49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• 20 лет назад, 18 сентября 2005 года, мир увидел μTorrent - одно из самых популярных в мире приложений. С того момента сильно изменилась целевая аудитория программы. Если 20 лет назад им начали пользоваться гики, то сейчас через uTorrent могут качать сериалы наши мамы, папы, бабушки и дедушки и другие люди, кого и близко нельзя назвать экспертами в компьютерах.
• Символ "μ" в названии μTorrent означает «micro». Разработчик Людвиг Стригеус в 2004 году начал работать над эффективным BitTorrent-клиентом, который не стал бы использовать слишком много ресурсов.
• Стригеус работал над приложением в свободное время, но вскоре занялся другими делами, и проект застопорился. В сентябре 2005 года Стригеус к нему вернулся и уже спустя три дня представил первую версию μTorrent.
• Спустя считанные дни приложение заработало популярность среди пользователей Windows. За следующие несколько месяцев новым торрент-клиентом начали пользоваться сотни тысяч человек. К декабрю 2008 года им пользовались 28 миллионов человек, а к 2015 году их количество достигло 150 миллионов.
• За первый год работы с приложением Людвиг Стригеус сделал ряд ключевых нововведений, которые являются неотъемлемой частью BitTorrent-экосистемы. Это протокол DHT, позволяющий BitTorrent-клиентам находить друг друга без трекера, и шифрование BitTorrent.
• Новым приложением быстро заинтересовалась компания BitTorrent. Её глава Ашвин Навин поблагодарил Стригеуса за его инновации в 2006 году. Одной благодарностью дело не закончилось…
• 7 декабря 2006 года, спустя чуть более года после первого релиза, компания BitTorrent Inc. купила μTorrent после того, как сама получила новые вложения в очередном раунде финансирования. С помощью μTorrent компания хотела расширить базу пользователей. Поглощение повысило потенциал μTorrent, количество пользователей выросло, а Людвиг Стригеус стал техническим консультантом BitTorrent и занялся другим P2P-проектом — легальным стримингом музыки Spotify...
#Разное
⚠ Роутер с "вечным" VPN: удобство, которое стоит слишком дорого.
• Весьма интересный и содержательный материал, где проанализировали роутеры с предустановленным «пожизненным» VPN, которые продаются на различных маркетплейсах.
• Автор купил три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000, и в процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще автор выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.
• В этой статье поговорим об угрозах, которые скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.
➡ Читать статью [12 min].
#ИБ
• Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570 ГБ данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало около 800 CER-отчётов (Customer Engagement Report), содержащих конфиденциальную информацию о платформах и сетевых инфраструктурах клиентов Red Hat, которым предоставлялись консалтинговые услуги.
• В представленных атакующими скриншотах и примерах упоминается о получении данных, связанных с около 800 клиентами Red Hat, среди которых Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, Merrick Bank, Telefonica, Bank of America, Delta Air Lines, Walmart, Kaiser, IBM, SWIFT, IKEA и AT&T, а также Центр разработки надводного вооружения ВМС США, Федеральное управление гражданской авиации США, Федеральное агентство по управлению в чрезвычайных ситуациях США, Военно-воздушные силы США, Агентство национальной безопасности США, Ведомство по патентам и товарным знакам США, Сенат США и Палата представителей США.
• Утверждается, что захваченные репозитории содержат сведения об инфраструктуре клиентов, конфигурацию, токены аутентификации, профили VPN, настройки OpenShift, CI/CD runner-ы, резервные копии и другие данные, которые могут быть использованы для организации атаки на внутренние сети клиентов. Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости.
• Компания Red Hat подтвердила инцидент и опубликовала краткий отчёт. Подробностей не приводится, указано только то, что компания начала расследование, в ходе которого выявлено, что неизвестный получил доступ к GitLab-серверу, используемому для ведения проектов команды Red Hat Consulting, и загрузил с него некоторые данные. Каким образом атакующий смог получить доступ к GitLab-серверу не уточняется, но указано, что в атаке не использовалась уязвимость (CVE-2025-10725) в OpenShift AI Service.
➡️ Источник.
#Новости
• На протяжении 3-х лет Майкл Баззель публикует в своем блоге полезные журналы, которые содержат в себе очень много ценных рекомендаций в части обеспечения информационной безопасности, этичного хакинга и поиска информации из открытых источников. К слову, Майкл – знаковая фигура в сфере ИБ и OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот», который считают достойным с точки зрения достоверности. Так что я рекомендую обратить внимание на данный журнал. Вероятно, что вы найдете для себя очень много полезной информации. Скачать можно по ссылке ниже:
➡️ https://inteltechniques.com
#Журнал #ИБ
• Ровно 43 года назад на свет появилась технология, в буквальном смысле слова изменившая мир. Именно в этот день, 1 октября 1982 года, на японский рынок поступил в продажу первый компакт-диск.
• Изначально компакты разрабатывали в качестве замены виниловым дискам, как более качественный и надежный носитель. Считается, что лазерные диски являются результатом совместной работы команд двух технологических корпораций — японской Sony и голландской Philips.
• При этом мало кто знает, что базовая технология «холодных лазеров», которая и сделала возможной появление лазерных дисков, была разработана советскими учеными Александром Прохоровым и Николаем Басовым. За свое изобретение они были удостоены Нобелевской премии. В дальнейшем технология развивалась, и в 70-х годах Philips разработала способ записи компакт-дисков, который и положил начало CD. Сначала инженеры компании создали ALP (audio long play) в качестве альтернативы виниловым пластинкам.
