infosec
06.05.202516:33
👩💻 Firefox. Как всё начиналось.
• 21 год назад, в ноябре 2004 года, увидел свет первый релиз браузера Firefox. Новинка быстро завоевала популярность благодаря инновационным решениям и открытости кода. За 21 год браузер прошел путь от новичка до одного из лидеров и поборолся с серьезнейшими конкурентами. Сейчас у Firefox уже нет былой доли рынка, но браузер продолжает развиваться и акцентируется на конфиденциальности и безопасности. Вот как началась эта история:
• Чтобы противостоять монополии Microsoft, Netscape в 1998 году решил открыть исходный код своего браузера и запустил проект Mozilla. Это название произошло от слияния слов Mosaic (в честь браузера Mosaic, который был предшественником Netscape) и Godzilla, что символизировало борьбу с конкурентами. Уже в первый год сообщество активно подключилось к работе: разработчики со всего мира создавали новые функции, улучшали существующие возможности, участвовали в управлении и планировании проекта.
• Сначала проект Mozilla развивался в рамках Netscape. Его целью было создание нового браузера Mozilla Application Suite. Этот целый набор приложений, включая обозреватель, почтовый клиент, HTML-редактор и другие инструменты. Позже команда Mozilla решила не делать «комбайн», а создать новый легкий браузер, который мы теперь знаем как Firefox.
• Название появилось тоже не сразу. В 2002 году началась работа над браузером Phoenix, потом — Firebird и только потом уже Firefox. Название Phoenix пришлось изменить из-за конфликта с другой торговой маркой, а Firebird вызвал недовольство у разработчиков одноименной базы данных. В результате остановились на названии Firefox, которое стало символом стремления команды Mozilla к созданию свободного, защищенного и ориентированного на нужды пользователей браузера.
• Ну а в 2004 году был представлен первый релиз, сумевший быстро привлечь внимание и, что особенно важно, завоевать пользователей благодаря своим революционным на тот момент функциям — вкладкам и поддержке дополнений.
• Вот основные возможности браузера, которые тогда отличали его от конкурентов:
➡Вкладки. В отличие от Internet Explorer, который открывал каждый сайт в новом окне, Firefox ввел вкладки, что позволило пользователям управлять несколькими веб-страницами в одном окне.
➡Поддержка дополнений. Firefox предложил гибкую систему эддонов, позволяющую пользователям устанавливать новые функции и настраивать браузер под свои нужды.
➡Блокировка всплывающих окон. На момент выхода Firefox эта функция была востребована, поскольку многие сайты стали злоупотрблять всплывающими рекламными окнами. Firefox позволял пользователям блокировать их, делая серфинг более комфортным.
➡Поддержка CSS и веб-стандартов. Firefox с самого начала стремился поддерживать современные веб-стандарты, а это позволяло пользователям видеть сайты так, как задумали разработчики. Это выделяло его среди браузеров, которые не всегда корректно отображали страницы.
➡Безопасность. Firefox предлагал более высокий уровень безопасности по сравнению с Internet Explorer, где уязвимости были частой проблемой.
• С момента релиза Firefox стал расти в популярности, набирая долю на рынке за счет предоставления пользователям уникальных функций, которых не было в других браузерах. В 2010 году доля Firefox достигла 30% — это был пик популярности.
• Основной успех Firefox связан с его новаторским подходом к интерфейсу, заложенным в саму концепцию браузера. Возможность работать с вкладками и богатая база расширений и дополнений оказались правильными и своевременными решениями. Они сделали браузер незаменимым инструментом для большого количества пользователей — особенно тех, кто работал в интернете или проводил много времени в сети. Mozilla также сосредоточилась на открытости кода, так что сообщество могло активно участвовать в улучшении браузера. Firefox предлагал высокий уровень безопасности, оставаясь верным принципу открытого кода и делая ставку на конфиденциальность. Это принесло ему популярность среди пользователей, обеспокоенных защитой своих данных.
#Разное
• 21 год назад, в ноябре 2004 года, увидел свет первый релиз браузера Firefox. Новинка быстро завоевала популярность благодаря инновационным решениям и открытости кода. За 21 год браузер прошел путь от новичка до одного из лидеров и поборолся с серьезнейшими конкурентами. Сейчас у Firefox уже нет былой доли рынка, но браузер продолжает развиваться и акцентируется на конфиденциальности и безопасности. Вот как началась эта история:
• Чтобы противостоять монополии Microsoft, Netscape в 1998 году решил открыть исходный код своего браузера и запустил проект Mozilla. Это название произошло от слияния слов Mosaic (в честь браузера Mosaic, который был предшественником Netscape) и Godzilla, что символизировало борьбу с конкурентами. Уже в первый год сообщество активно подключилось к работе: разработчики со всего мира создавали новые функции, улучшали существующие возможности, участвовали в управлении и планировании проекта.
• Сначала проект Mozilla развивался в рамках Netscape. Его целью было создание нового браузера Mozilla Application Suite. Этот целый набор приложений, включая обозреватель, почтовый клиент, HTML-редактор и другие инструменты. Позже команда Mozilla решила не делать «комбайн», а создать новый легкий браузер, который мы теперь знаем как Firefox.
• Название появилось тоже не сразу. В 2002 году началась работа над браузером Phoenix, потом — Firebird и только потом уже Firefox. Название Phoenix пришлось изменить из-за конфликта с другой торговой маркой, а Firebird вызвал недовольство у разработчиков одноименной базы данных. В результате остановились на названии Firefox, которое стало символом стремления команды Mozilla к созданию свободного, защищенного и ориентированного на нужды пользователей браузера.
• Ну а в 2004 году был представлен первый релиз, сумевший быстро привлечь внимание и, что особенно важно, завоевать пользователей благодаря своим революционным на тот момент функциям — вкладкам и поддержке дополнений.
• Вот основные возможности браузера, которые тогда отличали его от конкурентов:
➡Вкладки. В отличие от Internet Explorer, который открывал каждый сайт в новом окне, Firefox ввел вкладки, что позволило пользователям управлять несколькими веб-страницами в одном окне.
➡Поддержка дополнений. Firefox предложил гибкую систему эддонов, позволяющую пользователям устанавливать новые функции и настраивать браузер под свои нужды.
➡Блокировка всплывающих окон. На момент выхода Firefox эта функция была востребована, поскольку многие сайты стали злоупотрблять всплывающими рекламными окнами. Firefox позволял пользователям блокировать их, делая серфинг более комфортным.
➡Поддержка CSS и веб-стандартов. Firefox с самого начала стремился поддерживать современные веб-стандарты, а это позволяло пользователям видеть сайты так, как задумали разработчики. Это выделяло его среди браузеров, которые не всегда корректно отображали страницы.
➡Безопасность. Firefox предлагал более высокий уровень безопасности по сравнению с Internet Explorer, где уязвимости были частой проблемой.
• С момента релиза Firefox стал расти в популярности, набирая долю на рынке за счет предоставления пользователям уникальных функций, которых не было в других браузерах. В 2010 году доля Firefox достигла 30% — это был пик популярности.
• Основной успех Firefox связан с его новаторским подходом к интерфейсу, заложенным в саму концепцию браузера. Возможность работать с вкладками и богатая база расширений и дополнений оказались правильными и своевременными решениями. Они сделали браузер незаменимым инструментом для большого количества пользователей — особенно тех, кто работал в интернете или проводил много времени в сети. Mozilla также сосредоточилась на открытости кода, так что сообщество могло активно участвовать в улучшении браузера. Firefox предлагал высокий уровень безопасности, оставаясь верным принципу открытого кода и делая ставку на конфиденциальность. Это принесло ему популярность среди пользователей, обеспокоенных защитой своих данных.
