49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Пост выходного дня: недавно обратил внимание на забавное исследование, в котором указано, что некоторые учёные начали оставлять в своих научных статьях скрытые промты для ChatGPT, чтобы нейросеть хвалила их работу.
• При проверке различного материала в сервисе arXiv (это электронный архив для изучения научных статей по различным направлениям) уже нашлись 17 работ от 14 ведущих вузов мира — в каждой статье были скрытые промпты, которые просили ИИ хвалить её и не подсвечивать минусы. Учёные в научных статьях прячут нужный промпт для ИИ в белом тексте минимального размера, а на выходе получают похвалы и восхищение их трудом от «прочитавших» статью ИИ-сервисов.
• Схема, если честно, не новая. Поэтому всегда проверяйте результат анализа \ ответа и внимательно читайте первоисточники, если пользуетесь ИИ.
➡️ https://asia.nikkei.com/business/hide-ai-prompts
#Al
🪟 Windows Home Server.
• 2007 год! Глава Microsoft Билл Гейтс представляет новинку. Она слишком необычная, чтобы сходу дать ей определение. Это серверная операционная система для домашних пользователей. И первый же вопрос, который возникал у любого потенциального покупателя, — зачем она нужна?
• Тут стоит заострить внимание на время. В 2007 году компьютеры, конечно, уже начинали становиться массовым явлением, но чтобы дома держать серверы… Конечно, такое встречалось, но не часто, в основном у энтузиастов. В целом, у подавляющего большинства пользователей попросту не было столько данных, чтобы выделять под них отдельный сервер. Все хранилось на флешках и внешних жестких дисках.
• Правда, была одна категория пользователей, кому нужно много файлового пространства. В основном это касалось любителей качественной музыки. Если до середины 2000-х оцифровка в популярные lossy-форматы вроде MP3 или WMA была вполне приемлемым решением, то с выходом на арену lossless к ним стали проявлять все больше интереса. Внезапно оказалось, что можно сохранять свою коллекцию музыки во FLAC и наслаждаться таким же качеством, как и при воспроизведении с оригинального носителя. Но это же означало и то, что теперь музыкальные коллекции стали занимать сотни гигабайт, которые нужно было где-то хранить.
• Не отставало и видео. Чем лучше качество, тем больше требовалось пространства на диске. Решение казалось очевидным — технологии хранения массивов данных уже давно прекрасно работали на серверном оборудовании. Но вот как добиться того, чтобы обычный пользователь смог разобраться в настройке? Windows Home Server (WHS) стал решением этой задачи.
• Несмотря на то, что WHS полностью обособленная серверная система, у нее есть отдельный «клиент» под названием Windows Home Server Connector. После того как Connector установлен, в меню появляется отдельный пункт, позволяющий открыть консоль управления сервером. Таким образом можно управлять домашним сервером с любого устройства из локальной сети.
• Еще был Drive Extender - это утилита для обьединения в пулы дисков под Microsoft Windows. Поддерживаются файловые системы NTFS и ReFS, кроме того в пул можно добавлять даже сетевые диски. Диски добавляются "на лету" обязательное форматирование не требуется. Идея проста и гениальна. Обычному пользователю не нужно думать над тем, как грамотно организовать управление физическими дисками. Всю головную боль на себя берет DE, распределяя файлы по накопителям.
• Не менее важной была возможность создавать бэкапы компьютеров и хранить их централизованно. В составе коннектора был агент резервного копирования, который управляется удаленно. Иными словами, можно запустить архив каждого ПК прямо из консоли WHS.
• Еще одной полезной функцией WHS является медиасервер. Три щелчка мышью — и у вас есть готовый сервер потокового вещания, позволяющий без проблем слушать музыку, смотреть видео и фотографии напрямую с сервера. Никаких сложных настроек — все работает «из коробки».
• Если посмотреть на WHS, то идеи, заложенные в нем, значительно опередили свое время. Несмотря на все усилия маркетологов, домашняя серверная ОС была попросту не нужна рядовому потребителю. Стоимость в 100 $ не особенно вдохновляла на покупку, да и профит на тот момент казался сомнительным.
• Вместе с этим на рынке начали появляться NAS-серверы, которые «из коробки» предоставляли удобный интерфейс для быстрого создания дискового хранилища. Ну а распространение широкополосного доступа к интернету и развитие облачных сервисов вроде Dropbox сделали WHS бесполезным для большинства пользователей. Да, объемы данных стали расти, но теперь они не хранились локально, а размещались на удаленных серверах.