• Диаметр ALP-дисков составлял примерно 30 сантиметров. Чуть позже инженеры уменьшили диаметр дисков, время проигрывания при этом снизилось до 1 часа. Лазерные диски и воспроизводящее устройство для них впервые были продемонстрированы Philips в 1979 году. После этого компания стала искать партнера для дальнейшей работы над проектом — технология виделась разработчикам как международная, а развить ее до необходимого уровня и популяризовать своими силами было сложно.
• Руководство приняло решение попробовать установить контакты с технологическими компаниями из Японии, в то время эта страна находилась на острие hi-end технологий. Для этого в страну отправились делегаты Philips, им удалось встретиться с президентом Sony, который заинтересовался технологией.
• Почти сразу была сформирована команда инженеров Philips-Sony, они и разработали первые спецификации технологии. Вице-президент Sony настоял на увеличении объема диска, ему хотелось, чтобы компакт мог вместить девятую симфонию Бетховена, для чего объем диска расшили с 1 часа до 74 минут (есть и мнение, что это просто красивая маркетинговая история). Объем данных, которые умещаются на такой диск, составил 640 Мбайт. Инженеры разработали и параметры качества звука. Например, частота выборки стереосигналов регламентировалась на уровне 44,1 кГц (для одного канала 22,05 кГц) c разрядностью каждого в 16 бит. Так появился стандарт Red Book.
• Название новой технологии появилось не случайно - его выбрали из нескольких вариантов, включая Minirack, Mini Disc, Compact Rack. В итоге разработчики совместили два названия, получив гибридное Compact Disc. Не в последнюю очередь это название было выбрано из-за растущей популярности аудиокассет (технология Compact Cassette).
• На момент появления технологии в 1982 году компакт-диск мог хранить гораздо больше данных, чем жесткий диск персонального компьютера, который в те времена имел объем 10 Мбайт. Это и предопределило судьбу формата, обеспечив ему популярность.
• Несмотря на преклонный возраст, компакт-диски и их наследники - DVD и Blu-ray активно используются до сих пор, в основном, для хранения и архивации данных. Возможно, что скоро мы отметим юбилей этой технологии.
#Разное
⚠️ Не будь тем, кто узнаёт об угрозах ИБ слишком поздно!
Два бесплатных вебинара, которые нельзя пропустить:
📅 9 октября, 20:00 — «Некоторые аспекты ИБ при применении подхода IaC»
Поймёте, когда «Инфраструктура как код» защищает, а когда ослабляет вашу безопасность. Реальные риски и контрольные точки из практики.
📅 23 октября, 20:00 — «Искусственный интеллект — новый вызов в кибербезопасности»
ИИ меняет правила игры: ускоряет работу, но создаёт новые угрозы. Разбираем модель атак и как защититься.
🔥 Эти вебинары — ваш шанс обновить знания и быть на шаг впереди угроз, прежде чем они станут проблемой. Записывайтесь на вебинары: https://otus.pw/zz5z/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
• В 1991 году интернет был уделом энтузиастов, разбирающихся в протоколах и настройках. America Online (AOL) изменила это, запустив диал-ап-сервис, который сделал сеть доступной для обычных людей. Компания предложила не просто подключение, а целую экосистему: почту, чаты, форумы, игры и интуитивный интерфейс, скрывавший технические сложности. Это был «интернет для всех», упакованный в удобный формат.
• Подключение шло через телефонную линию. Пользователь запускал AOL Dialer, вводил номер провайдера, и после знакомого «скрежета» модема (этот звук у многих до сих пор вызывает ностальгию) открывался доступ к сети. Скорость по протоколу V.92 достигала 56 кбит/с, но в реальности часто падала до 20 кбит/с из-за помех или старых линий. Загрузка страницы могла занимать минуты, но в те годы это воспринималось как прорыв. Пользователи отправляли письма, читали новости и скачивали файлы не выходя из дома.
• На пике популярности в конце 90-х AOL насчитывала свыше 30 миллионов подписчиков. Компания продвигала свои услуги, рассылая компакт-диски с пробным доступом. Их, к слову, многие превращали в подставки или игрушки, CD эти стали культурным феноменом. Фраза "You’ve got mail!" вошла в обиход, символизируя радость от нового письма. AOL стала для миллионов первым шагом в World Wide Web, упрощая доступ для тех, кто не был технически подкован.
• С появлением широкополосного интернета (DSL, кабельные сети) в начале 2000-х диал-ап начал терять популярность. AOL, вошедшая в состав Yahoo!, переключилась на цифровые медиа и почтовые сервисы, но ее модемное подключение удивительным образом дожило до 2025 года.
• Сегодня, AOL — компания, открывшая миллионам пользователей интернет — официально прекратит предоставлять услуги диал-ап. Напомню, работала она с 1991 года. Вместе с ней уйдут AOL Dialer, сервис-«звонильщик», и браузер AOL Shield для старых систем. Для многих это не просто техническое изменение, а прощание с символом 90-х.
• Ушла эпоха....
#Разное
Вакансии в информационную безопасность Точка Банк
Точка Банк — IT-компания, мы создаём онлайн-банк и другие сервисы для бизнеса. Ими пользуются более 700 000 клиентов, а создают больше 5 000 сотрудников.
