TagDaily fail

06.01.2017

Тази година е интересна още от самото си начало. След като разбрахме за DRAMA, Meltdown и Spectre, GPS online service уязвимостта за която писах явно Hackman-a се е хванал и е направил една колекция от whitepapers за уязвимости, които не бяха стигнали до мен.

Btw разбрахте ли, че CEO-то на Intel е продал акции за 20 милиона долара преди няколко месеца? В едно изявление каза, че изобщо не знаел за съществуването на тези проблем :D

 

И последно, обещавам. От Интел споменаха, че ще има извесно забавяне след фиксовете за meltdown/spectre. Някои медии писаха за 5%-10%, други за 30%, после дойде това:

 

Или както се казва – деба.

03.01.2018

Зъб. Цяла вечер ме боля, мамицата му. Смятах в един момент да взема клещите и да стигна до саморазправа.

 

In other news:

  • DRAMA-та се задълбочава. TheRegister описаха случая и няколко техни теста. И един туит описващ всичко:

  • Оказа се, че много online services of GPS location tracking са vulnerable. В общи линии трето лице може да проследи физически клиентите, които използват тези сървиси (описани са в статията). Оказа се също и че някои от провайдърите са идиоти, защото паролите им по подразбиране са 123456.

29.11.2017

Aaaaand here we go again. Опитваш се да се логнеш като root на MacOS High Sierra с празна парола, натиснеш няколко пъти login и … влизаш.

В интересни времена живеем.

 

Още един комикс в колекцията – този на The Perry Bible Fellowship

 

 

 

Днес е голям ден – Злати ме открехна за съществуването на King 180! Препоръчвам.

И още – Джейм Лаурънс явно обича да плува, тича и кара колело. Може би малко по-вече от мен и вас. Всъщност е участвал и завършил успешно 50 Iron man-а в 50 щата за 50 дни. Това освен нечовешко е и крайно впечатляващо.

18.10.2017

Този месец ми е доста неактивен в писането и трябва да наваксам малко.
След като мина голямото ми каране и разказах за него на “Вечер на таланта“,  EU Code Week Varna 2017 и преживях (сравнително леко) втория си дуатлон (и имам видео в БНР в което викам “ДАВАЙ НОРО, ДАВАЙ НОРО!”) се готвя за епичното Zara Code Week в Стара Загора, което ще се проведе на 21-22 Октомври, а аз ще говоря в Неделя. Темата пак ще е “Why QA?”, но далеч по-extended directors cut :) Имам цели два часа и смятам освен теория да покажа и практически неща от занаята. За момента опциите, които пуснах като въпросник са:

  • Performance testing – ще ви покажа как да симулираме посещения от хиляди потребители за да намерим границите на проекта, който тестваме;
  • Security testing – ще ви покажа част от основните методи и инструменти, които използват хакерите;
  • Малко идеи как да оцелеем на първото си интервю – подготовка, знания и как да бъдем chill as fuck;
  • Blackbox testing – как аз тествам като получа нов проект – практически напътствия.

Ако някой му е интересно и ще бъде в Стара Загора може да пише тук или директно да гласува.
Надъхал съм се след сравнително успешната ми лекция във Варна тази в Стара Загора да е повече епична отколкото строго образователна. Пригответе се за малко 18+ хумор, чупене на неща on-the-fly и смачкващо парти Събота вечер.

А да – и не съм карал редовно от два месеца. Това ме убива бавно.

In other news:

 

Това май е най-дългия списък с линкове, който съм пускал в момента :)

monitor.bg копаят биткойни през техния сайт използвайки вашия компютър

Вица на деня е, че monitor.bg са си сложили coin-hive в сайта.

Така като посетите великолепния им сайт пълен с абсолютните истини (!111!!!!!) и несобственост на Пеевски (!11111@1!!!) JS библиотеката ще стартира процес по копаене на вашата машина. На моя i7-7700 го товари на ~30%. Това не значи, че крадат от нас или че ще спечелят десетки биткойна, но не е коректно в никакъв случай.

Радвам се, че съм си оставил addon-а #ДАНСwithme и ми блокира тия пеефски сайтове.

И поста от който видях това е от dev.bg

I’m not even mad. That’s awesome.

Btw Касперски вече информира за сайтове, които имат coin-hive библиотеката в тях.

 

Оказа се, че и The Wall Street Journal са имали същия coin-hive на сайта си. Към днес не го намирам, но от страницата в reddit в която се споменават и други имена има един пич, който е направил набързо сметките:

Alexa states 2 visits/day for each visitor (https://www.alexa.com/siteinfo/wsj.com).

