Тут какое-то жжжжжжж вокруг self-hosted Mattermost началось

Why We’re Moving Beyond Team Edition

Team Edition offered a useful starting point, but it wasn’t designed to scale. In practice, we’ve seen:

- Unsupported environments that outgrew their original purpose;
- Low conversion rates to our Enterprise editions, since users didn’t experience advanced features.;
- Gaps in security and governance that enterprises rely on.

To ensure every new deployment starts off with the right foundation, we’re evolving our product lineup.

https://mattermost.com/blog/introducing-mattermost-entry/

И под это дело они запустили Mattermost Entry

> Unlike Team Edition, Entry gives you access to the full capabilities of Mattermost Intelligent Mission Environment (IME). Purpose-built for mission-critical operations, Mattermost IME delivers a unified platform for secure, extensible, AI-powered collaboration and automation, deployable across the most demanding environments.

Есть лимиты на эту балалайку

To encourage healthy adoption, Entry introduces hard limits on usage. For example:

- Message history capped at 10,000 messages
- 1:1 audio calls limited to 40 minutes
- AI-assisted queries capped at 250 per month

Убеждают что всё абсолютно безопасно (верю)

> Mattermost Entry enables completely private collaboration and workflows—including project management, cross-platform messaging (web, desktop, mobile), workflow automation, and AI agents powered by fully on-premises sovereign AI models. No data leaves the organization’s perimeter, and no third-party risks exist. Administrators can verify that there is no external surveillance because they own and audit every aspect, directly countering data harvesting, IP extraction, regulatory handovers, and adversarial threats, while Mattermost has no access to customer environments.

https://mattermost.com/newsroom/press-releases/mattermost-launches-free-entry-tier/

> While Team Edition enabled many to experience the power of open collaboration, it has often resulted in oversized and unsupported deployments, with limited exposure to our most advanced features.

Вот это забота 🌝

В частности, это, например, потому что звонки с десятой версии стали работать только в платной версии

> Pre-packaged Calls plugin v1.0.1. This includes breaking changes including removal of group calls from unlicensed servers in order to focus supportability and quality on licensed servers. Unlicensed servers can continue to use Calls in direct message channels, which represent the majority of activity.

https://docs.mattermost.com/about/mattermost-v10-changelog.html

Есть ощущение, что бесплатный поддерживаемый self-hosted будет потихоньку подрезаться, но будем посмотреть.

Ни на что не намекаю, но... 🌝

> Jul 11, 2025

AWS Laid Off 40% of Its DevOps Staff — What They’re Using Instead Will Shock You
https://aws.plainenglish.io/aws-laid-off-40-of-its-devops-staff-what-theyre-using-instead-will-shock-you-544ebb38a63d

1. AI-Ops Is Real Now
We got hold of some internal AWS metrics for 2025:
- 92% of Terraform workflows now handled by AI
- 80% of incidents resolved automatically — before an on-call alert even fires

“Our last major outage? Fixed by a GPT agent before anyone on the team even logged in.”

Terraform Errors

- Human used to do with : Manual debugging + Slack fights
- AI is doing with : tf-diagnose — ai (fixes drift instantly)

K8s Auto-Scaling

- Human used to do with : Hand-tuned HPA configs
- AI is doing with : k8s-ai-scaler (predictive auto-scaling)

Без paywall
https://archive.ph/bfst8

29 октября 2025 в 19:30 состоится очередная встреча Санкт-Петербургской группы пользователей Linux.

Тема: Троллим ping с помощью ebpf

Это обзорный доклад и базовое погружение в возможности ebpf. Поговорим о том, как он развивался в ядре linux, как и для чего его можно использовать. Отдельно углубимся в xds, технологию, позволяющую работать напрямую с сетевым стеком и разберем небольшой практический проект, пересобирающий icmp пакеты

Докладчик: Полина (ktp0li), инженер команды Load Balancing в Ozon.tech, резидент питерского хакерспейса B4CKSP4CE

🚏 Место: Миран, Евпаторийский переулок, 7, вход со стороны Пироговской набережной.

