24963
Информационная безопасность, пентест и многое другое... Преобрести рекламное размещение: https://telega.in/c/tg_infosec
• Awesome Cloud Security Labs - объемный набор бесплатных лаб для самостоятельного изучения безопасности облачных сред и технологий:
➡AWS;
➡Azure;
➡GCP;
➡Kubernetes;
➡Container;
➡Terraform;
➡Research Labs;
➡CI/CD.
➡ https://github.com/iknowjason/Awesome-CloudSec-Labs
#Cloud #ИБ
🤖 Тамагочи для хакера.
• Bjorn - инструмент, предназначенный для проведения комплексного сканирования сетей и оценки их уязвимости. Проект имеет модульную конструкцию и его функционал может быть расширен за счет скриптов на Python.
• Самое забавное, что инструмент реализован в виде игры по типу Тамагочи с виртуальным персонажем - викингом, где за каждые успешные сканирования или взломы вы будете получать игровые монеты, и прокачивать вашего виртуального «друга».
• Для изготовления такого устройства вам понадобится Raspberry PI Zero W или Zero 2 W и 2.13 дюймовый e-ink экран с драйвером, подключаемый к GPIO. Устройством можно управлять как с экрана, так и через веб-интерфейс.
• Основные особенности устройства в текущей реализации:
➡Идентификация активных хостов и открытых портов в сети;
➡Сканирование сетей на наличие уязвимостей с использованием #Nmap и других инструментов;
➡Brute-force атаки на различные сервисы (FTP, SSH, SMB, RDP, Telnet, SQL).
➡️ https://github.com/infinition/Bjorn
#ИБ #Пентест
• На сайте министерства юстиции США опубликована забавная история о 55-летнем Дэвисе Лу, уроженце из Китая, который более 12 лет работал в компании Eaton Corporation в городе Огайо.
• В 2018 году Дэвиса понизили в должности на работе, а компания затеяла глобальную реструктуризацию. Тогда наш герой понял, что увольнение не за горами и решил придумать план мести, внедрив вредоносный код в Windows-среду производственных систем.
• Вредоносный код использовал «бесконечные циклы», которые создавали нагрузку на серверы, удаляли файлы профилей коллег, блокировали легитимные логины и вызывали сбои в работе систем. Кроме того, Лу создал программный «рубильник» под названием IsDLEnabledinAD (Is Davis Lu enabled in Active Directory, «Активен ли Дэвис Лу в Active Directory»), который автоматически блокировал всех пользователей, если аккаунт разработчика отключат в Active Directory.
• Наступил день Х. Дэвиса уволили, а его аккаунт был заблокирован. Рубильник сработал, как и было задумано, а тысячи сотрудников компании Eaton Corporation были заблокированы.
• Весной этого года суд присяжных города Кливленда признал Лу виновным в саботаже систем работодателя и приговорил его к четырем годам лишения свободы. Такие вот дела...
➡️ https://www.justice.gov/
#Новости
• Ого! На ZeroNights 2025 открылся прием заявок на доклады! Напомню, что ZeroNights – это одна из крупнейших международных конференций по информационной безопасности. Так что у вас есть возможность принять участие, поделиться своими исследованиями, обменяться опытом и отлично провести время!
• Кстати, набирают доклады Offensive и AppSec/SecOps направленности, а за эксклюзивы поощряют материально ;) Так что дерзайте...
➡️ https://zeronights.ru/
#Конференция #ИБ #ZeroNights
Число DDoS-атак выросло в 2 раза в первом полугодии 2025 🔒
Как изменились угрозы и что поможет защититься, рассказали эксперты Selectel в регулярном отчете
Подходы злоумышленников к DDoS изменились. А вы успели перестроиться? Провайдер IT-инфраструктуры Selectel подготовил аналитический отчет по DDoS за первое полугодие 2025 и проследил тенденции. Ищите подробную статистику и комментарии экспертов в полной версии исследования.
Согласно отчету, количество атак растет, а максимальный их объем и скорость снижаются. Все говорит об изменении типа угроз: экстремально мощные атаки трансформировались в атаки типа Pulse Wave, при которых потоки вредоносного трафика идут волнами с паузами. Они стали продолжительнее — их длительность выросла в 2,5 раза.
Читайте полную версию отчета, чтобы укрепить защиту ваших IT-систем →
• Сегодня Google Meet было максимально плохо. Вероятно, что во всем виноваты сервера Google, которые внезапно начали деградировать... Звонки не работали, совещания отменялись, а люди жаловались. Если верить сервису downdetector, то каждый час жалобы на работу Google Meet оставляют более 100 человек. Печально, конечно, но на повестке дня будет отличная статья, которая окажется весьма кстати.