#Разное
23.04.202512:34
• Автор книги "Сети глазами хакера" недавно представил свой новый инструмент - Nihilist, который предназначен для аудита безопасности Cisco IOS. Функционал тулзы позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры. В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
➡ Подробное описание и информация по установке есть тут: https://github.com/casterbyte/Nihilist
#Пентест #Tools
➡ Подробное описание и информация по установке есть тут: https://github.com/casterbyte/Nihilist
#Пентест #Tools
22.04.202508:32
• Полезный репозиторий, который содержит огромную коллекцию ссылок, связанных с безопасностью ядра Linux и эксплуатацией уязвимостей:
- Books.
- Techniques:
➡Exploitation;
➡Protection Bypasses.
- Vulnerabilities:
➡Info-leaks;
➡LPE;
➡RCE;
➡Other.
- Finding Bugs.
- Defensive.
- Exploits.
- Tools:
➡Fuzzers;
➡Assorted.
- Practice:
➡Workshops;
➡CTF Tasks;
➡Other Tasks;
➡Playgrounds;
➡Infrastructure.
➡️ https://github.com/xairy/linux-kernel-exploitation
• В качестве дополнения рекомендую обратить внимание на материал, который описывает ядро Linux и его внутреннее устройство:
➡Первые шаги после декомпрессии ядра — описывает первые шаги в ядре.
➡Начальная обработка прерываний и исключений — описывает инициализацию начальных прерываний и начального обработчика ошибки страницы.
➡Последние приготовления перед точкой входа в ядро — описывает последние приготовления перед вызовом start_kernel.
➡Точка входа в ядро — описывает первые шаги в общем коде ядра.
➡Продолжение архитектурно-зависимой инициализации — описывает архитектурно-зависимую инициализацию.
➡Архитектурно-зависимая инициализация, снова... — описывает продолжение процесса архитектурно-зависимой инициализации.
➡Конец архитектурно-зависимой инициализации, почти... — описывает конец setup_arch.
➡Инициализация RCU — описывает инициализацию RCU.
➡Конец инициализации — последняя часть об инициализации ядра Linux.
#Linux
- Books.
- Techniques:
➡Exploitation;
➡Protection Bypasses.
- Vulnerabilities:
➡Info-leaks;
➡LPE;
➡RCE;
➡Other.
- Finding Bugs.
- Defensive.
- Exploits.
- Tools:
➡Fuzzers;
➡Assorted.
- Practice:
➡Workshops;
➡CTF Tasks;
➡Other Tasks;
➡Playgrounds;
➡Infrastructure.
➡️ https://github.com/xairy/linux-kernel-exploitation
• В качестве дополнения рекомендую обратить внимание на материал, который описывает ядро Linux и его внутреннее устройство:
➡Первые шаги после декомпрессии ядра — описывает первые шаги в ядре.
➡Начальная обработка прерываний и исключений — описывает инициализацию начальных прерываний и начального обработчика ошибки страницы.
➡Последние приготовления перед точкой входа в ядро — описывает последние приготовления перед вызовом start_kernel.
➡Точка входа в ядро — описывает первые шаги в общем коде ядра.
➡Продолжение архитектурно-зависимой инициализации — описывает архитектурно-зависимую инициализацию.
➡Архитектурно-зависимая инициализация, снова... — описывает продолжение процесса архитектурно-зависимой инициализации.
➡Конец архитектурно-зависимой инициализации, почти... — описывает конец setup_arch.
➡Инициализация RCU — описывает инициализацию RCU.
➡Конец инициализации — последняя часть об инициализации ядра Linux.
#Linux
21.04.202507:17
Сможете провести полный пентест AD? Проверим на практике уже 29 мая.
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее базис
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее базис
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
17.04.202516:34
• В сети существует забавный проект, который называется "Million Dollar Homepage" — на первый взгляд, проект относится к категории «слабоумие и отвага», НО! тем не менее, страничка смогла принести его 21-летнему создателю миллион долларов на рубеже 2005-2006 годов.
• В середине нулевых эта история была у всех на слуху: британский студент Алекс Тью не мог найти денег на обучение в магистратуре, но вместо того, чтобы устроиться на обычную работу, пошел другим путем. Он собрал сайт с сеткой в миллион «рекламных блоков», назвал его «Million Dollar Homepage», назначил цену — по доллару за блок и начал продавать участки (минимум 10 на 10 блоков) под баннеры.
• И к 2006 году продал их все, действительно заработав тот самый миллион (если точнее, то $1 037 100 до вычета налогов). Помимо местных брендов, сомнительных онлайн-казино и сайтов знакомств, рекламу на странице купили Yahoo!, The Times, Napster, британский оператор мобильной связи Orange и Tenacious D — комедийный рок-дуэт Джека Блэка и Кайла Гэсса.
• Интернет загудел: гениально простая идея в одночасье сделала вчерашнего студента (учебу Алекс тогда все-таки бросил) миллионером. Сам Тью говорил, что все дело в первоначальной задумке, достаточно забавной, чтобы она могла привлечь интерес аудитории. На деле немалую долю популярности проекту обеспечили СМИ. Для них история «страницы на миллион» обладала всеми компонентами «интернет-реалити-шоу»: бедный, нуждающийся Студент, его Идея (настолько простая, что непонятно, почему он первый до ней додумался), возможность следить за Успехом проекта в реальном времени — заработает миллион или нет?
• В 2005-м это было еще в новинку, и медиа охотно принялись раскручивать историю. Вероятно, сам Тью понимал это — деньги, вырученные с продажи первых 1000 блоков (покупателями были его друзья и знакомые), он потратил на то, чтобы подготовить и разослать пресс-релиз для СМИ. Сайт запустился 26 августа. 8 сентября о нем написал the Register, 22 сентября — PC Pro, 24 сентября — the Telegraph, а к началу октября материалы о предприимчивом студенте выходили уже в немецких и испанских медиа.
• По данным самого Тью, на конец декабря 2005 года посещаемость сайта составляла 25 тыс. уникальных пользователей в час. Часть из них хотя бы случайно кликала по баннерам и переходила на страницы рекламодателей — единицы любопытствующих действительно совершали покупки или другие целевые действия.
• Уже на старте проекта Тью позиционировал Million Dollar Homepage не только как рекламную площадку, но и как некий «музей истории интернета», в котором можно приобрести вакантное место: первоначально предполагалось, что сайт будет функционировать минимум пять лет, максимум — всегда.
• Ожидаемо, проект породил огромное количество подражателей — и, опять же, ожидаемо, ни один из них не приблизился к успеху «страницы на миллион». Удивительно, что идею продолжают копировать и сейчас, спустя 20 лет — кто-то пытается улучшить и доработать проект, а кто-то беззастенчиво повторяет один в один.
• Как показало время, ни Алекс Тью, ни его «страница на миллион» не были однодневками. Тью сейчас руководит бизнесом, который оценивается в $2 млрд, а «страница на миллион» продолжает жить своей жизнью — как артефакт ушедшей эпохи, предмет для изучения или даже источник ностальгических чувств для ретро гиков.
#Разное
• В середине нулевых эта история была у всех на слуху: британский студент Алекс Тью не мог найти денег на обучение в магистратуре, но вместо того, чтобы устроиться на обычную работу, пошел другим путем. Он собрал сайт с сеткой в миллион «рекламных блоков», назвал его «Million Dollar Homepage», назначил цену — по доллару за блок и начал продавать участки (минимум 10 на 10 блоков) под баннеры.
• И к 2006 году продал их все, действительно заработав тот самый миллион (если точнее, то $1 037 100 до вычета налогов). Помимо местных брендов, сомнительных онлайн-казино и сайтов знакомств, рекламу на странице купили Yahoo!, The Times, Napster, британский оператор мобильной связи Orange и Tenacious D — комедийный рок-дуэт Джека Блэка и Кайла Гэсса.
