• А вы знали, что история возникновения штрих-кода появилась еще в 1932 году? Технику его создания предложил американский студент Уоллес Флинт, который в то время учился в Гарвардском университете. Основной его задачей была максимальная автоматизация торговых процессов.

• Согласно идее студента, к каждому товару в ассортименте супермаркета "привязывалась" оригинальная перфокарта. Покупатели просто выбирали бы перфокарты и передавали их менеджеру. Тот сканировал их специальным устройством, после чего поступал сигнал на ленточный конвейер, который доставлял нужный товар со склада. Далее покупатель получал счет и оплачивал его, а в общую базу данных супермаркета вносилась информация о покупке. К сожалению, в то время реализовать подобную задумку было сложно. А вернее дорого.

• Но в 1948 году идея вновь всплывает на поверхность. В это время Бернард Силвер и Норман Вудленд развили идею Флинта, сами того не подозревая. Они просто услышали разговор владельца одного из магазинов о том, что было бы хорошо автоматически считывать информацию о каждом продукте перед продажей. Их это заинтересовало и началась активная работа.

• Вудленд бросает свою учебу в аспирантуре, которая мешает ему сосредоточится на решении целиком, и уезжает в Майами. Там он к нему и приходит решение: он вспоминает как изучал азбуку Морзе. Песок пляжа, на котором он пробует изобразить точки и тире, наталкивает его на мысль о передаче содержания с помощью линий различной толщины.

• Кодировку надо было как-то считывать, и Вудленд с Сильвером придумали использовать для этого технологию передачи звука в кино, придуманную за два десятка лет до них Лу де Форестом, которая заключалась в "просвечивании" разной интенсивности цвета, наносимого по краю кинопленки.

• Уже в 1949 году друзья получили патент на свое изобретение (их код выглядел как "яблоко", полоски расположены были по кругу, как на фото выше).

• Однако на этапе конструирования, уже работая в IBM, куда их пригласили как авторов приглянувшейся руководству компании перспективной идеи, изобретатели столкнулись с проблемой считывания кода, а точнее — с проблемой создания адекватного устройства.

• Их первый "сканер" представлял из себя устройство размером со стол, крышка которого была прозрачной, а под крышкой были мощные лампы. Получаемый сигнал передавался на осциллограф, который должен был фиксировать результат. Первые испытания закончились пожаром: лампы раскалили крышку, бумага задымилась, но, тем не менее, первый результат был получен.

• Проблема считывания кода выглядела нерешаемой, и тем более не решаемой была проблема обработки полученной информации. Эта задача возлагалась на ЭВМ, но ЭВМ тех лет были чрезвычайно громоздки и еще только учились решать задачи сложнее арифметических действий.

• По итогу в IBM официально закрыли проект, Вудленд и Сильвер продают свой патент в компанию RCA за $15000. RCA вцепляется в идею шрих-кода, и много лет экспериментирует с ней, пробуя заинтересовать им торговлю. Они первые догадались применить для сканирования кода лазер!

• У компании есть и первые успехи: их кодом начинают пользоваться при железнодорожных и морских перевозках.

• В конце концов, их активность оказывается замеченной: в начале 70-х американский союз супермаркетов объявляет конкурс на лучший код.

• Корпорация IBM мгновенно "возвращается в игру". Создается рабочая группа во главе Джорджа Лорера. Вместе с математиком Дэвидом Савиром они приступают к решению. Тут кто-то из ветеранов IBM вспоминает про двух талантливых ребят, занимавшихся у них этой проблемой в 50-е. Сильвера к тому времени уже нет в живых, но Вудленд не растерял своих способностей, и он с азартом включается в работу.

• Лорер находит "ахиллесову пяту" концентрического кода, и предлагает вместо него линейный: это очень упрощает процесс сканирования и резко повышает его качество, количество ошибок при считывании резко снижается.

• В итоге именно простое и элегантное решение от IBM пришлось по вкусу американской торговле, и 3 апреля 1973 года считается рождением UPC (Universal Product Code). Так и пошло...

#Разное

Читать полностью…

• Ну что, вот и завершилось хакерское соревнование Pwn2Own Automotive 2026, в ходе которого исследователи заработали 1 млн. 47 тыс. баксов и продемонстрировали 76 ранее неизвестных уязвимостей в автомобильных операционных системах и устройствах зарядки электромобилей.

• На первом месте оказалась команда Fuzzware.io, которая сумела заработать $213 тыс. Обладатели второго места (Team DDOS) получили $95 тыc., а третьего (Synacktiv) - $85 тыс.

• Краткий список осуществленных атак есть на скриншоте выше. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

➡️ https://www.zerodayinitiative.com/pwn2own
➡️ https://www.opennet.ru/pwn2own

#Новости

Читать полностью…

• Доброе утро...🫠

#Понедельник

Читать полностью…

• 22 января 1984 года на канале CBS вышел рекламный ролик Macintosh 128k, который обыгрывал антиутопию «1984». В нем люди сидят перед большим синим экраном и слушают пропагандистскую речь о праздновании годовщины «Information Purification Directives» (Инструкция по информационной очистке). Во время этой речи в зал вбегает женщина и, во время фразы с экрана «Мы победим», бросает молот в экран. Ролик заканчивается следующими титрами:

On January 24th, Apple Computer will introduce Macintosh. And you’ll see why 1984 won’t be like «1984».

