-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
👾 Эпический баг прошлого: очень умный ксерокс!
• Как вам ксерокс, который при копировании заменяет цифры в оригинале? Вам кажется, что такое невозможно? К сожалению, в современной гонке за оптимизацией алгоритмов работы офисной техники такой фантастический вариант стал реальностью.
• Мы привыкли к тому, что ксерокс, хоть и технологичное устройство, но в общем его функции достаточно банальны — сделать копию с оригинала. Интуитивно мы предполагаем, что ксерокс работает как связка сканера с принтером: отсканировали изображение, получили картинку и отправили её на принтер. Именно так, видимо, и работали ранние ксероксы.
• Но устройства усложнялись, появились МФУ, в которых уже была встроена довольно сложная программная начинка. Видимо, в этом и заключалась причина ошибки, которую в 2013 году обнаружил немец Дэвид Крисель в МФУ фирмы Xerox.
• Совершенно случайно Дэвид заметил, что при ксерокопировании некоторых документов с цифрами устройство периодически заменяло цифру «6» на «8», а цифру «2» на «1». Согласитесь, что это крайне странное поведение для ксерокса. Тем более, что в нём был отключён алгоритм распознавания текста и пользователь выполнял простое ксерокопирование.
• Оказалось, что в устройстве использовался алгоритм компрессии графики JBIG2. Этот алгоритм фактически выполняет распознавание текста и заменяет графическое изображение на символы. При появлении схожих символов алгоритм подбирал им замену из библиотеки уже распознанных букв и цифр.
• Понятно, что распознавание текста позволяет существенно сжать исходный файл. Другой вопрос, зачем этот алгоритм применялся при простом ксерокопировании. Интересно, что при недостаточном качестве сканирования алгоритм может заменить ещё и «2» на «7» или даже «1» на «3».
• Компания Xerox повела себя аналогично Intel — не сразу признала свою ошибку. Поупиравшись какое-то время, Xerox всё-таки выпустили обновлённую прошивку для своих устройств. Но многочисленные пользователи должны её скачать и установить, а это делают далеко не все.
• Кроме того, этот же алгоритм используется не только в большинстве современных устройств фирмы Xerox, но и в устройствах и программах других фирм. Так что проверяйте свои ксерокопии...
#Разное
🔐 Шифруем данные. Часть 2.
• Еще немного про шифрование. Кашу маслом не испортишь, как не испортишь безопасность шифрованием. Но так ли это и на что еще обратить внимание, когда шифруешь файлы?
• Первое правило клуба шифровальщиков: никому не говори о клубе шифровальщиков. Ну кроме того, кому ты собираешься передать данные. Он то должен знать. Поэтому нужно шифровать все важные данные, которые вы передаете по открытой сети. Все дело в доверии. Доверяете ли вы Телеге? А Гуглу? А Протону? Никто не мешает нашим любимым операторам связи одной рукой устанавливать P2P соединение и называть это анонимностью, а другой – читать наши переписки. Бэкдоры они такие. Чтобы ваши данные попали в руки третьих лиц – шифруйте содержимое.
• Используйте ключевые файлы. Это как абсолютно надежный ключ от двери. Без него, даже зная пароль, архив не откроешь. Даже квантовым компьютером. Даже квантовым компьютером с паяльником. Его обычно транспортируют отдельно от архива. Создается этот ключ самой VeraCrypt. Вы можете выбрать его длину (в том числе случайную), а также количество. Хоть один, хоть сто, хоть двести. И спрятать можно его где угодно: ему можно присвоить любое расширение.
• Используйте PIM. Считайте, это дополнительный ПИН-код для вашего архива. Если шагнуть в сторону от математики, используя PIM нужно не только угадать ваш пароль, но и повторить его определенное количество раз. Это как если бы дверь открывали не всем, а только тем, кто стучит четыре раза в ля-бемоле. Штука удобная и крайне полезная. Взломостойкость повышается в разы. Быстродействие, конечно, падает, но если архив не терабайтный, то вы этого не особо заметите.
• Так что шифруйте, и да пребудет в сами сила криптографии!
#Криптография #VeraCrypt #PIM
👨💻 Attacking IaC.
