49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
🎉 16 лет назад появилась Windows 7.
• Сегодня свое день рождение отмечает Windows 7. Именно 22 октября 2009 года эта ОС появилась на свет и до сих пор считается одной из самых надежных версий Windows, которая работает на миллионах компьютеров до сих пор.
• Вероятно, что это самая удачная версия операционной системы от Microsoft, хотя сначала пользователи приняли систему скептически: еще были свежи воспоминания о вышедшей за два года не слишком удачной Windows Vista. Но вскоре стало понятно, что Windows 7 - это значительный шаг вперед: система оказалась быстрой, стабильной и поддерживала огромный арсенал современного оборудования. Несмотря на то, что с тех пор на свет появилось еще четыре поколения Windows, «семерку» до сих пор не торопятся списывать в утиль.
#Windows
• «Архив Интернета» отмечает архивацию 1 триллиона веб-страниц на Wayback Machine.
• Напомню, что Архив Интернета был основан в 1996 году, и для достижения такого результата потребовалось 29 лет. Цифра, мягко говоря, весьма впечатляющая...
➡️ https://blog.archive.org
#Разное
• Немного оффтопа: вот вам забавная история возникновения одного изображения, которое часто используют для оценки алгоритмов обработки картинок. Думаю, что будет интересно:
• 1973 год. Исследователь Александр Савчук из Университета Южной Калифорнии трудился над разработкой алгоритма сжатия изображений и для его тестирования нужна была отменная картинка, подходившая бы по нескольким параметрам. На носу была конференция, где исследователю нужно было выступить с научным докладом. Как правило стандартные изображения, используемые для тестов, были на редкость скучными и уже порядком надоели исследователям. На изображении должно было быть человеческое лицо. Человеческие черты лица позволяют увидеть на сжатых версиях картинки все детали работы алгоритма. Коллектив разработчиков алгоритма состоял сплошняком из мужчин, поэтому не удивительно, что выбор пал на журнал Playboy 1972 года, который кто-то принес в лабораторию.
• Думаю, что фотография девушки на первом фото многим знакома, а особенно тем кто сталкивался с цифровой обработкой изображений. Эту картинку часто используют для оценки алгоритмов обработки изображений. Так вот, взглянув на фотографию девушки месяца в журнале Playboy, исследователи оторвали верхнюю часть постера с лицом модели, чтобы его можно было обернуть вокруг барабана сканера «Мюрхэд» (фото 2).
• К слову, "Мюрхэд" был фототелеграфной машиной аналогово-цифровым преобразователем. После обработки на сканере изображение передавали на миникомпьютер Hewlett Packard 2100 (ну миникомпьютером это было тогда). Мюрхэд давал фиксированное разрешение 100 линий на дюйм. Инженеры хотели изображение 512х512, поэтому им пришлось подрезать картинку примерно на уровне плеч фотомодели. Файл был назван Lenna по имени шведской фотомодели Ленны Шьёблом. В ходе исследований Lenna зарекомендовала себя хорошим тестовым изображением, а полученные инженерами научные достижения даже легли в основу стандартов JPEG и MPEG, финансируемых Пентагоном в рамках проекта сети ARPANET.
• С течением времени этот кусок изображения все больше использовался для оценки алгоритмов обработки изображений и в ряде других исследований. Его же первым использовали при передаче в сети ARPANET.
• Модель на картинке Ленна Шьёблом долгое время даже не знала о своем статусе "первой леди интернета". Кстати такая популярность среди ученых едва не закончилась судом для них самих. Playboy был просто разгневан использованием изображения без их согласия, но когда ноябрьский выпуск журнала вдруг разошелся семимиллионным тиражом, то Playboy спустил все на тормозах, а Lenna стала иконой цифрового сообщества.
• Кстати, Lenna популярна и по сей день. Она включена в стандартную версию OpenCV, как тестовое изображение в каталогах C++ и Python. Такая вот история...
#Разное
• На хабре опубликовали полезный FAQ про Wi-Fi, который содержит ответы по всевозможным направлениям:
➡Скорость и стабильность;
➡Частоты, каналы, помехи;
➡Безопасность и шифрование;
➡Устройства и операционки;
➡Продвинутые темы и терминология;
➡Дополнения предложенные читателями...
• Автор уже 20 лет занимается беспроводными технологиями и начал вести данный список еще в самом начале своей карьеры. Так что добавляйте в избранное и изучайте, материал крайне полезный:
➡ Читать статью [20 min].
• Дополнительно:
➡Анализ безопасности Wi-Fi: подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3 (какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации).
➡Пентест Wi-Fi: полезный чек-лист, который содержит актуальные советы и хитрости на тему пентеста Wi-Fi сетей.