• Интернет загудел: гениально простая идея в одночасье сделала вчерашнего студента (учебу Алекс тогда все-таки бросил) миллионером. Сам Тью говорил, что все дело в первоначальной задумке, достаточно забавной, чтобы она могла привлечь интерес аудитории. На деле немалую долю популярности проекту обеспечили СМИ. Для них история «страницы на миллион» обладала всеми компонентами «интернет-реалити-шоу»: бедный, нуждающийся Студент, его Идея (настолько простая, что непонятно, почему он первый до ней додумался), возможность следить за Успехом проекта в реальном времени — заработает миллион или нет?
• В 2005-м это было еще в новинку, и медиа охотно принялись раскручивать историю. Вероятно, сам Тью понимал это — деньги, вырученные с продажи первых 1000 блоков (покупателями были его друзья и знакомые), он потратил на то, чтобы подготовить и разослать пресс-релиз для СМИ. Сайт запустился 26 августа. 8 сентября о нем написал the Register, 22 сентября — PC Pro, 24 сентября — the Telegraph, а к началу октября материалы о предприимчивом студенте выходили уже в немецких и испанских медиа.
• По данным самого Тью, на конец декабря 2005 года посещаемость сайта составляла 25 тыс. уникальных пользователей в час. Часть из них хотя бы случайно кликала по баннерам и переходила на страницы рекламодателей — единицы любопытствующих действительно совершали покупки или другие целевые действия.
• Уже на старте проекта Тью позиционировал Million Dollar Homepage не только как рекламную площадку, но и как некий «музей истории интернета», в котором можно приобрести вакантное место: первоначально предполагалось, что сайт будет функционировать минимум пять лет, максимум — всегда.
• Ожидаемо, проект породил огромное количество подражателей — и, опять же, ожидаемо, ни один из них не приблизился к успеху «страницы на миллион». Удивительно, что идею продолжают копировать и сейчас, спустя 20 лет — кто-то пытается улучшить и доработать проект, а кто-то беззастенчиво повторяет один в один.
• Как показало время, ни Алекс Тью, ни его «страница на миллион» не были однодневками. Тью сейчас руководит бизнесом, который оценивается в $2 млрд, а «страница на миллион» продолжает жить своей жизнью — как артефакт ушедшей эпохи, предмет для изучения или даже источник ностальгических чувств для ретро гиков.
#Разное
16.04.202518:31
• Один из ключевых протоколов интернета FTP (file transfer protocol) сегодня отмечает свой 54-й день рождения. Студент Массачусетского технологического института Абхай Бушан опубликовал первые спецификации RFC 114 16 апреля 1971 года, задолго до появления HTTP и даже за три года до TCP (RFC 793)! Простой стандарт для копирования файлов с годами начал поддерживать более сложные модели контроля, совместимости и безопасности. Cпустя 54 года FTP нельзя назвать устаревшим и миллионы FTP-серверов все еще доступны в Интернете.
• К слову, автор данного протокола был не единственным, кто принял участие в разработке FTP, ведь после выпуска из вуза он получил должность в Xerox, а протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.
• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.
#Разное
• К слову, автор данного протокола был не единственным, кто принял участие в разработке FTP, ведь после выпуска из вуза он получил должность в Xerox, а протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.
• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.
#Разное
06.05.202512:32
📦 HackTheBox Machines Interactive.
• Уважаемый
➡️ https://0xdf.gitlab.io/cheatsheets/htb-interactive
• Для тех кто не знает,
#HTB
• Уважаемый
0xdf, создал страницу со всеми машинами Hack The Box, где можно отфильтровать тачки по уровню сложности, ОС, тегам и имени. Тут же можно перейти в нужную машину и посмотреть ее прохождение с подробным описанием.➡️ https://0xdf.gitlab.io/cheatsheets/htb-interactive
• Для тех кто не знает,
0xdf является главным архитектором лаборатории Hack The Box. На его сайте можно найти бесчисленное кол-во решений по прохождению всевозможных машин: https://0xdf.gitlab.io#HTB
23.04.202508:34
Открытый практикум Linux by Rebrain: Установка Linux на свой домашний сервер
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉 Регистрация
Время проведения:
30 апреля (среда), 20:00 по МСК
Программа практикума:
▪️Формулируем задачу
▫️Планируем способ аллокации дискового пространства
▪️А если на загрузочном диске будет только загрузчик?
Кто ведёт?
Андрей Буранов — специалист по UNIX-системам в компании VK, входит в топ 3 лучших преподавателей образовательных порталов. 10+ лет опыта работы с ОС Linux и 8+ лет опыта преподавания.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFGRpmjN
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉 Регистрация
Время проведения:
30 апреля (среда), 20:00 по МСК
Программа практикума:
▪️Формулируем задачу
▫️Планируем способ аллокации дискового пространства
▪️А если на загрузочном диске будет только загрузчик?
Кто ведёт?
Андрей Буранов — специалист по UNIX-системам в компании VK, входит в топ 3 лучших преподавателей образовательных порталов. 10+ лет опыта работы с ОС Linux и 8+ лет опыта преподавания.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFGRpmjN
21.04.202516:34
📶 Usenet.
• Когда Тим Бернерс-Ли в ранних 90-х представил технологии, определившие будущую Всемирную паутину, в мире уже не одно десятилетие существовала по-настоящему децентрализованная компьютерная сеть с довольно богатым контентом и открытым доступом. Этот проект, который всё ещё живет, называется Usenet. О нем и поговорим.
• Эта история началась в Северной Каролине с двух друзей из Дьюкского университета, Джима Элиса и Тома Траскотта. Они работали над протоколом UUCP, Unix to Unix Copy Protocol. Их друг из университета Северной Каролины Стивен Белловин хотел создать софт, который позволил бы людям пользоваться этим протоколом, и тоже вошёл в основную команду.
• Проект оказался довольно успешен: с помощью UUCP стало возможно отправлять файлы и сообщения между компьютерами и мини-компьютерами, соединёнными по сети. И, поскольку речь идёт о 1970-х, под компьютерами подразумеваются мейнфреймы, занимающие целую комнату или этаж. Мини-компьютеры же варьировались по размерам примерно от письменного стола до пары холодильников. Для своего времени они обеспечивали приличную вычислительную мощность, но до мейнфреймов им было далеко.
• Чтобы соединять компьютеры между собой в рамках проекта Usenet, создатели использовали акустические модемы (на фото). В их основе лежит акустический преобразователь, превращающий электрические сигналы в звук и наоборот. Когда нужно было установить соединение между компьютерами, то на преобразователе одного компьютера набирался номер другого компьютера с подобным преобразователем. После установки связи последовательность бит передавалась через звуковые сигналы. Для надёжности передачи такие модемы оборудовались звукоизолирующими резиновыми прокладками.
• Выглядит как странная альтернатива обычному коммутируемому доступу. Почему бы не использовать для этого телефонные сети, которые были очень развиты в то время? Всё дело в AT&T, телефонном монополисте США того времени, который установил очень высокие цены на передачу данных через коммутируемый доступ по своим линиям. Акустические модемы соединялись, по сути, с помощью голосовых вызовов, что было гораздо дешевле. Впоследствии AT&T, кстати, узнала об этой лазейке, но в итоге не выиграла суд.
• Итак, на основе UUCP-протокола Стивен Белловин написал софт, нечто вроде браузера, но без графической оболочки. С его помощью стало возможным обмениваться данными между мини-компьютерами. Первые три компьютера, соединённые таким образом, располагались в Дьюкском университете, школе медицины университета Дьюка и в университете Северной Каролины. Так образовалась начальная версия Usenet.
• По своей сути Usenet очень напоминал современный Reddit и, в целом, уходящие в прошлое форумы. Сеть состояла из групп обсуждения. Каждая такая группа была посвящена какой-нибудь теме. Пользователи могли читать эти потоки и, обычно, писать в них.
• В 1986 году выпускники Калифорнийского университета в Сан-Диего опубликовали в Usenet спецификацию NNTP (Network News Transfer Protocol). Этот протокол адаптировал Usenet для персональных компьютеров — эпоха доступа по расписанию через «холодильные шкафы» уже уходила, да и сам проект давно вышел за пределы университетов.
