49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
🪟 Windows 95 Plus!
• А вы знали, что у Windows 95 было своеобразное дополнение, которое вынесли в отдельный продукт? Назвали его просто - Windows 95 Plus. Туда включили ряд функций и продавали за 50 баксов. Представьте: 50 баксов! 30 лет назад! На тот момент это были большие деньги для обычного человека. Но что включало в себя дополнение?
• Прозвучит смешно, но в штатной поставке Windows 95 было лишь несколько стандартных тем. Microsoft 95 Plus! добавил 11 новых, включающих в себя иконки, шрифты, указатели мыши, фоны рабочего стола и звуки. Половина из них была рассчитана на компьютеры, видеокарта которых способна отображать лишь 256 цветов, а прочие на high color, то есть 16-битный цвет. По тем временам такое было не у всех, поэтому разделение имело смысл.
• Еще была легендарная игра Pinball. Изначально она была разработана компанией Maxis и называлась Full Tilt! Pinball, где Space Cadet был лишь одним из трех пинбольных столов. Microsoft получила лицензию только на один стол, а остальные два остались за бортом.
• Если добавление игры считалось улучшением мультимедийной части операционной системы, то программы, о которых пойдет речь дальше, относились к утилитам для обслуживания. Первая называлась System Agent и представляла собой продвинутый планировщик заданий. Microsoft Plus! при установке настраивал несколько стандартных тасков, вроде проверки свободного места каждые 15 минут. Жесткие диски были довольно медленными, поэтому неравномерное распределение данных снижало общую производительность. Разумеется, можно запускать процедуру дефрагментации вручную, но большинство пользователей даже не задумывалось о проблеме. Автозапуск сервисных операций с помощью планировщика мог существенно улучшить ситуацию.
• Свободного дискового пространства тоже всегда было мало, поэтому в состав Plus! включили еще одну программу — Compression Agent. Это был тоже своего рода планировщик, который запускал софт для сжатия дисков — Microsoft DriveSpace 3. Из накопителя размером 2 Гб (где 890 Мб занято) DriveSpace 3 мог теоретически дать пользователю в три раза больше свободного места (на практике сильно меньше). Сама процедура включала в себя обязательную проверку на ошибки и длилась по несколько часов.
• А еще была тулза The Dial-Up Networking Server. Это приложение позволяло компьютеру функционировать в качестве сервера удаленного доступа. Он давал возможность другим ПК подключаться к вашей машине через телефонную линию и работать с файлами или ресурсами локальной сети так, словно они были соединены напрямую!
• Ну и самое основное: Internet. Тогда его еще часто называли Information superhighway, и Microsoft очень стремилась никому не отдать этот кусок пирога. Первые Retail-версии Windows 95 не имели браузера. Вместо этого на рабочем столе красовался значок The Microsoft Network.
• В это сложно сейчас поверить, но почти в каждом крупном российском городе был выделенный номер телефона, позвонив на который модемом, вы получали доступ к сети The Microsoft Network. Увы, но сейчас получить опыт взаимодействия с этой сетью уже нельзя. Серверы давно закрыты, а полностью воссоздать работу сети MSN Classic не представляется возможным — та была проприетарной и очень быстро эволюционировала.
• Internet Explorer впервые дебютировал именно в Microsoft Plus!, так что это был вполне официальный способ добавить браузер в ОС. И только потом, с выходом версий OSR1 и OSR2, тесно интегрирован с системой. Он позволял обращаться к веб-сайтам World Wide Web, файловым серверам FTP и ныне забытому протоколу Gopher, на начальных этапах составившему конкуренцию HTTP.
• Что в итоге? Человек, который мог позволить себе купить диск за 50 баксов получал следующее:
➡Веб-браузер;
➡11 тем рабочего стола;
➡1 дополнительную игру;
➡Планировщик задач;
➡Утилиту для сжатия дисков.
• Нужно отметить, что Windows 95 была вовсе не единственной системой, для которой выпускалось дополнение Plus! Подобные диски созданы для Windows 98 и даже Windows XP. А отголоски этого всего встречаются в Windows Vista. Так то...
#Разное
• Небольшая коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере. Это особенно полезно, когда хотите ознакомиться с ОС, но не хотите заморачиваться с поиском, загрузкой и установкой. Пользуйтесь:
➡Instant Workstation — хороший сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
➡distrosea — если не можете выбрать подходящий Linux дистрибутив, то вот вам полностью бесплатный сервис, который позволяет прямо в браузере затестить различные версии операционных систем. Тут даже есть богатый выбор графических оболочек, а общее кол-во доступных систем переваливает за 70!
