49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Неожиданно: Qualcomm купила Arduino. Компания продолжит выпускать уже существующие платы под брендом Arduino и будет разрабатывать решения на базе чипов Qualcomm. Первым совместным продуктом станет плата Uno Q.
• Arduino Uno Q - это одноплатник с микроконтроллером STM32U585 (MCU) и микропроцессором Qualcomm Dragonwing QRB2210 с поддержкой Linux Debian. Устройство будет иметь 2 ГБ оперативной памяти и 16 ГБ встроенной. Продажи начнутся 24 октября 2025 года. В Европе плату можно будет купить за 47 евро. В ближайшее время появится версия с 4 ГБ оперативной памяти. Вместе с платой Uno Q представили Arduino App Lab — новую IDE для разработки ПО для фирменных плат.
➡️ https://blog.arduino.cc/arduino-with-qualcomm
#Новости #Разное #Arduino
• Нашел еще один очень крутой инструмент для работы с логами, который называется lnav. Я уже упоминал эту тулзу несколько месяцев назад в одном из постов, но я не описывал ее возможности.
• Вероятно, что данный инструмент окажется полезным для многих из вас, так как lnav является универсальным решением, которое значительно упрощает процесс анализа логов. Совокупность возможностей делает его незаменимым помощником для всех, кому приходится иметь дело с логами.
• Вот основные возможности lnav:
🟢Подсветка синтаксиса и темизация - подсветка синтаксиса делает логи более читаемыми, а возможность настроить тему позволяет адаптировать интерфейс под ваши предпочтения. Это важно при работе с большими файлами, где детали могут легко ускользнуть из-за ненадлежащего оформления.
🟢Определение логлевела - можно явно указывать логлевел для отображения, что помогает сосредоточиться на наиболее критичных записях и не отвлекаться на менее значимые.
🟢Множественные форматы логов - поддерживает одновременное отображение сразу нескольких файлов логов различного формата, что упрощает процесс анализа информации из различных источников и ведет к более полному пониманию происходящего.
🟢Работа с залогированными SQL запросами - при фильтрации lnav анализирует запросы SQL и выводит все строки, которые соответствуют фильтру, даже если запрос состоит из нескольких строк.
🟢Объединение записей по времени - даже если форматы времени в логах различны, lnav попытается их интерпретировать и отобразит записи на единой временной шкале
🟢Экспорт данных - после применения всех необходимых фильтров у вас есть возможность выделить блок строк, в том числе включающий данные из разных файлов и экспортировать эти данные в новый файл в формате текста, JSON или CSV.
🟢Создание собственных форматов лога - вы можете использовать специальный синтаксис, чтобы описать свой формат лога для разделения его по полям.
🟢Закладки и дополнительные возможности - lnav позволяет создавать закладки, что помогает быстро возвращаться к нужным участкам данных по аналогии с тем, как это работает в vim.
🟢Возможность неинтерактивной работы с lnav и создания скриптов для обработки данных - позволяет вам писать собственные скрипты для автоматизации анализа логов и обработки данных.
🟢Сохранение и загрузка сессий - в lnav можно сохранять сессии. Это позволяет сохранить текущее состояние просмотра логов, включая примененные фильтры, аннотации и все выполненные действия.
🟢Работа с пайпами и многое другое...
• Больше информации можно получить в официальной документации.
• Сам проект имеет открытый исходный код и доступен на github.
#Tools #DevOps
Коллеги, вчера проводили учения по кибербезопасности. Сценарий провалился с треском. 95% сотрудников не открыли письмо «Вам повышают зарплату!», потому что сочли его нереалистичным. Горжусь вашим скептицизмом. Единственный, кто повёлся, — это гендир. Теперь он требует объяснить, почему это была учебная тревога, а не реальное предложение.
Читать полностью…
📰 Paged Out #7!
• Вышел 7-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute. Приятного чтения.
#Журнал #ИБ
• Хакеры взломали техподдержку Discord. В сеть утекли имена, ip-адреса, почтовые адреса, способ оплаты, последние четыре цифры карты и паспортные данные десятков тысяч пользователей, которые обращались в поддержку для подтверждения возраста. Об этом сообщили в самой компании.
• Ответственность за взлом взяла на себя группа Scattered Lapsus Shiny Hunters (SLSH), которые опубликовали ряд скриншотов, подтверждающих компрометацию системы.
• Интересно, что совсем недавно Discord ввел обязательную проверку возраста в Великобритании в ответ на Закон о безопасности в Интернете (Online Safety Act), который вступил в силу 25 июля 2025 года. Теперь все эти данные в руках хакеров...
#Новости #Разное
• 20 лет назад, 18 сентября 2005 года, мир увидел μTorrent - одно из самых популярных в мире приложений. С того момента сильно изменилась целевая аудитория программы. Если 20 лет назад им начали пользоваться гики, то сейчас через uTorrent могут качать сериалы наши мамы, папы, бабушки и дедушки и другие люди, кого и близко нельзя назвать экспертами в компьютерах.
