• Исследователь "Лаборатории Касперского" выявил уязвимость в архитектуре RPC, позволяющую создавать поддельные RPC-серверы и повышать уровень привилегий.

Межпроцессное взаимодействие (IPC) — одна из наиболее сложных технологий в операционной системе Windows. В основе этой экосистемы лежит механизм удаленного вызова процедур (RPC), который может функционировать как самостоятельный канал связи или выступать базовым транспортным уровнем для более продвинутых технологий межпроцессного взаимодействия. Из-за своей сложности и широкой распространенности механизм RPC всегда был источником множества проблем безопасности. За прошедшие годы исследователи обнаружили многочисленные уязвимости в службах, использующих RPC, — от локального повышения привилегий до полноценного удаленного выполнения кода.

В данном исследовании будут раскрыты детали новой уязвимости в архитектуре RPC, позволяющей реализовать ранее неизвестную технику локального повышения привилегий предположительно во всех версиях Windows. Эта техника позволяет процессам с привилегиями имперсонации повышать свои права до уровня SYSTEM.

Будет продемонстрировано пять векторов эксплуатации, позволяющих повышать привилегии из контекста различных локальных или сетевых служб до уровня SYSTEM или высокопривилегированных пользователей. Некоторые техники основаны на принуждении, другие требуют пользовательских действий, а третьи задействуют фоновые службы. Поскольку в основе проблемы лежит просчет в самой архитектуре, количество потенциальных векторов атак фактически не ограничено: любой новый процесс или служба, зависящие от RPC, могут стать дополнительным путем повышения привилегий.

• Все эксплойты, описанные в данном исследовании, были протестированы в Windows Server 2022 и Windows Server 2025 с последними обновлениями. Тем не менее высока вероятность, что данная уязвимость актуальна и для других версий Windows. Конкретные способы эксплуатации могут различаться от системы к системе в зависимости, например, от установленных компонентов, библиотек DLL, используемых в RPC-взаимодействиях, и доступности соответствующих RPC-серверов.

• Технология MSRPC;
• Механизм имперсонации в среде Windows;
• Взаимодействие служб Group Policy и TermService;
• Принуждение службы Group Policy;
• Схема архитектуры RPC;
• Идентификация RPC-вызовов к недоступным серверам;
• Дополнительные пути повышения привилегий:
➡Взаимодействие с пользователем: от Edge к RDP;
➡Фоновые службы: от WDI к RDP;
➡Злоупотребление учетной записью Local Service: от ipconfig к DHCP;
➡Злоупотребление службой времени.
• Раскрытие уязвимости.

#Исследование #ИБ

Читать полностью…

• Было время...

#Разное

Читать полностью…

🖤 Первому видео на YouTube исполнился 21 год.

• 23 апреля 2005 года было загружено первое видео на YouTube. В 19-секундном ролике "Me at the zoo" один из соучредителей YouTube Джавед Карим рассказывает о слонах в зоопарке Сан-Диего.

• По сегодняшним меркам видео на YouTube "Me at the zoo" - довольно посредственное зрелище. Там нет ни качества съёмки, ни мастеринга звука, ничего, кроме 25-летнего инженера-программиста, который показывает на слонов позади себя и говорит:

Самое классное в этих парнях то, что у них очень-очень-очень длинные хоботы!

• Сейчас на коротком видео более 388 млн. просмотров, 18 млн. положительных реакций и почти 10,5 млн. комментариев.

➡️ https://youtu.be/jNQXAC9IVRw

• 14 февраля 2005 года трое друзей и бывших сотрудников PayPal - Чед Херли, Стив Чен и Джавад Карим (на видео) создали YouTube в процессе разработки совместного проекта у себя в гараже, в городе Сан-Бруно, Калифорния. 14 ноября 2007 года YouTube запустил русскую версию своего портала.