Сайт сообщества: spblug.org, вход - свободный, но объект - режимный, при себе нужно иметь документ удостоверяющий личность, паспорт или права.

What is this Copilot recommending on autocomplete?
https://www.reddit.com/r/vscode/comments/1ob0xkg/what_is_this_copilot_recommending_on_autocomplete/

Сюда же
https://www.tg-me.com/tech_b0lt_Genona/3503
https://www.tg-me.com/tech_b0lt_Genona/3834

Это же https://растпобеда.рф

В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust
https://www.opennet.ru/opennews/art.shtml?num=64092

В кодовую базу ядра Linux, на основе которой формируется релиз 6.18, принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust. Binder используется в Android для организации взаимодействия между процессами и удалённого вызова методов (один процесс Android может вызвать метод или функцию в другом процессе Android, используя Binder для идентификации, вызова и передачи аргументов между процессами). Код Binder был переписан на Rust в рамках проекта по усилению защищённости, продвижению приёмов безопасного программирования и повышению эффективности выявления проблем при работе с памятью в Android (около 70% из всех опасных уязвимостей, выявленных в Android, вызваны ошибками при работе с памятью).

Использование Rust позволило решить некоторые проблемы с которыми сталкивались разработчики Binder, включая ошибки, связанные с подсчётом ссылок, блокировками и проверкой границ, а также значительно уменьшить сложность обработки ошибок. Реализация Binder на Rust аналогична по функциональности с изначальным вариантом на языке Си, проходит все тесты AOSP (Android Open-Source Project) и может использоваться для создания рабочих редакций Android-прошивок. Несмотря на продвинутые возможности и поддержку объектов со сложной семантикой владения, драйвер на Rust получился меньше варианта на Си - 5.5 против 5.8 тысяч строк кода.

Binder является критическим с точки зрения безопасности компонентом Android, так как элементы платформы, работающие в изолированных sandbox-окружениях, такие как процесс отрисовки в Chrome и SW Codec, имеют к нему прямой доступ, а уязвимость в Binder позволит обойти изоляцию. Высокая сложность вкупе с техническим долгом сильно осложняют поддержание высокого уровня безопасности в Binder.

Оригинальный коммит
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=eafedbc7c050

В мае делал пост имени смерти MinIO
https://www.tg-me.com/tech_b0lt_Genona/5342

Теперь и образы убрали
Docker release?
https://github.com/minio/minio/issues/21647

> This project is a source only distribution now, if you want to build containers you need to build them yourselves

, сказали нам и заодно закрыли обсуждение, а то им там накидывать "в панамку" начали.

Так что MinIO, каким мы его знали, продолжает себя убивать.

Кому нужны сборки, то уже Lithus подсуетились

https://github.com/golithus/minio-builds

#prog #c #rust #article

"Just Use Rust": A Best-Case Historical Study of Open Source Vulnerabilities in C (PDF)

We identified 68 prominent open source projects with C code, collected their vulnerability history data, and used their CWE designations to explore a best-case speculation on how many vulnerabilities might have been prevented with Rust. We estimate that 58.2% of historical vulnerabilities in our selection of open source C projects would have been virtually impossible in Rust.

Сегодня нет новых проектов, но есть новости по одному из тех о которых рассказывал

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://www.tg-me.com/tech_b0lt_Genona/4983

В сентябре я рассказывал про UI под Kunernetes от @Dobry_kot
https://www.tg-me.com/tech_b0lt_Genona/5674

И вот случилось прекрасное и этот UI теперь используется в Cozystack, который я нежно люблю 🌝

Коллеги из Aenix выпустили новую версию своей платформы (Cozystack v0.37) — и впервые в ней используется наш OpenAPI-UI

Это первое публичное применение интерфейса, который мы разрабатывали как динамическую оболочку для Kubernetes API.

https://www.tg-me.com/bezumniy_kot_work/23

За Cozystack я тоже слежу с самого его появления и за это время он поехал в CNCF и обзавёлся большим камунити.

