49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Подводная война...
• В начале 1970-х годов правительство США получило сообщение о том, что в Охотском море СССР проложили подводный кабель связи, связав советскую военно-морскую базу в Петропавловске-Камчатском со штабом в г. Владивосток. В то время СССР считал Охотское море своим внутренним морем, из-за чего иностранные суда не имели права плавать в нем. К тому же, военно-морской флот СССР установил сеть сонаров вдоль границы моря, чтобы не дать иностранным подводным лодкам возможности проникнуть незамеченными в территориальные воды СССР.
• Несмотря на эти препятствия, в октябре 1971 года правительством США было принято решение о проведении тайной разведывательной операции. Удачное проведение операции обещало получение очень важной информации об обороноспособности СССР. Для выполнения этой задачи в Охотское море была направлена специальная подводная лодка USS Halibut (SSGN-587) во главе с капитаном Джеймсом Брэдли. Поиск кабеля проводился на площади более 600 000 км², но несмотря на это американским аквалангистам удалось найти советский кабель — он лежал на глубине около 120 метров.
• Над кабелем было установлено специальное устройство — «кокон» (на фото), который предоставил возможность перехватывать сообщения и переговоры по кабелю без физического вмешательства в оболочку. Устройство было сконструировано таким образом, что оно должно было автоматически отделиться от кабеля, если бы советские специалисты начали поднимать его с морского дна, например, для проведения ремонта.
• Ежемесячно американские военные забирали пленки с записями телефонных переговоров советских моряков и устанавливали новые. Они передавались в АНБ США, где обрабатывались и передавалась другим правительственным агентствам. Прослушивание первых пленок показало, что советские моряки были так уверены в том, что никто не мог подслушать их телефонные разговоры, что сам телефонный сигнал передавался в незакодированном виде. Содержание разговоров советских высокопоставленных моряков оказалось очень важным для понимания смысла действий военно-морского флота СССР в регионе.
• Впоследствии удалось установить усовершенствованное разведывательное оборудование на линиях связи СССР в других уголках мира, например, в Баренцевом море. Оборудование было изготовлено американской компанией AT&T. В нем использовалась ядерное энергетическое оборудование, позволяющее автономно работать в течение года.
• Операция продолжалась до 1981 года, пока не стало известно о том, что в районе расположения разведывательного устройства появились советские корабли. США сразу отправили подводную лодку USS Parche с заданием забрать устройство, но американцам не удалось его найти.
• Человеком, который погубил эту тайную операцию, был Рональд Уильям Пелтон, 44-летний ветеран АНБ США, хорошо владевший русским языком и был отличным специалистом в области связи. Пелтон был азартным человеком и проиграл значительные средства в игровые автоматы, его долг составлял 65 000 долларов США. К тому же он был недоволен своим статусом в АНБ США, получая вознаграждение в 2000 долларов в месяц. В январе 1980-го Пелтон обратился в посольство СССР в Вашингтоне и предложил свои профессиональные знания в обмен на деньги от КГБ. От представителей КГБ Пелтон получил 35000 долларов США. В обмен он передавал все, что знал, с 1980-го по 1983-й год.
• В июле 1985 года в США бежал полковник КГБ Виталий Юрченко, который был связным Пелтона в Вашингтоне. Юрченко рассказал американцам о Пелтоне, которого впоследствии арестовали. В итоге СССР удалось найти устройство американцев, а позже его даже выставили в одном из музеев в Москве.
• После ареста Пелтон быстро признался в измене и шпионаже в пользу СССР. В 1986-м году он был осужден пожизненно судом присяжных, несмотря на то, что веских доказательств, кроме его признания, против него не было. Пелтону назначили три пожизненных заключения, однако он смог выйти досрочно в 2015 году. Такая вот шпионская история...
#Разное
• Ну что, вот и первый компьютерный в мире вирус, который был создан ИИ. Его обнаружили специалисты ESET, а малварь получила название PromptLock.
• Исследователи объясняют, что PromptLock использует модель gpt-oss-20b от OpenAI, которая является одной из двух бесплатных open-weight моделей, опубликованных компанией ранее в этом месяце. Она работает локально на зараженном устройстве через Ollama API и «на лету» генерирует вредоносные Lua-скрипты.
• После малварь определяет, какие файлы искать, копировать, шифровать или даже уничтожать, основываясь на типе файла и его содержимом. По данным исследователей, отвечающая за уничтожение данных функциональность пока не реализована.
• PromptLock использует 128-битный алгоритм SPECK для шифрования файлов, а сам вымогатель написан на Go.
• Отмечено, что PromptLock является лишь концепцией и еще ни разу не был замечен в реальных условиях. Такие вот дела...
➡️ https://bsky.app/profile/esetresearch/PromptLock
#Разное #Новости
• Нашел интересный проект на GitHub, который называется whatmade. Суть в том, что с помощью этого решения мы можем понять, каким процессом создан тот или иной файл в отслеживаемых директориях Linux.
• Исходный код whatmade написан на C++ и опубликован на GitHub под лицензией GNU General Public License v3.0.
Предполагается, что такой проект поможет пользователям в дальнейшем определить происхождение файлов со странными названиями.
• Пользователям среды рабочего стола MATE предоставляется расширение для файлового менеджера Caja, выводящее информацию о процессе, создавшем указанный файл.