Администратор ИБ
📍От 180 000 ₽ до вычета налогов. Удалёнка, офис или гибрид — как тебе удобнее.
Что делать:
— Сопровождать и администрировать средства защиты информации: NGFW, 2FA, VPN, WAF, AV, СКЗИ, SIEM, DLP, antiDDoS.
— Оперативно реагировать на задачи ИБ: согласовывать доступы и проверять соответствие ПО, сервисов и процессов требованиям.
— Проводить регулярные контроли и аудиты системы информационной безопасности.
Ты подойдёшь, если:
— Есть опыт работы администратором ИБ от 1 года.
— Есть опыт администрирования основных средств защиты: DLP, SIEM, FW, AV, VPN.
Бизнес-партнёр по ИБ
📍От 300 000 ₽ до вычета налогов. Удалёнка, офис или гибрид — как тебе удобнее.
Что делать:
— Анализировать соответствие архитектуры IT-решений требованиям ИБ.
— Выявлять и оценивать возможные риски.
— Отслеживать выполнение мер при релизе продуктов.
— Экспертно сопровождать проектные и бизнес-команды по вопросам ИБ.
Ты подойдёшь, если:
— Есть опыт работы в банковской сфере от трёх лет на схожей позиции.
— Знаешь требования законодательства и Банка России (716-П, 821-П, 683-П, 787-П) и умеешь применять их на практике.
— Разбираешься в микросервисной и монолитной архитектуре, облаках и виртуализации.
• Очень хороший материал по изучению Docker для начинающих. Как обычно: все бесплатно, без регистрации и смс. Читаем и практикуем.
1️⃣ Docker с нуля: как работают контейнеры и зачем они нужны.
• Эта подборка из шести статей - ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны начинающим. На полное изучение уйдет менее двух часов. Материалы курса:
➡Docker: что это такое и как работать с контейнерами;
➡Установка Docker Desktop на Windows, настройка WSL и Hyper-V;
➡Запуск контейнера Docker и команда docker run;
➡Docker Compose и основы работы с контейнерами;
➡Создание своего Docker-репозитория;
➡Kubernetes vs Docker: в чем различия.
2️⃣ Основы безопасности в Docker-контейнерах.
• Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен. Материалы:
➡Безопасность в Docker: от правильной настройки хоста до демона
➡Исчерпывающее пособие по безопасной сборке Docker-образов
➡Профилактика в работе с Docker-контейнерами
• Не забывайте про дополнительный материал, который я уже публиковал в этом канале:
➡На сайте hacktricks есть очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.
#Docker #Security
Как найти слабые места в веб-приложении до того, как их найдут хакеры?
Расскажем на обновленном курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!
🔴 Каждую неделю — вебинары с куратором!
Старт 2 октября! Регистрация здесь.
Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)
Получите практические навыки как в рабочих задачах, так и в Bug Bounty.
🚀 @CodebyManagerBot
• Пост выходного дня: а вы знали, что домен .ai приносит небольшому карибскому острову Ангилья около 30 млн. баксов в год? Это примерно четверть годового дохода, что весьма круто.
• А всё началось с Искусственного Интеллекта, когда число сайтов с доменом .ai выросло в 10 раз за последние 5 лет. Кстати, самым дорогим адресом является you.ai - его выкупили за 700 тыс. баксов. Да что уж там говорить, сотни крупных компаний (Google, Notion и д.р.) платят очень большие деньги острову за доменные имена. Поэтому со временем доход острова будет только расти.
➡️ Источник.
#Разное
⌚️Seiko UC-2000, умные часы из 1984 года.
• Представьте себе умные часы, но из 1984 года. Звучит как что-то прямо из научно-фантастического фильма, ведь 80-е годы прошлого века не славятся большими достижениями в области персональных компьютеров. Но это реальность, и это именно то, что было создано компанией Seiko в те времена и было известно как UC-2000 — «персональный информационный процессор», который можно носить на запястье (на фото). Как и следовало ожидать, это было новое устройство, которое было выпущено по цене 300 долларов (это что-то около 900 долларов сегодня с учётом инфляции).
• Часы выглядят как компьютер и работают почти как компьютер, хотя технически их нельзя назвать компьютером, пока вы не подключите к ним внешнюю клавиатуру, которая добавит им соответствующую функциональность.
• Устройство состояло из двух частей: часов и клавиатурной док-станции. Циферблат Seiko UC-2000 представляет собой жидкокристаллический матричный дисплей с чёрным ободком, а корпус — серый металлик, сочетающийся с браслетом из нержавеющей стали. В нижней части расположены четыре кнопки, окрашенные в оранжевый цвет на внешних концах и серый в середине, которые заменяют заводную головку в качестве механизма настройки. Внешне он невероятно похож на современные смарт-часы.
• Когда часы устанавливаются на док-станцию, они превращаются в совершенно гиковскую машину, которая стала бы настоящим украшением витрины коллекционера техники. Это QWERTY-клавиатура с дополнительными кнопками для переключения языка и доступа к различным функциям. С левой стороны находится квадратный вырез, в котором располагаются часы, взаимодействующие с клавиатурой посредством электромагнитов.
• Клавиатура достаточно большая, чтобы поместиться в кармане, но не настолько, чтобы носить её на запястье вместе с часами. На самом деле она выглядит комично большой, если носить её в таком виде, но если бы клавиатура была меньше, на ней было бы очень трудно печатать.
