На прошлой неделе Microsoft выпустила пакетный менеджер WinGet в рамках анонсов на конференции Build 2020. Многие посчитали это ещё одним доказательством сближения Microsoft с движением Open Source. Но только не канадский разработчик Кейван Бейги (Keivan Beigi), автор свободного менеджера пакетов AppGet. Сейчас он силится понять, что произошло за последние 12 месяцев, в течение которых он общался с представителями Microsoft.

В любом случае, теперь Кейван прекращает разработку AppGet. Клиентские и серверные службы переходят в режим технического обслуживания немедленно до 1 августа 2020 года, после чего будут закрыты навсегда.

Cервис NextDNS наконец-то вышел из беты и теперь официально предоставляет бесплатные услуги по блокировке рекламы и других вредоносных IP-адресов на уровне DNS. Это простой и эффективный метод защиты: NextDNS автоматически фильтрует трафик, не ведёт логов, шифрует DNS-запросы, поддерживает DNS over HTTPS (DoH), представляя собой альтернативу известным DNS-резолверам от корпораций Google, Cloudfalre и «Яндекс».

NextDNS похож на расширения для браузера вроде uBlock Origin, только блокирует адреса на уровне DNS, что в некоторых случаях представляется более удобным вариантом, потому что NextDNS блокирует ненужные запросы не только из браузера, но из других программ, например, из ОС Windows, MS Office, Adobe и так далее.

Tree of Dragons II by surrealistguitarist

Для тех, кто каждый день использует Git, но чувствует себя неуверенно, команда Mail.ru Cloud Solutions перевела статью фронтенд-разработчика Шейна Хадсона. Здесь вы найдете несколько трюков и советов, которые могут немного облегчить работу с Git, а также подборку статей и мануалов более продвинутого уровня.

Камера видеонаблюдения в квартире заражённого гражданина. Фото опубликовано в сообщении Weibo муниципальными властями района Чунси города Нанкин (сообщение сейчас удалено)

С течением времени люди постепенно привыкают к усиленному контролю в условиях вирусной пандемии. Вырабатывается терпимость даже к самым жёстким мерам, пишет The Washington Post. В Китае видеокамеры наблюдения всё чаще устанавливают в индивидуальном порядке перед входными дверьми и внутри квартир инфицированных жителей. В Индии установка следящей программы на мобильный телефон стала обязательной для всех трудоустроенных граждан и в государственном, и в частном секторе.

В публикации CNN перечисляется несколько случаев, когда видеокамеры наблюдения устанавливали непосредственно перед входной дверью или внутри квартиры.

Новый сервис WebWormHole работает как портал, через который файлы передаются с компьютера на другой. Нажимаете кнопку New Wormhole — и получаете код для входа. Человек с другой стороны вводит такой же код или URL — и между вами устанавливается эфемерный туннель, по которому напрямую передаются файлы. Очень просто и эффективно. Исходный код на Github.

Первые 70% курса по SQL кажутся довольно простыми. Сложности начинаются на остальных 30%.

С 2015 по 2019 годы я прошёл четыре цикла собеседований на должность аналитика данных и специалиста по анализу данных в более чем десятке компаний. После очередного неудачного интервью в 2017 году — когда я запутался в сложных вопросах по SQL — я начал составлять задачник с вопросами по SQL средней и высокой сложности, чтобы лучше готовиться к собеседованиям. Этот справочник очень пригодился в последнем цикле собеседований 2019 года. За последний год я поделился этим руководством с парой друзей, а благодаря дополнительному свободному времени из-за пандемии отшлифовал его — и составил этот документ.

Есть множество отличных руководств по SQL для начинающих. Мои любимые — это интерактивные курсы Codecademy по SQL и Select Star SQL от Цзы Чон Као. Но в реальности первые 70% из курса SQL довольно просты, а настоящие сложности начинаются в остальных 30%, которые не освещаются в руководствах для начинающих. Так вот, на собеседованиях для аналитиков данных и специалистов по анализу данных в технологических компаниях часто задают вопросы именно по этим 30%.

Удивительно, но я не нашёл исчерпывающего источника по таким вопросам среднего уровня сложности, поэтому составил данное руководство.

Наконец стало известно, чем ответит Intel на сверхпопулярные процессоры AMD Ryzen, которые к апрелю 2020 года захватили до 90% продаж новых CPU.

Ответ Intel — серия Intel Core 10-го поколения под кодовым названием Comet Lake-S. Официальный анонс новых процессоров состоится сегодня, а полная информация и слайды презентации утекли за несколько дней.

Формально Intel представила 32 (!) новых процессора 10-го поколения, но если внимательно изучить таблицу под катом, то почти все они — реинкарнации топовых и предтоповых старых CPU, а реальных новинок только две: Intel Core i9-10900 и Intel Core i9-10900K.