• Финал истории был предсказуем. Релиз WHS 2011 состоялся 6 апреля 2011, а спустя всего 5 лет, 12 апреля 2016, поддержка была прекращена. На этом история Windows Home Server подошла к концу.
#Разное
• C июля 2024 года по июнь 2025 года Microsoft выплатила рекордные $17 млн. 344 исследователям безопасности из 59 стран в рамках своей программы вознаграждений за обнаружение уязвимостей. Исследователи представили почти 1,5 тыс. отчётов об уязвимостях. Максимальная индивидуальная награда достигла $200 тыс.
• Отчёты экспертов помогли устранить более 1 тыс. потенциальных уязвимостей безопасности в различных продуктах и на платформах американской корпорации, включая Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Edge и Xbox.
• Указано, что за предыдущий период Microsoft выплатила $16,6 млн. 344 исследователям безопасности из 55 стран. По сравнению с Apple, которая платит за критич. уязвимости по $1000, это действительно много 😁
➡️ https://msrc.microsoft.com/blog/bounty
#Новости #bb #Microsoft
🎮 Хорошо забытое старое.
• Сервисы, предоставляющие пользователям игры по подписке, — вроде бы новая идея. Но на самом деле еще за 40 лет до появления сервиса Game Pass от Microsoft некоторые компании предлагали нечто похожее.
• Начало подписного бума положила компания Mattel. Она представила PlayCable — периферийное устройство для консоли Intellivision (на фото). Девайс подключал пользователей к постоянно обновляемому каталогу игр за $12,95 в месяц. Игр было много, среди них встречались очень популярные, вроде Utopia.
• Проект PlayCable не был локальной инициативой. В его реализации приняли участие 13 кабельных провайдеров США. Компания также платила за рекламу знаменитостям — все как сегодня. Например, компания заплатила известному бейсболисту того времени за участие в нескольких рекламных роликах, выходивших на экраны в 1982 году.
• PlayCable был главным, но не единственным игроком рынка игровых сервисов того времени. Не обошлось и без конкурентов, один из которых, GameLine, стал партнером Atari в 1983 году. Сервис был совместим с Atari 2600, причем подключение к нему обходилось лишь в $60 за периферийное устройство, Master Module, плюс $15 за активацию сервиса. Подписки не было, вместо этого геймеры платили повременно — $1 в час за игру.
• В том же 1983 году появилось еще одно решение от The Games Network. Компания не подключала консоли геймеров к сети. Вместо этого она предлагала собственное игровое устройство, которое представляло собой нечто похожее на ПК. Можно даже сказать, что в некотором смысле она предлагала пользователям тонкий клиент. Сам по себе он ничего почти не умел и был полностью завязан на сетевые функции. Компания тоже не была маленькой — ее сервис предлагался жителям США, Канады, Великобритании и Германии.
• И это еще не все, у Канады была своя собственная стриминговая игровая сеть. Она называлась Nabu, а слоганом ее была фраза «Переключись на умный ТВ!».
• Но вернемся к PlayCable — это был объединенный проект компании General Instrument, разработавшей специализированные адаптеры для кабельных сетей. Систему от PlayCable подключали кабелем сначала к приставке Intellivision, а потом — к устройству поставщика услуг кабельного ТВ. После подключения данные передавались в FM-диапазоне.
• При включении системы на экране ТВ появлялось приветствие с подключением к «умному» телевидению. Сервис был быстрым, его основа — алфавитный каталог игр, загрузить которые можно было за считанные секунды. Понятно, что их размер был чрезвычайно мал, но все же.
• Было еще одно важное отличие от современных консолей — у приставок того времени не было внутренней памяти, все загружалось в оперативную. Так что игру нужно было скачивать и загружать при каждом запуске PlayCable.
• Что касается устройства от Games Network, то оно не подключалось к консолям и представляло собой полноценную игровую систему, к которой можно подключать дисководы, принтер, джойстики и другую периферию. Подключение к каталогу производилось через модем и телефонный кабель. Подключаться можно было и к другим компьютерным сетям.
• PlayCable, GameLine и The Games Network были очень современными сервисами. Они предлагали клиентам каталог сетевых игр более чем за десять лет до появления всемирной паутины. К сожалению, ни одна из этих компаний не пережила 1984 года.