Почитать и посмотреть подробнее можно тут
https://www.tg-me.com/tech_b0lt_Genona/4499
https://www.tg-me.com/tech_b0lt_Genona/5099
https://www.tg-me.com/tech_b0lt_Genona/5206
https://www.tg-me.com/tech_b0lt_Genona/5385

Ресурсы In‑Cloud

https://www.tg-me.com/incloud_ru
https://in-cloud.io/

Ресурсы Cozystack

https://www.tg-me.com/aenix_io
https://www.tg-me.com/cozystack
https://www.tg-me.com/cozystack_ru
https://aenix.io/
https://cozystack.io/

@aws_notes сделал выжимку истории недавнего падения us-east-1, когда лежало всё и даже больше (https://www.tg-me.com/tech_b0lt_Genona/5795)

tl;dr Как часто бывает, если не BGP, то DNS 🌝

https://www.tg-me.com/aws_notes/3439

Оригинал
Summary of the Amazon DynamoDB Service Disruption in Northern Virginia (US-EAST-1) Region
https://aws.amazon.com/message/101925/

> В результате Race condition (когда несколько процессов обновляют одну и ту же конфигурацию) при обновлении Route53 эндпоинт dynamodb.us-east-1.amazonaws.com удаляется.

> Ключевые сервисы - IAM, CloudFront, CloudFormation, Route53 и др. - исторически живут исключительно в us-east-1. Поэтому проблема с ними = проблемы у всех регионов.

> Моё предположение, что это падение наконец-то станет окончательным поводом пересмотреть архитектуру 20-летней давности (пока) не оправдалось.

Я думал, что они уже таки смогли перестроить эту архитектуру, потому что такой реализацией ничего гарантировать невозможно нормально. Но оказалось, что ничего так и не поменялось, за что и были наказаны (не AWS, конечно, а все остальные)

> Принято решение:

- написать ещё тесты (но они ведь были, да?)
- переписать throttle и velocity control (условно rate limit на массовые рестарты или скелинг)
- добавить защиту для DNS Planner (система создания плана с айпишниками сервиса) и Enactor (система, которая пушит этот план в Route53)
- уволить оставшихся девопсов

Последний пункт шутка, конечно, но учитывая как AWS насаждает использование AI (по слухам и статьям "оттуда"), то уже шутка не шутка получается.

А вот первый пункт про тесты это не шутка и про тесты действительно написано

> we are building an additional test suite to augment our existing scale testing, which will exercise the DWFM recovery workflow to identify any future regressions

И я слабо представляю какие тесты и под что они хотят написать, потому что всё что написано в их разборе ситуации не очень тестируется в обычном понимании тестирования, выглядит просто человеческой ошибкой при обновлении конфига. Тут скорей надо проводить учения с элементами Chaos Engineering и какие-то "ручки" добавлять для предотвращения подобных ошибок (какой-то "глобальный" чек-лист что ли, что бы не забывать столь важные DNS-имена) .

В 2022 году они опубликовали пост
Chaos Engineering in the cloud
https://aws.amazon.com/blogs/architecture/chaos-engineering-in-the-cloud/

Нам так и пишут

> Chaos Engineering drives operational readiness and best practices around how your workloads should be observed, designed, and implemented to survive component failure with minimal to no impact to the end user. Therefore, Chaos Engineering can lead to improved resilience and observability, ultimately improving the end-user’s experience and increasing organizations’ uptime.

Более того запустили соответствующий сервис

> To get started with Chaos Engineering on AWS, AWS Fault Injection Simulator (AWS FIS)(https://docs.aws.amazon.com/fis/latest/userguide/what-is.html) was launched in early 2021. AWS FIS is a fully managed service used to run fault injection experiments that simulate real-world AWS faults. This service can be used as part of your CI/CD pipeline or otherwise outside the pipeline via cron jobs.