• В то время не было подходящей платформы для того, чтобы пользователи делились роликами, а существующие способы загрузки были слишком сложными. Сервис разрабатывали на основе технологии Flash Video (FLV), позволяющей загружать ролики до десяти минут.

#Разное

Читать полностью…

• А помните историю, когда федеральное бюро расследований США смогли получить копии входящих сообщений Signal с iPhone пользователя, который удалил мессенжер со смартфона? Тогда все содержимое переписки хранилось в архиве push-уведомлений устройства.

• Так вот... Президент Signal Мередит Уиттакер написала в Apple с просьбой пофиксить эту фичу, так как уведомления об удалённых сообщениях не должны оставаться в базе данных оповещений операционной системы. Apple прислушались и 22 апреля выкатили апдейт - iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8. В Apple указали, что ошибку исправили путём улучшения механизма удаления данных.

#Новости

Читать полностью…

• Вероятно, что это самый актуальный и объемный гайд по созданию устойчивой и скрытой инфраструктуры для Red Team специалистов. Никакой воды и лишней информации, только архитектура и описание различных методов, которые используются в работе. Содержание следующее:

➡The Architecture High Level;
➡Infrastructure Segmentation;
➡Phase 1: Domain Selection & Preparation;
➡Phase 2: Infrastructure Deployment with Terraform;
➡Phase 3: Command & Control (C2) Framework;
➡Phase 4: The HTTPS Redirector;
➡Phase 5: Fortifying the Redirector;
➡Phase 6: CDN Relays;
➡Phase 7: Serverless Lambda Redirection;
➡Phase 8: Flask & Gunicorn Lightweight Redirector;
➡Phase 9: Microsoft Dev Tunnels;
➡Phase 10: Cloudflare Workers & Zero Trust Tunnels;
➡Phase 11: Phishing Infrastructure;
➡Phase 12: Malleable C2 Profiles & Traffic Shaping;
➡Infrastructure Tools;
➡Multi-Layer Architecture Example;
➡References.

• Обратите внимание, что в блоге автора можно найти другие полезные гайды для пентестеров: https://0xdbgman.github.io/

#Пентест

Читать полностью…

🖥 Самому старому BitTorrent-трекеру The Pirate Bay исполнилось 22 года.

• Когда The Pirate Bay был запущен, к Интернету было подключено примерно 10% населения мира, а в США большинство использовало модемное соединение. В то время контент потреблялся в офлайн-режиме. Программы для обмена торрентами позволяли людям обмениваться большими видеофайлами.

• Сегодня большинство файлов, которыми делились на The Pirate Bay в первые годы, недоступны. BitTorrent требует, чтобы для обмена полной копией файла был активен как минимум один человек.

• Тем не менее, эпизод "The High Chaparral" с участием Ури Геллера стал самым старым активным торрентом на Pirate Bay. Файл был первоначально загружен 25 марта 2004 года, и многие люди продолжают делиться им до сих пор. На данный момент этот торрент, похоже, приобрел культовый статус, и пираты распространяют его просто потому, что это самый старый торрент на The Pirate Bay. Однако, несмотря на рекорд, шведский телесериал распространяется без разрешения создателей.

➡️ https://torrentfreak.com/the-pirate-bays-oldest-torrent-turned-22/

#Оффтоп

Читать полностью…

• Десятки фишинговых приложений были обнаружены в топе поисковой выдачи китайского App Store. Популярные криптокошельки, которые мимикрировали под MetaMask, Coinbase и Trust Wallet, были нацелены на кражу сид-фраз (фраз восстановления) и приватных ключей, благодаря которым злоумышленники могли получить полный доступ к кошельку.

• Самое интересное, что в ввиду региональных ограничений некоторые оригинальные приложения криптокошельков для пользователей из Китая (с выставленным в настройках Apple ID китайским регионом) являются недоступными. Зато были доступны фишинговые приложения, которые активно скачивали юзеры. Ситуация является идентичной как у нас с банками - официальных приложений нет, но иногда появляются фишинговые приложения банков.