• Least Privilege;
• Secrets Management;
• Encryption of Sensitive Data;
• Compliance as code;
• terraform plan;
• pet Infra;
• Storing Terraform State Securely;
• Malicious Terraform Providers or Modules;
• Securing Terraform Executions with Isolation;
• Protecting Sensitive Variables in Terraform Logs;
• Securing API Keys and Archivist URLs in HCP Terraform;
• Use dynamic credentials;
• Terraform Plan vs Terraform Apply;
• Replace blacklisted provider.
#IaC #DevSecOps
🖥 Жизнь после мейнстрима: WEP.
• WEP - это алгоритм шифрования, который активно использовался в старых стандартах беспроводных сетей Wi-Fi. Он появился в конце 1990-х годов и за прошедшие десятилетия не раз был объектом внимания в скандалах, связанных со взломом. Первые данные об уязвимостях были опубликованы еще в 2000 году.
• Есть мнение, что именно эта шумиха препятствовала развитию беспроводных сетей в компаниях — слишком силен был стереотип, что данные «по воздуху» передавать не безопасно.
• Хотя у WEP есть модификация, поддерживающая длинный ключ, с существующими вычислительными мощностями и большим количеством «дыр» в самом алгоритме для его взлома достаточно нескольких минут, поэтому в Wi-Fi рекомендуется использовать альтернативный алгоритм (WPA). Эта рекомендация появилась в 2004 году и с того момента WEP официально признан устаревшим.
• Проблема в том, что WEP-шифрование спустя 18 лет все еще поддерживается огромным количеством устройств, а некоторая старая техника не знает никакой альтернативы. По статистике, WEP-шифрование все еще используют около 3% устройств в мире. Так что стандарт все еще в строю, несмотря на почти два десятилетия антирекламы.
• На фоне других устаревших стандартов WEP очень живуч. Но определенные шаги к отказу от него все-таки выполняются. Например, Microsoft объявила о прекращении поддержки WEP-шифрования в Windows 11 (а вместе с ним и техники, которая не поддерживает ничего иного, кроме WEP и TKIP).
#Разное
🔒 Заключенные, 2 ПК и взлом тюремной сети.
• Пятеро заключенных из исправительного заведения Марион (Marion Correctional Institution (штат Огайо), далее MCI) тайно собрали два компьютера, спрятали их за подвесным потолком в служебном помещении, взломали сеть тюрьмы, получили возможность проходить в запрещенные для заключенных зоны и занимались нелегальной деятельностью в интернете. Все перечисленное стало возможно благодаря тому, что заключенные работали по программе Green Initiative, где занимались утилизацией различной электроники.
• Администраторы MCI начали замечать нечто странное летом 2015 года: аккаунт, принадлежавший одному из подрядчиков тюрьмы, стал превышать дневную квоту трафика. Затем похожее поведение стали демонстрировать учетные записи других сотрудников, в том числе в выходные дни, когда этих сотрудников вообще не было на рабочих местах. Хуже того, несколько дней спустя эти служащие стали предпринимать попытки уклониться от прокси, которые следили за трафиком. Подозрения администраторов дали старт полноценному расследованию, в ходе которого странную активность удалось отследить до компьютера, который фигурирует в отчете как -lab9-. Это имя совершенно не вписывалось во внутреннюю систему присвоения имен.
• В итоге подозрительный трафик проследили до 16 порта коммутатора, расположенного на территории тюрьмы, а затем обнаружили, что кабель, подключенный к устройству, уходит в один из соседствующих шкафов, а затем за подвесной потолок. За фанерными плитами потолка сотрудники MCI с удивлением обнаружили два работающих компьютера.
• На двух обнаруженных жестких дисках следователи нашли немало интересного: хакерские инструменты, легитимный софт, следы нелегальной активности. Криминалисты пишут, что были обнаружены самоподписанные сертификаты, аккаунты Pidgin, ссылки на различные Tor-сайты и следующий софт:
CC Proxy, Cain, Zed Attack Proxy (ZAP), #Wireshark, #NMap, ZenMap, Webslayer, JanaServer, Yoshi, AdvOr #Tor Browser, THC Hydra, Cavin, Paros, 3CXVoip Phone, #VirtualBox, TrueCrypt, CC Cleaner, VideoLan, Clamwin, phpBB, SoftEther VPN. OpenVPN и другой кастомый софт.
