49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Уровень: в топ-50 главных контрибьюторов PostgreSQL попал Андрей Бородин, руководитель разработки СУБД в Yandex Cloud. Такой статус был получен за стабильный вклад на протяжении почти 10 лет в развитие сообщества и кодовой базы PostgreSQL. Причем Андрей закоммитил первый патч в PostgreSQL в версию 9.7 еще в далеком 2016 году и уже 4 раза он входил в годовой топ-50 контрибьюторов PostgreSQL по количеству строк кода, принятого в проект.
• Кстати, на данный момент PostgreSQL - это самая популярная опенсорсная СУБД в мире, которая активно используется в различных ИИ-решениях, включая ChatGPT, благодаря встроенному векторному поиску. Так что поздравляем Андрея с попадаем в топ-50, а его команде желаем не останавливаться на достигнутом.
➡ https://www.postgresql.org/postgresql-contributors-2025
#Новости #PostgreSQL
• Нашел интересный проект, который позволяет осуществить быструю и надежную передачу файлов между любыми устройствами.
• Инструмент называется AltSendme - имеет открытый исходный код, peer-to-peer шифрование, кроссплатформенность и работает без регистрации и SMS.
➡️ Более детальное описание проекта есть на github.
#Tools
• BI.ZONE опубликовали очень объемный чек-лист по защите инфраструктуры от шифровальщиков. В материале описаны фазы успешной атаки, в рамках которых злоумышленники эксплуатируют ошибки в защите, а также рассматриваются последствия таких ошибок. Рекомендую к прочтению. Содержание следующее:
• Матрица рисков;
• Ошибки, открывающие доступ в инфраструктуру:
➡Неконтролируемый периметр;
➡Отсутствие фильтрации в почте;
➡Отсутствие 2FA при подключении к VPN;
➡Риски при работе с партнерами (trusted relationship).
• Ошибки, позволяющие атакующим продвигаться по сети:
➡Плоская сеть;
➡Отсутствие AV-/EDR-решений или неполное покрытие инфраструктуры;
➡Невыстроенный процесс реагирования на инциденты;
➡Невыстроенный процесс управления уязвимостями и мисконфигурациями;
➡Отсутствие контроля привилегированных пользователей;
➡Злоупотребление легитимным ПО (RAT/PsExec).
• Ошибки, приводящие к ущербу:
➡Свободный доступ к критическим системам управления.
• Ошибки, блокирующие быстрое восстановление:
➡Уязвимости резервных копий;
➡Отсутствие корректного логирования;
➡Отсутствие плана аварийного восстановления (DRP).
• Заключение.
➡️ https://bi.zone/expertise/blog/ultimativnyy-gayd
#Исследование #Security
Управляем проектами и доступами на выделенных серверах через Terraform
Если вы хотите автоматизировать управление IT-инфраструктурой и сократить время на ее развертывание, вы точно придете к использованию Terraform. Через него можно поднять сервер нужной конфигурации, прописать нужные требования безопасности и внешние доступы.
И, кстати, через Terraform вы можете управлять не только облачными ресурсами. В Selectel эта фича теперь доступна и для «железной» инфраструктуры на базе выделенных серверов. Вы получаете изолированность железа с гибким «облачным» управлением.
Единый Terraform-провайдер позволяет настроить гибридную инфраструктуру в Selectel. Добавляйте облачные серверы, подключайте сетевые диски, объединяйте и комбинируйте ресурсы между собой — все с помощью одного инструмента.
Попробовать Terraform в Selectel можно бесплатно — ловите 3 000 бонусов на тест. Для этого зарегистрируйтесь в панели, напишите в тикете кодовое слово «TERRAFORM» и ждите одобрения заявки.
Реклама. АО "Селектел". erid:2W5zFJekk6k
• Сегодня исполняется ровно 21 год с момента выхода первой версии Firefox. Исторический релиз Firefox 1.0 состоялся 9 ноября 2004 года. В то время "Огненная Лиса" быстро завоевала популярность благодаря инновационным решениям (минимализм, вкладки, дополнения и так далее) и открытости кода. За 21 лет браузер прошел путь от новичка до одного из лидеров и поборолся с серьезнейшими конкурентами. Сейчас у Firefox уже нет былой доли рынка, но браузер продолжает развиваться и акцентируется на конфиденциальности и безопасности.
• А началось всё с противостояния монополии Microsoft, Netscape в 1998 году решил открыть исходный код своего браузера и запустил проект Mozilla. Это название произошло от слияния слов Mosaic (в честь браузера Mosaic, который был предшественником Netscape) и Godzilla, что символизировало борьбу с конкурентами. Уже в первый год сообщество активно подключилось к работе: разработчики со всего мира создавали новые функции, улучшали существующие возможности, участвовали в управлении и планировании проекта.
