Про продвижение
Несколько дней назад я зарелизил свое античитинг-расширение, написал статью и посты на нескольких площадках.
Изначально я делал его для себя, но потом решил довести до приличного состояния и выложить.
Планов на большие охваты и успешный успех у меня, конечно, не было.

Но когда тратишь на проект 50-100 часов и выкладываешь его бесплатно, хочется получить обратную связь и показать его потенциально заинтересованным людям.

Это был мой второй опыт продвижения собственного проекта, и я попытался сделать выводы из прошлого (вот этого) и попробовать собрать побольше фидбека.
Получилось лучше, чем я ожидал!

Результаты за 3 дня

- 100+ установок - точно сказать не могу, потому что гугловская аналитика очень тупит и обновляет данные с запозданием на 24-48 часов.
- 200+ дочитываний статьи на Medium. Наверное, не много для профессиональных авторов, но для меня очень много (учитывая, что у меня там 0 подписчиков).

- Reddit: 50k просмотров, больше 100 комментариев и шеров, много сообщений в личке с вопросами и фидбэком - просто вау!

- Со мной связался CEO и со-основатель чесскома, договорились созвониться в конце января, чтобы обсудить их подходы к античитингу.
Плюс на форуме Chess.com мне написали несколько сотрудников, в тч “ветераны” античитинга (вот например репа 2017 года) с комментариями и идеями.

Советы

1. Не бойтесь писать везде про свои проекты! Даже если кажется, что это никому не нужно.
   Реальный фидбэк от заинтересованных людей — это невероятно приятно.

2. Пишите на Reddit. Там есть сабреддиты про все, сидят очень проактивные люди и реально пробуют то, что вы пишете.
   Наполучал очень много отзывов, в том числе и негативных - ну а куда без этого)

3. Ищите сообщества заинтересованных вашей темой людей. Их мало, но зато им реально интересно.
   Например, я выложил свой пост на закрытый форум chess.com, где всего 9к мемберов.
   Мне написали 50 комментов, написал в личку админ форума и еще пара человек написали на почту.
   В основном, очень взрослые дядьки (хех) с идеями и предложениями помочь с развитием проекта.

Выводы

Хоть я и не формулировал для себя никаких целей по охватам, я остался очень доволен.
Мотивация пилить проекты у меня в основном внутренняя, так что не могу сказать, что я не стал бы делать следующий проект, если бы этот особо никто не увидел.
Но вот мотивации не забрасывать старые (тут уже насобирал фидбека на v2) и продвигать следующие точно прибавилось!

В будущем хочу побольше уделить времени и разобраться, как еще можно бесплатно попродвигать проекты (не уровня Product Hunt и не коммерческие).
Думаю, что точно надо делать это планомерно - условно, каждую неделю делать пост с апдейтами, или в новое сообщество, чтобы аудитория проекта росла. Но, честно, пока очень лень )

Это последний пост в этом году. Всех с наступающим! 🎄
Не бойтесь начинать что-то своё — это того стоит!

Мой новый проект - расширение для хрома, которое помогает выявлять читеров на chess.com
https://chromewebstore.google.com/detail/chesscom-opponent-risk-sc/oiemcgpbdohnhkplobgndgdhdlbafoeg

Всем привет!
Наконец-то я доделал, зарелизил и протестировал свое расширение.

Зачем делал?
Я очень много играю в шахматы. Нездорово много - в 2024 я сыграл 3650 партий.
И играю я довольно хорошо: 2200 рапид, 1900 блиц на chess.com.

За последний год, по моим ощущениям, на чесскоме стало просто невероятно много читеров - бывают дни, когда половина всех найденных соперников “похожи на читеров”.

Вот я и решил сделать свое расширение, которое будет проверять соперника за пару секунд после начала игры: находит юзернейм противника, достает кучу статистики по апишке, и с помощью созданной мной скоринговой модели выдает “risk score” - по сути вероятность того, что соперник читер, от 0 до 100. Если скор получился высокий - можно сразу же прервать игру, и не тратить время, нервы и рейтинг.

