7 lutego 2025

◢ #unknownews ◣

Zapraszam do lektury dzisiejszego wydania.

Jeśli interesuje Cię tematyka wirtualizacji i budowy własnego LAB-a z użyciem Proxmoxa, to koniecznie zobacz stronę sponsora tego wydania newslettera.

1) Porzucone buckety S3 jako źródło ataków supply-chain - case study
https://labs.watchtowr.com/8-million-requests-later-we-made-the-solarwinds-supply-chain-attack-look-amateur/
INFO: Pamiętasz badaczy, którzy kupując starą domenę, przejęli rejestr domen MOBI? Albo tych, którzy zbackdoorowali backdory webowe? No to dziś wrzucam trzeci artykuł od tej samej grupy. Tym razem postanowili wyszukać w necie porzucone (takie, które niegdyś były używane, zostały usunięte i można je zarejestrować ponownie) buckety na AWS i wykorzystać je do ataku na aplikacje, które nieświadomie nadal z nich korzystają. Okazuje się, że to dość prosty sposób na zaatakowanie kilku firm z listy Fortune 500. Dobry tekst dla fanów cybersecurity i pentestów.

2) Nielegalny handel fałszywymi dokumentami przez aplikacje mObywatel
https://demagog.org.pl/analizy_i_raporty/kwitnie-handel-falszywym-mobywatelem-niebezpieczny-biznes-takze-dla-wyborow/
INFO: Dawniej popularne było sprzedawanie tzw. kolekcjonerskich dowodów osobistych. Od czasu pojawienia się aplikacji mObywatel zaczęły pojawiać się “kolekcjonerskie wirtualne dowody osobiste”. Mówiąc prościej, są to aplikacje, które udają oryginalnego mObywatela i umożliwiają uzyskanie benefitów, jakie daje prawdziwa aplikacja. Nie mówię tu tylko o możliwości kupna alkoholu przez nieletnich, ale także mam na myśli takie zagrożenia jak wzięcie udziału w wyborach, posługując się fałszywą tożsamością. Skąd ta nagła popularność fałszywych dowodów i dlaczego tego rodzaju oszustwa są tak łatwe w realizacji? Tego dowiesz się z artykułu.

3) Trening własnego modelu AI do generowania obrazów na podstawie własnych zdjęć
https://www.coryzue.com/writing/make-ai-pictures-of-yourself/
INFO: Istnieje obecnie wiele modeli do generowania grafiki, które potrafią podmieniać twarze na zdjęciach albo generować superbohatera z Twoim wizerunkiem. A co, jeśli powiem Ci, że za niespełna 3 dolary jesteś w stanie wytrenować wyspecjalizowany model, który obsługuje tylko Twoją twarz? I do tego robi to szybko, tanio (jakieś 3 centy za każde nowe zdjęcie) i w całkiem dobrej jakości? Artykuł zawiera poradnik, jak taki model wytrenować, jak to wszystko skonfigurować i jak go później używać. Cały proces nie wymaga dużo wysiłku.

4) SQLite vs PostgreSQL - porównanie wydajności i migracja danych
https://www.twilio.com/en-us/blog/sqlite-postgresql-complicated
INFO: Firma Twilio stworzyła dashboard do analizowania ruchu na blogach i użyła do tego bazy SQLite. Jednak wzrost użytkowników sprawił, że musieli zastanowić się, czy ta baza nadal będzie spełniała ich wymagania. Testy wykazały, że w pewnych warunkach PostgreSQL sprawdzałby się znacznie lepiej. Pytanie tylko jak przemigrować dane z jednej bazy do drugiej? Nie da się także jednoznacznie odpowiedzieć, która z tych baz jest lepsza, ponieważ w różnych zadaniach sprawują się one z różną skutecznością. Jeśli więc chcesz podjąć decyzję, którą bazę wybrać, to wszelkiego rodzaju benchmarki powinny uwzględniać Twoje specyficzne przypadki użycia. Mała baza SQLite nadal wypada bardzo konkurencyjnie w pewnych scenariuszach obciążeń.

5) Sztuczna inteligencja vs 11-latek - kto lepiej ogarnia zagadki matematyczne?
https://blog.michalprzadka.com/posts/gmil-benchmark/
INFO: Dawniej mówiło się, że modele językowe, z których korzystamy obecnie, są na poziomie mniej więcej 5-6-letniego dziecka. Autor tego artykułu postanowił przeprowadzić eksperyment i dał zadania matematyczne do rozwiązania swojej 11-letniej córce, a następnie te same zadania dał modelom językowym. Kto lepiej radzi sobie z wnioskowaniem i udzielaniem poprawnych odpowiedzi? Czy współczesne modele wyprzedziły już poziom 11-letniego dziecka, czy może jest im jeszcze do tego daleko?