• Сначала проект Mozilla развивался в рамках Netscape. Его целью было создание нового браузера Mozilla Application Suite. Этот целый набор приложений, включая обозреватель, почтовый клиент, HTML-редактор и другие инструменты. Позже команда Mozilla решила не делать «комбайн», а создать новый легкий браузер, который мы теперь знаем как Firefox.
• Название появилось тоже не сразу. В 2002 году началась работа над браузером Phoenix, потом — Firebird и только потом уже Firefox. Название Phoenix пришлось изменить из-за конфликта с другой торговой маркой, а Firebird вызвал недовольство у разработчиков одноименной базы данных. В результате остановились на названии Firefox, которое стало символом стремления команды Mozilla к созданию свободного, защищенного и ориентированного на нужды пользователей браузера.
• Ну а в 2004 году был представлен первый релиз, сумевший быстро привлечь внимание и, что особенно важно, завоевать пользователей благодаря своим революционным на тот момент функциям — вкладкам и поддержке дополнений.
• С момента релиза Firefox стал расти в популярности, набирая долю на рынке за счет предоставления пользователям уникальных функций, которых не было в других браузерах. В 2010 году доля Firefox достигла 30% — это был пик популярности.
• Основной успех Firefox связан с его новаторским подходом к интерфейсу, заложенным в саму концепцию браузера. Возможность работать с вкладками и богатая база расширений и дополнений оказались правильными и своевременными решениями. Они сделали браузер незаменимым инструментом для большого количества пользователей — особенно тех, кто работал в интернете или проводил много времени в сети. Mozilla также сосредоточилась на открытости кода, так что сообщество могло активно участвовать в улучшении браузера. Firefox предлагал высокий уровень безопасности, оставаясь верным принципу открытого кода и делая ставку на конфиденциальность. Это принесло ему популярность среди пользователей, обеспокоенных защитой своих данных.
#Firefox
🎉 Результаты розыгрыша:
🏆 Победители:
1. I
2. Anton (@seryoginav)
3. SPECTRE ATLANT (@nursultanppp)
✔️Проверить результаты
👩💻 Kubenomicon.
• Интересный проект в стиле MITRE ATTACK для Kubernetes, который ориентирован на наступательную безопасность. С акцентом на то, как использовать каждую атаку.
• Initial access:
➡Using cloud credentials;
➡Compromised image In registry;
➡Kubeconfig file;
➡Application vulnerability;
➡Exposed sensitive interfaces;
➡SSH server running inside container.
• Execution:
➡Exec inside container;
➡New container;
➡Application exploit (RCE);
➡Sidecar injection.
• Persistence:
➡Backdoor container;
➡Writable hostPath mount;
➡Kubernetes cronjob;
➡Malicious admission controller;
➡Container service account;
➡Static pods.
• Privilege escalation:
➡Privileged container;
➡Cluster-admin binding;
➡hostPath mount;
➡Access cloud resources.
• Defense evasion:
➡Clear container logs;
➡Delete events;
➡Pod name similarity;
➡Connect from proxy server.
• Credential access:
➡List K8S secrets;
➡Access node information;
➡Container service account;
➡Application credentials in configuration files;
➡Access managed identity credentials;
➡Malicious admission controller.
• Discovery:
➡Access Kubernetes API server;
➡Access Kubelet API;
➡Network mapping;
➡Exposed sensitive interfaces;
➡Instance Metadata API.
• Lateral movement:
➡Access cloud resources;
➡Container service account;
➡Cluster internal networking;
➡Application credentials in configuration files;
➡Writable hostPath mount;
➡CoreDNS poisoning;
➡ARP poisoning and IP spoofing.
• Collection:
➡Images from a private registry;
➡Collecting data from pod.
• Impact:
➡Data destruction;
➡Resource hijacking;
➡Denial of service.
• Fundamentals:
➡Nodes;
➡Services;
➡etcd;
➡RBAC;
➡Kubelet;
➡Namespaces;
➡Secrets;
➡Interesting Files.
#Kubernetes
• Не совсем уверен, что такой метод борьбы с мошенничеством в интернете является эффективным, но тем не менее...
• В Сингапуре на законодательном уровне ввели телесное наказание в виде ударов розгами по спине за онлайн мошенничество. Меры были введены после того, как поняли масштаб проблемы: только за первую половину 2025 года скамеры обманули десятки тысяч человек и похитили более 385 млн. баксов.