• Часы показывают время и дату, могут работать как секундомер, а также как будильник, как и большинство других цифровых часов того времени. Но в сочетании с клавиатурой UC-2100 они превращаются в «Информационную систему на запястье», которая может хранить заметки, вести расписание встреч и работать как калькулятор. Вы можете сохранить до 2 заметок по 1000 символов каждая, отсюда и название модели UC-2000. Представляете, какие ограничения были в то время? Целых 2 заметки!!!
• А еще была док-станция UC-2200, которая поставляется с принтером (на фото) с катушечной подачей, на случай, если вам понадобится что-то напечатать в дороге. Как вам такие высокие технологии? Так то...
➡️ https://www.namokimods.com/smartwatch-from-1984
#Разное
• Слышали про приложение, которое платит пользователям за запись их телефонных звонков для дальнейшего обучения ИИ? Приложение называется Neon Mobile и совсем недавно оно находилось в топе американского App Store в категории "социальные сети". Эта новость вчера была опубликована во многих ТГ каналах и медиа ресурсах. Так вот, всё дело в том, что в этом приложении нашли критическую уязвимость, которая позволяла получить доступ к чужим разговорам, стенограммам и номерам телефонов. Удивлены?
• Специалисты TechCrunch создали учётную запись пользователя и воспользовались Burp Suite (мультитул для проведения аудита безопасности веб-приложений), что позволило им понять, как работает Neon, например, как оно взаимодействует со своими внутренними серверами. После нескольких звонков приложение выдало список последних вызовов и сумму дохода за каждый. Однако, благодаря Burp Suite, специалисты нашли текстовую расшифровку звонка и веб-адрес аудиофайлов, к которым мог получить доступ любой желающий при наличии ссылки.
• В одном случае в TechCrunch обнаружили, что серверы Neon могли собирать данные о последних звонках, совершённых пользователями приложения, а также предоставлять общедоступные веб-ссылки на необработанные аудиофайлы и текст расшифровки разговора. Аналогичным образом, серверы можно было использовать для раскрытия последних записей звонков любого из пользователей. Эти метаданные содержали номер телефона самого юзера и номер телефона вызываемого абонента, время звонка, его продолжительность и сумму дохода за каждый.
• Основатель сервиса Алекс Киам после уведомления об утечке отключил приложение и сообщил пользователям, что оно будет недоступно «для повышения безопасности»:
«Конфиденциальность ваших данных — наш главный приоритет, и мы хотим обеспечить их полную безопасность даже в период быстрого роста. В связи с этим мы временно отключаем приложение, чтобы обеспечить дополнительные уровни безопасности».
• Нашел отличный и простой способ запустить ОС Android на обычном ноутбуке, ПК или ВМ: проект называется redroid (Remote-Android), благодаря которому мы можем запустить Android в Docker контейнере на базе Ubuntu. Есть поддержка 8.1 - 16 версии.
➡️ https://github.com/remote-android/redroid-doc
• Помимо redroid есть еще несколько интересных проектов: waydroid, Bliss-OS и Memuplay.
• Дополнительно: полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.
➡Коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере.
➡Подборка различных образов для VirtualBox.
➡Free VirtualBox Images от разработчиков VirtualBox.
➡Коллекция готовых VM от Oracle.
➡Абсолютно любые конфигурации VM на базе Linux и Open Sources.
➡Подборка различных образов для VMware.
➡VM на iOS и MacOS: getutm и mac.getutm.
➡Образы для Mac: mac.getutm и utmapp.
#Android #VM #VirtualBox #VMware
📟 Война с пейджерами.
• А вы знали, что три десятилетия назад в США вступил закон, где прописаны правила против использования пейджеров. В Нью-Джерси полностью запретили их использование гражданам младше 18 лет, а нарушителям грозил 6-месячный тюремный срок. Кстати, закон так и не отменили. Он продолжает действовать по сей день...
• Дело в том, в 80-х годах пейджеры активно набирали популярность среди подростков, а также… драг-дилеров. В те годы США переживали общественную панику, связанную с активным употреблением наркотиков молодёжью, и этот факт значительно её усилил, поскольку пейджеры начали считать одним из главных подспорьев наркобизнеса.
• Вот тогда и были приняты меры против использования пейджеров. Как уже было отмечено выше, в Нью-Джерси полностью запретили использовать пейджеры лицам младше 18 лет, а тем кто нарушал закон грозил 6-месячный тюремный срок. Этот закон был предложен сенатором Рональдом Л. Райсом, который до этого служил в полиции. Жертвами этих жёстких запретов стали тысячи молодых людей, некоторые из которых даже попали на новостные полосы газет (на фото).
• Некоторые школы регулярно сдавали полиции пойманных с пейджерами учащихся. Например, в одном случае 16-летняя девушка получила обвинение в нарушении общественного порядка, в другом 13-летний подросток был закован в наручники. Особенно агрессивно эти меры применялись в Чикаго: в ходе одного полицейского рейда за «использование пейджеров» в школе было арестовано и отстранено от занятий более 30 учащихся.
• В 1996 году в Нью-Джерси был случай, когда от занятий отстранили 5-летнего ребёнка за то, что он взял с собой пейджер на школьную экскурсию. Этот инцидент вызвал широкое возмущение и привлёк внимание радиоведущего Говарда Стерна. В конечном итоге всё это привело к призывам доработать или отменить столь жёсткие законы.
