49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
🫠 Мошенническая схема с ботом «Почты России» в Telegram.
• Схема классическая, но предупредить близких не помешает: потенциальной жертве поступает звонок (чаще всего через мессенджер), мошенники представляются сотрудниками "Почты России" и под различными предлогами направляют жертву в Telegram, где просят запустить бота. После того как бот будет запущен, у жертвы появляется кнопка "Авторизация", которая открывает мини-приложение с формой входа Госуслуг. Если ввести туда свои данные, то аккаунт окажется в руках злоумышленников.
• Кстати, соль ещё заключается в том, что в мини-приложениях Telegram адрес сайта не отображается! Ну т.е. его просто невозможно проверить. Все, что видит пользователь, — это форма ввода данных якобы на «Госуслугах», скопированная с официального сайта. Поэтому постарайтесь чаще рассказывать своим родным и близким о подобных схемах. Кто знает, может именно вы поможете им сэкономить бесценное время, нервы и деньги... Всем хороших выходных ❤️
• Подробное описание схемы доступно вот тут.
#Фишинг
• Исследователи Технологического университета Эйндховена продемонстрировали рекордную скорость беспроводной передачи данных — 5,7 Тбит/с на расстояние 4,6 километра. Передача осуществлялась по невидимому инфракрасному лучу между двумя зданиями в черте города.
• В основе решения лежит технология оптической связи в свободном пространстве (FSO), использующая оптические антенны. Система использует узконаправленные инфракрасные лучи вместо радиочастот или кабелей.
• Главным преимуществом FSO является отсутствие радиопомех и высокая плотность передачи. Несмотря на впечатляющие показатели, у инфракрасной передачи есть ограничения: требуется прямая видимость, высокая чувствительность к погодным условиям и ограничения по дальности. Однако в городских условиях, где проложить оптоволокно часто затруднительно, технология может оказаться крайне полезной.
• Следующая цель — сделать такие беспроводные каналы устойчивыми к осадкам, пыли и другим природным препятствиям. Это позволит применять их в самых разных климатических зонах.
• Компания Aircision уже рассматривает варианты внедрения FSO для связи между вышками сотовой связи нового поколения и магистральными сетями, особенно в местах, где прокладка кабеля невозможна или слишком затратна.
➡️ Источник.
➡️ Исследование.
#Сети #Новости
Расследуйте атаку реальной APT-группировки уже сейчас!
Встречайте обновленный онлайн-полигон Standoff Defend для команд защиты в рамках марафона, который проходит с 3 по 29 апреля!
Уже сейчас вы можете протестировать главную новинку — регулируемые атаки, достоверно воспроизводящие техники, тактики и инструменты крупнейших APT-группировок.
💡 Переходите на сайт марафона и расследуйте атаку группировки Charming Kitten. Если зашли в тупик — воспользуйтесь подсказками.
🚀 Для участия не нужна предварительная подготовка — начните расследование прямо сейчас и проверьте свои навыки!
⏰ А 25 апреля в 11:00 (мск) ждем всех на разборе атаки с ментором. Он пройдет прямом эфире на сайте марафона, регистрируйтесь уже сейчас!
Готовы к вызову? Подробности — на сайте марафона!
⚙️ Реверс инжиниринг для самых маленьких...
• Интересный разбор задачи с платформы Codeby Games из раздела Реверс-инжиниринг – файлы. Называется: "Шифрование или что-то в этом роде, не знаю". Обратите внимание, что статья не совсем для "самых маленьких", как это заявлено автором. Определенные знания уже должны быть перед прочтением материала.
• В статье описана работа с дизассемблером IDA и некоторыми его возможностями. Еще разберем, как выглядит код без отладочной информацией, и что в таком случае делать. Сделаем теоретические отступления на тему секций и адресов. Ну и для углублённого изучения есть ссылки на дополнительную литературу.
➡️ Читать статью [11 min].
• Дополнительно:
➡Введение в реверсинг с нуля, используя IDA PRO - это целый цикл статей по сегодняшней теме. Тут очень много полезной информации для начинающих. Есть материал на разных языках: русский, испанский и английский.
➡Reversing malware для начинающих - подборка полезного материала с журнала хакер. Доступ к данному материалу полностью бесплатный.
