infosec

19 March 2026 09:45

• Интернетизация...

• Журнал Хакер - Спец. выпуск №7 - 2002 год.

#Разное

infosec

18 March 2026 12:30

• SlimToolkit (DockerSlim) - инструмент для автоматической минимизации размера образа и безопасности контейнеров. Идея тулзы заключается в том, что стандартные образы часто содержат множество утилит и библиотек, которые вашему приложению никогда не понадобятся.

• Работает SlimToolkit по принципу динамического анализа. Утилита поднимает временный контейнер с вашим приложением. Далее она начинает мониторить всё, что происходит внутри: какие файлы открываются, какие системные вызовы используются, какие порты слушаются и т.д.

• Вы не меняете ничего в своём контейнере, а SlimToolkit автоматически уменьшает итоговый образ в десятки раз и одновременно усиливает его безопасность. Но оптимизация размера - не единственная задача. Инструмент также помогает лучше понимать структуру контейнеров и создавать более качественные образы.

• Более детальное описание инструмента доступно на github:

➡️ https://github.com/slimtoolkit/slim

• Еще больше полезных инструментов можно найти в статье: 6 Docker-фич для продвинутого использования [Часть 1], [Часть 2].

• Не забывайте про дополнительный материал:

➡Docker изнутри - отличный лонгрид, в котором описаны механизмы контейнеризации, всевозможные примеры, эксперименты и реализация.
➡Docker Security - очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Docker с нуля: бесплатный курс от Select;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.

#Docker

infosec

17 March 2026 19:23

• Как и обещал, держите конкурс на книгу Эндрю Таненбаума, которому вчера исполнилось 82 года.

• В этом конкурсе будет 5 призовых мест. Каждый победитель получит бумажную версию книги "Компьютерные сети. 6 изд.", которая является самой авторитетной книгой по современным сетевым технологиям. Тут, между прочим, 992 страницы информации!

• Этот конкурс не предусматривает каких-либо условий. Всё что необходимо - нажать на кнопку под этим постом. Доставка для победителей бесплатная в зоне действия СДЭК. Итоги подведём 28 марта (суббота) в 15:00, при помощи бота, который рандомно выберет победителей. Удачи ❤

P.S. Не забывайте ставить огонек под этим постом 🔥 - это помогает проводить такие розыгрыши чаще =)

#Конкурс

infosec

17 March 2026 12:33

🗺 DevOps Roadmap 2026.

• Держите крутой и актуальный roadmap для DevOps, который включает в себя необходимые ссылки на обучающие материалы для каждого шага на этом пути.

➡ https://github.com/milanm/DevOps-Roadmap

➡GIT;
➡Learn one programming language;
➡Learn Linux & Scripting;
➡Learn Networking & Security;
➡Learn Server Management;
➡Learn Containers;
➡Learn Container Orchestration;
➡Learn Infrastructure as a code;
➡Learn CI/CD;
➡Learn Monitoring & Observability;
➡Learn one Cloud provider;
➡Learn Software Engineering Practices;
➡Learn DevSecOps Fundamentals;
➡Additional resources;
➡Tools;
➡Books.

• В дополнение ⬇

➡Репозиторий, в котором собрано большое кол-во материала для освоения DevOps: от основ Docker и k8s до более продвинутых инструментов. Кстати, там есть не только теория, но еще и практическая часть с необходимыми примерами, сценариями, скриптами, манифестами и т.д.
➡PS-Commands - очень объемная шпаргалка по инструментам направления DevOps. Вся информация представлена на русском языке и есть возможность скачать заметку в формате книги для дальнейшего изучения.
➡Cheat-Sheet Collection - коллекция полезных шпаргалок для DevOps, ИБ и ИТ-специалистов.
➡devops-interview - репозиторий, который содержит в себе огромное кол-во вопросов и ответов для подготовки к собеседованию на должность DevOps и системных администраторов.
➡Easyoffer.ru - на этом сайте собрано более 1100 вопросов для подготовки к собеседованиям на позицию DevOps.

#DevOps

infosec

16 March 2026 18:02

🎉 82 года создателю MINIX Эндрю Таненбауму.

• Если вы изучали информатику, основы программирования или архитектуру операционных систем, это имя должно быть вам хорошо знакомо. Автор популярных учебников, ставших бестселлерами во многих странах мира, а также создатель операционной системы MINIX, которую многие считают прародительницей Linux - профессор Эндрю Стюарт Таненбаум празднует сегодня день рождение - 82 года!

• Его вклад в развитие операционных систем, компьютерных сетей и распределенных вычислительных систем оказал глубокое влияние на эволюцию компьютерных технологий во всем мире, а написанные Таненбаумом книги до сих пор переиздаются и считаются настольными уже для нескольких поколений айтишников.

• P.S. На этой неделе планирую организовать очередной конкурс, где разыграю несколько книг Таненбаума между читателями канала. Не пропустите.