42million visitors * 2 visits per day * 30 days * 3.5 minutes * 60 seconds * 15 hashes * (0.000148xmr per 1m hashes) is $109762usd/month

((42000000*2*30*60*3*15)/1000000)*0.000148 = 1007xmr per month

Мина IT Forum Варна в Технически Университет

Мина и IT Forum Варна, който се проведе в читалнята на Техническия Университет, темата беше “Unsung heroes of the software industry: Quality Assurance Engineers“. Имаше около 10 човека, което е най-малкото участие, което съм имал до момента :) Сигурно проблема е в това, че темите бяха оповестени ден преди събитието, но иначе беше приятно. Бяхме в читалището на НУК. Малко комунистическо, но пък присъствието на толкова много книги стоплят атмосферата. Можете да видите програмата на събитието и от тяхната страница.

Говорих на дълго и на широко за QA, основи, SDLC и още бая работи (при интерес ще опиша лекцията).

Пренаписвам този пост днес 29.12.2017, оригинално започнат на 07.04.2017:

Ще бъда честен – лекцията беше посредствена, а публиката – от 5 човека, буквално.
Първо шест човека ми редактираха лекцията барем нещо да не кажа от свое име и от свободна лекция стана на докторантски труд, второ – организацията беше крайно болезнена – и от страна на фирмата за която работих и от страна на организаторите в ТУ.

Това беше може би най-големия мой лекционен провал за 2017 г.

Следващия път ако получа покана за говоря в ТУ първо ще поговорим с организаторите, защото втори път няма да участвам в такава вяла организация.

 

Малко (дебел) снимков материал.

01.02.2017

Освен първата си по-сериозна статия за колоезденето, която написах днес се случват и други, доста интересни неща.

Например gitlab.com днес си преебаха базата данни. И това не е толкова страшно, защото при нормални условия restore-а би отнел няколко минути, но явно и бекъпите не са били особено полезни

Но освен лошата новина има и нещо хубаво и то е, че GitLab се оказата супер прозрачни откъм този проблем и дори направиха google doc в който описват подробно какво се случва.

И две IT мъдрости:

И това, че има два типа системни администратори – такива, които правят редовни и проверени бекъпи и такива, които вече ще правят. :)

По тази тема след няколко дни ще поръчам за експеримента един VPS на Hatzner за да направя load balancing и database replication + още 1-2 услуги както писах вече в статията за marvin. Ще е интересно и ще пиша за това като го направя.

 

Нещата, които намерих днес:

  • Злати прати днес този супер полезен ресурс – tldrlegal, който показва съвсем накратко популярните лицензни условия с много приятен и прост интерфейс.
  • Не знаех, че Амазон вече са и на low-cost VPS пазара;
  • How fucked is my database е малък сайт, който ви показва по хумористичен начин колко сте преебани използвайки една от следните бази данни – PostgreSQL, MySQL, MSSQL, Oracle, SQLite, MS Access, NoSQL?
  • WordPress с едно много неприятно ново vulnerability. Този път атакуващия може да направи privilege escalation и content injection. Ъпдейт към 4.7.2 е задължителен.

Недко разказва: За сайта на МОН, МВР, НАП, OFFNEWS.bg XSS атаките и OWASP

Днес за пореден път се доказа твърдението, че добрия програмист не пише само функционалност, която да работи, а такава, която е съобразена с множество фактори – скорост, сигурност, логичност. Този път сайтовете са Министерството на Образованието и Науката и Министерство на Вътрешните Работи и новинарския сайт OFFNEWS.BG бяха мишената използвайки очевидно една и съща търсачка. И да ви кажа честно – срам е, че някой не си е escape–нал параметрите за да предтврати един прост XSS, които потребителя подава. Това е нещо тривиално, нещо, което всеки, който пише код трябва да знае и използва. Защото знаете – когато пишем никога не трябва да имаме доверие на потребителите. Ни-ко-га.

Continue reading

Twitter.com is down. Again.

Не се мина много откакто писах по същата тема , но Twitter пак паднаха.

Status.Twitter.com (Който продължава да връща 404 при опит за достъп по https) показва, че проблема не е само от сега. Преди 18 часа е имало проблем с достъпа както и до момента в който пиша статията.

Благодаря на Нико за notice–а.

twitter is down 2

twitter is down again

 

 

Update – Към 14:13 часа на 19.01.2016 г. Twitter.com работи като явно има проблеми с https://pbs.twimg.com. Оттам при опит да се заредят изображенията потребителя получава 503 (Service Temporary Unavialable).Twitter is down 3

Недко разказва: Сайта на Alpha Bank is down

Явно никой не е защитен от downtime или кофти конфигурация както е в този случай.

Online payment gateway-а на Alpha Bank – DeltaPay е долу. И по-скоро IIS-то си му работи, но някой му е счупил конфигурацията.

Сигурно някой пишман админ като мен :)

Alpha Bank website IIS is going crazy

Alpha Bank website IIS is going crazy