49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
📶 Usenet.
• Когда Тим Бернерс-Ли в ранних 90-х представил технологии, определившие будущую Всемирную паутину, в мире уже не одно десятилетие существовала по-настоящему децентрализованная компьютерная сеть с довольно богатым контентом и открытым доступом. Этот проект, который всё ещё живет, называется Usenet. О нем и поговорим.
• Эта история началась в Северной Каролине с двух друзей из Дьюкского университета, Джима Элиса и Тома Траскотта. Они работали над протоколом UUCP, Unix to Unix Copy Protocol. Их друг из университета Северной Каролины Стивен Белловин хотел создать софт, который позволил бы людям пользоваться этим протоколом, и тоже вошёл в основную команду.
• Проект оказался довольно успешен: с помощью UUCP стало возможно отправлять файлы и сообщения между компьютерами и мини-компьютерами, соединёнными по сети. И, поскольку речь идёт о 1970-х, под компьютерами подразумеваются мейнфреймы, занимающие целую комнату или этаж. Мини-компьютеры же варьировались по размерам примерно от письменного стола до пары холодильников. Для своего времени они обеспечивали приличную вычислительную мощность, но до мейнфреймов им было далеко.
• Чтобы соединять компьютеры между собой в рамках проекта Usenet, создатели использовали акустические модемы (на фото). В их основе лежит акустический преобразователь, превращающий электрические сигналы в звук и наоборот. Когда нужно было установить соединение между компьютерами, то на преобразователе одного компьютера набирался номер другого компьютера с подобным преобразователем. После установки связи последовательность бит передавалась через звуковые сигналы. Для надёжности передачи такие модемы оборудовались звукоизолирующими резиновыми прокладками.
• Выглядит как странная альтернатива обычному коммутируемому доступу. Почему бы не использовать для этого телефонные сети, которые были очень развиты в то время? Всё дело в AT&T, телефонном монополисте США того времени, который установил очень высокие цены на передачу данных через коммутируемый доступ по своим линиям. Акустические модемы соединялись, по сути, с помощью голосовых вызовов, что было гораздо дешевле. Впоследствии AT&T, кстати, узнала об этой лазейке, но в итоге не выиграла суд.
• Итак, на основе UUCP-протокола Стивен Белловин написал софт, нечто вроде браузера, но без графической оболочки. С его помощью стало возможным обмениваться данными между мини-компьютерами. Первые три компьютера, соединённые таким образом, располагались в Дьюкском университете, школе медицины университета Дьюка и в университете Северной Каролины. Так образовалась начальная версия Usenet.
• По своей сути Usenet очень напоминал современный Reddit и, в целом, уходящие в прошлое форумы. Сеть состояла из групп обсуждения. Каждая такая группа была посвящена какой-нибудь теме. Пользователи могли читать эти потоки и, обычно, писать в них.
• В 1986 году выпускники Калифорнийского университета в Сан-Диего опубликовали в Usenet спецификацию NNTP (Network News Transfer Protocol). Этот протокол адаптировал Usenet для персональных компьютеров — эпоха доступа по расписанию через «холодильные шкафы» уже уходила, да и сам проект давно вышел за пределы университетов.
• Usenet активно развивался долгие годы, даже когда распространение получили более продвинутые веб-технологии. Именно ему, кстати, мы обязаны существованием IMDB.com — этот проект начинался как обычная группа Usenet. Но прогресс всё-таки взял своё, и в течение 2000-х крупнейшие сетевые провайдеры США, со временем ставшие хостами многих основных серверов Usenet, объявили об их закрытии.
• Несмотря на моральное устаревание, проект кое-как продолжает жить, и некоторые провайдеры всё ещё предоставляют полноценный доступ в Usenet. В последние годы сеть снова обрела некоторую популярность в США благодаря тем, кто устал от всевидящего ока современного интернета, и тем, кто готов пожертвовать удобством, чтобы в какой-то степени вернуть себе «старый добрый» веб.
#Разное
• Опубликовано очередное исследование, в рамках которого были проанализированы различные браузеры на предмет сбора и отправки телеметрии. Стоит отметить, что учитывались только запросы, отправленные свежеустановленными экземплярами браузеров, до какой-либо активности пользователя. Проверялись самые свежие версии браузеров, доступные на момент тестирования. Отсутствие служебной сетевой активности сразу после запуска зафиксировано только у браузеров Kagi Orion, Tor Browser и Pale Moon. Остальные браузеры так или иначе устанавливали сетевые соединения с внешними серверами, которые как минимум получали сведения об IP-адресе пользователя.