• Как оказалось, заключенные не просто «выходили в интернет», они перехватывали тюремный трафик, взломали аккаунты сотрудников и скомпрометировали сеть тюрьмы, получив доступ к системе Departmental Offender Tracking System. После этого они получили доступ к внутренним записям о других заключенных и смогли выпустить пропуска для доступа в закрытые зоны MCI.
• В интернете преступников тоже в основном интересовала криминальная деятельность: они читали статьи об изготовлении наркотиков и взрывчатки в домашних условиях, изучали схемы мошенничества с банковским картами и возвратом налогов, а также смотрели порно и общались с родными. Кстати, стоит сказать, чтение не прошло даром, в рамках мошеннической схемы преступники пытались выпустить кредитные карты на имена других заключенных, ведь недостатка в чужих личных данных не было.
• После того как все пятеро хакеров были идентифицированы, их разделили, и теперь они отбывают наказание в разных исправительных учреждениях.
• Источник: https://xakep.ru/2017/04/13/inmates-hackers/
#Разное
Доброе утро... 🫠
Держите важный совет, который поможет выжить в эту рабочую неделю.
#Юмор #Понедельник
• А вот и долгожданный конкурс. Как и обещал, победителям достанется бумажная версия книги "Реальная криптография".
• Условий никаких нет, просто нажимаете кнопку "Участвовать" и Вы в деле! Всего будет 2 призовых места, ну и доставку я возьму на себя.
• Итоги подведем в понедельник (08.07 в 19:00) при помощи бота, который рандомно выберет победителя. А через некоторое время попробуем разыграть какие-нибудь другие новые книги, которые будут полезны ИБ специалистам 🔥
#Конкурс
• Пожалуй, это лучшее средство от игровой зависимости...
#Юмор
• Новости к этому часу: На одном из хакерских форумов появилась компиляция из 10 млрд. уникальных паролей. Файл под названием rockyou2024.txt был опубликован 4 июля пользователем ObamaCare (скриншот выше).
• Объем файлика составляет 45 гб в архиве (156 гб без архива). Некоторые ребята уже начали качать и скоро зальют на торрент. Когда появится ссылочка, я обязательно репостну ее в канал или дополню данный пост 🔥
#Новости
👩💻 Powershell для пентестера.
• Интересный набор быстрых команд на Powershell:
- Захват нажатий клавиш;
- Извлечение профилей и паролей Wi-Fi;
- Извлечение сохраненных паролей браузера;
- Работа с сетью и выгрузка конфигураций;
- Выгрузка системной информации;
- Подробная выгрузка информации запущенных процессов;
- Доступ к журналам событий;
- Выполнение скриптов с указанного URL-адреса;
- Мониторинг изменений файловой системы;
- Отключение Защитника Windows....
➡️ https://redteamrecipe.com/powershell-tips-tricks
• Дополнительно:
- Awesome PowerShell — большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.;
- Windows PowerShell 5 — мини-курс описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10 [часть 1], [часть 2].
- PowerShell Security — полезная книга по безопасности PowerShell, которая была переведена нашим подписчиком с английского языка;
- PowerShell Commands for Pentesters — еще одна полезная статья, где описаны различные команды для пентестеров и ИБ специалистов.
#Powershell
👩💻 60 Linux Commands.
• Отличный видеоматериал, который содержит описание и примеры команд Linux для начинающих: https://youtu.be/gd7BXuUQ91w
• Ну, а если захотите продолжить изучение или освежить свои знания, то не забывайте про полезные руководства:
- Руководство по командам Linux.
- Краткий справочник по «всем-всем» командам Linux.
- Интерфейс командной строки Linux.
#Linux
💾 MenuetOS. Операционка, которая помещается на дискету.
• Давайте расскажу об операционной системе, которая существует с 2005 года, а её объем настолько мал, что она помещается на дискете. Как говорит нам «Википедия», MenuetOS не основана ни на Unix, ни на стандарте POSIX, ни на какой-либо другой операционной системе; задача проекта — исключить дополнительные уровни между различными частями ОС, которые обычно усложняют программирование и порождают баги.
