Архив за месяц: Октябрь 2022

Те кто последнюю видяшку посмотрели, могли заметить, что качество картинки стало получше

1 комментарий

Те кто последнюю видяшку посмотрели, могли заметить, что качество картинки стало получше. Особенно если 1440р выбрать. Это потому, что я поправил техпроцесс. В первую очередь отказался от Open­Shot, который непонятно почему портил качество скриншотов. Сами скриншоты я делаю в Fire­fox в довольно высоком разрешении ~ 8424x4384 пикселей. Поэтому получать в итоговой видяшке мыло было очень обидно. Перепробовал несколько альтернативных редакторов. Ничего не понравилось. Тяжеловесные, глючные, ориентированные на ручное редактирование. Явно не оптимальный инструмент для моих задач.

В итоге вообще отказался от каких-либо видео-редакторов, а сделал свою обвязку из ffm­peg и ImageMag­ick.

Видео генерится из такого описания:

00:00:00.000|Screen Shot 2022-10-29 at 00.41.17.png|Intro
00:00:12.673|Screen Shot 2022-10-29 at 00.41.43.png|Vulristics
00:00:17.578|Screen Shot 2022-10-29 at 00.42.00.png|Vulristics script out­put
00:00:21.839|Screen Shot 2022-10-29 at 00.42.15.png|Vulnerability sta­tis­tics
00:00:28.362|Screen Shot 2022-10-29 at 00.43.11.png|RCE Exchange blog
00:00:35.737|Screen Shot 2022-10-29 at 00.44.34.png|RCE Exchange First RCE Vul­ris­tics report
00:00:40.379|Screen Shot 2022-10-29 at 00.44.22.png|RCE Exchange Sec­ond RCE Vul­ris­tics report

Первая колонка это таймстемп, когда начинает показываться картинка из второй колонки. Третья колонка это просто коммент для удобства. Таймстемпы с точностью до миллисекунды смотрю в аудиодорожке в Audac­i­ty.

Основное время уходит на конвертацию скриншотов под нужный размер ImageMag­ick-ом. Сейчас подгоняю под 2560X1440. 22 скриншота обрабатываются на моем ноуте минут 5. Непосредственная сборка видео из скриншотов и совмещение с аудиодорожкой занимает буквально секунды. Пятиминутный ролик в 1440р занимает всего 25 мб. Для сравнения Open­Shot генерил такой же по времени ролик минут 15–20, получается файл в 350 мб ещё и в худшем качестве.

Пробовал генерить и в 3840X2160, и 7680X4320. Тоже вполне реально, только предобработка скриншотов занимает подольше. Но такие ролики уже некорректно отображаются у меня медиаплеером на ноуте, поэтому пока остановился на 2560X1440. 😅

Как считаете, есть смысл причесать и оформить код и выложить как опенсурсный проект? Или и так все понятно и тривиально? Полайкайте плз, если оно надо.

Выпустил отчет по октябрьскому Microsoft Patch Tuesday

Добавить комментарий

Выпустил отчет по октябрьскому Microsoft Patch Tues­day. В календарные сроки уложился. 😅

На самом деле не особо интересный месяц. По #Prox­yNot­Shell Remote Code Exe­cu­tion – Microsoft Exchange (CVE-2022–41040, CVE-2022–41082) все ещё ждем патчей. Общевиндовая Ele­va­tion of Priv­i­lege — Win­dows COM+ Event Sys­tem Ser­vice (CVE-2022–41033) вроде активно эксплуатируется, но пока не ясно кем и как именно. Остальное всё такое себе, средненькое. Подробнее в блогпосте.

Классная была задумка в NVD добавлять лейблы к ссылкам

Добавить комментарий

Классная была задумка в NVD добавлять лейблы к ссылкам

Классная была задумка в NVD добавлять лейблы к ссылкам. Чтобы сразу было видно на какой объект ссылаются: почтовая рассылка, бюллетень вендора, бюллетень третьих лиц, патч, а самое ценное — эксплоит. То есть можно было бы только на основе NVD делать достаточно неплохую приоритизацию уязвимостей. Но реальность, к сожалению, грустнее:

1. На простановку лейблов всем так-то пофигу. На скриншоте log4shell. Для части ссылок на pack­et­storm проставлено, что это эксплоиты. Для части нет. Может это на самом деле не эксплоиты? Да нет, все верно, я обкликал и проверил. Просто ошибка операциониста, который ссылку добавлял.
2. Заинтересован ли кто-то быстро добавить в NVD ссылку на эксплоит, когда он появляется в паблике? Да видимо не особо. Разве что для очень громких уязвимостей.
3. Это общая беда, но в описании CVE могут писать про один тип уязвимости, допустим RCE, а эксплоит будет демонстрировать другую уязвимость, допустим DoS.

Выводы? Спасибо, что хотя бы так и бесплатно. 🙂 Но исключительно на данные из NVD лучше не полагаться.