24 января Apple Computer представит вам Macintosh. И вы увидите, почему 1984 год не будет таким, как "1984".

• 24 января 1984 года, в продаже появилась первая модель компьютера Macintosh от Apple — Macintosh 128K. Стоит отметить, что Macintosh не был самым первым компьютером Apple (компания выпускала эти устройства с момента своего основания в 1976 году), но он стал по-настоящему массовым, поскольку сочетал в себе удобство, миниатюрность и стоил дешевле конкурирующей модели от IBM. За первый год было продано 372 тысячи экземпляров, что казалось ошеломляющим результатом. Сейчас Apple продаёт ежегодно более 22 миллионов компьютеров и ноутбуков, занимая примерно 10% от общемирового рынка этих устройств.

• Название Macintosh происходит от яблок Malus McIntosh (мекинтош или макинтош — зимний сорт, канадского происхождения, выявленный в 1796 году в штате Онтарио). Это название частично сохранилось для обозначения современных компьютеров Apple, но оно было сокращено: Mac для десктопов, iMac для моноблоков и MacBook для ноутбуков.

• Модель Macintosh образца 1984 года представляла собой моноблочный компьютер, в корпусе которого заключён 9-дюймовый монохромный экран, дисковод и материнская плата с 32-битным процессором Motorola 68000 (8 МГц) и 128 Кбайт оперативной памяти. Собственного накопителя в этом устройстве не было, программы можно было запускать с дискет объёмом до 400 Кбайт. В комплект также входили клавиатура и мышь.

• В качестве операционной системы использовалась собственная разработка Apple — System 1 (она же Macintosh System Software), предлагавшая казавшимся очень удобным на тот момент графический интерфейс с оконным расположением запущенных приложений. Идеи, реализованные в System 1 (например, концепция рабочего стола с иконками для быстрого запуска программ и "Корзина" для удалённых файлов), до сих пор применяются в macOS, Windows, Linux и других десктопных ОС. Примечательно, что System 1 поддерживала только два цвета (чёрный и белый), однако разработчики могли использовать различные оттенки серого, варьируя количество чёрных точек на белом фоне...

• System 1 была очень лёгкой по современный меркам, она занимала всего 216 Кбайт и запускалась с дискеты. Для интереса можете запустить её на своём устройстве — в веб-эмуляторе Infinitemac.

➡ https://infinitemac.org/System1

• Кстати, на момент выпуска первый Macintosh продавался за 2495 долларов. Подержанные экземпляры в настоящее время не представляют никакого интереса для коллекционеров и стоят очень дёшево; ценятся разве что те, что сохранились с 1984 года в нераспечатанных коробках - их выставляют на аукционах за 25-35 тыс. баксов.

#Разное

Читать полностью…

• Случилось забавное! В Испании с 1 января 2026 года было введено требование: каждый автомобиль, который зарегистрирован в стране, должен быть оснащён аварийным маячком V16! Если говорить простыми словами, то это классический маячок имеющий световой сигнал, который можно примагнитить к тачке.

• "Фишкой" V16 является то, что он имеет функцию передачи данных через eSim, которая оплачена аж на 12 лет вперед. Соответственно, если человек попадает в аварию и активирует маячок, то информация об аварии (GPS-координаты, текущие время, дата и IMEI устройства) поступает на сервер Генеральной дирекции дорожного движения, после чего данные об аварии автоматически начинают отображаться на дорожных табло и в навигаторах. Круто? На самом деле нет...

• Дело в том, что злоумышленники получили доступ к API платформы дирекции дорожного движения, через которую идет передача данных между поставщиками навигационных услуг и передача данных на информационные табло. Создали несколько пользовательских карт, на которых отмечены точки активации маячков, и просто стали приезжать на ближайшее место аварии на эвакуаторах раньше полиции...

• Владельцев машин уверяют, что помощь уже приехала и сейчас машина отправится в сервис. С жертвы просят деньги за эвакуацию и обозначают, что страховка покроет данные затраты. Либо просто крадут автомобиль, имитируя поездку в сервис.

• Затем владельцу следует звонок о выкупе или наоборот, он обнаруживает, что машину починили в левом сервисе по завышенным ценам и страховка на эту деятельность не распространяется. Ну или просто машину разбирают на запчасти.

• Кстати, проблема фальшивых эвакуаторов и раньше остро стояла в Испании - мошенники патрулировали трассы высматривая остановившиеся машины. Однако теперь информация от дирекции дорожного движения фактически упразднила для них стадию поиска, предоставив удобную карту с метками и временем события. Можно сказать, вопрос логистики был решен на государственном уровне 😁

➡️ https://consumidorglobal.com/

#Новости

Читать полностью…

🚗 На HackerLab появилась новая категория задач — Pro-лаборатории

Что это такое?
Pro-лаба — это сеть машин с уязвимостями.
Задача — найти слабые места, разобраться, как всё устроено, использовать уязвимости и шаг за шагом углубляться в сеть, собирая флаги на каждом этапе.