• Usenet активно развивался долгие годы, даже когда распространение получили более продвинутые веб-технологии. Именно ему, кстати, мы обязаны существованием IMDB.com — этот проект начинался как обычная группа Usenet. Но прогресс всё-таки взял своё, и в течение 2000-х крупнейшие сетевые провайдеры США, со временем ставшие хостами многих основных серверов Usenet, объявили об их закрытии.
• Несмотря на моральное устаревание, проект кое-как продолжает жить, и некоторые провайдеры всё ещё предоставляют полноценный доступ в Usenet. В последние годы сеть снова обрела некоторую популярность в США благодаря тем, кто устал от всевидящего ока современного интернета, и тем, кто готов пожертвовать удобством, чтобы в какой-то степени вернуть себе «старый добрый» веб.
#Разное
• Когда Тим Бернерс-Ли в ранних 90-х представил технологии, определившие будущую Всемирную паутину, в мире уже не одно десятилетие существовала по-настоящему децентрализованная компьютерная сеть с довольно богатым контентом и открытым доступом. Этот проект, который всё ещё живет, называется Usenet. О нем и поговорим.
• Эта история началась в Северной Каролине с двух друзей из Дьюкского университета, Джима Элиса и Тома Траскотта. Они работали над протоколом UUCP, Unix to Unix Copy Protocol. Их друг из университета Северной Каролины Стивен Белловин хотел создать софт, который позволил бы людям пользоваться этим протоколом, и тоже вошёл в основную команду.
• Проект оказался довольно успешен: с помощью UUCP стало возможно отправлять файлы и сообщения между компьютерами и мини-компьютерами, соединёнными по сети. И, поскольку речь идёт о 1970-х, под компьютерами подразумеваются мейнфреймы, занимающие целую комнату или этаж. Мини-компьютеры же варьировались по размерам примерно от письменного стола до пары холодильников. Для своего времени они обеспечивали приличную вычислительную мощность, но до мейнфреймов им было далеко.
• Чтобы соединять компьютеры между собой в рамках проекта Usenet, создатели использовали акустические модемы (на фото). В их основе лежит акустический преобразователь, превращающий электрические сигналы в звук и наоборот. Когда нужно было установить соединение между компьютерами, то на преобразователе одного компьютера набирался номер другого компьютера с подобным преобразователем. После установки связи последовательность бит передавалась через звуковые сигналы. Для надёжности передачи такие модемы оборудовались звукоизолирующими резиновыми прокладками.
• Выглядит как странная альтернатива обычному коммутируемому доступу. Почему бы не использовать для этого телефонные сети, которые были очень развиты в то время? Всё дело в AT&T, телефонном монополисте США того времени, который установил очень высокие цены на передачу данных через коммутируемый доступ по своим линиям. Акустические модемы соединялись, по сути, с помощью голосовых вызовов, что было гораздо дешевле. Впоследствии AT&T, кстати, узнала об этой лазейке, но в итоге не выиграла суд.
• Итак, на основе UUCP-протокола Стивен Белловин написал софт, нечто вроде браузера, но без графической оболочки. С его помощью стало возможным обмениваться данными между мини-компьютерами. Первые три компьютера, соединённые таким образом, располагались в Дьюкском университете, школе медицины университета Дьюка и в университете Северной Каролины. Так образовалась начальная версия Usenet.
• По своей сути Usenet очень напоминал современный Reddit и, в целом, уходящие в прошлое форумы. Сеть состояла из групп обсуждения. Каждая такая группа была посвящена какой-нибудь теме. Пользователи могли читать эти потоки и, обычно, писать в них.
• В 1986 году выпускники Калифорнийского университета в Сан-Диего опубликовали в Usenet спецификацию NNTP (Network News Transfer Protocol). Этот протокол адаптировал Usenet для персональных компьютеров — эпоха доступа по расписанию через «холодильные шкафы» уже уходила, да и сам проект давно вышел за пределы университетов.
• Usenet активно развивался долгие годы, даже когда распространение получили более продвинутые веб-технологии. Именно ему, кстати, мы обязаны существованием IMDB.com — этот проект начинался как обычная группа Usenet. Но прогресс всё-таки взял своё, и в течение 2000-х крупнейшие сетевые провайдеры США, со временем ставшие хостами многих основных серверов Usenet, объявили об их закрытии.
• Несмотря на моральное устаревание, проект кое-как продолжает жить, и некоторые провайдеры всё ещё предоставляют полноценный доступ в Usenet. В последние годы сеть снова обрела некоторую популярность в США благодаря тем, кто устал от всевидящего ока современного интернета, и тем, кто готов пожертвовать удобством, чтобы в какой-то степени вернуть себе «старый добрый» веб.
#Разное
21.04.202504:34
• Доброе утро... 🫠
#Понедельник
#Понедельник
17.04.202513:54
⚙️ Реверс инжиниринг для самых маленьких...
• Интересный разбор задачи с платформы Codeby Games из раздела Реверс-инжиниринг – файлы. Называется: "Шифрование или что-то в этом роде, не знаю". Обратите внимание, что статья не совсем для "самых маленьких", как это заявлено автором. Определенные знания уже должны быть перед прочтением материала.
• В статье описана работа с дизассемблером IDA и некоторыми его возможностями. Еще разберем, как выглядит код без отладочной информацией, и что в таком случае делать. Сделаем теоретические отступления на тему секций и адресов. Ну и для углублённого изучения есть ссылки на дополнительную литературу.
➡️ Читать статью [11 min].
• Дополнительно:
➡Введение в реверсинг с нуля, используя IDA PRO - это целый цикл статей по сегодняшней теме. Тут очень много полезной информации для начинающих. Есть материал на разных языках: русский, испанский и английский.
➡Reversing malware для начинающих - подборка полезного материала с журнала хакер. Доступ к данному материалу полностью бесплатный.
#RE
• Интересный разбор задачи с платформы Codeby Games из раздела Реверс-инжиниринг – файлы. Называется: "Шифрование или что-то в этом роде, не знаю". Обратите внимание, что статья не совсем для "самых маленьких", как это заявлено автором. Определенные знания уже должны быть перед прочтением материала.
• В статье описана работа с дизассемблером IDA и некоторыми его возможностями. Еще разберем, как выглядит код без отладочной информацией, и что в таком случае делать. Сделаем теоретические отступления на тему секций и адресов. Ну и для углублённого изучения есть ссылки на дополнительную литературу.
➡️ Читать статью [11 min].
• Дополнительно:
➡Введение в реверсинг с нуля, используя IDA PRO - это целый цикл статей по сегодняшней теме. Тут очень много полезной информации для начинающих. Есть материал на разных языках: русский, испанский и английский.
➡Reversing malware для начинающих - подборка полезного материала с журнала хакер. Доступ к данному материалу полностью бесплатный.
#RE
16.04.202517:18
• Канадского математика Андина Меджедовича обвинили в краже более $65 млн. с разных криптовалютных бирж. В настоящее время он скрывается от властей США.
• Меджедовичу было 18 лет, когда он решил взламывать криптобиржи. Осенью 2021 года, вскоре после получения степени магистра в Университете Ватерлоо, криптовалютный трейдер из Гамильтона в провинции Онтарио провёл серию транзакций, предназначенных для эксплуатации уязвимости в коде децентрализованной финансовой платформы. Это позволило ему вывести около $16,5 млн из двух пулов, управляемых платформой Indexed Finance. Руководители биржи отследили атаку и предложили хакеру вернуть 90% средств, оставив себе остальную сумму в качестве награды за обнаружение ошибки в коде. Несмотря на перспективу карьеры белого хакера, Меджедович не принял сделку.
• Математик утверждает, что его действия были законными в соответствии с правилами открытого исходного кода платформ. Парень апеллирует к распространённой в сфере De-Fi философии «Код — это закон».
