infosec

23 December 2025 14:05

📞 Как устроены мобильные номера.

• Начнем с истории. Самые первые телефоны были предназначены только для конкретных домов и соединялись непосредственно напрямую. Так как прокладывать связь дорого, их использовали либо правительственные органы либо богатые люди. Так как телефония начинает активно развиваться почти сразу же приходит мысль, что соединять телефоны напрямую не разумно, гораздо лучше иметь центр, к которому подключены множество телефонов и данный центр может переключать вас с телефоном, по его номеру. Так появляются телефонистки, которые вручную переключает вас по номеру телефона.

• Так собственно и появляется самая первая нумерация в Англии, США и т.д. Но в самом начальном этапе нумерация была децентрализована, не существовало никого стандарта номеров телефонов, как правило это были трехзначные номера, например 867, так как телефонов было довольно мало. И совсем немного времени проходит как уже телефонные линии покрываются почти повсеместно, но так как каждая страна ведет собственную нумерацию, нет возможности позвонить за рубеж, тогда то и возникает идея создание единого стандарта, которому подчинялись бы все люди мира, чтобы у каждого человека был свой уникальный номер, по которому можно дозвониться.

• E.123 и E.164 именно под такими номерами Международный Консультационный Комитет по Телефонии и Телеграфии разработал рекомендации согласно которым мы устанавливаем номера и по сей день. Первое правило, все номера в международном формате, без исключения начинаются со знака +.

• После знака + идут следующие цифры, которые указывают страну, что и называется кодом страны. Длина может доходить до 6 цифр, но как правило это занимает одну две или три цифры. Основная идея заключается в том, чтобы каждой стране раздать свой номер, внутри которого также есть множество номеров. Как распределить эти номера должно решать правительство данной страны. Как вы видите на карте выше, было принято решения поделить весь мир на 9 частей в соответствии с географической принадлежностью страны, код страны будет начинаться на эту цифру.

• Кстати, если вы наберете +8, то вы позвоните в Китай, либо Японию. Но если вы наберете 8 без плюса, то вы также попадаете в Россию. Это было сделано еще в СССР для удобства, чтобы не искать в телефоне знак плюс, для внутренних звонков, если оператор получает от вас телефон без знака плюс с 8, то просто меняет его на +7, но это работает только в России и по сей день. Если вы попробуете набрать такой номер телефона в другой стране, оператор просто скажет что номер некорректный, либо обработает не так как вы ожидаете.

• После кода страны идет номер телефона. Таким образом, что для каждой страны мы имеем столько номеров, что хватает на каждого человека проживающего в этой стране.

• У каждой страны есть примерно по 10 миллиардов номеров. Формально правительство страны само решает как распоряжаться этими номерами и кому их выдавать, но тем не менее также в выше сказанных рекомендациях E.123 E.164 было рекомендовано использовать всем странам первые 3 цифры из 10 для обозначения региона. Так как каждая страна делится на части, например Россия на субъекты, США на штаты, Италия на провинции и т.д. Количество деления в каждой стране не превышает 1000. Следовательно 3 цифры, в которой можно пронумеровать 1000 номеров, хватает с головой. И данной рекомендации прислушались и выполнили почти все государства, правда в некоторых местах используются первые 4 цифры для обозначения региона.

• Последние семь цифр указывают уникальный номер каждого абонента. Если кто-то помнит или знает, раньше были домашние телефоны и как правило там номера были из семи, шести или пяти цифр. Лично у меня было 5 цифр (4-33-28). На самом деле при наборе такого номера оператор автоматически дописывал вначале двойки или шестёрки, чтобы цифр стало семь, затем приписывает номер региона в котором ты находишься затем приписывает код страны в которой ты находишься и по итогу ты просто звонишь в собственный город абоненту номер которого ты указал.

#Разное

infosec

22 December 2025 17:29

• Оказывается, что в 2003 году Nokia выпустила интересную модель телефона - 3108, который был предназначен только для китайского рынка.

• Интерес был вызван прежде всего конструкцией данной модели: он был оснащен флипом с обычной буквенно-цифровой клавиатурой, под которым располагалась сенсорная область с кнопками и пространством для рукописного ввода букв и цифр. В комплект поставки входил странноватого вида стилус, который крепился к задней панели.

• Кстати, такой же стилус был и в модели 6208с – этот телефон тоже продавался только в Китае. К слову, это было первое устройство на платформе Series 40 с сенсорным экраном. Появился он в 2008 году – задолго до телефонов серии Touch and Type, которые поставлялись в том числе и на российский рынке.

#Разное

infosec

22 December 2025 12:30

• Очень крутое и актуальное, на текущий момент времени, пошаговое руководство по созданию собственного сервиса для видео и аудиозвонков, что позволит оставаться на связи с семьей в любой момент времени.

• По итогу мы получаем решение, которое:

➡Работает из одного бинарника — скачал, запустил, работает. Нужен Root, чтобы биндить порты <10K, можете собрать из сорцов (предложения по выпиливанию необходимости рута приветствуются);
➡Автоматически настраивается — сертификаты, ключи, TURN-сервер всё генерируется само;
➡Работает за NAT — встроенный TURN-сервер обеспечивает соединение даже в сложных сетевых условиях;
➡Шифрует всё, кроме TURN — HTTPS + DTLS-SRTP для полной защиты;
➡Не требует внешних зависимостей — всё работает локально на вашем сервере;
➡Дешёвое в эксплуатации — нужен только домен (~500₽/год) и VPS (~200₽/месяц).