• Эти нападки на пейджеры стали большой проблемой для компании Motorola, которая тогда владела 80% их рынка. В распоряжении компании был хит, с которым она знакомила целое новое поколение, поэтому в 1994 году её владельцы решили дать отпор, отчасти путём объединения молодёжи.
• Motorola привлекла детей своих сотрудников к разработке кампаний в поддержку пейджеров, подчёркивая важность этих устройств для юного поколения в качестве средства коммуникации. В одном из отчётов проекта говорилось: «Кто лучше всех поможет спланировать битву, как ни сами подростки?». Во время самого события, которое разворачивалось в течение недели, один из участников придумал слоган: «Pages for All Ages».
• Объединив свои усилия с PepsiCo, Motorola запустила по телевидению рекламу пейджеров как инструмента для общения детей и взрослых. В рамках объявленной акции компания в 1996 году продала подросткам 500 000 девайсов.
• Эта политика продвижения разозлила некоторых законодателей. Другие представители власти называли их устаревшими, и примерно в то же время возникли движения за отмену запретов на эти устройства. Отчасти этому поспособствовал ранее упомянутый случай с 5-летним мальчиком. В 1996 году власти Нью-Джерси доработали закон, но не отменили.
• Изначальный инициатор этого постановления в 2017 году предложил его отменить со словами:
«Прошло уже почти тридцать лет, и это больше не является проблемой».
• В Питере нашли самую современную бабушку. У нее можно купить овощи за крипту (btc, etc, litecoin). Вот это настоящий киберпанк...
#Юмор #Разное
Быстрый офер в команду безопасности Яндекса
Зовём специалистов по информационной безопасности с опытом от 2 лет на Week Offer Security 11–17 октября.
Как это устроено:
🔸 Подаёте заявку до 8 октября
🔸 Проходите технические секции 11–12 октября
🔸 Знакомитесь с командами и получаете офер 13–17 октября
Перед мероприятием проведём онлайн-встречу, где познакомимся, расскажем подробнее о наших проектах и задачах, ответим на ваши вопросы, а также сделаем разбор задач и дадим советы, как лучше подготовиться к секциям.
Узнать подробности и зарегистрироваться можно на сайте.
Реклама. ООО "Яндекс". ИНН 7736207543
🔎 Первый в мире поисковый движок.
• В ранние годы интернет-эры миллионы файлов хранились на тысячах анонимных FTP-сайтов. В этом многообразии пользователям было достаточно сложно обнаружить программу, подходящую для решения их задачи. Поэтому приходилось вручную просматривать FTP-хранилища, структура которых значительно отличалась. Именно эта проблема и привела к появлению одного из ключевых аспектов современного мира — интернет-поиска.
• Считается, что создателем первого поискового движка выступил Алан Эмтейдж. В 1989 году он работал в университете Макгилла в Монреале. Одной из его задач как администратора университетского факультета информационных технологий было нахождение программ для студентов и преподавателей. Чтобы облегчить себе работу и сэкономить время, Алан написал код, который выполнял поиск за него.
• Эмтейдж написал простой сценарий, автоматизирующий задачу внедрения в листинги на FTP-серверах, которые затем копировались в локальные файлы. В этих файлах осуществлялся быстрый поиск необходимой информации с помощью стандартной grep-команды Unix. Таким образом, Алан создал первую в мире поисковую систему, которая получила название Archie — это сокращение от слова Archive (Архив).
• Archie оказался способен производить поиск среди 2,1 миллиона файлов более чем на тысяче сайтов по всему миру в течение нескольких минут. От пользователя требовалось ввести тему, а система предоставляла отчет о местонахождении файлов, названия которых совпадали с ключевыми словами.
• Решение оказалось настолько удачным, что в 1990 году Эмтейдж и его партнер Питер Дойч основали компанию Bunyip, намереваясь вывести на рынок более мощную коммерческую версию Archie. Можно сказать, что это был первый интернет-стартап в истории, поскольку Bunyip продавали интернет-сервис.
• Команда решила привести листинги к более эффективному представлению. Данные были разбиты на отдельные базы: в одной из них хранились текстовые названия файлов, в другой — записи со ссылками на иерархические директории хостов. Была и третья база, соединяющая две другие между собой. Поиск при этом производился поэлементно по именам файлов.
• Со временем были реализованы и другие доработки. Например, база данных вновь была изменена — её заменила база данных, основанная на теории сжатых деревьев. Новая версия формировала текстовую базу данных вместо списка имен файлов и работала значительно быстрее предыдущих. Также произведенные второстепенные улучшения позволили Archie проводить индексацию веб-страниц.
• К сожалению, работа над Archie была прекращена, а революция в области поисковых систем — отложена. Эмтейдж со своими партнерами разошлись во взглядах касательно будущих инвестиций, и в 1996 году он принял решение об уходе. После этого клиент Bunyip проработал еще год, а затем стал частью Mediapolis, Нью-Йоркской фирмы веб-дизайна. При этом патенты на все наработанные технологии так и не были получены.
• Archie породил такие поисковые системы, как Google, потому в какой-то мере его можно считать прапрадедушкой поисковых движков. Что касается Алана Эмтейджа, то когда его спрашивают об упущенной возможности разбогатеть, он отвечает с долей скромности:
«Разумеется, я бы хотел разбогатеть, — говорит он. — Однако даже с оформленными патентами я мог бы и не стать миллиардером. Слишком легко допустить неточности в описании. Иногда выигрывает не тот, кто был первым, а тот, кто стал лучшим».