➡️ https://github.com/ANGulchenko/whatmade
#Linux #Tools
• В первой половине 80-х термин "портативный компьютер" воспринимался совсем не так, как сегодня. С 1980 по 1985 год появились десятки моделей, которые можно было переносить… если вам хватало сил))). Эти устройства напоминали кирпичи: прямоугольные корпуса весом до 15 кг, со встроенным экраном с торца. Одним из таких устройств был Sharp PC‑5000 (1983).
• Компания Sharp сделала попытку выйти на рынок бизнес‑портативов, выпустив РС-5000, но выбрала нетипичный путь. Это был компактный (по тем временам) ноутбук в корпусе чемодана, больше похожий на кассовый аппарат, чем на компьютер. А знаете, что было самым забавным в этом устройстве? Экрана почти не было, но зато был термопринтер!
• Если говорить о характеристиках, то данная модель имела процессор Intel 8086, 5 МГц, 128 кб ОЗУ, узкий экран на 8 строк × 80 символов, 640 × 80 – почти как у калькулятора, bubble‑память (энергонезависимая, до 128 Кб) вместо дисков и в качестве ОС была MS-DOS 1.x (сильно кастомизированная).
• Инженерно устройство было новаторским, но слишком нестандартным. Маленький экран делал работу неудобной, а отсутствие дисководов ограничивало совместимость. Несмотря на оригинальность, PC‑5000 остался нишевой и быстро забытой моделью. Однако именно с таких моделей началась история о доступных (относительно) компьютерах, которые можно было бы брать с собой.
#Разное
• На сайте министерства юстиции США опубликована забавная история о 55-летнем Дэвисе Лу, уроженце из Китая, который более 12 лет работал в компании Eaton Corporation в городе Огайо.
• В 2018 году Дэвиса понизили в должности на работе, а компания затеяла глобальную реструктуризацию. Тогда наш герой понял, что увольнение не за горами и решил придумать план мести, внедрив вредоносный код в Windows-среду производственных систем.
• Вредоносный код использовал «бесконечные циклы», которые создавали нагрузку на серверы, удаляли файлы профилей коллег, блокировали легитимные логины и вызывали сбои в работе систем. Кроме того, Лу создал программный «рубильник» под названием IsDLEnabledinAD (Is Davis Lu enabled in Active Directory, «Активен ли Дэвис Лу в Active Directory»), который автоматически блокировал всех пользователей, если аккаунт разработчика отключат в Active Directory.
• Наступил день Х. Дэвиса уволили, а его аккаунт был заблокирован. Рубильник сработал, как и было задумано, а тысячи сотрудников компании Eaton Corporation были заблокированы.
• Весной этого года суд присяжных города Кливленда признал Лу виновным в саботаже систем работодателя и приговорил его к четырем годам лишения свободы. Такие вот дела...
➡️ https://www.justice.gov/
#Новости
👩💻 Как зарождался Linux?
• 25 августа 1991 года, ровно 34 года назад, в USENET-конференции comp.os.minix появилось сообщение от молодого человека по имени Линус Бенедикт Торвальдс о том, что он создал бесплатную операционную систему для 386 и 486-совместимых ПК, с отдельным примечанием: в качестве хобби, новинка не претендует на лавры серьезного профессионального проекта вроде GNU. Так началась история Linux.
• 1988 году Ларс Вирзениус (однокурсник Торвальдса) окончил среднюю школу и поступил в Хельсинкский университет на факультет информатики. В сентябре его пригласили в клуб для шведоговорящих студентов «Спектрум», где состояли ребята, интересующиеся информатикой, физикой, химией и другими точными науками. Там он и познакомился с Линусом Торвальдсом. По воспоминаниям Ларса, в университете было несколько компьютерных классов, в которых стояли «маки» и персоналки с MS-DOS, а также терминалы, подключенные к мейнфрейму VAX/VMS. Среди этого великолепия обнаружился один-единственный старенький компьютер от DEC с операционной системой Ultrix — одной из версий BSD Unix. MS-DOS не нравилась Ларсу своими ограниченными возможностями, графический интерфейс Mac OS показался ему неудобным, и он оккупировал машину с Ultrix. Однажды, работая в терминале, Вирзениус опечатался в команде rm, набрав вместо нее rn — и совершенно случайно открыл для себя мир конференций USENET, где общались тысячи IT-специалистов и компьютерных энтузиастов с разных уголков планеты. Своей необычной находкой Ларс поспешил поделиться с Линусом Торвальдсом.
• Один из циклов в университете Хельсинки был посвящен программированию на С в Unix. К тому моменту Вирзениус неплохо знал С, Торвальдс тоже умел программировать на этом языке, при этом оба были постоянными участниками конференции comp.lang.c, сообщения которой они читали с университетского компьютера DEC. Поэтому содержание лекций казалось им не слишком интересным — значительная часть теории была им уже знакома. Ларс и Линус сдавали лабораторные работы экстерном, соревнуясь между собой, кто уложит очередную программу из учебного задания в меньшее количество строк кода.
• На рождество 1990 года Торвальдс решил сделать себе подарок: он взял льготный студенческий кредит и 5 января купил 386-й компьютер. На этот компьютер Торвальдс действительно установил MINIX, но основной проблемой, которая злила и бесила его, было отсутствие нормальной поддержки многозадачности. Больше всего Торвальдс хотел организовать модемный доступ со своего ПК на университетский компьютер DEC, чтобы комфортно читать из дома любимые конференции USENET, но ни одна из существовавших тогда терминальных программ его не устраивала — в каждой чего-нибудь, да не хватало. Перепробовав кучу вариантов, Торвальдс начал писать собственный терминал. Причем он пошел нестандартным путем: вместо того чтобы использовать довольно ограниченные возможности MINIX, он решил, что его программа будет работать с «железом» напрямую, не опираясь на ресурсы ОС.
