертификации мира и разработчики браузеров — Google, Apple, Microsoft, Mozilla — и который устанавливает единые правила выпуска и отзыва цифровых сертификатов) утвердил обновленные требования к проверке организаций. «К нашему глубокому сожалению, текущие жесткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений, — указано в письме. ... Цаплин также отметил, что единого решения, которое закрыло бы все задачи бизнеса, сегодня нет. Сертификаты Минцифры устойчивы к санкциям, но не признаются зарубежными браузерами; переход на центры сертификации из Китая или СНГ кратно дороже и не страхует от аналогичных отзывов; использование Let's Encrypt через зарубежные прокси-серверы несет слишком высокие регуляторные риски. Главным итогом, по его мнению, станет «окончательное исчезновение бесшовного Рунета» — бизнесу придется либо разделить инфраструктуру на внутренний и внешний контуры, либо смириться с блокировками для части аудитории

И ещё один наброс ночных мыслей, пишите в ЛС или комменты, если поправить хотите, но в моей голове хронология выглядит "ровной" То что мы наблюдаем со всеми этими сертификатами это "эффект домино" как по мне, а главным триггером стало вот это событие от 01.04.2026 Операторы связи РФ отключили пополнение Apple ID с мобильных телефонов https://habr.com/ru/news/1017762/ Т.е. Apple игнорил санкции пока получал бабки. Цифр я не знаю, но думаю что достаточные. Как только это отключили, то Apple стало бессмысленно репутацию себе портить в глазах западных, денег даже теперь не получить и бюрократия сделав оборот 3 июня 2026 года (2 месяца, ага) делает ответный шаг Apple удалили Макс из стора и таким образом Макс привлёк к себе внимание со стороны остальных компаний (даже если и знали, но ничего не делали) Отозвали у Макса GlobalSign сертификат ВНЕЗАПНО 1!1!! увидев проблему Прыжок Макса на Let's Encrypt привлёк внимание к LE в свою очередь, по сути став триггером для пересмотра и внимания к остальным компаниям из РФ, в первую очередь подсанкционных и "околосанкционных. Т.е. теперь непонятно откуда и кому ловить следующую "подачу", именно с этим и связана суматоха https://t.me/tech_b0lt_Genona/6614 Выглядит так, что все всё знали, но в среднем ждали кто из больших первым начнёт что-то делать реально. И вот этим первым стала Apple.

> По банкам/эквайрингам пошла волна шевеления, просят ставить клиентов сертификаты от Минцифры и следить за происходящим https://t.me/tech_b0lt_Genona/6613 Ко мне в личку пришли три человека и подтвердили, что вместо того чтобы жарить шашлыки ебутся с инфрой и всем остальным. Я тян, пруфов не будет