• Символ "μ" в названии μTorrent означает «micro». Разработчик Людвиг Стригеус в 2004 году начал работать над эффективным BitTorrent-клиентом, который не стал бы использовать слишком много ресурсов.
• Стригеус работал над приложением в свободное время, но вскоре занялся другими делами, и проект застопорился. В сентябре 2005 года Стригеус к нему вернулся и уже спустя три дня представил первую версию μTorrent.
• Спустя считанные дни приложение заработало популярность среди пользователей Windows. За следующие несколько месяцев новым торрент-клиентом начали пользоваться сотни тысяч человек. К декабрю 2008 года им пользовались 28 миллионов человек, а к 2015 году их количество достигло 150 миллионов.
• За первый год работы с приложением Людвиг Стригеус сделал ряд ключевых нововведений, которые являются неотъемлемой частью BitTorrent-экосистемы. Это протокол DHT, позволяющий BitTorrent-клиентам находить друг друга без трекера, и шифрование BitTorrent.
• Новым приложением быстро заинтересовалась компания BitTorrent. Её глава Ашвин Навин поблагодарил Стригеуса за его инновации в 2006 году. Одной благодарностью дело не закончилось…
• 7 декабря 2006 года, спустя чуть более года после первого релиза, компания BitTorrent Inc. купила μTorrent после того, как сама получила новые вложения в очередном раунде финансирования. С помощью μTorrent компания хотела расширить базу пользователей. Поглощение повысило потенциал μTorrent, количество пользователей выросло, а Людвиг Стригеус стал техническим консультантом BitTorrent и занялся другим P2P-проектом — легальным стримингом музыки Spotify...
#Разное
⚠ Роутер с "вечным" VPN: удобство, которое стоит слишком дорого.
• Весьма интересный и содержательный материал, где проанализировали роутеры с предустановленным «пожизненным» VPN, которые продаются на различных маркетплейсах.
• Автор купил три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000, и в процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще автор выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.
• В этой статье поговорим об угрозах, которые скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.
➡ Читать статью [12 min].
#ИБ
• Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570 ГБ данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало около 800 CER-отчётов (Customer Engagement Report), содержащих конфиденциальную информацию о платформах и сетевых инфраструктурах клиентов Red Hat, которым предоставлялись консалтинговые услуги.
• В представленных атакующими скриншотах и примерах упоминается о получении данных, связанных с около 800 клиентами Red Hat, среди которых Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, Merrick Bank, Telefonica, Bank of America, Delta Air Lines, Walmart, Kaiser, IBM, SWIFT, IKEA и AT&T, а также Центр разработки надводного вооружения ВМС США, Федеральное управление гражданской авиации США, Федеральное агентство по управлению в чрезвычайных ситуациях США, Военно-воздушные силы США, Агентство национальной безопасности США, Ведомство по патентам и товарным знакам США, Сенат США и Палата представителей США.
• Утверждается, что захваченные репозитории содержат сведения об инфраструктуре клиентов, конфигурацию, токены аутентификации, профили VPN, настройки OpenShift, CI/CD runner-ы, резервные копии и другие данные, которые могут быть использованы для организации атаки на внутренние сети клиентов. Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости.
• Компания Red Hat подтвердила инцидент и опубликовала краткий отчёт. Подробностей не приводится, указано только то, что компания начала расследование, в ходе которого выявлено, что неизвестный получил доступ к GitLab-серверу, используемому для ведения проектов команды Red Hat Consulting, и загрузил с него некоторые данные. Каким образом атакующий смог получить доступ к GitLab-серверу не уточняется, но указано, что в атаке не использовалась уязвимость (CVE-2025-10725) в OpenShift AI Service.
➡️ Источник.
#Новости
• На протяжении 3-х лет Майкл Баззель публикует в своем блоге полезные журналы, которые содержат в себе очень много ценных рекомендаций в части обеспечения информационной безопасности, этичного хакинга и поиска информации из открытых источников. К слову, Майкл – знаковая фигура в сфере ИБ и OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот», который считают достойным с точки зрения достоверности. Так что я рекомендую обратить внимание на данный журнал. Вероятно, что вы найдете для себя очень много полезной информации. Скачать можно по ссылке ниже:
➡️ https://inteltechniques.com
#Журнал #ИБ
• Ровно 43 года назад на свет появилась технология, в буквальном смысле слова изменившая мир. Именно в этот день, 1 октября 1982 года, на японский рынок поступил в продажу первый компакт-диск.
• Изначально компакты разрабатывали в качестве замены виниловым дискам, как более качественный и надежный носитель. Считается, что лазерные диски являются результатом совместной работы команд двух технологических корпораций — японской Sony и голландской Philips.