• К слову, ни один из отправляющих запросы браузеров не предоставил пользователю возможность отказаться от начальной отправки данных - многие браузеры позволяют в настройках отключить передачу телеметрии, но изменить эти настройки можно уже после того данные переданы при первом запуске.
• Распределение браузеров по числу хостов, к которым отправлялись служебные запросы (в скобках показатель за 2021 год):
➡82 - Zen;
➡48 (21) - Edge;
➡42 - Floorp;
➡31 (21) - Opera;
➡29 (15) - Firefox;
➡25 (9) - Chrome;
➡24 (3) - Librewolf;
➡24 (15) - Yandex Browser;
➡21 - Waterfox;
➡17 (7) - Brave;
➡16 (44) - Arc;
➡15 (0) - Mulvad;
➡11 (13) - Vivaldi;
➡10 - Thorium;
➡6 (6) - Safari;
➡3 (0) - Ungoogled Chromium;
➡0 (0) Kagi Orion;
➡0 (0) - Tor Browser;
➡0 - Pale Moon.
➡️ Исследование;
➡️ Источник.
#Статистика #Исследование
🫠 Мошенническая схема с ботом «Почты России» в Telegram.
• Схема классическая, но предупредить близких не помешает: потенциальной жертве поступает звонок (чаще всего через мессенджер), мошенники представляются сотрудниками "Почты России" и под различными предлогами направляют жертву в Telegram, где просят запустить бота. После того как бот будет запущен, у жертвы появляется кнопка "Авторизация", которая открывает мини-приложение с формой входа Госуслуг. Если ввести туда свои данные, то аккаунт окажется в руках злоумышленников.
• Кстати, соль ещё заключается в том, что в мини-приложениях Telegram адрес сайта не отображается! Ну т.е. его просто невозможно проверить. Все, что видит пользователь, — это форма ввода данных якобы на «Госуслугах», скопированная с официального сайта. Поэтому постарайтесь чаще рассказывать своим родным и близким о подобных схемах. Кто знает, может именно вы поможете им сэкономить бесценное время, нервы и деньги... Всем хороших выходных ❤️
• Подробное описание схемы доступно вот тут.
#Фишинг
• Исследователи Технологического университета Эйндховена продемонстрировали рекордную скорость беспроводной передачи данных — 5,7 Тбит/с на расстояние 4,6 километра. Передача осуществлялась по невидимому инфракрасному лучу между двумя зданиями в черте города.
• В основе решения лежит технология оптической связи в свободном пространстве (FSO), использующая оптические антенны. Система использует узконаправленные инфракрасные лучи вместо радиочастот или кабелей.
• Главным преимуществом FSO является отсутствие радиопомех и высокая плотность передачи. Несмотря на впечатляющие показатели, у инфракрасной передачи есть ограничения: требуется прямая видимость, высокая чувствительность к погодным условиям и ограничения по дальности. Однако в городских условиях, где проложить оптоволокно часто затруднительно, технология может оказаться крайне полезной.
• Следующая цель — сделать такие беспроводные каналы устойчивыми к осадкам, пыли и другим природным препятствиям. Это позволит применять их в самых разных климатических зонах.
• Компания Aircision уже рассматривает варианты внедрения FSO для связи между вышками сотовой связи нового поколения и магистральными сетями, особенно в местах, где прокладка кабеля невозможна или слишком затратна.
➡️ Источник.
➡️ Исследование.
#Сети #Новости
Расследуйте атаку реальной APT-группировки уже сейчас!
Встречайте обновленный онлайн-полигон Standoff Defend для команд защиты в рамках марафона, который проходит с 3 по 29 апреля!
Уже сейчас вы можете протестировать главную новинку — регулируемые атаки, достоверно воспроизводящие техники, тактики и инструменты крупнейших APT-группировок.
💡 Переходите на сайт марафона и расследуйте атаку группировки Charming Kitten. Если зашли в тупик — воспользуйтесь подсказками.
🚀 Для участия не нужна предварительная подготовка — начните расследование прямо сейчас и проверьте свои навыки!
⏰ А 25 апреля в 11:00 (мск) ждем всех на разборе атаки с ментором. Он пройдет прямом эфире на сайте марафона, регистрируйтесь уже сейчас!
Готовы к вызову? Подробности — на сайте марафона!