#RE
«Кибербезопасность» — день открытых дверей онлайн-магистратуры Яндекс Практикума и НИЯУ МИФИ
23 апреля в 19:00 мск
На встрече поговорим о современном формате магистратуры от Яндекса и НИЯУ МИФИ для специалистов по кибербезопасности. Как поступить, как проходит обучение и какие знания вы получите на выходе.
И как это, когда учишься онлайн, но со студенческим билетом, отсрочкой от армии и дипломом магистра НИЯУ МИФИ после выпуска.
Что будет на событии:
— Расскажем про разные траектории обучения на программе и как после выпуска стать специалистом по информационной безопасности, AppSec, DevSecOps или аналитиком SOC.
— Обсудим, какие навыки будут у выпускников, чтобы соответствовать рынку и требованиям работодателей.
— Поговорим про поступление: сроки, экзамены, документы, оплата.
→ Зарегистрироваться
• Канадского математика Андина Меджедовича обвинили в краже более $65 млн. с разных криптовалютных бирж. В настоящее время он скрывается от властей США.
• Меджедовичу было 18 лет, когда он решил взламывать криптобиржи. Осенью 2021 года, вскоре после получения степени магистра в Университете Ватерлоо, криптовалютный трейдер из Гамильтона в провинции Онтарио провёл серию транзакций, предназначенных для эксплуатации уязвимости в коде децентрализованной финансовой платформы. Это позволило ему вывести около $16,5 млн из двух пулов, управляемых платформой Indexed Finance. Руководители биржи отследили атаку и предложили хакеру вернуть 90% средств, оставив себе остальную сумму в качестве награды за обнаружение ошибки в коде. Несмотря на перспективу карьеры белого хакера, Меджедович не принял сделку.
• Математик утверждает, что его действия были законными в соответствии с правилами открытого исходного кода платформ. Парень апеллирует к распространённой в сфере De-Fi философии «Код — это закон».
• Меджедович начал скрываться от правосудия. Примерно через два года он снова вывел криптовалюту с децентрализованной биржи — на этот раз около $48,4 млн.
• В настоящее время Меджедовичу, которому сейчас 22 года, предъявлено пять уголовных обвинений, в том числе из-за мошенничества с использованием электронных средств, а также попыток вымогательства и отмывания денег. Если парня признают виновным, ему может грозить серьезный срок.
➡️ Источник.
#Новости
Открытый практикум DevOps by Rebrain: Разработка модели угроз продукта N
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉 Регистрация
Время проведения:
22 апреля (вторник), 19:00 по МСК
Программа практикума:
▪️ Совместно с участниками вебинара будем анализировать возможные проблемы безопасности
▫️ На основе упрощенной архитектуры продукта выполним построение модели угроз
▪️ Обсудим результаты
Кто ведёт?
Андрей Моисеев — DevSecOps направления Cloud Native Security MTS Web Services. Спикер конференций HighLoad++, DevOps, SafeCode, HeisenBug. Занимался безопасностью с обеих сторон сертификации. Развивает процессы и инструменты DevSecOps.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFJuUVur
📶 Защита SSH-сервера и клиента. Усиление конфигурации.
• Стоит отметить, что многие ОС по умолчанию настроены на удобство работы, а не на безопасность. Поэтому в большинстве случае настройки нуждаются в усилении!
• ssh-audit — инструмент для аудита конфигурации ssh-сервера и клиента.
➡Поддержка серверов протоколов SSH1 и SSH2;
➡Анализ конфигурации SSH-клиента;
➡Распознавание устройства, программного обеспечения и операционной системы, определение компрессии;
➡Сборка обмена ключами, ключей хостов, шифрования и кодов аутентификации сообщений;
➡Вывод информации об алгоритме (с какого времени доступен, удалён/отключён, небезопасен/слаб/устарел и т. д.);
➡Вывод рекомендаций по алгоритмам (добавлять или удалять в зависимости от версии распознанного ПО);
➡Вывод информации о безопасности (связанные проблемы, список CVE и т. д.);
➡Анализ совместимости версий SSH на основе информации об алгоритмах;
➡Историческая информация из OpenSSH, Dropbear SSH и libssh;
➡Сканирование политик для обеспечения усиленной/стандартной конфигурации;
➡Работает под Linux и Windows;
➡Поддерживает Python 3.8−3.12;
➡Отсутствие зависимостей.