1979 год. В то время диск на 250 мб. был настоящим чудом технологии! А выглядел он вот так:
Читать полностью…
• Нашел очень крутой ресурс, который содержит огромное кол-во инструментов для ИТ специалистов, начиная от калькулятора ip адресов и оценки надежности паролей, заканчивая конвертерами и линтерами для JSON, YAML, XML и т.д. Так сказать, универсальный набор тулз, который пригодится для выполнения повседневных задач.
• А еще вы можете развернуть всё локально, если потребуется. Инструкция есть на github. Пользуйтесь:
➡️ https://it-tools.tech
#Tools
• Автор этот статьи написал бесплатный сканер, который может осуществляет проверку вашего файла на уязвимости в коде, найти дырявые библиотеки и зависимости, а еще может проверить инфраструктурные конфиги.
• Никаких формальностей: без регистрации, без смс, без ввода карты и т.д., просто берете файл, перетаскиваете его мышкой и получаете отчет. Поддерживаются Python, JavaScript, Java, C++, Go, PHP, конфиги типа Dockerfile, Kubernetes, Terraform и многие другие. Всё, что реально встречается в жизни...
• Судя по описанию проекта, сканер навсегда останется бесплатным! Однако сайт работает в Бете на небольших ресурсах. Может лагать, может выдать ошибку при загрузке большого файла. Но небольшие файлы обрабатывает быстро. В дальнейшем если пользователей будет больше, автор обещает расширить ресурсы.
• Кстати, есть ещё одна удобная штука — share отчёта по ссылке. Сделали скан, получили результат и одним кликом сгенерировали ссылку. Она живёт 7 дней, после чего удаляется. Это удобно для тимлидов и ИБшников: можно показать результат команде, не пересылая файлы руками.
• В общем и целом, это очень хороший инструмент для обычных людей. И особенно круто, когда такие инструменты публикуют бесплатно!
➡️ Code Scanner.
➡️ Описание проекта.
#DevOps #DevSecOps #ИБ #Tools
• Андрей Созыкин завершил основной раздел своего курса по компьютерным сетям и приступил к следующей части, которая будет посвящена теме защищенных сетевых протоколов. В новом разделе будут рассмотрены следующие протоколы:
➡TLS – Transport Layer Security;
➡HTTPS – HTTP Secure;
➡DNS-over-TLS, DNS-over-HTTPS;
➡DNSSEC – DNS Security Extensions.
• Отмечу, что лично я считаю данный курс одним из лучших и понятных в части изучения сетей. А еще курс полностью бесплатный и опубликован на YouTube, что делает его доступным для всех желающих! Напомню, что Андрей начал актуализировать свой курс еще год назад и сейчас можно посмотреть более 38 уроков:
➡Введение в курс;
➡Организация компьютерных сетей;
➡Терминология сетей;
➡Модель ISO OSI;
➡Модель и стек TCP/IP;
➡Стандартизация сетей;
➡Организация сетей TCP/IP;
➡Анализатор сети Wireshark;
➡Прикладной уровень;
➡Протокол HTTP;
➡HTTP в текстовом режиме;
➡Кэширование в HTTP;
➡HTTP в Wireshark;
➡HTTP API;
➡Практика по HTTP API;
➡HTTP API в Postman;
➡HTTP API в curl;
➡Система доменных имен DNS;
➡Протокол DNS;
➡Протокол DNS в Wireshark;
➡Типы записей DNS;
➡Типы записей DNS в Wireshark;
➡Утилиты DNS host и dig;
➡Итеративный и рекурсивный режимы DNS;
➡Транспортный уровень;
➡Протокол UDP;
➡Протокол UDP в Wireshark;
➡Протокол TCP;
➡Протокол TCP: скользящее окно;
➡Протокол TCP: установка соединения;
➡Утилиты TCPView, netstat и ss;
➡Протокол TCP: формат заголовка;
➡Протокол TCP в Wireshark;
➡Протокол TCP: управление потоком;
➡Протокол TCP: управление перегрузкой;
➡Интерфейс сокетов;
➡Практика по сокетам;
➡Протоколы, интерфейсы и сервисы.
• Когда будет завершен раздел с описанием защищенных сетевых протоколов, то я обязательно опубликую эту информацию в канале. Либо можете самостоятельно отслеживать выход нового материала в этом плейлисте: https://www.youtube.com/playlist/seti
• P.S. Не забывайте про мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network
#Сети
🖥 ENIAC.
• Electronic Numerical Integrator and Computer (ENIAC) был одним из первых в мире компьютеров общего назначения. В этом году ENIAC (на фото) исполнилось 79 лет. Его создание считается одной из важнейшей вех развития компьютерной техники.
• В ходе создания ENIAC ученые и инженеры предложили множество новых идей, которые в дальнейшем стали базой для построения электронно-вычислительных машин уже гораздо более совершенных, чем ENIAC.
• А началось всё с военных. Он потребовался, в частности, для расчета траекторий полета баллистических ракет и других снарядов. Просчитать вручную все это было можно, но процесс занимал крайне много времени. В некоторых случаях военным требовалась информация по нескольким тысячам траекторий полета снаряда, причем на расчет каждой из них требовалось по 1000 и более операций. Соответственно, у одного человека на выполнение всего этого комплекса вычислительных задач уходило около 2 недель, а иногда — и месяцев.