Не очень понятно пользуются ли внутри AWS чем-то таким, но учитывая то, что всё завязано на одну зону ни одну подобную проверку через chaos testing они сами не пройдут.

Смарт-фильтр для воды отказывается наливать воду из-за падения AWS. Как принято говорить в робо-сопротивлении: “Когда мы едины, мы непобедимы!”

Я правда не очень понимаю как можно написать нормальную регуляторику под такое.

Контроль за работой «белых» хакеров предложили передать ФСБ
https://www.rbc.ru/technology_and_media/23/10/2025/68f8d6c09a79473a09f38e93

Как рассказали РБК два источника в госорганах и отрасли информационной безопасности, разработана новая версия законопроекта о легализации «белых» хакеров.

Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей. Речь идет о специалистах, которых компании привлекают к тестированию своих информсистем на уязвимости самостоятельно или через специализированные платформы bug bounty (программа, в рамках которой компании платят людям за обнаружение уязвимостей и багов).

В новой версии законопроекта вводится понятие «мероприятие по поиску уязвимостей». Как пояснили собеседники РБК, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Согласно проекту, под это определение могут попасть:

- коммерческие bug bounty: программы, где компании через специальные площадки платят независимым исследователям за «находки», работая по коммерческим договорам;

- внутренние bug bounty (self-hosted): программы, в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре;

- любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;

- пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Речь идет об обязательной идентификации и верификации «белых» хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление.

Некоторые из опрошенных РБК участников рынка указали на риски обсуждаемых идей. Наиболее критичной они называют идею реестра «белых» хакеров. По словам проджект-менеджера MD Audit (входит в ГК Softline) Кирилла Левкина, обязательная идентификация исследователей создает угрозу для их безопасности и приватности, особенно если произойдет утечка данных из реестра. «Белые» хакеры нередко становятся мишенью со стороны киберпреступников, особенно в случаях, когда они публично раскрывают опасные уязвимости. Кроме того, деанонимизация может снизить количество участников bug bounty-программ, ведь многие специалисты работают под псевдонимами не из желания скрыться, а для минимизации личных рисков», — пояснил эксперт.

По словам представителя одной из российских bug bounty-платформ, содержимое реестра может «утечь» в Сеть, так как на госресурсах есть много уязвимостей. Деанонимизация «белых» хакеров приведет к тому, что они уйдут в серую зону, так как потеря анонимности может повлечь личные последствия: невозможность въехать во многие страны, преследования, вербовку иностранными спецслужбами, рассекречивание специального почерка исследователя и др., рассуждает этот собеседник.

По словам директора Центра исследования киберугроз Angara Security Сергея Гилева, текущая версия документа «достаточно жесткая». Деанонимизация «белых» хакеров, по его мнению, приведет к риску их задержания в поездках за рубеж (например, в отпуске или при посещении профильных мероприятий), введению ограничений для посещения определенных стран или при получении виз.

Спасибо подписчику за наводку

Помните историю с тем, как uutils (на Rust написанные) в Ubuntu затянули вместо GNU Coreutils?

https://www.tg-me.com/tech_b0lt_Genona/5319
https://www.tg-me.com/tech_b0lt_Genona/5697

Опять беда приключилась 🌝

Замена в дистрибутиве Ubuntu 25.10 инструментария GNU Coreutils на Rust Coreutils (uutils) привела к нарушению работы скрипта для автоматической проверки наличия обновлений пакетов. Среди прочего, оказался неработоспособен механизм автоматической установки обновлений с устранением уязвимостей, применяемый в некоторых установках Ubuntu Desktop и Ubuntu Server, а также в конфигурациях для облачных систем и контейнеров. Сбой не затронул операции ручной установки обновлений с использованием команд, подобных apt.