• Спустя определенное время терминал стремительно разрастался, превращаясь в ядро новой ОС: вскоре он обзавелся собственным драйвером жесткого диска и драйверами файловой системы. Постепенно, день ото дня, MINIX на его компьютере мутировал в Linux. Правда, изначально проект назывался по-другому: Торвальдс придумал смешное словечко Freax — сборную солянку из слов «Free» «Freak» и «Unix», и попросил администратора сайта ftp.funet.fi Ари Леммке выложить на этот портал исходники его терминала. Но Леммке решил назвать папку на сервере по имени автора софта, добавив к нему окончание от «Unix» — получилось «Linux». Название прижилось, хотя строку «Freax» все еще можно найти в makefile ранних версий ядра Linux.
• Получается, Linux появился на свет не из-за амбиций разработчика, желавшего сделать «MINIX лучше самого MINIX», а как следствие скромного желания читать почту в любимых конференциях, не покидая пределы родного дома. Как говорится, великие вещи порой рождаются случайным образом, но для их появления на свет все равно нужны талант и упорство.
#Linux #Разное
• Показали красивое: Китай запустил строительство подводного дата-центра для ИИ. Питание дата-центра в 10 км. от побережья Шанхая будет обеспечивать ветроэлектростанция. Зацените фотки, выглядит очень футуристично и максимально круто.
• В подводных дата-центрах морскую воду прокачивают по трубам через радиатор, расположенный на задней стороне серверных стоек, поглощая и отводя тепло. ЦОД рядом с Шанхаем строит компания Hailanyum. По оценкам компании и Китайской академией информационных и коммуникационных технологий, этот объект потребляет минимум на 30% меньше электроэнергии, чем наземные дата-центры благодаря естественному охлаждению.
• Центр обработки данных Hailanyum подключат к близлежащей морской ветряной электростанции, которая будет обеспечивать дата-центр 97% требуемой энергии. Первая фаза проекта рассчитана на 198 серверных стоек, что позволяет разместить от 396 до 792 серверов с поддержкой ИИ. Центр введут в эксплуатацию к началу осени этого года.
• Вычислительной мощности объекта будет достаточно для завершения обучения ИИ-модели, эквивалентной GPT-3.5. Однако дата-центр Hailanyum невелик по сравнению с типичными наземными ЦОД. Среднемасштабный дата-центр в Китае имеет до 3000 стандартных стоек, а супермасштабный может содержать более 10 000.
• Кстати, такой ЦОД оценивается в 223 млн. баксов, а в его основе лежит технология, впервые реализованная Microsoft более 10 лет назад в рамках проекта Project Natick. Тогда Microsoft затопила капсулу размером с грузовой контейнер, содержащую более 800 серверов, на глубину 38 м. у побережья Шотландии. Спустя два года американская корпорация сообщила, что подводные дата-центры надёжны, практичны и экономически выгодны в плане использования энергии.
• Также отмечено, что подводные центры обработки данных могут быть разрушены определёнными шумами, создаваемыми подводными акустическими системами, что вызывает опасения по поводу вредоносных атак с использованием звука. Об этом есть хорошее исследование в нашем канале, почитать можно вот тут.
• О планах создания подводных ЦОД также сообщили в Южной Корее, Японии и Сингапуре.
➡ https://www.livescience.com/data-centers-into-the-ocean
#Разное
• Пост выходного дня: наверняка вы знаете, что скачивать что-то большое из интернета через одно TCP-соединение очень долго. Но почему так происходит?
• Дело в том, что протокол TCP проектировался в 80-е годы прошлого века, когда каналы связи были медленные и ненадежные. Поэтому TCP после установки соединения начинает передавать данные с низкой скоростью. Если данные не теряются, то скорость постепенно увеличивается. А если теряются - то скорость снижается. Таким образом со временем TCP определяет приемлемую скорость передачи данных.
• Сейчас каналы связи стали более быстрыми и стабильными. Почему нельзя передавать по ним сразу много данных? Оказывается, не все так просто. Сетью одновременно может пользоваться много устройств и вместе они способны загрузить даже самые быстрые и широкие каналы.
• Поэтому у TCP очень сложная задача. Если передавать в сеть мало данных, то канал связи не будет загружен полностью и скорость передачи будет низкая. С другой стороны, если передать слишком много данных, то может произойти перегрузка, часть данных будет отброшена и их придется передавать заново. В этом случае скорость тоже будет низкая.
• Дополнительная сложность в том, что сетью пользуются другие устройства. В случае с интернет - это миллионы других устройств. Но как определить подходящую скорость с учетом всех остальных устройств в сети?
• Об этом вкратце рассказано в новом видео по по компьютерным сетям от Андрея Созыкина:
➡️ https://youtu.be/HDnzeS24tdg
• Если нужна более детальная информация, то можно почитать RFC по ссылкам ниже:
➡RFC 5681 TCP - Congestion Control;
➡RFC 896 - Congestion Control in IP/TCP Internetworks.
