Дельфинарий на @und3rc0nf_chat 🐬

Никогда такого не было и вот опять

> On June 6, I accidentally pushed my API key to GitHub and I believed the repository was private (it was only visible in one commit, which I unfortunately didn't notice). At the time I didn't realize it, and since it was summer break, I wasn't even checking my student email. Then, on September 7, another GitHub user sent me a notification that my key had been public for a long time and others were abusing it. By that time, the damage was already done. When I checked my account, there was a $55,444 in total. After that, I immediately revoked the Gemini API key.

Но закончилось всё хорошо

> I want to share some great news with you all. Following communication with the Google Cloud Billing Specialists, my case was reviewed again and the total outstanding balance has been completely waived !

Student hit with a $55,444.78 Google Cloud bill after Gemini API key leaked on GitHub
https://www.reddit.com/r/googlecloud/comments/1noctxi/student_hit_with_a_5544478_google_cloud_bill/

https://www.tg-me.com/mem_b0lt_Genona/182

Наша постоянная, но подзабытая рубрика

Обновляем гитлабчики 💅💅💅

В этот раз Critical нет, но есть интересный High

CVE-2025-10858 - Denial of Service issue when uploading specifically crafted JSON files impacts GitLab CE/EE
GitLab has remediated an issue that could have allowed an unauthenticated user to render a GitLab instance unresponsive to legitimate users by sending specifically crafted JSON files.

issue пока приватная
https://gitlab.com/gitlab-org/gitlab/-/issues/570034

Описания
https://www.cve.org/CVERecord?id=CVE-2025-10858

Ну и XSS тоже High (сдали через Bug Bounty)

CVE-2025-9642 - Cross-site scripting issue in Script Gadgets impacts GitLab CE/EE
GitLab has remediated an issue that, under certain conditions, could have allowed an unauthenticated user to execute actions on behalf of other users by injecting malicious content.

issue пока приватная
https://gitlab.com/gitlab-org/gitlab/-/issues/566505

Описание
https://www.cve.org/CVERecord?id=CVE-2025-9642

Пост
GitLab Patch Release: 18.4.1, 18.3.3, 18.2.7
https://about.gitlab.com/releases/2025/09/25/patch-release-gitlab-18-4-1-released/

Тут ко мне пришли со "Стачки", на которую я собираюсь, и попросили рассказать про трек SafeITConf. Как понятно из названия там всякое про ИБ.

В прошлом посте (https://www.tg-me.com/tech_b0lt_Genona/5706) я частично его затронул, но в принципе чо б не рассказать про остальное.

Итак, чего там планируется помимо того что я уже упомянул ранее и куда собирался

- UX в кибербезопасности: от инженерного хаоса к понятным решениям / Дмитрий Конюк

- Использование рекомендательных систем в решениях класса UEBA/UBA / Наталья Билаш

- От смартфона до телевизора: как ЦРУ ломает мир — уроки Vault 7 / Денис Батранков

- Технологии TDIR, усиленные RAG подходом для оптимизации расследования инцидентов / Анна Олейникова

- cybercrAIme: новые угрозы / Лука Сафонов

Программа этой и остальных секций на сайте - https://spb25.nastachku.ru/

Материнские платы серверов Supermicro оказались заражены неудаляемым вредоносным ПО
https://habr.com/ru/news/951560/

Одна из двух уязвимостей стала результатом неполного патча, выпущенного Supermicro в январе. Об этом сообщил основатель и генеральный директор Binarly Алекс Матросов. По его словам, исправление предназначалось для CVE-2024-10237 — уязвимости высокого уровня опасности, которая позволяла злоумышленникам модифицировать прошивку, работающую во время загрузки компьютера.

Затем Binarly обнаружила вторую критическую уязвимость, позволяющую проводить атаки такого же типа.

Обе они могут использоваться для установки прошивки, аналогичной ILObleed — вредоносному коду, который заражал серверы HP Enterprise прошивкой-очистителем, безвозвратно уничтожающей данные на жёстких дисках. Даже после того, как администраторы переустанавливали операционную систему, меняли жёсткие диски или предпринимали другие меры, ILObleed снова активировал атаку с очисткой диска. Эксплойт, использованный злоумышленниками в этой кампании, был исправлен HP четырьмя годами ранее, но не был установлен на скомпрометированных устройствах.

«Обе уязвимости обеспечивают беспрецедентную устойчивость на значительных парках устройств Supermicro, в том числе в центрах обработки данных с искусственным интеллектом», — пояснил Матросов.