• При этом мало кто знает, что базовая технология «холодных лазеров», которая и сделала возможной появление лазерных дисков, была разработана советскими учеными Александром Прохоровым и Николаем Басовым. За свое изобретение они были удостоены Нобелевской премии. В дальнейшем технология развивалась, и в 70-х годах Philips разработала способ записи компакт-дисков, который и положил начало CD. Сначала инженеры компании создали ALP (audio long play) в качестве альтернативы виниловым пластинкам.
• Диаметр ALP-дисков составлял примерно 30 сантиметров. Чуть позже инженеры уменьшили диаметр дисков, время проигрывания при этом снизилось до 1 часа. Лазерные диски и воспроизводящее устройство для них впервые были продемонстрированы Philips в 1979 году. После этого компания стала искать партнера для дальнейшей работы над проектом — технология виделась разработчикам как международная, а развить ее до необходимого уровня и популяризовать своими силами было сложно.
• Руководство приняло решение попробовать установить контакты с технологическими компаниями из Японии, в то время эта страна находилась на острие hi-end технологий. Для этого в страну отправились делегаты Philips, им удалось встретиться с президентом Sony, который заинтересовался технологией.
• Почти сразу была сформирована команда инженеров Philips-Sony, они и разработали первые спецификации технологии. Вице-президент Sony настоял на увеличении объема диска, ему хотелось, чтобы компакт мог вместить девятую симфонию Бетховена, для чего объем диска расшили с 1 часа до 74 минут (есть и мнение, что это просто красивая маркетинговая история). Объем данных, которые умещаются на такой диск, составил 640 Мбайт. Инженеры разработали и параметры качества звука. Например, частота выборки стереосигналов регламентировалась на уровне 44,1 кГц (для одного канала 22,05 кГц) c разрядностью каждого в 16 бит. Так появился стандарт Red Book.
• Название новой технологии появилось не случайно - его выбрали из нескольких вариантов, включая Minirack, Mini Disc, Compact Rack. В итоге разработчики совместили два названия, получив гибридное Compact Disc. Не в последнюю очередь это название было выбрано из-за растущей популярности аудиокассет (технология Compact Cassette).
• На момент появления технологии в 1982 году компакт-диск мог хранить гораздо больше данных, чем жесткий диск персонального компьютера, который в те времена имел объем 10 Мбайт. Это и предопределило судьбу формата, обеспечив ему популярность.
• Несмотря на преклонный возраст, компакт-диски и их наследники - DVD и Blu-ray активно используются до сих пор, в основном, для хранения и архивации данных. Возможно, что скоро мы отметим юбилей этой технологии.
#Разное
⚠️ Не будь тем, кто узнаёт об угрозах ИБ слишком поздно!
Два бесплатных вебинара, которые нельзя пропустить:
📅 9 октября, 20:00 — «Некоторые аспекты ИБ при применении подхода IaC»
Поймёте, когда «Инфраструктура как код» защищает, а когда ослабляет вашу безопасность. Реальные риски и контрольные точки из практики.
📅 23 октября, 20:00 — «Искусственный интеллект — новый вызов в кибербезопасности»
ИИ меняет правила игры: ускоряет работу, но создаёт новые угрозы. Разбираем модель атак и как защититься.
🔥 Эти вебинары — ваш шанс обновить знания и быть на шаг впереди угроз, прежде чем они станут проблемой. Записывайтесь на вебинары: https://otus.pw/zz5z/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
• В 1991 году интернет был уделом энтузиастов, разбирающихся в протоколах и настройках. America Online (AOL) изменила это, запустив диал-ап-сервис, который сделал сеть доступной для обычных людей. Компания предложила не просто подключение, а целую экосистему: почту, чаты, форумы, игры и интуитивный интерфейс, скрывавший технические сложности. Это был «интернет для всех», упакованный в удобный формат.
• Подключение шло через телефонную линию. Пользователь запускал AOL Dialer, вводил номер провайдера, и после знакомого «скрежета» модема (этот звук у многих до сих пор вызывает ностальгию) открывался доступ к сети. Скорость по протоколу V.92 достигала 56 кбит/с, но в реальности часто падала до 20 кбит/с из-за помех или старых линий. Загрузка страницы могла занимать минуты, но в те годы это воспринималось как прорыв. Пользователи отправляли письма, читали новости и скачивали файлы не выходя из дома.
• На пике популярности в конце 90-х AOL насчитывала свыше 30 миллионов подписчиков. Компания продвигала свои услуги, рассылая компакт-диски с пробным доступом. Их, к слову, многие превращали в подставки или игрушки, CD эти стали культурным феноменом. Фраза "You’ve got mail!" вошла в обиход, символизируя радость от нового письма. AOL стала для миллионов первым шагом в World Wide Web, упрощая доступ для тех, кто не был технически подкован.