#Разное

infosec

16 March 2026 14:17

• Владельцы VPN-сервисов после блокировки Telegram:

infosec

16 March 2026 05:31

• Доброе утро...🫠

#Понедельник

infosec

14 March 2026 08:03

• Ровно 32 года назад, 14 марта 1994 года, состоялся релиз Linux 1.0.0. Этот момент стал важной вехой в истории открытого программного обеспечения.

• Представьте: на дворе 80-90-е годы, цены на компьютеры были огромными - от 2300 до 5000 долларов. Система MINIX, одна из самых популярных на тот момент, стоила примерно 170 баксов (что-то около $500 в наше время), кроме того, приходилось ждать поставки носителя около месяца. Ну т.е. вы купили ПК, хотите уже начать им пользоваться (хотя был и DOS), он стоит перед вами, но бесполезен. Чтобы начать работать, приходится доплачивать и ждать...

• А еще всё ПО было проприетарным (исходный код закрыт и все права принадлежали разработчикам), и вы не могли ничего дописать и поделиться этим с другими пользователями.

• Это надоело Ричарду Столлману, и в 1983 году он написал письмо о свободе UNIX. Смысл заключался в создании полностью свободной ОС, совместимой с UNIX. Но исходники UNIX были закрыты, и пришлось переписывать все с нуля. Эта система была названа GNU - GNU is not UNIX. Работа заняла много времени.

• К 1990 году была готова графическая оболочка, компилятор Си, командная оболочка и т. д., но не хватало самого важного - ядра системы.

• И тут на сцену выходит Линус Торвальдс – финский студент, влюбившееся в UNIX системы после прочтения великого учебника от Таненбаума (создателя MINIX).

• В 1991 Линус начинает писать свою ОС с UNIX совместимым ядро. Он выкладывает свои наработки в Интернет, и другие программисты начинают тестировать и дорабатывать ядро. Совместными усилиями в 1994 году произошел релиз.

• Благодаря проекту GNU Линус Торвальдс сразу получил возможность использовать с Linux свободные утилиты: bash, компилятор gcc, tar, gzip и многие другие уже известные и широко используемые приложения, которые могли работать с его UNIX-совместимым ядром. Так Linux сразу попал в хорошее окружение и в сочетании с утилитами GNU представлял собой очень интересную среду для разработчиков ПО даже на самой ранней стадии своего развития.

• Принципиальным шагом вперёд было именно то, что из ядра Linux и утилит и приложений GNU впервые стало возможно сделать полностью свободную операционную систему, то есть работать с компьютером и, более того, разрабатывать новое ПО, пользуясь только свободным программным обеспечением. Идеал полностью некоммерческой разработки, сформулированный Столлманом, теперь мог быть воплощён в жизнь.

• К слову, версия 1.0.0 включала 176 000 строк кода и поддерживала архитектуру x86, работу в многозадачном режиме и сетевые соединения. С тех пор Linux стал основой для множества дистрибутивов и широко применяется в серверах, мобильных устройствах (Android), суперкомпьютерах и встроенных системах.

#Разное

infosec

13 March 2026 14:10

Безопасность без границ: новые вызовы для бизнеса

В гибридном мире данные живут повсюду — и защита должна охватывать все среды. Yandex Cloud выходит за рамки облака и покажет, как защищать информацию, веб-приложения и инфраструктуру в любых условиях — от облачных сред до локальных серверов.

Эти темы станут центральными на Cloud Security Day 2026 — ежегодной конференции Yandex Cloud о безопасности без границ, где эксперты расскажут о трендах, реальных кейсах и продуктах, которые помогают компаниям защищаться от современных угроз.

📍16 апреля 2026, 10:00–18:00 (МСК), онлайн и офлайн

Кому будет полезно: CISO, специалистам по ИБ, DevOps, инженерам, архитекторам и тем, кто работает с безопасностью корпоративных систем.

Не ждите, пока появится новая угроза — рестигистрируйтесь по ссылке и приходите узнать, как ей противостоять.

infosec

13 March 2026 10:02

• Немного интересных цифр: В Google подвели итоги программы bug bounty в Chrome, Android, приложениях Google Play, продуктах Google и различном открытом ПО. Общая сумма выплаченных в 2025 году вознаграждений составила 17.1 млн. баксов, что на $5.3 млн. больше, чем в 2024 году и на $7.1 млн. больше, чем в 2023 году. Вознаграждения получили 747 исследователей (в 2024 году - 660, в 2023 - 632). С 2010 года суммарный размер выплат составил 81.6 млн долларов.

• Основная часть вознаграждений распределена по следующим категориям: $2.9 млн. (в 2024 году $3.3 млн, в 2023 - $3.4 млн) выплачено за уязвимости в Android. За информацию об уязвимостях в браузере Chrome выплачено $3.7 млн. (в 2024 году $2.1 млн, в 2023 - $3.5 млн). За уязвимости в облачных продуктах Google выплачено $3.5 млн. За уязвимости в AI-продуктах выплачено 890 тысяч долларов.