• Кроме утилиты командной строки, для удобства реализован веб-интерфейс, через который она запускается: https://www.ssh-audit.com. Этот сервис чем-то похож на SSL Server Test для быстрого аудита конфигурации SSL. Вместе с программой распространяются советы по улучшению конфигурации с целью повышения безопасности SSH для разных дистрибутивов Linux. Ну и в качестве дополнения не забывайте про подсказки по командам SSH (cheat sheet).
• А еще есть полезная статья с практическими примерами использования туннелей SSH. Например, там приводятся примеры удалённого выполнения команд, удалённого перехвата пакетов, копирования файлов, туннелирования SSH-трафика через сеть Tor, передачи потокового видео по SSH с помощью VLC и SFTP и др.
#SSH #ИБ
• А вы знали, что модификатор Ctrl появился еще до компьютеров? Он делал именно то, что говорится в имени — контролировал вывод телетайпа. Управляющие коды в документации обозначались символом ^. Ctrl при нажатии вместе с другой клавишей позволяла оператору вводить символы для «управления» удаленным терминалом, в отличие от символьных клавиш, предназначенных для печати на странице. Примеры управляющих символов:
➡^A — начало передачи;
➡^Z — конец;
➡^I — перемещает печатающую головку на следующую вкладку (современные клавиатуры по-прежнему отправляют ^I клавишей табуляции);
➡^M — это возврат печатающей головки в начало строки;
➡^J — перевод строки, при котором бумага перемещается на одну строку вниз;
➡^G — звонок колокольчика, всеми любимый управляющий код. На телетайпах это звучало как реальный звонок. На компьютерах он издает классический «звуковой сигнал». В Windows 10 все еще есть beep.sys. В очень старых чат-системах, где пользователи общались через текстовые файлы, отправка в чат ^G считалось своего рода троллингом.
• Сочетания клавиш были еще у терминалов ASCII конца 1960-х и начала 1970-х годов. Каждая клавиша-модификатор изменяла комбинацию битов, которую терминал отправлял при нажатии другой клавиши. Это позволило вводить до 8 000 символов без переключения языков в программном обеспечении. В то время не существовало стандартов для входных кодов, поэтому иногда люди использовали комбинации клавиш в качестве командных нажатий.
• Даже во времена, когда не существовало ASCII, клавиша Ctrl добавлялась к 7- и 8-битным терминалам. Первые машины Apple были способны кодировать верхний и нижний регистр, но чип генератора символов всегда загружался только символами верхнего регистра. В нем были реализованы некоторые собственные сочетания клавиш Ctrl, от которых уже давно отказались благодаря появлению клавиш управления курсором.
• К 1970 году ASCII был нормой, обязательным условием обработки и передачи данных везде кроме IBM. По этой причине изменение действия Ctrl приводило к сбою всего ПО.
• Когда был представлен IBM PC, в IBM, вероятно, поняли, что он будет использоваться в качестве эмулятора терминала, поэтому для совместимости необходимо было включить клавишу Ctrl. Это также было необходимо для комбинации Ctrl+Break
• В дальнейшем разработчики программного обеспечения, особенно те, кто создавал ПО для обработки текста (Multimate и WordPerfect), быстро адаптировали клавиши Ctrl и Alt в сочетании с программируемыми клавишами (F1-F12) для отображения различных функций.
• Стандартизацию клавиш Ctrl и Alt на компьютерных клавиатурах можно объяснить их полезностью в предоставлении пользователям эффективных способов взаимодействия с компьютерными системами и приложениями. Их широкое распространение на различных платформах и операционных системах закрепило за ними место в качестве незаменимых клавиш на современных клавиатурах. Такие вот дела...
#Разное
• Нашел весьма занятный инструмент для безопасного обмена файлами между хостами. Утилита называется "croc" и она кроссплатформенная (есть даже приложение на Android). Просто указываем какой файл хотим отправить, передаём получателю специальный код и он, используя этот код, загружает файл себе.
• Кстати, на сколько мне известно, тулзу постоянно дорабатывают и добавляют новый функционал начиная с 2018 года. Вот некоторые особенности:
➡Обеспечивает сквозное шифрование (с использованием PAKE);
➡Позволяет передавать несколько файлов одновременно;
➡Позволяет восстановить передачу данных при нестабильном соединении;
➡Может использовать прокси или работать через tor.
• В общем и целом, более подробная информация есть на Github: https://github.com/schollz/croc
• А еще у автора есть ламповый блог. Обязательно загляните, там много всего полезного: https://schollz.com
• Ну и ссылка на F-Droid для Android: https://f-droid.org/
#Tools #croc
• Это как самозапрет на кредит в Госуслугах, но только лучше.