• С появлением широкополосного интернета (DSL, кабельные сети) в начале 2000-х диал-ап начал терять популярность. AOL, вошедшая в состав Yahoo!, переключилась на цифровые медиа и почтовые сервисы, но ее модемное подключение удивительным образом дожило до 2025 года.
• Сегодня, AOL — компания, открывшая миллионам пользователей интернет — официально прекратит предоставлять услуги диал-ап. Напомню, работала она с 1991 года. Вместе с ней уйдут AOL Dialer, сервис-«звонильщик», и браузер AOL Shield для старых систем. Для многих это не просто техническое изменение, а прощание с символом 90-х.
• Ушла эпоха....
#Разное
Вакансии в информационную безопасность Точка Банк
Точка Банк — IT-компания, мы создаём онлайн-банк и другие сервисы для бизнеса. Ими пользуются более 700 000 клиентов, а создают больше 5 000 сотрудников.
Администратор ИБ
📍От 180 000 ₽ до вычета налогов. Удалёнка, офис или гибрид — как тебе удобнее.
Что делать:
— Сопровождать и администрировать средства защиты информации: NGFW, 2FA, VPN, WAF, AV, СКЗИ, SIEM, DLP, antiDDoS.
— Оперативно реагировать на задачи ИБ: согласовывать доступы и проверять соответствие ПО, сервисов и процессов требованиям.
— Проводить регулярные контроли и аудиты системы информационной безопасности.
Ты подойдёшь, если:
— Есть опыт работы администратором ИБ от 1 года.
— Есть опыт администрирования основных средств защиты: DLP, SIEM, FW, AV, VPN.
Бизнес-партнёр по ИБ
📍От 300 000 ₽ до вычета налогов. Удалёнка, офис или гибрид — как тебе удобнее.
Что делать:
— Анализировать соответствие архитектуры IT-решений требованиям ИБ.
— Выявлять и оценивать возможные риски.
— Отслеживать выполнение мер при релизе продуктов.
— Экспертно сопровождать проектные и бизнес-команды по вопросам ИБ.
Ты подойдёшь, если:
— Есть опыт работы в банковской сфере от трёх лет на схожей позиции.
— Знаешь требования законодательства и Банка России (716-П, 821-П, 683-П, 787-П) и умеешь применять их на практике.
— Разбираешься в микросервисной и монолитной архитектуре, облаках и виртуализации.
• Очень хороший материал по изучению Docker для начинающих. Как обычно: все бесплатно, без регистрации и смс. Читаем и практикуем.
1️⃣ Docker с нуля: как работают контейнеры и зачем они нужны.
• Эта подборка из шести статей - ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны начинающим. На полное изучение уйдет менее двух часов. Материалы курса:
➡Docker: что это такое и как работать с контейнерами;
➡Установка Docker Desktop на Windows, настройка WSL и Hyper-V;
➡Запуск контейнера Docker и команда docker run;
➡Docker Compose и основы работы с контейнерами;
➡Создание своего Docker-репозитория;
➡Kubernetes vs Docker: в чем различия.
2️⃣ Основы безопасности в Docker-контейнерах.
• Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен. Материалы:
➡Безопасность в Docker: от правильной настройки хоста до демона
➡Исчерпывающее пособие по безопасной сборке Docker-образов
➡Профилактика в работе с Docker-контейнерами
• Не забывайте про дополнительный материал, который я уже публиковал в этом канале:
➡На сайте hacktricks есть очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.
#Docker #Security
• На хабре опубликовали хороший чек-лист, включающий десять базовых правил по безопасности VDS.
• Все перечисленные в статье правила - это не набор «фишек для параноиков», а ваша уверенность в сохранности ваших данных. SSH-ключи, запрет root-доступа, закрытые порты, свежие пакеты, резервные копии и мониторинг логов не требуют сверхусилий, но именно они определяют, будет ли ваш сервер тихо работать годами или превратится в лёгкую цель для злоумышленников. Однозначно к прочтению:
➡ Читать статью [7 min].
#ИБ
🖥 40 лет назад был основан Фонд Свободного Программного Обеспечения.
• В 1985 году, спустя год после основания проекта GNU, Ричард Столлман основал организацию Free Software Foundation для защиты разработчиков от компаний с сомнительной репутацией. Например, от тех, которые уличили в присвоении кода и которые пытались продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его коллегами.
• Философия фонда строится на 4 основных свободах:
➡Свобода запускать программу в любых целях (свобода 0).
➡Свобода изучения работы программы и ее адаптация к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
➡Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
➡Свобода улучшать программу и публиковать ваши улучшения, так что все общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.