Чем отличается от обычных задач?
Это не “одна машина — один флаг — конец”. Тут нетривиальные сценарии, цепочки, побочные ветки и моменты, где надо:
➡️ ориентироваться в сети, а не в одном хосте
➡️ разбирать нестандартные протоколы
➡️ находить подсказки в самых неожиданных местах
➡️ комбинировать техники, потому что одной не хватит

Часть флагов — обязательные для продвижения цепочки, а часть — побочные: они открывают дополнительные возможности и дают то самое чувство «а, вот оно как устроено».

И это доступно по подписке Pro вместе с сотнями CTF-задач и курсами:
⏺️Введение в информационную безопасность
⏺️SQL Injection Master

Залетай и проверь, насколько хорошо ты умеешь двигаться по сети

🔗 https://hackerlab.pro/

Читать полностью…

🖥 Энтузиаст подготовил образы Windows 7 и Vista с обновлениями безопасности до января 2026 года.

• Известный энтузиаст в сообществе Windows, Боб Пони, выкатил образы Windows 7 и Vista, которые включают обновления безопасности вплоть до января 2026 года.

• Сама Microsoft давно прекратила обновления этих ОС, и, помимо проблем с безопасностью, ежедневное их использование представляет собой довольно сложную задачу. Тем не менее, заинтересованные юзеры могут загрузить образы, включающие все возможные обновления.

• В этом месяце Microsoft выпустила последнее обновление безопасности для Windows Vista, которая получала такие апдейты через Premium Assurance. Теперь все эти обновления включены в один ISO-образ, который можно записать на USB-накопитель или DVD.

• Сборки предлагаются на десятках языков, в том числе арабском, немецком, английском, испанском, французском, итальянском, русском, китайском и т. д. Скачать образы можно по ссылкам здесь, здесь и здесь.

• Судя по всему, банкоматы Великобритании проживут еще 100 лет на текущих версиях ОС 🤔

➡️ https://www.neowin.net/windows-7-and-vista

#Разное

Читать полностью…

• Нашел хорошую шпаргалку по основным командам Linux. У каждой команды есть детальное описание и примеры использования. Добавляйте в закладки:

➡️ https://linux-commands.labex.io/

• Ну и не забывайте про "краткий" справочник по «всем-всем» командам Linux - в статье перечислено 1260 команд на все случаи жизни, которые разбиты по разделам и содержат краткое описание.

#Linux

Читать полностью…

🎅 Ho-ho-ho...

• Незадолго до Рождества (католического) 1988 года мир узнал об интересном компьютерном вирусе, который называли Father Christmas. Он начал свое путешествие через DECnet (ранний вариант Интернета, если выражаться простыми словами). Местом рождения вируса считается Университет Невшателя в Швейцарии.

• В качестве вируса выступал файл HI.COM, который копировал себя из одной ноды DECnet в другую. Далее он пытался запустить себя, используя либо Task Object 0 (программу, позволяющую выполнять действия между двумя связанными компьютерами) либо через DECnet логин и пароль. В случае неудачи запуска, червь удалял свой файл HI.COM из системы жертвы. А в случае успеха червь загружался в память, после чего использовал процесс MAIL_178DC для удаления файла HI.COM. Далее червь отправляет баннер SYS$ANNOUNCE в 20597::PHSOLIDE, после чего проверяет системные часы. Если время заражения припадает на промежуток между 00:00 и 00:30 24/12/1988, червь создает список всех пользователей системы и рассылает свои копии им. Если же заражение произошло после 00:30 указанной выше даты, то червь просто переставал быть активным.

• Также Father Christmas выводил сообщение:

«От: НОДА: Father Christmas 24-ДЕКАБРЯ-1988 00:00
Кому: it_secur
Тема: Рождественская открытка

Привет,

Как ты? Мне было тяжеловато приготовить все эти подарки. Это не такая уж и простая задача. Я получаю все больше и больше писем от детей каждый год и это не просто получить «пушки» как у Рэмбо, танки и космические корабли на Северном Полюсе. Но сейчас будет хорошая часть. Развозить подарки на моих санях с оленями очень весело. Когда я спускаюсь по дымоходу, я частенько нахожу маленькие подарочки от детей, или даже немного бренди от папы. (Ура!) В любом случае, дымоходы с каждым годом становятся все теснее и теснее. Я думаю мне опять надо сесть на диету. И после Рождества у меня будет мои большие каникулы :-).

А теперь хватит сидеть перед компьютером и хорошего времени в домашней обстановке!!!

Счастливого Рождества
и с Новым Годом

Ваш Отец Рождество»

• Father Christmas не стал покорителем мира, он заразил всего 6000 машин, и лишь 2% из них активировали червя. Однако есть любопытный факт: червь из Швейцарии добрался до Центра космических полетов Годдарда в пригороде Вашингтона всего за 8 минут. Там один из администраторов обратил внимание на странную активность в сети. Появлялись процессы, которые выглядели как почтовые, но вели себя не совсем так. Начали всплывать одинаковые сообщения на разных узлах.

• Создатель столь необычного и хронологически привязанного червя так и не был найден. Известно лишь то, что был использован компьютер из университета, к которому имели доступ очень много людей.

