Седмицата (15–20 януари)

Post Syndicated from Надежда Радулова original https://www.toest.bg/sedmitsata-15-20-yanuari/

Седмицата (15–20 януари)

Paroles, paroles, paroles… се пее в популярния шансон, изпълнен от Далида/Делон. Текстът му представлява диалог, в който мъжът обсипва жената с бонбони, шоколади и комплименти, а тя – макар и с френски финес – горчиво се усъмнява в празните му думи. Рефренът добива гражданственост, както се казва, и често се употребява във връзка с хлъзгавата политическа реторика и празните обещания на политиците.

Ние обаче не говорим празни думи и непоколебимо вярваме в силата им – да ни променят, включително докато те самите се променят. Тази седмица минава под знака на избора на българска дума на 2023 година – инициатива, която Павлина Върбанова (авторката на платформата „Как се пише?“ и езикова редакторка на „Тоест“) и преподавателката по български език и литература Доротея Николова организират за трета поредна година.

Седмицата (15–20 януари)

Може да гласувате за вашите три думи на годината днес, 20 януари, до 14:00 ч.

На този етап са излъчени 10 думи, чието присъствие в класацията не е никак изненадващо. През 2023 г. редица инженерни понятия мигрираха в обществено-политическия лексикон и трайно се задържаха там – „сглобка“, „ротация“, „демонтаж“… Съвсем естествено те попадат в годишната класация. Изборът на думи като „война“, „евроатлантик“ и „Шенген“ също е предвидим.

Лично за мен обаче е много радостен фактът, че един неологизъм, и то изкован в полето на съвременната художествена литература – „времеубежище“ – е предложен за дума на 2023-та от доста хора (апропо, думата „Букър“, изписана на кирилица, също попада в класацията). В България литературните неологизми не са често срещани, но успехът на романа на Георги Господинов позволява „времеубежище“ да се нареди до добили световна слава и употреба думи като „утопия“ (Томас Мор), „пандемониум“ (Джон Милтън), „лилипут“ (Джонатан Суифт), „робот“ (Карел Чапек), „нимфетка“ (Владимир Набоков), „самолет“ (Игор Северянин), „невромантик“ (Уилиям Гибсън) и др.

До краткия списък с номинации е стигнало и словосъчетанието „изкуствен интелект“. Този избор съвпада с избора на „Колинс“ за 2023 г. Нямаме информация колко се е увеличила употребата на въпросната дума конкретно в България, но според издателя на речника през 2023-та съкращението AI (от изкуствен интелект, или ИИ) се е използвало четири пъти повече в сравнение с предишната година.

И ако сте от хората, които споделят тревогите на Илон Мъск или Ноа Харари, свързани с експанзията на ИИ, чуйте двете части на суперинтересния разговор на Георги Стоев от подкаста Ex Ante с Йовко Ламбрев, ИТ експерт и съосновател на „Тоест“. Двата епизода са по 20 минути, потърсете ги в своето подкаст приложение – ето линковете към първата и втората част в Spotify. Въпреки високотехнологичната тема, посланието и на двамата е кристално ясно, отрезвяващо и донякъде успокояващо. Накратко – все още има смисъл да сме човеци.

Седмицата (15–20 януари)

Оставаме в темата с продължението на текста на Атанас Шиников от миналата седмица – „Изкуственият интелект на Аллах“, в който е допусната възможността ИИ в ролята на дигитален религиозен авторитет да се окаже не просто ненадежден съветник на мюсюлманите, но и опасен манипулатор. При всички положения, независимо дали контекстът е светски, или религиозен, ИИ продължава да е unheimlich явление, което поставя под въпрос контрола ни (доколкото имаме такъв) върху света, върху самите нас…

„Повикахме виетнамци, а дойдоха хора“ – така е озаглавена статията на Светла Енчева, която коментира неотдавнашната спогодба за внос на „работна ръка“ от Виетнам. Тези „работни ръце“ обаче не са продукт на ИИ. Тоест в страната ни се очаква да дойдат истински хора със своите лични истории и мечти. И ако изберат България за втора родина, ние трябва да сме готови да посрещнем този избор. Светла Енчева напомня за проблематичната интеграция на турските гастарбайтери в Германия през втората половина на ХХ век и призовава да не забравяме уроците на близкото минало.