• Программа свободна, если у ее пользователей есть 4 вышеупомянутых пункта. Все достаточно прозрачно и позитивно. Но здесь накладываются взаимоотношения между разработчиками в юридическом плане и в рамках государства. Свободная программа часто не значит «некоммерческая», она может быть доступна для коммерческого применения и распространения. Это правило фундаментально важно, без этого свободные программы не могли бы достичь своих целей.
• В англоязычных текстах free означает не только «свободное», но и «бесплатное». Оно нередко употребляется к бесплатному программному обеспечению, которое распространяется без взимания платы, но недоступно для изменения. Получается, такое ПО не является свободным. Кстати, чтобы устранить недоразумения, как раз и был придуман термин open source.
• Спустя 3 года после основания организации, Столлман представил первую версию лицензии GPL, в которой определялись юридические рамки модели распространения свободного программного обеспечения.
• В сентябре 2019 года Ричард Столлман покинул пост президента Фонда свободного программного обеспечения, а на его место в 2020 году избрали Джеффри Кнаута. В сентябре 2025 года Кнаута сменил Ян Келлинг.
• В рамках развития организации на мероприятии анонсировали проект LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об этой инициативе не приводятся. Ожидается, что проект позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение.
➡️ https://www.fsf.org/events/fsf40
#Разное
• Полиция Манчестера приостановила работу сотрудников на удаленке, так как обнаружила, что они используют автоматический набор текста для ПК для имитации работы.
• По данным полиции, 26 сотрудников и подрядчиков столкнулись с судебными разбирательствами по факту неправомерных действий. Ранее антикоррупционное подразделение выявило признаки «необычного поведения клавиш» на выданных им устройствах. Были зафиксированы случаи залипания клавиш, а обычно такое происходит, когда на клавиатуре оставляют предметы или проводят с ней другие манипуляции для имитации работы.
• Ранее полиция уличила детектива Ниалла Таброна в преднамеренном обмане руководства Северо-восточного регионального управления по борьбе с организованной преступностью (NEROCU) методом «залипания клавиш». Это позволило Таброну создать видимость того, что его компьютер использовался 38 раз в течение 12 дней.
• Офицер работал в группе по расследованию особо тяжких преступлений. Он ушёл в отставку в мае. Полиция предоставила доказательства манипуляций со стороны Таброна: были зафиксированы длительные периоды, когда единственными действиями были одиночные нажатия клавиш: нажатие клавиши «H» около 30 раз, а затем нажатие клавиши «I» более 16 тысяч раз. Таким образом, офицер применял манипуляции с клавиатурой на протяжении 45 часов из 85, которые он провёл в системе, и часто отсутствовал у ПК половину своего рабочего дня. Теперь бывшему офицеру запрещено работать в полиции.
• Офицер видимо не в курсе, что у Китайцев на Ali есть тонна различных устройств для имитации клавиатуры и движения мыши 🤫
#Новости #Разное
Роль CISO в России сегодня — больше, чем просто контроль ИБ. Это работа на стыке регуляторики, бизнеса и технологий, где цена ошибки особенно высока.
После вебинара вы сможете:
— лучше понимать специфику роли CISO в российских реалиях;
— ориентироваться в НПА и практиках регулирования;
— увидеть направления для развития своей ИБ-службы и личной карьеры.
После занятия вы будете понимать, как минимизировать риски и выстраивать систему реагирования. Открытый урок пройдёт 8 октября в 20:00 МСК в преддверии старта курса «CISO / Директор по информационной безопасности». Все участники получат скидку на обучение.
👉 Для участия зарегистрируйтесь: https://otus.pw/jfFQ/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
🤩 Давно у нас не было красоты в ленте. Держите!
#Разное
• Пост выходного дня: подробные руководства по Cron и Systemd в Linux.
• Cron - классический планировщик задач в Unix-подобных операционных системах, позволяющий автоматизировать выполнение команд и скриптов по расписанию. Позволяет запускать команды/скрипты в определенное время или с определенной периодичностью, но при не самом аккуратном использовании может "подкинуть" проблем: от падения сервера из-за перегрузки до "тихих" ошибок, о которых можно долго не знать.
• В этом руководстве описаны не только основы работы с cron, но и типичные подводные камни, альтернативы для сложных сценариев, а также продвинутые форматы расписания. Информация будет полезна всем, кто хочет более подробно разобраться в автоматизации задач в Linux.
➡ Читать статью [8 min].
• Systemd - комплексная, глубоко интегрированная система инициализации и управления, которая стала неотъемлемым скелетом современных дистрибутивов Linux. Её архитектура, построенная вокруг концепции юнитов, cgroups и централизованного журналирования, кардинально меняет подход к администрированию системы.
• В данном руководстве автор рассказал про все основные и ключевые технические аспекты: архитектура, юниты, cgroups, работа с журналами. Только команды и конфиги. Данная статья является продолжением статьи по cron, так как systemd был затронут, но не раскрыт.