• Вся необходимая информация по реализации такого решения есть на хабре и на github.

#Разное #Связь

infosec

22 December 2025 05:30

• Доброе утро...🫠

#Понедельник

infosec

20 December 2025 14:55

• Как поймать мошенника? Оказалось, что очень просто.

#Юмор

infosec

19 December 2025 17:01

• Уверен, что многие из вас знают и использовали тулзы SysInternals (Winternals) для администрирования и диагностики Windows! Эти инструменты известны с незапамятных времён. Но не каждый в курсе, что эти незаменимые инструменты написаны вовсе не компанией Microsoft. Скорее наоборот, они написаны вопреки её желанию.

• Все эти инструменты, количество которых составляет более 60, написал Марк Руссинович. Он доказал, что в одиночку способен интеллектуально продавить мегакорпорацию. И той придётся заплатить ему огромные деньги, и даже взять на работу. Потому что повторить его программы Microsoft не сумела…

• Началось всё в 1996 году Марк вместе с Брайсом Когсвеллом соучредили компанию Winternals Software, где Руссинович занимал должность главного архитектора программного обеспечения. Одновременно был запущен сайт sysinternals.com, на котором напарники написали и опубликовали десятки популярных утилит. Все программы поначалу были бесплатными.

• Можно сказать, что утилиты Winternals выставили Microsoft в невыгодном свете. Все ясно увидели, какой функциональности сильно не хватает в операционной системе, каких настроек там нет, что сделано коряво по дефолту. И удивительно, что все эти косяки продемонстрировал по сути один программист. Фактически, Марк знал ядро Windows и умел программировать лучше, чем тысячи разработчиков редмондской корпорации.

• Большинство утилит в базовой версии распространялись бесплатно, но компания продавала профессиональные версии этих инструментов, а также отдельный коммерческий софт для восстановления данных.

• В общей сложности Марк с Брайсом написали более 65 утилит. Судя по всему, даже после основания компании и найма джуниоров они работали ведущими программистами и писали часть кода.

• Сейчас Microsoft продолжает поддержку и обновление многих из этих инструментов, и даже выпускает версии под Linux.

• В июле 2006 года Microsoft купила Winternals Software и все её активы. Марк объявил эту новость в своём блоге и пояснил, что продолжает распространение утилит из комплекта Sysinternals до тех пор, пока Microsoft против этого не возражает.

• Однако не всё пошло гладко. Сразу после сделки с Microsoft с сайта была удалена утилита NT Locksmith для восстановления "забытых" паролей Windows. Вероятно, юристы посчитали, что её можно использовать для взлома, то есть для несанкционированного доступа к компьютерной информации, за что предусмотрена статья в УК.

• Первоначально Марк Руссинович получил должность технического специалиста в подразделении платформ и сервисов Microsoft, в сферу которого входит разработка ядра Windows. Со временем его таланты проявились более очевидно - и к 2014 году он дорос до технического директора в Microsoft Azure.

• Эта история показывает, что большой успех может начинаться с очень маленького дела - одной или простой утилитки, написанной буквально за вечер. Так было и с Winamp, хотя о гениальности Франкеля не идёт и речи, потому что достаточно было набросать GUI и портировать под Windows готовый плеер. Однако с Марком Руссиновичем совершенно другая история. Он действительно проявил себя как высококлассный системный программист, заработал уважение миллионов системных администраторов, которые до сих пор используют его утилиты каждый день. Подобное уважение миллионов людей и собственный талант всегда легко конвертировать в деньги, если есть такое желание.

• Кстати, Брайс Когсвелл уволился в 2010-м, а Марк Руссинович до сих пор работает в Microsoft. Что касается инструментов, то скачать их можно по этой ссылке: https://learn.microsoft.com/en-us/sysinternals/downloads

#Разное

infosec

19 December 2025 12:05

• Недавно были поведены итоги соревнований ZeroDay Cloud, проведённых на конференции Black Hat Europe и нацеленных на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. В ходе соревнований было продемонстрировано 11 ранее неизвестных уязвимостей в Redis, PostgreSQL, MariaDB, ядре Linux и Grafana. Размер выплаченных вознаграждений составил 320 тыс. баксов при общем заявленном призовом фонде в $4.5 млн.

• По правилам соревнований участники должны были продемонстрировать рабочие эксплоиты для ранее неизвестных уязвимостей. В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений были размещены на GitHub.

• Продемонстрированные атаки:

➡Пять атак на СУБД Redis, которые привели к удалённому выполнению кода при аутентифицированном доступе (пять премий в $30 000).
➡Три атаки на СУБД PostgreSQL, которые привели к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000).
➡Атака на СУБД MariaDB, которая привела к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000).
➡Удалённое выполнение кода в платформе визуализации данных Grafana при аутентифицированном доступе к интерфейсу ($10 000).
➡Атака на ядро Linux, позволившая выйти из изолированного контейнера в Ubuntu ($40 000).
➡Две попытки атаки на vLLM и Ollama оказались неуспешными, так как участникам не удалось уложиться в отведённое время.

• Победителем объявлена команда Team Xint Code, которая смогла взломать Redis, PostgreSQL и MariaDB, благодаря чему ребята смогли забрать 90 тысяч долларов. Самое забавное, что все найденные уязвимости, которые нашли Team Xint Code, были выявлены при помощи AI-анализатора Xint Code.