➡Инструменты для пентеста Wi-Fi: продолжение поста выше, статья включает в себя максимально полный список инструментов для анализа защищенности Wi-Fi.
➡MindMap WiFi Hacking: самая объемная и актуальная MindMap по анализу защищенности Wi-Fi на сегодняшний день.
➡Useful Wireless Links: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое.
#WiFi
• Вот так выглядит сеть SIM-ферм, которая содержала в себе 1200 SIM-боксов с 40 000 SIM-карт. Эту ферму накрыл Европол в рамках операции SIMCARTEL.
• По данным властей, мошеннический сервис предлагал телефонные номера, зарегистрированные на физических лиц в более чем 80 странах. Сервис использовался для создания более 49 млн. мошеннических учетных записей, и его уже удалось связать с 1700 случаями мошенничества в Австрии и 1500 — в Латвии.
• Всячески осуждаю, но выглядит красиво...
➡ Операция SIMCARTEL.
➡ Источник.
#Разное
ИТ-инфраструктура 10+ крупнейших российских компаний пострадала от атак за первое полугодие 2025 года
Сбои затронули транспорт, ритейл, медицину и другие отрасли, а убытки компаний оценивают в десятки миллионов.
Чтобы защитить бизнес от ИТ-угроз и финансовых потерь, сегодня недостаточно базовых решений по информационной безопасности. Важно комплексно обследовать всю ИТ-инфраструктуру, чтобы подготовить ее к атакам и быстрому восстановлению.
Специально для ИТ-руководителей крупных компаний эксперты К2Тех подготовили руководство с полным списком мер по защите ИТ-инфраструктуры.
Системный подход из гайда позволяет:
— Понять все возможные меры защиты и заранее устранить слабые места инфраструктуры
— На 99% подготовиться к разным видам атак
— Избежать паники при аварии, быстро восстановиться и точно расследовать, что произошло
— Избежать миллионных убытков, сохранив работоспособность критичных систем
— Превратить защиту инфраструктуры в прозрачную систему
Скачивайте руководство бесплатно
К2Тех уже помогли 500+ компаниям оценить готовность к киберрискам и усилить защиту. Они протестировали в лаборатории 230+ продуктов от 120+ вендоров и знают, какие тонкости каждого решения влияют на безопасность в реальных условиях.
• Пока все обсуждают фейковую новость об утечке данных "самого безопасного мессенджера в мире", официальный сайт дистрибутива Xubuntu был взломан. Хакеры поменяли ссылки на странице загрузки дистрибутива, при переходе по которым скачивался архив с малварью, замаскированную под инсталлятор Xubuntu. Проверка указанного файла в сервисе VirusTotal показывает наличие вредоносного ПО.
• Если жертва запустит данный файл, то откроется фиктивный интерфейс, включающий выбор версии дистрибутива для загрузки, а также кнопку Generate Download Link. При нажатии на кнопку в каталог AppData Roaming сохраняется файл elzvcf.exe и в реестре Windows настраивается его выполнение при запуске системы. По предварительной информации вредоносное ПО анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin и т.д. на кошельки злоумышленников.
• Разработчики Xubuntu пока не прокомментировали ситуацию, но несколько часов назад удалили вредоносный архив и заблокировали доступ к разделу xubuntu.org/download/, организовав перенаправление на главную страницу сайта.
➡️ https://lists.ubuntu.com/archives/xubuntu
#Новости
• Пост выходного дня: На этом видео можно наблюдать Nokia 6100 и сьемный модуль для съемки фото Nokia HS-1C. Это было чудное время, когда произошло зарождение мобильной фотографии.
➡️ https://mobile-review.com/review/nokia-hsc1.shtml
#Разное
😵💫 Загадочная скульптура во дворе ЦРУ, текст на которой смогли расшифровать только спустя 35 лет.
• Приятно создать скульптуру, которой будут не только любоваться, но и над которой будут ломать голову. Видимо, эта мысль пришла к американскому скульптору Джиму Сэнборну сразу после того, как он получил заказ на создание скульптуры в штаб-квартире ЦРУ в Лэнгли, что в штате Вирджиния.
• Скульптура под названием «Криптос» была установлена во дворе ЦРУ 3 ноября 1990 года и представляет собой монумент из окаменелого дерева, белого кварца, железобетона и меди, и больше всего напоминает часть свитка с текстом. Только вот текст, мягко говоря, не читабельный...
• Дело в том, что в стремлении сделать для самого загадочного отделения правительства США, самый загадочный памятник из возможных, Сэнборн, обратился к бывшему главному криптологу ЦРУ Эду Шейдту.
• Вместе они создали четыре зашифрованных текста для четырех частей «Криптоса», составив их из букв латинского алфавита и вопросительных знаков.
