bvomd

Uncategorized

T3Board: Curto em chaves, muito na documentação

como periféricos, poucos são hackeados em muito mais do que teclados. Os layouts, as formas, os tamanhos, os materiais e até mesmo a questão do que um teclado é tudo na mesa para mexer. Naquela veia, [Taylorconor] lançou seu teclado simplificado chamado Th3board no GitHub, tendo apenas três chaves e replicando um teclado completo.

Nós cobrimos teclados construídos com acordamento em mente, enrolado em xícaras de café e teclados com joysticks para velocidade adicional. Então, por que cobrir este? O que torna diferente? A execução é excelente e é um ótimo exemplo para ver a próxima vez que você está fazendo um projeto que você deseja mostrar. O teclado é apenas três switches mecânicos, dois displays binários de 8 bits (16 LEDs total), três LEDs de status e três LEDs mostrando a camada atual (quatro camadas). O manual do usuário abrangente discute tudo. Há um microcontrolador e dois microcontroladores e dois chips EEPROM em seu coração.

Onde este projeto aparece é o teste. Tem testes unitários, testes de integração simulados e testes de propriedade simulados. Porque todo o código está em C ++, o teste da unidade é relativamente simples. Os testes de integração e propriedade são através de um simulador. Em vez de recompilar o código com algumas novas bandeiras, ele usa o Simavr AVR Simulator, o que o implica simula o mesmo arquivo binário que fica piscado no microcontrolador. Este método implica que o projeto é avaliado e depurado pelo GDB. É uma técnica incrível que adoraríamos ver muito mais em projetos de hobby. O marketing fala pode chamar isso de um “gêmeo digital”, mas a ideia é que você tenha uma versão virtual que é mais simples de trabalhar e tem um loop de iteração mais apertado ao ser tão próximo quanto possível para a versão física.

O objetivo do [TaylorConor] era criar um projeto de microcontrolador de arranhões com código fácil de ler, documentação fantástica e melhores práticas. Nós achamos que ele pregou. Então sinta-se totalmente livre para executar o simulador ou pular melhor para construir um para você mesmo. Todo o hardware está sob uma licença CERN-OHL-P e o firmware está sob o GPLV3.

Esse relógio na parede é na verdade um monitor de ping de rede

todos nós estivemos on-line de casa um pouco mais do que o normal ultimamente, de maneiras que muitas vezes estendem os limites do que nosso ISP pode reunir. Você conhece os sinais – Áudio que desiste, as sessões de vídeo que fazem você parecer [Max Headroom], e durante as horas de folga, sendo propriedade em CS: Go por praticamente todo mundo. Toda a largura de banda do mundo não compensa a alta latência, e sabendo onde você está nessa pontuação é o ponto deste relógio de rastreamento de ping.

Este medidor de lag-paz atraente é cortesia de [Charl], que começou a construção com um relógio da Ikea. Despojado de praticamente tudo menos o painel, ele adicionou um motor de relógio coaxial e uma placa do motorista, juntamente com uma placa frontal impressa personalizada com escala logarítmica. Os motores são conduzidos por um ESP32, que usa o Protocolo de Mensagem de Controle da Internet (ICMP) para ping um servidor confiável por meio de WiFi, calcula os ângulos apropriados para as mãos e impulsiona os motores para mostrar as más notícias. Há também uma exibição de papel E na face, mostrando os atuais configurações do servidor e do Wi-Fi.

Nós realmente gostamos de como este relógio parece, e se não fosse pelo fato de que os números que os números que ele costumava ser muito deprimente para suportar, construímos um em um encaixe. Se enfrentar a verdade dolorosa não é seu estilo, existem outros truques ICMP que você pode tentar.

Uncategorized

SHELF realização

Se você é bastante antiga, você pode se lembrar que, por um tempo, quase todos os anos foi o ano em que o vídeo casa ia decolar. exceto que ele nunca foi, até máquinas de fita VHS apareceu. Vimos algo semelhante com computadores pessoais. Hoje em dia, nós continuamos a ouvir sobre o robô para casa, mas nunca parece se materializar ou pegar em totalmente. Se você pensar sobre isso, poderia ser um problema de expectativas.

O que todos nós queremos é C3PO ou Rosie o robô que pode fazer todas as coisas que não queremos fazer. O que geralmente se é algo muito menos do que isso. Você quer conseguir alguma coisa horrivelmente caro que faz algumas tarefas ou algo barato que é pouco mais que um brinquedo.