• Одна из причин — технические сложности, ведь нужно было договариваться с операторами кабельной связи и платить им. Вторая причина — достаточно дорогая подписка. Третья причина — разногласие между партнерами Mattel и General Instrument. Проблема привела к тому, что оборудование для подключения к сети не обновлялось, инфраструктура не модернизировалась, так что пользователи не могли играть в более поздние игры.
• Ну а потом начался крах, начало которому положил 1982 год. Этот и последующие годы стали кошмарным временем для индустрии видеоигр. Компании выходили из проектов, подразделения продавались и покупались. Было уже не до игровых сетей. Вот так и зарождались сервисы по подписке...
#Разное
🌩 Приватность в облаках.
• Вы все прекрасно знаете, что «Защищенные облака» бывают только в сказках. Поэтому не ведитесь на «швейцарскую юрисдикцию» или «военный уровень шифрования». Это чистой воды маркетинг, чтобы завлечь доверчивого мамонта, которому есть что скрывать.
• Ну вот прикиньте ситуацию. Вы открыли свое облачное хранилище. Самое защищенное и самое приватное в мире. И, естественно, весь кибер-сброд стал покупать у вас хранение, потому что вы никогда и никого никому не выдадите. Пройдет год и у вас на дисках скопится куча прона крайне сомнительного содержания: украденные файлы, сэмплы вирусов, может быть, даже документы бородатых людей определенного рода деятельности. В общем, помойка будет лютая.
• Поэтому после очередной «ситуации» специалисты «откуда надо» узнают, что все бармалеи мира хранят данные у вас. Что будет дальше? К вам придут с требованием начать сотрудничество. Или вы станете соучастником. И тут вы начинаете думать о сделке с совестью. Либо вы идейный товарищ, борцун за анонимность и никого не сдадите – тогда вам не поздоровится. Причем за чужие грехи. Либо вы всех сдаете, но после этого ни о какой «приватности» на вашем сервисе речи больше быть не может.
• Примерно такой сюжет происходит с каждым владельцем облаков. Либо вы сканируете файлы своих клиентов на предмет запрещенки, либо у вас скоро не будет никакого бизнеса. Так что приватность – это большая ложь. Приватности быть не может. Это я уже доказал на простом примере. Но что делать, если приватность нужна, а к удобствам пользованием облаком вы уже привыкли?
• Все просто. Вам нужен Cryptomator. С его помощью вы прямо внутри облака можете делать защищенный контейнер, в котором файлы шифруются на лету. Проще говоря, это облако, которое шифруете вы сами. И работать с ним удобно. Взяли самое дешевое (или даже бесплатное, sic!) облако (хоть Google Drive, хоть богомерзкий OneDrive или Dropbox) и сделали на нем контейнер. И все, пользуйтесь! Плюс Cryptomator бесплатный. Чего еще пожелать?
➡️ https://cryptomator.org
#Cloud #Tools #Security
• Многие считают, что основоположником социальной инженерии считается Кевин Митник, который получал доступ к информации не только при помощи технических средств, но и при помощи психологических методов и приёмов. Согласны вы с этим мнением, или нет, решать только вам.
• Митник родился 6 Августа 1963 года. Сегодня ему бы исполнилось 62 года, однако 16 июля 2023 Кевин скончался от тяжелой болезни... Он был самым известным хакером 90-х годов, он проникал во множественные правительственные и корпоративные системы. Ему противостояли лучшие специалисты ФБР по информационной безопасности, которые в итоге смогли достать Кевина и осудить по всей строгости закона.
• Вот некоторая хронология ранних хаков Митника:
➡12 лет — первые мошенничества с телефоном;
➡15 лет — подделка автобусных билетов;
➡16 лет — взлом школьной компьютерной сети и взлом радиосвязи Макдональдса;
➡17 лет — первое незаконное проникновение на территорию Pacific Telephone и первый условный срок;
➡18 лет — взлом Университета Южной калифорнии, арест;
➡25 лет — первый тюремный срок — 12 месяцев, запрет пользоваться телефоном;
➡28 лет — взлом телефона Novatel (с использованием соц. инженерии), что позволяло менять Митнику ESN.
• В 2002 году Митник основал свою собственную компанию по информационной безопасности под названием Mitnick Security Consulting LLC. Организация предоставляла услуги по тестированию на проникновение, аудиту безопасности, обучению персонала и разработке политик безопасности для различных клиентов, включая правительственные, военные и корпоративные организации.