• P.S. Напоминаю, что Андрей Созыкин является автором одного из самого понятного и актуального курса по компьютерным сетям. Если хотите начать обучение, то переходите на YouTube.
• P.S.S. Не забывайте про мой репозиторий, в котором я собрал очень много полезного материала для изучения сетей.
#Сети
• Сегодня Google Meet было максимально плохо. Вероятно, что во всем виноваты сервера Google, которые внезапно начали деградировать... Звонки не работали, совещания отменялись, а люди жаловались. Если верить сервису downdetector, то каждый час жалобы на работу Google Meet оставляют более 100 человек. Печально, конечно, но на повестке дня будет отличная статья, которая окажется весьма кстати.
• 2 дня назад на хабре выкатили пошаговое руководство по настройке собственного XMPP сервера для безопасной коммуникации текстовыми сообщениями и звонков. Всё расписано подробно, а на реализацию потребуется не более 10 минут. Добавляйте в закладки и настраивайте для себя и близких:
➡️ https://habr.com/ru/articles/938760/
#Разное
• На DEF CON показали красивое: два инженера Mark Omo и James Rowley нашли несколько актуальных методов взлома электронных замков для сейфов SecuRam. Они смогли вытащить секретный код, используя диагностический разъем внутри замка, в отсеке для батареи. А еще в замках был найден бэкдор, который позволяет взломать сейф без дополнительного аппаратного обеспечения.
• Но самое забавное знаете что? Исследователи направили подробный отчет об уязвимостях в SecuRam, на что в ответ получили угрозы от юристов, которые пообещали направить иск в суд... Чем все закончилось - неизвестно (а может еще и не закончилось), но ребята представили подробный доклад на DEF CON и опубликовали демонстрацию взлома на ютубе. Надеюсь, что у них будет все хорошо =))
• Кстати, производитель планирует закрыть уязвимости в следующих моделях электронных замков, а те, что уже были выпущены и установлены, скорее всего, так и останутся уязвимыми. Тут важно отметить, что замки SecuRam используются более чем у 70% потребительских “умных” сейфов на рынке Северной Америки (около 3 млн клиентов). Они применяются, в частности, в аптечных сейфах, автоматах для сдачи наличных (Cash drop), в сетях Subway, T-Mobile и т.д.
➡️ Видео на YT;
➡️ Слайды с презентации на DEF CON.
#Разное
• В блоге этичного хакера bobdahacker вышла очень забавная статья, где описана история взлома McDonald’s.
• Всё началось с того, что исследователь обнаружил баг, который позволял сгенерировать неограниченное кол-во баллов и заказать любое кол-во еды через приложение McDonald’s. Достаточно было поправить код и отправить запрос, так как кол-во баллов на стороне сервера не проверялось! Баг исправили через несколько дней, однако bobdahacker обнаружил еще ряд уязвиомстей...
• На одном из сайтов McDonald’s, который используют маркетологи и всевозможные агенства в 120 странах, была возможность зарегистрировать аккаунт заменив в URL слово «login» на «register»: https://admin.me.mcd.com/feel-good-design/register. После регистрации McDonald’s прислал исследователю пароль открытым текстом на указанный почтовый адрес (не ссылку для создания, а сразу пароль).
• Далее bobdahacker обнаружил api ключ в JavaScript-коде портала. Он мог выгрузить список всех пользователей системы, отправлять официальные электронные письма от имени Мака на любые адреса, запустить фишинговую кампанию и т.д. Но самое забавное здесь то, что ребятам из Мака потребовалось целых 3 месяца на исправления всех уязвимостей. Однако это еще не конец.
• В McDonald's есть всевозможные порталы для сотрудников разных уровней. Одним из таких порталов является GPS - это такая панель, которая предназначена для владельцев франшизы. Суть в том, что данный портал не требовал аутентификации для выполнения административных функций. Т.е. любой сотрудник мог внести любые изменения на данном сайте. В качестве демонстрации на главную страницу вывели Шрека и потом вернули все обратно (скриншот выше). Доступ к данному порталу bobdahacker смог получить благодаря своему другу, который работал в Маке и согласился помочь зайти в сервис. Кстати, друга после такой помощи уволили)))
• Помимо этого нашли баг с одноразовыми купонами в клиентском приложении CosMc's (название нового ресторана McDonald’s). Эти купоны должны были быть одноразовыми, но опять же, на стороне сервера такая проверка не осуществлялась. Можно было использовать купон бесконечное кол-во раз.
• Обнаружив значительное кол-во уязвимостей наш герой попытался связаться с кем-либо, кто отвечает за безопасность, но никаких контактов найти не смог. С помощью LinkedIn Боб обнаружил несколько имен сотрудников, которые работают совершенно в другом направлении. Он решил позвонить на горячую линию и попросил переадресовать его на этих сотрудников. Спустя время с ним связались и получили всю необходимую информацию об уязвимостях. На устранение всех багов у McDonald’s ушло 3 месяца...
➡ https://bobdahacker.com/blog/mcdonalds-security-vulnerabilities
#Новости
• Интересная статья из блога Red Canary: злоумышленник, получивший доступ к системе через критическую уязвимость в Apache ActiveMQ (CVE-2023-46604), после её эксплуатации сам устранил уязвимость, установив исправление. Есть предположение, что такое поведение вызвано тем, чтобы ограничить доступ к системе для других хакеров и сохранить свой доступ в скомпрометированной системе. Ну а что, конкуренцию никто не отменял!