Однажды коллега поделился размышлениями об API для распределённых вычислительных кластеров, а я в шутку ответил: «Очевидно, что идеальным API был бы простой вызов telefork(), чтобы твой процесс очнулся на каждой машине кластера, возвращая значение ID инстанса». Но в итоге эта идея овладела мной. Я не мог понять, почему она такая глупая и простая, намного проще, чем любой API для удалённой работы, и почему компьютерные системы, кажется, не способны на такое. Я также вроде бы понимал, как это можно реализовать, и у меня уже было хорошее название, что является самой трудной частью любого проекта. Поэтому я приступил к работе.

За первые выходные сделал базовый прототип, а второй уикенд принёс демку, которая могла телефоркнуть процесс на гигантскую виртуальную машину в облаке, прогнать рендеринг трассировки путей на множестве ядер, а затем телефоркнуть процесс обратно. Всё это завёрнуто в простой API.

На видео показано, что рендеринг на 64-ядерной VM в облаке завершается за 8 секунд (плюс 6 секунд на телефорк туда и обратно). Тот же рендеринг локально в контейнере на моём ноутбуке занимает 40 секунд:

Группа учёных из университета имени Бен-Гуриона в Негеве (Израиль) изучает способы передачи информации с изолированных компьютеров (airgap). Они уже разработали методы передачи данных морганием светодиода HDD, маршуртизатора или клавиатуры, электромагнитным излучением с шины USB и с карты GPU, звуками кулера GPU и магнитной головки HDD, через тепловое излучение и аудиоколонки (в неслышимом диапазоне), по изменению энергопотребления ПК и яркости дисплея. Оказывается, этим список не ограничивается.

13 апреля 2020 года учёные опубликовали описание новой атаки AiR-ViBeR с эксфильтрацией данных через вибрации вентилятора. Скорость передачи ниже, чем у других способов: всего 0,5 бит в секунду при закрытой крышке системного блока.

Шифрование электронной почты — трудная и болезненная процедура. Недавно я сам понял, насколько. Одна моя знакомая, очень продвинутая в сфере информационной безопасности, прислала мне свой открытый ключ PGP и попросила перейти на шифрование. Нет, она не из АНБ или ЦРУ, просто обычный человек, который заботится о своей конфиденциальности. Я никогда раньше не отправлял зашифрованные письма, но подумал: «Почему бы и нет?» Много лет я хотел это освоить, но не с кем было обмениваться шифрованными письмами.

Я начал с установки GnuPG на свой компьютер под Linux.

Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:

1. Хакер сообщает о найденной уязвимости.
2. Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно.

Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти настолько перевернули раскрытие уязвимостей с ног на голову, что многие эксперты, включая бывшего директора по политике HackerOne Кэти Муссури, называют это «извращением».

Google и Apple внедряют в свои операционные системы общий механизм Contact Tracing API для отслеживания контактов пользователя и передачи этих данных третьим лицам. Предполагается, что доступ к API получат программные сервисы, помогающие сдерживать распространение коронавируса. Возможно, модификация ОС производится по распоряжению американских властей, которые хотят упорядочить сбор данных о контактах людей.

Отслеживать контакты будут по протоколу Bluetooth Low Energy.

16 апреля 2020 года свои рекомендации опубликовала Еврокомиссия. Исполнительный орган ЕС заявил, что программные приложения, помогающие сдерживать распространение нового коронавируса, не должны собирать данные о местоположении пользователей, передаёт Reuters.

Меньше ядер, выше частота. В некоторых задачах так выгоднее

EPYC Rome 2-го поколения: 8,34 млрд транзисторов на центральном кристалле IOD площадью 416 мм² (12 нм) плюс восемь CCD-кристаллов площадью по 74 мм² (7 нм), итого 39,54 млрд транзисторов на всём чипе (увеличить)

Война между Intel и AMD давно идёт на десктопах и ноутбуках, а теперь разгорается и на серверном рынке. Судя по динамике, AMD действует как будто агрессивнее, потому что она представляет новые модели, а Intel отвечает снижением цен. Вчера AMD нанесла новый удар, проведя презентацию трёх процессоров EPYC Rome второго поколения: это модели 7F32, 7F52 и 7F72 на 8, 16 и 24 ядер. Здесь компания применила новую тактику, уменьшив количество ядер, но увеличив производительность каждого ядра.

Поделюсь с вами одной историей. Около двадцати лет назад я получил степень по физике, но занимался реверс-инжинирингом и криптоанализом. Наша компания AccessData работала в конце 90-х и начале 2000-х. Тогда правительство США постепенно снимало ограничения на экспорт криптографии, однако парольная защита в большинстве программ по-прежнему оставалась довольно бесполезной. Мы брали офисные программы, я проводил реверс-инжиниринг и выяснял алгоритм шифрования, а потом ломал криптозащиту.

Это был нескончаемый поток интересных, но не особенно сложных математических головоломок. За всё время я написал около сорока взломщиков паролей. Мы продавали их домашним пользователям, системным администраторам, местным и федеральным правоохранительным органам. Мне пришлось несколько раз съездить в федеральный центр подготовки сотрудников правоохранительных органов в Глинко, чтобы объяснить ребятам из Секретной службы, ФБР и АТФ основы криптографии и как использовать наши продукты.