• Доброе утро... 🫠
#Понедельник
👩💻 Вначале была командная строка.
• Интерфейсы командной строки доминировали на заре вычислительной техники. До того, как персональные компьютеры обрели популярность, они были предназначены исключительно для тех, кто выучил команды для работы с ними. Первые компьютеры, такие как машины IBM или Apple, приветствовали пользователей командной строкой — чем-то таким простым, как C:\>_ ожидая ввода команд.
• Такие команды, как dir для просмотра файлов или type для просмотра текстовых файлов, были нормой. Хотя этот подход имел свои преимущества с точки зрения прямого управления, он также был подвержен ошибкам пользователя, особенно при случайном вводе команд, таких как format или rm -rf в Unix.
• Затем, массовое производство ПК привело к появлению графических пользовательских интерфейсов (GUI). Они представили иконки и разместили большую часть функций, которые можно было бы использовать прямо в UI. Цель состояла в том, чтобы свести к минимуму риск того, что пользователи непреднамеренно повредят систему.
• GUI, несомненно, стали прорывом в области UX, когда они впервые появились в Macintosh от Apple в 1984 году. Персональные компьютеры только начинали внедряться среди населения, и их функциональность была незнакома большинству. Начинающему пользователю нужно было понять и изучить, что может делать компьютер, и GUI позволял им делать это с помощью меню, иконок и виджетов. Они преодолевали разрыв между техническими и не-техническими специалистами.
• Macintosh OS была революцией. И людей, использующих компьютеры, внезапно стало значительно больше, потому что интерфейс стал более доступным для менее технически подкованной аудитории. Переход от CLI к GUI абстрагировал трудоёмкое вербальное общение между людьми и компьютерами и заменил его визуально привлекательными, дорогостоящими интерфейсами.
• В эпохальном 2007 году командную строку описывали как вышедшую из моды из-за её неумолимого синтаксиса и труднозапоминающихся команд. Однако чем сложнее становилось программное обеспечение, тем сложнее было ориентироваться только с помощью графического интерфейса. GUI принесли с собой сложные меню и панели инструментов, часто заставляя пользователей чувствовать себя потерянными среди множества немаркированных кнопок. Страх нажать не ту кнопку был реальной проблемой!
• AutoCAD — яркий тому пример. Программное обеспечение для 2D- и 3D-чертежей впервые было выпущено в 1982 году. Его обширная функциональность привела к сложному пользовательскому интерфейсу, заваленному меню, подменю и подподменю.
• Тем не менее, для среднего потребителя командная строка — это загадочное и немного пугающее место. Именно это побудило к попыткам сделать CLI более простым в использовании.
• Например, в CLI Cisco был инструмент под названием Context Sensitive Help, который предлагал два типа справки (словесная справка и справка по синтаксису команды) при вводе ?. Ранний текстовый редактор Vim имел командную строку. Он использовал команды типа :wq для сохранения и выхода, что было быстро.
• Среди сложности GUI появился проблеск надежды в виде Поиска. Google продемонстрировал, что может найти что угодно в Интернете быстрее, чем пользователи находят что-либо на своих компьютерах. Это привело к идее обучения компьютера с помощью естественного языка.
• В 2004 году Google перенесла эту концепцию на рабочий стол с помощью инструмента, который позволял пользователям искать как в Интернете, так и на своем компьютере файлы и программы с помощью всего нескольких нажатий клавиш.
• 2007 год стал поворотным моментом для поиска в интерфейсах программного обеспечения. Excel представил автозаполнение формул, Visual Studio включил поиск файлов, который также выполнял функции командной строки, а Apple расширила свои возможности поиска, представив поиск в меню справки в OS X Leopard.
• Благодаря этим инновациям Поиск стал неотъемлемой частью пользовательского опыта. Пользователям больше не приходилось расшифровывать зашифрованные команды, такие как dir; Вместо этого они могли искать нужный инструмент, используя естественный язык.
#Разное
• LastActivityView — эта небольшая утилита позволит собрать полный лог действий системы и юзера в ней. Открыли программу, папку, подрубились к вафле или даже выключили компьютер – соответствующая запись появится в реестре, из которого она пойдет в единый большой лог от LastActivityView. Тулза фиксирует более двадцати (sic!) типов действий системы. Вот тут более подробно: https://www.nirsoft.net/utils/computer_activity_view.html
#Форензика #ИБ
👩💻 Kubernetes The Hard Way.
