Запустил свой подкаст «Код доступа».

Подписка доступна в Spotify и Apple Podcasts. Так же есть RSS и можно слушать на сайте.

Буду благодарен за подписки: https://koddostupa.com/

Вчера во всех ИТ (и не только) каналах брюзжали о том, какой плохой 2ГИС и как ФСБ ворует все наши данные.

Сегодня 2ГИС написали что случилось

https://habr.com/ru/companies/2gis/articles/786006/

Large Model Systems Organization

В пятницу первой рабочей недели предлагаю продолжить тему использования LLM в своей повседневной деятельности.
В прошлом году я уже писал про CodeLlama, которая умеет в код на Python, C++, C#, Java, PHP, Typescript (Javascript) и обучалась на специализированных датасетах, но использовать ее на HuggingFace не очень удобно, а чтобы поднять локально необходимо значительные вычислительные ресурсы.

Поэтому хочу порекомендовать проект https://chat.lmsys.org/, который позволяет с помощью браузера получить доступ к большому количеству различных проприетарных и открытых моделей (28 моделей, в том числе ChatGPT-4, ChatGPT-3.5 и Claude-v1) абсолютно бесплатно, без регистрации и VPN. Это некоммерческая платформа с веб интерфейсом, API и CLI c открытым исходным кодом от Large Model Systems Organization университета UC Berkeley с целью сделать использование LLM доступным всем желающим. Также целью этого исследования является создания benchmark для сравнения эффективности существующих моделей на основе анонимного голосования пользователей по опыту использования на платформе.

Мне очень нравится функциональность Chatbot Arena, где можно выбрать 2 любые модели из списка и получать, сравнивать ответы и работать с ними одновременно, в параметрах можно задать temperature (случайность сгенерированного результата), выборку Top-P (выбор токенов из вариантов с наибольшей вероятностью) и max output tokens. Можно поиграться с разными моделями и параметрами для решения различных прикладных задач, выбрать своих фаворитов и поделиться своим опытом на платформе и в комментариях под этим сообщением😊

А для тех кому интересна безопасность LLМ, исследования, уязвимости, способы эксплуатации и прочее из мира AI/ML Security рекомендую отличный тематический канал моего хорошего товарища - https://t.me/pwnai

PS: Желаю всем удачного окончания недели и отличных выходных!

Есть несколько способов деплоя из GitLab в kubernetes:

- GitLab Runner в целевом k8s кластере. Деплой через kubectl apply с правами ServiceAccount раннера

- GitOps. Деплой из сторонней системы, типа argoCD, Flux

- Деплой из любого раннера. Джобе нужен kubeconfig и сетевая связность с целевым кластером

- GitLab Agent Server for Kubernetes. Требуется отдельный сервер с доступом к k8s кластеру

Для работы GitLab Agent Server for Kubernetes (KAS) на кластер необходимо установить агента.
Что самое интересное - эта фича позволяет не только взаимодействовать с к8с из пайплайнов (читай - деплоить), но и работать с кластером через привычный kubectl. Права берутся из прав на конкретный проект, авторизация - через GitLab.

Сам я такой способ вживую не видел, но звучит интересно. Если кто-то имеет опыт - поделитесь в комментариях насколько это удобно и какие сложности возникали

ContainerCVE - онлайн платформа для поиска уязвимостей в публичных образах на hub.docker.com. Использует под капотом trivy

#security #docker

Смотреть YouTube через RSS:
+ лента действительно твоя, а не "оптимизированная"
- надо настраивать

Ох какой молодец. Я б даже на пиво перевёл Робингуду

Не так давно я рассказывал как похекал хакеров, и потом это вылилось в целый доклад от n26 банка на конференции.
Но тут похек "хакеров" вышел на новый уровень.
Полагаю что "сотрудникам сбербанка" на шконке было предложено сходить по ссылкам и что-то ввести. Из-за чего всё награбленно пропало. А дальше подгорело одно место 🔞
Весьма смело конечно исполнять такое... Надеюсь победителей/робингудов не судят.

В комментах одного сетевого канальчика веселое пишут:

$ host ipv6.yandex.ru
ipv6.yandex.ru has address 213.180.204.242

В лучшем чате для девопсов и сисадминов время послеобеденных ссылок от дядюшки Слэша

На этот раз карта инфраструктурных сетей
https://openinframap.org/

Исследователи из Snyk нашли ряд уязвимостей в runc и docker, благодаря которым можно совершить container escape:

1) CVE-2024-21626: Several container breakouts due to internally leaked fds
2) CVE-2024-23653: Interactive containers API does not validate entitlements check
3) CVE-2024-23652: Possible host system access from mount stub cleaner
4) CVE-2024-23651: Possible race condition with accessing subpaths from cache mounts

Все уязвимости оцениваются от high до critical. Необходимые патчи уже выпущены.

Также для преждевременного обнаружения эксплуатации данных уязвимостей был выпущен инструмент leaky-vessels-dynamic-detector.

Дошли руки (или глаза) почитать Developer Survey от стековерфлоу

По близким этому каналу темам выделены пять направлений: DevOps, SRE, Cloud Infrastructure Engineer, Security Professional, System Administrator

За уровень зарплат в евросоюзе, я возьму Германию. Кажется, что цифры +/- отражают средний уровень европейских зарплат:
- SysAdmin 56k
- DevOps 70k
- Security 99k (не указано по Германии. Взял общее)
- Cloud 85k
- SRE 115k (не указано по Германии. Взял общее)

В Штатах денег примерно в два раза больше
- SysAdmin 87k
- DevOps 160k
- Security 173k
- Cloud 185k
- SRE 180k

Что удивительно, у всех направлений примерно одинаковый средний опыт работы опрошенных — 10-11 лет

14% всех опрошенных развивают свой бизнес параллельно работе

Про налоги и расходы сами ищите инфу, а я пошел собирать чемоданы

Моделирование угроз — это анализ представлений системы, чтобы выявить проблемы, связанные с характеристиками безопасности и конфиденциальности.