• Невостребованной осталась наиболее крупная премия в 300 тысяч долларов, назначенная за взлом nginx, а также премии размером 100 тысяч долларов, предложенные за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB при неаутентифицированном доступе. Заявки также не поступили на взлом Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins и GitLab CE.

• Подробности о характере уязвимостей пока не сообщаются. В соответствии с условиями конкурса детальная информация о всех продемонстрированных уязвимостях передана разработчикам проблемных проектов и будет опубликована после выпуска производителями обновлений с устранением уязвимостей.

➡️ https://www.wiz.io/wiz-zeroday-cloud-hacking

#Новости #CTF

infosec

18 December 2025 17:02

⏳ Запланированное устаревание.

• В 1924 году в Женеве собрались представители крупнейших производителей лампочек и основали картель Phoebus. Его цель звучала просто: сократить срок службы ламп ради уверенных объемов продаж. В итоге, инженеры, чья профессия заключалась в улучшении продукции, внезапно получили задачу делать её хуже - но контролируемо хуже. Они разрабатывали стандарты, тесты и даже штрафы за слишком долгую работу ламп.

• Теперь представьте, на дворе 1920-й год (4 года до основания Phoebus). Время, когда электричество перестало быть диковинкой. Лампочки Эдисона, некогда горевшие жалкие 40 часов, теперь, благодаря вольфрамовой нити, достигали 2500-3000 часов свечения. Отдельные экземпляры работали годами: так в парижском отеле "Ritz" люстры светили без замены 8 лет, а на заводах рабочие хвастались лампами, пережившими трех владельцев.

• А вот производители страдали от непредсказуемых продаж. Дело в том, что на рынке существовали тысячи мелких фирм, и выбор покупателя был совершенно непредсказуем. Тот же Osram, продавший в Германии в 1922 году 63 миллиона лампочек, в 1923-м обвалился до 28 миллионов. Глава Osram Уильям Мейнхардт был первым, кто предложил "навести порядок" в индустрии.

• В Phoebus вошли: немецкая Osram, голландская Philips, французская Compagnie des Lampes, американская General Electric, венгерская Tungsram, британская Associated Electrical Industries и японская Tokyo Electric. Официально картель назывался "Конвенция по развитию и прогрессу международной индустрии ламп накаливания". И в этом была заложена огромная ирония, так как настоящая цель была другой - разделить мировой рынок между участниками и установить единый стандарт долговечности в ~1000 часов, т.е. около года горения по 3-4 часа в день.

• Чтобы обеспечить выполнение этого требования, каждая фабрика-участник была обязана регулярно отправлять образцы ламп в центральную лабораторию в Швейцарии. Если лампочки горели сильно дольше или меньше установленного срока - производитель получал штраф.

• Самое интересное - это была не просто халтура, любой дурак мог бы сделать плохую лампочку. Задача стояла сложнее: нужно было создать такой товар, который надежно откажет через заданное время. Для достижения этой цели участники картеля активно экспериментировали и обменивались патентами.

• Результаты не заставили себя ждать. К 1933-34 году средний срок службы лампочек упал до 1205 часов. Продажи наоборот - выросли с 335,7 миллионов лампочек в 1926-27 году до 420,8 миллиона четыре года спустя. При этом цены держались стабильными, несмотря на снижение производственных затрат.

• Но хорошие времена для производителей длились относительно недолго. Высокие цены привлекли конкурентов, особенно из Японии. Мелкие мастерские начали штамповать дешевые лампы почти вручную и продавали их за границу в несколько раз дешевле продукции картеля. Да, качество было хуже, но цена покрывала все недостатки.

• Картель Phoebus распался во время Второй мировой войны, но его дух живет до сих пор, в том числе и в IT. Наиболее известный кейс с устареванием, это, конечно же, программная деградация аккумулятора, в которой обвиняли Apple (ситуация даже получила свое собственное название Batterygate).

• Также был еще скандал с HP, которые просто встроили дату "отказа" в картридж, позже которой он переставал работать. Даже если лежал запечатанный.

• Еще одним любопытным случаем стала так называемая конденсаторная чума - массовый выход из строя электролитических конденсаторов на материнских платах, блоках питания и другой электронике. Это приводило к массовым поломкам серверов и рабочих станций, сокращая срок службы оборудования и стимулируя его преждевременную замену.

• В общем и целом, несмотря на то, что картель Phoebus давно канул в лету, его подход живёт и здравствует, ведь срок службы купленной техники в ряде случаев определяют не законы физики, а скорее бизнес-план и KPI.

#Разное

infosec

18 December 2025 11:05

• Эксперты BI.ZONE выкатили огромный лонгрид о тестировании сканеров отпечатков пальцев. Материал содержит описание различных типов сканеров и методы создания поддельных отпечатков пальцев с использованием различных подходов, технологий и материалов.

• Спойлер: исследование проводилось на устройствах от разных производителей (Microsoft, Samsung, Apple), включая Samsung S23, MacBook Pro 2023, iPad Air 2025, Hamster Pro 20 и др. На всех этих устройствах удалось обойти защиту с помощью поддельного отпечатка.

➡️ Читать статью [15 min].

#Security #Исследование

infosec

17 December 2025 17:34

📶 2 терабита в секунду по технологии FSO...

• Именно таких результатов добились в Национальном институте информационных и коммуникационных технологий Японии (NICT)! Исследователи объявили о новом рекорде в скорости передачи данных по технологии оптики свободного пространства (free-space optics, FSO) — 2 терабита в секунду. Эксперимент проходил в условиях городской застройки, данные передавались по лазерному лучу.

