man – Gea-Suan Lin's BLOG

Fred Brooks 過世

在 Hacker News Daily 上看到的消息，Fred Brooks 過世了：

Sad news from @unccs — Fred P. Brooks, the founder and long-time chair of the department (and a major influence on my professional outlook) passed away a few hours ago.

— Steven M. Bellovin (@SteveBellovin) November 18, 2022

Hacker News 上的討論在「Fred Brooks has died (twitter.com/stevebellovin)」這邊可以翻。

Fred Brooks 是 1999 年的 Turing Award 得主：

For landmark contributions to computer architecture, operating systems, and software engineering.

不過在電腦軟體產業裡，用他另外一個被廣為人知的作品來介紹會比較快，軟體工程的經典書籍「人月神話 (The Mythical Man-Month) (MMM)」的作者，從 Hacker News 的討論串裡面也可以看到很多對 MMM 的討論。

Mitmproxy 7 支援 TLS over TCP 的分析了

在 Hacker News 首頁上看到 Mitmproxy 7 的消息：「Mitmproxy 7」。

比較重要的功能應該就是可以針對任意的 TLS 連線攔截分析了：

不過像是 STARTTLS 這類先在 plaintext 溝通，然後送出指令進入 TLS 的方式，目前就還沒支援：

Opportunistic TLS (STARTTLS) is not supported yet, but regular TCP-over-TLS just works!

另外是可以分析 WebSocket 內的傳輸資料：

應該是跑個 pip install -U mitmproxy 就可以升級了... (如果先前是用 pip 安裝的話)

第一堂：Course overview + the shell

這個系列是從『MIT 的「The Missing Semester of Your CS Education」』這邊延伸出來的，這篇文章講第一堂課「Course overview + the shell」。

前面大概講一下這 11 堂各一個小時的課大概是什麼，後面就開始講 shell 下的操作了。

先講了一些基本指令 (date & echo)，然後提到了環境變數 $PATH，接著就講目錄結構與 ls，然後就順便提到 man 可以拿來查說明，接著是講 redirect 與 pipe 以及 root 權限的特殊性 (以及 sudo)。

在課程最後面的這個範例，你第一眼看不會想到是第一堂課就可以教完的東西，但的確是結合了上面提到的所有東西，可以細細品味一下：

$ echo 1 | sudo tee /sys/class/leds/input6::scrolllock/brightness

man 的復活節彩蛋

有人在 Unix & Linux Stack Exchange 上抱怨他的自動化測試在清晨會爛掉，但其他時間都好的：「Why does man print “gimme gimme gimme” at 00:30?」。

We've noticed that some of our automatic tests fail when they run at 00:30 but work fine the rest of the day. They fail with the message "gimme gimme gimme" in stderr, which wasn't expected. Why are we getting this output?

然後兇手跟作者都自己跑來出來說明 & 修正了 XDD

該 tweet 出自：

Dear @colmmacuait, I think that if you type "man" at 0001 hours it should print "gimme gimme gimme". #abba

— Marnanel Thurman (@marnanel) November 4, 2011

最近 man 怎麼這麼紅啊 XDDD (像是「10 Year Old Root Exploit Found in 'man' Command」)，你們這些人不要亂搞啊 XDDD 這樣很吃大家通靈的時間啊 XDDD

重設密碼 + Social Engineering

在「The password reset MitM attack」這邊看到 PRMitM (Password Reset Man-in-the-Middle) 這樣的攻擊，原始論文在「The Password Reset MitM Attack」這邊可以取得。

用圖說明基本版的攻擊方式：

另外列出了各大站台的狀態：

以及各家簡訊的文字，可以發現不是每一家都有把產品的名稱寫上去：

這方法好有趣啊... XD

用人力就可以達到離心機的效果...

看到「This Human-Powered Paper Centrifuge Is Pure Genius」這個設計真的很巧妙... 全文刊登在 nature biomedical engineering 上：「Hand-powered ultralow-cost paper centrifuge」。

起源來自於小時候的玩具 (我也有印象，但忘記中文叫什麼了...)：

Here, we report an ultralow-cost (20 cents), lightweight (2 g), human-powered paper centrifuge (which we name ‘paperfuge’) designed on the basis of a theoretical model inspired by the fundamental mechanics of an ancient whirligig (or buzzer toy; 3,300 BC).

研究後發現離心速度可以到 125000rpm：

The paperfuge achieves speeds of 125,000 r.p.m. (and equivalent centrifugal forces of 30,000 g), with theoretical limits predicting 1,000,000 r.p.m.

對於無法買昂貴醫療器材的地區，這樣就有簡單但又頗有效的離心機做檢驗...

英國計畫在 2018 年開始強制企業公佈男女的平均薪資及 Bonus

英國計畫從 2018 年開始，超過 250 人的公司必須公佈男女的平均薪資及 Bonus：「Companies will be forced to reveal their gender pay gap」：

The new rules, revealed on Friday, will apply to all companies with more than 250 employees.

除了平均薪資以及 bonus 外，還必須公開每個區間的人數：

In addition to publishing their average gender pay and bonus gap, around 8,000 employers across the country will also have to publish the number of men and women in each pay range.

目標是希望讓資訊更透明讓人力市場更健康：

The government is hoping that naming and shaming firms that pay women a lot less than men in the same jobs will push them to stop the practice, because it will make it harder for them to attract top talent.

可以看到目前估算出來的差異：

另外美國也在規劃類似的法案，不僅僅是性別，還包括了種族等其他資訊：

In the U.S., similar plans are also under discussions. President Obama announced a proposal earlier this month that would require companies with more than 100 employees to report how much they are paying their employees by race, ethnicity and gender.

法國政府 ANSSI 偽造 Google 的 SSL 憑證被抓到...

Google 在 Google Chrome 裡面有放一段 SSL 白名單 (transport_security_state_static.json)，針對某些特定 domain 只允許特定的 CA 所發出來的 SSL 憑證，另外當發現異常時也會回報。

這個機制可以保證在白名單內的網域比較不容易被 CA 搞到。

前幾天 Google 偵測到法國政府 ANSSI 的一個中介憑證發行單位 (Intermediate certificate authorities) 發出 Google 所擁有網域的 SSL 憑證：「Further improving digital certificate security」。

這也是繼一年前 TURKTRUST 發出的 *.google.com 以來再次被這個機制抓到的案例：「這次 TURKTRUST 誤發 *.google.com SSL 憑證...」。

同時，這也是首次政府機關相關的 CA 搞 MITMA (Man-in-the-middle attack)。

ANSSI 官方的說法是「誤發」：「Revocation of an IGC/A branch」，不過可信度... XD

Google 後來在 12/12 再次更新公告文章，決定把 ANSSI 的 CA 信任範圍限縮到法國相關的網域，共 13 個。(*.fr、*.gp、*.gf、...)

另外可以參考 Mozilla 在收到 Google 通知後的公告：「Revoking Trust in one ANSSI Certificate」。