• Автор этого гайда работал над ним около двух лет, осуществил тысячи перезапусков и пересобрал сотни кластеров — всё это вылилось в одну, но очень насыщенную статью. Kubernetes вручную, от и до, без kubeadm и прочих поблажек.
- Удобные alias’ы, функции и обёртки;
- Десятки скриптов, которые реально работают в бою;
- Важные моменты, о которых молчат в туториалах.
➡Введение;
➡Почему «The Hard Way»;
➡Архитектура развертывания;
➡Создание инфраструктуры;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Проверка готовности компонентов;
➡Работа с сертификатами;
➡Создание корневых сертификатов;
➡Создание сертификатов приложений;
➡Создание ключа подписи ServiceAccount;
➡Создание всех сертификатов;
➡Создание конфигураций kubeconfig;
➡Создание всех kubeconfig;
➡Проверка блока сертификатов;
➡Создание static pod-ов управляющего контура;
➡Создание всех static pod-ов управляющего контура;
➡Создание static pod-ов ETCD кластера;
➡Запуск службы Kubelet;
➡Проверка состояния кластера;
➡Настройка ролевой модели;
➡Загрузка конфигурации в кластер;
➡Загрузка корневых сертификатов в кластер;
➡Маркировка и ограничение узлов.
#Kubernetes
📶 Первый DSL-модем.
• В 1964 году в Нью-Йорке проводилась всемирная выставка, которую за полгода посетило свыше 50 млн человек. Одним из самых популярных был стенд компании Bell System: она демонстрировала невероятную для того времени штуку в области коммуникаций. Речь идет о Picturephone (на фото).
• Это устройство стоимостью почти 500 млн долларов (суммарная стоимость восьмилетних исследований) имело инновационную камеру, зум-объектив и экран размером 5,25 х 5 дюймов. Многие посетители отмечали, что идея была блестящей, но реализация оставляла желать лучшего — картинка тормозила и была размытой. Такого же мнения придерживался и 9-летний Джон Чоффи, которого на выставку привела мама.
• Из-за стоимости в несколько тысяч долларов спроса на Picturephone не было — проект свернули. Зато юный Джон Чоффи понял, чем хочет заниматься.
• Первые исследования Джона были посвящены алгоритму эхоподавления при двунаправленной передаче сигнала по витой паре. Чоффи разрабатывал алгоритмы распознавания и вычитания повторяющихся сигналов на DSP процессорах.
• В 1984 году Джон Чоффи устраивается в IBM, где занимается исследованием жестких дисков. За три года работы он придумал технологию, как можно увеличить вместимость данных на 50%, и серьезно продвинулся по карьерной лестнице.
• В 1987 году он получает докторскую степень и переходит работать преподавателем в Стэнфордский университет. Вместе с несколькими своими студентами он принимается за исследование дискретной многотональной модуляцией — DMT. Это новый алгоритм, основанный на разделении каналов передачи не по времени, а по нескольким несущим частотам.
• Когда Чоффи опубликовал результат своих исследований, с ним связались из Bell Labs, где вместе с сотрудниками Чарльзом Джудисом, Рэем Ланном и Мэттом Кляйном они разработал идею асинхронной передачи данных — ADSL!
• Суть идеи ADSL заключалась в том, чтобы сохранить три канала передачи данных, как в ISDN, но разделить их по функционалу:
➡Первый канал назывался «входящим» — то, что принимает пользователь, основной объем трафика. На него будет приходиться большая часть полосы пропускания — от 138 кГц до 1,1 МГц.
➡Второй канал «исходящий», и тут ширина полосы будет намного меньше — от 26 кГц до 138 кГц.
➡Третий низкочастотный канал для телефонной связи в привычном диапазоне от 0,3 до 3,4 кГц.
• Вся полоса частот от 26 кГц до 1,1 МГц делится на 256 подканалов с шагом 4,3125 кГц с использованием методов дискретного преобразования Фурье. Диапазон был выбран неслучайно — в нем коэффициент затухания медной витой пары почти не зависит от частоты, что снижает потери.
• В результате пропускная способность по «входящему» трафику значительно увеличивается: при диаметре провода 0,5 мм — до 6 Мбит/с на расстоянии 3,5 км и 1,6 Мбит/с на расстоянии 5,5 км.