• С момента смерти Митника на хабре публиковалась его биография, которую описали в мельчайших подробностях. Материал очень объемный и рассчитан на несколько часов времени. Если интересно, то переходите по ссылкам ниже.
➡Часть 1: Бурная юность тёмного гения;
➡Часть 2: Кондор учится летать;
➡Часть 3: «Фортуна повернулась ко мне задом»;
➡Часть 4: Самый странный повод взломать военных;
➡Часть 5: Призрачный номер и загадочный хакер;
➡Часть 6: Кошки-мышки с федералами;
➡Часть 7: Призрак в маске мертвеца;
➡Часть 8: Вконец обнаглевший подпольщик;
➡Часть 9: Туман Сиэтла, саспенс и чёрный вертолёт;
➡Часть 10: Киберсамурай выходит на охоту;
➡Часть 11: Глазами оскорблённого охотника;
➡Часть 12: В сжимающемся кольце охоты;
➡Часть 13: Хакер в объятиях системы;
➡Часть 14: Из изгоев к звёздам.
#SE #Митник #Разное
Открытый практикум Linux by Rebrain: Initial RAM disk в Linux
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉Регистрация
Время проведения:
14 августа (четверг) в 20:00 по МСК
Программа практикума:
▪️ Процесс загрузки Linux
▫️ Роль, формат и содержимое initial RAM disk
▪️ Инструменты создания initrd: dracut, initramfs-tools
▫️ Initrd встроенный в ядро — как поместить всю ОС в один файл
Кто ведёт?
Даниил Батурин — основатель проекта VyOS, системы для корпоративных и провайдерских маршрутизаторов с открытым исходным кодом.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFHAJZKv
• Все слышали историю Джеймса Хауэллса? В 2013 он выбросил в мусорное ведро жесткий диск, который, скорее всего, теперь является самым дорогим в мире.
• В ящике стола у Хауэллса хранились два 2,5-дюймовых HDD, от одного из которых он собирался избавиться. А в другом был кошелек с 7500 биткоинами. К сожалению для Джеймса, на свалку, как оказалось, отправился именно второй HDD...
• В 2017-м году, когда цена биткоина подскочила до $13 тысяч, Джеймс впервые вспомнил про свой HDD, решил попробовать его подключить, и понял, что натворил. Тогда у него сразу же появился первый план. Джеймс подал прошение в городской совет своего города, Ньюпорта, чтобы они разрешили ему копаться на местной свалке.
• Изучая динамику движения мусоровозов за прошедшие годы, Хауэллс с товарищами смогли сузить область поиска до 200 квадратных метров свалки. Глубина мусора там составляет около 15 метров. В конце концов выходит, что предстоит обыскать примерно 300 тысяч тонн мусора. А если диск находится в одном из верхних слоев — тогда «всего лишь» 100 тысяч тонн.
• Несмотря на отчаянное планирование операции по спасению диска, власти города не разрешили ему провести раскопки. По их мнению, такая процедура обойдется в миллионы фунтов, и может вызвать «необратимое воздействие на окружающую среду». В ответ Хауэллс предложил заплатить правительству четверть от найденного сокровища, на тот момент 55 миллионов фунтов (около $76 миллионов). Но даже это не убедило городские власти.
• В феврале этого года Хауэллс сообщил о планах приобретения мусорного полигона, чтобы всё же найти жёсткий диск. Накануне этого городской совет объявил о намерении закрыть свалку, чтобы построить на части её территории солнечную ферму. Уже в марте суд отклонил последнее ходатайство жителя Ньюпорта.
• По итогу Джеймс смирился и прекратил поиск... Если смотреть на текущий курс btc, то его кошелек имел общую стоимость более чем 860 млн. баксов.
#Новости #Разное
🖼 Происхождение тега IMG.
• На прошлой неделе рассказывал вам про первый в истории веб браузер, где упоминался NCSA Mosaic. Дело в том, что Mosaic был легендарным "продуктом". Летом 1993 года, всего за несколько месяцев после выхода, Mosaic изменил представление не только о браузерах, но и о WWW в целом.
• Mosaic сделал веб более приспособленным для сотен тысяч людей, впервые выходящих в онлайн. Конечно, Mosaic было легко установить на любой ОС. Он был чрезвычайно прост в использовании. Но большую роль в этих изменениях сыграл тег IMG.