Проблема возникла из-за поставки утилиты "date" из набора uutils, в которой не была реализована опция "-r" ("--reference=file"), выводящая время изменения указанного файла. Указание данной опции в утилите "date" из набора uutils принималось парсером, но логика обработки данной опции отсутствовала в коде, поэтому вместо времени последнего изменения файла всегда возвращалось текущее время.

Команда "date" c опцией "-r" использовалась в ежедневно вызываемом скрипте "apt.systemd.daily" для определения изменения файла "/var/lib/apt/periodic/upgrade-stamp" с момента прошлого запуска. Так как вызов "date" с опцией "-r" не приводил к выводу ошибки и возвращает текущее время, скрипт всегда считал, что в системе установлены самые свежие обновления.

Примечательно, что в git-репозитории uutils изменение с полной поддержкой опции "-r" было добавлено за месяц до релиза Ubuntu 25.10, но оно не было включено в пакет rust-coreutils0.2.2-0ubuntu2, вошедший в состав Ubuntu 25.10. Отсутствие вывода ошибки при вызове неработающей опции не позволило выявить проблему при автоматизированном тестировании. Проблема устранена в обновлении пакета rust-coreutils 0.2.2-0ubuntu2.1, для установки которого можно использовать команду "sudo apt install --update rust-coreutils".

Из-за ошибки в uutils в Ubuntu 25.10 перестала работать автоматическая проверка наличия обновлений
https://www.opennet.ru/opennews/art.shtml?num=64108

Оригиналы
https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-October/009890.html
https://bugs.launchpad.net/ubuntu/+source/unattended-upgrades/+bug/2129660

> Отсутствие вывода ошибки при вызове неработающей опции не позволило выявить проблему при автоматизированном тестировании.

Вот это, конечно, круто. Чувствуется уровень.

В чатике @ru_talos увидел, что пилится "Talos" но на базе Альтовых пакетов

Вот выложен уже Discovery Service
https://altlinux.space/alt-orchestra/discovery-service-rs

Это альтернатива оригинальному Talos Discovery Service
https://github.com/siderolabs/discovery-service

В общем дело хорошее, альтернативы это хорошо. Ждём, что получится.

Что такое Talos и чем он прекрасен можно почитать тут

https://www.tg-me.com/tech_b0lt_Genona/3860

https://www.tg-me.com/tech_b0lt_Genona/4281

https://www.tg-me.com/tech_b0lt_Genona/4499

ОС Talos Linux — путь к «тому самому» харденингу инфраструктуры для k8s
https://vk.com/video-224467080_456239042
https://www.youtube.com/watch?v=ZKIe-IGKfP0

UPD

https://www.tg-me.com/ru_talos/35128

- сделали сборку talos на основе альт rpm-пакетов. Т.е. мы не компилируем ничего, т.к. уже есть все нужное в скомпилированном виде rpm-пакетов. И утилиты talos тоже. И ядро.
https://packages.altlinux.org/ru/sisyphus/srpms/talos
https://packages.altlinux.org/ru/sisyphus/srpms/kernel-image-talos

- при разворачивании кластера образы k8s берутся тоже наши из https://registry.altlinux.org. Они тоже приготовлены из rpm-пакетов :)
(например https://registry.altlinux.org/image/sisyphus%2Fkube-apiserver)

- поэтому переделали процесс изготовления образов iso и других артефактов в CI (по времени получается меньше 10 минут, т.к. ничего не надо компилировать)
https://altlinux.space/alt-orchestra/talos-build

- сами артефакты выкладываются тоже на altlinux.space
https://altlinux.space/alt-orchestra/talos-build/packages

- подняли factory-image:  https://factory.altlinux.space

- написали свой discovery-service: https://altlinux.space/writers/alt-orchestra-service
Изапустили сервис


Делали еще что-то, что уже не вспомню :)

Kill List: как два хакера взломали маркетплейс убийств в даркнете и спасли кучу людей

https://youtu.be/cYZmRp90hss

Еще в 2019 году хакер и журналист случайно наткнулись на сайт Besa Mafia в даркнете - сайт, на котором можно заказать убийство или похищение человека почти в любой стране у албанской мафии (лол).