➡PCjs Machines — эмулятор вычислительных систем 1970–1990 годов. Он работает в обычном браузере. Данный проект появился в 2012 году — его основал программист из Сиэтла Джефф Парсонс. Он хотел помочь людям понять, как работали первые компьютеры, и дать им возможность «поиграть» с различными конфигурациями этих машин.
• Дополнительно: полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.
➡Подборка различных образов для VirtualBox.
➡Free VirtualBox Images от разработчиков VirtualBox.
➡Коллекция готовых VM от Oracle.
➡Абсолютно любые конфигурации VM на базе Linux и Open Sources.
➡Подборка различных образов для VMware.
➡VM на iOS и MacOS: getutm и mac.getutm.
➡Образы для Mac: mac.getutm и utmapp.
#VM #VirtualBox #VMware
• 16 августа проекту Debian GNU/Linux исполнилось 32 года. В этот день Ян Мёрдок опубликовал сообщение о том, что появился новый the Debian Linux Release. На создание Debian его вдохновило желание сделать дистрибутив лучше, чем SLS.
This is just to announce the imminent completion of a brand-new Linux release, which I’m calling the Debian Linux Release. This is a release that I have put together basically from scratch; in other words, I didn’t simply make some changes to SLS and call it a new release. I was inspired to put together this release after running SLS and generally being dissatisfied with much of it, and after much altering of SLS I decided that it would be easier to start from scratch.
• У bleepingcomputer вышла статья, в которой описана интересная фишинговая кампания. В схеме используется символ Unicode «ん» (японский символ хираганы ん (Unicode U+3093). При беглом взгляде на некоторые шрифты символ очень похож на последовательность латинских букв «/n» или «/~». Это визуальное сходство позволяет мошенникам создавать URL-адреса, которые выглядят как реальные, но перенаправляют пользователей на вредоносный сайт.
• На скриншоте выше представлена копия фишингового письма: адрес в письме выглядит как «admin[.]booking.com...», но гиперссылка ведёт на «account.booking.comんdetailんrestric-access.www-account-booking[.]com/en/». На самом деле зарегистрированный домен — «www-account-booking[.]com».
• Если рассматривать именно эту кампанию, то после перехода по ссылке на ПК загружается MSI-файл. Если установить данный файл, то система будет заражена различным вредоносным ПО (троянами, майнерами и т.д.).
➡️ https://www.bleepingcomputer.com/bookingcom-phishing
• Схема классическая (с подменой символов), но это хороший повод напомнить, что сомнительные ссылки всегда нужно проверять и анализировать. Даже ИБ специалисты совершают ошибки и переходят на фишинговые ресурсы, не говоря уже людях, которые совершенно не знают основ информационной безопасности. Так что используйте специальные сервисы для проверки ссылок, будьте внимательны и не дайте себя обмануть.
#Фишинг #SE #Новости
⚡ Хорошие новости: разыгрываем 3 новых книги для изучения Linux.
• 10 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны как начинающим, так и опытным специалистам:
- Изучаем Kali Linux. 2 изд.
- Linux. Карманный справочник. 4-е изд.
- Linux. Командная строка. Лучшие практики.
• Итоги подведём 23 августа в 14:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
• Нашел очень содержательный и актуальный Mindmap по командам Linux. Всё необходимое на одной схеме и всегда у вас под рукой:
➡Пользовательские;
➡Админские;
➡Встроенные в bash;
➡Команды-фильтры;
➡Мониторинг;
➡И многое другое...
• В хорошем качестве можно скачать по ссылке ниже:
➡️ https://xmind.app/m/WwtB/
#Linux #Mindmap
Хотите в кибербезопасность, но не знаете, с чего начать? Или уже в ИБ и хотите усилить скиллы? У нас есть всё.
3 топовых направления на август:
🟧Active Directory: Пентест инфраструктуры
Научитесь атаковать и защищать ключевой элемент большинства корпоративных сетей.
Старт — уже 18 августа!
🟧Профессия Пентестер
Полный путь в этичный хакинг: теория + практика + портфолио.
⚠️ Успейте с выгодой до 17% до конца августа!
🟧Пентест веб-приложений (WAPT)
Научитесь взламывать сайты и находить уязвимости как в Bug Bounty.
⚠️ Сэкономьте до 17%, оплатив курс WAPT в августе!