• Первые три части текста - плиты К1, К2 и КЗ - были расшифрованы в первые 7 лет после установки памятника. А вот четвертая плита К4 была расшифрована в сентябре этого года, спустя 35 долгих лет...
• Каждая из частей «Криптоса» выполнена в разной шифровальной технике. Так, в тексте К1 используется модифицированный шифр Виженера, то есть простая форма многоалфавитной замены.
• Текст на плите K2 тоже относится к разновидности шифра Виженера, но автор усложнил его, вставив символ Х между предложениями. В шифровании текста на КЗ был использован математический метод транспозиции, плюс усложняло дело фальшивое слово DESPARATLY.
• После многих лет безуспешных попыток энтузиастов расшифровать K4, Санборн готовился выставить решение на аукцион, где оно, как ожидалось, могло бы принести от 300 000 до 500 000 баксов. Однако 3 сентября он получил электронное письмо от журналистов Джаретта Кобека и Ричарда Бирна, содержащее полный расшифрованный текст.
• Кобек и Бирн нашли решение после того, как заметили в списке аукциона, что «таблицы кодирования» Санборна находятся в коллекции Смитсоновского института. Бирн сфотографировал документы, а Кобек позже понял, что среди них были склеенные между собой обрывки, которые раскрывали исходный открытый текст K4.
• Санборн подтвердил подлинность решения, объяснив, что он по ошибке включил эти обрывки в архивы при составлении документов несколько лет назад. После этого открытия он попросил Смитсоновский институт запечатать файлы на следующие 50 лет, и тот согласился.
• В ответ на эту новость компания RR Auction, занимающаяся продажей, предупредила Кобека и Бирна о недопустимости публикации текста, пригрозив судебным иском за вмешательство и нарушение авторских прав.
• В заявлении RR Auction отмечается, что даже если текст K4 в конечном итоге станет общедоступным, только победитель аукциона получит доступ к полному объяснению Санборна о связи между K4 и ранее упоминавшимся пятым отрывком, а также о замысле, лежащем в основе полного сообщения «Криптос».
• Как бы ни закончилась эта сага, люди, скорее всего, и дальше будут увлекаться загадкой «Криптос». Для произведения искусства, если вы можете привлечь чьё-то внимание на 10 минут, это уже неплохо. У Санборна получилось произведение искусства, которое привлекает внимание людей уже 35 лет...
➡ https://www.scientificamerican.com/kryptos
#Новости #Криптография
ИТ-образование должно фокусироваться на отечественных решениях
Российские ИТ-специалисты завтрашнего дня, которые пока еще учатся в вузах, будут знать отечественные решения лучше, чем западные, считает Маргарита Зайцева, директор Академии UserGate. Эксперт назвала образовательные тренды, которые усилились в последние годы и будут развиваться.
Разделение ИБ специализаций углубляется: помимо классических ИТ-ролей, появились отдельные направления — SOC, комплаенс, аналитика. Компании ощущают острую нехватку именно узкопрофильных кадров.
Уход западных вендоров обострил разрыв между теорией и практикой — целые модули, построенные на зарубежных продуктах, устарели, и их место должны занять новые блоки, актуальные для российского рынка.
Вузы и колледжи начинают включать в программы отечественные решения, но для этого требуется методическая и техническая поддержка, а также квалификация преподавателей.
Серьезный вызов — недостаточный охват младших курсов: подготовка часто начинается слишком поздно. В результате студенты сталкиваются с ИБ решениями только к выпуску. Практика, стажировки, сертификация — все это должно стать обязательной частью подготовки. В этом могут помочь ведущие российские ИТ-компании через деятельное сотрудничество с вузами.
• Реклама компьютеров в 70-х годах. Всего лишь 6000 баксов и новенький ПК с жестким диском на 10 мб. полностью ваш...
• Кстати, $6000 - это примерно $50.000 на сегодняшний день. А вы говорите, что видеокарты дорогие...
#Разное
• 20 лет назад компания Sony BMG, занимающаяся распространением звукозаписывающих лейблов, оказалась в центре огромного скандала мирового масштаба. Компания решила снабдить свои диски не только музыкой, но и парочкой программ защиты от несанкционированного копирования. Но всё пошло по одному месту... это ПО, в последствии, принесло немало проблем как простым пользователям ПК, так и самой компании Sony BMG.
• Более 22 миллионов дисков, выпущенных в продажу Sony BMG, содержали в себе две программы: Extended Copy Protection (XCP) и MediaMax CD-3. А теперь подробнее о каждой:
• XCP: 31 октября 2005 года Марк Руссинович, сотрудник компании Microsoft, написал в своем блоге о необычном открытии, которое он сделал, вставив купленным им диск от Sony BMG в компьютер. Этим открытием был XCP. Марк, как и многих других, возмутил тот факт, что в лицензионном соглашении о данном ПО не было ни слова. Ну т.е. программа устанавливалась без ведома пользователя и всячески скрывала свое существование, что характеризует ее как руткит.