• Кстати, минимальное наказание - 6 ударов, а максимальное - 24! Такие вот методы...
➡️ Источник [The Washington Post].
#Новости
• Давно заметил, что в описании каждого выпуска по компьютерным сетям от Андрея Созыкина перечислены книги, являющиеся основой для изучения сетевых технологий. Одну из таких книг предлагаю разыграть...
• Сразу отмечу, что разыгрывать мы будем самую авторитетную книгу по сетевым технологиям - Компьютерные сети. 6-е изд. - авторами которой являются Эндрю Таненбаум, специалист из Google Дэвид Уэзеролл и профессор Чикагского университета Ник Фимстер. Кстати, издание содержит 992 страницы информации, а весит полтора кг! Настоящая классика!
• Но давайте ближе к делу: по нашей хорошей традиции данный конкурс не предусматривает каких-либо условий. Просто нажимаете на кнопку под этим постом и вы в деле. Доставка для победителей бесплатная в зоне действия СДЭК. Итоги подведем уже в эту субботу (08.11 в 11:30 по мск.), при помощи бота, который рандомно выберет трёх победителей. Удачи ❤
P.S. Не забывайте ставить огонек под этим постом 🔥 это помогает проводить такие розыгрыши чаще.
#Конкурс
• Ну что, Андрей Созыкин опубликовал первый урок по защищенным сетевым протоколам. Материал содержит описание протокола TLS (Transport Level Security) и его применение для защиты данных в компьютерных сетях. Рассматривается, как устроены алгоритмы асимметричного шифрования для обмена ключами RSA и Диффи-Хеллмана.
• Если хотите начать изучение курса по компьютерным сетям с самого начала, то вот ссылка на плейлист. Сейчас там 40 уроков: https://www.youtube.com/playlist/seti
#Сети #Курс
Нулевые дни — не «случайность». Если безопасность не встроена в разработку, уязвимости попадают в прод.
Присоединяйтесь 6 ноября в 20:00.
Приглашаем на открытый урок.
Разберём по делу:
• базовые принципы ИБ для разработчиков;
• этапы РБПО и что меняется на каждом;
• роли в процессе и место DevSecOps: кто, где и за что отвечает.
📅Встречаемся 6 ноября в 20:00 мск. Спикер Сергей Терешин — руководитель направления комплексной безопасности, обладатель множества сертификаций.
🎁 Проходит в преддверии старта курса «Информационная безопасность. Basic». Все участники вебинара получат специальные условия на полное обучение курса.
Регистрация бесплатная, но количество мест ограничено — успей занять своё место: https://otus.pw/XJqJ/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
• Смотрите, какая красота! Не знаю, кто додумался до такой визуализации проходящих пакетов, но я хочу таких патчкордов даже просто из эстетических соображений.
#разное
За разработкой и выводом любого решения на рынок стоит огромная работа продактов, архитекторов, дизайнеров и многих других команд. Нужно собрать потребности заказчиков, «подружить» решение с уже существующими, пройти все этапы подтверждения соответствия требованиям регуляторов и, конечно, проверить на себе.
Так, задолго до коммерческого релиза, бета-версия Kaspersky NGFW попала в опытные руки сетевых инженеров и ИБ-шников «Лаборатории Касперского». Продуктивный трафик большого международного вендора, суровые требования к безопасности, полсотни сценариев и огромное количество полезной обратной связи. Все и немного больше, чтобы облачная идея воплотилась в полноценный ПАК, готовый к реальной защите российского бизнеса.
Рассказываем, как это было, в новом спецпроекте.
• 24 года назад, 25 октября 2001 года, на полках магазинов появились зелёные и синие коробочки с названием Windows XP. Именно тогда в Microsoft заявили о мировой доступности новой ОС Windows XP и объявили старт ее продаж.
• За 24 года своей жизни Windows XP установили на бессчётное число настольных компьютеров, ноутбуков и разнообразных единиц оборудования. Из-за своей неприхотливости вышедшая из продажи и уже не поддерживаемая система продолжает встречаться и по сей день.
• За первые пять лет Microsoft продала 400 миллионов копий XP. Скорее всего, с учётом пиратства получится не меньше миллиарда установок.
• Как программному продукту XP рано или поздно суждено было выйти из употребления и тихо умереть. Тем не менее операционка пережила некоторых из своих потомков, а окончание её поддержки патчами безопасности вызывало раздражение, если не горе.