Курсы ведут действующие пентестеры — победители the Standoff. До встречи в наших лабораториях! 😎
🚀 Написать в Telegram
📶 Разработка TCP.
• Винтон Сёрф – человек, которого именуют «отцом Интернета». А ещё учёный, изобретатель, программист, руководитель и переговорщик, любитель классической музыки и бывший виолончелист. За 82 года своей жизни Сёрф успел приложить руку к коммерциализации мировой сети, проектированию Межпланетного Интернета, руководил развитием коммерческой электронной почты, а еще принял участие в разработке протоколов TCP/IP, сделавших возможным современный Интернет. Как раз о TCP сегодня и поговорим...
• Начнем с того, что Винтон присоединился к IBM в 1965 году в качестве системного инженера. Он работал над системой распределения времени Quiktran для IBM 7044. Если в двух словах, то эта программа позволяла тестировать или запускать одновременно до 40 разных программ на одном компьютере. Сёрф был участником проекта на протяжении двух лет, когда понял, что знаний о вычислительной технике, полученных во время бакалавриата, ему недостаточно.
• Итак, Сёрф уезжает в Калифорнийский университет, где ранее получил степень магистра, доктора наук и занимался исследованием возможностей сети ARPANET. В марте 1973 года с Сёрфом связался Роберт Кан, недавно перешедший в DAPRA, и предложил поработать вместе. Инженеры уже были знакомы: в аспирантуре они вместе моделировали ПО для компьютеров, связанных сетью ARPANET.
• Полгода молодые учёные занимались разработкой TPC – протокола управления передачей, который должен был решить проблему направления сообщений в разные сети. До этого момента ARPANET объединяла стационарные компьютеры, но будущее диктовало свои условия – к сети должны быть подключены устройства, размещённые и в транспорте (на кораблях, самолётах и др.) Проект стандарта был опубликован в конце 1973-го, а первый запуск состоялся два года спустя.
• Цель работы Кана и Сёрфа заключалась в том, чтобы унифицировать протоколы и программное обеспечение. Любой компьютер должен был стать частью большой сети, не имеющей центрального контроля.
• Технология TCP позволила отправлять большие потоки данных, разбивая их на сегменты, которые впоследствии «соберутся» в единый файл на устройстве получателя. Защитой от потери сегментов является механизм подтверждения получения данных – приняв информацию, получатель реагирует на неё подтверждением, и, если оно спустя время не пришло, сегмент отправляется повторно.
• С момента публикации проекта прошло десять лет – и 1 января 1983 года Интернет был запущен в том виде, в котором мы знаем его сегодня. Несмотря на это, быстрый органический рост сети начался лишь шесть лет спустя, когда Интернет перестал быть исключительно академическим и военным и вошёл в коммерческую нишу.
• Кстати, выражение «сёрфить интернет» по забавному совпадению созвучно с фамилией «отца Интернета» Винтона Сёрфа. Однако, произошло оно от английского слова «surf», тогда как фамилия учёного пишется «Cerf».
#Разное
Открытый практикум Linux by Rebrain: Bash скрипты
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉Регистрация
Время проведения:
20 августа (среда) в 20:00 по МСК
Программа практикума:
▪️Cпособ выполнения скрипта
▫️Параметры скрипта
▪️Переменные окружения
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 13+ лет опыта работы с ОС Linux. 11+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFJG63VA
• Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для автора данного материала хорошим уроком...
• В этой статье описана ситуация, когда сотрудники сопровождения передавали пароль по SSH. В открытом виде.
• Почему это проблема:
➡Передача пароля в аргументах — это классический антипаттерн.
➡Аргументы команд видны в ps, /proc/[PID]/cmdline, Task Manager.
➡Они могут попасть в логи CI/CD.
➡Мониторинг и аудит тоже их подхватят.
➡Многие утилиты (sshpass, plink, WinSCP CLI, rsync, mysql, curl, mRemoteNG) позволяют так передавать пароль — и это соблазн для быстрого «костыля».
• В итоге получить пароль можно даже не трогая сам SSH, что может привести к утечке. Подробности по ссылке ниже:
➡️ Читать статью [3 min].
• P.S. Рекомендую обратить внимание на комментарии, там можно найти полезные советы и рекомендации.
#ИБ #SSH
• А вы знали, что в период с 1931 по 1933 год в Чехословакии была создана самая большая вертикальная картотека? Давайте расскажу, как было устроено хранение документов и что помогало сотрудникам ориентироваться в гигантском хранилище (площадь 370 кв. м., а высота шкафов - 3 метра).