6) Jak wygląda życie po sprzedaży własnej firmy IT?
https://mtlynch.io/solo-developer-year-7/
INFO: Ciekawa perspektywa bycia ‘soloprzedsiębiorcą’ opisana z punktu widzenia programisty, który rzucił pracę w Google, a następnie założył własny startup, który później sprzedał. Czego się nauczył w tym czasie, jak starał się zapewnić balans między życiem prywatnym a pracą, które technologie poznał w międzyczasie, które wg niego są warte uwagi itp. Sporo przemyśleń. Taka lżejsza lektura na piątek.

7) Darmowe szkolenie z Proxmox. Jak zacząć? Obsługa, sieć i VLANy. Ile zarabia administrator? [sponsorowane]
https://asdevops.pl/warsztaty/
INFO: Zapraszamy na webinar poświęcony wirtualizacji serwerów i sieci z wykorzystaniem technologii Proxmox. Wyjaśnimy, czym jest wirtualizacja i jak działa, a także pokażemy, jak rozpocząć swoją przygodę z tą technologią. Wprowadzimy Cię w świat automatyzacji, pokazując sposoby na uproszczenie zarządzania infrastrukturą. Poruszymy również temat archiwizacji i backupów z wykorzystaniem Proxmox Backup Server (PBS). Szkolenie odbędzie się w poniedziałek 10 lutego o 13:00 i potrwa około półtorej godziny. Jeśli nie będzie Cię na żywo, otrzymasz dostęp do nagrania.

8) NanoKVM - zdalne zarządzanie domowym labem za pomocą miniaturowego KVM-a (film, 16m)
https://www.youtube.com/watch?v=r3hPZqbQYz4
INFO: Systemy KVM używane w serwerach są często duże, nieporęczne i drogie, ale nie zawsze musi tak być. NanoKVM to niewielkie urządzenie, które umożliwia realizację tego samego, co bardziej rozbudowany odpowiednik, ale jest zamknięte w zgrabnej, małej obudowie, którą można zmieścić nawet w środku serwera. Może to być ciekawy gadżet do zastosowania w domowym labie. Zobacz na filmie, jak to wygląda i jak działa w praktyce.

9) Jak działają algorytmy aplikacji randkowych? - kilka zaskakujących faktów
https://blog.luap.info/what-really-happens-inside-a-dating-app.html
INFO: Ciekawa analiza tego, co dzieje się w aplikacjach randkowych oraz garść statystyk, które mocno podkreślają różnicę w tym, jak projektuje się te aplikacje pod kobiety, a jak pod mężczyzn. Jak liczona jest atrakcyjność użytkownika? Która płeć spędza więcej czasu w aplikacji? Dlaczego feed kobiet jest bardziej zróżnicowany? Długi, ale zawierający sporo ciekawostek tekst.

10) Lista 7 modeli mentalnych dla menedżerów w branży IT - jak podejmować lepsze decyzje?
https://zaidesanton.substack.com/p/mental-models-for-engineering-managers
INFO: Jeśli zarządzasz projektami czy zespołami, podejmowanie decyzji jest integralną częścią Twojej pracy. Jak w takim razie robić to lepiej i sprawniej? W tym artykule znajdziesz 7 sprawdzonych technik na to, jak zmusić się do mniej szablonowego myślenia, co może doprowadzić do podjęcia lepszej decyzji. Techniki te możesz zastosować zarówno w swoim codziennym życiu, jak i wtedy, gdy nie jesteś menedżerem, a na przykład szeregowym pracownikiem. Są one po prostu najbardziej użyteczne dla menedżerów.

11) Przetwarzanie milionów PDF-ów z użyciem Gemini 2.0 - tak tanio jeszcze nie było
https://www.sergey.fyi/articles/gemini-flash-2
INFO: Przetwarzanie plików PDF na dużą skalę jest wyzwaniem. Pojawiają się problemy ze skalowalnością procesu, jego kosztami oraz dokładnością całej operacji. Zwłaszcza jeśli dokumenty zawierają tabele czy np. niestandardowe zapisy matematyczne. Z pomocą może przyjść tutaj model językowy. Jak się okazuje, nowy model od Google, Gemini Flash 2.0, radzi sobie na tle innych modeli wyjątkowo dobrze z tym zadaniem. Co ważne, robi to też niesamowicie tanio. Nie wszystko działa w Gemini idealnie, ale osiągnięto już naprawdę bardzo dobry poziom pracy z dokumentami.