• Размер самой большой единичной выплаты составил 250 тысяч долларов за обнаружение логической ошибки в IPC-механизме Chrome. Более подробную информацию можно найти по ссылке ниже:

➡️ https://bughunters.google.com/blog/google-vrps-in-review-2025

#bb #Новости

infosec

12 March 2026 16:25

• Специалисты по информационной безопасности Donjon, возглавляемая компанией Ledger, обнаружила серьёзную уязвимость в Android-смартфонах на базе чипов MediaTek. С её помощью атакующие могут извлекать конфиденциальные данные с устройства, даже если оно выключено.

• Для демонстрации эксплойта специалисты использовали смартфон CMF Phone 1 компании Nothing - на взлом устройства им потребовалось всего 45 секунд. По словам специалистов, эксплойт работает даже без загрузки операционной системы Android.

• Как только смартфон подключается к компьютеру, атакующий может получить PIN-код устройства, расшифровать его память и извлечь из неё seed-фразы, которые используются для доступа к криптовалютным кошелькам.

• Разработчики поясняют, что устройства на базе чипов MediaTek используют Trusted Execution Environment (TEE) - защищённую область внутри основного процессора. Для сравнения, Pixel, iPhone и многие устройства на базе Snapdragon полагаются на выделенный чип безопасности, который изолирует конфиденциальные данные от основного чипа. Такой подход лучше защищает от атак.

• Уязвимость, обнаруженная в чипах MediaTek, получила идентификатор CVE-2026-20435.

• Исследователи сообщили об уязвимости производителю заранее, в рамках процедуры ответственного раскрытия. MediaTek уже подготовила исправление и 5 января 2026 года передала патч производителям устройств. Теперь обновления должны внедрить компании, выпускающие смартфоны на базе этих процессоров.

• Уязвимость может затрагивать миллионы устройств разных брендов, включая модели OPPO, vivo, OnePlus и Samsung.

➡️ https://www.theblock.co/ledger-researchers

#Новости #Android

infosec

12 March 2026 09:01

Багхантеры усиливают безопасность: итоги программы «Охота за ошибками» от Яндекса

• В 2025 году за найденные уязвимости багхантерам выплатили 62 млн рублей — это на 20% больше, чем годом ранее.

• Исследователи прислали 1,3 тыс. полезных отчетов, это на 30% больше, чем в 2024.

• Но здесь важна не только динамика. Часть сообщений не попала под выплаты, потому что описывала проблемы, которые команда Яндекса уже нашла и закрыла до того, как их заметили снаружи. Это нормальная история: внутренняя безопасность и внешний контур работают параллельно, и иногда независимые специалисты приходят к тем же выводам чуть позже.

• При этом самый активный белый хакер за год отправил 59 уникальных отчетов и заработал 3,6 млн рублей. Крупнейшие разовые выплаты за одну найденную уязвимость составили 2 млн, 1,5 млн и 1,2 млн рублей.

• Программа работает с 2012 года, и с каждым годом багхантеры становятся опытнее. Они не просто ищут ошибки, а реально помогают усиливать защиту сервисов. Рост количества качественных отчетов это подтверждает. Интерес компании выражается в финансировании – на 2026 год на реализацию программы выделили 100 млн рублей.

• Да и сама программа продолжает расширяться: в ней появилось направление, связанное с поиском уязвимостей в генеративных моделях Alice AI и сопутствующей инфраструктуре.

➡️ Источник.

#Новости #ИБ

infosec

11 March 2026 12:34

• Несколько лет назад я рассказывал вам о книге "Linux From Scratch", в которой приведены объяснения и инструкции, нужные для того, чтобы спроектировать и собрать свою собственную систему.

• Так вот, неделю назад вышла новая версия этого руководства, ключевым изменением которого является то, что это первая версия, доступная исключительно в формате systemd. А еще были внесены обновления связанные с безопасностью, в такие пакеты, как glibc, coreutils, expat, Perl, Python, systemd, xz и Vim.

• Отмечу, что материал служит идеальным средством обучения, позволяющим программистам, системным администраторам и энтузиастам повысить свои (уже существующие) навыки работы с Linux.

➡️ https://www.linuxfromscratch.org/lfs/view/13.0-systemd

• Кстати, помимо "Linux From Scratch", было обновлено еще одно руководство: Beyond Linux From Scratch - включает в себя инструкции по установке широкого спектра дополнительного ПО, включая среды рабочего стола, такие как GNOME, KDE Plasma, XFCE и LXQt, а также популярные приложения, такие как веб-браузеры, почтовые клиенты и офисные пакеты.

• Ну и если вам интересна данная тема, то вот несколько других дополнительных книг:

➡Automated Linux From Scratch - фреймворк для автоматизации сборки LFS‑системы и управлению пакетами;
➡Cross Linux From Scratch - описание кроссплатформенной сборки LFS‑системы, поддерживаются архитектуры: x86, x86_64, sparc, mips, PowerPC, alpha, hppa, arm;
➡Hardened Linux From Scratch - инструкции по повышению безопасности LFS, применению дополнительных патчей и ограничений;
➡LFS Hints - подборка дополнительных советов с описанием альтернативных решений для описанных в LFS и BLFS шагов.
➡Multilib‑LFS - инструкция по установке Multilib для запуска 32-разядных программ в 64-разрядных окружениях.