• После проведения расчетов военные составляли специальные таблицы, которые помогали метко стрелять по вражеским целям.
• ENIAC создали для ускорения всей этой работы. Разработка системы началась в 1942 году, а в 1945 компьютер уже приступил к работе, избавляя сотрудников от необходимости выполнять рутинную работу на протяжении нескольких недель.
• Готовый аппаратный комплекс занимал помещение площадью в 140 м2. Масса устройства составляла 30 тонн, в состав его входило около 18 000 электронных ламп и 1500 реле, плюс сотни тысяч других элементов, включая сотни тысяч резисторов, конденсаторов и катушек индуктивности.
• Сначала у ENIAC не было внутренней памяти, все данные хранились на перфокартах. Но в 1953 году инженеры смогли добавить к системе память на 100 слов.
• Стоит отметить, что для своего времени система была просто феноменально быстрой. Компьютер был в состоянии выполнять 357 операций умножения в секунду или 5000 операций сложения за то же время. Кроме того, компьютер позволял решать дифференциальные уравнения второго порядка.
• Не обошлось и без проблем. Поскольку в ENIAC содержалось почти 18 000 радиоламп, они регулярно выходили из строя, из-за чего работы приостанавливались примерно раз в день. Лампы приходилось заменять, на что требовалось время. В самом начале на поиск неисправной лампы требовалось несколько часов, но через некоторое время команда компьютера смогла ускорить процесс — на него стало уходить не более 15 минут.
• Компьютер потреблял около 160 кВт энергии, а во время его работы температура в машзале поднималась вплоть до 50 градусов Цельсия. При всем при этом система была крайне сложной. Даже у опытного программиста на ввод новой задачи уходило много времени. Чаше всего несколько дней — ведь сначала нужно было согласовать планирование, а потом уже внедрять.
• К тому времени, когда ENIAC заработал, подошла к концу Вторая мировая война. Поэтому команде проекта пришлось срочно адаптировать свое детище для решения новых задач, включая сельское хозяйство.
• В итоге ENIAC выполнял вот такие задачи:
➡Расчет конструкции водородной бомбы.
➡Прогнозы погоды.
➡Исследования космических лучей.
➡Изучение случайных чисел.
➡Проектирование аэродинамических труб.
• Прогнозы погоды, выдаваемые системой, были довольно точными, но приоритет отдавался, конечно, созданию водородной бомбы.
• К слову, использовался компьютер не так и долго вплоть до 1955 года, когда в мире появились более мощные системы. Тем не менее, за все время существования инженеры внедрили немало новейших и эффективных для того времени решений. ENIAC очень сильно изменился по сравнению с тем, что он собой представлял в начале существования.
• Когда компьютер перестал быть актуальным, его просто разобрали. Элементы системы разбирали и складывали не самым аккуратным образом. Часть элементов увезли, другие — оставили.
• С течением времени элементы ENIAC расходились все дальше друг от друга — их могли просто перескладировать, отправляя их за десятки километров от предыдущей дислокации. Причина — размеры элементов компьютера.
#Разное
• Нашел очень полезный сервис, благодаря которому можно создать зашифрованные HTML странички, расшифровка которых происходит с помощью ввода пароля в браузере на стороне клиента.
• Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Но что делать, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решает тулза StatiCrypt.
• StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг. Страница будет расшифрована в браузере пользователя, когда тот введёт известный ему пароль. В принципе, эту систему можно использовать для шифрования личных заметок, если вы хотите выложить их на общедоступный сервер, чтобы всегда иметь к ним доступ, но при этом надёжно защитить от посторонних глаз.
• Расшифровка происходит на обычном JavaScript, то есть со стороны клиента не требуется скачивание и установка дополнительных инструментов, кроме стандартного браузера. Ни хостинг-провайдер, ни интернет-провайдер не получают доступ к этой информации в процессе расшифровки её расшировки в браузере.
• Консольная утилита StatiCrypt доступна для скачивания на Github и в виде пакета NPM. А еще существует готовый шаблон для создания и хостинга одностраничного зашифрованного сайта на GitHub Pages.
• Страница шифруется с помощью AES-256 в режиме CBC, который в контексте StatiCrypt лишён характерных для него уязвимостей. Пароль хешируется с помощью функции PBKDF2: 599 тыс. операций хеширования SHA-256 и 1000 операций SHA-1 (для легаси). По сути, генерируется новая веб-страница (зашифрованная), которая вмещает содержимое старой.
• Утилита также умеет генерировать ссылку, которая уже содержит хешированный пароль, для доступа к странице без ввода пароля непосредственно в веб-форме браузера. Такую ссылку можно передавать доверенным лицам или использовать самому, а контент при этом хранится на сервере в зашифрованном виде, недоступном для просмотра ни хостером, ни третьим лицам.
➡️ https://github.com/robinmoisson/staticrypt
#Tools
• Знаете какой сегодня день? 27 сентября 1983 года, Ричард Столлман опубликовал первоначальное объявление о запуске проекта по созданию полностью свободной операционной системы GNU (GNU’s Not UNIX). С тех пор минуло ровно 42 года, проект GNU слился с Linux, а операционная система GNU/Linux победно шагает по планете, успешно развиваясь.
• Если развернуть спойлер ниже, то там вы найдете текст оригинального сообщения Ричарда Столлмана, в переводе на русский язык:
Свободу Unix!