• Эта ОС предназначена для написания приложений на 32-битном и 64-битном ассемблере x86, поскольку в результате программы получаются, как правило, более быстрые, более компактные и менее требовательные к ресурсам.
• Вот основные особенности системы:
- Вытесняющая многозадачность, многопоточность, защита памяти Ring3;
- Графический интерфейс (разрешение до 1920 × 1080, 16 миллионов цветов);
- Окна приложений произвольной формы, их прозрачность и настраиваемость при помощи скинов, функция drag’n’drop;
- Встроенное ПО: графический редактор Draw, медиапроигрыватель MediaPlayer, браузер (от разработчиков MenuetOS), FTP-клиент, программа для работы с электронной почтой, Necromancer's Dos Navigator (аналог «Проводника»); умеет запускать игры через эмуляцию DOS;
- Интегрированная среда разработки: редактор, макроассемблер для сборки ядра и приложений;
- Cтек TCP/IP с драйверами loopback, ethernet и PPP;
- Сетевые приложения включают в себя серверы FTP/HTTP/SMTP и клиенты IRC/HTTP/NNTP/TFTP;
- Выборка данных в реальном времени;
- Помещается на одной дискете в неупакованном виде;
- Для запуска MenuetOS достаточно 16 Мб памяти и видеокарты, поддерживающей стандарты VESA 1.2 или 2.0, при этом реализована поддержка 32 Гб оперативной памяти;
- Возможность русификации.
• Неплохо, правда? И всё это — в объёме дистрибутива, который в 2024 году кажется невозможно маленьким. Разработчики следят за проектом, не бросают его и периодически обновляют. А для желающих ознакомиться с MenuetOS, был подготовлен ISO-образ, который можно записать на флешку и вообще куда угодно.
• Кстати, отдельно стоит вспомнить о совместимости ОС с большим количеством более-менее современных аксессуаров, расширений и т. п. для компьютеров. Это, конечно, клавиатуры, мыши, веб-камеры, принтеры, сканеры, сетевые устройства. В операционной системе реализована поддержка USB 2.0, а в интернет можно выходить благодаря поддержке Ethernet. В общем, все условия для работы и игр (правда, ретро).
➡ http://www.menuetos.net
#Разное
Открытый практикум Linux by Rebrain: Память в Linux
Успевайте зарегистрироваться. Количество мест строго ограничено! Запись практикума “DevOps by Rebrain” в подарок за регистрацию!
👉Регистрация
Время проведения:
3 Июля (Среда) в 20:00 по МСК
Программа практикума:
🔹Эволюция памяти
🔹Страничная адресация
🔹Утилита free
🔹Файл /proc/meminfo
Кто ведёт?
Андрей Буранов – Системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ 3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2Vtzqw86Gsj
✈️ Фейковая точка доступа в самолете.
• В Австралии мужчина реализовал схему с поддельным Wi-Fi на авиарейсе, чтобы собирать пароли, учетные и персональные данные пассажиров.
• Авиакомпания заподозрила неладное и написала в полицию. Мошенника быстро задержали и изъяли у него портативный роутер, ноутбук и мобильный телефон. Когда дошло до обысков в доме, оказалось, что это далеко не первый случай.
• Мужчину обвинили во владении личными данными в корыстных целях. В настоящее время обвиняемый отпущен под залог, но ему запретили осуществлять некоторые действия в интернете. Вот такие дела...
➡️ https://www.afp.gov.au/
#Новости
• 402 Тбит/с — новый рекорд скорости интернета через оптоволокно. Таких результатов добились ученые национального института информационно-коммуникационных технологий Японии.
• Ученые использовали множество усилителей, чтобы достичь общей пропускной способности в 37,6 THz. Это более чем в 100 тыс. раз выше, чем позволяет WiFi 7.
➡️ Более подробная информация об исследовании описана вот тут: https://www.nict.go.jp/en/press/2024/06/26-1.html
#Разное #Новости
👨💻 Attacking Secrets.