• Ну, для начала, посмотрите фото выше, их там очень много. Как вы все прекрасно знаете, компьютеров в 30-х гг. XX века не было, так что сотрудникам института приходилось работать с бумажными документами. Стремясь облегчить жизнь чиновников, чехословацкие инженеры совершили настоящий трудовой подвиг: спроектировали и построили самую большую в мире картотеку для долгосрочного хранения документов и быстрого доступа к ним.
• Картотека была вертикальной — такая конструкция позволяла эффективно использовать трехметровую высоту помещения. В те годы это была самая большая архивная система такого рода в мире: стеллажи тянулись от пола до потолка и вмещали более 3 000 ящиков с документами. Причем сама система занимала не такую уж и большую площадь — 370 м2. Но как сотрудники добирались до средних и высоких ярусов? Все просто и сложно одновременно.
• Чехословацкие инженеры проявили недюжинную смекалку. Одной из главных инноваций картотеки были электрические подъемные столы. С их помощью сотрудники без труда получали доступ к любому ящику на любой высоте.
• Как все это работало:
➡Подъемные столы могли двигаться вверх, вниз и в стороны. Так что сотрудники могли перемещаться к нужным ящикам, не тратя время на лазанье по лестницам. Сидишь себе на рабочем месте, а оно тебя катает по всем направлениям.
➡Панель управления с кнопками позволяла точно настраивать положение столешницы перед выбранным ящиком. Оператор мог полностью контролировать процесс и останавливаться на нужном уровне.
➡Конструкция столов обеспечивала безопасность сотрудников при работе на любом уровне.
• Нововведение с подъемными столами и электрическим управлением снизило трудозатраты: работа, которая раньше требовала усилий 400 человек, теперь могла выполняться всего 20 сотрудниками архива.
• А вот вам еще немного подробностей. У системы были:
➡Электрические запоры. Сотрудники могли открывать и закрывать ящики нажатием одной кнопки. Ничего не нужно было переносить в руках. Каждый ящик весил немало — ручное открытие повышало бы риск травм на рабочем месте, особенно на высоте. После просмотра документа сотрудник одним нажатием кнопки закрывал замок. Это позволяло избежать случаев, когда ящики оставались открытыми и документы оказывались в свободном доступе.
➡Надежное хранение. Поддерживался постоянный порядок в хранении документов, так как каждый ящик открывался только по необходимости, и система фиксировала само открытие ящика. Это исключало вероятность неавторизованного доступа к информации.
• Документы были тщательно структурированы и организованы по категориям, а это упрощало поиск нужных данных. Кстати, был даже внутренний контроль доступа к ящикам. Например, при каждом открытии автоматически фиксировался код сотрудника и время просмотра документов. Это давало возможность мониторить действия конкретного сотрудника. Такая вот информационная безопасность начала XX века.
• Архивная система была уникальной для своего времени. Ее достоинства оценили и другие государства, так что подобные комплексы появились в США, Германии, Франции и Японии.
• Кстати, с увеличением объема документов возникла необходимость в более эффективных методах их обработки и хранения. Сегодня вся информация оцифрована, а картотека используется как архив старых документов.
#Разное
• Совсем недавно Microsoft предоставляли информацию, что все новые учётные записи будут по умолчанию заводиться без пароля, чтобы защитить их от соответствующих атак, таких как фишинг, подбор пароля и подстановка учётных данных! Новым пользователям предложат несколько вариантов входа в учётную запись, в том числе биометрическую аутентификацию через отпечатки пальцев и распознавание лиц.
• Так вот, на прошедшем Black Hat в Лас-Вегасе, немецкие исследователи Тильман Освальд и доктор Батист Дэвид рассказали, как можно взломать бизнес-версию продукта.
• После того, как Дэвид вошел в систему, используя снимок лица, Тильман, выступая в роли злоумышленника с правами локального администратора, просто выполнил несколько строк кода и внедрил отсканированное изображение своего лица, полученное на другом компьютере, в биометрическую базу данных целевого компьютера. Через несколько секунд компьютер разблокировал систему, приняв его лицо за изображение Дэвида.
• Windows Hello в бизнес-среде работает следующим образом: при первом запуске генерируется пара открытого и закрытого ключей. Этот открытый ключ затем регистрируется у поставщика удостоверений организации, например, Entra ID.