• В рамках данного исследования было обнаружено 26 приложений! В некоторых из них отсутствовала фишинговая функциональность, но при этом имелись все признаки, указывающие на связь со злоумышленниками. В таком случае вредоносные функции могут быть встроены со следующими обновлениями.

• Также есть приложения, в которых присутствуют заглушки (функциональные "пустышки", имитирующие работу настоящего сервиса), предназначенные для придания легитимности приложению. Заглушкой могли быть игра, калькулятор или планировщик задач.

• При запуске фишинговое приложение открывает вредоносную ссылку в браузере пользователя. С помощью такой ссылки и схемы c provisioning-профилями зараженные версии криптокошельков могут быть установлены на устройство жертвы. Provisioning-профили используют и другие зловреды для iOS, например SparkKitty. Эти профили могут быть нескольких видов. Один из них - Enterprise-профили. Они созданы для того, чтобы организации могли разрабатывать и устанавливать на устройства своих сотрудников приложения для внутреннего пользования без публикации в App Store и без ограничений по числу устройств. Именно Enterprise-профили нередко используются разработчиками кряков, читов, онлайн-казино, пиратских модификаций популярных программ и вредоносного ПО.

➡️ Более подробную информацию о распространяемых фишинговых приложениях и всевозможные технические детали можно изучить тут.

#Исследование

Читать полностью…

• Обратите внимание на сервис с бесплатными лабораторными работами по работе с Nmap. По ссылке ниже вы найдете полностью интерактивные лаборатории, разработанные для более быстрого и эффективного обучения. Даже есть ИИ помощник, если возникнут трудности с выполнением заданий.

➡️ https://labex.io/free-labs/nmap

• Дополнительно:

➡Справочное руководство Nmap — официальное справочное руководство на русском языке;
➡Nmap Cheat Sheet 2026 — актуальная шпаргалка, которая поможет вам автоматизировать свою работу и сократить время на выполнение определенных задач;
➡Неочевидные функции nmap — очень объемная статья с форума XSS, которая описывает неочевидные функции Nmap и его возможности. Материал будет полезен пентестерам и #ИБ специалистам;
➡Nmap + Grafana — в этой статье описано создание панели управления Nmap с помощью Grafana и Docker, чтобы получить полноценный обзор сети и открытых служб;
➡Прокачай свой nmap — статья от журнала ][акер, которая поможет не только разобраться с основами, но еще и даст необходимую информацию по написанию собственных скриптов;
➡Nmap NSE Library — множество доступных сценариев NSE, которые разбиты на разные категории.
➡Nmap для пентестера — полезный материал, который подойдет опытным специалистам.

#Nmap

Читать полностью…

➡️ Источник.

#Новости

Читать полностью…

• Доброе утро...🫠

#Понедельник

Читать полностью…

• Ровно 120 лет назад, 18 апреля 1906, была основана компания Xerox! Именно Xerox мы обязаны компьютерной мышью, лазерным принтером, технологией Ethernet и графическим интерфейсом всех современных компьютеров и смартфонов.

• Xerox основал Джозеф Чемберлен Уилсон в 1906 году в Нью-Йорке. Тогда она называлась Haloid Company и специализировалась на производстве бумаги для профессиональных фотографов.

• Все изменилось, когда в 1947 году Haloid Company приобрела патент изобретения Честера Карлсона - "электрографа". Это устройство переносило изображения на бумагу с помощью светочувствительного полупроводника и порошкового пигмента (тонера). Печатная техника того времени работала только с жидкими чернилами, поэтому электрографы моментально раскупали, что принесло Haloid Company немалую прибыль. Процесс копирования документов назвали xerography, а само устройство - xerox, как и выпускающую его компанию. Тогда же слово стало товарным знаком фирмы.