• Для испытания использовались два оптических терминала, разработанных в NICT. Устройство FX, расположенное в штаб-квартире института в Токио, и терминал ST, установленный на расстоянии 7,4 километра. Устройства смогли поддерживать устойчивую связь при плохой погоде и в условиях плотной городской атмосферы. Как поясняют в NICT, этого удалось добиться благодаря использованию технологии мультиплексирования по длинам волн (WDM): лазерный сигнал разделялся на пять каналов, каждый со скоростью 400 Гбит/с.

• Отмечено, что терминалы можно использовать не только в лабораториях, но и на реальных платформах, включая малые спутники типа CubeSat или высотные аэростатные аппараты (HAPS). Ранее эксперименты такого уровня проводились в основном в Европе, и для них требовались крупные стационарные установки. В Азии же до сих пор не удавалось превысить порог 100 Гбит/с.

• Следующим шагом станет переход от наземных испытаний к космическим. В 2026 году NICT планирует провести эксперимент по установке связи между низкоорбитальным спутником на высоте около 600 км и наземной станцией и протестировать передачу данных между спутником и высотной платформой HAPS. Цель — создать основу для коммуникационных систем нового поколения, которые выходят за рамки сетей 5G и 6G и формируют так называемые внеземные сети.

• По словам исследовательской группы, технологии FSO позволяют объединить Землю и орбиту в единую инфраструктуру связи без необходимости прокладывать волоконно‑оптические линии, что открывает путь к быстрому и гибкому обмену данными между воздушными, космическими и наземными устройствами.

➡️ https://www.eurekalert.org/news-releases/1109643

#Новости #Сети

infosec

17 December 2025 12:02

• Забавный троллинг от Telegram: в описании крайнего обновления телеги можно встретить отсылку к одному из мессенджеров...

Ключи доступа работают всегда и везде — и при перебоях с СМС, и в заграничных поездках, и даже в лифтах на парковках.

infosec

16 December 2025 15:32

• В блоге Реймонда Чена (разработчика из Microsoft) нашел ссылку на видео с работающей "тележкой смерти", которая была напичкана всевозможными USB-устройствами, вызывающими ВSoD, для тестирования и доработки ранних версий Windows. Об этом "изобретении" я рассказывал совсем недавно, но на этот раз есть возможность увидеть, что именно она из себя представляла:

➡️ https://www.youtube.com/watch?v=p6Xj3MKFR_Y

• Сама тележка включала более 60 последовательно подключённых USB-устройств разных типов и функций. Как правило, ПК после подключения к ней выдавали «синий экран смерти».

• Чен отметил, что с появлением USB и поддержки стандарта в Windows было важно обеспечить надёжность работы технологии. Тестовая тележка включала три мыши, четыре клавиатуры, принтеры, диски и различные USB-периферийные устройства.

• Тележку привозили в офис разработчика и подключали к тестируемому компьютеру. При этом ПК либо сразу выдавал ВSoD, либо ошибка возникала при случайном подключении и отключении тележки. После этого разработчики занимались отладкой упавших компьютеров.

➡️ https://devblogs.microsoft.com/20240521

#Разное

infosec

15 December 2025 18:00

• Peter Girnus опубликовал пост о "стратегии внедрения ИИ во всё подряд". На всякий случай отмечу, что пост написан в юмористическом формате, но именно так большинство компаний внедряют ИИ в свои процессы.

• Было бы смешно, если бы не было так грустно...

В прошлом квартале я внедрил Microsoft Copilot для 4000 сотрудников. 30 долларов за место в месяц. 1,4 миллиона долларов в год. Я назвал это «цифровой трансформацией».

Совету директоров очень понравилась эта фраза. Они одобрили это за одиннадцать минут. Никто не спросил, что это на самом деле будет.

Я всем говорил, что это "в 10 раз повысит производительность". Это не настоящее число. Но звучит именно так.

Сотрудники отдела кадров спросили, как мы будем измерять десятикратное увеличение. Я сказал, что мы будем "использовать аналитические панели". Они перестали спрашивать.

Три месяца спустя я проверил отчеты об использовании. Его открыли 47 человек. 12 человек использовали его более одного раза. Одним из них был я. Я использовал ИИ, чтобы кратко изложить содержание электронного письма, которое мог бы прочитать за 30 секунд. Это заняло 45 секунд. Плюс время, необходимое для устранения галлюцинаций.

Но я назвал это "успешным пилотным проектом". Успех означает, что пилот не допустил видимой ошибки.

Финансовый директор поинтересовался окупаемостью инвестиций. Я показал ему график. График пошёл вверх и вправо. Это был показатель "внедрения ИИ". Этот показатель я придумал сам. Он одобрительно кивнул.

Теперь мы обладаем возможностями искусственного интеллекта. Я не знаю, что это значит. Но это есть в нашей презентации для инвесторов.

Один из опытных разработчиков спросил, почему мы не используем Claude или ChatGPT. Я сказал, что нам нужна "безопасность корпоративного уровня". Он спросил, что это значит. Я сказал «соответствие». Он спросил, о каком именно соответствии. Я сказал "все они". Он выглядел скептически. Я назначил ему "беседу о развитии карьеры". Он перестал задавать вопросы.