• Конечная цель червя выглядела почти безобидно. В определённый момент он должен был просто отправить пользователям рождественское поздравление от имени "Father Christmas" и завершить работу. Но путь к этому поздравлению проходил через сотни попыток запуска, десятки заражений и ощутимый сетевой резонанс.

#Разное

Читать полностью…

• 19 января 1983 года Apple выпустила настольный компьютер Apple Lisa (на фото). Это был один из первых персональных компьютеров с графическим пользовательским интерфейсом. Хотя модель не была коммерчески успешной, она оставила большой след в популярной культуре 80-х и определила дальнейшее развитие компьютерных систем. Теперь, спустя 43 года, любой пользователь может испытать оригинальную Lisa Office System прямо в браузере.

• Создание Apple Lisa началось в начале 1978 года, когда Стив Джобс поручил команде разработчиков создать офисную машину нового поколения - проект получил название в честь его дочери Лизы. В основе концепции лежало перенесение навыков работы с бумагой и папками на экран компьютера: "щелкая" курсором мыши по иконкам, пользователь мог открывать и закрывать документы и приложения, которые отображались в появляющихся окнах. К концу 1982 года аппаратная платформа Lisa была готова, и в январе 1983 года модель вышла на рынок.

• Несмотря на новаторский интерфейс, коммерческий успех Lisa оказался скромным: за первый год было продано около 10 тыс. устройств. Основными причинами неудачи называли высокую стоимость - 9.999 баксов на момент выпуска (это примерно 32 тыс. баксов на сегодняшний день) и недостаточную производительность. Машина оснащалась процессором Motorola 68000 на 5 МГ, имела 1 МБ оперативной памяти и дисковый накопитель на 5 МБ. Разумеется, что большинство компаний и обычных пользователей не могли себе позволить купить этот продукт.

• Тем не менее Apple Lisa стала технологическим прорывом. Ее операционная система Lisa Office System внедрила ряд новых разработок: меню со списком команд, плавающие окна с поддержкой перетаскивания, буфер обмена и горячие клавиши для быстрого доступа к функциям. Эти нововведения стали стандартом, от которого позже отталкивались создатели Macintosh 128K, выпущенного в начале 1984 года, и даже разработчики конкурирующих платформ, включая Microsoft Windows.

• В течение 1983–1984 годов принципы Lisa активно продвигались внутри Apple. Команда Стива Джобса перенесла значительную часть идей в первый Mac, отказавшись от ряда дорогостоящих аппаратных решений Lisa и тем самым снизив цену до $2,5 тыс. Несмотря на менее богатый функционал, Macintosh оказался гораздо более популярным: за первый год его продажи превысили 70 тыс. штук.

• Значение Apple Lisa выходит за рамки одной только линии продуктов Apple. Эта модель продемонстрировала пользователям, прежде знакомым лишь с текстовыми консолями и командной строкой, возможности графического интерфейса. Благодаря Lisa появился привычный каждому рабочий стол с иконками и папками — интерфейс, копируемый сегодня почти во всех операционных системах от Windows до Linux-дистрибутивов.

• В июле 2025 года разработчик Эндрю Ярос представил LisaGUI — полноценную реализацию Lisa Office System в браузере, написанную с нуля на JavaScript. По словам автора, проект не является поверхностным "скином" или традиционным эмулятором и представляет собой полноценную ОС с файловой системой на базе IndexedDB, 1-битным графическим движком и полным воссозданием всех элементов интерфейса. Пользователю доступны полноценные офисные приложения Lisa: текстовый редактор, таблицы и даже средства управления дисками. Воспользоваться ОС можно в любом настольном браузере.

➡️ https://alpha.lisagui.com/

#Разное

Читать полностью…

• Just the Browser - хороший проект, который поможет оптимизировать работу вашего браузера и вырезать из него некоторые избыточные функции, которые напрямую не связаны с навигацией в Web. Если описывать простыми словами, то проект предоставляет скрипты для изменения конфигурации Google Chrome, Microsoft Edge и Mozilla Firefox, и отключения в них сопутствующих возможностей, часто раздражающих пользователей, таких как работа с AI-сервисами, интеграция со сторонними продуктами, отправка телеметрии и показ рекомендованного контента на странице открытия новой вкладки.

• Отключить можно следующее (зависит от браузера):

• Функциональность, связанная с генеративными AI-моделями и взаимодействия с AI-сервисами (как локальными, так и облачными), например, интеграция Copilot в Edge и использование AI для рекомендации группировки вкладок в Firefox.
• Инструменты для шопинга, такие как отслеживание цен в интернет-магазинах и получение купонов.
• Показ стороннего или спонсируемого содержимого, например, рекламные рекомендации сайтов в адресной строке и показ статей при открытии новой вкладки.
• Типовые напоминания, такие как всплывающие окна с предложением изменить выбор браузера по умолчанию.
• Запросы, показываемые при первом запуске, такие как экран приветствия первого запуска и предложения импортировать данные из других браузеров.
• Сбор и отправка телеметрии.

• Всю необходимую документацию и более детальное описание можно найти на github:

➡️ https://github.com/corbindavenport/just-the-browser

#Tools

Читать полностью…

• В конце декабря 2025 года в продаже появилась новая книга по работе с Active Directory. Издание содержит 784 страницы информации, благодаря которой вы сможете уверенно проектировать, планировать, развертывать и защищать корпоративную инфраструктуру идентификации!