• 2 дня назад на хабре выкатили пошаговое руководство по настройке собственного XMPP сервера для безопасной коммуникации текстовыми сообщениями и звонков. Всё расписано подробно, а на реализацию потребуется не более 10 минут. Добавляйте в закладки и настраивайте для себя и близких:
➡️ https://habr.com/ru/articles/938760/
#Разное
• Даже не знаю, можно ли изобразить схему OSI более подробней чем здесь?
• P.S. Не забывайте про наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network
#Сети
☎️ 61 год назад компания Bell System представила кнопочный телефон с тональным набором номера.
• Это случилось 18 ноября 1963 года, когда компания Bell System представила кнопочный телефон с тональным набором номера. Первым телефоном с тональным набором был 1500 Western Electric (на фото) с 10 кнопками.
• Инженеры протестировали 15 различных раскладок клавиатуры и остановились на современной конфигурации. Ключи # и * были добавлены, чтобы их можно было использовать для доступа к компьютерам по телефонным линиям.
• Тональный набор существенно сократил время набора и стал всемирным стандартом для передачи сигналов электросвязи.
• Новая технология заключалась в использовании двухтональных многочастотных сигналов (DTMF). Каждой цифре соответствовали звуковые сигналы с определенной частотой, назначенной каждой строке и столбцу. Когда кнопка нажата, циферблат генерировал комбинированный сигнал двух частот. Двухтональный сигнал передавался по телефонной линии на телефонную станцию.
• После успешного запуска системы тонального набора потребовалось более 10 лет, чтобы она была внедрена в большинстве домов США. В СССР тональный набор стал применяться с середины 80-х годов.
#Разное
👩💻 Управление Linux-сервером — самая ценная инвестиция.
• В эпоху облаков настройка Linux-сервера своими руками кажется неким вымирающим искусством. Для непосвящённого человека даже bash-скрипты выглядят как заклинания, а коллеги проникаются уважением к сисадмину, как древние индейцы к своему шаману…
• Сейчас это «древнее искусство» вновь стало актуальным. История идёт по кругу — всё старое возвращается в новом виде. Запуск сервера на своём хостинге стал хорошей альтернативой облакам. Автор этой статьи называет ряд причин, почему настройка и управление Linux-сервером на своём собственном железе/хостинге это круто и даже необходимо...
➡️ https://habr.com/ru/post/768548/
#Linux
👩💻 DevOps Bash tools.
• Добавляем в нашу коллекцию еще один репозиторий для изучения Bash, содержащий в себе более 1000 скриптов, которые могут оказаться полезными для DevOps и не только — AWS, GCP, Kubernetes, Docker, CI/CD, APIs, SQL, PostgreSQL, MySQL, Hive, Impala, Kafka, Hadoop, Jenkins, GitHub, GitLab, BitBucket, Azure DevOps, TeamCity, Spotify, MP3, LDAP, Code/Build Linting, pkg mgmt для Linux, Mac, Python, Perl, Ruby, NodeJS, Golang, .bashrc, .vimrc, .gitconfig, .screenrc, tmux...
➡️ https://github.com/HariSekhon/DevOps-Bash-tools
#bash #DevOps
🍀 ICQ: история, которая продолжалась почти 28 лет.
• Наверное, среди тех, кто пользовался компьютером и интернетом в 90-е годы, нет ни одного человека, который не слышал бы об этом мессенджере. Фраза «стукни мне в аську» прочно вошла в обиход на рубеже тысячелетий, а само приложение стало поистине легендарным. Сегодня ICQ исполнилось бы 28 лет, но увы...
• Слово «Mirabilis» на латыни означает «удивительный». Именно так в 1996 году назвали свою компанию молодые израильские программисты Арик Варди, Яир Голдфингер, Амнон Амир и Сефи Вигисер. Парни познакомились в тель-авивской компании-разработчике трехмерной графики Zapa Digital Arts, и именно там у них зародилась идея создать простой «интернет-пейджер» — программу, которая позволяла бы пользователям обмениваться короткими сообщениями через сеть, как это делают абоненты пейджинговой связи. С одним важным отличием: сервис должен быть полностью бесплатным. Задумка показалась весьма интересной, и первый прототип интернет-пейджера был готов уже через два месяца. Кто-то из четверки предложил назвать программу «I seek you», «Я ищу тебя», поскольку помимо простого общения она идеально подходила для знакомств в интернете, однако поразмыслив, разработчики решили сократить наименование до акронима ICQ. Под этим именем мессенджер и появился на свет.