На самом высоком уровне, когда мы моделируем угрозы, мы задаем четыре ключевых вопроса:

Над чем мы работаем?
Что может пойти не так?
Что мы собираемся с этим делать?
Сделали ли мы достаточно хорошую работу?

https://www.threatmodelingmanifesto.org/

📺 FOSDEM'24 проходит в эти дни в Бельгии...

- Некоторые записи первого дня доступны по ссылкам на странице (выбираем трек, затем тему в нём) - https://fosdem.org/2024/schedule/tracks/

- Трансляция доступна по ссылке - https://fosdem.org/2024/schedule/streaming/

#видео #fosdem

State of eBPF 2024

- New eBPF-based central processing unit schedulers that resulted in 5% CPU bandwidth gains on some of Meta’s largest applications

- Many of the US hyperscalers— Meta, Google, Netflix–use eBPF in production. Every Android phone uses eBPF to monitor traffic. Every single packet that goes in and out of a Meta datacenter is touched by eBPF

- If a vulnerability occurs in the kernel, for instance, fast fixes can occur via eBPF without altering the kernel code, allowing for security updates on the fly

Intro to Large Language Models

Языковые модели за час. Самое важное об устройстве LLM в первых 20 минутах. Но я рекомендую посмотреть полностью. В видео всё, о том как устроены популярные языковые модели: GPT, LLAMA, Bard

Part 1: LLMs
- LLM Inference
- LLM Training
- LLM dreams
- How do they work?
- Finetuning into an Assistant
- Summary so far
- Appendix: Comparisons, Labeling docs, RLHF, Synthetic data, Leaderboard
Part 2: Future of LLMs
- LLM Scaling Laws
- Tool Use (Browser, Calculator, Interpreter, DALL-E)
- Multimodality (Vision, Audio)
- Thinking, System 1/2
- Self-improvement, LLM AlphaGo
- LLM Customization, GPTs store
- LLM OS
Part 3: LLM Security
- LLM Security Intro
- Jailbreaks
- Prompt Injection
- Data poisoning
- LLM Security conclusions

Язык английский. Говорят, яндекс браузер умеет переводить видео

Надеваем шапочки из фольги — на GitHub опубликовали слитые секретные данные китайской шпионской компании, сотрудничающей с правительством.

Там буквально все, что вы видели в фильмах про хакеров: приложения для кражи контактов и фотографий с других смартфонов (в том числе Apple, да), инструкции по использованию ботнетов на бытовой технике, и даже гаджеты для перехвата трафика в сетях Wi-Fi, замаскированные под павербанки Xiaomi.

Подробнее можно почитать вот тут, только запаситесь успокоительным.

А пока в канале тишина, где-то в Америке идет Passive and Active Measurement Conference 2024.
Список докладов довольно интересен:

- Crawling to the Top: An Empirical Evaluation of Top List Use

- Towards Improving Outage Detection with Multiple Probing Protocols

- Designing a Lightweight Network Observability agent for Cloud Applications

- SunBlock: Cloudless Protection for IoT Systems

- Spoofed Emails: An Analysis of the Issues Hindering a Better Use and Larger Deployment of DMARC

- Trust Issue(r)s: Certificate Revocation and Replacement Practices in the Wild

- Watching Stars in Pixels: The Interplay of Traffic Shaping and YouTube Streaming QoE over GEO Satellite Networks

- Can LEO Satellites Enhance the Resilience of Internet to Multi-Hazard Risks?

- Out in the Open: On the Implementation of Mobile App Filtering in India

- Dom-BERT: Detecting Malicious Domains with Pre-training Model

- On the Dark Side of the Coin: Characterizing Bitcoin use for Illicit Activities

- Promises and Potential of BBRv3

- QUIC Hunter: Finding QUIC Deployments and Identifying Server Libraries Across the Internet

- Data Augmentation for Traffic Classification

- WHOIS Right? An Analysis of WHOIS and RDAP Consistency

- Insights into SAV Implementations in the Internet

- A tale of two synergies: Uncovering RPKI practices for RTBH at IXPs

- Anycast Polarization in The Wild

- Inside the Engine Room: Investigating Steam’s Content Delivery Platform Infrastructure in the Era of 100GB Games

- Network Anatomy and Real-Time Measurement of Nvidia GeForce NOW Cloud Gaming

- Exploring the Discovery Process of Fresh IPv6 Prefixes: An Analysis of Scanning Behavior in Darknet and Honeynet

- Following the Data Trail: An Analysis of IXP Dependencies

- From Power to Water: Dissecting SCADA Networks Across Different Critical Infrastructures

- A First Look At NAT64 Deployment In-The-Wild

- Ebb and Flow: Implications of ISP Address Dynamics

- Swamp of Reflectors: Investigating the Ecosystem of Open DNS Resolvers

- You can Find me Here: A Study of the Early Adoption of Geofeeds

Трансляция в зуме. Требуют регистрации. Ссылку на зум не даю, т.к. считаю, что нужно регаться, чтобы организаторы понимали свою аудиторию. Про запись трансляции ничего не нашел, но уверен, что кто-то запишет и выложит

На сайте есть записи с прошедших конференций