• По нашей хорошей традиции предлагаю разыграть 3 книги в бумажной версии!

• Конкурс не предусматривает каких-либо условий. Просто нажимаете на кнопку под этим постом и вы в деле. Доставка для победителей бесплатная в зоне действия СДЭК. Итоги подведем уже в эту субботу (24.01 в 11:00 по мск.), при помощи бота, который рандомно выберет трёх победителей. Удачи ❤

P.S. Не забывайте ставить огонек под этим постом 🔥 это помогает проводить такие розыгрыши чаще.

#Конкурс

Читать полностью…

Встречайте новый формат инженерного диалога

T-Sync Conf — офлайн-конференция от Группы «Т-Технологии» для опытных инженеров. 7 февраля в Москве на площадке TAU соберутся платформенные, security- и дата-инженеры, аналитики, DevOps-, SRE-, CI/CD-, AI-, ML-, R&D- и DX -специалисты.

Как все устроено:
— Контуры — тематические зоны, каждая из которых раскрывает отдельный слой инженерной реальности: AI, Data, R&D, Security, Platform и другие направления.
— Вместо классических докладов — круглые столы, стенды, хакатон, воркшопы и мастер-классы.
— Инженерные решения изнутри — возможность посмотреть, как устроены технологии в Т-Банке и других компаниях, и пообщаться напрямую с теми, кто их создает.

А еще много практики, интересных знакомств и живых систем.

Успейте подать заявку

Читать полностью…

👾 Уязвимость в Android-прошивке, позволяющая выполнить код через отправку сообщения.

• Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения.

• В эксплоите задействованы две уязвимости: в библиотеке Dolby Unified Decoder (CVE-2025-54957) и драйвере bigwave для ядра Linux (CVE-2025-36934). Ранее для эксплуатации уязвимостей в кодеках было необходимо, чтобы пользователь прослушал или просмотрел полученный вредоносный контент. После интеграции AI-помощников в последних выпусках Android-прошивок полученный мультимедийный контент автоматически декодируется после получения, что существенно увеличивает поверхность атак, не требующих действий от пользователя (0-click). В контексте звуковых SMS- и RCS-сообщений, приложение Google Messages при помощи сервиса com.google.android.tts автоматически формирует транскрипцию для применения к звуковым сообщениям текстового поиска, что позволяет без участия пользователя эксплуатаировать уязвимости в имеющихся звуковых кодеках.

• Проблема в Dolby Unified Decoder вызвана целочисленным переполнением при расчёте размера буфера под обрабатываемые структуры данных syncframe, что может использоваться для записи за пределы выделенного буфера. В результате переполнения может быть перезаписан указатель, используемый при обработке следующего синхронизирующего кадра, изменение которого, в свою очередь, позволяет перезаписать контролируемыми атакующим данными указатель на функцию и организовать выполнение своего кода с правами "mediacodec", ограниченными через SELinux.

• Для эксплуатации ядра Linux была задействована уязвимость в драйвере bigwave, отвечающем за работу с символьным устройством /dev/bigwave, к которому был открыт доступ из SELinux-контекста "mediacodec". Уязвимость позволяла перезаписать структуры ядра через манипуляции с ioctl-вызовом BIGO_IOCX_PROCESS и добиться выполнения кода с правами ядра.

• Уязвимость в библиотеке Dolby Unified Decoder (libcodec2_soft_ddpdec.so), предоставляющей функции для декодирования форматов Dolby Digital (DD, AC-3) и Dolby Digital Plus (DD+, EAC-3), не специфична для Android и прошивки к Pixel 9, и также проявляется в других платформах (Samsung S24, MacBook Air M1, iPhone 17 Pro, Windows, ChromeOS и т.п.). В Android-репозитории AOSP и прошивке к Samsung S24 к процессам, запускаемым в контексте mediacodec, применяется seccomp-фильтр системных вызовов, затрудняющий дальнейшую эксплуатацию уязвимостей в ядре. В прошивке для Pixel 9 подобный фильтр отсутствовал. От атаки мог бы защитить механизм Memory Tagging (MTE), но он доступен для устройств Pixel 8+ только в форме опции, активируемой при включении режима "Advanced Protection". В macOS и iOS эксплуатацию затрудняет сборка библиотеки с флагом "-fbounds-safet", подставляющим дополнительные проверки выхода за границу массивов, которые снижают производительность.

• Исследователями отдельно разбираются проблемы с доведением до пользователей исправления уязвимости в Dolby Unified Decoder. Сведения об уязвимости были раскрыты публично за 82 дня до исправления. Компания Dolby была информирована о проблеме 26 июня 2025 года. Первое бинарное исправление было выпущено 18 сентября для ChromeOSб, но для устройств Android компания Dolby предоставила бинарные патчи лишь 8 октября. 15 октября была публично раскрыта информация об уязвимости. 12 ноября исправление выпустил Samsung и только 5 января было опубликовано исправление для устройств Pixel. Распространение патча для всех Android-устройств потребовало 139 дней!