Компания Microsoft направила группу для проведения тематического исследования. Они хотели представить нас как историю успеха. Я сказал им, что мы "сэкономили 40 000 часов". Я рассчитал это число, умножив количество сотрудников на число, которое я сам придумал. Они это не проверили. Они никогда это не делают. Теперь мы на сайте Microsoft. «Глобальное предприятие добилось повышения производительности на 40 000 часов благодаря Copilot».

Генеральный директор поделился этим в LinkedIn. Пост набрал 3000 лайков. Он никогда не пользовался Copilot. Ни один из руководителей этого не сделал.

У нас есть новая идея. «Для стратегической концентрации необходимо свести к минимуму отвлекающие факторы в цифровой среде». Я разработал эту политику.

Срок действия лицензий истекает в следующем месяце. Я прошу добавить дополнение. Дополнительно 5000 мест. Первые 4000 мы не использовали.

Но на этот раз мы будем "стимулировать внедрение". Принятие решения в силу подразумевает обязательное обучение. Обучение представляет собой 45-минутный вебинар, который никто не смотрит. Но ход выполнения будет отслеживаться. Завершение — это показатель.

Показатели отображаются на панелях мониторинга. Информационные панели включаются в презентации для совета директоров.

Презентации для совета директоров помогают мне получить повышение. К третьему кварталу я стану старшим вице-президентом.

Я до сих пор не знаю, что делает Copilot. Но я знаю, для чего это нужно. Это делается для того, чтобы показать, что мы "инвестируем в ИИ". Инвестиции означают расходы. Вложение средств подразумевает приверженность делу. Приверженность делу означает, что мы серьезно относимся к будущему. Будущее — это то, что я сам сочту нужным. Пока график движется вверх и вправо.

infosec

15 December 2025 13:32

• А вы знали, что Microsoft добавили в Windows 11 один из самых старых инструментов в своей истории - текстовый редактор Edit, которому 45 лет? Он появился еще в 80-х как часть MS-DOS и долгие годы оставался незаменимым в командной строке.

• Но зачем и почему тулзу добавили в Win 11? Дело в том, что в первые годы персональных компьютеров ПО было простым, а ресурсы - ограниченными. Редактор Edit появился как часть MS-DOS и служил для одной задачи: быстро редактировать текстовые файлы прямо в командной строке. Никаких украшений, автосохранений, подсветки и всего прочего - только минимальный набор функций, зато работал он быстро и надежно. Для разработчиков и системных администраторов тех лет это был удобный инструмент, который позволял править конфиги и скрипты без перехода в другие программы. Со временем именно такие простые утилиты сформировали основу будущей экосистемы Windows.

• С годами, по мере того как ОС эволюционировала от консольного MS-DOS к графическому интерфейсу Windows 3.1, а потом и к более продвинутым версиям вроде 95-й, Edit постепенно отходил на второй план, уступая место более удобным аналогам. Классический "Блокнот" взял на себя роль универсального инструмента для повседневных задач. Ну а Edit, будучи 16-битным приложением, стал конфликтовать с переходом на 64-битные архитектуры.

• Начиная с Windows XP 64-bit и всех последующих версий, включая Windows 11, Microsoft убрала поддержку 16-битных приложений - вместе с ней исчез и легендарный Edit. Пользователи оказались в неловком положении: как теперь быстро подправить батник или конфиг прямо из терминала, не открывая сторонние программы?

• Возрождение Edit произошло весной 2025 года. В тестовых сборках Windows 11 (Canary, build 27965) пользователи неожиданно обнаружили знакомый по старым временам exe-файл. Microsoft не стала устраивать громких анонсов: просто выложила исходники на GitHub под открытой лицензией и подтвердила, что обновленный Edit будет встроен в систему по умолчанию и удалить его нельзя.

• На первый взгляд это выглядело как жест ностальгии, но на деле шаг оказался куда практичнее. Компания отреагировала на давние просьбы разработчиков, которым не хватало легкого терминального редактора. "Блокнот" давно утратил простоту, превратившись в перегруженное приложение с ИИ-подсказками, а после удаления WordPad в 2024 году пользователи окончательно лишились минималистичного инструмента для быстрой правки текста.

• Новая версия Edit написана с нуля, но сохранила дух оригинала - минималистичный интерфейс, максимум скорости. Зато теперь редактор поддерживает работу мышью и горячие клавиши, что делает его не музейным реликтом, а удобным инструментом на каждый день.

• Что касается работы редактора, то все устроено максимально просто: в командной строке или PowerShell достаточно ввести edit, и открывается быстрый текстовый редактор, причем прямо в терминале. Он не блокирует другие процессы и запускается мгновенно, ведь его размер не превышает 250 килобайт.

• Редактор поддерживает лишь базовые функции: прокрутку стрелками или колесом мыши, сохранение через Ctrl + S, поиск по тексту с помощью F3. Здесь нет тем, плагинов и интеграций с Git - только чистый минимализм. Это инструмент для быстрых правок: открыл, исправил, закрыл. Оптимальное решение для тех, кому важно просто и без лишних движений отредактировать конфигурацию или скрипт прямо в терминале.

• Он работает в Windows Terminal, поддерживает Unicode и даже кросс-платформенные порты (есть эксперименты для Linux через WSL), что расширяет его аудиторию за пределы чистых юзеров окошек.

• Возвращение Edit в Windows - не дань ностальгии, а прагматичное решение. Microsoft закрыла гештальт, добавив в систему простой консольный редактор, которого годами не хватало пользователям. Причем Edit не претендует на роль полноценного IDE и не конкурирует с Notepad++ или VS Code - его задача сугубо утилитарная: быстро внести правку и вернуться к работе.