• Secrets in private repositories;
- Scenario: An Attacker Scanning a Private Repository for Secrets;
- Example Commands and Codes;
• User Credentials in CI Pipelines;
- Scenario: An Adversary Exploiting CI Pipeline Credentials;
- Example Commands and Codes;
• Azure Key-Vault Authentication Abuse;
- Azure’s Documentation Overview;
• Practical Implementation: Azure’s Authentication Solution;
- Steps for Compromising Azure Key Vault;
• Azure Key Vault RBAC;
• Ansible Vault Secret;
- Generating a Hash for Cracking;
- Cracking the Hash;
- Decrypting the File;
• Vault-Backend-Migrator;
- Threats;
• Kubernetes Sealed Secrets;
• chamber;
• Vault Secrets Operator;
• Buttercup Weak Password;
• teller manipulate files;
• BlackBox;
• Conclusion;
- Attacker's Next Steps.
#devsecops
Открытый практикум DevOps by Rebrain: Шардирование elasticsearch
Успевайте зарегистрироваться. Количество мест строго ограничено! Запись практикума “DevOps by Rebrain” в подарок за регистрацию!
👉Регистрация
Время проведения:
17 Июля (Среда) в 20:00 по МСК
Программа практикума:
🔹Репликация
🔹Шардирование
🔹Настройка кластера elasticsearch
Кто ведёт?
Андрей Буранов – Системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ 3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2VtzqvH5fBv
⚙ Privacy tools.
• В современных условиях сохранение анонимности и приватности становится редкой привилегией для избранных — богатых или технически подготовленных граждан, которые могут поднять свой сервер и VPN, умеют настроить #Linux, шифровать файлы, использовать менеджеры паролей, браузер Tor и так далее.
• Но право на безопасные и приватные коммуникации должно соблюдаться в отношении не только техноэлиты, но и обычных людей.
• Приватность — безусловное право человека. Если какое-то отдельное государство пытается ограничить это право для своих граждан, то граждане могут сделать соответствующие выводы.
• По ссылке ниже можно найти полезные инструменты, которые помогут сохранить вашу конфиденциальность и приватность:
➡ https://github.com/cqcore/Privacy-Infosec-Tools-Resources
• Не забывай про уникальное руководство, которое содержит 160 страниц информации по защите личности в сети на различных ресурсах и приложениях. Скачать можно тут: /channel/S_E_Reborn/750
#Приватность #Tools
🎉 Результаты розыгрыша:
Победители:
1. Александр (@XEDDOM)
2. Nikita (@pieceofcupcake)
Проверить результаты
Вы специалист по информационной безопасности и часто сталкиваетесь с проблемами в конфигурации Windows AD? Вы чувствуете, что вам не хватает глубинных знаний о механизмах Kerberos и Acl-атаках, поэтому сложно своевременно обнаруживать и устранять ошибки?
Хорошие новости — после прохождения открытого урока «Acl атаки в Windows AD: теоретические основы» вы сможете находить и исправлять простые ошибки в конфигурации Windows AD. Вы будете понимать основные механизмы работы Kerberos, что значительно усилит вашу эффективность и повысит уровень вашей профессиональной компетенции.
Встречаемся 9 июля в 20:00 мск в преддверии старта курса «Пентест. Практика тестирования на проникновение». Все участники вебинара получат специальную цену на обучение!
Спикер — вирусный аналитик в международной компании.
Записывайтесь сейчас, а мы потом напомним. Участие бесплатно.
https://vk.cc/cxZdTq
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
🔐 Шифруем данные.
• Шифрование – это последний оплот цифровой свободы. Все почему? Потому что AES256 шифрование считается невозможным к дешифровке. Есть какие-то риски, что это сможет сделать квантовый компьютер. Но пока квантовые компьютеры – это как Палантир – есть только у Саурона. Когда квантовые компьютеры будут стоять у каждого товарища майора, тогда и поговорим. Да и то, на квантовый компьютер появится квантовое шифрование. Так что на каждую хитрую гайку найдется болт с левой резьбой.
• Но пока этого не случилось, как себя обезопасить? Я всем рекомендую VeraCrypt. За ней есть грешки, но постоянные патчи их оперативно устраняют. Можно, конечно, пользоваться олдскульным TrueCrypt (VeraCrypt – это его форк), но он больше не поддерживается. Есть еще ZuluCrypt, так что вариантов на самом деле масса. Выбирайте то, к чему душа больше лежит.