12) Wykorzystanie iptables i sudo do zdobycia uprawnień roota na Linuksie
https://www.shielder.com/blog/2024/09/a-journey-from-sudo-iptables-to-local-privilege-escalation/
INFO: Ciekawy przykład eskalacji uprawnień w systemie z użyciem teoretycznie bezpiecznego narzędzia, jakimi są iptables oraz iptables-save. W omawianym przykładzie użytkownik może uruchamiać je z prawami roota (przez sudo). Jak się okazuje, można to bardzo sprytnie wykorzystać w celu uruchomienia absolutnie dowolnej komendy w systemie. Jeśli interesujesz się tematyką pentestów lub jesteś linuksowym geekiem, to ten artykuł jest dla Ciebie.

13) Lokalne hostowanie DeepSeek R1 (671B) 3x taniej - optymalizacja kosztów
https://digitalspaceport.com/how-to-run-deepseek-r1-671b-fully-locally-on-2000-epyc-rig/
INFO: Wiem, że tydzień temu wrzuciłem artykuł na temat tego, jak uruchomić model DeepSeek na sprzęcie za mniej więcej 6k dolarów, ale od tego czasu minęło już 7 dni i ktoś zdążył wpaść na pomysł, jak zrobić to 3 razy taniej. Będziemy potrzebowali kupić sporo sprzętu, ale koszty całej zabawy są już coraz bliżej portfela przeciętnego Kowalskiego. Ten artykuł opisuje, jak zbudować i skonfigurować zestaw, który będzie w stanie uruchomić najbardziej rozbudowaną wersję DeepSeek R1 (671B). Artykuł przedstawia budowę i optymalizację lokalnego serwera AI, wykorzystując AMD EPYC 7702 oraz 512GB RAM do uruchomienia pełnego modelu DeepSeek R1 671B. Opisano konfigurację sprzętową, w tym zalecane komponenty oraz ich aktualne ceny, oraz szczegółowe wskazówki dotyczące montażu i konfiguracji BIOS-u dla optymalnej wydajności. Ponadto, autor dzieli się poradami dotyczącymi instalacji i konfiguracji oprogramowania na serwerze, umożliwiając m.in. lokalną inferencję AI bez konieczności posiadania potężnego GPU.

14) Najczęściej wybierane kody PIN narażają Twoje bezpieczeństwo
https://www.abc.net.au/news/2025-01-28/almost-one-in-ten-people-use-the-same-four-digit-pin/103946842
INFO: Jeśli myślisz, że ludzie, wymyślając czterocyfrowy PIN, wpisują cztery losowe cyfry, to niestety to badanie pokazuje, że tak nie jest. Mniej więcej 10% populacji używa tych samych czterech prostych kodów PIN. Niektórzy budują też PIN w oparciu o swoją datę urodzenia, inni o wzór geometryczny. Złamanie dostępu do zasobów chronionych takim PIN-em nie zawsze wymaga sprawdzenia wszystkich możliwych kombinacji, ponieważ rozpoczynając atak od najbardziej popularnych wzorców, można drastycznie skrócić jego czas. Więcej informacji znajdziesz w artykule.

15) Google Gemini 2.0 vs konkurencja: DeepSeek R1 i OpenAI O3-mini (film, 5m)
https://www.youtube.com/watch?v=k9xbh9LUYn0
INFO: Wygląda na to, że Google wypuścił nareszcie coś, co może wywołać poruszenie w świecie AI, a konkretnie mowa o modelu Google Gemini 2.0. Nie tylko w testach okazuje się on mocniejszy niż model O3-mini od OpenAI, ale też jest skrajnie tani, i to nawet w porównaniu z takimi modelami jak DeepSeek R1 (mowa o wersji chmurowej). Do czego można ten model wykorzystać i co w nim jest takiego niezwykłego, możesz dowiedzieć się z filmu.

16) Praktyczne zastosowania dużych modeli językowych według programisty - jak ich używam?
https://nicholas.carlini.com/writing/2024/how-i-use-ai.html
INFO: Autor, który jest programistą, opowiada o tym, jak w codziennym życiu wykorzystuje duże modele językowe. Podaje wiele przykładów, jak wspomaga się nimi przy budowie prostych aplikacji webowych, optymalizacji kodu, automatyzacji zadań czy nauce nowych technologii. Bardzo użyteczne jest to, że artykuł zawiera nie tylko spis pomysłów, ale też konkretne przykłady, jak taka rozmowa z LLM może wyglądać. Tekst jest też całkiem nieźle zrównoważony. Nie ma tam nieuzasadnionego entuzjazmu czy nadmiernego pesymizmu.