• Меджедович начал скрываться от правосудия. Примерно через два года он снова вывел криптовалюту с децентрализованной биржи — на этот раз около $48,4 млн.
• В настоящее время Меджедовичу, которому сейчас 22 года, предъявлено пять уголовных обвинений, в том числе из-за мошенничества с использованием электронных средств, а также попыток вымогательства и отмывания денег. Если парня признают виновным, ему может грозить серьезный срок.
➡️ Источник.
#Новости
• Меджедовичу было 18 лет, когда он решил взламывать криптобиржи. Осенью 2021 года, вскоре после получения степени магистра в Университете Ватерлоо, криптовалютный трейдер из Гамильтона в провинции Онтарио провёл серию транзакций, предназначенных для эксплуатации уязвимости в коде децентрализованной финансовой платформы. Это позволило ему вывести около $16,5 млн из двух пулов, управляемых платформой Indexed Finance. Руководители биржи отследили атаку и предложили хакеру вернуть 90% средств, оставив себе остальную сумму в качестве награды за обнаружение ошибки в коде. Несмотря на перспективу карьеры белого хакера, Меджедович не принял сделку.
• Математик утверждает, что его действия были законными в соответствии с правилами открытого исходного кода платформ. Парень апеллирует к распространённой в сфере De-Fi философии «Код — это закон».
• Меджедович начал скрываться от правосудия. Примерно через два года он снова вывел криптовалюту с децентрализованной биржи — на этот раз около $48,4 млн.
• В настоящее время Меджедовичу, которому сейчас 22 года, предъявлено пять уголовных обвинений, в том числе из-за мошенничества с использованием электронных средств, а также попыток вымогательства и отмывания денег. Если парня признают виновным, ему может грозить серьезный срок.
➡️ Источник.
#Новости
05.05.202516:31
👨🎨 Графический интерфейс: Paintbox, Xerox Alto и Xerox Star.
• Первым компьютером с графическим пользовательским интерфейсом считается Xerox Alto, разработанный в лаборатории Xerox PARC в 1973 году. Это был экспериментальный продукт, не предназначенный для широкого рынка. Тем не менее, к концу 1970-х было произведено порядка 2000 машин этой линейки. Большая их часть, порядка полутора тысяч, были установлены непосредственно в Xerox Laboratories, остальные продавались университетам в качестве учебных и вычислительных машин.
• Уже в первые годы существования Alto приобрел широкую известность в Кремниевой долине. Еще большую популярность Xerox принесла разработка усовершенствованной версии Alto, Xerox Star. Первые лица крупных технологических компаний, в том числе представители Microsoft и глава Apple Стив Джобс посещали Xerox Laboratories, чтобы поработать с этими компьютерами. Известно, что в 1979 Джобс договорился о специальных демонстрационных сессиях в обмен на некоторые бонусы для Xerox от компании Apple. В следующие несколько лет на свет появились Apple Lisa и Macintosh, первые рыночные образцы ПК с графическим пользовательским интерфейсом.
• Помимо Джобса, вдохновение для собственных GUI у Xerox черпал и Билл Гейтс. В мире высоких технологий всегда действовал принцип «кто первый показал, тот лучше продается», поэтому времени на разработку уникального интерфейса ни у Apple, ни у Microsoft толком не было. Именно поэтому ранние версии графических ОС у обеих компаний выглядят как близнецы-братья.
• Xerox Alto дал толчок отрасли разработки графических пользовательский интерфейсов. Тем не менее, ввиду дороговизны компьютерных компонентов, сложности разработки GUI и неготовности крупных игроков менять подход к созданию компьютеров и ПО, первые машины, снабженные графическим интерфейсом, стали массово появляться на рынке лишь десятилетие спустя, в начале 1980-х.
• В 1981 году эпоха персональных компьютеров только-только начиналась, однако по-настоящему актуальные и прогрессивные ЭВМ (наподобие Alto) простым пользователям были недоступны. Сказывались и молодость рынка, и высокая стоимость отдельных комплектующих.
• Однако крупные компании уже активно пользовались подобными устройствами. Quantel Paintbox, специализированная рабочая станция для работы с компьютерной графикой, применялась для создания телевизионных «спецэффектов» (на фото).
• Машину разработала британская технологическая компания Quantel, а одной из первостепенных задач, которые ставились перед Paintbox, являлось создание графики (титры, переходы и т.п.) для выпусков новостей в прямом эфире.
• Компьютеры продавались по цене порядка 250 000 долларов (по курсу на 1980 год), поэтому позволить их себе могли исключительно крупные телевизионные сети, такие как NBC.
• В 1981 году Paintbox произвел революцию в производстве телевизионной графики. Со временем практически все телекомпании, включая небольшие региональные каналы, переключились на полностью «компьютерный» монтаж. Кроме того, считается, что именно в Paintbox впервые появились так называемые всплывающие меню.
#Разное
• Первым компьютером с графическим пользовательским интерфейсом считается Xerox Alto, разработанный в лаборатории Xerox PARC в 1973 году. Это был экспериментальный продукт, не предназначенный для широкого рынка. Тем не менее, к концу 1970-х было произведено порядка 2000 машин этой линейки. Большая их часть, порядка полутора тысяч, были установлены непосредственно в Xerox Laboratories, остальные продавались университетам в качестве учебных и вычислительных машин.
• Уже в первые годы существования Alto приобрел широкую известность в Кремниевой долине. Еще большую популярность Xerox принесла разработка усовершенствованной версии Alto, Xerox Star. Первые лица крупных технологических компаний, в том числе представители Microsoft и глава Apple Стив Джобс посещали Xerox Laboratories, чтобы поработать с этими компьютерами. Известно, что в 1979 Джобс договорился о специальных демонстрационных сессиях в обмен на некоторые бонусы для Xerox от компании Apple. В следующие несколько лет на свет появились Apple Lisa и Macintosh, первые рыночные образцы ПК с графическим пользовательским интерфейсом.
• Помимо Джобса, вдохновение для собственных GUI у Xerox черпал и Билл Гейтс. В мире высоких технологий всегда действовал принцип «кто первый показал, тот лучше продается», поэтому времени на разработку уникального интерфейса ни у Apple, ни у Microsoft толком не было. Именно поэтому ранние версии графических ОС у обеих компаний выглядят как близнецы-братья.
• Xerox Alto дал толчок отрасли разработки графических пользовательский интерфейсов. Тем не менее, ввиду дороговизны компьютерных компонентов, сложности разработки GUI и неготовности крупных игроков менять подход к созданию компьютеров и ПО, первые машины, снабженные графическим интерфейсом, стали массово появляться на рынке лишь десятилетие спустя, в начале 1980-х.
• В 1981 году эпоха персональных компьютеров только-только начиналась, однако по-настоящему актуальные и прогрессивные ЭВМ (наподобие Alto) простым пользователям были недоступны. Сказывались и молодость рынка, и высокая стоимость отдельных комплектующих.
• Однако крупные компании уже активно пользовались подобными устройствами. Quantel Paintbox, специализированная рабочая станция для работы с компьютерной графикой, применялась для создания телевизионных «спецэффектов» (на фото).
• Машину разработала британская технологическая компания Quantel, а одной из первостепенных задач, которые ставились перед Paintbox, являлось создание графики (титры, переходы и т.п.) для выпусков новостей в прямом эфире.
• Компьютеры продавались по цене порядка 250 000 долларов (по курсу на 1980 год), поэтому позволить их себе могли исключительно крупные телевизионные сети, такие как NBC.
• В 1981 году Paintbox произвел революцию в производстве телевизионной графики. Со временем практически все телекомпании, включая небольшие региональные каналы, переключились на полностью «компьютерный» монтаж. Кроме того, считается, что именно в Paintbox впервые появились так называемые всплывающие меню.
#Разное
22.04.202519:33
• Генеральный директор Bybit Бен Чжоу вчера в X опубликовал информацию, что 27.59% средств (около $380 млн), украденных у биржи, больше нельзя отследить.