• Уязвимость в Apache ActiveMQ была выявлена еще в 2023 году и почти сразу были выпущена патчи исправления. Однако CVE-2023-46604 по-прежнему активно используется в атаках, особенно в целях развертывания вредоносного ПО: от майнеров до шифровальщиков.
• В ходе данного инцидента атакующий загрузил два JAR-файла, фактически заменив ими уязвимые компоненты ActiveMQ. Такие действия по сути эквивалентны установке легитимного патча.
• В Red Canary подчеркнули, что хакеры всё чаще применяют своеобразные подходы, адаптируясь к динамике борьбы за контроль над взломанными системами. Устранение уязвимости после её эксплуатации становится не только способом сокрытия следов, но и инструментом блокировки конкурирующих группировок. Так то...
➡️ https://redcanary.com/dripdropper-linux
#Новости
• В копилку бесплатных мини-курсов прибыло: PostgreSQL на максималках: практикум по расширениям! Этот курс — ваш гид по расширениям PostgreSQL. Расширения делают PostgreSQL инструментом для любых задач: от безопасности и оптимизации до работы с геоданными. В этом курсе описаны самые полезные расширения и представлена информация, как применять их без лишней теории.
• Курс включает в себя 5 уроков, которые можно пройти за полтора часа:
➡Самые популярные расширения PostgreSQL;
➡Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 1;
➡Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2;
➡Расширение jsquery для PostgreSQL — точные и быстрые выборки из JSONB;
➡Что такое расширение PostGIS для PostgreSQL.
➡ https://selectel.ru/blog/courses/postgresql-extensions
• P.S. Ну и в очередной раз напоминаю, что еще на платформе Stepik есть очень много бесплатных курсов. Очень часто нахожу там крутой и актуальный материал на всевозможные темы.
#Курс #PostgreSQL #DevOps
• Ребятушки, на сайте издательства "Питер" есть очень крутая книга "Linux. Карманный справочник. 4-е изд.", которая идеально подходит как новичкам, так и тем, кто каждый день пользуется Linux. По нашей хорошей традиции предлагаю разыграть 5 книг в бумажной версии!
• Отмечу, что в обновленном издании описывается более 200 команд Linux, в том числе новые команды управления файлами, пакетами и версиями исходного кода, преобразования форматов файлов и многие другие. Так что это практическое издание станет идеальным справочником по Linux на вашем рабочем столе.
• Данный конкурс не предусматривает каких-либо условий. Просто нажимаете на кнопку под этим постом и вы в деле. Доставка для победителей бесплатная в зоне действия СДЭК. Итоги подведем уже в эту субботу (30.08 в 12:00), при помощи бота, который рандомно выберет победителя. Удачи ❤
P.S. Не забывайте ставить огонек под этим постом 🔥 это помогает проводить такие розыгрыши чаще =)
#Конкурс
• После ограничения звонков WA и Telegram, на хабре начали публиковать пошаговые гайды по настройке доступных и всевозможных аналогов.
• В прошлой статье была информация о реализации своего XMPP сервера, который подходит для безопасной коммуникации текстовыми сообщениями и звонков (если не читали, то ссылка есть тут). В новой статье автор поделился информацией по настройке Galene — простого сервера для видеоконференций. Всё что вам потребуется - VPS сервер и 10 минут времени! Дерзайте:
➡️ https://habr.com/ru/articles/939650
#Разное
Несколько лет назад один человек работал в небольшой команде. Делали MVP, быстро, без формальностей. Фреймворк, REST, деплой — всё было гладко.
До тех пор, пока кто-то не подменил параметры запроса и вышел в админку без авторизации. Один payload, одна недодуманная проверка — и за несколько минут слили базу клиентов.
Клиенты ушли.
Команда развалилась.
Проект не спасли.
Этот человек потом стал пентестером. Потому что один раз уже не заметил уязвимость. И решил: больше никогда. Он пошёл учиться. В лабораториях повторял атаки, сам писал эксплойты.
Через год он работал в bug bounty. Потом в ИБ-компании. И теперь уже он находит уязвимости у других.
Мы сделали курс WAPT именно для таких людей.
❯ Курс, где вы не просто слушаете, а проводите атаки своими руками
❯ В лаборатории, где 65 сценариев: XSS, SQLi, LFI, SSTI, CSRF, RCE — всё на практике
❯ И раз в неделю — живые вебинары с куратором: разборы, ошибки, ответы
Сейчас идёт набор — и до конца августа действует скидка до 17%, успейте попасть на курс с максимальной выгодой в этом году.
👉 Перейти на страницу курса
👉 @CodebyManagerBot
• Вы ведь знаете, что сервис arXiv.org содержит в себе тонну научных статей на всевозможные темы? Там можно найти очень много полезной информации по различным направлениям, включая ИБ.
• Однако система фильтров не совсем продумана и не очень удобна. Поэтому энтузиасты запилили отдельный сервис, где можно найти любую статью с уклоном в ИБ. Сервис называется CyberSec Research (название говорит само за себя) и он позволяет быстро находить материал с arXiv.org по нужной теме. Переходим, выбираем нужный фильтр, читаем и обучаемся:
➡️ https://research.pwnedby.me/
#Разное
Число DDoS-атак выросло в 2 раза в первом полугодии 2025 🔒
Как изменились угрозы и что поможет защититься, рассказали эксперты Selectel в регулярном отчете
Подходы злоумышленников к DDoS изменились. А вы успели перестроиться? Провайдер IT-инфраструктуры Selectel подготовил аналитический отчет по DDoS за первое полугодие 2025 и проследил тенденции. Ищите подробную статистику и комментарии экспертов в полной версии исследования.