➡️ https://devblogs.microsoft.com/edit

#Разное

infosec

15 December 2025 05:32

• Доброе утро...🫠

#Понедельник

infosec

23 December 2025 10:34

🔑 Сертификаты TLS/SSL и инфраструктура открытых ключей.

• Вышло новое видео от Андрея Созыкина, которое продолжает тему защищенных сетевых протоколов. В новом материале по протоколу TLS Андрей рассказывает об аутентификации - подтверждении подлинности сервера (а иногда и клиента), к которому происходит подключение.

• Аутентификация нужна для защиты от MITM (Man-in-the-Middle) атак, когда кто-то перехватывает все наши сообщения, передает их от своего имени серверу, а ответы сервера пересылает нам. При перехвате злоумышленник может прочитать и изменить все сообщения.

• Как проверить подлинность удаленного сервера? Для этого можно применить асимметричное шифрование, но не так, как мы рассматривали ранее. Если зашифровать сообщение закрытым ключом сервера, то расшифровать его можно будет только открытым ключом. Такой алгоритм называется цифровой подписью (на самом деле все устроено несколько сложнее, но технические детали нам пока не важны). Если клиент с помощью открытого ключа смог расшифровать цифровую подпись, сделанную закрытым ключом сервера, то клиент может быть уверен, что сообщение действительно отправил сервер.

• Но далее возникает следующая проблема – как узнать, что открытый ключ действительно принадлежит серверу, а не злоумышленнику? Для этого нужен третий участник – удостоверяющий центр (Certificate authority). Именно удостоверяющий центр подтверждает подлинность открытого ключа сервера. Для этого создается сертификат TLS/SSL, в котором есть открытый ключ сервера и цифровая подпись удостоверяющего центра. Если клиент доверяет удостоверяющему центру, то он может быть уверен в подлинности открытого ключа сервера.

• Для масштабирования на уровень интернет удостоверяющие центры организованы в иерархию - инфраструктуру открытых ключей (Public Key Infrastructure). Клиентам нужно настроить доверие только с корневыми удостоверяющими центрами, с остальными доверие будет проверено автоматически.

➡ https://youtu.be/0kavXRgQ2G0

#Сети

infosec

22 December 2025 14:29

• Месяц назад в университете Юты (США) была обнаружена магнитная лента с надписью "UNIX Original From Bell Labs V4" (фото 1). Предположительно, она датирована 1973 годом. Чтобы вы понимали, Unix V4 - это одна из первых версий ОС, переписанных на языке C, что сделало систему переносимой между разными машинами. Впоследствии это позволило развивать Linux, macOS и Android, а архитектура Unix до сих пор лежит в основе большинства современных ОС. До последнего момента считалось, что оригинальная V4 утеряна...

• Так вот, на сайте Archive.org появилась страница с восстановленным цифровым образом найденной ленты Bell Labs. Данные удалось прочитать в Исследовательском архиве Шустека Музея компьютерной истории в Калифорнии. Работу выполнил Эл Коссоу с помощью модифицированного устройства (фото 2). Берлинский энтузиаст ретрокомпьютинга создал страницу с содержимым ленты, готовым к загрузке, "включая tar-архив файловой системы", а также инструкциями по копированию образа диска RK05 с ленты на диск и дальнейшими действиями.

• Обычно ленты 70-х страдают от деградации оксидного слоя и "осыпания" носителя, поэтому их приходится буквально запекать при низкой температуре, чтобы стабилизировать материал перед чтением. Кроме того, проблема кроется в формате данных, который мог быть уникальным у каждого разработчика. Но не смотря на все трудности, специалистам удалось восстановить образ и получить данные.

• Профессор-исследователь Роб Риччи из Школы вычислительной техники Университета Юты, который и нашёл ленту, ricci/115747843169814700">опубликовал фотографии и видео процесса чтения ленты, а также несколько обновлений. Исследователь университета Майк Хиблер отметил, что код был создан до знаменитого высказывания "You are not expected to understand this", и обнаружил часть компилятора C с авторскими правами 1972 года. Такие дела...

#Разное

infosec

22 December 2025 09:05

⚡️ Храните бэкапы и логи выгодно:
в S3 Selectel появился новый класс хранилища — ледяное.

📦Минимальная стоимость хранения и Erasure Coding — оптимально для редко используемых файлов.


Протестируйте хранилище и перенесите данные в S3 Selectel по акции «миграционные каникулы»: у вас будет 30 дней бесплатного использования входящих запросов и хранилища.

Создавайте заявку и пользуйтесь: https://slc.tl/5yvxu

Реклама. АО "Селектел". erid:2W5zFGZ23dA

infosec

21 December 2025 09:03

🖋 Пост выходного дня и немного оффтопа: энтузиаст превратил пишущую машинку в ИИ-ассистента.

• Чат-боты в смартфонах уже стали обычным делом, а вот старая аналоговая техника с ИИ обычно не дружит. Исправить ситуацию взялся один из пользователей Reddit. Он "прокачал" старую пишущую машинку, превратив винтажное устройство в необычного ИИ-помощника.

• Основой аппаратной платформы проекта стал одноплатник Raspberry Pi Zero, а "мозгом" - нейросеть Claude. Для общения с ИИ запрос нужно напечатать на клавиатуре пишущей машинки, после чего чат-бот выдаст "бумажный" ответ. Чтобы реализовать эту функцию, энтузиаст создал механизм, имитирующий фантомные нажатия при помощи Arduino.