• 21 апреля 2008 вышел финальный третий пакет обновлений, дни Windows XP уже были сочтены. В июне того же года, незадолго после выхода SP3, Microsoft заявила, что сворачивает продажи XP, продолжая поставки для слабых машин, которые не могут запускать новые системы. Тем не менее рядовые пользователи отказывались апгрейдиться, а бизнес медлил с обновлениями из-за финансовых проблем после рецессии 2008 года.
• Основной период поддержки системы закончился 14 апреля 2009 года, ещё через пять лет - 8 апреля 2014 - Microsoft прекратила и расширенную поддержку. Для пользователя это означало, что операционка уже не получала обновлений безопасности, оставляя систему потенциально открытой для сетевых атак и всевозможных вирусов.
• Не растерявшиеся обладатели машин с XP нашли выход на ещё пять лет. По Сети распространялись инструкции, как притвориться системой на Windows Embedded POSReady 2009, версии операционки для разнообразных терминалов оплаты, промышленного оборудования и прочих встраиваемых устройств. Конечно, Microsoft рекомендовала пользователям настольных компьютеров просто сменить операционную систему, а не прибегать к таким потенциально опасным хакам.
• 9 апреля 2019 года закончился период поддержки POSReady 2009. С этого времени закрывать уязвимости и баги Windows XP стало некому. Отказ от XP шёл медленно, но не закончился до сих пор.
#Разное
• Мало кто знает, что 40 лет назад была технология, которая могла заменить нам Windows, но не смогла.
• Итак, 1985 год, в интернете зарегистрированы первые домены верхнего уровня: .arpa, .com, .edu, .gb, .gov, .mil, .net, .org, .us, в СССР началась перестройка, Nintendo выпустила легендарные игры Super Mario Bros и Duck Hunt, а еще 20 ноября 1985 состоялся релиз графической оболочки для MS-DOS под названием Microsoft Windows 1.01. Но за 8 месяцев до этого радостного события, 28 февраля 1985 года, компания Digital Research выпустила на рынок собственную графическую надстройку с оконным интерфейсом для операционной системы CP/M, получившую название Graphics Environment Manager, или, сокращенно, GEM!
• GEM поддерживала мышь, в ней имелся Рабочий стол (фото 1), на котором размещались ярлыки сменных и стационарных накопителей, а также ярлык для «виртуального диска» – классического RAM drive, пространства оперативной памяти, динамически выделяемого системой при загрузке машины для размещения системных файлов. Кроме того, в распоряжении пользователя имелась Корзина, а хранящиеся на дисках файлы и папки отображались в виде значков. В распоряжении любителей постучать по клавишам имелась командная строка. В общем, все как в винде. Только появился GEM немного раньше. Первыми машинами, на которых успешно работал GEM, были Atari ST на базе процессора Motorola 68000, но позже платформу портировали под Intel 8088, и она дебютировала на IBM-совместимых машинах, в том числе, в версии под DOS.
• Можно смело сказать, что дизайнерское и функциональное исполнение GEM было очень похоже на интерфейс первой версии MacOS, если не считать ряда незначительных технических отличий. GEM/1 очень понравился пользователям и быстро набрал популярность на североамериканском континенте. Однако, это чрезвычайно не понравился руководителям корпорации Apple, посчитавшим, что Digital Research Inc. украла у них не только саму идею пользовательской оконной среды, но и ее дизайнерско-техническую реализацию. Состоялся громкий и скандальный судебный процесс, который выиграла компания Apple. GEM/1 был запрещен к дальнейшему распространению, и по решению суда производитель должен был убрать из ОС все компоненты, хоть сколько-нибудь напоминающие элементы MacOS. Результатом такого постановления стало появление в 1986 году платформы GEM/2 (фото 2), значительно уступавшей своей предшественнице.
• GEM/2 работала гораздо менее стабильно и была просто неудобна в использовании. Рабочий стол теперь представлял собой два вытянутых вдоль экрана окна фиксированного размера, оснащенных вертикальными и горизонтальными полосами прокрутки. В верхнем окне отображались подключенные к системе дисковые накопители, нижнее выполняло функции, аналогичные Проводнику Windows. Корзина была удалена с Рабочего стола и вообще отсутствовала в системе. Внесенные в систему изменения были расценены пользователями, как негативные, благодаря чему GEM начал быстро сдавать позиции, утрачивая рынок под натиском только что появившейся Microsoft Windows 1.01.
• Следует отметить, что первая реализация Windows по своему оформлению тоже недалеко ушла от MacOS, однако Microsoft, в отличие от Digital Research, оказался Apple не по зубам. Положения не спасли ни GEM/3, ни наспех усовершенствованная GEM/4: Windows все увереннее и увереннее вытесняла их с поля битвы. Ситуация несколько изменилась лишь тогда, когда Digital Research выпустила в 1988 году очередную реализацию платформы, которая получила название GEM/5.