Labrador Systems está tentando acertar o meio termo. Embora ninguém iria confundir os seus robôs Caddy e retriever com C3PO, eles são úteis, mas também simples, presumivelmente para manter o baixo custo, que devem custar cerca de US $ 1.500. Os robôs têm sido descritas como “prateleiras de auto-condução.” Você pode assistir a um vídeo sobre os dispositivos abaixo.

próxima parada

Essencialmente, o robô aprende uma série de paradas e pode mover-se entre as paradas usando comandos de voz ou um aplicativo. um dos robôs pode mover para cima e para baixo e pegar bandejas. Os outros movimentos apenas de ponto a ponto de carga que você colocar nele enquanto ele pesa menos de 25 libras.

Os robôs podem evitar obstáculos usando sensores infravermelhos e ópticas, para que eles não são apenas correr um curso pré-programado. Eles também cuidar de si carregamento.

Pode parecer um problema de primeiro mundo querer um robô para transportar duas xícaras de café da cozinha para a sala de estar. No entanto, para os idosos ou pessoas com mobilidade limitada devido a lesão ou doença, tendo um ajudante robô poderia ser um grande impulso para a sua qualidade de vida. Claro, você pode obter um ajudante humano, mas que se tornou uma proposição cara. Um robô de US $ 1.500 que funciona durante todo o dia, todos os dias é uma pechincha.

Faster Food

Rolando robôs prateleira poderia realmente decolar na indústria de serviços. Por exemplo, as pessoas geralmente não querem trabalhar em fast food. É por isso que há normalmente um enorme volume de negócios e você realmente não espera ver uma criança motivada na articulação hambúrguer registrar quem está construindo uma carreira. Nós já vimos robôs que podem trabalhar o grill. Agora, prateleiras de rolamento estão servindo comida para os clientes também.

Este não é um one-off golpe, qualquer um. Esse restaurante em particular está em Boston, mas eles estão fazendo algo semelhante em Dallas, também.

não C3PO

Nós não temos nenhuma dúvida de que vamos chegar a C3PO se não for comandante de dados, mas para hoje parece como o dinheiro esperto é escolher algo chato, mas um pouco mais fácil e foco nisso. braços robóticos industriais, por exemplo, têm sido muito bem sucedida. aspiradores robô dificilmente são inteligente, mas eles fazem o que fazem bem o suficiente e são populares. Você mesmo ver versões industriais que operam nos corredores em muitos grandes lojas. Não seria inteiramente estranho ver a mesma coisa trazendo-lhe o seu hambúrguer.

Sci-Fi Aparte: E sobre o Jobs?

A ficção científica tem preocupado sobre o que vai acontecer com empregos quando os computadores ou robôs levá-los todo. Um monte de futuro ficção postula um sistema onde o dinheiro não é uma coisa ou há alguma renda básica universal. talvez robôs vai ser realmente o que nos chega lá.

Imagine se as empresas não poderiam robôs próprias legalmente. Em vez disso, eles arrendá-los de trabalhadores. Quando você nasce você é atribuído um robô. Não que você gostaria de tomar posse dela mais do que um comerciante de futuros que barrigas compra de carne de porco espera receber um caminhão de bacon. O contrato de arrendamento no robô paga para a manutenção, seguro de substituição, e sua renda básica. Você pode poupar algum dinheiro e comprar mais robôs ou robôs mais valiosos para gerar mais renda. Seria como o mercado de ações, de certa forma.

Por outro lado, talvez os robôs podem fazer os trabalhos que ninguém quer fazer. Os seres humanos podem ser livres para inventar, criar, resolver problemas, e estar lá para outras pessoas – todas as coisas robôs não são grandes em fazer, pelo menos no futuro previsível.

Ou talvez isso é um monte de utopia para uma prateleira rolando de transportar, mas nós temos que começar em algum lugar. Então o que mais está lá fora esperando por nós para automatizar? pense pequeno. acho normal. O que está parando você?