• Готовая программа для Windows у разработчиков уже имелась, а вот денег на её продвижение не было. За инвестициями разработчики обратились к отцу Арика Варди — Йосси Варди — одному из основателей израильского химического гиганта Israel Chemicals. Он и стал первым инвестором Mirabilis, вложив в компанию несколько сотен тысяч долларов. Однако высокоскоростной широкополосный интернет в Израиле был слишком дорог, поэтому компания открыла штаб-квартиру в Сан-Хосе, штат Калифорния, где и трафик, и хостинг стоили дешевле.
• Уже к следующему 1997 году у ICQ насчитывалось 5 млн. пользователей, ежедневно сообщениями обменивались более 1,3 млн. человек. Тогда же вышла версия программы для Apple Macintosh. Аудитория мессенджера стремительно росла. «Аська» действительно была удобной: у каждого пользователя имелся уникальный идентификатор (UIN), по которому его можно было отыскать в сети, причем короткие или «красивые» UIN — с повторяющимися цифрами — быстро стали в интернете ходовым товаром.
• Однако уже в следующем году красивая история успешного израильского стартапа завершилась. Имеющихся технических ресурсов уже не хватало для поддержки стремительно растущей базы пользователей, компания встала перед дилеммой: либо искать значительные средства на покупку оборудования, либо продавать проект. А в потенциальных покупателях недостатка не было: переговоры с Mirabilis вела корпорация Microsoft и America On-Line, которая развивала свой продукт AIM Messenger, встроенный в браузер Netscape. В итоге ICQ досталась AOL — cумма сделки составила 407 миллионов долларов.
• Покупка позволила AOL объединить протоколы AIM и ICQ, в результате чего на свет появился гибрид под названием OSCAR. «Аська» продолжала развиваться — к 2005 году количество пользователей перевалило за 500 миллионов. Примерно в то же время стали появляться альтернативные клиенты ICQ, поддерживавшие тот же протокол передачи сообщений: например, Miranda или сверхпопулярный в России QIP.
• К началу 2010 программ для обмена сообщениями стало очень много, наметился отток аудитории в WhatsApp и Viber. Оценив свои перспективы, AOL продала ICQ фонду Алишера Усманова и Юрия Мильнера Digital Sky Technologies за 187,5 млн. долларов, и осенью 2010 года ICQ стала частью Mail.Ru Group.
• Изначально новый владелец планировал объединить ICQ с мессенджером «Агент Mail.Ru», но по различным причинам этого не случилось. ICQ продолжала терять аудиторию: к 2013 году она составляла всего лишь 11 миллионов человек, из которых 6,7 миллионов были россиянами. В 2016 году исходный код ICQ выложили в публичный доступ на GitHub, а сам проект был перезапущен, но, тем не менее, 26 июня этого года, проект решили закрыть. Так завершилась история "Аськи", которая была в свое время отличным мессенджером...
#Разное
🤖 IoT. Как появился интернет вещей?
• Самый известный в мире физик-футоролог Никола Тесла еще в 1926 году предсказал появление того, что сейчас мы называем интернетом вещей. В интервью журналу Collier’s ученый рассказал, что в будущем все физические предметы объединятся в огромную систему. Более того, он предположил, что приборы, с помощью которых такое объединение станет возможным, будут размером со спичечный коробок и легко поместятся в кармане. Имел ли он в ввиду именно смартфон, уже никто не узнает. Да и инструкций для изготовления таких технологических новшеств Тесла не оставил.
• Неформально история технологии интернета вещей началась с автомата Coca-Cola в 1982 году. Сначала это был обычный вендинговый аппарат на третьем этаже университета Карнеги-Меллон. Запасы бутылок в нем заканчивались очень быстро, и студенты, поднимаясь на третий этаж, как правило, разочарованно возвращались в аудиторию с пустыми руками. Чтобы не подниматься наверх почём зря, они установили в автомате датчики, проверяющие не только то, есть ли напиток в автомате, но и определяющие его температуру. Студенты подключили автомат к университетскому компьютеру PDP-10. Через него они проверяли, можно ли уже идти за банкой газировки. За рамки студенческой самодеятельности этот проект так и не вышел, и технология IoT появилась спустя несколько лет.