• Основным инструментом отмывания стал криптомиксер Wasabi, Tornado Cash и Railgun. Чжоу отметил, что Wasabi стал основным миксером, используемым северокорейскими хакерами, — через него прошло 944 BTC ($90,62 млн).
• После микширования средства подвергались множественным кроссчейн свопам через такие платформы, как THORChain, eXch, Lombard, LiFi, Stargate и SunSwap. При этом THORChain сыграл ключевую роль, обеспечив хакерам конвертацию 84,45% украденного эфира (432 748 ETH стоимостью $1,21 млрд) в 10 003 BTC, которые затем были распределены по 35 772 кошелькам — в среднем по 0,28 BTC на кошелек.
• Кстати, в феврале была запущена программа "Lazarus Bounty", которая предлагает $140 млн. вознаграждения за информацию, которая приведет к заморозке средств. На сегодняшний день Bybit выплатила 2,3 миллиона долларов, большая часть этой суммы ушла в одну организацию, платформу layer-2 Mantle (MNT), чьи усилия привели к заморозке средств на сумму 42 миллиона долларов.
➡ https://www.lazarusbounty.com/ru-RU/
#Bybit #Новости
• Основным инструментом отмывания стал криптомиксер Wasabi, Tornado Cash и Railgun. Чжоу отметил, что Wasabi стал основным миксером, используемым северокорейскими хакерами, — через него прошло 944 BTC ($90,62 млн).
• После микширования средства подвергались множественным кроссчейн свопам через такие платформы, как THORChain, eXch, Lombard, LiFi, Stargate и SunSwap. При этом THORChain сыграл ключевую роль, обеспечив хакерам конвертацию 84,45% украденного эфира (432 748 ETH стоимостью $1,21 млрд) в 10 003 BTC, которые затем были распределены по 35 772 кошелькам — в среднем по 0,28 BTC на кошелек.
• Кстати, в феврале была запущена программа "Lazarus Bounty", которая предлагает $140 млн. вознаграждения за информацию, которая приведет к заморозке средств. На сегодняшний день Bybit выплатила 2,3 миллиона долларов, большая часть этой суммы ушла в одну организацию, платформу layer-2 Mantle (MNT), чьи усилия привели к заморозке средств на сумму 42 миллиона долларов.
➡ https://www.lazarusbounty.com/ru-RU/
#Bybit #Новости
21.04.202513:34
• Очень ситуативное решение, но с полезным функционалом: ContainerSSH — инструмент, позволяющий поднимать отдельное окружение для пользователя налету, при подключении по SSH.
• Удобно, если используете для тестирования чего-либо, ну или для CTF и всего вот этого вот, где нам нужно получать заранее подготовленное, изолированное окружение при простой SSH авторизации.
➡️ Подробное описание: https://github.com/ContainerSSH
➡️ Документация: https://containerssh.io/v0.5/reference/
#SSH #Tools
• Удобно, если используете для тестирования чего-либо, ну или для CTF и всего вот этого вот, где нам нужно получать заранее подготовленное, изолированное окружение при простой SSH авторизации.
➡️ Подробное описание: https://github.com/ContainerSSH
➡️ Документация: https://containerssh.io/v0.5/reference/
#SSH #Tools
20.04.202508:35
👩💻 Kubernetes The Hard Way.
• Автор этого гайда работал над ним около двух лет, осуществил тысячи перезапусков и пересобрал сотни кластеров — всё это вылилось в одну, но очень насыщенную статью. Kubernetes вручную, от и до, без
- Удобные alias’ы, функции и обёртки;
- Десятки скриптов, которые реально работают в бою;
- Важные моменты, о которых молчат в туториалах.
➡Введение;
➡Почему «The Hard Way»;
➡Архитектура развертывания;
➡Создание инфраструктуры;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Проверка готовности компонентов;
➡Работа с сертификатами;
➡Создание корневых сертификатов;
➡Создание сертификатов приложений;
➡Создание ключа подписи ServiceAccount;
➡Создание всех сертификатов;
➡Создание конфигураций kubeconfig;
➡Создание всех kubeconfig;
➡Проверка блока сертификатов;
➡Создание static pod-ов управляющего контура;
➡Создание всех static pod-ов управляющего контура;
➡Создание static pod-ов ETCD кластера;
➡Запуск службы Kubelet;
➡Проверка состояния кластера;
➡Настройка ролевой модели;
➡Загрузка конфигурации в кластер;
➡Загрузка корневых сертификатов в кластер;
➡Маркировка и ограничение узлов.
#Kubernetes
• Автор этого гайда работал над ним около двух лет, осуществил тысячи перезапусков и пересобрал сотни кластеров — всё это вылилось в одну, но очень насыщенную статью. Kubernetes вручную, от и до, без
kubeadm и прочих поблажек.- Удобные alias’ы, функции и обёртки;
- Десятки скриптов, которые реально работают в бою;
- Важные моменты, о которых молчат в туториалах.
➡Введение;
➡Почему «The Hard Way»;
➡Архитектура развертывания;
➡Создание инфраструктуры;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Проверка готовности компонентов;
➡Работа с сертификатами;
➡Создание корневых сертификатов;
➡Создание сертификатов приложений;
➡Создание ключа подписи ServiceAccount;
➡Создание всех сертификатов;
➡Создание конфигураций kubeconfig;
➡Создание всех kubeconfig;
➡Проверка блока сертификатов;
➡Создание static pod-ов управляющего контура;
➡Создание всех static pod-ов управляющего контура;
➡Создание static pod-ов ETCD кластера;
➡Запуск службы Kubelet;
➡Проверка состояния кластера;
➡Настройка ролевой модели;
➡Загрузка конфигурации в кластер;
➡Загрузка корневых сертификатов в кластер;
➡Маркировка и ограничение узлов.
#Kubernetes
17.04.202511:01
• VeraCrypt продолжает меня удивлять. Вот я вроде бы уже все знаю про эту софтину, ан-нет, находится что-то, о чем я не подозревал. И мне. Черт возьми, это очень нравится. Это значит, что эта программка очень глубокая и качественно проработанная.
• Теперь к делу. Когда вы выполнили полнодисковое шифрование, вам ни один бармалей не будет страшен, потому что вскрыть AES-256 практически невозможно. Ну только если фаза Луны наложится на ретроградный Меркурий. А так нет. Соответственно, нет доступа к системе – нет возможности для злоумышленника ознакомится с логами вашей активности и всеми остальными вкусными вещами.
• Но есть еще один слой обеспечения безопасности. Скорее психологического, а не технического характера. Когда вы только загружаете систему, она просит вас ввести пароль, а затем PIM (если он, конечно, у вас есть). Собственно, уже на этом экране становится понятно, что система зашифрована. А это исход не самый желательный. И тут мы с вами встаем на путь хитрости.
• Вместо просьбы ввести пароль мы можем вывести на экран набор случайных символов, или сообщение об ошибке с предложением перезагрузить компьютер. Вариантов может быть масса: их ограничивает только ваша смекалка и чувство юмора. Установить все можно в разделе Система – Установки – Правка конфигурации загрузчика. Но будьте осторожны, там можно легко напортачить, да так, что система после вообще не загрузится.
• Ну и напоследок, если данная тема для вас действительно интересна, то обязательно изучите этот материал:
➡Скрытый том;
➡Скрытая операционная система;
➡Правдоподобное отрицание наличия шифрования.
• И не забывайте про документацию VeraCrypt, которая переведена на русский язык. Тут очень много нужной и полезной информации:
➡️ https://veracrypt.eu/ru/Documentation.html
#VeraCrypt #Шифрование
• Теперь к делу. Когда вы выполнили полнодисковое шифрование, вам ни один бармалей не будет страшен, потому что вскрыть AES-256 практически невозможно. Ну только если фаза Луны наложится на ретроградный Меркурий. А так нет. Соответственно, нет доступа к системе – нет возможности для злоумышленника ознакомится с логами вашей активности и всеми остальными вкусными вещами.