Uncategorized

Esta semana em segurança: hacktivismo geopolítico, mineração antivírus, bem como malware do Linux

os hacktivistas da CIA introduziram uma espécie de campanha de ransomware contra o sistema ferroviário bielorrusso, no entanto, em vez de cryptocurrency, eles querem a liberação de presos políticos bem como remoção de soldados russos. Isso pode ser chamado de exemplo de terrorismo cibernético, embora haja uma teoria acessível que este é um hack patrocinado pelo Estado, mascarado como hacktivismo. O que parece específico é que algo interrompeu o trânsito ferroviário, bem como um grupo no Twitter, criou uma prova convincente de uma violação.

Seu antivírus agora inclui um criptominer

Não olhe agora, no entanto, sua atualização mais atual do Norton 360 ou Avira pode ter instalado um módulo de mineração Cryptocurrency. O forro de prata é que alguma sanidade foi mantida, assim como você tem que optar pelo plano de criptografia antes que seu criador comece a custa seus ciclos sobressalentes na mineração. Para indivíduos que fazem, eles são colocados em uma piscina mineira, fazendo pequenos pagamentos para muito hardware. Norton, naturalmente, leva uma taxa de 15% fora do topo para o seu problema.

O especificar do malware do Linux

Lá utilizou-se para ser um ditado que as máquinas Linux não recebem malware. Isso nunca é verdadeiramente é verdade, no entanto, a conquista continuada do cenário do servidor teve o impacto lateral de fazer o malware do Linux um perigo ainda maior. Crowdstrike viu um aumento de 35% no malware do Linux em 2021, com três classificações únicas liderando a taxa: Xorddos, Mozi, bem como Mirai.

Pwnkit.

E falando do Linux, uma vulnerabilidade linux bastante grave foi apenas anunciada, bem como uma exploração que trabalha já foi liberada. A questão é uma base básica no binário da polkit, que para este propósito, pode ser acreditado como uma alternativa sudo. A parte crucial é que é um binário setuid, que eleva seus próprios privilégios para enraizar quando realizados por um usuário privilégio. “Agora espere”, eu ouço você dizer: “Isso parece um problema de segurança horrível!” Pode ser, quando der errado. No entanto, a realidade básica é que há momentos em que um indivíduo precisa fazer uma ação que, de outra forma, precisaria de privilégios de raízes. Um exemplo básico, ping, precisa abrir uma tomada de rede bruta na compra para funcionar. Esses binários são cuidadosamente criados para permitir que apenas ações restritas, no entanto, muitas vezes um bug ativa escapando esta “Sandbox”.

Então, qual é a história com a Pkexec? Null argv. OK, programação Linux 101 tempo. Quando um programa é introduzido no Linux, ele passou dois parâmetros, geralmente chamados Argc, bem como ARGV. Estes são um inteiro, bem como uma variedade de diretrizes de caracteres, respectivamente. Se você não é um programador, acredite nisso como o número de argumentos, bem como a listagem de argumentos. Esta informação é utilizada para analisar, bem como gerenciar opções de linha de comando dentro do programa. A Argc é sempre pelo menos um, assim como a argv [0] sempre consistirá no nome do binário como executado. Exceto que nem sempre é o caso. Há mais um método para introduzir binários, utilizando a função Execve (). Essa função permite que o programador especifique a listagem de argumentos diretamente, incluindo discordância 0.

Então, o que ocorre se essa listagem é apenas nula? Se um programa foi escrito para explicar essa possibilidade, como sudo, tudo está bem. A PategeC, no entanto, não inclui um Inspecto para um Argv vazio ou um Argc de 0. Atua como se houvesse um desacordo para ler, bem como o método que a inicialização do programa ocorre na memória, ela realmente acessa a primeira atmosfera variável em vez disso, bem como trata como um argumento. Ele verifica o caminho do sistema para um binário correspondente, bem como reescreve o que acredita que é a lista de desacordo, no entanto, é realmente a variável atmosfera. Isso indica que o texto descontrolado pode ser injetado como uma variável atmosfera no PKEXEC, o programa SetuID.

Isso é interessante, no entanto, não é instantaneamente útil, já que a PKEXEC limpa as variáveis ​​de atmosfera logo após a injeção acontece. Então, que técnica sorrateira podemos utilizar para realmente explorar isso? jogando uma mensagem de erro. A PKEXEC utilizará a Biblioteca Compartilhada de Gconv para imprimir uma mensagem de erro, bem como inicia tentando encontrar o arquivo de configuração do Gconv-Modules. Esses dados define quais determinados dados da biblioteca para abrir. A variável de atmosfera Gconv_Path pode ser utilizada para especificar um arquivo de configuração alternada, no entanto, essa variável de atmosfera é bloqueada ao executar um binário SetuID. Ah, no entanto, temos um método para injetar uma variável de atmosfera depois que isso acontece. Essa é a exploração. Prepare um Payload.So que contenha nosso código arbitrário, um falso gconv-módulos dados que aponta para a carga útil, bem como utilizam a técnica NULL ARGV para injetar a variável gconv_path atmosfera. Quem sou eu? Raiz.