➡️ Источник.
➡️ Исследование.

#Новости #Android #Исследование

Читать полностью…

• А вы знали, что у ОС Windows были платные дополнения? В 1994 году выпустили в релиз коммерческий продукт - Microsoft Plus, который дополнял возможности Windows. Сразу стоит отметить, что Plus выпускался для разных ОС, включая Win 95, XP и Win 98, о которой сегодня и пойдет речь.

• Основной фичей дополнения Microsoft Plus! 98 были темы рабочего стола. Так как персонализация внешнего вида считалась одним из важных и конкурентных преимуществ ОС. Уже в Windows 95 явно прослеживается желание упростить взаимодействие пользователя с системой и одновременно заложить основу для будущих интерфейсов. Решение — поддержка тем рабочего стола, которые состояли из цветовой схемы, фоновых изображений, хранителей экрана, звуков, иконок и указателей мыши.

• Такой набор позволял очень сильно изменить внешний облик графического интерфейса, оставив все элементы на своих местах. Последнее было важно, поскольку текущие пользователи уже давно привыкли к расположению программ и настроек. Любое значительное изменение могло вызвать недовольство покупателей и, как следствие, снижение продаж.

• Готовая тема имела расширение .Theme. Раньше это был единый INI-файл, разделенный на секции, каждая из которых настраивала свою часть темы. При этом редактировалась обычным текстовым редактором, а это позволяло создать кастомный вид интерфейса.

• В Windows XP о такой вольнице пришлось забыть. Каждая тема стала состоять из двух компонентов: общие настройки по-прежнему хранились в файле с расширением .theme, а вот визуальное оформление элементов интерфейса теперь лежало в файле стилей .msstyles. Последний был бинарником (но не исполняемым), где они хранились в формате ресурсов PE (Portable Executable).

• Дополняло эту картину то, что файл .msstyles имел цифровую подпись Microsoft, что делало невозможным прямую замену на кастомный без дополнительных манипуляций. За применение визуальных стилей отвечала библиотека uxtheme.dll. Так что для установки собственных пользователям нужно было "взломать" этот файл. Брали либо готовые патчи, либо правили в HEX-редакторе, заменяя условный переход безусловным или вообще пропуская проверку подписи.

• Всего Microsoft Plus! 98 добавил 18 новых тем рабочего стола. Из них особо выделялись FoxTrot и Garfield (на фото). Обе темы были основаны на популярных американских комиксах. Первый о жизни семьи Фоксов, а второй о знаменитом коте по кличке Гарфилд. Разработчики подошли к созданию тем тщательно, так что даже анимация курсора ожидания была заменена на круглую пиццу, от которой непрерывно "съедаются" треугольные куски.

• Помимо тем дополнение включало кучу игр и различные тулзы, включая фоторедакторы, плееры, софт для оптимизации системы и очистки мусора! А еще там был McAfee VirusScan!

• В общем и целом, Microsoft Plus был неким тест-драйвом функций, которые разработчики хотели внедрить в новые версии Windows, и маркетинговый инструмент, позволяющий улучшить узнаваемость бренда. Плюс все же он приносил прибыль компании. На минуточку, за Plus просили 50 баксов (сама win 98 стоила 100 баксов)!!! Другой вопрос, стоил ли он своих денег? Очень спорный вопрос.

#Разное

Читать полностью…

• Б - Безопасность.

• Англичанин приехал в Италию, чтобы посетить футбольный матч "Аталанты" с "Пармой". За день до этого он гулял по городу и добрался до "Адзурри д′Италия" (стадион в городе Бергамо, используемый в качестве домашнего футбольным клубом "Аталанта").

• Арена была не очень гостеприимна: туриста встретили закрытыми воротами. Правда, его это совершенно не остановило...

• Он подошел к воротам, через которые обычно выезжает клубный автобус. Там стоял кодовый замок, а комбинацию цифр болельщик, конечно же, не знал. Он взглянул на логотип "Аталанты", на котором указан год основания клуба, и решил испытать удачу: ввел 1907, после чего ворота открылись! Так англичанин прогулялся по территории и даже смог пройти непосредственно к газону стадиона "Аталанты".

#Новости

Читать полностью…

⚠ Инциденты в Enterprise редко происходят из-за одной уязвимости.

Чаще — из-за накопленного техдолга по информационной безопасности, который годами откладывали на потом.

На открытом уроке:
- разберём что именно считается техдолгом ИБ: процессы, конфигурации, уязвимости, требования и управленческие решения
- покажем, как перейти от ощущений и тревог к измеримым метрикам и управляемым приоритетам.

Вы узнаете:
- как формировать реестр техдолга ИБ, считать покрытие и TTR, использовать риск-скоринг и модель «риск × стоимость × влияние».
- обсудим, какие задачи закрывать быстрыми улучшениями, а какие требуют стратегических изменений
- отдельно разберём ремедиацию: backlog, SLA, ownership и security gates.

🚀Встречаемся 26 января в 20:00 МСК в преддверии старта курса «CISO / Директор по информационной безопасности».

Регистрация открыта: https://otus.pw/eP0j/

Так же доступна регистрация на другие открытые уроки на странице курса.

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Читать полностью…

• На пикабу подняли серьезную тему для обсуждения...

