Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=xNG90Mw6QUs
Comic for 2025.01.12
Post Syndicated from Explosm.net original https://explosm.net/comics/32652
New Cyanide and Happiness Comic
The Babylonian Captivity of the Papacy
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=SKhYToO6Q64
Purloins
Post Syndicated from Oglaf! -- Comics. Often dirty. original https://www.oglaf.com/purloins/
Revenge for Pearl Harbor
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=4PbrZiI5EWk
Dell Precision 3260 Compact Review
Post Syndicated from Patrick Kennedy original https://www.servethehome.com/dell-precision-3260-compact-review-intel-core/
In our Dell Precision 3260 Compact review, we see how this “compact” PC performs and find some neat engineering in the process
The post Dell Precision 3260 Compact Review appeared first on ServeTheHome.
Отворените данни на кадастъра – кой ги отвори, проблемите с тях и защо все пак ми харесват
Post Syndicated from Боян Юруков original https://yurukov.net/blog/2025/opendata-kais-problemi/
Преди седмица писах за това как новата система на кадастъра предоставя отворени данни. Те включват както географска информация за парцели, сгради и самостоятелни имоти, така и записи за собствеността на последните от публични и частни юридически и физически лица. За тези няколко дни данните предизвикаха сериозен интерес. Забелязаха се доста добри въпроси, критика, но и откровено подвеждаща информация – къде от притеснение, къде от зла умисъл. Затова искам да разясня няколко неща, включително какво не знаем и какво очакваме да видим.
Защо ги има тези данни?
Първите, които ги вкараха в употреба отвъд GIS системите изглежда бяха BIRD.bg. Аналогично на справките от търговския регистър, те добавиха и тези към търсачката си, която свързва данни за смяна на ръководство, обществени поръчки, еврофондове, споменавания в различни изтекли данни, а сега и собственост на имоти из страната.
Тъй като сайтът на кадастъра все още не предоставя лесна възможност за сваляне да отворените данни, аз го направих автоматично и предоставих архива на BIRD и други. Ще го намерите в края на тази статия, както и скрипта за сваляне. Това, както и факта, че явно първи писах за тях, накара някои да коментират, че аз съм отворил данните. В действителност, за да бъдат тези публично достъпни за свободна употреба данни част от новата система на кадастъра, имат заслуга много хора както в институциите, така и извън нея. На първо място за изискването в закона въобще да има отворен код и отворени данни в такива системи има голяма заслуга Божидар Божанов. Въпреки това виждаме как много често това изискване се пропуска, така че трябва да се даде заслуженото на множество хора, включително политически назначения и отделни хора сред изпълнителите на поръчката, които са направили така, че да се случи. Иначе информацията за тези данни вече беше известна и се е обсъждала в професионалните групи и форуми още през декември.
Доста често да отварям данни, които следва да са достъпни, но не са. Последно така направих с разрешителните за сеч, от години го правя за документите за застрояването и авариите в инфраструктурата. Аналогично от още по-отдавна отварях данните на Столична община за замърсяването на въздуха, когато ресорната агенция отказваше твърдо да публикува навременни данни с разбивка по часове. Когато започнаха да го правят по задължение отвън спрях този поток. В този случай обаче просто разпространих новината, че кадастъра са ги пуснали и може да се използват свободно.
Критика и проблеми
Имаше, разбира се, критика както към новата система, така и към данните. Кадастърът отдавна има проблеми с натоварването, но в случая има оплаквания от функционалността за няколкото хиляди специалисти въвеждащи информация. Доколкото те имат смисъл, осъзнаването защо са важни и какви ще са последствията от тях изисква вникване в материята. Тази седмица е имало среща на министерството, изпълнителите и целевата група на тези системи за оправяне на проблемите и разбирам, че се работи по тях. Има също критика по заданието, следенето на изпълнението и отново срещу определени практики на Информационно обслужване.