• Кстати, у Coca-Cola ранее были очень оригинальные решения на основе уже привычного IoT. Среди самых «хайповых» оказались: автомат дружбы между Индией и Пакистаном (страны с 1947 года враждуют из-за спорной территории Кашмир. В 2013 году, чтобы наладить отношения между жителями стран, в них установили аппараты, которые транслировали происходящее в другой стране и за добрые жесты и приветствия раздавали напитки), Coke Hug Machine в Сингапуре (датчики срабатывали на человеческое тепло, нужно было обнять автомат, чтобы получить напиток) и акция ко дню Всех влюблённых в Стамбуле (автомат включался при приближении двух идущих близко друг к другу людей и выдавал бесплатные напитки за объятия).
• Официальная история IoT начинается в 1990 году, когда один из создателей протокола TCP/IP Джон Ромки привез свой домашний тостер на выставку технологий Interop и продемонстрировал публике причудливый эксперимент: он смог приготовить тост без прямого контакта с прибором, управляя им через удалённое подключение.
• Объединить предметы в единую сеть и управлять ими через интернет тогда не было самоцелью разработчиков. Все великое, как водится, рождается случайно. Так и тостер был всего лишь демонстрацией революционной на тот момент технологии RFID.
• Радиометки пиарили как могли: ими повсеместно обклеивали товары на складах и магазинах. Суть интернета вещей тогда сводилась к дистанционному учёту и контролю предметов с помощью радиосигнала. Соответственно, первыми «вещами» стали именно коробки с товаром, а ритейл — первой отраслью, в которой применялся IoT.
• Правда, самого термина «интернет вещей» тогда ещё не было, его ввели в обиход лишь спустя девять лет. Разработчики RFID свою миссию выполнили: популяризировали технологию, а об умном тостере почти на десятилетие все забыли. Впрочем, в 2017 году Джон Ромки сообщил, что тот тостер до сих пор «иногда поджаривает хлеб» у него дома..
• Еще одним прародителем интернета вещей считается умный фонтан. В 1998 году компьютерный учёный Марк Уэйзер научил городскую достопримечательность работать синхронно с переменами на фондовом рынке...
#Разное #IoT
Пока кто-то загорает, вы можете прокачать навыки и поднять себе грейд — отдыхая и учась в удобном ритме.
🔥До конца августа:
Курсы для разработчиков, инженеров и DevOps со скидкой -50%
- Gitlab CI/CD р.25 000 р.12 500
- Безопасность проекта c Keycloak р.25 000 р.12 500
- Безопасность в Kubernetes р.45 000 р.22 500
- Data-инженер р.35 000 р.17 500
- Golang-разработчик р.45 000 р.22 500
- Terraform: автоматизация инфраструктуры р.30 000 р.15 000
и еще 17 курсов
🏖Получите промокод в боте
"Если бы не синие коробки, Apple бы не существовало". — Стив Джобс.
• «Фрикеры» (фанаты телефонных систем) использовали «синие коробки» для доступа к бесплатным телефонным услугам ещё в 1950-х годах, первую цифровую blue box спроектировал Стив Возняк в 1972 году. Её рекламировали и продавали сам Возняк (взявший себе фрикерское имя «Berkeley Blue»), Джобс (известный под именем «Oaf Tobar») и их друзья из Калифорнии в 1972 и 1973 годах.
• Возняк говорил, что они изготовили 40-50 устройств, а Джобс утверждал, что сотню; но определённо известно, что многие коробки были конфискованы, когда усилились аресты фрикеров в 1973-1975 годах. Эти синие коробки являются результатом первого коммерческого сотрудничества двух гигантов, ставших основателями Apple, а их печатные платы стали для Возняка первым опытом изготовления плат.
• Всё началось 1971 году, когда журнал «Esquire» опубликовал статью «Секреты маленькой синей коробочки» с подзаголовком «История настолько невероятная, что она заставит вас сочувствовать телефонной компании». В статье рассказывалось о группе инженеров, разобравшихся в том, как взламывать автоматические коммутационные системы Bell, свободно перемещаясь по междугородним телефонным системам Bell при помощи специальных частот, генерируемых «синими коробками». История этих «телефонных фрикеров» стала сенсацией, а особенно важным читателем статьи был молодой студент-инженер Беркли по имени Стив Возняк. Первым делом после прочтения статьи Воз позвонил своему хорошему другу Стиву Джобсу, который пока ещё учился в старших классах школы. На следующий день они запрыгнули в машину и направились в библиотеку Стэнфордского линейного ускорителя, чтобы прошерстить полки в поисках зацепок, позволивших бы им уточнить подробности описанного в «Esquire».
• Стив и Воз нашли нужную информацию и спустя три недели Возняк смог спроектировать устройство, а в течение следующих нескольких недель Возняк усовершенствовал конструкцию, в результате создав первую в мире цифровую синюю коробку, способную создавать гораздо более устойчивую частоту, чем предыдущие аналоговые устройства.