• Теперь о настройке. VeraCrypt нельзя использовать как есть, из коробки. Нужно проставить нужные галочки. В параметрах обязательно установите время размонтировки. Если вы ничего не делали с томом сколько-то времени, он автоматически размонтируется. Это полезно, если вы ушли в туалет и не размонтировали диски, или, не дай Бог, лежите в браслетах на холодном полу.
• Второе – очищать кэш паролей при выходе. Поясняю. Когда вы поработали с томом, не размонтировали его и закрыли крышку ноутбука, отправив его в сон, ваши пароли остаются в кэше и в случае чего их можно вытащить с помощью специального бубна и ритуальных танцев. Я думаю, что именно так силовики «вскрыли» архив одного известного журналиста. Ну или терморектальный криптоанализ. Тут даже квантовый компьютер не нужен.
• Ну и последнее. У VeraCrypt есть горячие кнопки. Можно назначить размонтирование даже на одну кнопку. Поэтому если товарищ майор начал внезапный штурм твоей двери из картона и палок – у тебя будет время превратить все архивы в тыкву.
#Шифрование
🕊 Голубиная почта.
• Автор YouTube-канала Джефф Гирлинг провёл необычный эксперимент. Он прикрепил три флэш-накопителя SanDisk Extreme PRO ёмкостью 1 ТБ к почтовому голубю и отправил его в канадский центр обработки данных. Энтузиаст утверждает, что голубь смог передать 3 ТБ данных на расстояние до 800 км быстрее, чем гигабитная оптоволоконная сеть.
• По словам блогера, интернет-провайдеры, как правило, позиционируют широкополосные интернет-соединения как предлагающие гигабитные скорости. Таким образом, данные должны передаваться со скоростью не менее 125 МБ/с, но у ютубера этот показатель не превышал 75 МБ/с.
• При этом голубю потребовалась минута, чтобы добраться до места назначения, которое находилось в 1,6 км от него. Герлинг добавил к этому показателю время, необходимое для переноса данных с флэш-накопителей в локальное хранилище, и сравнил его с передачей 3 ТБ данных через интернет-соединение.
• Он обнаружил, что перенос 3 ТБ на расстояние примерно до 800 км с помощью голубя займёт меньше времени. Затраченное время зависит от расстояния, которое голубю придётся преодолеть, тогда как на передачу данных через Интернет Герлингу потребовалось 10 часов и 54 минуты.
• В 2009 году южноафриканская фирма провела аналогичный эксперимент с голубем и накопителем ёмкостью 4 ГБ, сравнив его скорость с показателями самого быстрого интернет-провайдера Telkom. Компании удалось передать данные с помощью голубя на расстояние 96,5 км за 1 час и 8 минут, в то время как службе провайдера удалось выполнить только 4% загрузки.
#Разное
RockYou2024
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
🌚 @poxek
🌊 Будь на волне вместе с хостингом Aéza
— Профессиональная DDoS защита позволит Вам держаться на плаву;
— Круглосуточная премиум поддержка всегда готова скинуть спасательный круг;
— Почасовая оплата серверов от 0.02€ даст возможность протестировать каждый сервер, если Вы не уверены на чём плыть
— Низкие цены от 4,94€ за Ryzen 7950x3D всегда будут поднимать настроение вместе с морским бризом;
— БЕСПЛАТНЫЙ сервер Терминатор в браузере, для тех, кому не на долго
🤗 А также немного альтруизма в виде 15% кэшбека
🛡 Aéza — твой хостинг будущего, доступный уже сейчас
ООО «АЕЗА ГРУПП» ИНН: 7813654490 erid: 2VSb5wEpsTn
🧄 Общее введение в I2P.
• I2P, или Invisible Internet Project, — это на сегодняшний день самая анонимная сеть. Здесь мы можем ходить по сайтам и пользоваться сервисами, не раскрывая сторонним лицам ни байта своей информации.
• I2P построен по принципу оверлея, то есть анонимный и защищенный слой работает поверх другой сети — интернета. Одна из главных особенностей I2P — децентрализованность. В этой сети нет серверов DNS, их место занимают автоматически обновляемые «адресные книги». А роль адресов играют криптографические ключи, никак не выдающие реальные компьютеры. Каждый пользователь проекта может получить свой ключ, который невозможно отследить.