➡️ https://pikabu.ru/sereznyiy_vopros

#Юмор #Разное

Читать полностью…

🎉 Результаты розыгрыша:

🏆 Победители:
1. Евгений (@DIOtwist182)
2. Js73 (@gsrav)
3. init2 (@ineeit)

✔️Проверить результаты

Читать полностью…

• Очень крутую статью нашел на хабре: физическое устройство RAM от атома кремния до реальных чипов. Хоть и оффтоп, но если вы прочитаете данный материал, то найдете много нового и интересного в части устройства и архитектуры RAM. Если описывать тезисно, то материал содержит следующую информацию:

➡Типы веществ: проводники, диэлектрики, полупроводники с точки зрения Боровской модели атома;
➡Соединили два полупроводника вместе, получив диод, поняли, что им можно управлять внешним напряжением в цепи;
➡Осознав диод, осознали и транзистор (триод), что лежит в основе всей современной микроэлектроники;
➡Разобрав принципы работы конденсатора, соединили его вместе с транзистором и получили самую настоящую ячейку RAM;
➡Рассмотрели плашку RAM, оказалось, что на ней просто несколько одинаковых чипов. Детально разобрали устройство банков памяти, которые и составляют чип;
➡В общих чертах рассмотрели процесс записи и чтения и подвели итоги.

➡️ Читать статью [30 min].

#Разное #Оффтоп

Читать полностью…

• Оказывается, что МВД Беларуси оповещает граждан по SMS об актуальных схемах мошенничества с iCloud. Интересно, конечно!

#Разное

Читать полностью…

• Эх... Жиза...

#Юмор

Читать полностью…

🖥 Работает — не трогай.

• Один из банкоматов Манчестера показал окно входа в Windows 7 Professional вместо формы ввода ПИН-кода.

• Windows 7 когда-то считалась одной из самых удачных версий операционной системы Microsoft — она аккуратно исправила промахи Vista и долгое время уступала по популярности разве что Windows XP. Однако сегодня этой системе уже 17 лет: она вышла в 2009 году, уступила место Windows 8 в 2012-м, потеряла основную поддержку в 2015-м, а окончательно осталась без патчей и обновлений в 2020 году.

• Тем не менее Windows 7 до сих пор живёт в промышленных и коммерческих системах — в том числе в банкоматах. Логика проста: если работает — не трогай. Скорее всего, банк не спешил менять софт, потому что банкомат, вероятно, не имеет прямого доступа в интернет, а значит, риск считается приемлемым. Само появление окна входа — это, разумеется, не штатная ситуация. Скорее всего, банкомат пережил сбой или обновление от стороннего поставщика ПО и перезагрузился без участия службы поддержки банка.

➡️ Источник.
➡️ Первоисточник.

• Кстати, в сентябре 2025 года компания Baringa провела опрос среди 200 британских банков, касательно используемого ПО: 16% (32 банка) используют ПО 1960-х годов, а почти 40% (80 банков) поддерживают ПО 1970-х годов, которое сами и разработали! Самое забавное, что 38 банков до сих пор применяют код, разработанный для работы на физических системах, таких как перфокарты, а 15% — код, написанный для мэйнфреймов размером с комнату. Такие вот дела...

➡️ Опрос от Baringa.

#Разное

Читать полностью…

Бесплатный отчёт о безопасности вашего облака

Облако — это сложная изменчивая система, в которой развёрнуты тысячи различных объектов и нет возможности получить полную картину рисков безопасности.

Решит эту задачу сервис Cloud Advisor — #1 CNAPP в России (Cloud-Native Application Protection Platform), единая платформа, обеспечивающая безопасность и сокращение расходов в публичном облаке.

Запустите бесплатный пилот c Cloud Advisor и получите:
🔹 Полную картину рисков безопасности в вашей облачной инфраструктуре
🔹 Анализ возможных путей атаки с выявлением наиболее критических угроз
🔹 Отчёт о соответствии требованиям ФСТЭК, ФЗ-152, CIS, PCI DSS и др.
🔹 Рекомендации по снижению затрат на облако

Подключение занимает не более 30 минут и обеспечивает 100% покрытие без агентов.

🚀 Запросить демо
#реклама
О рекламодателе

Читать полностью…

• На хабре опубликовали огромный лонгрил по анализу безопасности криптофлэшек. Задача такого устройства — защитить чувствительную информацию от несанкционированного доступа на программно-аппаратном уровне: при помощи шифрования, механизмов антивскрытия и прочих "семи печатей".

• Методами аппаратного реверс-инжиниринга эксперты попытались взломать 5 устройств в широком ценовом диапазоне. Попробовали извлечь данные, определить применяемые типы шифрования, вскрыть криптофлешки и прочитать чипы памяти. Результаты получились интересными.

• Подробности по ссылке ниже. С картиночками и подробным описанием выполняемых действий - все как бы любите.

➡️ https://habr.com/ru/post/984364

#Security

Читать полностью…

• В блоге bobdahacker, которому ранее удалось взломать McDonald’s и Burger King, появилась новая статья. На этот раз ему удалось выявить ряд уязвимостей в приложении Petlibro (крупнейший производитель умных кормушек, поилок и других IoT устройств для животных, которыми пользуются миллионы человек).