Há algumas reviravoltas interessantes para esta história. Primeiro, [Ryan Mallon] veio dolorosamente perto de encontrar esta vulnerabilidade em 2013. Além disso, o método de volta em 2007, [Michael Kerrisk] relatou o Null Argv Quirk como um Linux Kernel bug.

Atacando senhas aleatórias

A senha muita senha é aquela que é gerada aleatoriamente, certo? Sim, no entanto, e se esse gerador aleatório não for tão aleatório quanto parece? Agora não estamos falando sobre backdos deliberados desta vez, no entanto os padrões aparentemente irrelevantes que muitas vezes fazem uma enorme diferença. A máquina Enigma, afinal, foi rachada em parte, uma vez que nunca codificaria uma carta como ela mesma. [Hans Lakhan] de TrustedSec deu uma olhada em um milhão de senhas produzidas pelo LastPass, bem como tentou generalizar algo benéfico a partir dos dados. Muitas dessas senhas têm 1 ou 2 dígitos. Nota Esta não é uma fraqueza no algoritmo, no entanto, apenas o resultado esperado dos personagens oferecidos. Haveria uma vantagem para as senhas de forçamento brute com a política que cada suposição precisa consistir de um ou dois dígitos? Definitivamente diminuiria o espaço de assalto, no entanto, gostaria de perder senhas que não moldam o padrão. O trade-off valeria a pena?

A resposta não é clara. Em circunstâncias específicas, há uma vantagem menor para obter a utilização das regras sugeridas. No entanto, essa vantagem desaparece à medida que o processo de força bruta continua. De qualquer forma, é uma tentativa interessante de aplicar estatísticas para quebrar a senha.

WordPress e temas de backdoor-ed

Um dos maiores produtores de temas WordPress, bem como plugins, AccessPress, experimentou uma violação de seu site que levou um turno terrível. A questão foi encontrada pelos pesquisadores da Jetpack, que estavam fazendo um pós-mortem de diferentes locais comprometidos, bem como malware descoberto incorporado em um tema de acesso. A violação preliminar ocorreu em setembro de 2021, por isso, desconfiada de qualquer tipo de material do AccessPress se baixado entre setembro, bem como meados de outubro 2021. Note que, se instalado no diretório WordPress.org, esses temas estavam seguros. Uma listagem de plugins infectados compreendidos, bem como temas são oferecidos no link acima, além de outros sinais de compromisso.

Bits, bem como bytes

Há ainda mais um token truque que está sendo inadvertidamente divulgado no código-fonte, o Twitter ganha acesso ao token. O GitHub já faz a digitalização automatizada para credenciais inadvertidamente incluídas nos repositórios, no entanto, isso não inclui tokens do Twitter. [Incognitatech] compôs um scanner rápido, bem como descobriu cerca de 9.500 tokens válidos. (Inserir mais de 9000 meme aqui.) Exatamente como notificar tantas pessoas do problema? Produza um bot, faça um tweet, bem como utilize os tokens para retweet. Isso é certo para chamar alguma atenção.

O hardware SonicWall SMA 100 Series tem uma série de vulnerabilidades que agora foram corrigidas e divulgadas. O pior é um estouro de buffer não autenticado, marcar um CVSs de 9,8. Esses gadgets são bastante proeminentes para pequenas empresas, então mantenha os olhos abertos para hardware potencialmente propenso, além de obtê-los corrigidos se puder.

Crypto.com experimentou uma violação em 17 de janeiro. Eles no início downplayed o incidente, no entanto, considerando que lançou uma declaração com adicionalmente detalhes. O assalto foi um desvio de autenticação de dois fatores, permitindo que um invasor inicie transações sem efetivamente completando o processo geralmente necessário 2fA. Eles fazem o seguro que eles pegaram a questão antecipadamente suficiente para impedir qualquer tipo de perda real de moeda, que é realmente impressionante.