• Но есть еще один слой обеспечения безопасности. Скорее психологического, а не технического характера. Когда вы только загружаете систему, она просит вас ввести пароль, а затем PIM (если он, конечно, у вас есть). Собственно, уже на этом экране становится понятно, что система зашифрована. А это исход не самый желательный. И тут мы с вами встаем на путь хитрости.
• Вместо просьбы ввести пароль мы можем вывести на экран набор случайных символов, или сообщение об ошибке с предложением перезагрузить компьютер. Вариантов может быть масса: их ограничивает только ваша смекалка и чувство юмора. Установить все можно в разделе Система – Установки – Правка конфигурации загрузчика. Но будьте осторожны, там можно легко напортачить, да так, что система после вообще не загрузится.
• Ну и напоследок, если данная тема для вас действительно интересна, то обязательно изучите этот материал:
➡Скрытый том;
➡Скрытая операционная система;
➡Правдоподобное отрицание наличия шифрования.
• И не забывайте про документацию VeraCrypt, которая переведена на русский язык. Тут очень много нужной и полезной информации:
➡️ https://veracrypt.eu/ru/Documentation.html
#VeraCrypt #Шифрование
05.04.202508:35
• Пост выходного дня: Вы когда-нибудь задумывались, что будет, если не использовать TCP или UDP при передаче данных?
➡️ Читать статью [16 min].
#Сети #Разное
Коммутаторы, маршрутизаторы, брандмауэры — все это устройства, на которых держится интернет. Они перекидывают, фильтруют, дублируют и вырезают трафик такими способами, о которых большинство даже не догадывается. Без них вы бы не смогли прочитать этот текст.
Но сеть — это всего лишь один из уровней. Операционная система тоже играет по своим правилам: классификация, очереди, правила фаервола, NAT — все это влияет на то, что проходит, а что отбрасывается без следа. Каждый слой работает по-своему, и вместе они формируют ответ на вопрос: «А этот пакет вообще можно пропустить?»
Однажды мне стало интересно: а что будет, если отправить пакет с несуществующим транспортным протоколом? Не TCP, не UDP, не ICMP — вообще что-то выдуманное. Пропустит ли его ОС? Дойдет ли он хотя бы до сетевого интерфейса? Не зарежет ли его какой-нибудь промежуточный маршрутизатор? А вдруг он еще и быстрее обычного дойдет, потому что никто не знает, что с ним делать? Ответа у меня не было. Так что я решил проверить...
➡️ Читать статью [16 min].
#Сети #Разное
23.04.202518:36
💻 Первые коммерческие дата-центры.
• Коммерческие дата-центры стали появляться еще в 60-х. Первопроходцами в этой сфере были IBM и American Airlines, а первый ЦОД появился благодаря случаю. Президент авиакомпании American Airlines и менеджер по продажам IBM оказались на соседних креслах самолета, летевшего из Лос-Анджелеса в Нью-Йорк. Перелет был небыстрым, они разговорились. Встреча произошла в 1953 году, а спустя семь лет на свет появился первый в мире коммерческий дата-центр (на фото) — для размещения первой в мире автоматизированной системы резервирования и продажи авиабилетов.
• Уже в то время компании размещали свои вычислительные мощности в отдельных зданиях — с фальшполом и особой системой кондиционирования. Но эти дата-центры всё равно были мало похожи на современные. Они были строго корпоративными и обслуживали интересы конкретной компании.
• К концу 80-х годов ЦОДы стали быстрее и меньше, однако свой современный вид они обрели лишь в 90-х — с развитием интернета и веб-сервисов. Именно в 90-е появились первые ЦОД, работающие по модели colocation. Любые компании могли за деньги хранить там свои данные и арендовать вычислительные мощности.
• Концепция модульных серверов, которые устанавливаются в стандартизированные 19-дюймовые стойки, тоже родом из 90-х. Считается, что они пришли в ЦОДы с железных дорог: такие стойки придумали больше века назад под оборудование, которое управляло железнодорожными стрелками. Как и кому пришло в голову использовать их в ЦОД, история уже не помнит.
• До этих пор все вычислительные машины имели разную конструкцию и размеры, и оборудование даже одного и того же производителя могло быть несовместимым. С приходом 19-дюймового стандарта компании унифицировали размер и улучшили связность оборудования. Новый стандарт позволил уплотнить серверы в ЦОД и упростить их обслуживание. В дальнейшем такой подход получил широкое распространение и стал основой для современных серверных стоек.
• Стандартизация была бы невозможна без развития микропроцессорных технологий, которые сделали серверы меньше и производительнее. Наглядный пример — Intel Pentium III, который вышел в 1999 году и мог выдавать до 1133 мегафлопс в секунду.
• Одним из самых мощных коммерческих дата-центров в конце 90-х был Lakeside Technology Center в Чикаго, США. Он занимал по меньшей мере 100 000 м² и вмещал тысячи серверов, которые работали на базе процессоров IBM RS/6000 SP. Объем оперативной памяти исчислялся в гигабайтах на сервер, а совокупная пиковая производительность достигала сотен гигафлопс. Основными производителями серверов были IBM, Hewlett-Packard и Sun Microsystems. Вот такие дела...
#Разное
• Коммерческие дата-центры стали появляться еще в 60-х. Первопроходцами в этой сфере были IBM и American Airlines, а первый ЦОД появился благодаря случаю. Президент авиакомпании American Airlines и менеджер по продажам IBM оказались на соседних креслах самолета, летевшего из Лос-Анджелеса в Нью-Йорк. Перелет был небыстрым, они разговорились. Встреча произошла в 1953 году, а спустя семь лет на свет появился первый в мире коммерческий дата-центр (на фото) — для размещения первой в мире автоматизированной системы резервирования и продажи авиабилетов.
• Уже в то время компании размещали свои вычислительные мощности в отдельных зданиях — с фальшполом и особой системой кондиционирования. Но эти дата-центры всё равно были мало похожи на современные. Они были строго корпоративными и обслуживали интересы конкретной компании.
• К концу 80-х годов ЦОДы стали быстрее и меньше, однако свой современный вид они обрели лишь в 90-х — с развитием интернета и веб-сервисов. Именно в 90-е появились первые ЦОД, работающие по модели colocation. Любые компании могли за деньги хранить там свои данные и арендовать вычислительные мощности.
• Концепция модульных серверов, которые устанавливаются в стандартизированные 19-дюймовые стойки, тоже родом из 90-х. Считается, что они пришли в ЦОДы с железных дорог: такие стойки придумали больше века назад под оборудование, которое управляло железнодорожными стрелками. Как и кому пришло в голову использовать их в ЦОД, история уже не помнит.
• До этих пор все вычислительные машины имели разную конструкцию и размеры, и оборудование даже одного и того же производителя могло быть несовместимым. С приходом 19-дюймового стандарта компании унифицировали размер и улучшили связность оборудования. Новый стандарт позволил уплотнить серверы в ЦОД и упростить их обслуживание. В дальнейшем такой подход получил широкое распространение и стал основой для современных серверных стоек.
• Стандартизация была бы невозможна без развития микропроцессорных технологий, которые сделали серверы меньше и производительнее. Наглядный пример — Intel Pentium III, который вышел в 1999 году и мог выдавать до 1133 мегафлопс в секунду.
• Одним из самых мощных коммерческих дата-центров в конце 90-х был Lakeside Technology Center в Чикаго, США. Он занимал по меньшей мере 100 000 м² и вмещал тысячи серверов, которые работали на базе процессоров IBM RS/6000 SP. Объем оперативной памяти исчислялся в гигабайтах на сервер, а совокупная пиковая производительность достигала сотен гигафлопс. Основными производителями серверов были IBM, Hewlett-Packard и Sun Microsystems. Вот такие дела...