• В 1960 году Xerox выпустила первый автоматический копировальный аппарат - Xerox 914 (это чудо техники весило почти 300 килограммов и печатало одну копию за 26 секунд). Он пользовался такой популярностью, что к концу 1961 года принес своим создателям почти $60 млн. Одним из главных преимуществ этого устройства стала простота - в его провокационном рекламном ролике было продемонстрировано, что даже обезьяна может справиться с копированием документов. Кроме того, корпорация использовала прибыльную бизнес-стратегию: технику нельзя было приобрести для личного пользования - приходилось платить за каждую скопированную страницу. Фактически, Xerox стала монополистом и это приносило фирме огромный доход.

• В 1963 году появился Xerox 813 - первый копировальный аппарат, помещающийся на рабочем столе. А в 1969 году фирма изобрела лазерный принтер. Но монополия не могла продолжаться вечно - в 1970 году IBM выпустила свою первую модель копировальной техники для офиса. Вскоре к ней присоединились Kodak и Canon.

• Чтобы не затеряться среди конкурентов, Xerox приступила к внедрению новых продуктов - устройств, оснащенной микропроцессорами. Они работали со всеми типами бумаги и генерировали до 70 ксерокопий в минуту.

• А еще у Xerox был центр разработок и исследований Palo Alto Research Center (PARC) в Калифорнии - здесь собралась команда из лучших ученых и изобретателей США. Вскоре PARC стал известен на весь мир, ведь именно здесь был создан графический интерфейс, текстовые редакторы WYSIWYG и Ethernet, компьютерная мышь для ПК, прототип планшета.

• В 1979 году Стив Джобс посетил PARC, пришел в восторг от представленных там технологий и приобрел права на них всего за $1 млн. А в 1983 году на основе этих разработок Apple выпустила ПК для бизнеса Lisa. Джобс, сказал по этому поводу:

Xerox понятия не имела о том, что у нее в руках… Она могла бы владеть всей индустрией.

• Идеи Xerox помогли и бизнесу Microsoft - компания заработала миллиарды на программном обеспечении для графического пользовательского интерфейса.

• У Xerox было все для дальнейшего развития бизнеса - "команда мечты", инновационная копировальная техника, а также ряд перспективных технологий, необходимых для создания компьютерных сетей и ПК с графическим интерфейсом. Однако иметь возможности и воспользоваться ими - не одно и тоже.

• Подводя итог, вклад Xerox в развитие графических интерфейсов и компьютеров в целом поистине колоссален. Хотя, у корпорации не получилось коммерциализировать свои разработки.

• Все современные графические системы - Windows, macOS, Linux с Gnome, Android, iOS - выросли из концепций Xerox. Окна, иконки, меню, мышь - всё это придумали ещё в 1970-х годах, и мы пользуемся этим до сих пор.

• История Xerox - это классический пример того, как блестящие технологические инновации не всегда приводят к коммерческому успеху. Компания создала будущее компьютерной индустрии, но не смогла его монетизировать. Xerox PARC разработал технологии, которые изменили мир, но именно Apple и Microsoft превратили эти идеи в продукты, доступные миллионам пользователей.

#Разное

Читать полностью…

• Команда экспертов Postgres Professional представила обновлённое 12-е издание книги "Postgres. Первое знакомство".

• Это небольшое, но ёмкое руководство призвано максимально быстро и комфортно погрузить читателя в работу с самой продвинутой СУБД с открытым кодом.

• Самое крутое, что книга написана экспертами, которые на практике развивают СУБД и обучают тысячи специалистов. Это гарантирует точность формулировок и актуальность рекомендаций.

• По этой ссылке можно скачать обновленный материал и ряд других бесплатных книг (их всего 8):

➡️ https://postgrespro.ru/education/books/introbook

#PostgreSQL #Книга

Читать полностью…

Как найти слабые места в веб-приложении до того, как их найдут хакеры?

Расскажем на курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!