• С точки зрения правообладателей данное ПО было сделано с благими намерениями, но в то же время XCP создавал очень много проблем и уязвимостей:
➡XCP создавал дыры в безопасности, которые могли быть использованы (и были, по факту) другими вредоносными программами;
➡XCP работал в фоновом режиме постоянно, потребляя большую часть ресурсов системы, замедляя работу ПК;
➡Для запуска и отключения XCP использовал небезопасные процедуры, вызывающие падение системы;
➡У XCP не было деинсталлятора, а большинство попыток его удалить приводили к тому, что ОС не распознавала существующие драйвера.
• После заявления Руссиновича, многие злоумышленники воспользовались дырами в безопасности, созданными XCP, для распространения вирусов и червей.
• MediaMax CD-3: скандальной особенностью этого ПО была установка несмотря на лицензионное соглашение. То есть, перед фактическим использованием диска пользователь должен был согласится с пунктами лицензионного соглашения. Если отказаться, закрыть окно или даже «убить» процесс, то MediaMax все равно устанавливался на компьютер.
• Новость о вредоносном ПО на дисках от Sony BMG распространилась со скоростью звука. В итоге, компания была вынуждена объявить о возврате копий, которые неуспели продать. Однако несмотря на данное заявления, во многих городах продажа зараженных дисков велась и дальше.
• 21 ноября 2005 года генеральный прокурор штата Техас подал иск на компанию Sony BMG. Техас стал первым (но не последним) штатом, который решил засудить Sony BMG. Основной мыслью обвинения было то, что компания тайно установила на ПК пользователей вредное ПО, которое нарушало работу системы и бело к возникновению проблем с безопасностью. Естественно Sony BMG проиграла в суде и должна была выплаты 750 000 долларов судебных издержек, по 150 долларов за каждый поврежденный ПК, разместить подробное описание вредоносного ОП на своем сайте и указать о его существовании в своей рекламе в Google, Yahoo! и MSN.
• Далее последовало множество исков от пострадавших. Столь сильный общественный резонанс, финансовые потери и судебные разбирательства все же подтолкнули Sony BMG принять решение — более не использовать подобное ПО на своих дисках. Такая вот история...
#Разное
Какая уязвимость опаснее: та, что осталась незамеченной, или та, что неправильно закрыта?
Сегодня любой CISO и AppSec-инженер знает: безопасность приложений — это не абстракция, а реальные риски, простои и финансовые потери.
На открытом уроке мы разберём:
- типы уязвимостей и причины их появления;
- как встроить превентивные меры в процесс разработки;
- практики реагирования и закрытия уязвимостей, чтобы не тратить недели на последствия.
Урок будет полезен CISO, руководителям ИБ, тимлидам разработки и инженерам AppSec.
После занятия вы будете понимать, как минимизировать риски и выстраивать систему реагирования. Открытый урок пройдёт 22 октября в 20:00 МСК в преддверии старта курса «CISO / Директор по информационной безопасности».
Все участники получат скидку на обучение. Регистрация открыта: https://otus.pw/X8ysf/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👩💻 Kubernetes Security Guide.
• С ростом популярности Kubernetes все больше компаний стремятся использовать его для облегчения управления контейнеризованными приложениями. Вместе с этой тенденцией наблюдается рост числа неправильно сконфигурированных кластеров, что создает большие риски в части обеспечения безопасности.
• В этом руководстве вы найдете информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры. Содержание следующее:
• Prerequisites;
• Test Environment – your own cluster in minutes using a ready-made script;
• Kubernetes Architecture;
• STRIDE for Kubernetes;
• Node Security – Start with the Basics:
➡Attack Surface;
➡Identifying Vulnerabilities;
➡Reducing the Attack Surface (Firewall);
➡Looking Inside – Whitebox Audit.
• Cluster Components Security:
➡Update of key components;
➡Anonymous Access;
➡Users, Authentication and Authorization;
➡Emergency Access (Break-Glass);
➡Verification of Granted Access;
➡Authorization;
➡Authorization – Automating the Permission Verification Process;
➡Other Authentication and Authorization Methods (static tokens, Node, ABAC, and Webhook);
➡etcd Security;
➡Secrets;
➡Namespaces;
➡Network Policies;
➡Metrics API and Avoiding Shortcuts;
➡Automated Tools.