Обозначенные как CVE-2025-7937 и CVE-2025-6198, они находятся внутри кремниевых чипов, припаянных к материнским платам Supermicro, на которых работают серверы в центрах обработки данных. Контроллеры управления материнской платой (BMC) позволяют администраторам удалённо выполнять такие задачи, как установка обновлений, мониторинг температуры оборудования и соответствующая настройка скорости вращения вентиляторов. BMC также позволяют выполнять некоторые из наиболее важных операций, например, модификацию прошивки для UEFI (Unified Extensible Firmware Interface), отвечающего за загрузку серверной ОС. При этом все опции доступны даже тогда, когда серверы выключены.

Оригинал
Материнские платы серверов Supermicro оказались заражены неудаляемым вредоносным ПО
https://arstechnica.com/security/2025/09/supermicro-server-motherboards-can-be-infected-with-unremovable-malware/

ЗЫ
> генеральный директор Binarly Алекс Матросов

Олды, как говорится, на месте 😎

Когда-то давно был замечательный подкаст про ИБ - Virus Free Podcast (первый выпуск в 2010 году)
https://virlab.podfm.ru/virus_free/

А потом трансформировался/переродился в не менее замечательный подкаст про ИБ - Noise Security Bit (первый выпуск в 2013 году)
https://podster.fm/podcasts/noisebit

Так вот создателем и ведущим в обоих был Александр Матросов (соведущие и гости тоже были 🌝)

Тут "коллективный open source" выкатил справедливое замечание, что он получает ничего, а на нём живут все

> very modern application, whether written in Java, JavaScript, Python, Rust, PHP, or beyond, depends on public package registries like Maven Central, PyPI, crates.io, Packagist and open-vsx to retrieve, share, and validate dependencies. These registries have become foundational digital infrastructure – not just for open source, but for the global software supply chain.

> Despite serving billions (perhaps even trillions) of downloads each month (largely driven by commercial-scale consumption), many of these services are funded by a small group of benefactors. Sometimes they are supported by commercial vendors, such as Sonatype (Maven Central), GitHub (npm) or Microsoft (NuGet). At other times, they are supported by nonprofit foundations that rely on grants, donations, and sponsorships to cover their maintenance, operation, and staffing

> overwhelming majority of large-scale users, including commercial entities that generate demand and extract economic value, consume these services without contributing to their sustainability

Предлагается, чтобы всякие корпорации наконец-то начали платить за "езду" open source, а для индивидуального использования оставить всё как есть

What Needs to Change

It is time to adopt practical and sustainable approaches that better align usage with costs. While each ecosystem will adopt the approaches that make the most sense in its own context, the need for action is universal. These are the areas where action should be investigated:

- Commercial and institutional partnerships that help fund infrastructure in proportion to usage or in exchange for strategic benefits.
- Tiered access models that maintain openness for general and individual use while providing scaled performance or reliability options for high-volume consumers.
- Value-added capabilities that commercial entities might find valuable, such as usage statistics.

These are not radical ideas. They are practical, commonsense measures already used in other shared systems, such as Internet bandwidth and cloud computing. They keep open infrastructure accessible while promoting responsibility at scale.

Sustainability is not about closing access; it’s about keeping the doors open and investing for the future.

Если помощь не придёт, то всем будет плохо

> Without action, the foundation beneath modern software will give way. With action — shared, aligned, and sustained — we can ensure these systems remain strong, secure, and open to all.

Open Infrastructure is Not Free: A Joint Statement on Sustainable Stewardship
https://openssf.org/blog/2025/09/23/open-infrastructure-is-not-free-a-joint-statement-on-sustainable-stewardship/

#llvmweekly

https://discourse.llvm.org/t/our-ai-policy-vs-code-of-conduct-and-vs-reality/88300

TL;DR - нерадивые контрибуторы шлют в LLVM патчи, сгенерированные AI, плохого качества, даже не разбираясь в том, что AI написал. Что очень сильно отвлекает и так загруженных ревьюеров:

"I’ve been using AI to contribute to LLVM, which has a liberal policy.

The code is of terrible quality and I am at 100+ comments on my latest PR"

"In my experience, folks using AI do a much worse job at understanding their patch, and thus a much worse job at getting better over time. The amount of effort to make these contributors start making better contributions is so much more as to not be worth it anymore"

В целом, пока сходятся на том, что надо банить нерадивых контрибуторов, а не использование AI вообще, хотя есть и более радикальные точки зрения.

Годный текст.