17) Nowa luka w rozszerzeniach do Chrome pozwala na przejęcie systemu
https://labs.sqrx.com/browser-syncjacking-cc602ea0cbd0
INFO: Zespół badaczy z SquareX odkrył lukę w rozszerzeniach do przeglądarki Chrome, która może prowadzić do pełnego przejęcia kontroli nad urządzeniem. Atak nie wymaga zaawansowanych umiejętności programistycznych, wykorzystując typowe funkcje odczytu/zapisu obecne w większości popularnych rozszerzeń. Artykuł szczegółowo opisuje etapy ataku, począwszy od przejęcia profilu przeglądarki, poprzez kontrolę nad całym środowiskiem przeglądarki, aż po możliwość manipulacji całym komputerem ofiary.

18) TOP 250 treści z unknowNews (PDF, 40 stron)
https://unknow.news/best
INFO: Pobierz kompilację 250 najczęściej klikanych linków z newslettera, który właśnie czytasz. Kolekcję wygenerowałem z wydań od roku 2022 do stycznia 2025. Plik możesz pobrać, jeśli jesteś subskrybentem newslettera. Jeśli nim nie jesteś, to… zostań :)

19) Format MP3 jest od teraz wolny! - i nikogo to nie obchodzi…
https://idiallo.com/blog/listen-mp3-is-free
INFO: Format MP3 był kiedyś standardem dla plików audio. Był to jednak format zamknięty, licencjonowany w specyficzny sposób. Jego patenty i licencje wygasły w tym roku, więc stał się oficjalnie formatem “wolnym”. Dlaczego jednak mało kto zauważył tę, jakby nie patrzeć, gigantyczną zmianę w świecie audio? Mogłoby się nawet wydawać, że ludzi nie za bardzo poruszyło uwolnienie formatu MP3. Powiedzmy, że “czasy się zmieniły”.

20) Najlepsze narzędzia DevOps do automatyzacji infrastruktury w 2025 roku
https://medium.com/env0/top-devops-tools-for-infrastructure-automation-in-2025-cae2288e8314
INFO: Jeśli jesteś DevOpsem i chcesz rozbudować swój warsztat aplikacji, z których korzystasz, to w tym artykule znajdziesz 27 popularnych narzędzi podzielonych na 8 kategorii, które mogą ułatwić Ci pracę. Znajdziesz tutaj narzędzia do zarządzania infrastrukturą, systemy kontroli wersji, aplikacje do podnoszenia bezpieczeństwa, do monitorowania środowisk czy do optymalizacji kosztów.

21) Httptap - podgląd zapytań HTTP/HTTPS na Linuksie
https://github.com/monasticacademy/httptap
INFO: To narzędzie pozwalające na analizowanie ruchu HTTP i HTTPS wysyłanego przez dowolny program na systemie Linux. Analizę taką można przeprowadzić nawet bez konieczności posiadania uprawnień root. Nie wymaga żadnych zmian w ustawieniach systemowych ani zastosowania dodatkowych zasad firewalla, dzięki czemu nie wpływa na inne działające procesy. Uruchamiasz aplikację, podając jako parametr program, który chcesz obsługiwać, a na terminalu zaczną pojawiać się zapytania, które ta aplikacja generuje.

22) Modele wnioskujące LLM - o co w tym chodzi?!
https://magazine.sebastianraschka.com/p/understanding-reasoning-llms
INFO: Od pewnego czasu można zauważyć wysyp modeli “wnioskujących” (reasoning) w świecie LLM-ów. Dawniej mieliśmy do czynienia głównie z modelami czatowymi. Czym jedno różni się od drugiego? Jaka jest definicja modelu wnioskującego? Jak te modele działają, jak są szkolone i do czego mogą się przydać? Dowiesz się z tego artykułu.

23) DeepSeek - ile naprawdę kosztowała nauka tego modelu?
https://semianalysis.com/2025/01/31/deepseek-debates/
INFO: Jakiś czas temu świat obiegła szokująca informacja, że Chińczykom udało się wyszkolić model językowy o wiele mocniejszy od GPT-4 i to za 20 razy niższą cenę niż osiągnęło to OpenAI. Pytanie tylko, czy było tak naprawdę? Okazuje się, że jest to tylko niewielka część prawdy, a historia ma jeszcze drugie dno i pewną pulę wydatków, których nie wliczono do kosztów powstania tego modelu. Krótko mówiąc, jeśli miałbyś taką kwotę, o jakiej pisano w przypadku DeepSeek, to wypadałoby do niej dopisać jeszcze dwa zera, aby zrobić to, co udało się osiągnąć w chińskiej firmie.