Самите данни също имат проблеми и те са в две групи. Първата е за самата справка. Първоначално липсваха данни за няколко общини и селища като Варна, например. На 6-ти добавиха Варна, но пак изглежда, че липсват някои селища. Причината навярно е непълнотата на самия кадастър за цялата територия. В предишната си статия писах, че идентификаторите за физически лица са кодирани, за да не се разкрива лична информация. Първоначалната информация е, че макар кодирани, те са еднакви между различните файлове и така може да се проследи общата собственост на лице без да се разкрива. След статията ми обаче бяха открити редица несъответствия, което може да говори за проблем с алгоритъма. Аналогичен се прилага без проблем при Търговския регистър. Трябва кодирането на ЕГН-тата тук да следва същите правила и настройки както в ТР, за да може информацията да се съпоставя между двете. Не на последно място, свалянето на данните е почти невъзможно на ръка в пълния си мащаб предвид хилядите архиви. Аз написах скрипт за целта, поради което бях сред първите споделили го.
Втората група проблеми са свързани не с новата система, а с качеството на въведената информация, практиките на специалистите работещи с кадастъра, нормативните изисквания към него и исторически причини. Дали даден имот е въведен с очертания, собственост, правилен адрес и прочие информация зависи в голяма степен от това дали е имало нужда за самия собственик. Пример може да бъдат ипотека и продажба. Качеството на тези данни, както и такива в миналото е доста спорно поради редица проблеми от двете страни на масата. Забелязват се грешни адреси, дублирани идентификатори на индивидуални обекти, сгрешени ЕИК на фирми и прочие. Важното тук е, че данните не съответстват непременно с това, което виждаме в имотния регистър, а следва да бъдат само отправна точка за по-нататъшни разследвания.
Имаше, разбира се, оплаквания произтичащи от искрено неразбиране или нарочен опит за внасяне на смут. На няколко пъти се видяха твърдения, че така изтичали лични данни, че толкова голям архив щял да се използва за имотни измами, кражби и изнудване. Риск за измами винаги има, но тези данни по-скоро биха го намалили, отколкото да го увеличат. Данните са достъпни в дори по-голяма пълнота срещу заплащане в имотния регистър. Отворените данни не съдържат лична информация, а тази на компании и общински фирми не е лична или търговска тайна в случая. Аналогични възгласи имаше когато бешемотворен търговския регистър и се видя, че са кухи. Най-любопитна ми беше нишката, която плетат няколко души пишещи по групите и най-вече замесени в имотния бизнес, че тази прозрачност била комунизъм, защото само комунистите ги интересува кой къде какво има, придобива от общински и държавни имоти, национални и градски паркове и сменя като предназначение. Тук не знам какво да отговоря освен, че видимо изкарването на все повече неща на светло притеснява доста хора. Най-сигурен признак за това би бил, ако някой се опита да премахне или ограничи отворените данни на кадастъра с каквото и да е извинение.
Полезни по множество начини
Няма масив от данни, който да е идеален и абсолютно верен към датата на публикуване. Особено в такива мащаби. Ключът към използването правилно на данните винаги е бил да се разбере методологията на събирането им, ограниченията и условностите. Затова винаги прекарвам толкова време в описване именно на тези три неща. Пример са данните за раждаемостта и абортите. Когато писах, че данните от кадастъра са невероятни, имах точно това предвид – въпреки всички описани проблеми и нуждата от чистене на определени очевидни грешки, това е много добър източник, който ще помогне не само за анализи и разследвания сам по себе си, но и е важен базов масив, който да се използва за визуализации на други данни.
В не по-малка степен ще помогне на откриването на проблемите в старите данни, за които говоря по-горе, с въвеждането и практиките на специалистите. Прозрачността в тази си форма изкарва често на преден план дълбоки проблеми в една или друга институция и бранш. Това е причината много министерства и агенции да се опитват всякак да избягват заложеното в закона изискване за отворен код и данни. Отчасти заради лобизъм и активно прикриване на нередности, но в чувствително по-голяма степен страх от видимост на пороците и неефективността. Изисква се смелост и откритост сам да публикуваш подобна информация. Това е най-добрият начин да имаме разбиране и разговор по тези теми и път към поправянето на дефектите.