➡ Читать статью [16 min].
#Linux #Cron #Systemd
• В Питере нашли самую современную бабушку. У нее можно купить овощи за крипту (btc, etc, litecoin). Вот это настоящий киберпанк...
#Юмор #Разное
Быстрый офер в команду безопасности Яндекса
Зовём специалистов по информационной безопасности с опытом от 2 лет на Week Offer Security 11–17 октября.
Как это устроено:
🔸 Подаёте заявку до 8 октября
🔸 Проходите технические секции 11–12 октября
🔸 Знакомитесь с командами и получаете офер 13–17 октября
Перед мероприятием проведём онлайн-встречу, где познакомимся, расскажем подробнее о наших проектах и задачах, ответим на ваши вопросы, а также сделаем разбор задач и дадим советы, как лучше подготовиться к секциям.
Узнать подробности и зарегистрироваться можно на сайте.
Реклама. ООО "Яндекс". ИНН 7736207543
🔎 Первый в мире поисковый движок.
• В ранние годы интернет-эры миллионы файлов хранились на тысячах анонимных FTP-сайтов. В этом многообразии пользователям было достаточно сложно обнаружить программу, подходящую для решения их задачи. Поэтому приходилось вручную просматривать FTP-хранилища, структура которых значительно отличалась. Именно эта проблема и привела к появлению одного из ключевых аспектов современного мира — интернет-поиска.
• Считается, что создателем первого поискового движка выступил Алан Эмтейдж. В 1989 году он работал в университете Макгилла в Монреале. Одной из его задач как администратора университетского факультета информационных технологий было нахождение программ для студентов и преподавателей. Чтобы облегчить себе работу и сэкономить время, Алан написал код, который выполнял поиск за него.
• Эмтейдж написал простой сценарий, автоматизирующий задачу внедрения в листинги на FTP-серверах, которые затем копировались в локальные файлы. В этих файлах осуществлялся быстрый поиск необходимой информации с помощью стандартной grep-команды Unix. Таким образом, Алан создал первую в мире поисковую систему, которая получила название Archie — это сокращение от слова Archive (Архив).
• Archie оказался способен производить поиск среди 2,1 миллиона файлов более чем на тысяче сайтов по всему миру в течение нескольких минут. От пользователя требовалось ввести тему, а система предоставляла отчет о местонахождении файлов, названия которых совпадали с ключевыми словами.
• Решение оказалось настолько удачным, что в 1990 году Эмтейдж и его партнер Питер Дойч основали компанию Bunyip, намереваясь вывести на рынок более мощную коммерческую версию Archie. Можно сказать, что это был первый интернет-стартап в истории, поскольку Bunyip продавали интернет-сервис.
• Команда решила привести листинги к более эффективному представлению. Данные были разбиты на отдельные базы: в одной из них хранились текстовые названия файлов, в другой — записи со ссылками на иерархические директории хостов. Была и третья база, соединяющая две другие между собой. Поиск при этом производился поэлементно по именам файлов.
• Со временем были реализованы и другие доработки. Например, база данных вновь была изменена — её заменила база данных, основанная на теории сжатых деревьев. Новая версия формировала текстовую базу данных вместо списка имен файлов и работала значительно быстрее предыдущих. Также произведенные второстепенные улучшения позволили Archie проводить индексацию веб-страниц.
• К сожалению, работа над Archie была прекращена, а революция в области поисковых систем — отложена. Эмтейдж со своими партнерами разошлись во взглядах касательно будущих инвестиций, и в 1996 году он принял решение об уходе. После этого клиент Bunyip проработал еще год, а затем стал частью Mediapolis, Нью-Йоркской фирмы веб-дизайна. При этом патенты на все наработанные технологии так и не были получены.
• Archie породил такие поисковые системы, как Google, потому в какой-то мере его можно считать прапрадедушкой поисковых движков. Что касается Алана Эмтейджа, то когда его спрашивают об упущенной возможности разбогатеть, он отвечает с долей скромности:
«Разумеется, я бы хотел разбогатеть, — говорит он. — Однако даже с оформленными патентами я мог бы и не стать миллиардером. Слишком легко допустить неточности в описании. Иногда выигрывает не тот, кто был первым, а тот, кто стал лучшим».
1979 год. В то время диск на 250 мб. был настоящим чудом технологии! А выглядел он вот так:
Читать полностью…
• Нашел очень крутой ресурс, который содержит огромное кол-во инструментов для ИТ специалистов, начиная от калькулятора ip адресов и оценки надежности паролей, заканчивая конвертерами и линтерами для JSON, YAML, XML и т.д. Так сказать, универсальный набор тулз, который пригодится для выполнения повседневных задач.