Чтобы разобраться, как устроен процесс, один из авторов (Крис) зарегистрировался на сайте и опубликовал свой запрос на убийство.
Для обсуждения деталей сразу же был создан чат, в котором будущий убийца и заказчик могут обсуждать детали и договариваться.

Буквально в первые 5 минут Крис заметил IDOR-уязвимость (ровно как тут): в урле страницы чата прописан айдишник (условно 1234567), и если вписать вместо него другое число, можно попасть в чужой чат и увидеть все, что туда писали.

А дальше хакер получил контроль над вообще всем сайтом - там было полно разных уязвимостей, который позволили это сделать. В полученных данных были биткоин кошельки, все данные с серверов, страниц администраторов и т д.
Естественно, главного администратора сайта звали Юра (ну а как еще?).

Так появился Kill List: архив всех чатов, которые удалось собрать перебором айдишников, насчитывающий тысячи запросов на заказное убийство, данные покупателей и многое другое.

Меня абсолютно поразили цены на убийство, которые выставляли люди: 1000-2000$ за убийство человека в Европе / США - это прям копейки. Естественно, качество реализации за такие деньги тоже было очень низким - но об этом позже.

Естественно, первое что сделали авторы, когда получили доступ ко всему этому - позвонили в полицию (в Англии) и рассказали им обо всем, что нашли. Угадайте, как отреагировали полицейские?

Сначала решили провести ментал чек журналиста, который позвонил - думали, что он псих.
Потом убедились, что он не псих, но сказали, что в списке “недостаточно жертв в UK”, поэтому они ничего расследовать не будут(sic!).
Пообещали передать информацию в Интерпол, но и там люди в целом забили на албанцев.

Авторы решили сами уведомлять всех жертв, кого они смогли определить: буквально звонить им со словами “На вас планируется покушение, будьте осторожны” итд.
Люди, конечно же, не стали верить рандомному звонку, - ну а вы бы как поступили? Это даже хуже, чем “здравствуйте, это служба доставки”.

Поэтому авторам пришлось выстроить сеть из журналистов по всему миру - так как в “заказах” был адрес, журналисты могли прийти домой к жертвам и убедить их поговорить с авторами по зуму.
Некоторые люди вообще не были удивлены, что их заказали - например, женщина в Швейцарии рассказала, что проходит через жесткий развод, и муж, который должен был отдать половину своего имущества, вероятно заказал ее убийство.

После того, как журналисты устанавливали контакт с потенциальной жертвой, они передавали всю информацию по конкретному делу в полицию - вместе с предположениями о личности заказчика, которые высказывали жертвы.

Во многих случаях убийство не получались, - все таки, когда заказываешь хитмена за 1000$, за работу берется не самый профессиональный человек. Авторы расследования постоянно получали обновления по всем чатам, и видели все: хитмен потерялся, забыл или потерял оружие, громко топал и был замечен, и так далее.

Не буду долго пересказывать детали заказов - можете посмотреть оригинальное видео или послушать их подкаст (я не слушал).
Но там полная жесть. Заказы не только на убийства, но, например, на похищение женщины с целью неделю колоть ей героин и подсадить ее, - заказчиком был ее бывший муж, владелец благотворительной организации по помощи женщинам, столкнувшимся с зависимостью.

За 3 года авторы раскрыли 175 оплаченных заказов больше чем в 20 странах, что привело к 32 арестам, 28 признаниям и большим тюремным срокам - как для заказчиков, так и исполнителей.

В конце 2022 года румынские спецслужбы, по наводкам журналистов, провели несколько рейдов в Румынии и (похоже) поймали Юру.
Только спустя 3 года с начала расследования спецслужбы и органы власти наконец-то перехватили инициативу на себя и начали работать по той же схеме без помощи журналистов.