Може да свалите всички отворени данни на кадастъра към 10-ти януари 2024-та от този архив. Там ще намерите json-ите с линкове и дати на всеки отделен архив с документи, zip с всички свалени документи, един с обърнати всички данни за собственост в csv файл от 24 млн. записа и един с всички shp файлове обърнати в geojson формат и намалена точност на координатите до половин метър, който е по-лесен за използване във визуализации. Ако искате сами да свалите документите, може да използвате полу-автоматичния ми скрипт на bash. Надявам се, че от кадастъра ще направят това по-лесно, например като общ архив от 5Gb.
The post Отворените данни на кадастъра – кой ги отвори, проблемите с тях и защо все пак ми харесват first appeared on Блогът на Юруков.
Comic for 2025.01.11 – The Forest
Post Syndicated from Explosm.net original https://explosm.net/comics/the-forest
New Cyanide and Happiness Comic
The smallest ‘Walkman’?
Post Syndicated from Techmoan original https://www.youtube.com/watch?v=nTwbpHp0TFI
Networking on the Cheap Gigaplus 10Gbase-T Adapter Mini-Review Marvell AQC113
Post Syndicated from Rohit Kumar original https://www.servethehome.com/networking-cheap-gigaplus-10gbase-t-adapter-mini-review-marvell-aqc113/
Even the cheap 10Gbase-T NICs are getting better. We purchased the Gigaplus Marvell AQC113 Adapter for only $67.50 after a promotional code on Amazon. We have seen a few other adapters with a similar chipset, but this one is just a bit more interesting. It is time for a review. Cheap Gigaplus 10Gbase-T Adapter with […]
The post Networking on the Cheap Gigaplus 10Gbase-T Adapter Mini-Review Marvell AQC113 appeared first on ServeTheHome.
First Armored Unit
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=d65kV8w07z8
Git v2.48.0 released
Post Syndicated from jzb original https://lwn.net/Articles/1004776/
Version
2.48.0 of the Git source-code management system has been
released. There is a long list of incremental improvements and bug
fixes; see the announcement and the highlights
blog from GitHub for details.
Friday Squid Blogging: Cotton-and-Squid-Bone Sponge
Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2025/01/friday-squid-blogging-cotton-and-squid-bone-sponge.html
News:
A sponge made of cotton and squid bone that has absorbed about 99.9% of microplastics in water samples in China could provide an elusive answer to ubiquitous microplastic pollution in water across the globe, a new report suggests.
[…]
The study tested the material in an irrigation ditch, a lake, seawater and a pond, where it removed up to 99.9% of plastic. It addressed 95%-98% of plastic after five cycles, which the authors say is remarkable reusability.
The sponge is made from chitin extracted from squid bone and cotton cellulose, materials that are often used to address pollution. Cost, secondary pollution and technological complexities have stymied many other filtration systems, but large-scale production of the new material is possible because it is cheap, and raw materials are easy to obtain, the authors say.
Research paper.
Paolo Mantegazza RIP
Post Syndicated from corbet original https://lwn.net/Articles/1004774/
We have just now received word of the
passing of Paolo Mantegazza, the driving force behind the Real Time Application Interface project
and a key figure in the development of realtime Linux.
Paolo used to describe himself as a simple practitioner of software
development, one of whose missions was to contribute a free
real-time system his students could use, study and improve for
their research work at the university, welcoming others to
join. Many Linux users and businesses owe him a lot, because under
his leadership, the RTAI project has always defended the freedom of
developers to implement real-time systems, particularly at times
when it was threatened. His fierce will for RTAI served the Xenomai
project, as well as others.
He will be missed.
(LWN interviewed Mantegazza in
2001).