• Имея на руках «синюю коробку», двое молодых людей и их друзья начали исследовать телефонную систему, благодаря чему произошла знаменитая история Возняка: он позвонил в Ватикан, представился Генри Киссинджером и позвал к трубке Папу римского (к сожалению, в это время тот спал). Вскоре после этого Джобс придумал план по распространению этих устройств среди студентов Беркли, желающих делать бесплатные телефонные звонки. Они стучались в случайную дверь общежития Беркли и спрашивали человека с придуманным именем, которого, конечно, не обнаруживалось. Они объясняли, что ищут парня, которые делает бесплатные телефонные звонки при помощи синей коробки. Если собеседник высказывал интерес или любопытство, то они продавали ему коробку.
• Благодаря изобретательному маркетинговому плану Джобса и архитектуре Возняка им удалось заработать на проекте около 6000 долларов, собирая устройства с себестоимостью 40 долларов и продавая их за 150 долларов. Вспоминая всю эту историю, Стив Джобс говорил: «Мы с Возом учились работать вместе и выработали уверенность, что можем решать технические проблемы и действительно что-то производить». Так началась история их сотрудничества, результатом которого стала компания Apple...
#Разное
⚡ Хорошие новости: разыгрываем 3 новых книги для изучения Linux.
• 10 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны как начинающим, так и опытным специалистам:
- Изучаем Kali Linux. 2 изд.
- Linux. Карманный справочник. 4-е изд.
- Linux. Командная строка. Лучшие практики.
• Итоги подведём 23 августа в 14:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
Когда узнал, что можешь зарабатывать на XSS и уязвимостях 😎
Курс «Тестирование Веб-Приложений На Проникновение» от Академии Кодебай — твой путь в багхантеры. Сейчас идёт набор — и до конца августа действует скидка до 17%.
⌨️ Начать учиться и зарабатывать
📱 Подборка материалов по мобильной безопасности.
• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:
• iOS Security Awesome:
➡Инструменты анализа;
➡Инструменты защиты;
➡Уязвимые приложения;
➡Видео;
➡Статьи.
• Android Security Awesome:
➡Инструменты анализа;
➡Общие;
➡Динамический анализ;
➡Онлайн анализаторы;
➡Инструменты защиты;
➡Уязвимые приложения;
➡CTF;
➡Прохождение CTF;
➡Видео;
➡Подкасты;
➡Статьи.
#ИБ
🪙 С чего всё началось: история Bug Bounty.
• Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала 200 золотых гиней (что-то около $30 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс принял вызов и справился с задачей за 25 минут, получив награду.
• Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.
• Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle. Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.
• К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер, обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.
• И 10 октября 1995 года Netscape запустили первую программу Bug Bounty (анонс на фото). Они платили пользователям бета-версии браузера Netscape Navigator 2.0, которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным, Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили не только деньги, но и товары из магазина Netscape.
• Что касается последователей Netscape, то первым в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500...
#bb #Разное
• Программа 90-дневного обучения по кибербезу, которая содержит ссылки на материалы, видео и онлайн-лабы.
➡Network+;
➡Security+;
➡Linux;
➡Python;
➡Traffic Analysis;
➡Git;
➡ELK;
➡AWS;
➡Azure;
➡Hacking.
➡️ https://github.com/farhanashrafdev/90DaysOfCyberSecurity
#ИБ
👨💻 opensource builders.
• Пост выходного дня: https://opensource.builders — очень полезный сервис, который содержит бесплатные аналоги известных коммерческих решений. Весь софт имеет открытый исходный код и аккуратно распределен по категориям. К примеру есть аналог Notion, Teams, Discord, Teamviewer и т.д. Однозначно в закладки!
#Разное
💿 Как распространялся open-source-софт в 90-х годах...
• Распространение ПО с открытым исходным кодом никогда не был настолько простым и быстрым, как сейчас. Повсеместная доступность интернета и удобные инструменты позволяют получать доступ к открытому ПО в любое время. Но в начале 90-х, когда интернет лишь начал широко распространяться среди обычных людей, ситуация была полностью противоположной. Даже там, где интернет уже был, пользователям зачастую было проще скопировать данные на дискету и принести эту дискету в другое место. Такое явление шутливо называли «флоппинет».