• Сами биометрические данные хранятся в базе данных, управляемой биометрической службой Windows (WBS), и эта БД зашифрована. Затем, после аутентификации, система сопоставляет данные сканирования в режиме реального времени с сохранённым шаблоном.
• Проблема заключается в том, что в некоторых реализациях шифрование, защищающее эту базу данных, не может остановить злоумышленника, уже получившего права локального администратора. Это позволяет ему расшифровать биометрические данные.
• Решение Microsoft Enhanced Sign-in Security (ESS) изолирует весь процесс биометрической аутентификации внутри защищённой среды, управляемой гипервизором системы. Для работы ESS устройству требуется современный 64-разрядный процессор с поддержкой аппаратной виртуализации (поскольку ESS построен на базе технологии Virtualization-Based Security), чип TPM 2.0, безопасная загрузка (Secure Boot) в прошивке и специально сертифицированные биометрические датчики. Microsoft требует такого уровня защиты для своей новой линейки ПК Copilot+, но, как отмечает Освальд, многие существующие компьютеры не справляются с этой задачей.
• Таким образом, ESS эффективно блокирует эту атаку, но не все могут воспользоваться решением. Например, полуторалетний ThinkPad не имеет защищённого датчика для камеры, поскольку в ПК используются чипы AMD, а не Intel.
По словам Освальда и Дэвида, внедрение патча является сложной или даже невозможной задачей без серьёзной переработки, поскольку он затрагивает фундаментальную архитектуру хранения биометрических данных в системах, не относящихся к ESS.
• Тем, кто использует Windows Hello без ESS, рекомендуется полностью отключить биометрию и использовать вместо неё PIN-код. Такие вот дела...
➡️ https://www.theregister.com/2025/08/07/windows_hello_hell_no
#Новости #Microsoft
• Эксперты из Proofpoint выкатили вторую часть своего ежегодного исследования Human Factor 2025, в котором представлена интересная статистика по самым актуальным методам атак с использованием фишинга и социальной инженерии.
• Если коротко, то в период с мая 2024 года по май 2025 кол-во атак с использованием метода ClickFix (когда жертве предлагают открыть командную строку и вставить команду из буфера обмена) выросло на целых 400%. Ну т.е. данный метод является максимально эффективным, несмотря на сомнительную схему реализации.
• Отмечено, что для создания фишинговых писем активно используются генеративные-ИИ модели, что повышает их отклик и процент успешных атак.
• Также указано, что самыми популярными темами в SMS-фишинге были "дорожные штрафы" и "уведомления о доставке", а 55% всех сообщений содержат ссылки на фишинговые ресурсы.
• Что касается QR-кодов, то за первое полугодие 2025 года было выявлено 4.2 млн. случаев. От себя добавлю, что данный метод очень активно набирает обороты в странах СНГ. Люди привыкли к QR-кодам и активно их сканируют (на самокатах, в поддельных бланках ЖКХ, на дверях в подъезды для входа в домовые чаты и т.д.) не подозревая об опасности.
➡️ Если интересно почитать полную версию отчета, то материал доступен по ссылке: https://www.proofpoint.com
• P.S. Не забывайте, что в нашем боте S.E. Virus Detect добавлена возможность дешифровки QR-кодов, т.е. если QR-код содержит ссылку, то вы сразу сможете осуществить проверку домена на наличие угроз.
#Отчет #Фишинг #SE #ИБ
📦 Hermit: A reproducible container.
• Нашел очень интересный проект на GitHub, благодаря которому мы можем запустить программу в изолированном и полностью воспроизводимом окружении.
• Например, даже если программа использует /dev/urandom, то будучи запущенной в hermit, программа будет забирать эти данные из псевдослучайного генератора, который, если потребуется, будет отдавать одни и те же данные при воспроизведении работы контейнера с программой.
• Тулза окажется полезной как при работе над багами в программах, так и, например, при наблюдении за работой подозрительного софта, исполнение которого, будучи запущенным в Hermit, полностью контролируется нами.
➡️ https://github.com/facebookexperimental/hermit
#Песочница
Первое правило команды ИБ Ozon Tech — собрать всё кибербезопасное комьюнити на E-CODE 💙
У команды ИБ Ozon Tech на конференции будет своё пространство для спич-сессий и интерактивов. А вечером все встретимся у сцены — выступают НТР, Нейромонах Феофан, ILWT и Заточка.
E-CODE. 13 и 14 сентября. Москва. Главное IT-событие осени.
Регистрация ⬅
🤩 Давно у нас не было красоты в ленте. Держите!