• А еще вы можете развернуть всё локально, если потребуется. Инструкция есть на github. Пользуйтесь:
➡️ https://it-tools.tech
#Tools
• Автор этот статьи написал бесплатный сканер, который может осуществляет проверку вашего файла на уязвимости в коде, найти дырявые библиотеки и зависимости, а еще может проверить инфраструктурные конфиги.
• Никаких формальностей: без регистрации, без смс, без ввода карты и т.д., просто берете файл, перетаскиваете его мышкой и получаете отчет. Поддерживаются Python, JavaScript, Java, C++, Go, PHP, конфиги типа Dockerfile, Kubernetes, Terraform и многие другие. Всё, что реально встречается в жизни...
• Судя по описанию проекта, сканер навсегда останется бесплатным! Однако сайт работает в Бете на небольших ресурсах. Может лагать, может выдать ошибку при загрузке большого файла. Но небольшие файлы обрабатывает быстро. В дальнейшем если пользователей будет больше, автор обещает расширить ресурсы.
• Кстати, есть ещё одна удобная штука — share отчёта по ссылке. Сделали скан, получили результат и одним кликом сгенерировали ссылку. Она живёт 7 дней, после чего удаляется. Это удобно для тимлидов и ИБшников: можно показать результат команде, не пересылая файлы руками.
• В общем и целом, это очень хороший инструмент для обычных людей. И особенно круто, когда такие инструменты публикуют бесплатно!
➡️ Code Scanner.
➡️ Описание проекта.
#DevOps #DevSecOps #ИБ #Tools
• Андрей Созыкин завершил основной раздел своего курса по компьютерным сетям и приступил к следующей части, которая будет посвящена теме защищенных сетевых протоколов. В новом разделе будут рассмотрены следующие протоколы:
➡TLS – Transport Layer Security;
➡HTTPS – HTTP Secure;
➡DNS-over-TLS, DNS-over-HTTPS;
➡DNSSEC – DNS Security Extensions.
• Отмечу, что лично я считаю данный курс одним из лучших и понятных в части изучения сетей. А еще курс полностью бесплатный и опубликован на YouTube, что делает его доступным для всех желающих! Напомню, что Андрей начал актуализировать свой курс еще год назад и сейчас можно посмотреть более 38 уроков:
➡Введение в курс;
➡Организация компьютерных сетей;
➡Терминология сетей;
➡Модель ISO OSI;
➡Модель и стек TCP/IP;
➡Стандартизация сетей;
➡Организация сетей TCP/IP;
➡Анализатор сети Wireshark;
➡Прикладной уровень;
➡Протокол HTTP;
➡HTTP в текстовом режиме;
➡Кэширование в HTTP;
➡HTTP в Wireshark;
➡HTTP API;
➡Практика по HTTP API;
➡HTTP API в Postman;
➡HTTP API в curl;
➡Система доменных имен DNS;
➡Протокол DNS;
➡Протокол DNS в Wireshark;
➡Типы записей DNS;
➡Типы записей DNS в Wireshark;
➡Утилиты DNS host и dig;
➡Итеративный и рекурсивный режимы DNS;
➡Транспортный уровень;
➡Протокол UDP;
➡Протокол UDP в Wireshark;
➡Протокол TCP;
➡Протокол TCP: скользящее окно;
➡Протокол TCP: установка соединения;
➡Утилиты TCPView, netstat и ss;
➡Протокол TCP: формат заголовка;
➡Протокол TCP в Wireshark;
➡Протокол TCP: управление потоком;
➡Протокол TCP: управление перегрузкой;
➡Интерфейс сокетов;
➡Практика по сокетам;
➡Протоколы, интерфейсы и сервисы.
• Когда будет завершен раздел с описанием защищенных сетевых протоколов, то я обязательно опубликую эту информацию в канале. Либо можете самостоятельно отслеживать выход нового материала в этом плейлисте: https://www.youtube.com/playlist/seti
• P.S. Не забывайте про мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network
#Сети
🖥 ENIAC.
• Electronic Numerical Integrator and Computer (ENIAC) был одним из первых в мире компьютеров общего назначения. В этом году ENIAC (на фото) исполнилось 79 лет. Его создание считается одной из важнейшей вех развития компьютерной техники.
• В ходе создания ENIAC ученые и инженеры предложили множество новых идей, которые в дальнейшем стали базой для построения электронно-вычислительных машин уже гораздо более совершенных, чем ENIAC.
• А началось всё с военных. Он потребовался, в частности, для расчета траекторий полета баллистических ракет и других снарядов. Просчитать вручную все это было можно, но процесс занимал крайне много времени. В некоторых случаях военным требовалась информация по нескольким тысячам траекторий полета снаряда, причем на расчет каждой из них требовалось по 1000 и более операций. Соответственно, у одного человека на выполнение всего этого комплекса вычислительных задач уходило около 2 недель, а иногда — и месяцев.