• Многие пользователи часто задаются вопросом, зачем использовать I2P, когда есть VPN и #Tor. Если сравнивать I2P с браузером Tor, можно выделить следующие различия:
- Tor использует «луковую» маршрутизацию, отправляя твой трафик через знаменитые восемь прокси, но при этом сам по себе никак не защищает от расшифровки. I2P, наоборот, опирается на шифрование трафика;
- Tor — большой любитель SOCKS, тогда как I2P предпочитает использовать собственный API. Что удобнее — решать тебе.
- Туннели I2P однонаправленные в отличие от Tor.
- Tor хоть и обладает свойствами пиринговой сети, но при этом централизованный. I2P полностью децентрализован.
• Это лишь основные отличия I2P от Tor. Но даже исходя только из них можно смело заявить о том, что I2P — более безопасный и анонимный вариант.
• Если вы никогда не сталкивались с I2P, эта статья — начало вашего пути к по-настоящему приватной и анонимной коммуникации; если вы бывалый энтузиаст скрытых сетей, этот обзор наверняка заполнит пробелы и поможет упорядочить уже имеющиеся знания. Содержание следующее:
- Отличие традиционной сети от скрытой;
- Базовое понимание криптографии;
- Общие принципы работы I2P;
- Построение туннелей;
- Модель взаимодействия;
- Практическое использование;
- Разработка протокола;
- Сравнение с другими сетями;
- Послесловие.
➡️ https://habr.com/ru/articles/552072/
#i2p #Анонимность
Как компании могут решать задачи по безопасности, когда дело касается их приложений?
Алексей Миртов, руководитель группы продуктов Security & Compliance в Yandex Cloud, и Рами Мулейс, менеджер продуктов безопасности Yandex Cloud, снова разбираются, как выстроить безопасную работу в облаке.
В новом выпуске подкаста «Безопасно говоря» ведущие поговорили об инструментах защиты приложений и их значимости для бизнеса с Антоном Антоничевым, ИТ-директором «METRO Россия», и Владимиром Прокопенко, экспертом по технической защите R-ONE.
➡️ Послушать выпуск можно по ссылке.
📶 How Container Networking Works: a Docker Bridge Network From Scratch.
• Вероятно, что это самое понятное руководство, которое описывает работу контейнеров с сетью. Слева читаете, копируете команды, а справа наблюдаете за консолью:
➡️ https://labs.iximiuz.com/tutorials/container-networking-from-scratch
#Docker #Сети
🔐 Реальная криптография.
• Весьма интересная книга по криптографии появилась в продаже у издательства Питер, а на хабре даже опубликовали одну из 12 глав: https://habr.com/ru/post/825934/
• Так вот, суть этого поста заключается в том, что я бы хотел разыграть парочку таких книг (в бумажном формате) между подписчиками этого канала. Розыгрыш будет без каких либо условий (т.е. подписываться на другие каналы не потребуется), нужно будет только принять участие и все.
• Если идея хорошая, то жмите на огонек🔥 и уже на этой неделе я организую конкурс (ориентировочно в субботу или воскресение).
• P.S. Книга отлично зайдет пентестерам, ИБ-консультантам, ИБ-инженерам, ИБ-архитекторам и прочим специалистам по информационной безопасности.
• P.S.S. Если Вам зайдет такой формат, то будем проводить такие конкурсы чаще и разыгрывать прикольные книги для ИБ специалистов.
#Криптография #Конкурс
🐍 Python для сетевых инженеров.
• В книге рассматриваются основы #Python с примерами и заданиями построенными на сетевой тематике. Задача книги – объяснить понятным языком основы Python и дать понимание необходимых инструментов для его практического использования. Всё, что рассматривается в книге, ориентировано на сетевое оборудование и работу с ним. Все примеры показываются на примере оборудования Cisco, но, конечно же, они применимы и для любого другого оборудования.
• Основы Python:
- Подготовка к работе;
- Использование Git и GitHub;
- Начало работы с Python;
- Типы данных в Python;
- Создание базовых скриптов;
- Контроль хода программы;
- Работа с файлами;
- Полезные возможности и инструменты.