#Linux

infosec

10 March 2026 19:24

• А вы знали, что первые банковские карты изготавливались из картона? От них не требовалось быть износостойкими: их не вставляли в банкоматы или в другие считывающие устройства. Их требовалось лишь предъявлять при совершении покупки в магазине, кафе или автозаправке. Говорить о какой-то интеграции карты с банками не приходилось: задача первых карт - идентифицировать владельца и обозначить его платежеспособность в конкретной сети магазинов, АЗС или сетей питания. Сегодня мы бы назвали эти карты картами лояльности.

• В начале 1920-х платежные карты начали распространяться в сфере торговли топливом. В 1924 году General Petroleum Corporation в Калифорнии начала выпускать то, что они называли "льготными картами" (courtesy card), и другие сетевые АЗС быстро последовали их примеру. Картонные платежные карточки были выданы постоянным клиентам по всем США. С помощью этой карты клиент мог расплачиваться за бензин, а также покупать сопутствующие товары на любой из сетевых станций, которые могли находиться на значительном расстоянии друг от друга, что позволяло удержать путешествующего по стране клиента.

• Первые карты, как и другие документы, изготавливались из картона. Так как ими пользовались значительно чаще, чем, скажем, паспортом, они быстро приходили в негодность и их приходилось менять, что доставляло неудобства и организациям, которые выдавали карты, и клиентам. Масштабная модернизация карт произошла в 1928 году, когда бостонская компания Farrington Manufacturing, специализировавшаяся на изготовлении металлических гравированных шкатулок и футляров, выпустила прообраз металлической карты лояльности - Charga Plate (на фото), которые быстро вошли в обиход торговых сетей.

• На выпущенных картах был выдавлены (эмбоссированны) данные владельца. Покупатель, совершая покупку, передавал продавцу карту, который при помощи специального пресса - импринтера - делал отпечаток карты покупателя на квитанции. То есть карта служила оттиском, подтверждающим покупку товара держателем карты. Эмбоссирование упрощало и ускоряло взаимодействие покупателя и и продавца, так как избавляло продавца от необходимости вручную заполнять квитанцию о продаже и вносить в неё данные покупателя. Если представить данную операцию в современном мире то, по сути, с помощью такой карты ставилась печать на чек, подтверждающая покупку товара конкретным клиентом.

• Эта инновация позволяла экономить время на диктовке имени продавцу, позволяла идентифицировать клиента в любом магазине, и снижала вероятность ошибки при заполнении адреса доставки и выставления счета. И просуществовали Сharga Plates вплоть до вхождения в обиход настоящих карт.

• Появившиеся в середине XX века банковские карты представляли собой уже более сложный платежный инструмент, задачей которого было не только идентифицировать клиента, но и предоставить продавцу информацию о состоянии его банковского счета, а также обеспечить как можно более быстрое взаимодействие с банком и проведение транзакции. На картах появились магнитные полосы, содержащие необходимые данные, а позже карты стали снабжаться электронным чипом, обеспечивающим более быстрое взаимодействие с кассовым аппаратом... Так и пошло.

#Разное

infosec

10 March 2026 12:33

• Operation Zero опубликовали большую статью с обзором классов уязвимостей в Chrome. В ней рассматриваются поверхность атаки конвейера V8, движка Blink, ошибки в процессе GPU, позволяющие выйти из песочницы, проблемы Mojo IPC и параллелизма в Chrome. Затрагиваются темы современных аппаратных защит, таких как PKEYs и MTE. Статья не претендует на глубокое изложение по каждой из тем и служит отправной точкой для дальнейшего изучения эксплуатации конкретных типов уязвимостей.

➡️ https://opzero.ru/press/101-chrome-exploitation-part-2

• Напомню, что в первой части была описана архитектура браузера, его основные компоненты (движок рендеринга Blink, движок JavaScript V8, сетевой стек), а также упражнение, в котором читатели добавят свою функцию в API Blink!

• Благодаря этому материалу вы сможете изучить устройство подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Материал является практическим, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.

#security #devsecops

infosec

18 March 2026 18:34

🖥 Windows 3.1

• 34 года назад, 18 марта 1992 года, была выпущена Windows 3.1 (изначально носившая кодовое имя Janus). Это была не совсем операционная система, как многие думают, а скорее графическая оболочка поверх MS-DOS.

• Выпущенная в 1992 году, Windows 3.1, по-прежнему лишенная многих очевидных сегодня элементов интерфейса, содержала большое количество нововведений: доработанный GUI, поддержка TrueType, реестр Windows (именно в этой версии он и появился), поддержка TCP/IP, новый файловый менеджер и многое другое. А с точки зрения скучающих офисных сотрудников, наверное, главным нововведением стал убийца времени "Солитер" и "Сапер". Их целью было не только развлекать, но и приучать пользователей к мышке - например, тренироваться в перетаскивании.