Я написал статью, в которой подробно рассказал про то, как устроена модель, и что я там еще планирую развивать в будущем:
Medium | Telegraph.
Пересказывать не буду - посмотрите, если интересно.

Fun fact: вчера выложил примерно такой же пост на реддите (все-таки, у англичанов рождество сегодня), и мне написал на почту CEO chess.com [см. скрин выше].
Надеюсь, не будет со мной судиться))

В процессе работы над этим проектом я несколько раз разочаровался в курсоре и гпт, хотя начал сразу с более “крутым” подходом, чем в прошлом проекте.
Интересно, что даже ChatGPT o1 не смог нормально придумать мат. модель (хотя там не то что бы высшая математика), поэтому пришлось немного повспоминать всякие эконометрики и другие универские предметы, которые я уже давно забыл.
Cursor, несмотря на вдумчивые и очень подробные тз, наворотил кучу дерьма, и по итогу я потратил примерно половину от всего времени работы над проектом на переписывание кода вручную.

Но результатом я доволен. Работает вроде хорошо.
Если вы играете - попробуйте, пожалуйста! Это реально удобно, пользуюсь теперь на постоянке.
Если играют ваши друзья - скиньте им!

Проект я, как и в прошлый раз, заопенсорсил - вот он на Github.

Spotify продвигает фейковую музыку, чтобы платить меньше настоящим музыкантам
https://www.honest-broker.com/p/the-ugly-truth-about-spotify-is-finally

Я не могу сказать, что я очень высокого мнения о спотифае как о компании, по крайней мере, последние пару лет.
Вот, к примеру, Spotify Unwrapped - тут вы можете посмотреть, сколько денег вы платите спотифаю, и сколько из них реально доходят до лейблов (даже не до артистов). Спойлер: очень мало.

Но от этой истории мне захотелось перестать использовать спотик навсегда.

Перескажу суперкоротко, так как статью-мнение (выше) и/или само расследование, на мой взгляд, стоит прочитать всем, кому хоть немного не похуй на музыку и музыкантов. И читается все на одном дыхании.

В Spotify есть команда людей, которая засовывает “высокомаржинальную” стоковую музыку в официальные плейлисты, по типу Ambient, Chill House, Acoustic Jazz и прочих, чтобы лутать больше денег с роялти себе, а не платить настоящим музыкантам.
Стоковую музыку либо генерит AI, либо выкупают у фриланс-музыкантов со всеми потрохами и правами за 100-300$ / трек.
Во многих плейлистах соотношение такой музыки к “настоящей” доходит до 95%.
Не то что бы настоящей музыки мало, но зачем она спотифаю? У нее меньше доходность. Пусть те, кто хочет ее слушать, название в поиске вбивают.

Это происходит уже как минимум 5 лет. Сотрудники все знают.

У Spotify и таких лейблов общие инвесторы. Они все это тоже прекрасно знают, и с удовольствием вкладывают деньги: маржинальность такого бизнеса уж точно выше, чем у обычных лейблов, и тем более независимых музыкантов.

~~Диз~~мораль

Я сам пишу музыку (ну а кто не пишет) и периодически выкладываю. Вот, если кому интересно, присоединяйтесь к моей многотысячной аудитории, ахах. А еще у меня буквально бизнес был музыкальный. В общем, сколько-то музыкантов я знаю.
И я могу сказать, что у Spotify, по сравнению со всеми другими площадками, очень крутой имидж среди музыкантов.
Музыкантов больше волнует количество стримов и слушателей на Spotify, а не на Apple Music, Amazon и.т.д.
Все хотят, чтобы их трек попал в официальные и частные плейлисты именно на Spotify.