• Часть электроники пришлось вынести на корпус устройства, чтобы не мешать работе печатающего механизма. Подробную инструкцию по сборке "аналогового чат-бота" автор проекта опубликовал в своём блоге.

➡ https://benbyfax.substack.com/p/typewriter

#Оффтоп #Разное

infosec

20 December 2025 09:34

• 35 лет назад, 20 декабря 1990 года, Тим Бёрнерс-Ли (на фото) запустил первый в истории веб-сайт.

• Сайт был создан для Европейского центра ядерных исследований (ЦЕРН), который находится в Швейцарии. Сначала ресурс не был публичным, а его первыми посетителями стали сотрудники ЦЕРН. На этом сайте опубликовали описание новой технологии World Wide Web, основанной на протоколе передачи данных HTTP, системе адресации URL и языке гипертекстовой разметки HTML. Там же объяснялись принципы установки и работы серверов и браузеров, технические детали для создания веб-страницы и инструкции по поиску информации в интернете. 6 августа 1991 года технология стала доступна всем пользователям интернета.

• Именно с того момента и началась история веба. Если хотите посмотреть на саймый первый в мире сайт, то он доступен по ссылке: https://info.cern.ch

#Разное

infosec

19 December 2025 14:33

• Нашёл очень содержательный гайд, в котором автор подробно объясняет, какими знаниями вам нужно обладать, чтобы начать путь в DevOps с нуля.

• Помимо информации о том, что и где изучать, гайд содержит дотошный чек-лист для проверки знаний на Junior DevOps! А еще там есть актуальная информация, на какую сумму можно расчитывать при трудоустройстве, если иметь определенный пул знаний. В общем и целом, материал крайне полезный:

➡️ Читать гайд [30 min].

• P.S. Помимо гайда там еще есть крутой Roadmap, который является самым подробным в рунете (по заявлению автора). Обязательно изучите, если данная тема для вас интересна.

➡️ DevOps Roadmap 2025.

#DevOps

infosec

19 December 2025 09:04

Цифры говорят сами за себя!

Почти 10 млн вредоносных писем обнаружено за три квартала 2025 года. Октябрь — рекордный всплеск атак.
Мошенники продолжают использовать новые техники: зашифрованные архивы, вредоносные вложения, фишинг через QR-коды.

Выход есть — обновленное решение Kaspersky Security для почтовых серверов.
В расширенном уровне KSMS Plus доступны самые востребованные функции: 💪

✅ Проверка зашифрованных архивов
✅ Технология Content Disarm and Reconstruction (CDR)

📊 Полный отчет о почтовых угрозах 2025 доступен в бюллетене.

Реклама. АО «Лаборатория Касперского», ИНН 7713140469

infosec

18 December 2025 14:34

• Какой-то небезопасный паркинг, вам так не кажется?

#Юмор

infosec

18 December 2025 08:00

Хотите стать пентестером и предотвращать кибератаки? 👀

Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Финальные дни набора — регистрация здесь.

Что вы получите?
🔸 Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест
🔸 Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов.
🔸 Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности

Полный цикл обучения:
⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети

Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!

🟧🟧🟧 Успейте использовать промокод COMBO20 для скидки 20% на два курса. Предложение действует до 19 декабря!

🚀 По всем вопросам пишите @Codeby_Academy

infosec

17 December 2025 14:30

• Еще одно хорошее и бесплатное руководство от автора гайда по безопасности веб-приложений, которым я делился на этой неделе. На этот раз материал посвящен безопасности фронтенда. Вы подробно познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. А еще узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день...

• Содержание следующее:

➡Глава 1: Начало работы с XSS;
➡Глава 2: Защита и обход XSS;
➡Глава 3: Атаки без JavaScript;
➡Глава 4: Межсайтовые атаки;
➡Глава 5: Другие интересные темы.

➡️ https://gitbook.io/client-side-fundamental

#XSS

infosec

17 December 2025 08:35

Deckhouse Conf 2026 — для тех, кто строит и поддерживает инфраструктуры.

9 апреля узнаете, как создать надёжные виртуальные машины в Kubernetes, перейти на микросервисную архитектуру без боли и правильно проектировать дашборды для мониторинга. И это только начало, в программу добавляются новые доклады.

Живое общение с экспертами, демозона с продуктами Deckhouse и практические кейсы. Регистрируйтесь

infosec

16 December 2025 12:30

👨‍💻 cURL от начала до конца!

• cURL - это инструмент командной строки на основе библиотеки libcurl для передачи данных с сервера и на сервер при помощи различных протоколов, в том числе HTTP, HTTPS, FTP, FTPS, IMAP, IMAPS, POP3, POP3S, SMTP и SMTPS. Он очень популярен в сфере автоматизации и скриптов благодаря широкому диапазону функций и поддерживаемых протоколов.

• Так вот, у ведущего разработчика curl Даниэля Стенберга есть очень крутое видео «curl from start to end», где он подробно рассказывает, что происходит, когда вы вызываете curl!

• Основные этапы:

➡Загрузка curl, библиотеки libcurl и других зависимостей.
➡Разбор аргументов командной строки.
➡Разбор URL.
➡Разрешение доменного имени в URL с помощью DNS.
➡Установка соединения TCP.
➡Установка защищенного соединения TLS.
➡Отправка запроса HTTP.
➡Получение ответа HTTP.
➡Сохранение данных из ответа HTTP.
➡Разрыв защищённого соединения TLS.
➡Разрыв соединения TCP.