24) Anthropic zaprasza do testowania bezpieczeństwa nowego modelu AI
https://arstechnica.com/ai/2025/02/anthropic-dares-you-to-jailbreak-its-new-ai-model/
INFO: Anthropic wprowadził do swoich LLM-ów nowe systemy bezpieczeństwa, które mają lepiej klasyfikować rodzaj zadawanych pytań, co teoretycznie ma odsiać większość prób jailbreakingu ich modeli. Specjaliści spędzili już łącznie ponad 3000 godzin na próbach ominięcia nowego mechanizmu. Firma wyznaczyła nagrodę za zmuszenie ich modelu do odpowiedzi na 10 zakazanych pytań.

25) Feluda - narzędzie do identyfikacji restrykcyjnych licencji w zależnościach
https://crates.io/crates/feluda
INFO: Budujesz nowy projekt w firmie, a prawnicy przyczepiają się do tego, czy wszystkie używane biblioteki są na odpowiednich licencjach. Ręczne sprawdzenie tego może być naprawdę czasochłonne, a ta aplikacja zrobi to za Ciebie. Po prostu uruchom ją na repozytorium i dowiedz się, które z zależności mają przesadnie restrykcyjne licencje, których nie da się użyć w Twojej firmie lub które mogą powodować problemy prawne w przyszłości.

26) Lume - lekkie CLI do zarządzania wirtualkami na Apple Silicon
https://github.com/trycua/lume
INFO: Jeśli pracujesz na systemie macOS z procesorem Apple Silicon i szukasz prostego w obsłudze, naprawdę lekkiego narzędzia do zarządzania maszynami wirtualnymi, to prawdopodobnie jest to, czego szukasz. Za pomocą jednej prostej komendy jesteś w stanie stworzyć środowisko wirtualne z odseparowanym systemem macOS albo z Linuksem.

27) Pułapki produktywności - gdy efektywność staje się przeszkodą
https://devszczepaniak.pl/pulapki-produktywnosci/
INFO: Wielu z nas chce być produktywnymi w pracy. Jednak dążenie do produktywności może być… nieproduktywne. Pojawia się tutaj mit wielozadaniowości, nadmierne śledzenie swojego czasu pracy, dążenie do perfekcji przy wykonywaniu zadań, skupianie się na wyszukaniu idealnego, super dostosowanego do naszych potrzeb narzędzia, a nie na celu, który chcemy osiągnąć. Do tego dochodzi pomijanie przerw w pracy. Zobacz, jak można sobie z tym poradzić.

28) Linux Kernel Runtime Guard (LKRG) - polski projekt. Wywiad z twórcą.
https://adwersarz.pl/polskie-projekty-it-security-co-slychac-w-lkrg/
INFO: Linux Kernel Runtime Guard (LKRG) to moduł jądra Linuksa, który działa na zasadzie ochrony integralności systemu przed podatnościami i technikami eksploatacji, co może zapewnić pewien poziom ochrony nawet przed niektórymi atakami 0-day. Projekt nie ma jeszcze swojej stabilnej wersji, ale już teraz zdobywa uznanie w środowisku security. Przeczytaj wywiad z jednym z twórców tego softu. Dzieli się on szczegółami, jak LKRG działa i dla kogo jest przeznaczony.

== LINKI TYLKO DLA PATRONÓW ==

29) Strony internetowe, które warto znać jako developer
https://uw7.org/un_d253b7d795dec
INFO: Pokaźny zbiór stron internetowych przeznaczonych dla programistów. Pomoże Ci się rozwijać czy zapoznawać z nowinkami technologicznymi. Są tam też wymienione miejsca do nauki programowania od podstaw lub do szlifowania swoich umiejętności, jeśli jesteś bardziej zaawansowany. Sporo artykułów, blogów, kanałów na YouTube itp. Na pewno znajdziesz coś dla siebie. Jest to repozytorium GitHub.

30) Jak przygotować się do rozmowy o pracę w IT - zbiór materiałów
https://uw7.org/un_2b198a5261f35
INFO: Jeśli przygotowujesz się do rozmowy kwalifikacyjnej lub planujesz zwiększyć swoje kwalifikacje w nowych technologiach, to w tym repozytorium znajdziesz spis zagadnień (wraz z odnośnikami), które Ci w tym pomogą: filmy z YouTube, kursy i szkolenia, platformy pozwalające na ćwiczenie np. umiejętności programistycznych itp.