Люди, например, пишут, что используют LLM для облагораживания своих текстов, особенно когда не являются native english speaker. Я тоже так часто делаю.

Записи с нашей бесплатной конфы в Нижнем подъехали!

Во-первых, хочу еще раз повторить слова благодарности всем: организаторам и волонтерам, спикерам, участникам. Отдельно хочу отметить тех, кто поддержал конфу анонсами. Приехало и пришло очень много людей: 1100+ регистраций, почти 600 человек на площадке. Вы все крутые!

Во-вторых, в программе случились две замены. Ждем ребят, кто не смог приехать, на будущих мероприятиях.

Постарался найти баланс между хардкорнейшими докладами, спикерами-новичками (они обязательно должны быть на любой конференции, по моему мнению, я когда-то был таким спикером-новичком) и легкими погружениями в технологии.

Конкуренция за звание "лучшего" доклада – высочайшая. Выбирать будем не по каким-то там голосованиям, которые ни на что не влияют, а по просмотрам на ютюбе. Поддержите спикеров и меня просмотрами :)

Выкладываю записи сразу, а не через полгода.

Доклады в порядке выступлений:
- Чего вы не знали о строках в Python? Василий Рябов
- ИИ-агенты в каждый дом, Алексей Порядин @sw1logs
- Генератор байткода и байткод генератора, Михаил Ефимов
- Внутреннее устройство сборки мусора в CPython 3.14+, Сергей Мирянов
- Проектирование — это когда чувствуешь, а не какие-то там циферки, Николай Хитров @nkhitrov_blog
- Дотянуться до кремния. HighLoad Python: SIMD, GPU – Пётр Андреев @py_up
- Continuous profiling, Давид Джалаев @dzhalaevd_blog

Доклад от Ильи Ильиных был в другом зале, он записывал его сам - ждите доклад про Vim у него на канале @kydavoiti

Но, на конфе были и минусы :)
Следующий раз постараемся поправить шум от стендов (мешали в большом зале), записать все доклады (сейчас только один зал), пригласить еще больше гостей.

Наша традиционная вечеринка собрала полный бар людей, было очень весело. Отлично посидели, погуляли, поболтали. Лучшее сообщество!

При поддержке:
- https://it52.info
- https://itgorky.ru

Обсуждение: Кто был? Как вам конфа? Как вам Нижний Новгород?
Если понравилось: напишите приятное организаторам и спикерам. Если не понравилось – пишите вашу критику. Будем делать лучше.

| Поддержать | YouTube | GitHub | Чат |

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://www.tg-me.com/tech_b0lt_Genona/4983

Слово автору @Sheridan_ru

---

Приветствую! :)

Зовут меня Макс и я алкоголик гентушник. В интернетах местами известен, как Sheridan. 0x14 лет уже в emerge медитирую. А кнопки нажимаю и того больше.

Захотелось мне домой NAS. Хорошая штука, удобная. Да только вот ничего меня из того, что есть, не устраивало. А потом я узнал про распределённые ФС. А потом узнал про ceph (кстати, советую почитать https://habr.com/ru/articles/313644/ - очень хорошо написано). И захотел себе этот самый ceph домой. Не спрашивайте - зачем. Потому что могу :)

Долго ли коротко я эту хотелку в себе носил, да только вот недавно обломились мне несколько корпусов серверных. И железо дома накопилось разное. Решил, что пора действовать. Ну, железо в кучу собрать да от пыли почистить недолго, а вот ceph развернуть там-же - жалко диски то. Это ж целых как минимум два диска надо в btrfs raid положить, чтобы / там себя чувствовало нормально и у меня голова не болела на тему "А что если диск всё? Переустанавливать?".

И вспомнил я тут про SmartOS (https://www.tritondatacenter.com/smartos). А что, удобно! Грузимся с флешки а все диски гипервизору отдаём и радуемся. Поискал такое про ceph и не нашёл. Штош, думаю, зря я с железа компрессором пыль сдувал? Надо писать.

Итак, встречайте, CephOS (https://github.com/Sheridan/cephos)!

Идея такая:

- Загружаем с флешек несколько хостов
- Выполняем на каждом несколько команд (https://github.com/Sheridan/cephos#creating-the-first-node)
- ...
- PROFIT!

Взял я в руки дебьяновый live-build (https://live-team.pages.debian.net/live-manual/html/live-manual/index.en.html) и полез в него встраивать ceph. И скриптами обмазывать. И метриками обкладывать. Куда-ж без метрик то?