⚙️ Реверс инжиниринг для самых маленьких...
• Интересный разбор задачи с платформы Codeby Games из раздела Реверс-инжиниринг – файлы. Называется: "Шифрование или что-то в этом роде, не знаю". Обратите внимание, что статья не совсем для "самых маленьких", как это заявлено автором. Определенные знания уже должны быть перед прочтением материала.
• В статье описана работа с дизассемблером IDA и некоторыми его возможностями. Еще разберем, как выглядит код без отладочной информацией, и что в таком случае делать. Сделаем теоретические отступления на тему секций и адресов. Ну и для углублённого изучения есть ссылки на дополнительную литературу.
➡️ Читать статью [11 min].
• Дополнительно:
➡Введение в реверсинг с нуля, используя IDA PRO - это целый цикл статей по сегодняшней теме. Тут очень много полезной информации для начинающих. Есть материал на разных языках: русский, испанский и английский.
➡Reversing malware для начинающих - подборка полезного материала с журнала хакер. Доступ к данному материалу полностью бесплатный.
#RE
«Кибербезопасность» — день открытых дверей онлайн-магистратуры Яндекс Практикума и НИЯУ МИФИ
23 апреля в 19:00 мск
На встрече поговорим о современном формате магистратуры от Яндекса и НИЯУ МИФИ для специалистов по кибербезопасности. Как поступить, как проходит обучение и какие знания вы получите на выходе.
И как это, когда учишься онлайн, но со студенческим билетом, отсрочкой от армии и дипломом магистра НИЯУ МИФИ после выпуска.
Что будет на событии:
— Расскажем про разные траектории обучения на программе и как после выпуска стать специалистом по информационной безопасности, AppSec, DevSecOps или аналитиком SOC.
— Обсудим, какие навыки будут у выпускников, чтобы соответствовать рынку и требованиям работодателей.
— Поговорим про поступление: сроки, экзамены, документы, оплата.
→ Зарегистрироваться
• Канадского математика Андина Меджедовича обвинили в краже более $65 млн. с разных криптовалютных бирж. В настоящее время он скрывается от властей США.
• Меджедовичу было 18 лет, когда он решил взламывать криптобиржи. Осенью 2021 года, вскоре после получения степени магистра в Университете Ватерлоо, криптовалютный трейдер из Гамильтона в провинции Онтарио провёл серию транзакций, предназначенных для эксплуатации уязвимости в коде децентрализованной финансовой платформы. Это позволило ему вывести около $16,5 млн из двух пулов, управляемых платформой Indexed Finance. Руководители биржи отследили атаку и предложили хакеру вернуть 90% средств, оставив себе остальную сумму в качестве награды за обнаружение ошибки в коде. Несмотря на перспективу карьеры белого хакера, Меджедович не принял сделку.
• Математик утверждает, что его действия были законными в соответствии с правилами открытого исходного кода платформ. Парень апеллирует к распространённой в сфере De-Fi философии «Код — это закон».
• Меджедович начал скрываться от правосудия. Примерно через два года он снова вывел криптовалюту с децентрализованной биржи — на этот раз около $48,4 млн.
• В настоящее время Меджедовичу, которому сейчас 22 года, предъявлено пять уголовных обвинений, в том числе из-за мошенничества с использованием электронных средств, а также попыток вымогательства и отмывания денег. Если парня признают виновным, ему может грозить серьезный срок.
➡️ Источник.
#Новости
Открытый практикум DevOps by Rebrain: Разработка модели угроз продукта N
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉 Регистрация
Время проведения:
22 апреля (вторник), 19:00 по МСК
Программа практикума:
▪️ Совместно с участниками вебинара будем анализировать возможные проблемы безопасности
▫️ На основе упрощенной архитектуры продукта выполним построение модели угроз
▪️ Обсудим результаты
Кто ведёт?
Андрей Моисеев — DevSecOps направления Cloud Native Security MTS Web Services. Спикер конференций HighLoad++, DevOps, SafeCode, HeisenBug. Занимался безопасностью с обеих сторон сертификации. Развивает процессы и инструменты DevSecOps.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFJuUVur
📶 Защита SSH-сервера и клиента. Усиление конфигурации.
• Стоит отметить, что многие ОС по умолчанию настроены на удобство работы, а не на безопасность. Поэтому в большинстве случае настройки нуждаются в усилении!
• ssh-audit — инструмент для аудита конфигурации ssh-сервера и клиента.
