Записки админа

https://securityheaders.io/ - ещё один анализатор сайта в коллекцию ссылок. Всё как обычно - вводим URL, получаем отчёт на основе анализа заголовков.

О недокументированной возможности отключения Intel ME (Management Engine) от ребят из Positive Technologies. http://blog.ptsecurity.ru/2017/08/intel-me-disable.html #security #intel

Итак, страна, которая ещё недавно по ТВ показывала, как можно обойти блокировку сайтов, сегодня уже готова к принятию мер, по блокировке ресурсов, которые помогают доступ к запрещённому контенту получить. Революционных решений в реализации можно не ждать. Всё будет работать примерно так - сотрудник РКН будет устанавливать факт получения доступа к запрещённому материалу (через тот или иной сервис, видимо), при успешной проверке будет составляться акт с докладной запиской и скриншотами запрещённых страниц. Докладная будет передаваться заместителю руководителя Федеральной службы по надзору в сфере связи, и там уже в течение 2х рабочих дней будет приниматься решение о блокировке. С поисковиками и выдачей в них история аналогичная (там по ходу даже в документах банальный копипаст с мелкими правками) - сотрудник РКН устанавливает факт выдачи информации в ПС, фиксирует его и передаёт зафиксированное в работу. Как я и думал, владельцам собственных VPN на данном этапе переживать не за что. Условный Васян-сотрудник-РКН вряд ли получит доступ к вашему серверу и проверит с него факт доступности чего-либо. Сам по себе упор на неких сотрудников, обращения граждан и общедоступные источники не удивил. В стране достаточно борцов, которые только и ждут что бы им дали возможность решить что-то в интернете. Странно что явно активистов типа ЛБИ и всяческих казачьих кибердружин не прописали в документах, я их там увидеть ожидал. Сами приказы в данный момент рассматриваются, "публично обсуждаются", по ним принимаются предложения и замечания. Ализар в своей статье на Geektimes приводит ссылки на всё это безобразие, так что все неравнодушные могут по ним пройти, ознакомиться и высказаться по ситуации. #естьмнение

Мы повсеместно сталкиваемся с машинным обучением в современных технологиях - системы диагностики, распознавания, финансы, системы прогнозирования, сегодня существуют целые области, в которых без машинного обучения работать было бы сложно. При этом, далеко не все создатели таких систем уделяют должное внимание вопросам безопасности и потенциальным уязвимостям в них. Исследователи из Нью-Йоркского университета провели целое исследование, в рамках которого проверили возможность подстановки бекдора в процессе обучения, при помощи манипуляции с массивом данных. Применив определённый набор данных и исказив модель обучения, исследователям удалось встроить бекдор в систему распознавания дорожных знаков. В результате атаки, даже небольшая наклейка на знаке STOP не позволяла системе распознать изображение как запрещающий знак. Без наклейки, система определяла знак корректно. Кроме того, исследователям, с помощью специальной последовательности пикселей на изображении, удалось обмануть систему распознавания цифр. В качестве защиты от подобного рода атак, рекомендуется не использовать не проверенные наборы данных. Разработчикам платформ машинного обучения рекомендовано обеспечить контроль целостности распространяемых моделей, например, с помощью цифровых подписей. Почему эта новость интересна? Потому что это только начало, на мой взгляд. Чем дальше и глубже будут внедряться новые технологии в нашу жизнь, тем более пристальное внимание на них будут обращать исследователи, и тем больше интересных открытый в вопросах безопасности таких систем ждёт нас. В интересное время живём. 🤓 Ссылка на само исследование: https://goo.gl/LFBKSP Чуть больше подробностей на OpenNet: https://goo.gl/wUAefd

Мне всегда приятно, когда среди моих подписчиков оказываются авторы других интересных Telegram каналов или сервисов. Сегодня, к нам с гостевым постом заглянул Виктор, автор @seodied. На своём канале, он пишет о продвижении сайтов, о том как работают поисковые системы, о том как правильно выбрать SEO контору для заказа услуг и т. п. Всем кто SEO интересуется, предлагаю пройти на канал @seodied, познакомиться с публикациями и подписаться. Ну и мнение Виктора по поводу запуска нового поиска от Яндекса... http://telegra.ph/Korolyov--novyj-algoritm-YAndeksa-CHto-izmenitsya-s-ego-prihodom-08-27 #гостевой