• Популярность GEM несколько поползла вверх, но все более расширяющаяся экспансия Windows убила последние надежды разработчиков на светлое будущее для своего детища. Digital Research сдалась, и исходные коды GEM были опубликованы в свободном доступе. Так ушел в историю еще один перспективный проект, который при ином стечении обстоятельств мог бы стать объективной альтернативой всемирно распространенной Microsoft Windows в качестве ОС для настольных ПК...
#Разное
• В начале 80-х, когда IBM PC начали распространяться по офисам и домам, концепция компьютерной безопасности кардинально отличалась от современной. Системы того времени, как правило, не предусматривали никаких встроенных механизмов защиты данных. Каждый, кто имел физический доступ к машине, автоматически получал контроль над всей информацией.
• Ситуация усугублялась тем, что многие профессиональные задачи уже тогда требовали длительного времени выполнения. Инженер, оставивший на ночь расчет сложной модели, или программист, компилирующий объемный проект, рисковали обнаружить утром прерванный процесс - достаточно было любопытному коллеге случайно нажать любую клавишу.
• Именно в этот момент появился скромный, но эффективный механизм - замок на панели системного блока. Впервые появившись на машинах от IBM, этот элемент быстро перекочевал на другие компьютеры.
• Принцип работы был до гениальности прост. Поворот ключа физически разрывал цепь, отвечающую за работу клавиатурного контроллера. В результате все попытки ввода просто игнорировались системой - своеобразный аналог современной комбинации Win+L, но реализованный на аппаратном уровне.
• Нередко такие замки блокировали не только ввод с клавиатуры, но и процесс загрузки. В таких моделях попытка включить заблокированный компьютер приводила к появлению на экране ошибки "302-System Unit Keylock is Locked". А в ряде случаев, например, в IBM PC AT, ключом можно было и вовсе закрыть сам корпус компьютера. Такие вот были времена...
#Разное
• Как думаете, почему "синий экран смерти" в Windows имеет именно такую цветовую палитру (белый текст на синем фоне)? Ответ на данный вопрос весьма прост. Дело в том, что Джон Верт (создатель BSOD) выбрал комбинацию белого текста на синем фоне по одной простой причине - ему просто так было удобно. Так и пошло...
• В то время Джон использовал машину на базе MIPS RISC, где использовалась именно такая цветовая палитра - белый текст на синем фоне. Более того, его любимый редактор кода, SlickEdit, тоже по умолчанию отображал все белым на синем. Получилась идеальная, хоть и непреднамеренная, унификация. Можно было загружаться, писать код и наблюдать падение ОС в одной и той же привычной глазу цветовой гамме.
• Кстати, многие думают, что "синий экран смерти" появился вместе с самой Windows. Но это не так. Да и синим он был не всегда. Пользователи самой первой версии Windows могли увидеть синий экран с ошибкой, но это было совсем не то явление, к которому мы привыкли. Вместо внятного сообщения был лишь лишь хаотичный набор символов, появлявшихся, предположительно, из ОЗУ, после чего все зависало и помогала лишь перезагрузка.
• С выходом Windows 3.0 ситуация немного изменилась. Появились сообщения об ошибках на синем фоне, но, это могли быть и не фатальные ошибки - скорее уведомления, после которого можно было продолжить работу. А вот по-настоящему серьезный сбой приводил к появлению "черного экрана смерти" (Black Screen of Death) с текстом вроде: "Не удается продолжить работу Windows из-за…".
• Точно сказать, кто первый произнёс фразу "Blue Screen of Death", уже сложно. Согласно архивам, термин "Black Screen of Death" впервые можно увидеть в журнале Computerworld за 1993 год (на скриншоте), а первое задокументированное упоминание "Blue Screen of Death" - в 1995 году. Тем не менее, к концу 90-х это выражение уже прочно вошло в лексикон всех, кто имел дело с ПК.
#Разное
🐘 PostgreSQL: подборка материала.
• Решил собрать необходимый материал в виде бесплатных книг, курсов и другой информации в единую подборку, которая поможет выучить PostgreSQL. Надеюсь, что будет полезно:
• Книги и курсы:
➡Погружение в PostgreSQL.
➡Postgres: первое знакомство.
➡PostgreSQL. Основы языка SQL.
➡PostgreSQL 17 изнутри.
➡PostgreSQL. Профессиональный SQL.
➡Путеводитель по базам данных.
➡Мониторинг PostgreSQL.
➡Основы технологий баз данных [Книга], [Курс].