Без да сме се „наговаряли“, в броя има още една статия, чийто фокус са турските гастарбайтери в Германия – „Добре дошли в Алманя“. Всъщност става дума за поредица от три текста на писателката Емине Садкъ – „Гастарбайтерската песен като дом“. Тази седмица ще научите повече за първите десетилетия от „алманската одисея“ на турските работници, за създаването на казината, за първата голяма звукозаписна компания и за култови музиканти и дисиденти, като Джем Караджа.

Човешката крехкост и уязвимост е на прицел във времена на икономически кризи и миграции, но и в ситуации на преврати, на войни, на диктаторски режими. Такъв е контекстът на книгата, избрана от Стефан Иванов за рубриката „На второ четене“ – „Анатомията на едно изчезване“ от Хишам Матар. А историята за завинаги изчезналия баща е колкото лична и локална, толкова универсална и съпреживима.

В момент, в който ковид торнадото като че ли се кротна и отстъпи място на баналните сезонни вируси, животът се върна в обичайните си релси и задължителните маски слязоха от лицата ни, Екатерина Петрова насочва вниманието ни към етимологията на една ключова за есента и зимата дума – грип. Прочетете защо La grippe, c’est chic. Както обикновено става в тази рубрика, покрай основното ще научите и други неща, вдъхновяващи филологическите фантазии.

В новия си текст „Училище за родители“ от рубриката „Възможното образование“ Донка Дойчева-Попова ни представя портите на българското училище като своеобразна стена, отделяща учителското съсловие от родителското, а по този начин – разполовяваща и живота на самите деца от най-ранна възраст. Защо системата допуска, толерира и дори налага подобно разделяне, от което губят всички страни? Въпрос, по който си струва да помислим, особено в момент, в който същата система прави опити да се реформира.

За голямо съжаление, опитите за реформи и в другите сфери, например в съдебната система, не само че ни предлагат „още от същото“, ами го и поизмиват, преди да му надянат новите дрехи и да ни го представят – ни лук яло, ни лук мирисало. Как недопустимото изведнъж се превръща в допустимо? На каква цена? Прочетете извънредно мрачния анализ на Емилия Милчева „Десантът на партийните лейтенанти“ и пийте още една студена вода (сигурна съм, че няма да ви е първата). След този текст човек се пита не просто за кого да гласува оттук нататък, а всъщност защо и за кого изобщо е гласувал досега…

Все пак, преди да се разочаровате (за пореден път) или разгневите (за пореден път), или пък да попеете съботно с Далида – не забравяйте да гласувате за дума на годината. Защото, ако нещо остава след нас, това са думите. Не ги изпразвайте от смисъл. Те помнят онова, което цял живот съзнателно или несъзнателно забравяме. Те са нашето убежище.

Metasploit Weekly Wrap-Up 01/19/24

Post Syndicated from Brendan Watters original https://blog.rapid7.com/2024/01/19/metasploit-weekly-wrap-up-01-19-24/

Unicode your way to a php payload and three modules to add to your playbook for Ansible

Metasploit Weekly Wrap-Up 01/19/24

Our own jheysel-r7 added an exploit leveraging the fascinating tool of php filter chaining to prepend a payload using encoding conversion characters and h00die et. al. have come through and added 3 new Ansible post modules to gather configuration information, read files, and deploy payloads. While none offer instantaneous answers across the universe, they will certainly help in red team exercises.

New module content (4)

Ansible Agent Payload Deployer (1 of 3 Ansible post modules)

Authors: h00die and n0tty
Type: Exploit
Pull request: #18627 contributed by h00die
Path: linux/local/ansible_node_deployer

Ansible Config Gather (2 of 3 Ansible post modules)

Author: h00die
Type: Post
Pull request: #18627 contributed by h00die
Path: linux/gather/ansible

Ansible Playbook Error Message File Reader (3 of 3 Ansible post modules)

Authors: h00die and rioasmara
Type: Post
Pull request: #18627 contributed by h00die
Path: linux/gather/ansible_playbook_error_message_file_reader

Description: This adds 3 post-exploitation modules for Ansible. The first one gathers information and configuration. The second exploits an arbitrary file read that enables an attacker to read the first line of a file (typically /etc/shadow), when the compromised account is configured with password-less sudo permissions. The last one is an exploit that can deploy a payload to all the nodes in the network.