• В 1991 году Чоффи открывает фирму Amati Communications Corporation, которая принимается за разработку первого DSL-модема. Несмотря на то, что в ней работают всего 10 сотрудников, а финансирования не хватает, в 1993 году Amati представляет первый DSL-модем — Prelude (на фото), который работает на основе DMT-метода модуляции. При скорости 1,5 Мбит/с модем смог передать сигнал на расстояние 3,3 км со значительно меньшим затуханием. Это устройство Чоффи стало единственным, которое вообще смогло достичь скорости в 6 Мбит/с (хотя и на расстоянии всего в 1,8 км). Так и был создан самый первый DSL модем...
#Разное
• Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.:
➡ https://gist.github.com/docker
• Дополнительно:
- Docker для начинающих - бесплатный курс с практическими заданиями;
- Play with Docker — онлайн-сервис для практического знакомства с Docker;
- Docker Security - объемное руководство по безопасной настройке Docker.
#Docker #CheatSheet
• В сети существует забавный проект, который называется "Million Dollar Homepage" — на первый взгляд, проект относится к категории «слабоумие и отвага», НО! тем не менее, страничка смогла принести его 21-летнему создателю миллион долларов на рубеже 2005-2006 годов.
• В середине нулевых эта история была у всех на слуху: британский студент Алекс Тью не мог найти денег на обучение в магистратуре, но вместо того, чтобы устроиться на обычную работу, пошел другим путем. Он собрал сайт с сеткой в миллион «рекламных блоков», назвал его «Million Dollar Homepage», назначил цену — по доллару за блок и начал продавать участки (минимум 10 на 10 блоков) под баннеры.
• И к 2006 году продал их все, действительно заработав тот самый миллион (если точнее, то $1 037 100 до вычета налогов). Помимо местных брендов, сомнительных онлайн-казино и сайтов знакомств, рекламу на странице купили Yahoo!, The Times, Napster, британский оператор мобильной связи Orange и Tenacious D — комедийный рок-дуэт Джека Блэка и Кайла Гэсса.
• Интернет загудел: гениально простая идея в одночасье сделала вчерашнего студента (учебу Алекс тогда все-таки бросил) миллионером. Сам Тью говорил, что все дело в первоначальной задумке, достаточно забавной, чтобы она могла привлечь интерес аудитории. На деле немалую долю популярности проекту обеспечили СМИ. Для них история «страницы на миллион» обладала всеми компонентами «интернет-реалити-шоу»: бедный, нуждающийся Студент, его Идея (настолько простая, что непонятно, почему он первый до ней додумался), возможность следить за Успехом проекта в реальном времени — заработает миллион или нет?
• В 2005-м это было еще в новинку, и медиа охотно принялись раскручивать историю. Вероятно, сам Тью понимал это — деньги, вырученные с продажи первых 1000 блоков (покупателями были его друзья и знакомые), он потратил на то, чтобы подготовить и разослать пресс-релиз для СМИ. Сайт запустился 26 августа. 8 сентября о нем написал the Register, 22 сентября — PC Pro, 24 сентября — the Telegraph, а к началу октября материалы о предприимчивом студенте выходили уже в немецких и испанских медиа.
• По данным самого Тью, на конец декабря 2005 года посещаемость сайта составляла 25 тыс. уникальных пользователей в час. Часть из них хотя бы случайно кликала по баннерам и переходила на страницы рекламодателей — единицы любопытствующих действительно совершали покупки или другие целевые действия.
• Уже на старте проекта Тью позиционировал Million Dollar Homepage не только как рекламную площадку, но и как некий «музей истории интернета», в котором можно приобрести вакантное место: первоначально предполагалось, что сайт будет функционировать минимум пять лет, максимум — всегда.
• Ожидаемо, проект породил огромное количество подражателей — и, опять же, ожидаемо, ни один из них не приблизился к успеху «страницы на миллион». Удивительно, что идею продолжают копировать и сейчас, спустя 20 лет — кто-то пытается улучшить и доработать проект, а кто-то беззастенчиво повторяет один в один.
• Как показало время, ни Алекс Тью, ни его «страница на миллион» не были однодневками. Тью сейчас руководит бизнесом, который оценивается в $2 млрд, а «страница на миллион» продолжает жить своей жизнью — как артефакт ушедшей эпохи, предмет для изучения или даже источник ностальгических чувств для ретро гиков.
