Hacker News Digest

Проект NoLongerEvil-Thermostat предлагает решение для владельцев заблокированных термостатов Nest первого и второго поколения. Когда Google приобрел Nest и прекратил поддержку старых устройств, многие пользователи столкнулись с "кирпичами" - неработающими термостатами, которые невозможно было использовать. Этот проект позволяет вернуть к жизни такие устройства, предлагая альтернативное прошивающее ПО без привязки к серверам Google.

Проект позиционируется как "на 100% менее зловещий" по сравнению с оригинальным ПО Nest, которое собирало данные о пользователях и требовало постоянного подключения к облаку. Решение позволяет полностью автономно управлять термостатом, сохраняя при этом все его базовые функции. Код проекта открыт, что дает пользователям контроль над своими устройствами и защиту от потенциального слежения. Для установки требуется лишь базовые технические навыки и доступ к микроконтроллеру.

• Google превратила устройства Nest в электронный мусор, выключив их из облака, что вызвало волну негодования и поиск альтернатив.
• Появился проект, предлагающий альтернативную прошивку и серверную часть, но он не открывает исходный код, что вызывает вопросы о доверии и безопасности.
• Пользователи обсуждают, что делать с устройствами Nest, которые теперь не работают, и обсуждают, какие альтернативы существуют, включая такие, которые не требуют облачных сервисов.
• Обсуждается, что компании, которые производят устройства, не предоставляют достаточно информации о том, что делать с устройствами, которые они производят, и что это может привести к электронному мусору.
• Участники обсуждения также поднимают вопрос о том, что делать с устройствами, которые теперь не работают, и обсуждают, какие альтернативы существуют, включая такие, которые не требуют облачных сервисов.

Статья представляет собой введение в обратную разработку прошивок старых синтезаторов, в частности Yamaha DX7, с использованием дизассемблера Ghidra. Автор предлагает пошаговое руководство для технически подкованных новичков в области реверс-инжиниринга, 8-битной архитектуры или встраиваемых систем. Для работы требуется только базовое понимание двоичных чисел и указателей, а не знание ассемблера или конкретных архитектур процессоров. Автор делится личным опытом, начав с нулевыми знаниями в электронике, но с готовностью экспериментировать.

Периферийные устройства DX7, такие как ЖК-экран и звуковые чипы, отображаются в памяти (memory-mapped), что упрощает взаимодействие с ними через определенные адреса. Для начала реверс-инжиниринга необходимо изучить логику декодирования адресов, используя схемы синтезатора и сервисные руководства. Автор подчеркивает, что обратная разработка старых синтезаторов — отличный способ познакомиться с встраиваемыми системами, сравнивая этот процесс с решением сложной головоломки, где лучше начинать с краев.

• Пользователи обсуждают эмуляцию синтезаторов, включая DSP56300 и JP-8080, и их влияние на сообщество.
• Сообщество выражает обеспокоенность по поводу того, что производители оборудования не поддерживают усилия по эмуляции их продуктов.
• Участники обсуждают возможность реверс-инжиниринга и модификации прошивок таких устройств как Zoom ARQ-96 и другие.
• Участники делятся ссылками на репозитории с исходниками и инструментами для работы с ними.
• Участники выражают благодарность за предоставленную информацию и выражают надежду на дальнейшую работу в этой области.

Проект SonyShell позволяет получить SSH-доступ к камерам Sony DSLR через USB-соединение, превращая фотоаппарат в подобие Linux-устройства. Это открывает возможности для автоматизации съёмки, прямого управления настройками и даже запуска пользовательских скриптов прямо на камере.

Инициатива основана на обратной разработке проприетарных протоколов Sony и использует уязвимости в firmware для выполнения произвольного кода. Практический потенциал включает удалённую съёмку, пакетную обработку и интеграцию с другими системами, что особенно ценно для научных и промышленных применений.

• Обсуждение проекта для удаленного управления камерами Sony через CLI с использованием официального SDK
• Сравнение поддержки API у разных производителей (Canon, Fujifilm, Sony, Blackmagic) и критика встроенных функций Wi-Fi
• Дебаты о корректности термина "DSLR" для беззеркальных камер и предложения по переименованию проекта
• Вопросы о безопасности, функциональности (управление съемкой, передача файлов) и потенциале для модификаций
• Упоминание старых методов взлома (OpenMemories, PMCA-RE) и опыта использования Eye-Fi карт

Серверные материнские платы Supermicro уязвимы для удалённой установки вредоносного ПО в прошивку базового контроллера управления (BMC), что делает заражение практически необнаружимым и неустранимым стандартными методами. Уязвимости CVE-2025-7937 и CVE-2025-6198 позволяют обходить проверки цифровых подписей и перезаписывать firmware, которая выполняется ещё до загрузки операционной системы — даже замена дисков или переустановка ОС не очистят систему.