• Когда требовалось передать большой файл, его сжимали с помощью архиватора. Полученный архив разделяли на части, не превышающие стандартной ёмкости 3,5” дискеты. Каждая часть записывалась на отдельный носитель, а на принимающей стороне архив собирался в обратном порядке и нужные данные извлекались на компьютер. Появление компакт-дисков стало революционным событием, ведь их ёмкость была в 500 раз выше и архиваторы потеряли своё значение. Ну почти. Это время стало «золотым веком» для одной из первых в мире компаний-дистрибьюторов открытого ПО — Walnut Creek Software.
• Компания Walnut Creek Software была основана в августе 1991 года и изначально стала заниматься изданием сборников приложений на компакт-дисках. До появления Архива интернета существовал похожий проект The Simtel archive, представлявший собой хранилище бесплатного и условно-бесплатного программного обеспечения. Там были приложения для самых разных операционных систем.
• Проблем было ровно две: где хранить и как давать доступ. На первых порах (с 1979 по 1983 год) Simtel жил на компьютере PDP-10 в недрах Массачусетского технологического института. Потом ресурсы этой ЭВМ понадобились для других целей — и проекту пришлось срочно искать куда «переехать».
• Одним из вариантов для размещения архива стал мейнфрейм DECSYSTEM-20. Более того, этот мейнфрейм работал в ARPANET, что дало возможность организовать доступ по FTP с адресом simtel20.arpa
• Со временем архив разрастался, и стало ясно, что нужен ещё какой-то механизм доставки. Доступ в сеть был не у всех, так что было решено записывать содержимое на компакт-диски и рассылать всем желающим за небольшую плату. Этакий флоппинет на максималках. Вокруг этой идеи и был построен бизнес Walnut Creek Software.
• Спустя некоторое время компания решилась на эксперимент. Они стали не только выпускать сборники софта на компакт-дисках, но и организовали один из самых популярных FTP-серверов того времени — ftp.cdrom.com. В 1993 архив Simtel был вынужден вновь искать площадку для размещения. И именно Walnut Creek Software протянул руку помощи. Другие архивы, такие как Aminet (софт для компьютеров Amiga) и CICA Shareware (коллекция условно-бесплатных приложений для Windows), также стали выпускаться на физических носителях и получили место на FTP.
• К тому времени были налажены очень тесные связи с проектом FreeBSD, что превратилось в отличную коллаборацию. Walnut Creek Software стали издавать FreeBSD на компакт-дисках, сделали дистрибутивы доступными на своих серверах и даже стали спонсировать конференции по этой операционной системе. Это резко увеличило приток клиентов, которые стали всё более активно заказывать диски.
• Но всё, что имеет начало, имеет и конец. К концу 90-х годов всё больше людей стало получать доступ к интернету. Посещаемость их FTP-сервера стала рекордной. Так, в 1998 году FTP-сервер в среднем раздавал 417 Гб за сутки, а спустя год эта цифра увеличилась вдвое. Интерес к программному обеспечению на компакт-дисках неуклонно снижался, и это стало сокращать доходы компании.
• Чтобы оставаться на плаву, в 2000 году Walnut Creek Software объединилась c Berkeley Software Design. Предполагалось, что компания при этом сможет сфокусироваться на FreeBSD и производных. Увы, но последующие слияния и поглощения не оставили от первоначальной компании ни следа. Спустя несколько лет активы были поделены между новыми собственниками, а идея о дистрибуции открытого программного обеспечения на физических носителях канула в Лету...
#Разное
❗️MaxPatrol BAD обращает внимание аналитиков SOC на наиболее подозрительные события ИБ. Внутренние тесты на потоке событий во время атак на инфраструктуру показали, что 90% алертов от MaxPatrol SIEM AI/ML-модуль отнес к реальным атакам.
Модуль, интегрированный с системой MaxPatrol SIEM 8.6, описывает контекст инцидента, объясняя последовательность сработки, что позволяет быстрее выявлять уникальные атаки и расследовать киберинциденты.
⏱️ На развертывание и запуск нужно не больше часа при наличии выделенной инфраструктуры и организованного сбора событий в MaxPatrol SIEM.
Не требует регулярных обновлений или постоянной ручной донастройки. Автономные и адаптивные механизмы обучения начинают работать сразу после инсталляции, а первые релевантные результаты можно получить с первой недели использования.
Записывайтесь на тест-драйв и оцените возможности AI/ML-модуля в составе MaxPatrol SIEM.
• В блоге этичного хакера bobdahacker вышла очень забавная статья, где описана история взлома McDonald’s.
• Всё началось с того, что исследователь обнаружил баг, который позволял сгенерировать неограниченное кол-во баллов и заказать любое кол-во еды через приложение McDonald’s. Достаточно было поправить код и отправить запрос, так как кол-во баллов на стороне сервера не проверялось! Баг исправили через несколько дней, однако bobdahacker обнаружил еще ряд уязвиомстей...