• Полезные ссылки:
➡Документация PostgreSQL на русском языке.
➡Вредные и/или опасные действия в PostgreSQL.
➡SQLize — быстрый запуск, эксперименты и обмен кодом SQL.
➡SQLtest — упражнения по SQL.
➡LeetCode Database Problems — упражнения по SQL: базовые задачи, все задачи.
➡Sql-ex.ru — упражнения по SQL.
➡Официальный FAQ на русском языке.
➡Neon — туториалы по PostgreSQL, примеры использования.
➡pgPedia — энциклопедия PostgreSQL.
➡postgresqlco.nf — описание и управление конфигурацией.
#PostgreSQL
• Роскошная роскошь: настоящий тяжелый люкс из 80-х - телевизор Sony Trinitron KV-3000R Limited Edition 30" Trinitron Console. Такое могли себе позволить только очень богатые люди, так как в 1981 году телевизор продавался примерно за 10.000 баксов (примерно $36.000 на сегодняшний день), а выпущено всего около 1000 экземпляров.
#Разное
• Немного пятничного оффтопа: Как думаете, можно ли было придумать что-то более безумное, чем настолько огромный оптический диск?
• Ну а если серьезно, то это 12-дюймовый диск от Sony, который придумали еще в 1992 году. В самом начале видео можно заметить, что диск находится внутри кейса, которые защищает его при транспортировке. Кстати, он двусторонний: по 6.55 ГБ на сторону. В то время такой объем памяти для диска считался пределом фанстастики...
➡️ https://www.storagenewsletter.com
#Разное
• Эта история о самом известном телефонном фрикере - Джозефе Энгрессия! Будучи слепым и обладая абсолютным музыкальным слухом, он мог насвистеть в телефонную трубку последовательность сигналов, которая позволяла ему бесплатно звонить в любую точку земного шара.
• Как и у многих других людей с врожденной слепотой, отсутствие зрения компенсировалось у Энегрессии обостренным слухом и отличными музыкальными способностями. Он не только прекрасно слышал нюансы звучания различных мелодий, но и мог с точностью воспроизводить звуки. И вот, когда Джозефу исполнилось девять лет, произошло событие, которое перевернуло всю его дальнейшую жизнь. Во время телефонного разговора Энгрессия свистнул в трубку, и связь прервалась. Оказалось, что Джо издал свист на частоте 2600 Гц, которая использовалась телефонными станциями AT&T для управления соединениями.
• Джозеф принялся исследовать этот феномен, и вскоре научился с помощью свиста управлять телефонной системой, прерывая звонки и переводить их на другие линии. Тогда он еще не понимал, что стал одним из первых фрикеров - взломщиков телефонных сетей.
• Джо регулярно развлекал одноклассников своими "телефонными трюками". Он мог по памяти насвистеть сигналы, которые управляли телефонными линиями. Так что если кто-то из его приятелей хотел позвонить бесплатно, он знал, к кому обратиться. Джозеф не только манипулировал звонками, но и начинал понимать, как устроены телекоммуникации, заказывая в библиотеках для слепых техническую литературу по телефонии и поглощая ее сотнями страниц. Это позволило ему углубляться в мир технологий и телефонных систем.
• Успешно окончив школу, Энгрессия поступил в университет на факультет философии! Научившись бесплатно совершать междугородние и международные звонки, Джозеф начал продавать эту услугу своим однокурсникам за 1 бакс, не ради наживы, а из чистого интереса. На этом его и поймали: в 1968 году по результатам расследования Энгрессия был исключен из университета и оштрафован на 25 долларов. Позже он сумел восстановиться и завершить обучение.
• Нужно отметить, что в отличие от других фрикеров, он никогда не использовал собственные навыки во вред! Его интересовали сами технологии. Джозеф часто делился накопленными знаниями и совершенно бесплатно обучал других искусству телефонного взлома, но всегда настаивал на этичном подходе. К началу 70-х Джозеф стал весьма известной и авторитетной фигурой в среде фрикеров, и, как и другие взломщики телефонных сетей, попал под негласный надзор со стороны ФБР.
• В 1971 году журнал Esquire опубликовал статью о "телефонных хиппи", среди которых упоминался и Джо Энгрессия. Эта статья привлекла общественность к феномену фрикинга, и не в последнюю очередь - ФБР. В результате Джо был арестован во второй раз по обвинению в телефонном мошенничестве и приговорен к общественным работам.