Я где-то в первые недели запуска своего Telegram канала уже показывал Youtube канал Кирилла, но на тот момент он уже несколько месяцев не обновлялся. Совсем недавно один из подписчиков напомнил об этом канале, и оказывается, Кирилл вернулся к съёмкам роликов. Обязательно подпишитесь, если не видели этот канал раньше. Человек проделывает огромную работу, даёт качественный и полезный материал с минимумом воды. https://www.youtube.com/watch?v=DmJ2fQLKWiU #видео

Автопостинг не сработал почему-то, так что я таки добрался до ПК что бы опубликовать это сегодня. С днём рождения, Linux, сообщество, и всех причастных! https://sysadmin.pm/linux-hb/

Скрипт для тестирования Docker контейнеров. Доступен запуск как из контейнера, так и прямо на хост системе. https://github.com/docker/docker-bench-security #docker

Презентация нового поиска от Яндекса. Про нейросети, асессоров, толокеров, современные технологии поиска, и немного про космос. Что понравилось - к презентации подтянули людей, которые над поиском непосредственно работают. Да, далеко не все они уверенно чувствуют себя на сцене, но для них это и не является приоритетом. Королёв стал одним из тех, благодаря кому мечта о космосе осуществилась. Остаётся только Яндексу осуществить мечту тех, кому его поиск действительно не безразличен. Пока что, судя по отзывам пользователей, веб-мастеров, судя по тому что пишут seo'шники, работы впереди очень и очень много. Посмотрел под вечерний кофеёк, возможно и вам будет интересно. https://www.youtube.com/watch?v=7rCKBf2dBwc #яндекс

И вот вам, неплохой, на мой взгляд, вводный курс по OpenStack. Если давно хотели попробовать, но не знали с какой стороны подойти, то можно начать с этого набора лекций. https://www.edx.org/course/introduction-openstack-linuxfoundationx-lfs152x #видео #openstack

Друзья, ловлю последние дни лета (вам желаю того же, на самом деле) и подумываю о небольшом отпуске, так что активность на канале на какое-то время будет немного снижена. Но какое-то количество интересных материалов я в любом случае буду стараться подкидывать сюда. 🤓 И да, три человека так и не забрали у меня коды для месячного доступа ко всем материалам Хакера, так что я просто выкладываю их здесь - кто успел, тот и забрал: Xakep-SysadminNotes-jadO9RZ3 Xakep-SysadminNotes-uZIgAONW Xakep-SysadminNotes-QB9oZFgA Регистрируетесь на сайте, вводите промо и подписка автоматически активируется. Единственная просьба - сообщить мне когда какой-то из промо-кодов будет активирован.

Ещё один ресурс с курсами, на который мы теперь будем периодически заглядывать - pluralsight.com. На ресурсе регулярно публикуется бесплатный курс недели. Сегодня доступен "AWS Certified DevOps Engineer: Security, Governance, and Validation": https://www.pluralsight.com/courses/security-governance-validation-aws-certified-devops-engineer #видео #devops

Рассказали мне о занятном сервисе хранения файлов - https://fex.net/ Занятный он потому, что помимо бесплатного тарифа, у них есть возможность, получить 1Тб хранилище, всего за $1 в месяц. И даже скрипт для аплоада имеется: https://gist.github.com/slumvillain/9d102a19ddb53a391787e9785f5d0423 Скажу честно - сам не пробовал, но выглядит вкусно. За бакс 1Тб под бекапы, по моему, ещё никто не предлагал. Если кто-то воспользуется, поделитесь потом впечатлениями. UPD: Подсказывают, что сервис построен на оборудовании некогда прикрытого торрента. У ребят осталось железо, и дабы оно не простаивало, был запущен этот проект. #фидбечат

Короткое видео о настройке Nginx в качестве балансировщика: https://www.youtube.com/watch?v=SpL_hJNUNEI #будничное #видео #nginx