• На одном из сайтов McDonald’s, который используют маркетологи и всевозможные агенства в 120 странах, была возможность зарегистрировать аккаунт заменив в URL слово «login» на «register»: https://admin.me.mcd.com/feel-good-design/register. После регистрации McDonald’s прислал исследователю пароль открытым текстом на указанный почтовый адрес (не ссылку для создания, а сразу пароль).
• Далее bobdahacker обнаружил api ключ в JavaScript-коде портала. Он мог выгрузить список всех пользователей системы, отправлять официальные электронные письма от имени Мака на любые адреса, запустить фишинговую кампанию и т.д. Но самое забавное здесь то, что ребятам из Мака потребовалось целых 3 месяца на исправления всех уязвимостей. Однако это еще не конец.
• В McDonald's есть всевозможные порталы для сотрудников разных уровней. Одним из таких порталов является GPS - это такая панель, которая предназначена для владельцев франшизы. Суть в том, что данный портал не требовал аутентификации для выполнения административных функций. Т.е. любой сотрудник мог внести любые изменения на данном сайте. В качестве демонстрации на главную страницу вывели Шрека и потом вернули все обратно (скриншот выше). Доступ к данному порталу bobdahacker смог получить благодаря своему другу, который работал в Маке и согласился помочь зайти в сервис. Кстати, друга после такой помощи уволили)))
• Помимо этого нашли баг с одноразовыми купонами в клиентском приложении CosMc's (название нового ресторана McDonald’s). Эти купоны должны были быть одноразовыми, но опять же, на стороне сервера такая проверка не осуществлялась. Можно было использовать купон бесконечное кол-во раз.
• Обнаружив значительное кол-во уязвимостей наш герой попытался связаться с кем-либо, кто отвечает за безопасность, но никаких контактов найти не смог. С помощью LinkedIn Боб обнаружил несколько имен сотрудников, которые работают совершенно в другом направлении. Он решил позвонить на горячую линию и попросил переадресовать его на этих сотрудников. Спустя время с ним связались и получили всю необходимую информацию об уязвимостях. На устранение всех багов у McDonald’s ушло 3 месяца...
➡ https://bobdahacker.com/blog/mcdonalds-security-vulnerabilities
#Новости
🪟 Появление меню "Пуск" в Windows.
• А вы знали, что меню "Пуск" впервые появилось в Windows 95? Оно ознаменовало собой революцию в пользовательском взаимодействии с операционной системой. Правда, понятно это стало много позже. Тем более, что реализация этого компонента в Windows 95 на техническом уровне отличалась не только от того, что мы видим в ОС сегодня, но даже от исполнения в Windows NT.
• В Windows 95 меню "Пуск" базировалось на предварительно подготовленных растровых, или битмаповых изображениях. Этот подход, хотя и эффективный для своего времени, имел ряд ограничений:
➡Фиксированный размер и разрешение;
➡Ограниченная масштабируемость;
➡Высокое потребление ресурсов памяти;
➡Сложности с локализацией и кастомизацией.
• При разработке Windows NT команда Microsoft приняла решение о радикальном переосмыслении технической реализации меню "Пуск". Ключевой целью стало создание компонента, который бы отрисовывался в реальном времени посредством программного кода, а не полагался на предварительно подготовленные изображения.
• При имплементации нового подхода разработчики столкнулись с рядом проблем, одной из которых была необходимость отображения вертикального текста для боковой панели меню. На тот момент Windows API не предоставляло прямых способов для решения этой задачи.
• Решение было найдено благодаря уникальным возможностям Windows NT. Эта версия позволяла осуществлять ротацию контекста устройства (device context, DC). Этот механизм открыл путь к программной реализации вертикального текста без необходимости в специальных растровых изображениях.
• Меню "Пуск" продолжало эволюционировать с каждым новым релизом Windows, адаптируясь к меняющимся требованиям пользователей и технологическим возможностям. Однако не все изменения были успешными. Наиболее заметным экспериментом стало удаление классического меню "Пуск" в Windows 8 в пользу полноэкранного интерфейса Metro.
• Этот радикальный отход от привычной парадигмы вызвал значительное недовольство пользователей, включая некоторых разработчиков, которые быстро вернулись к использованию Windows 7. Негативная реакция сообщества привела к возвращению модифицированного меню "Пуск" в Windows 10 и 11, которое сочетало в себе элементы классического дизайна с новыми функциональными возможностями...