• В 1975 году он решил окончательно завязать с фрикерством. Энгрессия переехал в Денвер, но в силу слепоты долго не мог найти работу. Удивительно, но с трудоустройством ему помогли агенты ФБР, ранее обвинявшие Джозефа в противозаконной деятельности: по их протекции Джо устроился в службу технической поддержки телефонной компании Mountain Bell, где занимался настройкой оборудования и помогал решать проблемы на абонентских линиях. Джозеф вспоминал, что он умел даже больше, чем некоторые его коллеги с дипломами инженеров.
• Со временем однообразная работа в телефонной компании наскучила Джозефу. Он бросил Mountain Bell, переехал в штат Миннесота, и стал жить на пенсию по инвалидности. Чтобы заниматься чем-то полезным, Энгрессия организовал у себя дома телефонную службу "Stories and Stuff" - он рассказывал по телефону забавные истории тяжело больным людям и выступал в качестве консультанта для слепых детей.
• 8 августа 2007 года Джозеф Энгрессия был обнаружен в своем доме без признаков жизни - медики назвали в качестве причины смерти застойную сердечную недостаточность. Считается, что с его уходом окончательно завершилась эпоха телефонных фрикеров: Джо был одним из последних “технохиппи” эпохи 70-х.
#Разное
• Основной принцип обеспечения физической безопасности - никто не должен иметь даже шанса дотянуться до оборудования!
#Юмор
• Ровно 18 лет назад Google показала миру первую бета-версию Android 1.0 (на фото). Тогда никто не мог предположить, что Google совершит настоящую революцию, и их разработка уже в ближайшем будущем завоюет рынок мобильных устройств.
• Первая версия Android, конечно, в значительной степени отличалась от того, к чему пользователи привыкли сейчас. Но она включала такие сервисы, как Google Maps, приложения YouTube и Android Market, а также мобильный браузер - еще не Chrome, до рождения которого оставалось несколько лет, но вполне работоспособный.
• В Android 1.0 была реализована демонстрация на экране уведомлений и виджетов, значков приложений, присутствовал единый центр настроек. В отличие от iPhone, операционная система от Google поддерживала работу большого количества аппаратных кнопок смартфона, включая полноценную QWERTY-клавиатуру.
• Самое примечательно, что первая версия Android получила неофициальное наименование Apple Pie, «яблочный пирог», - видимо, в качестве своеобразной иронии над основным конкурентом Google...
#Разное
• Однозначно в закладки: Networking Toolbox - ресурс, где собраны сотни сетевых инструментов, включая решения для проверки DNS, TLS, DHCP, HTTP и почтовых серверов, для конвертирования CIDR, масок, IPv4/IPv6, MAC-адресов, калькуляторы подсетей, генераторы конфигов, утилиты для тестирования производительности, шифрования и маршрутизации, а также справочники по основам сетей IPv6 и сетевым протоколам. Забираем по ссылке ниже:
➡️ Networking Toolbox;
➡️ GitHub.
#Tools
• Доброе утро...🫠 Начинаем эту рабочую неделю с правильных рекомендаций.#Понедельник
👾 Первый в истории вирус.
• Вы ведь знаете про "вирус" Creeper? Он был создан еще в начале 1970-х годов сотрудником компании BBN (Bolt, Beranek and Newman) Бобом Томасом для операционной системы Tenex. Так вот, Creeper не использовал уязвимости и фактически ничего не заражал, он просто перемещался по сети и, как гласит предание, печатал на экране строку: I’m the Creeper... Catch me if you can
• Но Creeper не принято считать вирусом. Перебравшись на новую машину, он уничтожал свою старую копию, что противоречит идее постоянного размножения, за которую вирусы и получили свое название. Тем не менее всего пара строк кода легко превратила бы его в классический компьютерный вирус, и история вирусописательства началась бы на десять лет раньше, чем принято считать сейчас.
• Это я к тому, что «настоящим» автором первого вируса принято считать Фреда Коэна. 3 ноября 1983 года, ровно 42 года назад, Фред создал программу, которая могла заражать другие приложения и получать полный доступ к системе. Согласно исследованию, проведенному на пяти машинах под управлением UNIX, среднее время для получения прав root после заражения машины составило тридцать минут с разбросом от пяти минут до часа. При этом вирус не использовал эксплоитов, а просто обходил существующие в то время системы защиты.
• После проведенного эксперимента Фред представил результаты исследований на семинаре по компьютерной безопасности в пенсильванском Лихайском университете. Тогда же впервые прозвучал и сам термин «компьютерный вирус», придуманный преподавателем Коэна Леонардом Адлеманом, который известен всему айтишному миру как один из основателей RSA Security.