#Разное
• В 2005 году хитрые Японцы выпустили уникальное устройство - Sharp Zaurus SL-C1000. Это был настоящий карманный мини-ПК на Linux для тех, кто любит ковыряться «под капотом». Под его складывающейся крышкой прятался Intel XScale с частотой 416 МГц, 64 МБ RAM и 128 МБ флеш-памяти — достаточно, чтобы засунуть в него Qtopia, сетевые утилиты и собственные скрипты. Его отличительной особенностью была полноценная QWERTY-клавиатура в компактном корпусе с откидным и поворотным 3,7-дюймовым цветным сенсорным экраном с разрешением 640×480. Вы могли использовать Zaurus как в режиме ноутбука, так и в режиме планшета. И все это 20 лет назад. Только представьте.
• За счет SD и CompactFlash, инфракрасного порта и USB-хоста/клиента устройство превращалось в швейцарский нож: подключить внешний диск, клавиатуру или даже запустить эмулятор старой приставки было делом пары кликов, после которых SL-C1000 превращался в мобильный сервер или ретро-консоль.
• Но энтузиастам, привыкшим к готовому решению, пришлось несладко: настройка требовала погружения в Linux-туннели, а локализованной прошивки не было. Официально Zaurus продавали только в Японии, а всему остальному миру приходилось полагаться на импорт и независимую локализацию. К тому же на горизонте уже маячили более дружелюбные PocketPC и Palm — аудитория SL-C1000 осталась узкой.
• Тем не менее, наследие Zaurus чувствуется и сегодня: это был один из первых массовых Embedded Linux-карманников, задавший тон многим промышленным и игровым Linux-гаджетам. Открытая архитектура вдохновила производителей делать портативные решения «под себя» и доказала: по-настоящему гибкое устройство должно быть максимально настраиваемым.
➡️ https://www.ebay.com/sch/Zaurus+SL-C1000
#Разное
• Очередная true story со скамом через тестовые задания на собеседованиях... До уровня предыдущей истории далековато, однако почитать весьма полезно и интересно. Если ищите работу за пределами своей страны, то будьте осторожны.
➡ Источник.
#Фишинг #SE
📶 Telnet.
• Когда создавался протокол Telnet, об аспектах безопасности практически никто не задумывался. До массового распространения персональных компьютеров было минимум десятилетие, а вот идея создать простой протокол для удаленного управления была очень востребована.
• Системы того времени чаще всего работали с компьютерными терминалами, специализированными девайсами, совмещающими в себе дисплей, клавиатуру и часто указательные устройства, вроде трекбола, мыши или светового пера.
Некоторые производители предусматривали подключение нескольких таких терминалов к одному компьютеру, что давало возможность одновременной работы множества пользователей.
• Примерно в то же время была придумана концепция виртуального терминала (Virtual TTY). Это программный интерфейс, который полностью имитирует поведение настоящего устройства. Такая абстракция позволила отвязать пользователей от конкретного «железа» и бонусом дать возможность работать за терминалом без необходимости его физического подключения.
• Telnet был спроектирован как раз для решения этой задачи. В самом названии протокола заложен его смысл — TELecommunications NETwork, то есть сеть телекоммуникаций. Некоторые исследователи предлагают иную, неофициальную, расшифровку аббревиатуры — Teletype Over Network Protocol. Истина, вероятно, где-то посередине.
• С возложенной на него миссией Telnet справился великолепно. Пользователи получили доступ к виртуальным терминалам прямо по сети. Это сильно расширяло возможности построения распределенной вычислительной инфраструктуры. Поддержку этого протокола постарались реализовать буквально везде — на тот момент наличие клиента Telnet было само собой разумеющимся явлением.
• Почему же мы сейчас администрируем серверы и настраиваем роутеры по SSH, а не через Telnet? Увы, этот протокол не предусматривал никакой защиты или шифрования. Все данные передаются по сети в открытом виде, даже если это логины или пароли. Получается, что Telnet бесполезен для любого применения, где необходима хотя бы минимальная конфиденциальность. Это и поставило жирный крест на его массовом использовании.
• Парадоксальным образом практически все вендоры сетевого оборудования продолжают поддерживать его и добавлять в свои продукты. В первую очередь это сохраняет обратную совместимость. Многие промышленные и военные системы были созданы для использования Telnet, и их модернизация попросту нерентабельна. Такие заказчики будут вынуждены искать современные устройства с поддержкой древних протоколов, и это меняет правила игры.