• Ну и в то время начиналась новая эра: компьютеры теперь были не только для текстов и таблиц, но и для мультимедиа. Разрешение у пользователей подросло аж до 640x480. В Microsoft реагировали на это: в системе появились приложения Media Player и Sound Recorder, а в поставку "тройки" включили потрясающие обои CHESS.BMP.

• Кстати, вот вам забавный факт. Помните глобальный сбой Windows во всем мире, который был вызван проблемным обновлением ПО CrowdStrike? Так вот, четвёртая по величине авиакомпания США Southwest Airlines осталась незатронутой этим сбоем, так как все системы работали на Windows 3.1.... Так что можно смело сказать, что эта система до сих пор в строю и активно используется =)))

#Разное

infosec

18 March 2026 09:28

Как найти слабые места в веб-приложении до того, как их найдут хакеры?

Расскажем на курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!

🔴 Каждую неделю — вебинары с куратором! Старт 16 апреля. Регистрация здесь.

Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)

Получите практические навыки как в рабочих задачах, так и в Bug Bounty. Запишитесь до 20 марта и получите скидку 5%.

🚀 По всем вопросам пишите @CodebyAcademyBot

infosec

17 March 2026 18:10

• Фото, которое вызывает чувство ностальгии. Настоящий набор для LAN-вечеринки прямиком из 2000-х.

• Вот только, раньше у нас не было таких крутых "органайзеров" для переноса системных блоков и периферии. Мы собирали все свое добро (мышку, клавиатуру, кабель) в обычный пакет и несли к друзьям, где всю ночь рубились по локалке в Warcraft или CS. Хорошее было время...

#Разное

infosec

17 March 2026 09:25

🔐 Больше кибератак → выше спрос на специалистов по ИБ

По данным Positive Technologies, в 2025 году в России сформировался острый дефицит ИБ‑специалистов, который будет только усиливаться. Освоить как никогда актуальную профессию можно на расширенном курсе Нетологии.

Две основные специализации: администрирование СЗИ и форензика. И ещё одна на выбор: DevSecOps или пентест. На курсе вы:

🔸 научитесь настраивать Linux и Windows, Wi-Fi и DNS;
🔸 освоите Python и C, работу с Git, реверс-инжиниринг и анализ вредоносного ПО;
🔸 решите 74 задания и добавите 5 крупных проектов в портфолио;
🔸 научитесь применять ИИ и модели машинного обучения в кибербезопасности и для поиска работы.

🌿Купите в марте эту или другую программу с дополнительной скидкой 10% по промокоду NETONEW10 и получите ещё один курс в записи бесплатно. Стоимость подарочного курса — не выше суммы покупки. Записаться со скидкой

Реклама. ООО “Нетология” ОГРН 1207700135884 Erid: 2VSb5xsjtk9

infosec

16 March 2026 16:08

• В фоне последних новостей о блокировке Telegram мошенники начали скамить владельцев iPhone и iPad, предлагая установить модифицированные версии мессенджера. В результате устройства блокируются, после чего злоумышленники требуют деньги за разблокировку.

• В объявлениях обещают дополнительные плюшки - встроенный VPN, анонимный номер, режим инкогнито, бесплатную Premium-подписку и т.д.

• Потенциальным жертвам через Telegram-бота предлагают скачать приложение, подключившись к чужому Apple ID, так как мод якобы отсутствует в App Store. Пользователю передают логин и пароль от учётной записи. После привязки устройства злоумышленники блокируют аккаунт и сам смартфон или планшет, оставляя на экране контакты для связи.

• За разблокировку устройств обычно требуют от 10 тыс. до 60 тыс. рублей. Размер выкупа зависит от модели устройства: чем оно дороже, тем больше сумма требований.

• Схема классическая, ничего нового тут нет, но предупредить близких никогда не поздно.

➡️ https://tass.ru/obschestvo/26771231

#Новости

infosec

16 March 2026 12:30

• Очередная статья о реализации собственного сервера для безопасной коммуникации текстовыми сообщениями и звонков.

• На этот раз вы узнаете о Matrix Synapse, который позиционируется как альтернатива Telegram и другим мессенджерам для общения с родственниками, друзьями и коллегами. Например, кто находится за рубежом и не хочет кучу денег тратить на роуминг или устанавливать на телефон скаМ.

• Считаю, что чем больше такого материала, тем лучше. Берите на заметку, тестируйте, делитесь с близкими и оставайтесь на связи.

➡️ https://habr.com/ru/post/1009268

• В дополнение ⬇

➡Как развернуть Nextcloud Talk на собственном VPS.
➡Matrix и XMPP на своем сервере для самых маленьких.
➡Galene — простой сервер видеоконференций. Установка на VPS.
➡Звонки через Jabber в докер-контейнере за 5 минут.
➡Запускаем сотовую сеть 4G LTE с поддержкой звонков и SMS.

#Matrix #Element #Разное

infosec

15 March 2026 09:31

• Мало кто знает, что ровно 41 год назад, 15 марта 1985 года, был зарегистрирован первый домен в зоне .com – symbolics.com. Именно этот исторический момент ознаменовал начало коммерческого использования доменных имен в интернете.