• Конечно, за несколько месяцев до его выхода никто не знал, насколько браузер станет популярным. Mosaic был разработан в Национальном центре суперкомпьютерных приложений (NCSA). Разработкой руководил Майк Андриссен, в ту пору ещё бывший студентом, вместе с сотрудником NCSA Эриком Бина.
• При разработке первой версии Mosaic у него с Бином было множество идей. Они верили, что будущее сети зависит от более полной поддержки графики. В то время доступ к картинкам пользователи могли получать только через ссылки. Если на странице была картинка, пользователь щёлкал по ссылке, и она открывалась в новом окне. Андриссен и Бина представляли, как браузер может показывать картинки прямо в тексте веб-документов. Без лишних кликов.
• В то время существовало всего 18 элементов HTML. Ни один из них не подходил для задачи Андриссена. Поэтому в феврале 1993 года Андриссен в списке рассылки www-talk, популярном среди разработчиков сети, запостил новую тему. В ней он между делом предложил новый элемент HTML:
I’d like to propose a new, optional HTML tag:
IMG
Required argument is SRC=”url”.
aud для audio.<a>, а не вводить совершенно новый тег. Он считал, что веб должен быть гибко настраиваемым, и представлял мир, в котором пользователи возятся со своими браузерами, чтобы они демонстрировали страницы так, как им нравится. И строгий тег IMG не вписывался в эту картину.IMG в релиз, и не собирались менять синтаксис и поддержку. Встраиваемые в страницу изображения были наивысшим приоритетом для их браузера, и на это уже ничто не могло повлиять.IMG и SRC вместо IMAGE и SOURCE – вините в этом настойчивость программистов Mosaic. Вот так мы получили тег IMG, сокращения и всё прочее. Андриссен был на рынке первым, и очень сложно спорить с успехом. Уже скоро это стало традицией для браузеров и стандартов. Сначала что-то внедряли браузеры, а затем подтягивались и стандарты.
• Скам через тестовые задания на собеседованиях уже в прошлом. Злоумышленники пошли дальше и теперь скамят в первый рабочий день 😁
• Недавно на linkedin появилась забавная история (на скриншоте), которую опубликовал Kjartan Manvelyan. Ему предложили хорошую и высокооплачиваемую работу. Он прошел собеседование, созвонился с менеджером и получил оффер. В свой первый рабочий день нашего героя пригласили в Slack, где была целая команда разработчиков и других специалистов. Они общались между собой, направляли отчеты и актуализировали статусы по проектам.
• Всё было прекрасно, пока Kjartan не начал замечать странные вещи: разработчики в Slack отвечали максимально быстро на вопросы менеджеров (в туже минуту), на идеальном английском, с идеальной грамматикой и форматированием сообщений. А еще некоторые сообщения не имели никакого смысла, как будто сообщение пишет не живой человек, а ChatGPT... Оказалось, что именно так и есть.
• Это был целый "стартап", где в Slack общались боты и симулировали рабочую деятельность, а скамеры требовали от настоящих работников установить вредоносное ПО для кражи данных и криптовалюты.
• Но в случае с нашим героем все обошлось. Он вовремя заметил неладное и начал задавать различные вопросы, которые были связаны с подписанием документов при трудоустройстве. В конечном итоге его кикнули из Slack и больше с ним никто не связывался... Такие вот дела.
#СИ #Фишинг
• Новая книга по Kali Linux поступила в продажу чуть раньше, чем было заявлено издательством. По хорошей традиции этого канала предлагаю разыграть 5 книг в бумажной версии!
Краткая и понятная методика применения Kali Linux для тестирования кибер- безопасности, основанная на опыте Рика Мессье, не имеет себе равных. Эта книга — превосходное руководство, подходящее для новичков, и источник ценной информации для всех специалистов по безопасности.
• Нашел на GitHub преднамеренно уязвимое банковское веб-приложение, которое содержит множество дыр в безопасности. Такие проекты помогают получить бесценный опыт ИБ специалистам, пентестерам, DevSecOps и программистам, в части поиска уязвимостей и безопасной разработки. На текущий момент веб-приложение содержит более 40 уязвимостей (на скриншоте выше), которые вам придется найти. Если не справляетесь или недостаточно опыта, то у автора есть подробный гайд по прохождению:
➡️ GitHub;
➡️ cyberpreacher_/hacking-vulnerable-bank-api-extensive-d2a0d3bb209e">Руководство [VPN].