• Повторное использование кода:
- Функции;
- Полезные функции;
- Модули;
- Полезные модули;
- Итераторы, итерируемые объекты и генераторы.
• Регулярные выражения:
- Синтаксис регулярных выражений;
- Модуль re.
• Запись и передача данных:
- Unicode;
- Работа с файлами в формате CSV, JSON, YAML.
• Работа с сетевым оборудованием:
- Подключение к оборудованию;
- Одновременное подключение к нескольким устройствам;
- Шаблоны конфигураций с Jinja2;
- Обработка вывода команд TextFSM.
• Основы объектно-ориентированного программирования:
- Основы ООП;
- Специальные методы;
- Наследование.
• Работа с базами данных:
- Работа с базами данных.
• Дополнительная информация:
- Модуль argparse;
- Форматирование строк с оператором %
- Соглашение об именах;
- Подчеркивание в именах;
- Проверка заданий с помощью утилиты pyneng;
- Проверка заданий с помощью pytest.
• Продолжение обучения:
- Написание скриптов для автоматизации рабочих процессов;
- Python для автоматизации работы с сетевым оборудованием;
- Python без привязки к сетевому оборудованию.
#Книга
🌍 Минитель: интернет до интернета.
• В 70-х телефонная сеть Франции была в руинах: прокладка одной местной линии занимала до трёх лет, а коммутаторы были ручными. Это значит, что прежде чем парижанин мог поговорить со своими родственниками в Марселе, ему нужно было пройти через телефонистку.
• Для справки, в то же время американская AT&T прокладывала новую линию за три дня, а коммутаторы были автоматическими. Посредники для связи между абонентами не требовались.
• Между тем, по всей Европе набирает популярность Видеотекс: разработка британской почтовой службы, эта клавиатура-терминал подключалась к телефонной сети и по запросу выводила на экран телевизора информацию из автоматизированных баз данных: погода, котировки акций, новости и афиши.
• В то же время французов сильно беспокоит монополия американской IBM на всё, что связано с коммуникациями. Так же, как сегодня им страшно, что Google убьёт французскую культуру, в 70-е они боялись IBM. Так появляется Минитель: Франция создаёт свой стандарт Видеотекса.
• К 1984 году более 6 миллионов французов использовали Минитель на повседневной основе: читали новости, переписывались, покупали билеты на поезда. Не отличались они от сегодняшних пользователей Сети и в главном: большую часть трафика занимали чаты для взрослых.
• Государственная телефонная компания 'France Télécom' раздавала терминалы бесплатно всем желающим. Расчёт был простым: со временем такой подход поможет сэкономить на дорогой печати телефонных книг. Да и при цене в 1 франк за минуту, технология быстро себя окупала.
• В 90-е, на пике популярности, Минитель насчитывал 7 миллионов терминалов и 25 миллионов активных пользователей — половина тогдашнего населения Франции. Для сравнения, 25 миллионов — общее количество пользователей сети Интернет в 90-е годы. По всему миру.
• Что можно было делать с помощью терминала Минитель? На самом деле, всё, что угодно, если это можно транслировать в текстовый интерфейс. Помимо уже упомянутых банковских сервисов или заказа еды на дом, люди даже умудрялись играть друг с другом в текстовые РПГ.
• Минитель не покинул Францию быстро:
- В 2007 технология всё ещё приносила 100 млн. долларов ежегодно;
- В 2010-м — уже половину этой суммы, причём большая часть прибытков шла на обслуживание провайдеров;
- В 2012 году Минитель прикрыли, но энтузиасты пользуются им и сегодня. Всё благодаря маленькой коробочке под названием MiniMit.
• MiniMit содержит электронную карту, которая подключается к сети Wi-Fi с одной стороны и к разъему DIN Minitel с другой, создавая тем самым мост между старыми и новыми технологиями.
• Этот мини-Минитель содержит десяток старых сервисов: телефонный справочник, игры, гороскопы, новости, и т.д. Настоящее возвращение в 80-е.
➡ Рекомендую к ознакомлению страницу MiniMit на Ulule (французский аналог Кикстартера) — там можно подробно посмотреть, как всё работает: https://fr.ulule.com/minimit/
#Разное