• До 1985 года в интернете не существовало единой системы, которая позволяла бы присваивать удобные имена сайтам. Каждый компьютер в сети имел IP-адрес, и чтобы к нему обратиться, нужно было знать эту длинную цифровую комбинацию. Очевидно, что такая модель была неудобной! В 1983 году Джон Постел и Пол Мокапетрис из Университета Южной Калифорнии предложили революционное решение - систему доменных имён (DNS). Она должна была стать своеобразной телефонной книгой интернета, превращающей понятные слова в IP-адреса. Именно благодаря DNS появились знакомые нам доменные зоны - .com, .org, .net, .edu и другие.

• 5 марта 1985 года компания Symbolics Inc. из Массачусетса зарегистрировала первый в мире домен - symbolics.com. Этот момент можно назвать рождением современного интернета. Symbolics занималась производством компьютеров для разработки программного обеспечения, в частности для языков программирования Lisp, которые тогда активно использовались в области искусственного интеллекта. Никто в тот момент не догадывался, что эта регистрация станет исторической. Symbolics.com - не просто первый домен в зоне .com, это первый коммерческий адрес, открывший путь ко всей цифровой экономике, которую мы имеем сегодня.

• Интересно, что домен существует до сих пор. В 2009 году его приобрела компания XF Investments, и сейчас он функционирует как виртуальный музей истории интернета. На сайте можно увидеть, как менялся веб, какие домены появлялись позже и как развивалась сама идея доменной системы.

#Разное

infosec

13 March 2026 18:29

🖥 Первый сервер | первый мейнфрейм.

• Вы наверняка знаете, что раньше не было привычных нам персональных ПК, обработка данных выполнялась на мощных ЭВМ, которые называли мейнфреймами. У операторов были лишь терминалы, которые позволяли получить доступ к данным. Как правило, терминал представлял собой простой алфавитно-цифровой дисплей и клавиатуру, которые и подключилась к мейнфрейму.

• Мейнфреймы давали возможность работать с данными нескольким пользователям одновременно. Речь идет не о 2-3 пользователях, а о тысячах одновременно поддерживаемых сессий. Благодаря своим возможностям такие системы всегда были очень дорогими, и позволить их могли либо богатые крупные компании, либо академические организации, плюс правительства некоторых стран.

• Работа конечных пользователей с мейнфреймами не требовала знаний в программировании, так что менеджеры организаций, в которых работали такие системы, были довольны, поскольку выполнять нужные задачи можно было без особых проблем. При помощи терминалов пользователь получал доступ к необходимым данным и работал с ними, не задумываясь о том как на самом деле организовано их хранение и обработка.

• Когда мейнфрейм устаревал (примерный срок службы составлял более 15 лет), его по возможности, меняли на новый. При этом старый оставляли работать в качестве запасного устройства на случай, если с новой системой что-то пойдет не так. Проблемой мейнфреймов было то, что они выпускались несколькими конкурирующими компаниями и были несовместимы между собой.

• Миграция в случае покупки нового мейнфрейма от другого производителя была возможна, но это был сложный и долгий процесс. Несовместимым между собой было не только аппаратное, но и программное обеспечение. Несовместимыми были и протоколы обмена данными, поскольку стандартизации еще не было, а если была, то не такой сильной, как сейчас.

• Первый мейнфрейм был представлен компанией IBM в 1964 году, это была первая модель серии IBM System/360 (на фото). На разработку и реализацию проекта ушло около 5 млрд. баксов, что в те времена было огромной суммой, сравнимой с финансированием ряда важных космических программ агентством НАСА. Тем не менее, компания IBM не прогадала, поскольку ее мейнфреймы стали очень популярными. Доход корпорации увеличился более чем вдвое. Если в 1965 году он составлял $3,6 млрд, то уже в 1971 году - $8,3 млрд.

• Затем мейнфреймы стали выпускать и другие компании: Hitachi, Bull, Unisys, DEC, Honeywell, Burroughs, Siemens, Amdahl, Fujitsu.

• Какие-то из моделей стали популярными, какие-то перестали производить вскоре после запуска. Достоинством мейнфреймов заключалось в том, что это были унифицированные системы. Ранее ЭВМ создавались и адаптировались под каждого клиента, а с появлением мейнфреймов появились семейства ЭВМ с единой совместимой архитектурой!

• Мейнфреймы позволяли бизнесу быстрее работать, а академическим организациям - оперативнее выполнять вычисления, что способствовало прогрессу. С течением времени произошла дифференциация мейнфреймов - в зависимости от задач, которые они выполняли. Если ранее в корпорациях мейнфреймы работали в качестве универсальных солдат, то потом в разных отделах они стали выполнять разные задачи - конечно, лишь в тех компаниях, которые могли себе позволить подобное удовольствие. Поскольку в отделе людей меньше, чем во всей корпорации, то и мощность мейнфрейма может быть ниже - так появились "малые" мейнфреймы, которые стали производить некоторые компании. Такие системы были в разы дешевле, чем "взрослые" мейнфреймы, что позволяло компаниям экономить деньги.