Metasploit Wrap-Up 01/10/2025
Post Syndicated from Jacquie Harris original https://blog.rapid7.com/2025/01/10/metasploit-wrap-up-01-10-2025/
New module content (4)
GameOver(lay) Privilege Escalation and Container Escape
Authors: bwatters-r7, g1vi, gardnerapp, and h00die
Type: Exploit
Pull request: #19460 contributed by gardnerapp
Path: linux/local/gameoverlay_privesc
AttackerKB reference: CVE-2023-2640
Description: Adds a module for CVE-2023-2640 and CVE-2023-32629, a local privilege escalation in some Ubuntu kernel versions by abusing overly-trusting OverlayFS features.
Clinic’s Patient Management System 1.0 – Unauthenticated RCE
Authors: Aaryan Golatkar and Oğulcan Hami Gül
Type: Exploit
Pull request: #19733 contributed by aaryan-11-x
Path: multi/http/clinic_pms_fileupload_rce
AttackerKB reference: CVE-2022-40471
Description: New exploit module for Clinic’s Patient Management System 1.0, also dubbed as CVE-2022-40471. The module exploits unrestricted file upload, which can be further used to get remote code execution (RCE) through a malicious PHP file.
WordPress WP Time Capsule Arbitrary File Upload to RCE
Authors: Rein Daelman and Valentin Lobstein
Type: Exploit
Pull request: #19713 contributed by Chocapikk
Path: multi/http/wp_time_capsule_file_upload_rce
AttackerKB reference: CVE-2024-8856
Description: This exploits a Remote Code Execution (RCE) vulnerability identified as CVE-2024-8856 in the WordPress WP Time Capsule plugin (versions ≤ 1.22.21). This vulnerability allows unauthenticated attackers to upload and execute arbitrary files due to improper validation within the plugin.
WSO2 API Manager Documentation File Upload Remote Code Execution
Authors: Heyder Andrade <@HeyderAndrade>, Redway Security <redwaysecurity.com>, and Siebene@ <@Siebene7>
Type: Exploit
Pull request: #19647 contributed by heyder
Path: multi/http/wso2_api_manager_file_upload_rce
Description: Adds an exploit module for a vulnerability in the ‘Add API Documentation’ feature of WSO2 API Manager and allows malicious users with specific permissions to upload arbitrary files to a user-controlled server location. This flaw allows for RCE on the target system.
Enhancements and features (4)
- #19546 from adfoster-r7 – Improves the database module cache performance from ~3 minutes to ~1 minute by performing bulk inserts of module metadata instead of multiple smaller inserts for every
module/reference/author/etc. - #19660 from zeroSteiner – Updates
OptEnumto validate values without being case sensitive while preserving the case the author was expecting. - #19715 from oddlittlebird – Improves
db/README.mddocumentation. - #19718 from sjanusz-r7 – Expose the currently authenticated rpc_token to RPC handlers.
Bugs fixed (3)
- #19719 from bwatters-r7 – The bug in fetch payload resulted in malformed bash command when setting FETCH_DELETE to true, causing syntax error. While we fixed the original error, when we were testing the fix, we noticed a race condition – causing deleting the payload file before executing it. In the final fix, we added random
sleepbetween executing and deleting to prevent race condition and to keep bash syntax integrity. - #19721 from bwatters-r7 – This updates the way the module checks the Windows build version to determine if it’s vulnerable to CVE-2020-0668.
- #19739 from sjanusz-r7 – Fixes an issue with the
post/multi/recon/local_exploit_suggestermodule which would crash if aTARGETvalue was set.
Documentation
You can find the latest Metasploit documentation on our docsite at docs.metasploit.com.
Get it
As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:
If you are a git user, you can clone the [Metasploit Framework repo][repo] (master branch) for the latest.
To install fresh without using git, you can use the open-source-only [Nightly Installers][nightly] or the
commercial edition Metasploit Pro
[$] The state of Vim
Post Syndicated from jzb original https://lwn.net/Articles/1002342/
The death of Bram Moolenaar, Vim
founder and benevolent dictator for life (BDFL), in 2023 sent a shock
through the community, and raised concern about the future of the
project. At VimConf 2024 in
November, current Vim maintainer Christian Brabandt delivered a
keynote on “the new Vim project
” that detailed how the
community has reorganized itself to continue maintaining Vim and what
the future looks like.