Согласно отчету, количество атак растет, а максимальный их объем и скорость снижаются. Все говорит об изменении типа угроз: экстремально мощные атаки трансформировались в атаки типа Pulse Wave, при которых потоки вредоносного трафика идут волнами с паузами. Они стали продолжительнее — их длительность выросла в 2,5 раза.
Читайте полную версию отчета, чтобы укрепить защиту ваших IT-систем →
👩💻 Права и пользователи в Linux.
• Нашел отличный и бесплатный курс на платформе Stepik по изучению Linux. Курс призван простым языком объяснить, как устроена система прав и пользователей в Linux, какие задачи она решает и почему без неё нельзя представить полноценную работу с серверными или локальными системами. На данный момент есть 15 уроков, 125 тестов и 1 интерактивная задача.
• Вот небольшое описание того, чему вы научитесь:
➡Узнаете принципы управления правами в Linux: как устроена модель owner/group/others, что означают флаги r, w, x и почему важно правильно настроить доступ.
➡Разберётесь, как использовать команды chmod, chown, chgrp и umask для гибкого управления правами на файлы и директории.
➡Познакомитесь с расширенными механизмами прав — SUID, SGID, Sticky bit — и научитесь применять ACL для тонкой настройки доступа.
➡Поймёте, как эффективно управлять пользователями и группами, настраивать их параметры и контролировать доступ при помощи sudo и root.
➡Узнаете, как строить безопасную архитектуру прав, избегать типичных ошибок и автоматизировать рутинные операции с помощью скриптов и best practices.
➡️ https://stepik.org/course/229493
#Курс #Linux
Твой комп уже достаточно настоялся под столом, чтобы стать частью…
КомпОта — онлайн-челленджа от КРОК, в котором можно выиграть призы за фото своего ПК 📸
Кстати, сборка может быть любой: от самой эстетичной до максимально кринжовой!
Жюри и зрительское голосование определят владельцев самых крутых компов в 4 номинациях. Они получат:
🏆 сертификат на 100к в магазин с ПК и аксессуарами
🏆 стильный мерч
Чтобы оказаться среди них:
- чекай все подробности на сайте
- заливай ПК до 14 сентября
- следи за обновлениями в тг-канале hardware-инженеров КРОК
Победителей объявит жюри в прямом эфире на канале подкаста linkmeup 22 сентября. А подать заявку можно уже сейчас ➡️ https://clck.ru/3NqJR5
• Сегодня Windows 95 исполнилось 30 лет! Именно в этот день, 24 августа 1995 года, ОС поступила в продажу в США, а вот в России она появилась позже — 10 ноября 1995 года. Windows 95 сочетала в себе как возможности MS-DOS, так и возможности предыдущих версий Windows. Сразу нужно отметить, что Windows 95 была отличной ОС для своего времени, что уж там говорить...
• Кстати, рекламная кампания обошлась Microsoft в 300 млн. баксов. Новую ОС рекламировали везде, где только можно. Но это стоило того. Только в первую неделю было продано около 1 млн. копий ОС. За первый год Microsoft удалось продать 40 млн. копий.
• Разработка Windows 95 продолжалась целых три года! Проект стартовал практически сразу же после выхода в свет Windows 3.1. У Microsoft было несколько альтернативных планов по разработке других версий ОС. Но по ряду причин менеджменту компании стало понятно, что нужна ОС, которая поддерживает 32-х битные приложения, многозадачность, плюс может работать на относительно слабом железе.
• Разработчики спроектировали ОС таким образом, чтобы она поддерживала одновременно 16-битные Windows программы, софт под MS-DOS, плюс работала бы с сотнями разных устройств.
• Одно из следствий такого решения — возможность работать в MS-DOS без графического интерфейса. Тем не менее, это уже не оболочка MS-DOS, а полноценная система, которая использует собственные драйвера для работы с различными девайсами.
• Что касается интерфейса, то Windows 95 получила новый интерфейс, главным элементом которого стал рабочий стол. Именно на нем предполагалось хранить ярлыки важных приложений, файлы и папки. В предыдущей версии ОС рабочий стол использовался для отображения иконок приложений, которые запущены пользователем.
• Появилась также область уведомлений для демонстрации различных дополнительных инструментов, вроде регулировки громкости или отображения текущего времени. Эта особенность сохраняется и сейчас, принципиальных изменений нет.
• А еще в Windows 95 появилась кнопку «Пуск» и соответствующее меню, которое сделало работу с ОС необычайно простой. Файловый менеджер «Проводник» открыл прямой доступ к дискам, папкам и файлам.
• Кстати, в Windows 95 появилась поддержка длинных имен файлов. Насколько можно судить, это была первая ОС, которая поддерживала длинные имена файлов. В предыдущих версиях длинные имена сокращаются до нескольких символов.
• Что касается системных требований, то они были невысокими даже для ПК той эпохи:
➡Любой процессор Intel 80386DX.
➡4 МБ ОЗУ.
➡50-55 МБ свободного места на жестком диске.