• К слову, мейнфреймы, а именно серверы, используются и в наше время, работая примерно в 25 000 организаций по всему миру. 6 августа 1991 года заработал и первый интернет-сервер. Уже через год в глобальной сети было 26 таких серверов - они работали автономно, не требуя постоянного присутствия человека. Так и пошло...

#Разное

infosec

13 March 2026 12:40

• На хабре есть хорошая шпаргалка по настройке VPS на Debian/Ubuntu, которая поможет получить базовый минимум солидного сервера, закрыть основные проблемы с безопасностью, настроить вход только по ключу и т.д. Материал для тех, кто ещё не освоил 100% автоматизацию процесса, но работает с виртуальными серверами.

➡️ https://habr.com/ru/post/977026

#Linux

infosec

12 March 2026 17:32

• Случайно увидел на авито интересное объявление: кто-то продает японский моноблок Canon Navigator HD-40, который выпустили более 35 лет назад. А это, на минуточку, не просто моноблок, а моноблок с принтером, сканером и факсом! Как вам такое? Давайте немного расскажу об этом устройстве.

• Идея для реализации моноблока была проста и одновременно амбициозна: дать секретарю под рукой всё необходимое, чтобы ему или ей не требовалось бегать по коридору в попытке отправить факс или отксерить очередную платёжку. С Canon Navigator HD-40 можно было решать основные офисные задачи прямо на рабочем месте: девайс представлял собой персональный компьютер с небольшим сенсорным экраном (что само по себе не совсем обычно для 1990 года), встроенным факс-модемом с термопринтером, сканером и оборудованием для голосовой связи. Иными словами, машина сочетала в себе элементы, типичные скорее для периферии, чем для "настоящей" персоналки того времени.

• Основной модуль Canon Navigator HD-40 представлял собой моноблок, в который был встроен черно-белый дисплей стандарта EGA c диагональю 10 дюймов, оборудованный сенсорной панелью. Дисплей поддерживал разрешение 640×350 точек и палитру в 16 градаций серого. В текстовом режиме дисплей позволял отображать 80 символов и 25 строк.

• Слева от монитора в корпусе располагалась телефонная трубка, при снятии которой машина переключалась в "телефонный" режим: на экране появлялся псевдографический интерфейс, позволявший набрать телефонный номер, принять или отправить факс, воспользоваться телефонной книгой или автоответчиком. В базовой конфигурации компьютер работал под управлением MS-DOS 3.3, то есть, превращался в почти обычную IBM-совместимую персоналку.

• Ниже монитора есть 3,5-дюймовый дисковод, поддерживавший дискеты стандартной ёмкостью 1,44 Мбайта. При этом существовало две комплектации Canon Navigator: в одной было предусмотрено два таких дисковода, в другой - один дисковод и один жесткий диск IDE объемом 40 Мбайт.

• А вот аппаратная архитектура Canon Navigator HD-40 по-настоящему удивляет: устройство оборудовано сразу двумя процессорами. Первый из них, NЕС V30, работавший на частоте 14 МГц, представлял собой модификацию Intel 8086, на котором базировались многие IBM-совместимые персоналки и ноутбуки, и по некоторым тестам он был даже немного производительнее "оригинала".

• Ну и поскольку Canon Navigator HD-40 представлял собой полноценный факс-аппарат, в его конструкции имелся термопринтер, совместимый с другими принтерами Canon и даже некоторыми моделями Epson. В конструкции принтера был предусмотрен сканирующий модуль, так что Canon Navigator вполне можно было использовать и в качестве полноценного копировального аппарата, как, впрочем, любой факс того времени.

• К слову, встроенных аудиоколонок в моноблоке не имелось: звук выводился на системный динамик, как и в остальных персоналках начала 90-х. Кроме того, устройство имело аппаратные функции энергосбережения: через несколько минут бездействия пользователя дисплей и жесткий диск переходили в спящий режим, чтобы сэкономить энергию и предотвратить выгорание дисплея. Сейчас это звучит чем-то само собой разумеющимся, но в то время такая функция была практически недоступной для настольных ПК. При касании экрана раздавался мягкий, мелодичный звук «дин-дон», и устройство выходило из спящего режима. Магия? В то время - несомненно!

• Несмотря на то, что Canon Navigator HD-40 был универсальным "комбайном" формата "всё-в одном", призванным упростить офисную рутину, он остался нишевым устройством, не получившим широкого распространения ни в США, ни в Европе, ни в Японии. Одна из причин - довольно высокая цена: первоначальная розничная стоимость Navigator HD-40 составляла 2500 долларов, что считалось весьма недёшево по меркам того времени.

• Так что попытка создать "компьютер будущего" получилась очень смелой… но в целом - не слишком успешной. Но чего у Canon не отнять, так это того, что Navigator HD-40 стал очень необычным и самобытным устройством. Как говорится, сейчас таких не делают.

#Разное

infosec

12 March 2026 12:59

• Классика...

#Юмор

infosec

11 March 2026 21:03

⚠️ 502, 503, 504...