Ростелеком как головная контора для ОМП, тоже заинтересован в выпуске устройств на Аврора ОС для физиков

Добавить комментарий

Если верить статье в Ъ… А верить статье, которая называется "Навстречу серверной «Авроре»" сложновато 🤦🏻‍♂️. Так вот, если ей верить, то Ростелеком как головная контора для ОМП, тоже заинтересован в выпуске устройств на Аврора ОС для физиков. Правда пока без особой конкретики, т.к. речь идет о промежутке 2022–2030 г. Всего же устройств за это время планируется выпустить от 1,5 млн до 65,9 млн (!). Правда обеспечить максимальные показатели можно будет только через меры жесткой господдержки, включающие, например, ограничение импорта зарубежных смартфонов. Видимо как с сыром.

И если так подумать, то я бы такое даже поприветствовал. Paris vaut bien une messe, а развитие отечественной мобильной экосистемы (на практически полноценном Linux‑е причем!) стоит некоторых неудобств.

PS: там ещё пишут, что ограничение импорта не поможет, только серый рынок подстегнет. Но на это и обязательной регистрацией по IMEI можно ответить, а может и чем-то поинтереснее. 😈

upd. Вышел комментарий от Ростелека: "«Ростелеком» никогда не занимался и не собирается заниматься производством мобильных устройств." Ну это видимо про то, что в статье Ъ было: "Ростелеком" планирует разработку трех линеек смартфонов и планшетов на "Авроре" для обычных потребителей, бизнеса и госсектора. Очевидно, что если эти устройства и появятся, то производить их скорее всего будет не сам Ростелек или ОМП, а партнеры. Как и в случае с текущими устройствами на Авроре. Поэтому все верно.

Сходили сегодня семьей на "Хозяйку Медной горы"

1 комментарий

Сходили сегодня семьей на "Хозяйку Медной горы". Хороший спектакль, поучительный.

1. CEO Барин дает задание сделать вазу за месяц. Project Man­ag­er Приказчик спускает сроки as is. Junior мастер Данила порывается сдать проект за день. Senior мастер Прокопьич предупреждает джуна, что это приведет к проблемам. За день не за день, но Junior сдает проект значительно раньше срока, получает у проджекта задание ещё на 2 аналогичные вазы. В итоге за месяц выдают 3 вазы. Project Man­ag­er Приказчик молодец получает поощрение. Junior мастер Данила и Senior мастер Прокопьич получают втык за затягивание сроков по предыдущим проектам, трамбовать задач в них теперь будут больше и контролировать строже.
2. На второй усложненный проект вазы выделяется "хоть 5 лет", требования подтверждены ТЗ (чертежом). В итоге проект сдают за год. Планирование конечно атас, но хоть уже без дурных попыток нафигачить и сдать всё за день. Казалось бы джун Данила становится адекватнее. Но фиг там.
3. Помимо основной работы джун Данила придумывает себе pet-project. В текущих рабочих проектах он не видит красоты, архитектура не та, "сила камня не раскрывается". Фигачит в свободное от основной работы время вазу по дурман-цветку. Senior мастер Прокопьич предостерегает от нарушения work-life bal­ance, т.к. нечем хорошим это не кончится — либо выгоришь, либо двинешься. Тщетно. Данила окончательно слетает с катушек, буянит и отъезжает, образно выражаясь, "к хозяйке Медной горы смотреть каменный цветок".
4. К счастью, история заканчивается хэппи-эндом. Прошедший процедурки Данила возвращается к производительному труду, женится на Екатерине, выращившей его из заведения "хозяйки Медной горы". И вроде даже обходилось без значительных рецидивов. "Только нет-нет — и задумается Данило. Катя понимала, конечно, — о чем, да помалкивала".

Посмотрел интервью с Алексеем Коганом из ОМП про ОС Аврора

Добавить комментарий

Посмотрел интервью с Алексеем Коганом из ОМП про ОС Аврора. Очень адекватная и взвешенная позиция у Алексея. Понравилось как он сформулировал преимущества независимой национальной мобильной экосистемы (5:32). Подчеркнул что сейчас смартфон с Авророй это дополнительное устройство прежде всего для решения рабочих задач. Например для сотрудников, которые по работе постоянно перемещаются (курьер, представитель, почтальон, обходчик РЖД и т.д.), или сотрудников, которым важен защищённый обмен сообщениями на сертифицированном устройстве. На текущем этапе это не замена личному Android/iOS устройству.

Алексей даже мельком коснулся трудностей с портированием (34:00) и необходимостью использования драйверов или даже некоторых компонентов от Android для запуска Авроры. Что в принципе вполне ожидаемо и очевидно в связи с отсутствием полного цикла производства устройств. Но хорошо, что это не замалчивается. Помнится во времена Jol­la Sail­fish об этом старались не упоминать.

Амбиция делать с партнёрами смартфоны/планшеты для физиков у ОМП есть и они идут в этом направлении. Этому можно поспособствовать через программу бета-тестирования. Правда количество желающих в десятки раз превышает количество доступных для тестирования устройств. В ОМП понимают, что в текущих условиях зарабатывать в этом сегменте им будет сложновато. Поэтому в самом ближайшем будущем ждать телефоны на Авроре в продаже в условном МВидео пока не стоит. Будем следить за новостями.

Сделал видяшку с обзором Joint cybersecurity advisory (CSA) AA22-279A

Добавить комментарий

Сделал видяшку с обзором Joint cyber­se­cu­ri­ty advi­so­ry (CSA) AA22-279A. Интересно будет ли фидбек от авторов документа. 😁