WordPress Backup Migration Plugin PHP Filter Chain RCE

Authors: Nex Team, Valentin Lobstein, and jheysel-r7
Type: Exploit
Pull request: #18633 contributed by jheysel-r7
Path: multi/http/wp_backup_migration_php_filter

Description: This adds an exploit module that leverages an unauthenticated RCE in the WordPress plugin Backup Migration versions prior to 1.3.7. This vulnerability is identified as CVE-2023-6553. This also adds a library that implements a technique called PHP Filter Chaining which allows an attacker to prepend bytes to a string by continuously chaining character encoding conversion.

Enhancements and features (2)

  • #18596 from dwelch-r7 – Updates multiple SMB modules to work with the new upcoming SMB session type support. This beta functionality is currently behind a feature flag, and can be enabled with features set smb_session_type true.
  • #18682 from adfoster-r7 – Add tests for Msf::Exploit::Local module types to ensure that sysinfo will not break again in the future.

Bugs fixed (2)

  • #18655 from adfoster-r7 – Ensures the module will automatically be used when the hierarchical search functionality is enabled and only one module result is found.
  • #18710 from adfoster-r7 – Fixes an uninitialized constant Msf::Simple::Exploit::ExploitDriver exception that could sometimes occur when running Metasploit framework’s payload modules.

Documentation added (1)

  • #18702 from Sh3llSp4wn – Updates the documentation for the private and public fields in lib/metasploit/framework/credential.rb to be correct.

You can always find more documentation on our docsite at docs.metasploit.com.

Missing rn-* label on Github (1)

PLEASE ADD RN-TAGS TO THESE PULL REQUESTS BEFORE RELEASING THE WRAP UP, AND RERUN THE WRAPUP SCRIPT

  • #18398 from errorxyz – Fixes deprecation warnings when running the auxiliary/admin/scada/modicon_password_recovery, auxiliary/scanner/lotus/lotus_domino_hashes, auxiliary/sniffer/psnuffle, exploits/unix/webapp/vbulletin_vote_sqli_exec exploit modules with a database connected.

Get it

As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the
commercial edition Metasploit Pro

SourceHut outage post-mortem

Post Syndicated from daroc original https://lwn.net/Articles/958794/

SourceHut has published

a post-mortem of its
outage earlier this month.
The post-mortem covers the causes of the outage and what steps SourceHut
took to mitigate it, ending by saying:

As unfortunate as these events were, we welcome opportunities to stress-test
our emergency procedures; we found them to be compatible with our objectives
for the alpha and we learned a lot of ways to improve our reliability
further for the future. We are going to continue working on our
post-incident tasks, building up our infrastructure’s resilience,
reliability, and scalability as planned. Once we address the high-priority
tasks, though, our first order of business in the immediate future will be
to get some rest.

[$] Jujutsu: a new, Git-compatible version control system

Post Syndicated from daroc original https://lwn.net/Articles/958468/

Jujutsu is a Git-compatible
distributed version control system originally started as a hobby project by
Martin von Zweigbergk in 2019. It is intended to be a simpler, more performant
Git replacement. Jujutsu boasts a radically simplified user interface and integrates
ideas from patch-based version control systems for a novel take on resolving
merge conflicts. It is written in Rust and available under an Apache 2.0 license.

Zelle Is Using My Name and Voice without My Consent

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/01/zelle-is-using-my-name-and-voice-without-my-consent.html

Okay, so this is weird. Zelle has been using my name, and my voice, in audio podcast ads—without my permission. At least, I think it is without my permission. It’s possible that I gave some sort of blanket permission when speaking at an event. It’s not likely, but it is possible.

I wrote to Zelle about it. Or, at least, I wrote to a company called Early Warning that owns Zelle about it. They asked me where the ads appeared. This seems odd to me. Podcast distribution networks drop ads in podcasts depending on the listener—like personalized ads on webpages—so the actual podcast doesn’t matter. And shouldn’t they know their own ads? Annoyingly, it seems time to get attorneys involved.

What would help is to have a copy of the actual ad. (Or ads, I’m assuming there’s only one.) So, has anyone else heard me in a Zelle ad? Does anyone happen to have an audio recording? Please email me.

And I will update this post if I learn anything more. Or if there is some actual legal action. (And if this post ever disappears, you’ll know I was required to take it down for some reason.)

The collective thoughts of the interwebz