• Одна из многочисленных уязвимостей заключалась в том, что систему аутентификации на серверах компании можно обойти через API. Зная Google ID зарегистрированного пользователя можно получить полный доступ к аккаунту. В свою очередь API Google People позволяет найти Google ID любого человека по его электронной почте. В данном случае вся модель аутентификации Petlibro ошибочна. Они рассматривают идентификатор Google как пароль, хотя по сути это общедоступная информация.

• Далее, получив доступ к системе, можно подключиться к камере и микрофону устройства, изменить или удалить расписание кормления, меня названия устройств, запустить ручную подачу корма и управлять другими настройками.

• В начале ноября 2025 года bobdahacker передал всю информацию производителю и через 24 часа получил ответ, что они оценят перечисленные уязвимости и ответят в течении 5 дней.

• Далее Petlibro без согласования выслали награду за обнаруженные уязвимости в размере 500 баксов... за обход авторизации и полный доступ к аккаунту... По информации от производителя, такая сумма была выплачена из-за "ограниченного бюджета".

• Но это еще не всё. Исследователю заявили, что уязвимость пофиксят только через несколько месяцев, в начале 2026 года.

• 27 декабря эта статья была опубликована в блоге bobdahacker, а 28 декабря Petlibro сообщили, что исправили уязвимость. На исправление ушло 2 месяца.

➡️ https://bobdahacker.com/blog/petlibro

#BB #Secyrity

Читать полностью…

👾 Первой эпидемии компьютерных вирусов для IBM PC исполнилось 40 лет.

• 40 лет назад, 19 января 1986 года, два брата из Пакистана создали программу "Brain". Братьев звали Амджатом и Базитом Алви, и саму программу они создали для борьбы с пиратами, которые воровали программное обеспечение у их компании. Братья в то время создавали медицинское программное обеспечение, которое использовалось в кардиологических устройствах (отец братьев был врачом). В ПО были указаны данные братьев, включая имена, адрес и телефон. Обратившись к братьям, "пират" мог бы получить лекарство от их защитной программы. По иронии судьбы, программное обеспечение, призванное бороться со злоумышленниками, само стало злом.

• Brain поражал IBM PC, и стал первым вирусом, вышедшим не только за стены кабинета разработчиков, но и попавшим в другие страны, преодолев границы страны, в которой был создан. Распространялось ПО на дискетах.

• Если вы попробовали бы стать пиратом, запустив (нелегально) копию программы братьев, то ваш ПК заражался Brain. На загрузочный сектор дискеты записывалась копия вируса, старая же информация переносилась в другой сектор и помечалась как поврежденная. После этого в загрузочном секторе отображалось следующее сообщение:

Welcome to the Dungeon © 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today — Thanks GOODNESS!!! BEWARE OF THE er..VIRUS: this program is catching program follows after these messages….$#@%$@!!

• Из-за вируса работа дискеты замедлялась, а DOS терял доступ к 7 килобайтам памяти. В исходном коде вируса можно было обнаружить информацию с именами его создателей, а также их адресом и телефоном:

Welcome to the Dungeon 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS… Contact us for vaccination…

• Скорость распространения вируса Brain была внушительной. Уже через несколько недель на телефонный номер братьев Альви начали поступать звонки с требованием убрать вирус с зараженного ПК. Звонков было так много, что телефонные линии пришлось попросту отключить.

• Проблема программы оказалась в том, что она распространялась и по обычным дискетам, без копии медицинского ПО братьев. В 1988 году программа уничтожила записи корреспондента одного из известных изданий, которые тот вел в течение нескольких месяцев.

• Сейчас братья Альви возглавляют одну из самых крупных телекоммуникационных компаний в Пакистане с весьма ностальгическим названием Brain Telecommunications.

#Разное

Читать полностью…

• Доброе утро...🫠

#Понедельник

Читать полностью…

• В Beta-версии Telegram для Android под номером 12.3.1 мессенджер начал предупреждать пользователей о возможном раскрытии IP-адреса при переходе по ссылкам для подключения прокси.

• До этого клик по ссылке на прокси обрабатывался иначе: приложение сразу пыталось соединиться с сервером для проверки его доступности, минуя предупреждение.

• Ранее этот недочёт стал поводом для обсуждений среди пользователей, беспокоящихся за приватность своего IP-адреса.

• Данный функционал скоро завезут на десктопные приложения, а также на мобильные приложения iOS и Android.

#Android #Telegram

Читать полностью…

🎉 Результаты розыгрыша:

🏆 Победители:
1. ksfe21 (@ksfe21)
2. D
3. Виктор (@A_Viktor1691)
4. Roman (@R0manio)
5. Serge (@Stin_3r)
6. Армозавр
7. Andreas (@Guran4k)
8. Антон "war10k" (@war10k)
9. Марина (@Marinawwwq1)
10. Viktor 🇷🇺 (@UncleVic15)
11. Эд (@eddyfun)
12. Бахадыр (@usserr_1)
13. ShentiGO (@Shentigo)
14. Макар (@makar_kolupaev)
15. Alexey (@askurnev)

✔️Проверить результаты

Читать полностью…