MONSTER BRAINS. Pen on paper.

#artwork

мы поздравляем вас с новым нахуй и желаем больше огня и смелости

это был абсолютно уебанский год и мир не станет лучше в следующем

мы посылаем 2026 нахуй и ебем все последующие цифры. мы должны обернуть свою радость и боль в пламя, в котором сгорит старый и гниющий мир. в новом году нам не хватает топлива.

никогда не сдавайтесь и не оборачивайтесь назад — идите только нахуй!

– Итак, Гекс заразился от казначея слабоумием, – подвел итог Чудакулли. – Все элементарно. Настоящая глупость всегда одержит верх над искусственным разумом.
"Санта-Хрякус" (Т. Пратчетт)

🤣 Чисто про ИИ...

Состояние дистроизма в «России» 2025 / Что дальше

Два года спустя мы вновь подводим итоги — и вновь с ограниченным оптимизмом: в нашем крохотном коллективе не завелось сторонников акселерационизма, никакие растущие социальные разломы не кажутся нам счастливой возможностью разглядеть революционный момент. Печатники и печатницы (и мы среди них) устали и ищут не действия, но передышки, компромисса, единодушного мира и покоя. Тенденции прошлых лет окрепли и стали отчётливей: товарно-денежные логики отравляют живые пространства дистроизма, говнификация интернета — пространства виртуальные, но граница между онлайном и офлайном стала заметно тоньше.

При этом главный враг активной дистрибуции — всё ещё ковид. Вы не видите наших зинов так часто, как нам хотелось бы, отчасти потому, что мы не стали менее смертными и более здоровыми, отчасти — потому что нам нет места в этой чумовой гонке за ваше внимание. Сейфспейсы и инклюзивные горизонтальные сообщества безопасны и инклюзивны для обладателей и обладательниц самых пока здоровых тел (либо уже не здоровых, но отчаянных и отчаявшихся). Вовлечённые в активизм и радикальную организацию в турбулентные времена, перед страхом оказаться ещё более неприкаянными и вконец обнищать вынуждены соглашаться с общественным мнением, когда общество и государство наконец добились окончания пандемии — но не явления, а лишь общественного дискурса (чего для многих оказалось достаточным). Мы не ищем ни тихого благополучия, ни яркого портрета в будущих залах славы, но жертвовать собой ради натужной нормальности мы не желаем — ни сами, ни кому ещё. Будущий год хотим посвятить прежде уже открытой теме — оценке рисков прямого действия и организации, теперь с бо́льшим упором на санитарную самооборону сообществ.

Чрезвычайное положение не утихнет, аппарат агрессивной войны не ляжет без дела, репрессии продолжатся. Империя с её тюрьмами, границами и фронтами не падёт, если ей не помочь. Посему: уничтожайте «экономику», атакуйте нормальность и тишину, развивайте практики помощи, будьте смелыми, но не беспечными — будем печься друг о дружке!

Иллюстрация с енотами —@airidescence (которой нам безумно не хватает!)

No Logs, No Masters! 🐦‍⬛
Zwei Soli Shirt Motive in verschiedenen Farbvariationen:
https://black-mosquito.org/kleidung/merch/riseup.html

»Riseup's services are funded by donations from people like you. We try not to ask too often, but we have to ask sometimes. Please consider making a donation if you value this freely available service, appreciate that we don't track or sell your data, or want to support people around the world working towards liberatory social change.«

➡️ https://riseup.net/de

Hello, @crc

File doc/manual.txt (in #Konilo repository) describes an incorrect (probably outdated) dictionary element format: four memory cells instead of three.

fw_update(8) now checks dmesg(8) output in addition to dmesg.boot

Thanks to a commit by Andrew Hewus Fresh (afresh1@), fw_update(8) now checks the output of [runtime] dmesg(8) in addition to the [boot-time] file /var/run/dmesg.boot. The commit message explains the rationale:

CVSROOT:	/cvs
Module name:	src
Changes by:	afresh1@cvs.openbsd.org	2025/12/26 11:19:46

Modified files:
	usr.sbin/fw_update: fw_update.sh fw_update.8 

Log message:
Scan both dmesg.boot and dmesg(8) output for devices

This allows us to detect newly plugged in devices that need firmware
added while still making sure to detect devices available at boot
even if dmesg rolls over with noisy messages.

fixes and ok kn@
I think this is good deraadt@

11 веганских рецептов для новогоднего стола

Хаким Бей резко швыряет читателя в ледяной цинизм своего жестокого и реалистичного колдовства, единственного спасения от смертоносного мумбо-юмбо банкиров и политиков. От псевдологичного рассуждения прямо в дебри упоенного хаоса, взрывающего мир священников, королей, иерофантов, мистиков, учёных и торговцев — «на секунду, что тянется вечность».

Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код

Уязвимости вызваны ошибками в коде для обработки данных и разбора форматов, и не связаны с брешами в криптоалгоритмах. Например, ошибка в парсере приводит к сбою при определении фактически подписанных данных и создаёт условия при которых проверяемые данные могут не совпадать с подписанными данными, что позволяет атакующему подменить открытый текст без доступа к приватному ключу.

Выявленные проблемы:

• Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера. Уязвимость может привести к выполнению кода при обработке в gpg специально оформленных данных. Уязвимость проявляется в функции armor_filter и вызвана двойным увеличением счётчика "n" в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла при записи данных в буфер "buf[n++]". В итоге за пределы буфера записывается лишний байт, а переменная с размером "ret_len" выставляется в значение, превышающее фактическое.
• Возможность создания или перезаписи любого файла, насколько позволяют текущее права доступа, из-за некорректной обработки содержимого поля "filename" в пакете с данными. Уязвимость может использоваться для организации выполнения кода в системе при выполнении получателем команд "gpg --decrypt poc.enc" и "gpg poc.enc" для просмотра присланного атакующим файла poc.enc. Добиться выполнения кода можно, например, через создание файлов ~/.bash_completion или ~/.ssh/authorized_keys.
• Возможность подмены открытого текста, показываемого пользователю при использовании опции "--decrypt" и верификации с использованием отдельной поставляемых цифровых подписей (detached signature, создаются опцией "--detach-sig" и поставляются в отдельном sig-файле). Суть проблемы в том, что при раздельной отправке сообщения и sig-файла, атакующий, контролирующий промежуточный трафик (MITM), может внести в sig-файл изменения, после которых верификация останется успешной, но при просмоторе сообщения из sig-файла при помощи опции "--decrypt" будет выведено другое содержимое.

    echo Plaintext › plaintext
    gpg --detach-sig plaintext
  
    # изменение  plaintext.sig атакующим с добавлением дополнительного текста
  
    gpg --verify plaintext.sig plaintext # верифицировано
    gpg --decrypt plaintext.sig # верифицировано, но выводится другой текст
  

• Возможность дополнения подписанного сообщения произвольными данными с сохранением успешной проверки подписи из-за обрезки данных по границе 20000 символов при вычислении хэша.
• Некорректная проверка кодов аутентифицированного шифрования (MDC - Modification Detection Codes), позволяющая манипулировать зашифрованными пакетами так, что при расшифровке полученный контент будет обработан как другой тип пакета (например, воспринят как предназначенный для публикации открытый ключ).
• Возможность подстановки дополнительных данных в CS-подписи (Cleartext Signature), созданные с использованием флага "--not-dash-escaped" или сконвертированные из отдельно подставляемых подписей (Detached Signature). Уязвимость может использоваться для создания у пользователя ложного впечатления о том, какие данные были фактически подписаны. Например, пользователь может загрузить из заслуживающих доверия источников корректный ключ для проверки цифровой подписи, но атакующий в ходе MITM-атаки может подменить iso-образ и добавить в подпись к образу дополнительный хэш, таким способом, что верификация подменённого образа корректным ключом пройдёт успешно.
• Подстановка дополнительных данных в CS-подписи (Cleartext Signature) в ASCII-представлении через вставку символа с нулевым кодом. Уязвимость, например, позволяет вставить произвольный текст в заголовок Hash.
• Некорректная интерпретация формата OpenPGP, из-за которой сообщение в ASCII-кодированном формате "One-Pass Signed Message" может быть обработано как сообщение "Cleartext Signature" при определённом изменении заголовка. Уязвимость позволяет заменить оригинальные подписанные данные на вредоносное содержимое, сохранив видимость успешной верификации.
• Отсутствие явного разделения в выводе информации об успешности проверки цифровой подписи и содержимого сообщения, что позволяет создавать поддельные неподписанные сообщения, которые при выполнении "gpg --decrypt" выглядят как подлинные.
• Возможность создания OpenPGP-сообщений, которые в gpg будут обрабатываться иначе, чем в других реализациях OpenPGP. Проблема вызвана особенности обработки очень длинных строк в ASCII-представлени OpenPGP-данных.
• Создание условий в процессе верификации цифровой подписи для отката алгоритма проверки хэша до небезопасного SHA1.
• Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа. Атака осуществляется через добавление фальшивого хранилища ключей при помощи опции "--keyring".

Дополнительно выявлены две уязвимости в minisign, упрощённом инструментарии для создания и проверки по цифровым подписям. Обе уязвимости (1, 2) позволяют использовать управляющие последовательности терминала ("\e[1E") или спецсимволы ("\r") в поле с комментарием для модификации вывода программы, например, для замены информации о результате верификации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64517

Гулял по лесу и увидел такую интересную природную конструкцию. Эффект усиливает сжатие пространства телеобъективом.
#природа #darktable #лес #ёлки_палки

Только что наблюдали, как на каком-то корпорате спустили на фейерверки не меньше миллиона. Довольно зрелищно было, и почти все прохожие останавливались, не хуже чем у Петропавловки бывает.