Spotify позиционирует себя как демократичную, “умную” платформу, которая соединяет музыкантов с аудиторией с помощью data-driven подходов и все такое. Сколько историй про подростков из маленьких городов, которые становились известными за один день, выпустив bedroom-pop или ambient трек, который зацепил людей по всему миру.
И эти истории вдохновляют многих людей заниматься музыкой всерьез - бросать работу, вкладывать больше времени, денег и нервов в создание и продвижение своей музыки.

Spotify позиционирует свои плейлисты и “питчинг” туда как возможность бесплатно получить огромную аудиторию людей, которым нравится музыка в твоем жанре. Да, конечно, не все треки возьмут, но ведь кто-то там сидит и слушает, ему понравится - добавит. Да?

Забавно (не особо), что из-за таких практик у Spotify за последние несколько лет существенно улучшилось финансовое положение - 2024 будет первым годом, в которым они получили прибыль в каждом квартале. Молодцы!

Devin will take all our jobs, или we are doomed
Несколько дней назад компания Cognition AI публично выпустила Devin - “первого в мире AI-кодера” за 500$/мес (sic!).

Cognition AI выпустили видео-демо с демонстрацией работы Devin в марте 2024, и “техно-оптимисты” в Твиттере наделали очень много шума типа “програмистам осталось жить 2 месяца, скоро они все потеряют работу”.

Довольно скоро, после релиза промо-ролика вышло несколько разборов их видео-демо, доказывающих, что оно фейковое. Например, вот.
Создатели Devin буквально дали ему real-life задачу с Upworkа, он наделал там кучу херни, ничего не смог, и им пришлось дописывать все самим.

Как я сегодня узнал, спустя 2 месяца, несмотря на это, они получили $175 млн инвестиций при оценке в 2 ярда. Ага.

И вот, спустя полгода, выпустили своего девина за 500$/мес.

Я периодически смотрю стримы PrimeAgen, и вот на днях он купил Devin и стримил, как Devin под его руководством делает простую браузерную игру. Он, если что, программист, и хотя бы тз может дать Devinу четкое и подробное.
На ютубе есть нарезанная запись стрима, и это прямо уморительно: https://youtu.be/927W6zzvV-c

- Devin в течение 2х часов не мог запушить код на мастер-ветку. Без шуток, вот таймстемп аххаха
- Не мог поставить последнюю версию Go и клялся, что ставит последнюю (сначала 1.18, потом 1.21.5, последняя тем временем - 1.23).
Классический “As of my last knowledge update...” :)
- В результате потратил несколько часов на то, чтобы создать простейший вебсокет-сервер, который наверное GPT делает с первого же промпта

Ну и в качестве вишенки на торте: Devin создает веб-страницу для доступа к его VS Code, которая выглядит вот так:
https://vscode-pnmnamfostfnomvt.devinapps.com/
Прямо во время стрима оказалось, что любой человек, знающий ссылку, получает полный доступ к Devin и к репозиторию, над которым он работает (=ваш репозиторий), и может делать с ним все что хочет, без какой либо авторизации.

Более того, узнать все субдомены вида vscode-*.devinapps.com не особо сложно, и кто-то в чате сделал это пока шел стрим)

Cognition спустя пару часов пофиксили этот баг.

Как человека, который последние полгода довольно активно пользуется Cursor, меня не удивляет “тупеж” Devina - AI пишет очень некачественный код, постоянно удаляет существующий, в общем, требует постоянного битья палкой после каждой правки.

Что меня удивляет, так это то, что AI-стартапу, который поймали на пиздеже в марте, дали просто тонну денег в мае, чтобы в декабре он релизнул крайне небезопасный курсор за 500$/мес, который пушит коммит 2 часа. И люди продолжают это хавать, реально сходят с ума и уже пишут как они сейчас “перестанут брать на работу джунов”.

Как NSA заложили бэкдор в стандарт шифрования, который использовали почти все в мире

У меня есть дурацкая привычка ~~бегло~~ читать все источники, которые упоминаются в любой статье.
Причем делаю я это рекурсивно, поэтому периодически чтение небольшой статьи превращается в дни или даже недели изучения какой-то темы. Отсюда и название канала)

Примерно так, в статье из предпоследнего поста я наткнулся на книгу «Zero to Monero», в которой очень подробно разобраны математические принципы, на которых построена криптовалюта Monero.