• Вторая причина звучит хуже. Сейчас дешевизна разработки и скорость выхода на рынок всегда имеют приоритет над безопасностью. Так что многие компании предпочитают встраивать в недорогие потребительские устройства простой Telnet, а не более защищенный и сложный в реализации SSH. Его включают на этапе отладки и часто забывают выключать. В итоге десятки тысяч устройств в интернете имеют открытый порт Telnet и не предусматривают никакой аутентификации, что делает их очень легкой жертвой хакеров.
• Но есть у протокола Telnet одно применение, о котором знают немногие, — его до сих пор используют радиолюбители для передачи публичных данных о выходящих в эфир радиостанциях. Так то...
#Разное
• Вот так неожиданность: по информации ИБ специалистов МТС, в мессенджере Max появились первые мошенники, которые тестируют новые схемы обмана пользователей.
• Если мошенничество связано со звонками, то это плохие новости, ведь злоумышленники могут дозвониться до вас даже в том случае, когда вы едите в лифте, находитесь на парковке и других "труднодоступных" местах... Будьте осторожны и предупредите близких.
➡️ Источник.
#Новости
• Нашел хорошую заметку с всевозможными ресурсами (курсами, CTF, карьерными треками, документацией и всего прочего) для старта карьеры в ИБ.
• Заметка будет крайне полезна не только студентам, но и уже практикующим специалистам. Забирайте по ссылке ниже и добавляйте в закладки:
➡️ https://www.notion.so/ib
#ИБ
🖥 12 августа – уникальная дата в мире IT: 44 года назад появилась первая массовая персоналка от IBM и MS-DOS.
• В 70-е годы XX века компания IBM ориентировалась в основном на корпоративный рынок, считая, что ограниченный спрос на ПК не позволит построить серьезный бизнес. Однако бурный рост популярности персоналок Altair 8800, Commodore PET, Sinclair Mk14 и Atari 400/800, которым на пятки наступала Apple со своей продукцией, заставил крупные корпорации шевелиться. В 1980 году IBM начало разработку собственного настольного ПК, и 12 августа 1981 года IBM PC 5150 был представлен публике. Это изделие стало первым компьютером в сверхпопулярной линейке IBM PC. Наступила эпоха тотальной компьютеризации человечества, флагманом которой стали машины на базе архитектуры х86.
• Основной целью, которую руководство IBM поставило перед своими инженерами, было создание компактной и универсальной персоналки, быстродействие и производительность которой позволили бы использовать такую машину как на крупных предприятиях, так и в мелком бизнесе, а при желании и наличии достаточных средств — даже дома. И эта задача была решена. Сердцем IBM PC 5150 стал процессор Intel 8088, работавший на частоте 4,77 Мгц, при этом машина была оборудована оперативной памятью объемом от 16 до 64 Кбайт, которую можно было увеличить путем установки дополнительной платы расширения до 256 Кбайт.
• Подходящего по габаритам для компактного корпуса компьютера жесткого диска у IBM не нашлось, да и питания для него не хватало, потому в качестве накопителя машина использовала два 5-дюймовых дисковода.
• Первая модель IBM PC комплектовалась монохромным дисплеем IBM 5151, однако позже в производственную линейку добавился цветной монитор IBM 5153, при этом компьютер поддерживал одновременно два стандарта видео: MDA и CGA. Первый обеспечивал вывод монохромного текста с высоким разрешением, но не мог отображать больше ничего, а второй выводил цветную графику и текст со средним и низким разрешением.
• В качестве операционной системы персоналка использовала PC DOS 1.0 и CP/M-86. Однако в этот же день, 12 августа 1981 года, состоялось еще одно знаковое событие, впоследствии буквально перевернувшее компьютерную индустрию с ног на голову. А именно, никому не известная компания Microsoft выпустила на рынок операционную систему MS-DOS, которую стали массово устанавливать на IBM-совместимые ПК. При этом сама MS-DOS 1.0 представляла собой по большому счету переименованную 86-DOS, которую Билл Гейтс купил за 75 000 долларов у разработчика Тима Патерсона из Seattle Computer Products. А та, в свою очередь, являлась портированной для процессоров Intel усовершенствованной версией CP/M от Digital Research.