• После проведения расчетов военные составляли специальные таблицы, которые помогали метко стрелять по вражеским целям.
• ENIAC создали для ускорения всей этой работы. Разработка системы началась в 1942 году, а в 1945 компьютер уже приступил к работе, избавляя сотрудников от необходимости выполнять рутинную работу на протяжении нескольких недель.
• Готовый аппаратный комплекс занимал помещение площадью в 140 м2. Масса устройства составляла 30 тонн, в состав его входило около 18 000 электронных ламп и 1500 реле, плюс сотни тысяч других элементов, включая сотни тысяч резисторов, конденсаторов и катушек индуктивности.
• Сначала у ENIAC не было внутренней памяти, все данные хранились на перфокартах. Но в 1953 году инженеры смогли добавить к системе память на 100 слов.
• Стоит отметить, что для своего времени система была просто феноменально быстрой. Компьютер был в состоянии выполнять 357 операций умножения в секунду или 5000 операций сложения за то же время. Кроме того, компьютер позволял решать дифференциальные уравнения второго порядка.
• Не обошлось и без проблем. Поскольку в ENIAC содержалось почти 18 000 радиоламп, они регулярно выходили из строя, из-за чего работы приостанавливались примерно раз в день. Лампы приходилось заменять, на что требовалось время. В самом начале на поиск неисправной лампы требовалось несколько часов, но через некоторое время команда компьютера смогла ускорить процесс — на него стало уходить не более 15 минут.
• Компьютер потреблял около 160 кВт энергии, а во время его работы температура в машзале поднималась вплоть до 50 градусов Цельсия. При всем при этом система была крайне сложной. Даже у опытного программиста на ввод новой задачи уходило много времени. Чаше всего несколько дней — ведь сначала нужно было согласовать планирование, а потом уже внедрять.
• К тому времени, когда ENIAC заработал, подошла к концу Вторая мировая война. Поэтому команде проекта пришлось срочно адаптировать свое детище для решения новых задач, включая сельское хозяйство.
• В итоге ENIAC выполнял вот такие задачи:
➡Расчет конструкции водородной бомбы.
➡Прогнозы погоды.
➡Исследования космических лучей.
➡Изучение случайных чисел.
➡Проектирование аэродинамических труб.
• Прогнозы погоды, выдаваемые системой, были довольно точными, но приоритет отдавался, конечно, созданию водородной бомбы.
• К слову, использовался компьютер не так и долго вплоть до 1955 года, когда в мире появились более мощные системы. Тем не менее, за все время существования инженеры внедрили немало новейших и эффективных для того времени решений. ENIAC очень сильно изменился по сравнению с тем, что он собой представлял в начале существования.
• Когда компьютер перестал быть актуальным, его просто разобрали. Элементы системы разбирали и складывали не самым аккуратным образом. Часть элементов увезли, другие — оставили.
• С течением времени элементы ENIAC расходились все дальше друг от друга — их могли просто перескладировать, отправляя их за десятки километров от предыдущей дислокации. Причина — размеры элементов компьютера.
#Разное
• Нашел очень полезный сервис, благодаря которому можно создать зашифрованные HTML странички, расшифровка которых происходит с помощью ввода пароля в браузере на стороне клиента.
• Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Но что делать, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решает тулза StatiCrypt.
• StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг. Страница будет расшифрована в браузере пользователя, когда тот введёт известный ему пароль. В принципе, эту систему можно использовать для шифрования личных заметок, если вы хотите выложить их на общедоступный сервер, чтобы всегда иметь к ним доступ, но при этом надёжно защитить от посторонних глаз.
• Расшифровка происходит на обычном JavaScript, то есть со стороны клиента не требуется скачивание и установка дополнительных инструментов, кроме стандартного браузера. Ни хостинг-провайдер, ни интернет-провайдер не получают доступ к этой информации в процессе расшифровки её расшировки в браузере.
• Консольная утилита StatiCrypt доступна для скачивания на Github и в виде пакета NPM. А еще существует готовый шаблон для создания и хостинга одностраничного зашифрованного сайта на GitHub Pages.
• Страница шифруется с помощью AES-256 в режиме CBC, который в контексте StatiCrypt лишён характерных для него уязвимостей. Пароль хешируется с помощью функции PBKDF2: 599 тыс. операций хеширования SHA-256 и 1000 операций SHA-1 (для легаси). По сути, генерируется новая веб-страница (зашифрованная), которая вмещает содержимое старой.
• Утилита также умеет генерировать ссылку, которая уже содержит хешированный пароль, для доступа к странице без ввода пароля непосредственно в веб-форме браузера. Такую ссылку можно передавать доверенным лицам или использовать самому, а контент при этом хранится на сервере в зашифрованном виде, недоступном для просмотра ни хостером, ни третьим лицам.
➡️ https://github.com/robinmoisson/staticrypt
#Tools