🔴 Каждую неделю — вебинары с куратором! Успейте записаться до 26 апреля. Регистрация здесь.

Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)

Получите практические навыки как в рабочих задачах, так и в Bug Bounty.

🚀 По всем вопросам пишите @CodebyAcademyBot

Читать полностью…

• Анекдот дня: на официальном сайте Samsung есть пошаговый гайд, в котором описан процесс изоляции приложений в папку Knox. В качестве примера показали изоляцию мессенджера Max 🐶

➡️ https://www.samsung.com/ru/knox

• UPD. Спустя несколько часов после публикации данной новости в СМИ, Samsung удалили все скриншоты и оставили только текстовое описание по изоляции приложений в Knox.

#Разное

Читать полностью…

• Посмотрите, как прекрасен мир без интернета...

#Разное

Читать полностью…

• Друзья, пришло время провести очередной розыгрыш. Новых книг в продаже пока нет, поэтому я решил разыграть всемирный бестселлер Эндрю Таненбаума - "Современные операционные системы. 4-е изд". Целых 1120 страниц информации! Настоящая классика! По нашей хорошей традиции предлагаю разыграть 3 книги в бумажной версии!

• В книге вы найдете информацию, которая необходима для понимания функционирования современных ОС. Есть разделы, которые посвящены Android, Unix, Linux, RAID-системам, а также есть много информации о виртуализации и облачных вычислениях.

• Этот конкурс не предусматривает каких-либо условий. Всё, что необходимо, - нажать кнопку под этим постом. Доставка для победителей бесплатна в зоне действия СДЭК. Итоги подведём 2 мая, в 10:00 при помощи бота, который рандомно выберет победителей. Удачи ❤

P.S. Не забывайте ставить огонек под этим постом 🔥 и бустить канал - это помогает проводить такие розыгрыши чаще =)

#Конкурс

Читать полностью…

Альфа-Банк собирает хакеров на соревнования — среди лучших спецов разыгрывают 3 100 000 рублей. В этот раз участвовать могут и школьники — победителям этого трека банк оплатит поездку на научную конференцию.

Такие турниры — хорошая строчка в резюме: участие поможет при трудоустройстве. Соревноваться можно из любой точки мира, нужно только зарегистрироваться до 25 апреля.

Регистрация

Читать полностью…

• Эксперты из Quarkslab выкатили интересное исследование, в рамках которого им удалось извлечь из китайского электромобиля данные GPS и получить точную информацию о поездках за несколько лет.

• Все началось с того, что исследователи купили телематический блок (TCU), извлечённый из разбитого электромобиля BYD Seal. Чтобы считать сохранённые данные, они спаяли собственный переходник для подключения модуля к USB-программатору и воспользовались тулзой ubireader! Таким образом они получили доступ ко всей файловой системе и смогли извлечь необходимые файлы.

• Самое интересное, что данные даже не были зашифрованы. Исследователи проанализировали журналы глобальной навигационной спутниковой системы (GNSS) и восстановили полную историю автомобиля - от производства на заводе в Китае до эксплуатации в Великобритании и демонтажа в Польше. В журналах было зафиксировано каждое движение и остановка, что дало полное представление о пути автомобиля.

• Отмечено, что в большинстве новых авто можно стереть данные, выполнив сброс настроек до заводских, но полностью удалить всю информацию невозможно.

• Что касается данной фичи, то она не является уникальной для автомобилей BYD. GPS-навигации уже три десятилетия, и на вторичном рынке хватает стареньких автомобилей, чья бортовая электроника может стать источником детальной информации о перемещениях владельца. Автопроизводители и регуляторы в последние годы ужесточили требования к шифрованию, но практически любой автомобиль, выпущенный за последние двадцать лет, имеет модуль, который хранит информацию о перемещениях за весь срок эксплуатации, и во многих случаях эти данные извлечь...