• Компьютер был очень благожелательно встречен публикой. Еще до его официального выхода компьютерные издания хором восхищались заявленными характеристиками ПК, а после поступления машины в продажу появилось множество хвалебных обзоров, авторы которых буквально восхищались инженерными решениями, производительностью и возможностями IBM PC. Уже в первый год было продано более 130 000 экземпляров этого компьютера, а поскольку он был разработан на базе открытой платформы, вскоре появились многочисленные клоны, выпуск которых наладили Compaq, Eagle Computer, Handwell Corporation и другие компании. Фактически, из главных конкурентов IBM PC среди несовместимых платформ на рынке 80-х осталась только линейка Apple Macintosh.
• Персональный компьютер IBM PC (5150) стал одним из самых популярных ПК в мире, а IBM PC — превратился в стандарт. Большинство современных персональных компьютеров являются дальними потомками и прямыми наследниками этой уникальной машины. Так то...
#Разное
• Весьма любопытный tui тренажёр для обучения основам работы в терминале. Содержит около 70 заданий, которые вам предстоит решить. Проходить увлекательно и полезно, так что рекомендую для самообразования и получения необходимого опыта.
➡️ https://github.com/learnbyexample/TUI-apps
• Кстати, у автора есть ещё несколько tui программ, с помощью которых можно потренироваться в работе с awk, grep, sed и регулярками...
#CLI #Linux
• Go — популярный языка программирования, который высоко ценится этичными хакерами за его простоту, эффективность и надежность. Если у Вас есть потребность в изучении данного языка, то держите бесплатный курс для начинающих.
• Данный материал поможет вам научиться писать простые сервисы и использовать этот язык в некоторых рабочих задачах. Кстати, там еще есть большая подборка материала для погружения в тему. Содержание следующее:
➡Полезные ресурсы для погружения в Go. Часть 1;
➡Полезные ресурсы для погружения в Go. Часть 2;
➡Fuzzing-тесты в Go после v1.18: знакомство и практика;
➡Как написать свой REST API на Go? Разрабатываем сокращатель ссылок;
➡Как разработать gRPC-сервис на Go;
➡Подключение Go к Apache Kafka;
➡Как тестировать Kubernetes с помощью Go.
➡️ https://selectel.ru/blog/courses/practical-go
• В качестве дополнения рекомендую рассмотреть еще один бесплатный курс на платформе stepik. Этот материал подойдет для тех, кто не имеет опыта в программировании. В курс входят 42 урока, 110 тестов и 45 интерактивных задач: https://stepik.org/course/100208
#Курс #Go
Хорошего DevOps-инженера непросто найти, трудно недооценить и ещё сложнее — заменить. Спрос на специалистов стабильно превышает предложение, а зарплаты — в числе самых высоких в IT.
Если хотите развиваться в профессии с высоким потенциалом, начните с курса Нетологии «DevOps-инженер с нуля». Уже через 6 месяцев вы сможете трудоустроиться сисадмином, параллельно осваивая навыки DevOps.
В результате научитесь:
👉 работать с Docker, Kubernetes, Jenkins и Git;
👉 настраивать CI/CD и мониторинг инфраструктуры;
👉 администрировать Linux, Windows и базы данных;
👉 использовать облачные технологии и микросервисы.
Вас ждут минимум 4 проекта в портфолио, бесплатный доступ к Yandex Cloud и 10 QA-сессий с экспертами из Alibaba Group, ВКонтакте и Ozon, где сможете задать любые вопросы о профессии.
А чтобы быть ещё конкурентоспособнее, вы подтянете английский и познакомитесь с основами Python.
Сейчас на курс действует скидка 40% — записывайтесь 💡
Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5xPjPRj
• На хабре недавно опубликовали очень хороший лонгрид по Docker, в котором описаны механизмы контейнеризации + примеры, эксперименты и реализация. Подойдет новичкам, кто хотел погрузиться в данную тему.
• Краткое содержание:
➡Chroot как первый популярный механизм, с помощью которого можно изолировать процесс в контексте файловой системы;
➡Namespaces как механизм, представляющий собой прослойку между желанием процесса получить ресурс и самим ресурсом;
➡Cgroups как ещё один механизм изоляции процессов, но только уже в контексте физических ресурсов системы;
➡OverlayFS как способ экономить место за счёт хитрой работы с файловыми системами контейнеров. Самое главное, поняли почему Docker слоёный пирог :);
➡Стандарт OCI как вещь, на которой держится вся современная контейнерная инфраструктура и утилиту runC, являющуюся эталонной реализацией OCI.
➡ Читать статью [33 min].
• Не забывайте про дополнительный материал:
➡Docker Security - очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Docker с нуля: бесплатный курс от Select;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.
#Docker