➡Поддержка серверов протоколов SSH1 и SSH2;
➡Анализ конфигурации SSH-клиента;
➡Распознавание устройства, программного обеспечения и операционной системы, определение компрессии;
➡Сборка обмена ключами, ключей хостов, шифрования и кодов аутентификации сообщений;
➡Вывод информации об алгоритме (с какого времени доступен, удалён/отключён, небезопасен/слаб/устарел и т. д.);
➡Вывод рекомендаций по алгоритмам (добавлять или удалять в зависимости от версии распознанного ПО);
➡Вывод информации о безопасности (связанные проблемы, список CVE и т. д.);
➡Анализ совместимости версий SSH на основе информации об алгоритмах;
➡Историческая информация из OpenSSH, Dropbear SSH и libssh;
➡Сканирование политик для обеспечения усиленной/стандартной конфигурации;
➡Работает под Linux и Windows;
➡Поддерживает Python 3.8−3.12;
➡Отсутствие зависимостей.
• Кроме утилиты командной строки, для удобства реализован веб-интерфейс, через который она запускается: https://www.ssh-audit.com. Этот сервис чем-то похож на SSL Server Test для быстрого аудита конфигурации SSL. Вместе с программой распространяются советы по улучшению конфигурации с целью повышения безопасности SSH для разных дистрибутивов Linux. Ну и в качестве дополнения не забывайте про подсказки по командам SSH (cheat sheet).
• А еще есть полезная статья с практическими примерами использования туннелей SSH. Например, там приводятся примеры удалённого выполнения команд, удалённого перехвата пакетов, копирования файлов, туннелирования SSH-трафика через сеть Tor, передачи потокового видео по SSH с помощью VLC и SFTP и др.
#SSH #ИБ
• А вы знали, что модификатор Ctrl появился еще до компьютеров? Он делал именно то, что говорится в имени — контролировал вывод телетайпа. Управляющие коды в документации обозначались символом ^. Ctrl при нажатии вместе с другой клавишей позволяла оператору вводить символы для «управления» удаленным терминалом, в отличие от символьных клавиш, предназначенных для печати на странице. Примеры управляющих символов:
➡^A — начало передачи;
➡^Z — конец;
➡^I — перемещает печатающую головку на следующую вкладку (современные клавиатуры по-прежнему отправляют ^I клавишей табуляции);
➡^M — это возврат печатающей головки в начало строки;
➡^J — перевод строки, при котором бумага перемещается на одну строку вниз;
➡^G — звонок колокольчика, всеми любимый управляющий код. На телетайпах это звучало как реальный звонок. На компьютерах он издает классический «звуковой сигнал». В Windows 10 все еще есть beep.sys. В очень старых чат-системах, где пользователи общались через текстовые файлы, отправка в чат ^G считалось своего рода троллингом.
• Сочетания клавиш были еще у терминалов ASCII конца 1960-х и начала 1970-х годов. Каждая клавиша-модификатор изменяла комбинацию битов, которую терминал отправлял при нажатии другой клавиши. Это позволило вводить до 8 000 символов без переключения языков в программном обеспечении. В то время не существовало стандартов для входных кодов, поэтому иногда люди использовали комбинации клавиш в качестве командных нажатий.
• Даже во времена, когда не существовало ASCII, клавиша Ctrl добавлялась к 7- и 8-битным терминалам. Первые машины Apple были способны кодировать верхний и нижний регистр, но чип генератора символов всегда загружался только символами верхнего регистра. В нем были реализованы некоторые собственные сочетания клавиш Ctrl, от которых уже давно отказались благодаря появлению клавиш управления курсором.
• К 1970 году ASCII был нормой, обязательным условием обработки и передачи данных везде кроме IBM. По этой причине изменение действия Ctrl приводило к сбою всего ПО.
• Когда был представлен IBM PC, в IBM, вероятно, поняли, что он будет использоваться в качестве эмулятора терминала, поэтому для совместимости необходимо было включить клавишу Ctrl. Это также было необходимо для комбинации Ctrl+Break
• В дальнейшем разработчики программного обеспечения, особенно те, кто создавал ПО для обработки текста (Multimate и WordPerfect), быстро адаптировали клавиши Ctrl и Alt в сочетании с программируемыми клавишами (F1-F12) для отображения различных функций.