Начиная с ближайшего Дня благодарения, я собираюсь написать полную совместимую с Unix программную систему под названием GNU, что значит «Gnu's Not Unix» (GNU — это не Unix), и выпустить её в свет свободной для каждого, кто может её использовать. Очень нужна помощь в виде рабочего времени, денег, программ и оборудования.
Для начала GNU будет представлять собой ядро плюс все утилиты, нужные для написания и запуска программ на Си: редактор, командный интерпретатор, компилятор Си, редактор связей, ассемблер и кое-что ещё. После этого мы добавим программу форматирования текста, YACC, игру «Империя», табличный процессор и сотни других вещей. Мы надеемся выдать — со временем — всё то полезное, что обычно поставляется с системой семейства Unix, и всё прочее полезное, включая документацию в электронном виде и на бумаге.
GNU сможет исполнять программы Unix, но не будет идентична Unix. Мы внесём все улучшения, какие только будут уместны, опираясь на наш опыт работы с другими операционными системами. В частности, мы планируем ввести более длинные имена файлов, номера версий файлов, устойчивую к сбоям файловую систему, поддержку терминально-независимых дисплеев, возможно, завершение имён файлов, а со временем — оконную систему на базе Лисп, в которой несколько программ на Лисп и обычных программ Unix могут разделять один экран. В качестве системных языков программирования будут доступны как Си, так и Лисп. У нас будут сетевые программы на основе chaosnet — протокола Массачусетского технологического института, значительно превосходящего протокол UUCP. Может быть, у нас будет также что-нибудь совместимое с UUCP.
Кто я такой?
Я — Ричард Столмен, изобретатель оригинального редактора EMACS, который много имитировали; я работаю в Лаборатории искусственного интеллекта в Массачусетском технологическом институте. У меня большой опыт работы над компиляторами, редакторами, отладчиками, командными интерпретаторами, Несовместимой системой разделения времени (НСРВ) и операционной системой на машине Лисп. Я впервые ввёл поддержку терминально-независимых дисплеев на НСРВ. Кроме того, я реализовал устойчивую к сбоям файловую систему и две оконных системы для машин Лисп.
Почему я должен писать GNU
Я принимаю во внимание, что золотое правило требует, что если мне нравится программа, я должен обмениваться ею с другими людьми, которым она нравится. Я не могу без стыда подписать лицензионное соглашение программы или договор о неразглашении.
Так что, чтобы я мог продолжать пользоваться компьютерами без нарушения своих принципов, я решил сложить вместе достаточную массу свободных программ, чтобы я мог обойтись без любой несвободной программы.
Чем вы можете помочь
Я призываю производителей компьютеров приносить в дар машины и деньги. Я призываю частных лиц приносить в дар программы и труд.
Отдельные программисты могут помочь, написав совместимую замену какой-нибудь из утилит Unix и передав её мне. Для большинства проектов такую распределённую работу по совместительству было бы очень трудно координировать; независимо написанные части не заработали бы вместе. Но конкретно для задачи замены Unix этой проблемы нет. Большинство спецификаций взаимодействия определяется совместимостью с Unix. Если каждый вклад будет работать с остальной Unix, он, вероятно, заработает с остальной GNU.
• Если честно, то я никогда не замечал тот факт, что у сервиса VirusTotal есть свой CLI инструмент. Можно и ссылочку проверить, и файл отсканировать, и информацию по хэш значению получить. Всё что вам необходимо для использования - это API ключик (он доступен абсолютно всем при регистрации). Вот тут более подробно:
➡️ https://virustotal.github.io/vt-cli/
#VT
👉 Прокачайтесь в этичном хакинге в Академии Кодебай!
Комбо из 3 курсов 🟧 большая выгода и зарплата от 250тыс.*!
🟧Основы Информационной безопасности — Junior в ИБ с нуля. Скидка 10% на первый поток
🟧Профессия Пентестер — фундамент пентестера: от уязвимостей до сканеров.
🟧Профессия DevSecOps-инженер — Docker, Kubernetes, Terraform, Ansible, Vault. Готовность к работе Junior DevSecOps. Скидка 10% на первый поток
🟧🟧🟧🟧 Мы подготовили PDF-гайд «Инструменты пентестера 2025» — в нём:
🟧 10+ утилит, которые реально используют в боевых лабораториях
🟧 команды, примеры, фишки и советы от практика
🟧 ввод в mindset пентестера: вы сразу поймёте, ваше это или нет
👉 Забрать гайд бесплатно
🟧🟧🟧 Запишитесь на все 3 курса — получите 20% скидку и максимум пользы от обучения! Акция действует на любые три курса из каталога Кодебай😎
🟧 Узнать подробнее
🚀 Написать в Telegram
*HeadHunter, 2025
Коллеги, сегодня подключили Артёма к системе алертов через фитнес-браслет, чтобы он оперативно реагировал на лаги в проде. Когда упала основная база — он вместе с ней упал в обморок в столовой от тахикардии. Теперь мы проводим A/B-тестирование: одна группа серверов мониторится через Grafana, вторая — через его артериальное давление. Пока лидирует вторая: 100% uptime и два спасённых инцидента ценой 35 капель корвалола. Если тренд приживется — внедряем ЭКГ на весь отдел.
Читать полностью…
• А потом я взял и поменял строчку в конфиге...
#Юмор