• Кстати, Internet Explorer не поставлялся по умолчанию с этой ОС. Его нужно было ставить дополнительно. В частности, он содержался в дополнительном пакете Windows 95, который считался отдельным продуктом. Об этом я уже писал на этой неделе (вот тут). Это было не совсем удобно, поэтому в обновленную версию, Windows 95 OEM Service Release 1, разработчики включили Internet Explorer версии 2.0. В последующие обновления вошел Internet Explorer 3.0 и 4.0.
• В общем и целом, эта ОС стала настоящим прорывом, демократизирующим доступ к миру компьютеров, так как до ее появления мир персональных компьютеров был уделом избранных. Ведь компьютеры представляли собой сложные устройства, требующие глубоких технических познаний для настройки и использования.
• Интуитивно понятный графический интерфейс, основанный на метафорах реального мира (рабочий стол, папки, файлы), сделал работу с компьютером простой и удобной. Но значение Windows 95 выходит далеко за рамки простого удобства использования. Она сыграла ключевую роль в формировании современного потребительского интернета.
• Хотя основы интернет-технологий были заложены другими ОС (такими как UNIX), именно Windows 95 сделала интернет массово доступным. Упрощение подключения к сети с помощью модемов, а также появление доступного браузера, превратили интернет из инструмента для узкого круга специалистов в общедоступный ресурс. Так что влияние этой ОС на развитие технологий, культуры и экономики неоспоримо и навсегда останется в истории!
#Разное
🎉 Результаты розыгрыша:
🏆 Победители:
1. Sergey (@TsehSerg)
2. SPECTRE ATLANT (@nursultanppp)
3. . (@ikhamitof)
4. Василий (@sizovV)
5. SanchelloXXXL (@reavjera)
6. Islander (@islander888)
7. *️⃣1️⃣0️⃣2️⃣#️⃣ (@nitsirr)
8. Андрей (@pro_tekt)
9. Poluvasyan (@poluvasyan)
10. Станислав (@stasbutuzov)
✔️Проверить результаты
• Совсем скоро, 24 августа, Windows XP исполнится 24 года. Хотя в широкую продажу система попала только в октябре 2001 года, именно 24 августа можно считать датой выхода самой популярной ОС для персональных компьютеров в истории. Другой успешный продукт компании Microsoft, Windows 7, сумел обогнать XP по популярности только спустя 10 лет после ее выхода, в 2011 году.
• Отличительной особенностью XP от предшественников можно назвать массовые изменения в дизайне, безопасности, поставка в комплекте с ОС ненавистного многими Internet Explorer 6 (сама линейка IE недавно отметила 21-летие) и, что самое главное — XP имела множество вариаций для различной аудитории, хотя на просторах СНГ в основном пользовались пиратскими версия XP Professional.
• Кстати, через несколько лет после релиза основных версий ОС типа Home, Professional и прочих, Microsoft обогнала время и выпустила Windows XP Tablet PC Edition, которая шла в комплекте с КПК и поддерживала работу со стилусом, распознавала начертание букв от руки и, фактически, могла бы стать базовой ОС для планшетов. Попытка освоить данный рынок оказалось поспешной — мир и технологии были не готовы к созданию комфортных в использовании планшетов, ну а после свет увидели iPad и прочие современные аппараты. Чем все закончилось — мы знаем. Вместо создания комфортной в работе самостоятельно мобильной ОС для планшетов, Microsoft пошла по пути тотального «равенства» на примере Windows 8, 8.1, 10 и 11, а мобильный сегмент так и не покорился даже при использовании бренда Nokia, ведь главным для пользователей стала далеко не сама ОС, а экосистема, приложения и совместимость. Возможно, это было упущено из виду, так как MS привыкли, что «мир ПК крутится вокруг Windows», чего не скажешь о мобильных устройствах.
• За первые пять лет Microsoft продала 400 миллионов копий Windows XP. Скорее всего, с учётом пиратства получится не меньше миллиарда установок.
• Основной период поддержки системы закончился 14 апреля 2009 года, ещё через пять лет — 8 апреля 2014 — Microsoft прекратила и расширенную поддержку. Но обладатели машин с XP нашли выход на ещё пять лет. По сети распространялись инструкции, как притвориться системой на Windows Embedded POSReady 2009, версии операционки для разнообразных терминалов оплаты, промышленного оборудования и прочих встраиваемых устройств. Конечно, Microsoft рекомендовала пользователям настольных компьютеров просто сменить операционную систему, а не прибегать к таким потенциально опасным хакам. 9 апреля 2019 года закончился период поддержки POSReady 2009. С этого времени закрывать уязвимости и баги Windows XP стало некому.
• Доля пользователей Windows XP исчисляется в десятых, сотых долях процента. От поддержки XP отказались основные браузеры, для неё не выходит софт, а любые устройства давно поставляются без драйверов для этой операционки. Но по какой-то причине у Windows XP всё ещё есть пользователи...
#Разное
Первый Android Meetup от Сбера: твой план на вечер
28 августа собираемся с Android-комьюнити, чтобы со спикерами из Сбера и Лаборатории Касперского обсудить современные практики разработки, опыт работы с инструментами и подходы к созданию качественных и доступных приложений.
📍 Выбирайте удобный формат участия и регистрируйтесь на лендинге!
Ждём вас очно и онлайн!