#Разное #Windows
📚 Phrack is written by hackers, for hackers!
• Сегодня вышел новый выпуск легендарного хакерского журнала Phrack, в котором представлено 15 новый статей, включая материал о взломе одного из участников северокорейской хакерской группы Kimsuky.
• Кстати, в этом году Phrack исполняется 40 лет. Очень серьезная дата, но олдскул еще жив и не перестает удивлять качественным материалом:
➡The Art of PHP - My CTF Journey and Untold Stories!
➡Guarding the PHP Temple;
➡APT Down - The North Korea Files;
➡A learning approach on exploiting CVE-2020-9273;
➡Mapping IOKit Methods Exposed to User Space on macOS;
➡Popping an alert from a sandboxed WebAssembly module;
➡Desync the Planet - Rsync RCE;
➡Quantom ROP;
➡Revisiting Similarities of Android Apps;
➡Money for Nothing, Chips for Free;
➡E0 - Selective Symbolic Instrumentation;
➡Roadside to Everyone;
➡A CPU Backdoor;
➡The Feed Is Ours;
➡The Hacker's Renaissance - A Manifesto Reborn.
➡ https://phrack.org/issues/72/1
#Ezine #Phrack
🎣 Evilginx3 Phishlets.
• Вероятно, Вы уже слышали о таком инструменте, как Evilginx — это обратный прокси‑сервер, который проксирует соединение между пользователем и целевым веб‑ресурсом, позволяя перехватить логин, пароль и ключи сеанса. С помощью этого фреймворка можно обойти двухфакторную аутентификацию.
• В Evilginx используются фишлеты — это такие файлы, которые задают правила основной работы Evilginx. В фишлетах указывается, по каким параметрам определять авторизацию, как выглядят cookie-сессии и все другие данные для успешного фишинга.
• Так вот, с такими фишлетами можно ознакомиться в репозитории по ссылке ниже. Тут вы найдете интерактивные логон-страницы основных облачных сервисов Google, AWS и Microsoft. Всё собрано под Evilginx3: https://github.com/simplerhacking/Evilginx3-Phishlets
• Учитывайте, что этот материал для тех, кто хочет понять, как проводятся фишинговые атаки и как обезопасить пользователей от фишинга через reverse proxy.
#Фишинг
🔗 ДНК веб-сайтов.
• urlDNA — бесплатный, комплексный и мощный онлайн инструмент для исследования веб ресурсов. Умеет собирать очень много необходимой информации для анализа:
- Скриншот страницы;
- Информацию по SSL сертификату;
- IP адреса;
- Заголовки и содержание страницы;
- Печеньки;
- Выводит информацию о сервисах аналитики, фреймворках, веб-серверах и т.д.;
- Показывает консольные сообщения и еще кучу всякой всячины...
➡ https://urldna.io
• К слову, инструмент имеет открытый исходный код, а в репозитории есть много полезной информации: https://github.com/urldna/urldna
• И не забудьте посетить блог разработчиков на urldna">Medium [VPN], тут есть описание функционала и urldna/how-to-effectively-use-the-search-function-on-urldna-io-a-step-by-step-guide-4afc69987ecc">пошаговое руководство.
#Разное
📚 Словари на любой вкус и цвет.
• Использование подходящих словарей во время проведения тестирования на проникновение во многом определяет успех подбора учетных данных. Не может быть одного самого лучшего словаря – под разные ситуации требуются разные словари.
• По ссылке ниже доступно более 1500 файлов, а их общий вес составляет более 2.5 ТБ. Весь материал доступен абсолютно бесплатно и без каких-либо ограничений, а загрузку можно осуществить через torrent. А еще у сервиса есть API для автоматизации и интеграции в собственные инструменты.
➡ https://weakpass.com
#Пентест
📱 Пост выходного дня: хакерский мультитул из старого смартфона.
• Возможность свободного выбора устройств, приложений и информации сейчас — движущая сила, которая мотивирует разработчиков создавать и совершенствовать свои продукты. Сегодня обсудим, какая альтернатива может быть у знаменитого Flipper Zero и реализуем альтернативу с помощью старого смартфона.
➡️ https://habr.com/ru/post/848524/
#ИБ
Один из наших читателей, занимается переводом книг, с английского языка на русский. Это очень большой труд и большая трата времени. Его усилиями, на русский язык была переведена книга: Quick Start Guide to Penetration Testing: With NMAP, OpenVAS and Metasploit by Sagar Rahalkar.
👾 VT.
Язык: RU
#NMAP #Metasploit #OpenVAS #Пентест #Pentest #Книга