• Security of Images, Containers, and Pods:
➡Minimal Images – The Fewer Dependencies, the Better;
➡Specifying a Specific Image Version;
➡Vulnerability Scanners;
➡Learning About Admission Controllers – Automating the Vulnerability Scanning Process;
➡Own Registry;
➡OPA Gatekeeper - Registry Under Control;
➡Security Context - Additional Hardening;
➡AppArmor;
➡Other Capabilities;
➡Pod Security Standards;
➡gVisor;
➡Resource Quotas;
➡Auditing;
➡Falco - Detection and Analysis of Suspicious Activities.
• Debugging - Essentials for Troubleshooting;
• Additional Resources.
#DevOps #Kubernetes
• Сегодня, 14 октября 2025 года, Microsoft официально прекратила поддержку всех редакций Windows 10 (Home, Pro, Enterprise и Education), кроме LTSC. Также в этот день заканчивается поддержка MS Office 2016 и MS Office 2019 на всех операционных системах.
• Microsoft Windows 10 вышла 29 июля 2015 года. Дата окончания поддержки Windows 10 стала известна ещё в июне 2021 года. Последней версией Windows 10 стала версия 22H2, выпущенная в сентябре 2022 года.
• Ушла эпоха... 🫡
#Windows #Разное
• Нашел весьма интересный проект, который называется "SmolBSD". Представляет из себя инструментарий для формирования микро-сборок на базе NetBSD, которые включают только минимально необходимые для определённого приложения компоненты и могут загружаться менее чем за секунду.
• SmolBSD может применяться для создания урезанных виртуализированных окружений для изолированного запуска отдельных сервисов. Причем вы сами решаете, какие компоненты и сервисы нужно включить в образ. Размер создаваемого базового окружения около 10 МБ. Еще доступна простая веб-панель из которой можно выполнить запуск собранных машин. Код проекта распространяется под лицензией BSD.
➡️ Сайт.
➡️ Github.
#SmolBSD #NetBSD
В условиях ужесточающегося контроля за исполнением 152-ФЗ утечки и контроль над обращениями к данным остаются одними из самых острых проблем для бизнеса.
Чтобы снизить эти риски, компании используют DLP: сегодня на него полагаются 64% организаций. Однако одного инструмента уже недостаточно: 69% компаний комбинируют несколько решений, что усложняет интеграции, повышает нагрузку на команды и снижает прозрачность защиты.
Чтобы понять, как компании справляются с этими вызовами, К2 Кибербезопасность и Positive Technologies провели более 100 интервью в Enterprise-сегменте и подготовили исследование о Data Security Platform (DSP) — новом подходе к защите данных.
В исследовании:
🔹 В каких случаях привычных инструментов становится недостаточно
🔹 Почему большинство компаний ставят мониторинг обращений в приоритет
🔹 Как DSP объединяет контроль, шифрование и инвентаризацию
🔹 Какие функции DSP будут востребованы в ближайшие годы.
Получить полный текст исследования можно по ссылке😉
• Автор книги "Сети глазами хакера" выкатил объемное исследование о безопасности протокола Kerberos. Обнаружение атак на основе анализа сетевого трафика:
➡️ https://caster0x00.com/parallax/
• Дополнительно:
➡Kerberos простыми (нет) словами - очень объемная и содержательная статья про работу Kerberos.
➡Kerberos для пентестеров - это целый цикл статей, где автор попытался разобрать, как в теории устроен протокол Kerberos и какие атаки с его использованием можно осуществить на практике в Active Directory. Также будут приведены некоторые рекомендации по противодействию рассматриваемым атакам.
#Kerberos #Security
🎉 С Днем Рождения, Ubuntu.
• 20 октября 2004 года - день, полностью перевернувший представление человечества об операционных системах семейства #Linux. Ровно 21 год назад никому не известная компания Canonical представила миру основанный на Debian дистрибутив GNU/Linux, получивший название Ubuntu, что в переводе с языка зулу означает «человечность».
• Сегодня этот дистрибутив лидирует по популярности среди других реализаций Linux не только на настольных ПК и ноутбуках, составляя уверенную конкуренцию #Windows, но и занимает первое место в списке самых популярных ОС для веб-серверов.
• Официальный символ Ubuntu называется «круг друзей», и представляет собой стилизованное изображение трех человек, взявшихся за руки. Он символизирует надежность, свободу и сотрудничество, и демонстрирует сообщество, члены которого поддерживают друг друга. К слову, на обложке бесплатного компакт-диска с самой первой версией Ubuntu была размещена фотография взявшихся за руки людей (на фото) — видимо, чтобы прояснить для пользователей идею логотипа системы.