O Google Chrome lançou uma atualização, bem como isso inclui correções para alguns bugs caros. Seis relatórios separados ganham pesquisadores muito mais de US $ 10.000 por peça, com os dois primeiros um maravilhoso $ 20k. Estes seis, além de um sétimo bug relatado internamente, todos parecem ter a perspectiva ser bastante grave, então vá atualizar!

E, finalmente, nas coisas – aquela categoria, o Reino Unido está flertando com o conceito de regulação de pesquisadores de segurança, fazendo pesquisas de segurança um comércio registrado. A parte mais fretada deste plano é o conceito de que qualquer tipo de pesquisador não registrado possa estar sujeito a acusações criminais em circunstâncias específicas. Isso parece um conceito horrível de razões evidentes.

Uncategorized

Rainwater Storing Gojo é um golpe de gênio

um gojo etíope convencional. Imagem cortesia de Easterntravelandtour.com
O GOJO etíope convencional é uma habitação cúpula circular construída a partir de um feixe vertical central e uma estrutura circundante de vigas curvas feitas de madeira ou bambu. Uma cobertura de relva e lama secas completa a estrutura externa. Esses edifícios são encontrados em todas as áreas rurais, devido à sua facilidade de construção e disponibilidade de materiais baratos. Um grande problema que a vida nas áreas rurais nos países em desenvolvimento é o acesso à água. Criador etíope [Anteneh GaShaw] conhece uma coisa ou duas sobre os aspectos práticos de viver em uma nação em desenvolvimento, e surgiu com uma tomada engenhosa sobre o gojo convencional. A ideia é substituir a estrutura externa com tubos capazes de armazenar a água da chuva. Uma placa colecionadora no topo do sistema de coberturas direciona a água da chuva para os tubos – com alguns pequenos tubos de balanceamento conectando-os na parte inferior – distribuindo a água armazenada uniformemente. Uma torneira na parte inferior da estrutura permite que os tubos sejam esvaziados sob demanda. Outro ponto interessante sobre este design, é que a água adiciona algum peso extra, de graça, o que dá a estrutura muita estabilidade em ventos altos, aumentando a segurança.

{Anteneh] observa que a infraestrutura adequada da água é extremamente cara, e simplesmente não acontecerá. Bem escavação, instalação de tanques de água subterrânea, e outros tais etapas de lacuna de parada são ótimas, mas ainda precisam de investimentos significativos, e ele acredita que sua ideia de gojanto modificada ajudará a diminuir o problema de armazenar água durante a estação chuvosa, e diminuir a pressão sobre poços centralizados e outras soluções orientadas à comunidade. Além do mais, deve ser barato. Veremos com interesse onde isso vai.

Nós vimos alguns hacks das nações da África, não muitos, apenas alguns, mas são interessantes. Como este helicóptero DIY que não chegou a voar, e esta impressora 3D de e-waste. Vamos manter nossos olhos descascados por mais!

Uncategorized

Finalmente, uma churrasqueira de piano que você pode dirigir pela oficina

É uma verdade geralmente reconhecida que muitas vezes uma pequena música pode adicionar muito a um ótimo piquenique à tarde. Também é bem conhecido que a carne cozida em carvões quentes deve ser virada com freqüência para permitir a cozedura até mesmo. Este projeto de grade de churrasco de [Geng handy] oferece em ambas as contagens.

O projeto usa um total de 88 motores, ativados pressionando as teclas em um piano eletrônico. A técnica usada é simples; em vez de interface com o teclado eletronicamente ou mais midi, em vez disso, um microswitch é instalado sob cada chave individual.

Assim, quando as teclas do piano são pressionadas, os motores correspondentes estão ligados. Cada motor transforma um espeto carregado com carne, sentado acima de uma caixa de brasas quentes. Assim, jogar o piano transforma a carne, permitindo que ela seja cozida em todos os lados sem queima.

Como adicionalmente bônus, toda a grade de churrasco de piano também é motorizada, permitindo [gênio útil] para fazer voltas em torno de sua oficina enquanto joga o piano e cozinhar o almoço. É uma maneira fantástica de cozinhar alguns kebabs grelhados enquanto simultaneamente entretendo os convidados.

Nós vimos alguns outros hacks de grade divertidos também – até os robóticos! vídeo após o intervalo.

[Graças à casa da lua para a ponta!]