#Разное
22.04.202516:48
• Сегодня SSL.com находится в центре внимания, так как одним из исследователей была выявлена уязвимость, которая позволяет выпустить поддельный TLS-сертификат для любого домена.
• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "
• Соль уязвимости в том, что помимо домена "
• После этого он запросил на сайте SSL.com TLS-сертификат для домена
• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)
➡️ Источник.
➡️ Первоисточник.
#Новости
• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "
_validation-contactemail". Например, "_validation-contactemail.test.com DNS TXT name@example.com". После инициирования проверки домена на email name@example.com будет отправлен код подтверждения, ввод которого подтверждает владение доменом "test.com" и позволяет получить TLS-сертификат для "test.com".• Соль уязвимости в том, что помимо домена "
test.com", для которого был запрошен сертификат, признак подтверждения владения также выставлялся и для домена "example.com", используемого в email. Выявивший проблему исследователь продемонстрировал получение рабочего TLS-сертификата для домена aliyun.com, применяемого в webmail-сервисе китайской компании Alibaba. В ходе тестовой атаки исследователь зарегистрировал проверочный домен "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com" в сервисе "dcv-inspector.com" и запросил для него TLS-сертификат, добавив DNS-запись:_validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com DNS TXT myusername@aliyun.com
• После этого он запросил на сайте SSL.com TLS-сертификат для домена
d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и выбрал подтверждение по email. Далее происходит отправка проверочного кода на myusername@aliyun.com и после ввода этого кода в список верифицированных доменов добавляется не только "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com", но и "aliyun.com". После этого исследователь успешно получил TLS-сертификат для домена "aliyun.com", владение которым было подтверждено.• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)
➡️ Источник.
➡️ Первоисточник.
#Новости
21.04.202511:04
• Опубликовано очередное исследование, в рамках которого были проанализированы различные браузеры на предмет сбора и отправки телеметрии. Стоит отметить, что учитывались только запросы, отправленные свежеустановленными экземплярами браузеров, до какой-либо активности пользователя. Проверялись самые свежие версии браузеров, доступные на момент тестирования. Отсутствие служебной сетевой активности сразу после запуска зафиксировано только у браузеров Kagi Orion, Tor Browser и Pale Moon. Остальные браузеры так или иначе устанавливали сетевые соединения с внешними серверами, которые как минимум получали сведения об IP-адресе пользователя.
• К слову, ни один из отправляющих запросы браузеров не предоставил пользователю возможность отказаться от начальной отправки данных - многие браузеры позволяют в настройках отключить передачу телеметрии, но изменить эти настройки можно уже после того данные переданы при первом запуске.
• Распределение браузеров по числу хостов, к которым отправлялись служебные запросы (в скобках показатель за 2021 год):
➡82 - Zen;
➡48 (21) - Edge;
➡42 - Floorp;
➡31 (21) - Opera;
➡29 (15) - Firefox;
➡25 (9) - Chrome;
➡24 (3) - Librewolf;
➡24 (15) - Yandex Browser;
➡21 - Waterfox;
➡17 (7) - Brave;
➡16 (44) - Arc;
➡15 (0) - Mulvad;
➡11 (13) - Vivaldi;
➡10 - Thorium;
➡6 (6) - Safari;
➡3 (0) - Ungoogled Chromium;
➡0 (0) Kagi Orion;
➡0 (0) - Tor Browser;
➡0 - Pale Moon.
➡️ Исследование;
➡️ Источник.
#Статистика #Исследование
• К слову, ни один из отправляющих запросы браузеров не предоставил пользователю возможность отказаться от начальной отправки данных - многие браузеры позволяют в настройках отключить передачу телеметрии, но изменить эти настройки можно уже после того данные переданы при первом запуске.
• Распределение браузеров по числу хостов, к которым отправлялись служебные запросы (в скобках показатель за 2021 год):
➡82 - Zen;
➡48 (21) - Edge;
➡42 - Floorp;
➡31 (21) - Opera;
➡29 (15) - Firefox;
➡25 (9) - Chrome;
➡24 (3) - Librewolf;
➡24 (15) - Yandex Browser;
➡21 - Waterfox;
➡17 (7) - Brave;
➡16 (44) - Arc;
➡15 (0) - Mulvad;
➡11 (13) - Vivaldi;
➡10 - Thorium;
➡6 (6) - Safari;
➡3 (0) - Ungoogled Chromium;
➡0 (0) Kagi Orion;
➡0 (0) - Tor Browser;
➡0 - Pale Moon.
➡️ Исследование;
➡️ Источник.
#Статистика #Исследование
18.04.202509:01
Расследуйте атаку реальной APT-группировки уже сейчас!
Встречайте обновленный онлайн-полигон Standoff Defend для команд защиты в рамках марафона, который проходит с 3 по 29 апреля!
Уже сейчас вы можете протестировать главную новинку — регулируемые атаки, достоверно воспроизводящие техники, тактики и инструменты крупнейших APT-группировок.
💡 Переходите на сайт марафона и расследуйте атаку группировки Charming Kitten. Если зашли в тупик — воспользуйтесь подсказками.
🚀 Для участия не нужна предварительная подготовка — начните расследование прямо сейчас и проверьте свои навыки!
⏰ А 25 апреля в 11:00 (мск) ждем всех на разборе атаки с ментором. Он пройдет прямом эфире на сайте марафона, регистрируйтесь уже сейчас!
Готовы к вызову? Подробности — на сайте марафона!
Встречайте обновленный онлайн-полигон Standoff Defend для команд защиты в рамках марафона, который проходит с 3 по 29 апреля!
Уже сейчас вы можете протестировать главную новинку — регулируемые атаки, достоверно воспроизводящие техники, тактики и инструменты крупнейших APT-группировок.
💡 Переходите на сайт марафона и расследуйте атаку группировки Charming Kitten. Если зашли в тупик — воспользуйтесь подсказками.
🚀 Для участия не нужна предварительная подготовка — начните расследование прямо сейчас и проверьте свои навыки!
⏰ А 25 апреля в 11:00 (мск) ждем всех на разборе атаки с ментором. Он пройдет прямом эфире на сайте марафона, регистрируйтесь уже сейчас!
Готовы к вызову? Подробности — на сайте марафона!
17.04.202507:04
«Кибербезопасность» — день открытых дверей онлайн-магистратуры Яндекс Практикума и НИЯУ МИФИ
23 апреля в 19:00 мск
На встрече поговорим о современном формате магистратуры от Яндекса и НИЯУ МИФИ для специалистов по кибербезопасности. Как поступить, как проходит обучение и какие знания вы получите на выходе.
И как это, когда учишься онлайн, но со студенческим билетом, отсрочкой от армии и дипломом магистра НИЯУ МИФИ после выпуска.
Что будет на событии:
— Расскажем про разные траектории обучения на программе и как после выпуска стать специалистом по информационной безопасности, AppSec, DevSecOps или аналитиком SOC.
— Обсудим, какие навыки будут у выпускников, чтобы соответствовать рынку и требованиям работодателей.
— Поговорим про поступление: сроки, экзамены, документы, оплата.
→ Зарегистрироваться
23 апреля в 19:00 мск
На встрече поговорим о современном формате магистратуры от Яндекса и НИЯУ МИФИ для специалистов по кибербезопасности. Как поступить, как проходит обучение и какие знания вы получите на выходе.
И как это, когда учишься онлайн, но со студенческим билетом, отсрочкой от армии и дипломом магистра НИЯУ МИФИ после выпуска.
Что будет на событии:
— Расскажем про разные траектории обучения на программе и как после выпуска стать специалистом по информационной безопасности, AppSec, DevSecOps или аналитиком SOC.
— Обсудим, какие навыки будут у выпускников, чтобы соответствовать рынку и требованиям работодателей.
— Поговорим про поступление: сроки, экзамены, документы, оплата.
→ Зарегистрироваться
显示 1 - 24 共 134
登录以解锁更多功能。