Эксплуатация уязвимостей требует предварительного получения контроля над BMC, что возможно через ранее описанные методы. Подобные атаки могут привести к установке стойких имплантов, аналогичных ILObleed, который безвозвратно уничтожал данные на серверах HP. Особую опасность это представляет для AI-датацентров, где массовое заражение может оставаться незамеченным долгое время.

• Участники обсуждают уязвимости BMC (базовых контроллеров управления) в серверах Supermicro и других производителей, отмечая их низкое качество ПО и наличие неисправленных уязвимостей, позволяющих удалённо прошивать прошивку.
• Подчёркивается, что BMC представляет собой серьёзный вектор атаки и должен быть изолирован в отдельной физической или логической сети без прямого доступа извне.
• Обсуждаются проблемы безопасности на уровне прошивки: отсутствие проверки подписей, возможность перепрошивки из операционной системы и сложность удаления бэкдоров без физического доступа к чипу.
• Высказывается критика в адрес производителей за отсутствие документации, открытых спецификаций и поддержки открытых альтернатив, таких как OpenBMC.
• Упоминается, что проблема не нова и ранее обсуждалась в контексте спорной статьи Bloomberg о предполагаемых аппаратных закладках китайского происхождения в серверах Supermicro.

Вычисление сложной тригонометрической формулы arcsin(arccos(arctan(tan(cos(sin(9))))) в градусном режиме на разных калькуляторах даёт заметно отличающиеся результаты, что демонстрирует различия в точности и алгоритмах чипов. Некоторые модели, особенно на чипах General Instruments CF596, выдают ровно 0.0, в то время как другие показывают значения около 6.58, 8.84 или 8.99.

Наиболее точные результаты, приближающиеся к 9, дают калькуляторы с чипами от Sharp, Toshiba и National Semiconductor, что указывает на их улучшенную математическую обработку. Эта разница подчёркивает, как аппаратная реализация и firmware влияют на итоговые вычисления даже для, казалось бы, простых операций.

• Обсуждается тест для идентификации калькуляторов по результату вычисления arcsin(arccos(arctan(tan(cos(sin(9))))) в градусном режиме, где ожидаемый точный ответ — 9.
• Участники отмечают, что разные модели калькуляторов и математические библиотеки (HP Prime, TI Nspire, Numworks, CORE-MATH) дают различные результаты из-за ошибок округления и особенностей реализации трансцендентных функций.
• Поднимается вопрос о численной сложности вычисления из-за промежуточных значений, близких к локальному максимуму косинуса, что усугубляет ошибки.
• Обсуждается, что даже современные системы (включая гипотетический ИИ) могут давать некорректный ответ из-за проблем с точностью, и как происходит самокоррекция или верификация результата.
• Упоминается, что сайт с результатами теста служит «базой отпечатков» для определения чипа или модели калькулятора по его результату.

Глубокий анализ проблем задержек DPC в ACPI.sys на ноутбуках Asus ROG.

• Обнаружена критическая ошибка в ACPI-коде ASUS, вызывающая задержки до 30 мс в игровых ноутбуках, связанная с вызовом Sleep() внутри обработчика прерываний.
• Проблема сохраняется четыре года, затрагивает множество моделей и не фиксируется производителем, несмотря на наличие диагностических инструментов.
• Пользователи и эксперты критикуют отсутствие должного тестирования и низкое качество прошивок, особенно в сегменте игровых ноутбуков с гибридной графикой.
• Отмечается негативное влияние на пользовательский опыт: лаги, проблемы с аудио, thermal throttling, при этом возвраты по гарантии редки из-за сложности диагностики.
• Подчёркивается сложность обратной инженерии и исправления ACPI-кода, а также отсутствие эквивалентных инструментов для диагностики на Linux.
• Высказывается разочарование в бренде ASUS и игровых ноутбуках в целом, некоторые пользователи рекомендуют переходить на Mac или системы с интегрированной графикой.
• Обсуждается системная проблема индустрии: приоритет маркетинга над качеством инженерии и привыкание пользователей к неидеальной работе устройств.

The prior OpenIPC thread from earlier today is literally 75% about thingino:OpenIPC: Open IP Camera Firmware — https://news.ycombinator.com/item?id=44758463 — Aug 2025 (106 comments)The cheapest camera that you can install this onto, is Cinnado D1, which retails at under $14.99 U

Whenever I look into IP cameras I close the tabs because it feels like I walked into a store brand cereal aisle where all the boxes are exclaiming “Now with fewer razor blades!” or “Only half the reported cases of salmonella than similar store brands!”What’s a good brand for IP c