• Стандартизацию клавиш Ctrl и Alt на компьютерных клавиатурах можно объяснить их полезностью в предоставлении пользователям эффективных способов взаимодействия с компьютерными системами и приложениями. Их широкое распространение на различных платформах и операционных системах закрепило за ними место в качестве незаменимых клавиш на современных клавиатурах. Такие вот дела...
#Разное
• Нашел весьма занятный инструмент для безопасного обмена файлами между хостами. Утилита называется "croc" и она кроссплатформенная (есть даже приложение на Android). Просто указываем какой файл хотим отправить, передаём получателю специальный код и он, используя этот код, загружает файл себе.
• Кстати, на сколько мне известно, тулзу постоянно дорабатывают и добавляют новый функционал начиная с 2018 года. Вот некоторые особенности:
➡Обеспечивает сквозное шифрование (с использованием PAKE);
➡Позволяет передавать несколько файлов одновременно;
➡Позволяет восстановить передачу данных при нестабильном соединении;
➡Может использовать прокси или работать через tor.
• В общем и целом, более подробная информация есть на Github: https://github.com/schollz/croc
• А еще у автора есть ламповый блог. Обязательно загляните, там много всего полезного: https://schollz.com
• Ну и ссылка на F-Droid для Android: https://f-droid.org/
#Tools #croc
• Это как самозапрет на кредит в Госуслугах, но только лучше.
• Доброе утро... 🫠
#Понедельник
• Очень ситуативное решение, но с полезным функционалом: ContainerSSH — инструмент, позволяющий поднимать отдельное окружение для пользователя налету, при подключении по SSH.
• Удобно, если используете для тестирования чего-либо, ну или для CTF и всего вот этого вот, где нам нужно получать заранее подготовленное, изолированное окружение при простой SSH авторизации.
➡️ Подробное описание: https://github.com/ContainerSSH
➡️ Документация: https://containerssh.io/v0.5/reference/
#SSH #Tools
Сможете провести полный пентест AD? Проверим на практике уже 29 мая.
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее базис
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
👩💻 Kubernetes The Hard Way.
• Автор этого гайда работал над ним около двух лет, осуществил тысячи перезапусков и пересобрал сотни кластеров — всё это вылилось в одну, но очень насыщенную статью. Kubernetes вручную, от и до, без kubeadm и прочих поблажек.
- Удобные alias’ы, функции и обёртки;
- Десятки скриптов, которые реально работают в бою;
- Важные моменты, о которых молчат в туториалах.
➡Введение;
➡Почему «The Hard Way»;
➡Архитектура развертывания;
➡Создание инфраструктуры;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Проверка готовности компонентов;
➡Работа с сертификатами;
➡Создание корневых сертификатов;
➡Создание сертификатов приложений;
➡Создание ключа подписи ServiceAccount;
➡Создание всех сертификатов;
➡Создание конфигураций kubeconfig;
➡Создание всех kubeconfig;
➡Проверка блока сертификатов;
➡Создание static pod-ов управляющего контура;
➡Создание всех static pod-ов управляющего контура;
➡Создание static pod-ов ETCD кластера;
➡Запуск службы Kubelet;
➡Проверка состояния кластера;
➡Настройка ролевой модели;
➡Загрузка конфигурации в кластер;
➡Загрузка корневых сертификатов в кластер;
➡Маркировка и ограничение узлов.
#Kubernetes
📶 Первый DSL-модем.
• В 1964 году в Нью-Йорке проводилась всемирная выставка, которую за полгода посетило свыше 50 млн человек. Одним из самых популярных был стенд компании Bell System: она демонстрировала невероятную для того времени штуку в области коммуникаций. Речь идет о Picturephone (на фото).
• Это устройство стоимостью почти 500 млн долларов (суммарная стоимость восьмилетних исследований) имело инновационную камеру, зум-объектив и экран размером 5,25 х 5 дюймов. Многие посетители отмечали, что идея была блестящей, но реализация оставляла желать лучшего — картинка тормозила и была размытой. Такого же мнения придерживался и 9-летний Джон Чоффи, которого на выставку привела мама.
• Из-за стоимости в несколько тысяч долларов спроса на Picturephone не было — проект свернули. Зато юный Джон Чоффи понял, чем хочет заниматься.
• Первые исследования Джона были посвящены алгоритму эхоподавления при двунаправленной передаче сигнала по витой паре. Чоффи разрабатывал алгоритмы распознавания и вычитания повторяющихся сигналов на DSP процессорах.