➡️ https://blog.quarkslab.com/

#Исследование

Читать полностью…

Субботний день 24 октября 2020 года выдался дождливым, ветреным и довольно прохладным — впрочем, такую погоду можно назвать типичной для осеннего Хельсинки. Люди прятались от промозглой сырости в уютных кафе и ресторанах, пили горячий чай и глинтвейн, стараясь отдохнуть за выходные от насущных дел.

Внезапно их мобильные телефоны — практически одновременно, с разницей в секунды — начали оживать, сигнализируя о пришедших по электронной почте сообщениях. Студенты, политики, учителя, врачи, водители, и даже безработные вглядывались в экраны с тревогой и ужасом. Эти люди никогда раньше не встречались и никогда не увидятся в реальности. У них не было ничего общего — кроме одного: несколько лет назад каждый из них зашёл в кабинет психотерапевта известной сети центров психологической помощи Vastaamo и закрыл за собой дверь. То, что они говорили за той дверью, должно было навсегда остаться там же. Но теперь неизвестный хакер утверждал: он располагает всеми записями этих сессий, включая имена, даты и самое главное — подробные признания пациентов. Двести евро в биткоинах — и похищенная информация не будет опубликована в общем доступе. На раздумья — двадцать четыре часа. Время пошло.

• Финские журналисты назвали этот взлом самым громким киберпреступлением в истории страны. Молодому парню, которого несколько лет разыскивал Интерпол, удалось взломать финскую терапевтическую компанию! Хакер разослал жертвам более 33 тыс. писем и потребовал выкуп за нераспространение информации. В итоге 24 тысячи пострадавших обратились в полицию, хакер залил всю информацию в дакнет на всеобщее обозрение, но в конечном итоге был пойман из-за собственной невнимательности и неосторожности. Подробности этой истории по ссылке ниже. Рекомендую к прочтению:

➡️ https://habr.com/ru/post/1023772

#ИБ

Читать полностью…

❗ Факты, которые заставят задуматься

1⃣ Вероятность уязвимости есть почти во всех веб-приложениях.
Последняя версия OWASP Top 10 (2021) показывает, что риски вроде Broken Access Control, Injection, Cryptographic Failures и Security Misconfiguration всё ещё в топе угроз.

2⃣ Крупные утечки случаются из-за базовых ошибок. Например, группа ShinyHunters связана с серией атак, в том числе через облачные сервисы (Salesforce и др.), где злоумышленники использовали методы социальной инженерии и эксплойты уязвимостей, чтобы вытянуть чувствительные данные.

3⃣ Недоговорённости на уровне архитектуры и дизайна — частая причина уязвимостей. Новые списки уязвимостей всё больше обращают внимание на дизайн, на неверные схемы доступа, на провалы с контролем доступа как на первичные слабые места.

Что это значит для тех, кто хочет работать с безопасностью веб-приложений?
✅Знания теории недостаточны — важно понимать, как выглядят реальные атаки, как их находят и эксплуатируют.
✅Уметь выявлять уязвимости на разных уровнях: код, конфигурация, архитектура, взаимодействие с API.
✅Понимать не только, что плохо, но почему плохо, и как предотвратить — в том числе заранее, на этапе проектирования.

Кейс: TeleMessage / TM SGNL — как неприметная ошибка стала фатальной

В 2025 году приложение TeleMessage (“Signal-клон”) оказалось взломано всего за 15-20 минут из-за одной misconfiguration: публично доступный endpoint /heapdump в Spring Boot Actuator, через который хакеры смогли получить дамп памяти — и вместе с ним — логины, пароли, чаты и прочие данные.

Если вы:
⏺хотите видеть под микроскопом реальные web-уязвимости (не “теоретические задачи”, а то, что реально ломается);
⏺устали учить, но не понимать, где применять — и хотите, чтобы каждое знание сразу превращалось в практику;
⏺хотите научиться не просто ломать, но и защищать: настроить доступ, шифрования, логирования — и делать это так, чтобы следующее приложение было без дыр;

Курс по веб-пентесту — это именно то, что нужно. Там: авторские лаборатори, вебинары с куратором и разбор реальных атак.