В одном из примечаний на 30-какой-то странице авторы упоминули историю, которая меня очень заинтересовала.
Я попытался пересказать ее понятным языком, но, как обычно, не уложился в длину одного поста в Telegram, так что решил попробовать новый формат — переносить такие “невлезающие” посты в Telegraph, а в посте в тг оставлять только саммари и мои мысли.
Поэтому, если вам интересно прочитать полную версию - вам сюда:
https://telegra.ph/Kak-NSA-zalozhili-behkdor-v-standart-shifrovaniya-kotoryj-ispolzovali-pochti-vse-v-mire-12-12

Краткий пересказ
В 2004 году NIST - институт, который публикует технологические стандарты в США, ака ГОСТы, опубликовал свой стандарт PRNG (Pseudo Random Number Generation), - алгоритма для генерации рандомных чисел.
Не вдаваясь в подробности, стандарт этот был странным. Ученые и инженеры не могли понять, почему для него использовались именно такие значения, да и сам алгоритм получился очень медленным.

Но, как и все другие стандарты NIST, он быстро распространился по всему миру - в том числе, в составе BSAFE - самой популярной опенсорсной криптографической библиотеке начала нулевых.

Постепенно, разные люди по всему миру начали обращать внимание на странности в алгоритме и ставить под сомнение его безопасность.

Затем, в 2007 два инженера-исследователя из Microsoft выступили с докладом, в котором утверждалось, что в dual EC PRNG вероятно существует бэкдор - тот, кто знает некоторое секретное число “е” и несколько рандомных чисел, сгенеренных с помощью алгоритма, может довольно легко предсказать все предыдущие и следующие числа, которые произведет алгоритм → расшифровать все, что было зашифровано с помощью этих чисел (например, любой HTTPS трафик).

Самое невероятное: в 1997 (sic!) эти же исследователи опубликовали научную статью, в которой буквально была описана инструкция по созданию такого бэкдора.

Многие, услышав такие обвинения, начали отказываться от использования алгоритма и перешли на аналоги, за которыми такого не было замечено. Но никаких доказательств того, что бэкдор был сознательно заложен в стандарт dual EC, не было.

Пока в 2013 Эдвард Сноуден не слил кучу секретных документов NSA, среди которых обнаружилось доказательство того, что NSA специально заложили бэкдор в алгоритм, пропихнули его в NIST, и по необходимости могли расшифровывать все, что когда-либо было зашифровано с помощью dual EC. Речь идет про миллиарды или триллионы пакетов зашифрованных данных, созданных по всему миру.

Дальше еще лучше. Reuters в свете слитых документов провели расследование и выяснили, что NSA заплатили компании RSA Security - одной из самых крупных и престижных компаний в сфере компьютерной безопасности, — $10 млн за то, чтобы они использовали стандарт dual EC по умолчанию в той самой библиотеке BSAFE, которую использвали примерно все, кто хоть что-то шифровал.

Вплоть до 2014 года алгоритм, который начали критиковать еще в 2006, оставался дефолтным генератором рандомных чисел в BSAFE.
А потом его оттуда убрали, а NSA извинились за неудобства, и пообещали больше так не делать…

Мысли

Самое страшное в этой истории то, что NIST был и остается №1 авторитетом в мире стандартов шифрования.
Они, например, устраивали в 2007 - 2012 конкурс алгоритмов для стандарта sha3.
Вот этим летом выпустили список алгоритмов, устойчивых к перебору на квантовом компьютере.

Примерно все приложения в мире используют алгоритмы, которые кто-то придумал, а NIST потом одобрил. А есть ли в других алгоритмах бэкдоры - вопрос открытый.

Такие дела.