#Разное
• VeraCrypt продолжает меня удивлять. Вот я вроде бы уже все знаю про эту софтину, ан-нет, находится что-то, о чем я не подозревал. И мне. Черт возьми, это очень нравится. Это значит, что эта программка очень глубокая и качественно проработанная.
• Теперь к делу. Когда вы выполнили полнодисковое шифрование, вам ни один бармалей не будет страшен, потому что вскрыть AES-256 практически невозможно. Ну только если фаза Луны наложится на ретроградный Меркурий. А так нет. Соответственно, нет доступа к системе – нет возможности для злоумышленника ознакомится с логами вашей активности и всеми остальными вкусными вещами.
• Но есть еще один слой обеспечения безопасности. Скорее психологического, а не технического характера. Когда вы только загружаете систему, она просит вас ввести пароль, а затем PIM (если он, конечно, у вас есть). Собственно, уже на этом экране становится понятно, что система зашифрована. А это исход не самый желательный. И тут мы с вами встаем на путь хитрости.
• Вместо просьбы ввести пароль мы можем вывести на экран набор случайных символов, или сообщение об ошибке с предложением перезагрузить компьютер. Вариантов может быть масса: их ограничивает только ваша смекалка и чувство юмора. Установить все можно в разделе Система – Установки – Правка конфигурации загрузчика. Но будьте осторожны, там можно легко напортачить, да так, что система после вообще не загрузится.
• Ну и напоследок, если данная тема для вас действительно интересна, то обязательно изучите этот материал:
➡Скрытый том;
➡Скрытая операционная система;
➡Правдоподобное отрицание наличия шифрования.
• И не забывайте про документацию VeraCrypt, которая переведена на русский язык. Тут очень много нужной и полезной информации:
➡️ https://veracrypt.eu/ru/Documentation.html
#VeraCrypt #Шифрование
• Один из ключевых протоколов интернета FTP (file transfer protocol) сегодня отмечает свой 54-й день рождения. Студент Массачусетского технологического института Абхай Бушан опубликовал первые спецификации RFC 114 16 апреля 1971 года, задолго до появления HTTP и даже за три года до TCP (RFC 793)! Простой стандарт для копирования файлов с годами начал поддерживать более сложные модели контроля, совместимости и безопасности. Cпустя 54 года FTP нельзя назвать устаревшим и миллионы FTP-серверов все еще доступны в Интернете.
• К слову, автор данного протокола был не единственным, кто принял участие в разработке FTP, ведь после выпуска из вуза он получил должность в Xerox, а протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.
• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.
#Разное
• Смотрите какая крутая библиотека команд, однострочников и шпаргалок для линуксоидов. На самом деле, данному ресурсу уже много лет, но я решил напомнить о нем, так как библиотека постоянно обновляется авторами и содержит тонну полезной информации, как для начинающих, так и для опытных специалистов.
• На текущий момент времени приложение содержит 6686 страниц информации по 22 основным категориям:
➡One-liners;
➡System information;
➡System control;
➡Users & Groups;
➡Files & Folders;
➡Input;
➡Printing;
➡JSON;
➡Network;
➡Search & Find;
➡GIT;
➡SSH;
➡Video & Audio;
➡Package manager;
➡Hacking tools;
➡Terminal games;
➡Crypto currencies;
➡VIM Texteditor;
➡Emacs Texteditor;
➡Nano Texteditor;
➡Pico Texteditor;
➡Micro Texteditor.
• Здесь собраны все основные команды, которые разбиты по разделам и используются при работе с UNIX-подобными системами. К примеру для работы с файлами, папками, сетью и т.д. А может вы ищите хакерские примочки? Пожалуйста!
• Исходный код открыт, а еще есть приложение приложение на Android, которое можно скачать с GitHub или F-Droid. Пользуйтесь!
#linux
• Судя по всему, знаменитый имиджборд 4chan был взломан сегодня ночью. Хакеры смогли получить доступ буквально ко всей информации форума (от исходного кода, до личных переписок администраторов и их ip). К слову, почтовые адреса некоторых администраторов имеют домен .gov и .edu =)
• На данный момент информации не так много, но известно то, что проблема кроется в устаревшей версии PHP. На сайте хакеров есть тема об этом: https://www.soyjak.st/news/thread/4104.html
➡ Источник.