Особенно ярко мне запомнились два проекта. Первым был Microsoft Word 97. До его появления файлы шифровались с помощью XOR байтов открытого текста и 16-байтовой строки, которая выводилась из пароля. Самыми распространёнными байтами в файле Word обычно были 0x00, 0xFF или 0x20 (пробел), поэтому мы просто выбирали самый распространённый символ в каждом столбце и проверяли 3¹⁶ вариантов. Восстановление ключа обычно происходило мгновенно, но чтобы людям не казалось, что они зря потратили деньги, мы вставили небольшую анимацию, похожую на голливудскую хакерскую сцену с множеством случайных символов, из которых постепенно проявляется правильный пароль.

Мгновенное распространение информации через социальные сети и мессенджеры — одна из примет современной эпохи. В интернете мало цензуры, поэтому важная информация распространяется вирусным путём, охватывает огромную аудиторию за считаные часы или минуты.

Каждый настраивает собственный «информационный фильтр», чтобы отсеивать источники, не заслуживающие доверия. Люди постепенно учатся это делать. Facebook и Twitter по требованию регуляторов набирают модераторов и удаляют фейки, например, про вред прививок. Но некоторые комментаторы считают, что эти попытки обречены на провал. Полностью отфильтровать дезинформацию в большом масштабе вообще невозможно, даже теоретически.

Например, очень трудно бороться с дезинформацией, которая идёт из официальных источников, а сейчас этой лжи особенно много. Правительства лгут своему населению, а эксперты ВОЗ вводят в заблуждение жителей всего мира.

Может, цензура со стороны интернет-компаний наносит больше вреда, чем пользы? Что вообще делать в такой ситуации? Кому можно доверять?

OpenBSD позиционируетcя как защищённая ОС. Однако за последние несколько месяцев в системе найден ряд уязвимостей. Конечно, в этом нет ничего экстраординарного. Хотя некоторые уязвимости довольно необычные. Можно даже сказать, критические. У разработчиков OpenBSD несколько принципов, как обеспечить безопасность. Вот два из них:

• избегать ошибок;
  
• минимизировать риск ошибок.

Не все согласны, что этих принципов достаточно, чтобы строить защищённые системы. Мне кажется, есть смысл изучить, работает ли подход OpenBSD, или он изначально обречён.

Для иллюстрации я выбрал не все, а только несколько интересных багов, которые случайно совпадают с темой нашего разговора.

«Временные меры быстро станут постоянными»

Правительства во всём мире используют высокотехнологичные меры для наблюдения за населением в борьбе со вспышкой коронавируса. Приватность граждан приносится в жертву, лишь бы замедлить заражение. Стоит ли оно того?

Эдвард Сноуден так не считает.

Бывший подрядчик ЦРУ, который разоблачил ряд шпионских программ ЦРУ и АНБ, предупреждает, что как только технологический джинн выпущен из бутылки, его будет очень трудно вернуть обратно.

В связи с массовым переходом на удалённую работу приложение для видеоконференций Zoom резко выросло в популярности. Но это не идеальный вариант с точки зрения безопасности. Хотя Zoom предлагает end-to-end шифрование для текстовых чатов, а шифрование видеоконференций можно активировать на стороне хоста, если верить разработчикам проприетарной программы.

Но тип шифрования невозможно проверить, потому что код закрыт, а с точки зрения приватности приложение Zoom вызывает вопросы у некоторых экспертов. Например, хост может активировать странную функцию «трекинг внимания» (attention tracking). Она отслеживает, что участник не отвлекается от совещания больше, чем на 30 секунд (окно приложения должно быть открыто и активно).

В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

Практически каждый день мы слышим об утечках персональных данных. Браузеры и мобильные приложения собирают информацию о перемещениях и действиях пользователя, чтобы затем перепродать эти данные брокерам для профилирования, а потом — рекламодателям для таргетированной рекламы. То же самое делают интернет-провайдеры, банки, розничные магазины и все остальные, у кого есть доступ к большой базе пользователей. Именно так зарабатывают крупные интернет-компании, такие как Google и Facebook. Приложение для знакомств геев Grindr недавно продало данные о геолокации своих пользователей 35 разным покупателям. C Android-смартфонов координаты пользователя передаются более 300 раз в течение 24-часового периода, даже если пользователь отключил историю местоположений в настройках устройства.

Конечно, все собирают «анонимные» данные. Собирать и продавать эту информацию сегодня совершенно законно в России, США и в большинстве других стран мира. Но установить личность по истории перемещений легче, чем по ДНК. «Компании говорят, что данные передаются лишь проверенным партнёрам. Остаётся только верить на слово в такую корпоративную благотворительность», — пишет NY Times. Если сопоставить информацию из разных баз, то пользователей очень легко деанонимизировать. Достаточно посмотреть, где телефон остаётся на ночь и куда «приходит» на работу.

Как решить эту проблему?