Изобретательный скам на 300+ ETH через тг канал

https://blockfence.io/security/telegram-groups-scam-investigation-750k-stolen/

Умелые умельцы держали канал с сигналами "Неликвидируемый VS" 5 лет, чтобы на 5ый год заскамить подписчиков на $750к и уйти в закат.
По подсчетам исследователей, около 1000 подписчиков из 43к повелись на скам и потеряли деньги.
Учитывая, что каналу 5 лет и в нем выключены комментарии и негативные реакции, - в реальности количество жертв и объем угнанных денег могут быть гораздо выше.

Как готовился скам?

Сначала в канале появилась информация о "перспективном токене SQD", который вот-вот стрельнет.
Токен этот, кстати говоря, настоящий, жив-здоров по сей день.

Вот только скамеры создали свой клон токена с таким же тикером #SQD, и даже нарисовали результаты аудита контрактов от двух очень респектабельных агентств - Certik и TechRate. Агентства, естественно, не в курсе.

Дальше они опубликовали инструкцию для покупки практически на любой бирже и в кошельке, прямой ссылкой и с указанием адреса контракта.

Вот фейк адрес контракта.
Я за 5 минут нашел настоящий адрес контракта, там сразу видно, что он legit.

В самом контракте фейк-SQD есть несколько ловушек:

1. Функции добавления конкретного адреса в блеклист.
   Пишут, что такое часто встречается в скам-контрактах, это жесткий red flag.
2. Очень сложная логика переводов - в каждой транзакции почему-то упоминаются 5 разных "владельцев" денег.
3. Контракт может сам управлять балансами пользователей - это тоже жесткий red flag.

В общем, никакой реальный аудит эти контракты бы не прошли).

Алгоритм самого скама
1. Создали контракты фейк-токенов
2. Создали пулы ликвидности на Uniswap (#1 DEX) и долили туда прилично денег: 14.5 ETH ($50k) и 25 млн. фейковых токенов
3. Написали все эти инструкции, закинули в тг прогретым юзерам
4. Юзеры пошли покупать токены, которые скоро полностью обесценятся (такой вид скама называется rug pull)
5. Создатели в несколько транзакций плавно выводили ETH из пула ликвидности
6. А потом отправили все эти деньги себе на BitGet и ByBit: 89 и 190 ETH, соответственно.

Меня в этой истории поразила изобретательность скамеров: вероятно, все это планировалось не один месяц.
Наверное, не стоит удивляться — за почти лям долларов можно и не такое выдумать, но все же:
- пришлось накопить (или спереть из предыдущей итерации) $50к
- пришлось запустить тг канал, налить туда подписчиков, создать видимость актива, и долго хорошо его греть - за 5 минут такое не сделаешь.
Я перепроверил на TGStat: каналу почти 6 лет!

Мораль

Подписчиков, конечно, жалко.
Но, как будто бы стыдно вестись на такую херню.
В списке транзакций-покупок от жертв было много переводов на 0,2-0,4 ETH - это примерно $700-1400.

Не понимаю, неужели когда ты отправляешь хрен пойми куда столько денег, в голову не приходит мысль потратить 2 минуты на хоть какую-то проверку: зайти на официальный сайт + официальные медиа проекта, и сравнить адрес контракта с тем, который тебе дали рандомные люди в тг.

А еще можно написать в официальное комьюнити и спросить, типа - "ребят, хочу купить ваши токены, мне вот такой адрес дали - сюда кидать?"
Там модератор за 0,001 секунду начнет бить тревогу, ему за это зарплату платят.

Забавно, что оригинальный токен с момента скама довольно сильно просел в цене (почти в 2 раза) — так что, даже если бы подписчики купили настоящие токены, они бы потеряли часть денег)

Никогда и ни при каких условиях не покупайте ничего по советам ~~всех~~ неизвестных людей.
Никаких настоящих «сигналов» не существует. Никто не знает, что и когда стрельнет, если не владеет инсайдерской информацией.
А если владеет, то он вам никогда не расскажет. Да и вы бы никому не стали рассказывать)

Капчи без JS, или как устроены магазины наркотиков в даркнете

https://boehs.org/node/dark-web-security

Прочитал статью про устройство одного из действующих международных дарксторов.
Магазин, лидер и долгожитель на рынке, существует с 2020 года.
Автор, как и владелец маркетплейса, считает, что причина такого успеха - крайне серьезный подход к кибербезопасности.