И вот что в итоге получилось:

- live дистрибутив, предназначенный для поднятия кластера ceph
- дистрибутив умеет в persistence (настройки/изменения в / будут храниться на другом разделе/устройстве)
- про ceph можно ничего не знать
- можно просто выключить ноду и хранилище не пострадает
- можно добавить дисков, хостов и хранилище просто увеличится
- мои любимые метрики :)

Да, флешки менее надёжны, чем hdd. Но флешки категорически дешевле. Да, флешки медленнее hdd. Но это не сильно то и надо в контексте CephOS. Флешка ушла к тёмным магистрам? Мы с другой загрузимся и заново подключим ноду к хранилищу. Удобно!

Проект ещё в начале пути, всего лишь 0.0.4alpha (https://github.com/Sheridan/cephos/releases/tag/0.0.4alpha), но уже работает приблизительно так, как я хочу :)

Что сделано:

- инициализация первой ноды
- подключение других нод
- инициализация CephFS и всего нужного для окружения
- поддержка работы с двумя сетевыми интерфейсами (ceph умеет сквозь второй интерфейс гонять служебный трафик)
- настройка кластера выполняется с помощью готовых скриптов
- можно при желании одним скриптом поднять экспортеры метрик, уже настроенные
скрипт для поднятия тестового окружения при помощи qemu, чтобы можно было тестировать у себя на компутере и не бегать в мастерскую с флешками к железу
- без docker, kubernetes, ansible и прочих инструментов деплоя (деплой то и не нужен тут)
- и даже сетевые интерфейсы можно переименовать, чтобы сразу было видно какой для чего

Что предстоит сделать:

- отстыковка дисков и нод от кластера
- помощник для создания пользователей-клиентов и генератор команд монтирования (записей для fstab, systemd.mount юнитов)
- дашборды для графаны
- обскриптовать подъём и уничтожение RADOS Gateway (объектное хранилище с S3 интерфейсом)
- что нибудь ещё придумаю
- эксплуатация покажет, где пауки порылись
- надеюсь, вы тоже мне идей накидаете

Нацеливаюсь я на soho сегмент. Кажется мне что CephOS сгодится для содержания домашних хранилищ всякого хлама на всяком хламе. Да и для офисов с приходящим админом тоже сойдёт, думаю.

Ну а я, надеюсь, через пару недель уже буду свой домашний кластер собирать.

Не болейте и не бойтесь нажимать на кнопки! :)

Канал - @ceph_os
---

суд в США разрешил американской прокуратуре удалённый доступ к удалённым серверам Telegram в рамках расследования о сексуальной эксплуатации детей. Технически это первый известный случай, когда американский суд санкционировал вмешательство в инфраструктуру зарубежной платформы. Как американские власти планируют реализовать доступ, пока остаётся неясным.

Команда мессенджера, базирующаяся в Дубае, не подтвердила сотрудничество с американской прокуратурой по этому разрешению суда США и заявила, что доступ к содержимому серверов невозможен чисто технически даже для инженеров (секретные чаты хранятся в зашифрованном виде, а ключи — на устройствах пользователей).

Суд в США разрешил американской прокуратуре удалённый доступ к серверам Telegram
https://habr.com/ru/news/952308/

Citing, in part, Telegram’s general refusal to respond to law enforcement requests, a U.S. Attorney’s Office sought and received remote access to Telegram servers to investigate a child exploitation case. (editor’s note: We have made the editorial decision to not include a link because there is personally identifiable information throughout the filing.) However, here’s the nut graph from DOJ: “In particular, I request approval for law enforcement to use a remote access search technique to send one or more communications to the servers of the online company Telegram Messenger, Inc. to access the account of Telegram User ID: [redacted by Court Watch]…Each such communication is designed to cause the servers to transmit information to law enforcement, including “[redacted by Court Watch]” communications and other information from the Subject Account on Telegram. Once that information is downloaded to a computer in this district and/or the Subject Phone in this district, law enforcement will not attempt to gain access to the Subject Account without approval from the Court through further legal process, if necessary.”

#145: Biking Across America to Murder a Governor
https://www.courtwatch.news/p/145-biking-across-america-to-murder-a-governor

UPD

Подписчик, за что ему спасибо, принёс, что опять произошёл "секс американских журналиста и учёного".

На самом деле ФБР удаленно проанализировало данные с устройства из Telegram, а не "взламывало сервера".

Почитать можно тут
The FBI did not "hack" Telegram. This is what they did.
https://www.linkedin.com/posts/thomasfoxbrewster_the-fbi-did-not-hack-telegram-this-is-activity-7378680589773664256-YAgR