• В 1984 году Джон Чоффи устраивается в IBM, где занимается исследованием жестких дисков. За три года работы он придумал технологию, как можно увеличить вместимость данных на 50%, и серьезно продвинулся по карьерной лестнице.
• В 1987 году он получает докторскую степень и переходит работать преподавателем в Стэнфордский университет. Вместе с несколькими своими студентами он принимается за исследование дискретной многотональной модуляцией — DMT. Это новый алгоритм, основанный на разделении каналов передачи не по времени, а по нескольким несущим частотам.
• Когда Чоффи опубликовал результат своих исследований, с ним связались из Bell Labs, где вместе с сотрудниками Чарльзом Джудисом, Рэем Ланном и Мэттом Кляйном они разработал идею асинхронной передачи данных — ADSL!
• Суть идеи ADSL заключалась в том, чтобы сохранить три канала передачи данных, как в ISDN, но разделить их по функционалу:
➡Первый канал назывался «входящим» — то, что принимает пользователь, основной объем трафика. На него будет приходиться большая часть полосы пропускания — от 138 кГц до 1,1 МГц.
➡Второй канал «исходящий», и тут ширина полосы будет намного меньше — от 26 кГц до 138 кГц.
➡Третий низкочастотный канал для телефонной связи в привычном диапазоне от 0,3 до 3,4 кГц.
• Вся полоса частот от 26 кГц до 1,1 МГц делится на 256 подканалов с шагом 4,3125 кГц с использованием методов дискретного преобразования Фурье. Диапазон был выбран неслучайно — в нем коэффициент затухания медной витой пары почти не зависит от частоты, что снижает потери.
• В результате пропускная способность по «входящему» трафику значительно увеличивается: при диаметре провода 0,5 мм — до 6 Мбит/с на расстоянии 3,5 км и 1,6 Мбит/с на расстоянии 5,5 км.
• В 1991 году Чоффи открывает фирму Amati Communications Corporation, которая принимается за разработку первого DSL-модема. Несмотря на то, что в ней работают всего 10 сотрудников, а финансирования не хватает, в 1993 году Amati представляет первый DSL-модем — Prelude (на фото), который работает на основе DMT-метода модуляции. При скорости 1,5 Мбит/с модем смог передать сигнал на расстояние 3,3 км со значительно меньшим затуханием. Это устройство Чоффи стало единственным, которое вообще смогло достичь скорости в 6 Мбит/с (хотя и на расстоянии всего в 1,8 км). Так и был создан самый первый DSL модем...
#Разное
• Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.:
➡ https://gist.github.com/docker
• Дополнительно:
- Docker для начинающих - бесплатный курс с практическими заданиями;
- Play with Docker — онлайн-сервис для практического знакомства с Docker;
- Docker Security - объемное руководство по безопасной настройке Docker.
#Docker #CheatSheet
• В сети существует забавный проект, который называется "Million Dollar Homepage" — на первый взгляд, проект относится к категории «слабоумие и отвага», НО! тем не менее, страничка смогла принести его 21-летнему создателю миллион долларов на рубеже 2005-2006 годов.
• В середине нулевых эта история была у всех на слуху: британский студент Алекс Тью не мог найти денег на обучение в магистратуре, но вместо того, чтобы устроиться на обычную работу, пошел другим путем. Он собрал сайт с сеткой в миллион «рекламных блоков», назвал его «Million Dollar Homepage», назначил цену — по доллару за блок и начал продавать участки (минимум 10 на 10 блоков) под баннеры.
• И к 2006 году продал их все, действительно заработав тот самый миллион (если точнее, то $1 037 100 до вычета налогов). Помимо местных брендов, сомнительных онлайн-казино и сайтов знакомств, рекламу на странице купили Yahoo!, The Times, Napster, британский оператор мобильной связи Orange и Tenacious D — комедийный рок-дуэт Джека Блэка и Кайла Гэсса.
• Интернет загудел: гениально простая идея в одночасье сделала вчерашнего студента (учебу Алекс тогда все-таки бросил) миллионером. Сам Тью говорил, что все дело в первоначальной задумке, достаточно забавной, чтобы она могла привлечь интерес аудитории. На деле немалую долю популярности проекту обеспечили СМИ. Для них история «страницы на миллион» обладала всеми компонентами «интернет-реалити-шоу»: бедный, нуждающийся Студент, его Идея (настолько простая, что непонятно, почему он первый до ней додумался), возможность следить за Успехом проекта в реальном времени — заработает миллион или нет?