Статья, честно скажу, мне не особо зашла — такое ощущение, что автор не пошел дальше страницы регистрации и личного кабинета, и целостной картинки у меня не сложилось.

Но отдельные приемы очень интересные.
Например, сайт вообще не использует JavaScript. Почему?
Есть несколько возможных причин:
- JS исполняется на стороне браузера, а значит, каждый заинтересованный может прочитать и потестить его, просто открыв dev tools.
- Наверное, самое главное: часто JS = node.js = огромное количество зависимостей (сторонних открытых библиотек).
Чем больше чужого кода ты используешь, тем больше риск того, что в нем найдется уязвимость (а может быть, она будет заложена специально).

Без JS довольно сложно сделать многие, казалось бы, тривиальные вещи, — попапы, чаты, анимации, и… капчи.
Капчи на +- любом сайте устроены одинаково:
Обычно используются капчи Google reCaptcha (кнопка “I’m not a robot”) или Cloudflare (“Veryfying you’re a human. This may take a few seconds”).
Для их работы достаточно воткнуть себе на сайт скрипт провайдера, зарегаться у них… и магия! капча работает.

Но, естественно, онлайн-магазин наркотиков не может позволить себе вставлять чужой js-код на сайт, особенно Google или Cloudflare - обе компании сотрудничают с органами власти и раскрывают данные о подозрительных клиентах и пользователях.
Так как сайт доступен только в сети Tor, это автоматически привлекает внимание любого провайдера - ничего хорошего там явно не происходит.

Есть и self-hosted аналоги - например вот.
Правда, мне кажется, они гораздо менее популярны, — как мы выяснили в посте про Cloudflare, большинство людей с таким не заморачиваются)
Они работают по похожему принципу, но предлагают хостить скрипт у себя: npm install altcha, и поехали.
Как я писал выше, это тоже стремно: кто знает, какие бекдоры и сюрпризы поджидают владельца сайта в следующей (или текущей) версии библиотеки.
Можно, конечно, читать весь js код каждой версии, но это не просто: часто код обфусцирован и собран из десятков файлов - разбираться во всем этом очень долго.

Поэтому на сайте используются самодельные извращенские капчи, состоящие только из HTML и CSS элементов - как на скрине выше.
Под картинкой скрывается форма — <input> HTML-элемент. При нажатии на картинку форма вместе с координатами нажатия отправляются на сервер.
В то же время, в CSRF токене (похожий на cookie механизм безопасности, который позволяет отличить запрос от пользователя от запроса, реплицированного злоумышленником) содержится ответ на показанную капчу: те самые координаты.
Сверив значение из формы со значением в CSRF, сервер убеждается в том, что перед ним - человек.

В статье приводится еще несколько примеров хитроумного использования разных HTML-элементов, вроде чекбоксов.

Дополнительно к капче можно заметить несколько инструкций: “сравните ссылку в браузере с этой”, ссылка кончается на “…”, и так далее.
Тоже не удивительно: .onion сайты невозможно найти в поисковике, нельзя посмотреть их SSL-сертификат, чтобы проверить подлинность URLa, а сам URL состоит из длинной, +- рандомной последовательности букв и цифр.

На этом, к сожалению, все.
Я бы хотел посмотреть на устройство товарных страниц, базы данных и на личный кабинет продавца - наверняка, там есть свои фишки и дополнительные меры защиты. Но, видимо, пока что исходный код сайта не слили и владельца не поймали. Ждем)))

А еще, если вам интересна эта тема, рекомендую посмотреть выступление бывшего даркнет-продавца с DEFCON - это что-то!