• Кстати, там еще есть уязвимое мобильное приложение. На сколько оно дырявое не указано, да и подробного гайда нет, но если вам интересно, то забирайте по этой ссылке.
#AppSec #ИБ #Web #Пентест
• А вы знали, что Mercedes - это не только автомобили, но еще и пишущие машинки? В 1906 была такая компания Mercedes Büromaschinen GmbH, которую основал Густав Мец в Берлине. Первая печатная машинка под маркой Mercedes была выпущена в 1907 году. Это был механический аппарат, который отличался высокой точностью и надежностью. Машинка получила название Mercedes Typewriter, и она быстро завоевала популярность среди деловых людей и писателей того времени.
• Сразу после открытия предприятия по производству машинок концерн Daimler-Motoren-Gesellschaft (известный производитель автомобилей под торговой маркой Mercedes) подал иск против завода Густова Меца. Автогигант оспаривал право на использование испанского женского имени в качестве наименования продукции. Судебные разбирательства продолжались до 1913 года, пока стороны не достигли соглашения, согласно которому производитель печатных машинок, если решит расширить свой бизнес и начнёт производить транспортные средства, не сможет использовать марку Mercedes для обозначения автомобилей, аналогичные ограничения касались и истца.
• Печатные машинки от Mercedes имели ряд особенностей, которые делали их уникальными и привлекательными для пользователей. Одним из главных преимуществ печатных машинок Mercedes была их безупречная сборка. Эти устройства изготавливались с использованием высококачественных материалов и проходили строгий контроль качества. Это обеспечивало их долгую службу и надежность в эксплуатации. Некоторые модели печатных машинок Mercedes имели уникальные функции, такие как автоматическая подача бумаги, регулировка интервала между строками и возможность смены шрифта.
• Кстати, важным фактором успеха печатных машинок Mercedes была репутация самого бренда. Само имя Mercedes уже тогда ассоциировалось с качеством и престижем, что автоматически повышало доверие к продукции, независимо от сферы применения.
• Настоящий прорыв произошел ближе к 1930-м годам, когда компания выпустила первую электрическую печатную машинку Mercedes Elektrik. Этот аппарат стал настоящим хитом своего времени. Он был оснащен электромотором, который позволял печатать тексты значительно быстрее и удобнее.
• Электрическая печатная машинка Mercedes Elektrik стала символом прогресса и инноваций в мире офисной техники. Она использовалась в крупных корпорациях, государственных учреждениях и даже в армии. Благодаря своему качеству и надежности, эта модель оставалась популярной вплоть до середины XX века.
• Последняя пишущая машинка под брендом Mercedes была выпущена в 1961 году. Сегодня печатные машинки Mercedes являются редкостью и ценятся коллекционерами. Они напоминают о том времени, когда офисная техника была не просто средством работы, но и предметом искусства.
➡ К слову, на Ebay можно найти машинку в хорошем состоянии за 350 баксов: https://www.ebay.com/itm/186490909478
#Разное
• На хабре недавно опубликовали очень хороший лонгрид по Docker, в котором описаны механизмы контейнеризации + примеры, эксперименты и реализация. Подойдет новичкам, кто хотел погрузиться в данную тему.
• Краткое содержание:
➡Chroot как первый популярный механизм, с помощью которого можно изолировать процесс в контексте файловой системы;
➡Namespaces как механизм, представляющий собой прослойку между желанием процесса получить ресурс и самим ресурсом;
➡Cgroups как ещё один механизм изоляции процессов, но только уже в контексте физических ресурсов системы;
➡OverlayFS как способ экономить место за счёт хитрой работы с файловыми системами контейнеров. Самое главное, поняли почему Docker слоёный пирог :);
➡Стандарт OCI как вещь, на которой держится вся современная контейнерная инфраструктура и утилиту runC, являющуюся эталонной реализацией OCI.
➡ Читать статью [33 min].
• Не забывайте про дополнительный материал:
➡Docker Security - очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Docker с нуля: бесплатный курс от Select;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.
#Docker
🎉 Результаты розыгрыша:
🏆 Победители:
1. OnyxRed (@onyx_red1980)
2. Макар (@mspirin)
3. 4D61686F75 (@akinoiro)
4. Саша (@apprilepin)
5. Johny (@JohnyKurgan)
✔️Проверить результаты
Сегодня «Лаборатория Касперского» выпустила первую коммерческую версию Kaspersky NGFW!