➡️ https://youtu.be/WmMa1GVPWZ0

• В качестве дополнения: Everything curl - очень объемное руководство (550 стр.) по работе с curl'ом, которое актуализируют еще с начала 2015 года и по сей день. Книга является бесплатной, а вклад в её развитие внесли десятки авторов: https://curl.haxx.se/book.html. Скачать книгу можно по этим ссылкам: [PDF] \ [ePUB].

#curl

infosec

15 December 2025 15:24

• Нашел очень крутой материал по безопасности веб-приложений. Автор потратил около 6 месяцев на подготовку этого руководства и выкатил всю информацию совершенно бесплатно. Сам материал разделен на 3 части: для абсолютных новичков, для опытных специалистов и для экспертов.

• Для абсолютных новичков рекомендуется начать изучение с серверных тем. Эти уязвимости, как правило, легче освоить, поскольку вам нужно понимать только то, что происходит на сервере. Данный материал и лабораторные работы помогут вам развить основные знания и навыки, которые будут полезны вам снова и снова.

➡SQL-инъекции;
➡Уязвимости аутентификации;
➡Обход пути (path traversal);
➡Инъекция команд ОС;
➡Уязвимости бизнес-логики;
➡Уязвимости, связанные с раскрытием информации;
➡Уязвимости контроля доступа и эскалация привилегий;
➡Уязвимости загрузки файлов;
➡Состояния гонки (race conditions);
➡Подделка запросов на стороне сервера (SSRF);
➡Внедрение внешних сущностей XML (XXE);
➡Инъекция NoSQL;
➡Тестирование API;
➡Обман веб-кэша (web cache deception).

• Уязвимости на стороне клиента вносят дополнительный уровень сложности, что делает их немного более сложными для понимания. Этот материал и лабораторные работы помогут вам развить навыки, которые вы уже освоили ранее, и научат вас выявлять и эксплуатировать также некоторые сложные клиентские векторы атак.

➡Межсайтовый скриптинг (XSS);
➡Межсайтовая подделка запросов (CSRF);
➡Совместное использование ресурсов между источниками (CORS);
➡Кликджекинг (UI redressing);
➡Уязвимости на основе DOM (DOM-based vulnerabilities);
➡Тестирование уязвимостей безопасности WebSockets.

• Темы, которые перечислены ниже, как правило, требуют более глубокого понимания и более широких знаний. Рекомендуется сначала разобраться с основами, прежде чем приступать к этим лабораторным работам. Некоторые из них основаны на новаторских методиках, разработанных исследовательской командой мирового уровня.

➡Небезопасная десериализация;
➡Атаки на веб-LLM;
➡Уязвимости GraphQL API;
➡(SSTI) Инъекция шаблона на стороне сервера;
➡Отравление веб-кэша (web cache poisoning);
➡Атаки через HTTP заголовок Host;
➡Контрабанда HTTP-запросов (HTTP request smuggling);
➡Уязвимости аутентификации OAuth 2.0;
➡Атаки на JWT;
➡Что такое загрязнение прототипов (prototype pollution);
➡Ключевые навыки.

#Web

infosec

15 December 2025 08:45

🎄 HackerLab и «Хакер» проведут новогодний CTF

С 21 по 30 декабря проведем новогодний CTF в формате «задача дня»!

Каждый день в нашем боте будет появляться новый таск. Решил задачу — получил ключ. Чем больше ключей ты соберешь, тем выше шансы выиграть призы.

Как это работает:

❄️ 10 дней — 10 задач
❄️ Каждая задача активна сутки, потом появляется следующая
❄️ Решил задачу → забрал ключ 🗝
❄️ 31 декабря — подведение итогов и розыгрыш призов через рандомайзер

Что мы разыгрываем:

Деньги: 10 000 рублей.
Подписки: HackerLab Plus и Pro, годовая подписка на журнал «Хакер».
Мерч: футболки HackerLab, бумажная книга «Хакеры.РУ».
Обучение: 10 промокодов на скидку 10% на курсы Академии Кодебай.

➡️ Переходи в бота и лови первую задачу 21 декабря!

infosec

14 December 2025 09:04

• Пост выходного дня: Apple, Samsung, Xiaomi и другие технологические гиганты тратят миллионы долларов на рекламу своих смартфонов. Вы наблюдаете рекламу на сайтах, в фильмах, в музыкальных роликах и различных программах, но 100 лет назад этого всего не было, собственно как и современных телефонов.

• В 1926 году с развитием автоматических телефонных станций (АТС) появляются телефоны с дисковым номеронабирателем. Компания Bell Systems подошла весьма креативно к рекламе своих устройств и запускала по городу автомобили, на которых был установлен огромный телефон (на фото. обратите внимание на диски!). Таким вот хитрым образом и привлекали клиентов в то время...

• Кстати, самые первые телефоны тяготели скорее к кнопочной эволюции, а не к дискам, но жизнь такова, что первый кнопочный телефон в том виде, в каком мы его знаем, появился только в 1963 году. В коммерческое использование кнопочные телефоны вышли 18 ноября 1963 (выпустила их, конечно, Bell Systems). А путевку в жизнь кнопочным телефонам дал президент США Джон Кеннеди, который в апреле 1963 года анонсировал Всемирную выставку 1964 года в Нью-Йорке, набрав номер 1964 на кнопочной панели. О таком пиаре любой телеком-компании остаётся только мечтать...

#Разное