• В 2005-м это было еще в новинку, и медиа охотно принялись раскручивать историю. Вероятно, сам Тью понимал это — деньги, вырученные с продажи первых 1000 блоков (покупателями были его друзья и знакомые), он потратил на то, чтобы подготовить и разослать пресс-релиз для СМИ. Сайт запустился 26 августа. 8 сентября о нем написал the Register, 22 сентября — PC Pro, 24 сентября — the Telegraph, а к началу октября материалы о предприимчивом студенте выходили уже в немецких и испанских медиа.
• По данным самого Тью, на конец декабря 2005 года посещаемость сайта составляла 25 тыс. уникальных пользователей в час. Часть из них хотя бы случайно кликала по баннерам и переходила на страницы рекламодателей — единицы любопытствующих действительно совершали покупки или другие целевые действия.
• Уже на старте проекта Тью позиционировал Million Dollar Homepage не только как рекламную площадку, но и как некий «музей истории интернета», в котором можно приобрести вакантное место: первоначально предполагалось, что сайт будет функционировать минимум пять лет, максимум — всегда.
• Ожидаемо, проект породил огромное количество подражателей — и, опять же, ожидаемо, ни один из них не приблизился к успеху «страницы на миллион». Удивительно, что идею продолжают копировать и сейчас, спустя 20 лет — кто-то пытается улучшить и доработать проект, а кто-то беззастенчиво повторяет один в один.
• Как показало время, ни Алекс Тью, ни его «страница на миллион» не были однодневками. Тью сейчас руководит бизнесом, который оценивается в $2 млрд, а «страница на миллион» продолжает жить своей жизнью — как артефакт ушедшей эпохи, предмет для изучения или даже источник ностальгических чувств для ретро гиков.
#Разное
• VeraCrypt продолжает меня удивлять. Вот я вроде бы уже все знаю про эту софтину, ан-нет, находится что-то, о чем я не подозревал. И мне. Черт возьми, это очень нравится. Это значит, что эта программка очень глубокая и качественно проработанная.
• Теперь к делу. Когда вы выполнили полнодисковое шифрование, вам ни один бармалей не будет страшен, потому что вскрыть AES-256 практически невозможно. Ну только если фаза Луны наложится на ретроградный Меркурий. А так нет. Соответственно, нет доступа к системе – нет возможности для злоумышленника ознакомится с логами вашей активности и всеми остальными вкусными вещами.
• Но есть еще один слой обеспечения безопасности. Скорее психологического, а не технического характера. Когда вы только загружаете систему, она просит вас ввести пароль, а затем PIM (если он, конечно, у вас есть). Собственно, уже на этом экране становится понятно, что система зашифрована. А это исход не самый желательный. И тут мы с вами встаем на путь хитрости.
• Вместо просьбы ввести пароль мы можем вывести на экран набор случайных символов, или сообщение об ошибке с предложением перезагрузить компьютер. Вариантов может быть масса: их ограничивает только ваша смекалка и чувство юмора. Установить все можно в разделе Система – Установки – Правка конфигурации загрузчика. Но будьте осторожны, там можно легко напортачить, да так, что система после вообще не загрузится.
• Ну и напоследок, если данная тема для вас действительно интересна, то обязательно изучите этот материал:
➡Скрытый том;
➡Скрытая операционная система;
➡Правдоподобное отрицание наличия шифрования.
• И не забывайте про документацию VeraCrypt, которая переведена на русский язык. Тут очень много нужной и полезной информации:
➡️ https://veracrypt.eu/ru/Documentation.html
#VeraCrypt #Шифрование
• Один из ключевых протоколов интернета FTP (file transfer protocol) сегодня отмечает свой 54-й день рождения. Студент Массачусетского технологического института Абхай Бушан опубликовал первые спецификации RFC 114 16 апреля 1971 года, задолго до появления HTTP и даже за три года до TCP (RFC 793)! Простой стандарт для копирования файлов с годами начал поддерживать более сложные модели контроля, совместимости и безопасности. Cпустя 54 года FTP нельзя назвать устаревшим и миллионы FTP-серверов все еще доступны в Интернете.
• К слову, автор данного протокола был не единственным, кто принял участие в разработке FTP, ведь после выпуска из вуза он получил должность в Xerox, а протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.
• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.