В релизе много новых фич, часть из которых доработана по итогам пилотных проектов второй беты, которую коллеги выпустили в апреле этого года.
Самое важное в коммерческом релизе:
* Detection Rate 95% у IDPS*
* Производительность 180 гбит/сек в режиме L4 со включенным Application Control**
* 7000+ поддерживаемых сигнатур у IDPS
* User-aware политики
* FQDN в качестве destination в правилах межсетевого экрана
* Динамическая маршрутизация (BGP, OSPF)
* DHCP relay
Была проведена значительная работа по улучшению стабильности работы отказоустойчивого кластера active-passive на базе собственного протокола KHCP (Kaspersky High-availability Cluster Protocol) и добавлена поддержка мониторинга интерфейсов в кластере.
В коммерческой версии 3 модели оборудования серии KX: 100, 400 и 3500, можно выбрать модель по необходимой производительности. Все железо форм-фактора 1U – для экономии места в стойке. В будущем релизе 1.1 появится еще одна модель оборудования KX-1000.
Отдельно хочется отметить понятную и прозрачную политику лицензирования. Важный факт для корпоративных клиентов: если лицензия истекает, решение остается работоспособным, но обновление локальных баз и взаимодействие с Kaspersky Security Network становится недоступным.
Стоит также напомнить, что решение управляется централизованно через консоль OSMP, поддерживает различные XDR-сценарии, интегрируется с песочницей Kaspersky Anti Targeted Attack, а в основе решения производительный Stateful Firewall, продвинутая SSL/TLS-инспекция и данные Kaspersky Threat Intelligence.
Узнать все о возможностях решения, ознакомиться с методикой тестирования и записаться на пилот можно на странице решения.
* Данные IXIA BreakingPoint, Strike Level 3 и 5, 2521 попытка атак
** Тестирование проводилось с 20 000 правил Firewall и включенным логированием
• Нашел бесплатный курс по SQL с множеством объемных уроков, которые включают в себя необходимую теорию, практические занятия в редакторе Mode от полных новичков до продвинутых спецов SQL, включая всю базу (SELECT, WHERE, ORDER BY, LIMIT и логические операторы), а также продвинутые темы (агрегирующие функции, GROUP BY, HAVING, соединение таблиц). В проекте доступен симулятор на реальных данных, A/B тестирование и инсайты продукта.
➡️ https://mode.com/sql-tutorial
• P.S. Не забывайте про текстовую игру SQL Noir. По сюжету вы будете выступать в роли детектива, которому необходимо решить определенный пул задач, анализируя улики в базе данных. Есть задачи для начинающих, продолжающих и продвинутых пользователей.
#SQL
• Как уже было сказано ранее, 6 августа 1991 года Тим Бернерс-Ли запустил первый в мире веб-сайт на первом в мире веб-сервере, доступном по адресу info.cern.ch. Ресурс определял понятие «Всемирной паутины», содержал инструкции по установке веб-сервера, использования браузера и т.п. Этот сайт также являлся первым в мире интернет-каталогом, потому что позже Тим Бернерс-Ли разместил и поддерживал там список ссылок на другие сайты. Это было знаковое начало, которое сделало интернет таким, каким мы его знаем сейчас.
• А началось всё с того, что Тим работал в ЦЕРН (европейской лаборатории по ядерным исследованиям в Швейцарии). Там он разработал программу Enquire ("справочная" или "записная книжка"), которая использовала метод случайных ассоциаций. Принцип ее работы, во многом, явился основой для создания Всемирной паутины. Основная задача этой программы заключалась в публикации гипертекстовых документов, которые были бы связаны между собой гиперссылками. Это позволяло заметно облегчить поиск информации, ее систематизацию и хранение. Первоначально предполагалось, что проект будет реализован во внутренней сети CERN для локальных исследовательских нужд, как современная альтернатива библиотеке и другим хранилищам данных. При этом, загрузка данных и доступ к ним были возможны с любого компьютера, подключенного к WWW.
• Несмотря на скептическое отношение старших коллег, в 1989 году проект, получивший название «World Wide Web» был утвержден и реализован. Осенью 1990 года сотрудники CERN получили в пользование первый «веб-сервер» и «веб-браузер», написанные собственноручно Бернерсом-Ли в среде NeXTStep. Летом 91-го года проект WWW, покоривший научный мир Европы, пересёк океан и влился в американский Internet.