➡➡➡ Начать учиться

🤟🤟🤟

Читать полностью…

• Любопытство - это ключ к совершенству. Один из способов задействовать силу любопытства - хакерские квесты. Они лежат на пересечении игр в альтернативную реальность (ARG) и CTF-соревнований, но не просто развлекают, а дают совершенно реальные навыки.

• На сайте уважаемого 0xdf, который является главным архитектором лаборатории Hack The Box, собрана огромная коллекция прохождений всевозможных машин. Вы можете фильтровать тачки по сложности, операционке, выбрать нужный тэг, имя и т.д.

• На сайте уже представлено более 500 различных машин и их прохождений, начиная с 2018 года и заканчивая апрелем 2026:

➡️ https://0xdf.gitlab.io/cheatsheets/htb-interactive

#CTF #Пентест

Читать полностью…

• 28 лет назад, 20 апреля 1998 года, случился один из самых известных фейлов в истории Microsoft - "Синий экран смерти" на презентации Windows 98.

• В те времена Windows 98 все еще находилась в разработке, но до релиза оставалось несколько недель. Компания привезла тестовую сборку OC на выставку COMDEX, где генеральный директор Microsoft Билл Гейтс и его помощник Крис Капоссела демонстрировали возможности новой системы.

• Когда Крис подключил к системе сканер, то windows 98 выдала "Синий экран смерти" на глазах у миллионов зрителей. Билл не растерялся и пошутил: "Наверное, поэтому мы еще не выпустили Windows 98". Этот момент стал легендарным мемом в истории IT.

• Вероятно, что именно этот фейл вдохновил Microsoft создать "тележку смерти", которая включала более 60 последовательно подключённых USB-устройств разных типов и функций. Тележку привозили в офис разработчиков и подключали к тестируемому компьютеру. При этом ПК либо сразу выдавал ВSoD, либо ошибка возникала при случайном подключении и отключении тележки. После этого разработчики занимались отладкой упавших компьютеров.

#Разное

Читать полностью…

• Поговаривают, что взрываются не только смартфоны, но и телевизоры:

#Юмор

Читать полностью…

Инженеры перебрали... Linux-кейсов 🤩

23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами.

А ещё можно принести свой кейс на разбор и получить приз.

Подробности и регистрация по ссылке.

Читать полностью…

🤩 Немного красоты вам в ленту =)

#Разное

Читать полностью…

• Немного оффтопа: неделю назад рассказывал вам о системе навигации, которая помогала водителям доехать из точки А в точку Б в далеком 1909 году. Так вот, спустя 60 лет, в 1969 году, у автомобилистов появилась возможность использовать кассетный проигрыватель и установить систему, которая сообщала водителю куда ехать или поворачивать, основываясь на местоположении автомобиля. Но как это все работало?

• На кассете были записаны инструкции, которые направляли водителя по нужному маршруту. Но просто проигрывать кассету с инструкциями было бы довольно бесполезно – лучше уж просто включить музыку. В этой системе должны быть и другие компоненты, и здесь все становится все очень интересно.

• Дело в том, что в записанных инструкциях также воспроизводятся звуковые сигналы различной длины. Длительность этих звуковых сигналов определяется электронным блоком под приборной панелью, и эта длительность выражается в том, сколько миль автомобиль должен проехать, пока не прозвучит следующая инструкция.

• Для того вычисления этого расстояния, электронная коробка подключается к одометру автомобиля через механическое кабельное соединение, которое приводит в действие механизм с шестеренками. Этот механизм позволяет рассчитать количество пройденных миль и когда количество миль равно значению, предусмотренному длительностью тона, проигрывается следующая инструкция.