• Оказывается, что в ночь на 20 августа Китай отключили от глобального интернета на 74 минуты. В период с 00:34 до 01:48 по пекинскому времени весь трафик на TCP‑порт 443 оказался заблокирован. По словам исследователей из Great Firewall Report, «Великий китайский файрвол» начал подмешивать поддельные пакеты TCP RST+ ACK, что приводило к разрыву всех подключений.
• Из‑за такого сетевого вмешательства жители материкового Китая не только не могли заходить на внешние иностранные сайты, но и столкнулись с перебоями в облачных сервисах, зависящих от внешних серверов. Например, Apple и Tesla используют соединения через 443-й порт для базовых функций своих устройств и облачных сервисов, а эти каналы связи оказались недоступны пользователям.
• Исследователи пояснили, что сетевое устройство, реализовавшее блокировку, не соответствовала по логам и данным ни одному из известных ранее модулей «Великого китайского файрвола». По мнению экспертов, во внутреннюю систему связи в стране регулятор пытался добавить новый тип оборудования или была попытка перевести штатный сетевой узел системы контроля в экспериментальный режим. В качестве третьей версии исследователи предложили сетевую ошибку в новых настройках оборудования, которую потом пытались оперативно исправить. Такие вот дела...
➡️ https://gfw.report/blog
#Новости
🫠 Шутки, которые зашли слишком далеко... Часть 2.
• 2 месяца назад я опубликовал статью, где рассказывал о студенте, который изменили информацию на сайте Wikipedia и указал себя изобретателем тостера. Эта информация продержалась более 10 лет на сайте и вызвала настоящий ажиотаж в СМИ. Чтобы вы понимали, шутка зашла настолько далеко, что даже банк Англии предложил выбрать эту несуществующую и историческую личность для изображения на купюре в 50 фунтов стерлингов! Если не читали, то обязательно ознакомьтесь.
• Так вот, дело в том, что любители розыгрышей создали в Википедии огромное количество статей-мистификаций, описывающих несуществующих людей или события. Самая старая «шутка» продержалась около 11 лет. Всего в английском сегменте ресурса найдено более 300 мистификации, просуществовавшие более одного года. На Вики даже есть отдельная страница, в которой перечислены все случаи в англ. сегменте. Что касается СНГ, то такой страницы я не нашел (может плохо искал, а может её не существует). Вот краткое описание некоторых шуточных статей:
В 1960-е годы в Великобритании была группа, участники которой лаяли во время исполнения музыкальных композиций. Возможно, именно поэтому статья о The Doggs продержалась девять лет и восемь месяцев. Статью удалили как «Откровенную мистификацию», хотя в сети можно найти одну песню исполнителей того времени The Doggs — Billy's gotta run. В ней они не лаяли.
Джон Робишо родился в 1866 году в городе Тибодо, Новый Орлеан, и умер в 1939 году в Луизиане. Он был американским музыкантом, ударником и скрипачом, а также лидером собственного джаз-бэнда. А Джек Робишо — это герой поддельной статьи в Википедии, вымышленный серийный убийца из того же штата. Статью о нём создали 31 июля 2005 года, и продержалась она до 3 сентября 2015 года — десять лет и один месяц.
Гильермо Гарсия (Guillermo Garcia) был влиятельным нефтяным магнатом в XVIII веке, жившим в Южной Америке. Но вымышленным. Статья о нём просуществовала с 17 ноября 2005 года по 19 сентября 2015 года — девять лет и десять месяцев. Редакторы Википедии не нашли ни единого достоверного источника, который бы подтверждал существование этого персонажа.
«Божество австралийских аборигенов» Jar'Edo Wens — ещё один, на этот раз дважды вымышленный персонаж, которому была посвящена статья в Википедии, сделанная 29 мая 2005 года. Более того, она была переведена для французского раздела Википедии. Божество получило видоизменённый вариант имени Джаред Оуэнс (Jared Owens). До удаления Джека Робишо и Гильермо Гарсии Jar'Edo Wens удерживал первое место среди самых старых поддельных статей — девять лет и девять месяцев.
Pikes on Cliffs — это вымышленное место, домик на побережье с кузницей и колодцем. Моряк XVI века Уильям Симмс доплыл до берега после смертельного приговора, вынесенного сэром Фрэнсисом Дрейком. Этот дом никто не видел, и фактов существования того самого моряка не найдено. Статью удалили через девять лет и восемь с половиной месяцев после создания.
Грегори Нэмофф (Gregory Namoff) родился 26 февраля 1924 года в Грейт-Нек, Нью-Йорк, и умер 12 октября 2002 года в Бока-Рато, Флорида. Он был «международно известным» инвестиционным банкиром. В 1974 году он стал участником Уотергейтского скандала, но не был признан виновным. В начале 1980-х он переключил внимание на компьютеры, инвестировал в Apple Computer и Microsoft, и продал свою компанию GN Limited. В 1998 году он баллотировался в Сенат США против Боба Грэма, но его соперник провёл кампанию, связав Нэммоффа с Никсоном и Уотергейтом. В 2002 году Нэмофф умер из-за красной волчанки. Этого человека никогда не было.
• Нашел очень объемную и актуальную подборку полезных ресурсов на тему управления уязвимостями. Все ресурсы аккуратно отсортированы по разделам, включая всевозможные агрегаторы трендовых и обсуждаемых уязвимостей, базы данных, реестры и бюллетени. Добавляйте в закладки:
➡️ https://start.me/p/n74opD/cve-vm-by-alexredsec
#CVE