#Разное
• Смотрите какая крутая библиотека команд, однострочников и шпаргалок для линуксоидов. На самом деле, данному ресурсу уже много лет, но я решил напомнить о нем, так как библиотека постоянно обновляется авторами и содержит тонну полезной информации, как для начинающих, так и для опытных специалистов.
• На текущий момент времени приложение содержит 6686 страниц информации по 22 основным категориям:
➡One-liners;
➡System information;
➡System control;
➡Users & Groups;
➡Files & Folders;
➡Input;
➡Printing;
➡JSON;
➡Network;
➡Search & Find;
➡GIT;
➡SSH;
➡Video & Audio;
➡Package manager;
➡Hacking tools;
➡Terminal games;
➡Crypto currencies;
➡VIM Texteditor;
➡Emacs Texteditor;
➡Nano Texteditor;
➡Pico Texteditor;
➡Micro Texteditor.
• Здесь собраны все основные команды, которые разбиты по разделам и используются при работе с UNIX-подобными системами. К примеру для работы с файлами, папками, сетью и т.д. А может вы ищите хакерские примочки? Пожалуйста!
• Исходный код открыт, а еще есть приложение приложение на Android, которое можно скачать с GitHub или F-Droid. Пользуйтесь!
#linux
• Судя по всему, знаменитый имиджборд 4chan был взломан сегодня ночью. Хакеры смогли получить доступ буквально ко всей информации форума (от исходного кода, до личных переписок администраторов и их ip). К слову, почтовые адреса некоторых администраторов имеют домен .gov и .edu =)
• На данный момент информации не так много, но известно то, что проблема кроется в устаревшей версии PHP. На сайте хакеров есть тема об этом: https://www.soyjak.st/news/thread/4104.html
➡ Источник.
#Новости
• Еще немного о модификаторах: на этот раз поговорим о функции "отмены", которая появилась еще в конце 1960-х годов как часть системы поиска и редактирования гипертекста — HES, созданной в Университете Брауна. Функция undo проникла в мир коммерческих вычислений вместе с редактором Bravo WYSIWYG от Xerox в 1974 году. В том же 1974 году Ларри Теслер, сотрудник исследовательского центра Xerox в Пало-Альто, создал то, что считается главной триадой горячих клавиш — вырезать, копировать, вставить.
• Уже при разработке пользовательского интерфейса для Apple Lisa в 1983 году Ларри Теслер решил использовать клавиши Z, X, C и V в сочетании с клавишей Apple для обозначения отмены, вырезания, копирования и вставки. Теслер так описал, почему он выбрал именно эти буквы:
«Ну, Z — последняя буква, потому что она отменяет последнее, что ты сделал. X означает «Вырезать», потому что X выглядит как ножницы. И V означает «Вставить», потому что это похоже на пометку корректуры для «вставки». А буква C это собственно слово «copy».
Alt+BackspaceShift+DeleteCtrl+InsertShift+Insert
💳 LinuxCard.
• Интересный проект, где автор смог собрать устройство для запуска linux размером с визитную карточку. По ссылке ниже можно найти всю необходимую информацию и повторить процесс создания:
➡️ Читать статью.
• На самом деле, в блоге автора опубликованы десятки интересных проектов. Особое внимание заслуживает статья с запуском дебиана на 4-х битном Intel 4004 из 1971 года, который считается первым коммерчески выпускаемым микропроцессором на одном кристалле.
#Разное
Сможете провести полный пентест AD? Проверим на практике уже 29 мая.
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее базис
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
• Пост выходного дня: после новогодних праздников я публиковал пост, в котором оставлял ссылку на веб версию игры "Герои Меча и Магии III". Так вот, хочу рассказать вам о том, что автор постоянно выкатывает обновления и оптимизирует процесс, который целиком и полностью работает в браузерах на Windows, MacOS, Linux, Android и iOS. Так что если хотите вспомнить молодость и поностальгировать, то добро пожаловать по ссылкам ниже:
➡Герои Меча и Магии 3: Полное собрание;
➡Герои Меча и Магии 3: Рог Бездны;
➡Герои Меча и Магии 3: Во Имя Богов;
➡Герои Меча и Магии 3: Хроники Героев.
➡️ Блог автора: /channel/gamebase54/1252
#Разное
На кого нужно регистрировать домен?
Всё просто: для себя — на физлицо, для бизнеса — на ИП или юрлицо. На практике часто получается по-другому. В карточках поделились результатами своего исследования и рассказали, почему не стоит регистрировать домен для компании на сотрудника или подрядчика.