• И вот еще несколько забавных фактов: новые версии этой ОС выходят раз в полгода, причем помимо номерного обозначения они имеют и кодовое название. Эти имена берутся не с потолка: название каждой версии Ubuntu состоит из двух слов, причем первое – это прилагательное, а второе — вымирающий вид животных или мифический персонаж. Причем первые буквы этих двух слов всегда одинаковы — например, Gutsy Gibbon (Героический гиббон) или Oneiric Ocelot (Мечтательный оцелот). Тема обоев Рабочего стола также соответствует мотивам животного или персонажа, выбранного для кодового имени текущей версии Ubuntu.
• Основатель Canonical, уроженец южноафриканского города Велком Марк Шаттлворт не был бы успешным бизнесменом и мультимиллионером, если бы не придумал для Ubuntu по-своему уникальную схему монетизации. Несмотря на то, что эта ОС распространяется бесплатно и имеет открытый исходный код, Canonical - коммерчески-успешная компания: в прошлом году ее выручка составила 291 миллион долларов. Прежде всего, фирма зарабатывает на платной технической поддержке коммерческих пользователей системы. Срок жизни LTS-версий Ubuntu довольно короткий: он составляет всего 5 лет, после чего система перестает обновляться. В то же время для многих компаний, построивших свою инфраструктуру на дистрибутиве от Canonical, переход на новую версию ОС влечет значительные затраты, а для критически важных элементов IT-инфраструктуры апгрейд может быть и вовсе невозможен без неоправданных рисков. Вот для таких компаний, которых устраивает старая версия Ubuntu, и которые хотели бы продлить ее жизненный цикл, существует специальная программа продления обслуживания Extended Security Maintenance, в рамках которой пользователи могут получать критические обновления безопасности для старых версий систем. Программа, разумеется, платная, и она является одним из основных источников дохода Canonical.
#Разное #Ubuntu
• Напоминание о том, что ИТ специалистам, которые работают во фрилансе, нужно быть предельно внимательными и бдительными!
• Это очередная история от одного разработчика - Дэвида Додда, которого чуть не взломали на фейковом собеседовании по программированию. А началось все с приглашения на работу от «блокчейн-компании» в соцсетях. После договоренности о собеседовании Дэвиду был направлен документ с информацией о проекте и кодом для поиска и исправления ошибок.
• Дэвид отмечает, что в случаях, когда ему предлагают участие в фриланс-проектах с предоставлением уже готового кода, он сначала загружает этот код в Docker-контейнер и запускает в песочнице. Но в этот раз ему было лень, а до собеседования оставалось всего несколько часов, поэтому он не стал заморачиваться.
• Перед тем, как запустить код, Дэвид попросил нейросеть проверить, нет ли в нём чего-нибудь подозрительного - например, кода для чтения файлов, которые не следует читать, доступа к криптокошелькам и т.д. И, о чудо, агент обнаружил обфусцированный код (скриншот №2). Если его декодировать, то получится URL-адрес, который содержит малварь с функционалом предоставления доступа к данным жертвы (полные привилегии Node.js, доступ к переменным окружения, подключениям к базам данных, файловым системам, криптокошелькам и т.д.).
• Вот таким образом фактор срочности играет на руку злоумышленникам. Если добавить сюда лень и невнимательность, то можно прощаться с данными. Так что всегда сканируйте файлы через VT, проверяйте ссылки, используйте различные инструменты и песочницы.
➡ https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview
#Разное #ИБ
• Пост выходного дня и немного оффтопа: разработчики, которые ранее выкатили web-порт игры Герои Меча и Магии III, представили проект браузерной версии мультиплеера культовой игры Doom!
• Особенности:
➡Самый настоящий мультиплеерный первый Doom под DOS в ваших браузерах;
➡3 эпизода для кооперативного прохождения;
➡26 арен для режима Deathmatch;
➡Возможность создать собственный сервер.
• Думаю, что олды вспомнят и оценят! Хороших выходных ❤
➡ https://dos.zone/
• P.S. в начале сентября в DosZone Team выпустили проект браузерной версии классического Quake III Arena. Культовая игра, во многом определившая развитие жанра сетевых соревновательных баталий, теперь доступна практически на любом устройстве в браузере. Она также доступна по ссылке выше.
#оффтоп
🇨🇳 Китайская пишущая машинка.
• Как известно, китайская письменность представляет собой иероглифическую систему записи, где каждый знак соответствует не только звуку, но и морфеме, слову или понятию. А сам иероглиф является комбинацией из нескольких более простых.
• В 1871 году мировая телеграфная сеть достигла Поднебесной: первые линии соединили Шанхай с Гонконгом и Нагасаки. Ёмкости азбуки Морзе было недостаточно, и иностранные специалисты создали дополнительные кодовые книги на 10000 записей: 6800 для распространённых иероглифов, а оставшиеся 3000 оставили для собственных сокращений между операторами.