#Новости
• Еще немного о модификаторах: на этот раз поговорим о функции "отмены", которая появилась еще в конце 1960-х годов как часть системы поиска и редактирования гипертекста — HES, созданной в Университете Брауна. Функция undo проникла в мир коммерческих вычислений вместе с редактором Bravo WYSIWYG от Xerox в 1974 году. В том же 1974 году Ларри Теслер, сотрудник исследовательского центра Xerox в Пало-Альто, создал то, что считается главной триадой горячих клавиш — вырезать, копировать, вставить.
• Уже при разработке пользовательского интерфейса для Apple Lisa в 1983 году Ларри Теслер решил использовать клавиши Z, X, C и V в сочетании с клавишей Apple для обозначения отмены, вырезания, копирования и вставки. Теслер так описал, почему он выбрал именно эти буквы:
«Ну, Z — последняя буква, потому что она отменяет последнее, что ты сделал. X означает «Вырезать», потому что X выглядит как ножницы. И V означает «Вставить», потому что это похоже на пометку корректуры для «вставки». А буква C это собственно слово «copy».
Alt+BackspaceShift+DeleteCtrl+InsertShift+Insert
💳 LinuxCard.
• Интересный проект, где автор смог собрать устройство для запуска linux размером с визитную карточку. По ссылке ниже можно найти всю необходимую информацию и повторить процесс создания:
➡️ Читать статью.
• На самом деле, в блоге автора опубликованы десятки интересных проектов. Особое внимание заслуживает статья с запуском дебиана на 4-х битном Intel 4004 из 1971 года, который считается первым коммерчески выпускаемым микропроцессором на одном кристалле.
#Разное
Сможете провести полный пентест AD? Проверим на практике уже 29 мая.
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее базис
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
• Пост выходного дня: после новогодних праздников я публиковал пост, в котором оставлял ссылку на веб версию игры "Герои Меча и Магии III". Так вот, хочу рассказать вам о том, что автор постоянно выкатывает обновления и оптимизирует процесс, который целиком и полностью работает в браузерах на Windows, MacOS, Linux, Android и iOS. Так что если хотите вспомнить молодость и поностальгировать, то добро пожаловать по ссылкам ниже:
➡Герои Меча и Магии 3: Полное собрание;
➡Герои Меча и Магии 3: Рог Бездны;
➡Герои Меча и Магии 3: Во Имя Богов;
➡Герои Меча и Магии 3: Хроники Героев.
➡️ Блог автора: /channel/gamebase54/1252
#Разное
На кого нужно регистрировать домен?
Всё просто: для себя — на физлицо, для бизнеса — на ИП или юрлицо. На практике часто получается по-другому. В карточках поделились результатами своего исследования и рассказали, почему не стоит регистрировать домен для компании на сотрудника или подрядчика.
🎉 Результаты розыгрыша:
🏆 Победители:
1. Тагир
2. Mike1452 (@mike1452)
3. NNM (@Nnmekb)
4. Chudesa_bez_tormozov (@Chudesa_bez_tormozov)
5. HJl (@bkmz5)
✔️Проверить результаты
• Никогда такого не было, и вот опять: основатель популярного ИИ-стартапа для шопинга оказался филлипинским колл-центром, где работали сотни людей и имитировали нейросеть.
• Основанная в 2018 году Nate привлекла более $40 млн. от различных инвесторов вроде Coatue и Forerunner Ventures.
• Компания утверждала, что благодаря искусственному интеллекту пользователи ее приложения могут совершать покупки в любом интернет-магазине одним щелчком мыши «без вмешательства человека». В действительности операционная деятельность Nate полагалась на сотни людей, работающих в колл-центре на Филиппинах. Они вручную совершали операции, утверждает сторона обвинения.
• Несмотря на покупку некоторых ИИ-технологий и найм специалистов по обработке данных, фактический уровень автоматизации приложения Nate составлял 0%, сообщил Минюст.
• В январе 2023 года у компании закончились деньги и она была вынуждена продать свои активы, оставив инвесторов с убытками. 35-летний основатель компании обвиняется по одному пункту мошенничества с ценными бумагами и одному пункту мошенничества с использованием электронных средств связи. По обоим грозит максимальный срок 20 лет лишения свободы.
• Кстати, в 2022 году Nate заподозрили в использовании работников из Филиппин в ручной обработке транзакций. Такие вот дела...
➡ https://www.justice.gov/usao-sdny/pr/tech-ceo-fraud-scheme
#Новости #ИИ