• Стоит сказать, что Коэн всего лишь формализовал понятие вируса, представив действующий код и определив основные характеристики такого типа программ и возможные векторы атак. Попытки создать или смоделировать вирусы для разных платформ были и раньше. Так, за два года до Коэна пятнадцатилетний школьник Ричард Скрента создал программу Elk Cloner, которая внедрялась в Apple DOS и распространялась через запись в boot-сектор дискет. Но вирус так и не выбрался за пределы круга друзей Ричарда...
➡️ https://www.cnsr.ictas.vt.edu/QEpaper/cohen.pdf
#Разное
• Первый из резонансных компьютерных вирусов, попавший в теленовости, празднует 37 лет. Червь Морриса - вирус, который парализовал более 6 тыс. (тогда это было очень большое кол-во) интернет-узлов в США и получивший широкое внимание благодаря сообщениям в СМИ по всему миру. Но самое интересное, что создателем этого интернет-червя был обычный студент, который за свои проделки стал первым обвиненным по Закону о мошенничестве и злоупотреблениях с применением компьютера. Хотя на самом деле никакого зла он причинять не хотел...
• 2 ноября, 1988 год. 23-летний студент Роберт Таппан Моррис (на фото) решил оценить масштабы интернета и провести перепись пользователей Сети. Интерес к компьютерной технике ему передался от отца - тот был отличным специалистом по криптографии и одним из разработчиков операционных систем Multics и Unix.
• Для проведения своего исследования Роберт Моррис написал сложнейший код, который был способен самостоятельно распространяться по Сети и препятствовал попыткам его остановить или уничтожить. Чтобы передать его от компьютера к компьютеру, хакер использовал уязвимость почтового сервера Sendmail - в то время программу активно использовали для обмена электронными письмами. Тогда люди плохо осознавали, что их простые пароли могут быть кем-то угаданы, а их учетная запись - взломана. Зато это прекрасно понимал Моррис, потому и создал код, который при подборе пароля использовал следующие варианты:
➡Пустая строка;
➡Имя пользователя;
➡Имя пользователя, написанное наоборот;
➡Имя или фамилия пользователя;
➡Имя или фамилия пользователя, написанные маленькими буквами;
➡432 рандомных слова, встроенных в словарь кода;
➡Файл /usr/dict/words, содержащий примерно 24000 слов и используемый в системе 4.3BSD (и других) как орфографический словарь.
• Но чтобы пользователи ничего не заподозрили и не обнаружили присутствие червя на компьютере, он использовал маскировку: проникнув на ПК, червь менял имя своего процесса, удалял временные файлы и принимал еще ряд мер, препятствующих своему обнаружению, в частности шифровал свои данные в памяти. Запускаясь на новом ПК, червь проверял, не является ли компьютер уже зараженным. При обнаружении двух копий на компьютере они «играли в кости», и одна самоуничтожалась. То ли из-за ошибки Морриса, то ли для страховки от создания простой «вакцины», основанной на этом эффекте, в одном случае из семи новая копия переставала играть «в выживание» и продолжала работать при любых условиях. Именно это решение привело к DDoS-эффекту, коэффициент 1/7 оказался слишком большим, и многие компьютеры повторно заражались десятки раз.
• В течение пары часов после того, как червь был запущен, несколько тысяч компьютеров по всей Америке были выведены из строя. Но при этом ни один файл на них не был поврежден, просто пользоваться устройством было невозможно. Так продолжалось 5 дней, пока некоторые программисты не догадались, как уничтожить червя Морриса.
• Ущерб от сетевого червя был оценен примерно в 96,5 миллионов долларов. Сам Роберт Моррис безнаказанным не остался: он был условно осужден на три года, приговорен к 400 часам общественных работ и оштрафован на 10 050 долларов. И это - смягченное наказание, которого Моррис добился благодаря сделки со следствием.
• Сам Моррис продолжил трудиться в сфере компьютерных технологий, через несколько лет организовал собственный стартап Viaweb, который позднее был продан компании Yahoo! за почти 50 млн. баксов.
• После этого Роберт погрузился в науку, получил ученую степень и начал академическую карьеру. С 2019 года Моррис занимает должность в Национальной инженерной академии США.
#Разное
• В свете последних новостей, Telegram стал предлагать пользователям в РФ альтернативный способ авторизации - через электронную почту. Найти нужный раздел можно если перейти в "Настройки" - "Конфиденциальность" - "Почта для входа".
• К слову, данный функционал уже был в Telegram и был доступен пользователям в других странах, причем года 2, а теперь распространяется и на РФ.
#Telegram
• Кстати, сегодня этому каналу исполняется 5 лет. Спасибо, что читаете и остаетесь с нами. Всех обнял! Всем добра❤️
@Infosec