• Такое "сквозное шифрование" сильно усложняло работу: поиск по огромному фолианту занимал много времени, телеграммы выходили длиннее. К тому же сообщения на китайском языке считались зашифрованными, поэтому оплата шла по более дорогим тарифам.
• Ещё одной серьёзной проблемой было слабое распространение книг и газет. Пишущая машинка позволяла создавать тексты быстро и удобно, их было проще тиражировать. Кроме этого, она стала для своего времени символом прогресса и глобализации. Однако Китай оказался не по зубам европейским и американским инженерам, поэтому ведущие производители объявили о невозможности создания пишущей машинки под иероглифическое письмо.
• Спустя 17 лет, в 1888 году, благодаря Девелло Шеффилду мир увидел первый вариант пишущей машинки, работающий с китайскими иероглифами! Шеффилд провёл частотный анализ и пришёл к выводу, что для работы необходимо от 4 до 6 тысяч знаков. В итоге он взял 4662 иероглифа и расположил их на диске (фото №1 выше), разделённом на 30 концентрических кругов и 4 сектора. В первых трёх символы были разделены по частоте их использования: 726, 1386, 2550, а в последнем секторе дублировались 162 знака, необходимые в миссионерской работе. Пишущая машинка Шеффилда обсуждалась в американских СМИ, но она так и осталась в единичном экземпляре и о ней быстро забыли.
• В 1909 году в США на контрибуцию запустили образовательную программу для китайских студентов. Одним из этих студентов был Джоу Хокун. К проблеме модернизации китайского языка он подошёл с технической стороны и решил во что бы то ни стало создать китайскую пишущую машинку.
• Прототип был создан к маю 1914 года, а спустя 2 года Джоу возвращается в Китай, успешно презентует своё изобретение и заключает договор с шанхайской компанией Commercial Press. Но производство всё равно откладывается, так как пишущая машинка Джоу имела серьёзный недостаток: для полноценной деятельности 3000 символов оказывается слишком мало, а цилиндрическая матрица не позволяла увеличить их количество. В 1918 году Commercial Press разрывает отношения с Джоу, и за разработку китайской пишущей машинки берётся другой инженер, Шу Чангун. В 1919 году он получает патент.
• Важным изменением стал лоток, заменивший цилиндр: литеры в нём не были закреплены, что позволяло менять их местами, создавать свои наборы. Дополнительно к 2500 иероглифам, в комплекте шло 5700 сменных литер, которые располагались в нижнем ящике. Лоток был разделён на три зоны: центральную для самых распространённых, и две боковые зоны для редких иероглифов.
• Всего с 1917 по 1934 год Commercial Press продало порядка 2000 устройств (фото №2), благодаря чем начала развиваться новая индустрия: стали открываться курсы обучения печати. Профессия машинистки была такой же престижной, как художника, спортсмена или ученого.
#Разное
• Хорошая статья была опубликована на хабре, автор которой продемонстрировал самый простой способ взлома подарочных сертификатов одного магазина одежды. С помощью скрипта, который был написал на Python, можно было просканировать все выпущенные и не активированные подарочные карты. По итогу, за 10 минут времени, автору удалось получить купонов на 177 тыс. рублей.
• Данная информация была направлена магазину для дальнейшего устранения уязвимости, за что автор получил денежное вознаграждение теплые слова благодарности...
➡️ https://habr.com/ru/articles/956174/
#Security #Web
• 5 дней назад на YT были опубликованы выступления и доклады участников DEF CON 33 - крупнейшей хакерской конференции в мире. О некоторых исследованиях, которые были представлены на конференции, я уже рассказывал в канале, но теперь появилась возможность посмотреть все выступления и провести этот вечер (а может даже и не один) с пользой!
➡️ https://www.youtube.com/playlist/DEFCON
#Конференция #DEFCON
• В Румынии раскрыт киберинцидент - заключённый, ранее осуждённый за киберпреступления, взломал тюремную IT-систему и изменил сроки заключения для себя и ещё 14 человек.
• История началась в июле 2025 года, когда заключённого временно перевели в тюремную больницу, где он получил доступ к учётным данным сотрудника тюрьмы с правами администратора системы ANP (система Национального управления пенитенциарных учреждений Румынии). Этого оказалось достаточно, чтобы организовать дальнейший взлом.
• Вернувшись в обратно в тюрьму, заключённый воспользовался физическим доступом к инфокиоскам, которые были подключены к внутренней сети и снабжены клавиатурами. Используя учётные данные администратора, хакер проник в IMSweb - внутреннюю платформу управления информацией о заключённых. Там он, а позже и другие заключённые, провели более 300 часов активности в течение трёх месяцев.
• Среди задокументированных действий: изменение сроков заключения путём подстановки «заработанных дней», перевод денежных средств между тюремными счетами и даже редактирование условий содержания.