Palace of Westminster: The House of Parliament
Post Syndicated from Geographics original https://www.youtube.com/watch?v=G2bHFXhBH-I
Securing Success: Stories from the SOC Webinar Series
Post Syndicated from Emma Burdett original https://blog.rapid7.com/2025/01/10/securing-success-stories-from-the-soc-webinar-series/
In today’s fast-paced threat landscape, SOC (Security Operations Center) teams are under relentless pressure. Cyberattacks are evolving, threat volumes are skyrocketing, and attackers are exploiting vulnerabilities faster than ever. To navigate these challenges, Rapid7 has launched the “Securing Success: Stories from the SOC” webinar series.
This three-part series provides practical insights, expert advice, and actionable strategies for SOC teams. Featuring Rapid7’s leading experts and real-world case studies, the series covers everything from tackling incidents to building long-term resilience in your SOC.
Why Watch? Key Insights from the Series
Webinar 1: Securing Success: Spotlight on the SOC
Kicking off the series, this webinar offers a behind-the-scenes look at Rapid7’s SOC data and incident trends. Learn how attackers are leveraging cloud misconfigurations, exploiting vulnerabilities, and bypassing MFA. The session highlights actionable steps to detect these threats earlier and optimize your defenses.
Watch the Webinar
Webinar 2: Securing Success: Unlimited Incident Response
Dive into an in-depth case study of a ransomware attack and explore how Rapid7’s unlimited incident response service empowers teams to contain and recover from attacks. Discover the importance of leveraging tools like Velociraptor for forensic investigation, implementing robust containment measures, and prioritizing response actions to mitigate impact.
Watch the Webinar
Webinar 3: Securing Success: Strengthening Your SOC
In the series finale, Rapid7’s top experts, including Jaya Baloo and Raj Samani, address how to enhance SOC operations amidst rising attack volumes and evolving threats. From prioritizing vulnerabilities to leveraging curated threat intelligence, this session equips you with the strategies needed to strengthen your SOC and prepare for the future.
Watch the Webinar
Real Stories, Real Solutions
Each session delivers actionable insights through real-world examples and expert guidance:
- Improving Detection and Response: Learn how to identify attackers earlier by addressing common access methods like phishing, cloud misconfigurations, and unpatched vulnerabilities.
- Streamlining Incident Response: Explore Rapid7’s methodologies for tackling complex incidents, ensuring swift containment, and preventing future breaches.
- Building a Resilient SOC: Discover how threat intelligence, prioritization, and collaboration can help your team focus on what truly matters.
Take the Next Step in Protecting Your Organization
Your attack surface is growing, and defending it requires the right tools and the right team of experts by your side. Learn how Rapid7’s Managed Detection & Response can help your organization unify total risk and threat coverage and keep you secure around the clock.
Amplify your SOC with the insights and tools to outsmart emerging threats, zero-in on the high fidelity signals that threaten your organization, and expertly respond around the clock. Discover how to take command with Managed Threat Complete here.
Apps That Are Spying on Your Location
Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2025/01/apps-that-are-spying-on-your-location.html
404 Media and Wired are reporting on all the apps that are spying on your location, based on a hack of the location data company Gravy Analytics:
The thousands of apps, included in hacked files from location data company Gravy Analytics, include everything from games like Candy Crush to dating apps like Tinder, to pregnancy tracking and religious prayer apps across both Android and iOS. Because much of the collection is occurring through the advertising ecosystem—not code developed by the app creators themselves—this data collection is likely happening both without users’ and even app developers’ knowledge.
Anas Bukhash | Perspective of an Interviewer from the Arab World | Talks at Google
Post Syndicated from Talks at Google original https://www.youtube.com/watch?v=1uanweUW5XQ