• Интересно также то, как система осуществляет калибровку размеров шин. Для этого используется картридж. Компоненты, которые настраивают систему на работу с заданным размером шин автомобиля (что влияет на расчеты пробега), размещаются на небольшой печатной плате, которая вставляется во внутренний разъем.

• В общем и целом, система могла давать пошаговые инструкции для проезда к выбранному месту в зависимости от расстояния, которое вы проехали. Конечно, если вы поедете в объезд или заблудитесь, то у вас возникнут проблемы. Было бы круто, если бы в системе можно было остановить подсчет пробега или вернуться к последнему шагу и пересчитать пройденное расстояние, но в то время это было сложной задачей...

➡ Если интересно, то на YT есть наглядная демонстрация этой системы навигации тех времен: https://youtu.be/KliWHCzE16c

#Оффтоп #Разное

Читать полностью…

• При переходе в сервисы Яндекса с включенным VPN пользователи видят страницу-заглушку, которая не позволяет перейти в сервис. Если посмотреть код данной страницы, то можно найти отсылку к роману-антиутопии Д. Оруэлла "1984". Такие вот забавные пасхалки...

• Кстати, хочу напомнить, что книгу Оруэлла "1984" можно бесплатно скачать в нашей группе, ну или читать онлайн.

#Оруэлл

Читать полностью…

• Один из ключевых протоколов интернета FTP (file transfer protocol) сегодня отмечает свой 55-й день рождения. Студент Массачусетского технологического института Абхай Бушан опубликовал первые спецификации RFC 114 16 апреля 1971 года, задолго до появления HTTP и даже за три года до TCP (RFC 793)! Простой стандарт для копирования файлов с годами начал поддерживать более сложные модели контроля, совместимости и безопасности. Cпустя 55 лет FTP нельзя назвать устаревшим и миллионы FTP-серверов все еще доступны в Интернете.

• К слову, автор данного протокола был не единственным, кто принял участие в разработке FTP, ведь после выпуска из вуза он получил должность в Xerox, а протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.

• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.

#Разное

Читать полностью…

• Криптобиржа Grinex, которая пришла на смену Garantex, была взломана! В результате взлома были похищены средства на сумму более 1 млрд рублей.

• В компании сообщили, что они подверглись масштабной кибератаке с признаками участия "зарубежных спецслужб". Все украденные активы конвертировали в TRX и вывели на один кошелёк. Работа биржи приостановлена. На сайте висит плашка о проведении технических работ.

• Теперь пользователи задаются вопросом, как им вернуть свои деньги...

#Новости

Читать полностью…

• Интересно, конечно: злоумышленники отправляли своим жертвам шпионское ПО вместе с мобильным телефоном. Реализация такой схемы осуществлялась в феврале и марте текущего года и была ориентирована на клиентов банковского сектора России. Всего было зафиксировано около 300 подобных атак.

• Жертва получала смартфон с предустановленным трояном LunaSpy, которое умеет в перехват камеры, записывает звук с помощью микрофона смартфона, осуществлять запись экрана и собирать чувствительные данные.

• Кроме целого арсенала для слежки, на устройстве реализован функционал самозащиты, препятствующий удалению LunaSpy. При обнаружении окна для удаления приложения, под которым скрывается троян, LunaSpy выполняет нажатие системной кнопки "Назад" и отправляет сообщение на сервер злоумышленникам.

• А еще на зараженном устройстве есть средство связи злоумышленников с жертвой. В условиях проблем с работой ряда мессенджеров атакующие использовали малоизвестные приложения на базе протокола Matrix. При этом бэкенд приложения был развернут на серверах самих киберпреступников.

• Судя по всему, это новый потенциальный вектор мошеннических схем, основанный на доставке вредоносного ПО пользователю вместе с устройством.

• Подробности исследования Android-трояна LunaSpy с техническими деталями можно прочитать здесь.

#Исследование

Читать полностью…