• Аномалии стали заметны лишь спустя 3 месяца, когда сотрудник финансового отдела обнаружил расхождения между покупками заключённых и состоянием их счетов. Вскоре выяснилось, что один из осуждённых совершил онлайн-покупки на сумму почти 600 баксов, используя виртуальные средства, полученные обманным путём.
• По результатам проверки выяснилось, что 15 заключённых получили прямую выгоду от хакерского вмешательства. Более того, злоумышленники получили доступ к изображениям с камер, внутренней документации и даже имели план клонирования всей IT-системы для дальнейшей продажи на чёрном рынке...
➡️ https://dinpolitica.ro/
#Новости
• Очень объемная и актуальная диаграмма, в которой представлены различные аспекты безопасности Kubernetes в визуальном формате. В хорошем качестве можно изучить по ссылке ниже:
➡ https://kubesec-diagram.github.io
• Дополнительно: напомню, что вчера я опубликовал очень полезное руководство, где можно найти информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры.
#Kubernetes
• Произошла классика: служба поддержки PlayStation Network (PSN) передала злоумышленнику доступ к учетной записи одного из пользователей.
• Такая ситуация случилась с dav1d_123, который заработал значительное количество ачивок в PSN. Злоумышленники берут во внимание такие аккаунты, так как их можно продать по хорошей цене в даркнете.
• dav1d_123 потерял доступ к своей учётной записи PSN 7 октября 2025 года. Кстати, наличие 2FA не помогло предотвратить взлом. После чего dav1d_123 обратился к своему другу GGmuksInc, который написал на украденный аккаунт. Спустя некоторое время они получили ответ от злоумышленника, который объяснил, что убедил службу поддержки предоставить доступ к аккаунту только по имени пользователя.
• По мнению злоумышленника, сотрудники поддержки PSN работают в странах с низким уровнем жизни за минимальную зарплату. Кроме того, они не проходят должное обучение по информационной безопасности.
• Службу поддержки Sony также обвиняют во взяточничестве и продаже аккаунтов PSN. Геймеры вновь призвали Sony отреагировать на эти обвинения. Критики отмечают, что компания неоднократно проявляла недостаточную прозрачность при ответах на предыдущие утечки данных.
• Какой сервис, такая и безопасность...
➡ https://www.notebookcheck.net/PSN-security
#Новости #Разное
• Исследователи из четырёх американских университетов опубликовали исследование, в котором описали технику атаки Pixnapping (CVE-2025-48561), позволяющую определить информацию выводимую на экран различными приложениями, включая Google Authenticator, Gmail, Signal, Venmo и Google Maps.
• Для определения содержимого экрана задействован метод попиксельного анализа, реализованный в 2023 году той же командой исследователей в атаке по сторонним каналам GPU.zip и впервые описанный ещё в 2013 году. Суть метода в том, что из-за присутствующих в GPU оптимизаций, отрисовка пикселя с цветом, повторяющим уже выведенный на экран цвет, выполняется быстрее, чем пикселя с иным цветом. Оценивая разницу во времени при отрисовке пикселей можно воссоздать уже имеющееся на экране содержимое и сформировать подобие скриншота.
• Атака Pixnapping сводится к вызову целевого приложения, выводу поверх него своего окна и попиксельному перебору содержимого с анализом времени выполнения графических операций над каждым пикселем. Подобный перебор позволяет с высокой вероятностью определить, какие пиксели имеют белый цвет фона, а какие участвуют в отображении символов. Для скрытия манипуляций с пикселями от пользователя производится наложение слоёв с масками - во время атаки визуально на экране продолжает показываться содержимое окна приложения, из которого производится атака.
• Метод был опробован на смартфонах Pixel 6, 7, 8 и 9 с версиям Android 13-16 для определения ста шестизначных кодов двухфакторной аутентификации, сгенерированных в Google Authenticator. Точность определения кодов на отмеченных смартфонах составила 73%, 53%, 29% и 53%, а время определения - 14.3, 25.8, 24.9 и 25.3 секунд, соответственно.
• Компания Google в сентябрьских патчах уязвимостей добавила в Android начальную защиту от атаки, основанную на запрете применения операции размытия к большому числу слоёв. В ответ исследователи нашли возможность обойти данное ограничение, поэтому Google планирует реализовать более полную защиту в декабрьском обновлении Android.
➡️ Исследование.
➡️ Источник.
#Исследование #Android
• Принес вам очень объемную шпаргалку по инструментам направления DevOps. Вся информация представлена на русском языке и есть возможность скачать заметку в формате книги для дальнейшего изучения. Однозначно в избранное:
➡ https://github.com/Lifailon/DevOps.md
#DevOps #CheatSheet