• Вы наверняка сталкивались с ошибками 502 Bad Gateway, 503 Service Unavailable и 504 Gateway Timeout. Эти ошибки появляются неожиданно и пугают тем, что где-то что-то упало. Но откуда вообще они взялись и что означают?

• Дело в том, что когда протокол HTTP только появился, он был удивительно прост - браузер шёл к одному серверу, и тот почти всегда отвечал. В ранних версиях вроде HTTP/0.9 никаких статусов вообще не существовало, поэтому интерпретировать там было нечего.

• Нумерация ответов появилась в HTTP/1.0, в середине девяностых. Тогда между клиентом и сервером начали появляться посредники, а вместе с ними и классические 500-е коды. Именно тогда оформились 502 Bad Gateway и 503 Service Unavailable. То есть понимание о том, что ломаться может не приложение, а путь к нему, появилось задолго до эпохи облаков.

• С HTTP/1.1 в 1997–1999 годах архитектуры стали многоуровневыми - появились прокси, балансировщики, шлюзы, а чуть позже и API-шлюзы. Под такую реальность в стандарт добавили 504 Gateway Timeout.

➡Код 502 Bad Gateway означает, что сервер, выступающий как шлюз или прокси, получил недействительный (ошибочный) ответ от вышестоящего сервера. Формально ответ есть, но он "битый", странный или просто не соответствует ожиданиям. Почти всегда ошибка "Плохой шлюз" указывает на проблему взаимодействия между компонентами инфраструктуры.

➡503 Service Unavailable означает, что сервер временно не может обработать запрос из-за перегрузки или обслуживания. Этот код не описывает как таковой сбой, а фиксирует отказ в обслуживании в текущий момент времени. Ошибку "Сервис временно недоступен" может возвращать как само приложение, так и балансировщик или фронтовый сервер. В отличие от 502, здесь нет проблемы в передаче данных между узлами - система сообщает, что не готова принимать новые запросы.

➡504 Gateway Timeout (Таймаут шлюза) - ошибка, сообщающая, что сервер-посредник не получил ответа от вышестоящего сервера в пределах установленного времени ожидания. То есть вместо некорректного ответа в этом случае его просто нет в отведённый таймаут. Типовая архитектура здесь та же, что и у 502: прокси или балансировщик отправляет запрос к бэкенду и ожидает ответ в течение заданного тайм-аута. Если бэкенд отвечает слишком медленно или не отвечает вовсе, посредник завершает ожидание и возвращает клиенту 504. Причиной может быть перегруженное приложение, медленная база данных, внешнее API с высокой латентностью или сетевые задержки.

• Так вот, 502, 503 и 504 - самые частые представители семейства 500-х, потому что именно они отражают реальное устройство веба. Сегодня запросы почти не идут напрямую от клиента к приложению, они проходят через длинную цепочку промежуточных узлов, и каждый из них имеет собственные условия отказа. То есть чем сложнее архитектура, тем больше мест, где можно получить эти ошибки, не имея при этом ни одного "упавшего сервера"...

#Разное #Оффтоп

infosec

11 March 2026 08:03

🛠🖥 Российские современные межсетевые экраны: внедрение, сегментация, нагрузка

В инфраструктуре крупных компаний новые межсетевые экраны все реже ограничиваются защитой периметра. Архитектуры усложняются, а требования к контролю внутреннего трафика растут.

По данным исследования К2 Кибербезопасность и К2Тех:
✅ 78% компаний используют современные межсетевые экраны для защиты периметра
✅ 11% применяют гибридную модель
✅ 88% сегментируют сеть
✅ 54% реализуют сегментацию с помощью межсетевых экранов нового поколения

🟢 Сегментация снижает риски горизонтального распространения атак и повышает управляемость трафика. При этом часть организаций не включает модули анализа на внутренних узлах из-за опасений снижения производительности или ограничений аппаратных ресурсов.

🟢 Фактор нагрузки становится принципиальным: 89% заказчиков удовлетворены производительностью российских решений, однако ключевым критерием оценки является стабильная работа при полной активации функций защиты, без деградаций в реальных сценариях эксплуатации.

🟢 Зрелость внедрения определяется не только архитектурой размещения межсетевых экранов, но и моделью эксплуатации — интеграцией с системами мониторинга и управления инцидентами.

В полном тексте исследования мы подробно рассматриваем подходы к внедрению современных межсетевых экранов, модели сегментации, а также уровень зрелости текущих практик защиты сети.

📹 Ознакомиться с исследованием можно по ссылке.

Реклама. АО «К2 Интеграция». ИНН 7701829110 Erid: 2W5zFJtFw7F

infosec

10 March 2026 17:34

• Немного оффтопа: на хабре недавно была опубликована очень крутая статья, автор которой выяснил, почему обесточенный SSD медленно забывает информацию, и почему этого не происходит, пока диск работает.

• Рекомендую к прочтению, тема весьма интересная: https://habr.com/ru/post/1007884

#Разное #Оффтоп

infosec

10 March 2026 05:34

• Доброе утро...🫠

#Понедельник #Юмор