• Именно так, ровно 34 года назад, появился первый в мире веб-сайт, на который вы можете зайти по адресу info.cern.ch.
• К слову, работа над проектом продолжалась с 1991 по 1993 год: разработчики собирали отзывы пользователей и на их базе осуществляли доработку всемирной паутины. В частности, уже тогда были предложены первые версии протоколов URL (как частный случай идентификатора URI), HTTP и HTML. Также был внедрен первый веб-браузер на основе гипертекста World Wide Web и редактор WYSIWYG.
• Одним из ключевых свойств WWW всегда считалась децентрализация узлов. Как и у прародителей интернета (сетей ARPANET и NSFNet), она обеспечивала надёжность функционирования, отсутствие географических границ и политических барьеров. Так то...
#Разное
• Если помните, то несколько месяцев назад я делился с вами очень крутым материалом, где подробно описан опыт автора по ручному развертыванию Kubernetes без использования автоматизированных инструментов. Так вот, есть еще одна статья, не менее интересная и полезная. На этот раз автор описывает настройки аудита в Kubernetes, его возможности и примеры конфигураций, которые помогут вам сформировать эффективную политику аудита для вашего кластера.
➡Что такое аудит;
➡Политика аудита;
➡Параметры фильтрации;
➡Уровни логирования;
➡Стадии omitStages;
➡Подавление системного шума;
➡Фильтрация по пользователям;
➡Защита чувствительных данных;
➡Детализация для важных API;
➡Настройка API-сервера;
➡Заключение.
#Kubernetes
🪟 Кнопка «Пуск».
• А вы знали, что до появления Windows 95 работа с компьютером для большинства сводилась к набору команд в командной строке MS-DOS? А то, что кнопка "Пуск" впервые появилась в Windows 95?
• Дело в том, что Windows 3.11, предшественница 95-й версии, хоть и предлагала графический интерфейс, все равно опиралась на MS-DOS как на базовую операционную систему, требуя загрузки DOS перед запуском Windows.
• Windows 95 же стала первой операционной системой Microsoft, предлагавшей полностью графический интерфейс. Она объединила MS-DOS и Windows в одну операционную систему, упрощая процесс установки и использования.
• Кнопка «Пуск», ставшая символом Windows 95, также сыграла ключевую роль в успехе ОС. Она помогла легко находить программы и управлять задачами. Меню «Пуск» стало настолько привычным, что его отсутствие в Windows 8 вызвало бурю недовольства среди пользователей.
• Панель задач, расположенная вдоль нижней части экрана, стала ключевым инструментом для управления открытыми окнами. Она позволяла быстро переключаться между приложениями и обеспечивала наглядность работы. В Windows 95 пользователи получили удобный способ контроля над своими задачами, которого не было ни в Windows 3.x, ни в Macintosh того времени. Для сравнения, в Mac OS диспетчер задач, напоминающий функциональность панели задач, появился только в OS X Beta в 2000 году. На фото выше можно посмотреть, как выглядел интерфейс Win95 и кнопка "Пуск" того времени...
#Разное
• Очень содержательный список из 10 наиболее распространенных угроз LLM от OWASP. По ссылке ниже можете скачать полноценный PDF, где у каждого пункта есть описание, примеры, сценарии атак и меры предотвращения.
• По сути, это актуальный и всеобъемлющий материал, который охватывает ключевые риски, уязвимости и методы их устранения для защиты генеративного ИИ и LLM-приложений на всех этапах их жизненного цикла: разработки, развертывания и управления. Будет крайне полезно DevSecOps, разработчикам, пентестерам и ИБ специалистам. Содержание на скриншотах.
➡️ https://genai.owasp.org/download/46133
#LLM #DevSecOps #Security
• Вероятно, что вы уже слышали о том, что на презентации WWDC 2025 Apple анонсировала свою систему контейнеризации, которая позволяет запускать изолированные дистрибутивы Linux в виртуальной среде на устройствах с Apple Silicon. Проект называется container, и если выражаться простыми словами, то это альтернатива #Docker, сделанная самими Apple. Но речь немного не об этом...
• В блоге Kali Linux опубликована информация, что теперь Kali можно запускать на macOS Sequoia как раз с помощью container. Кстати, там еще есть подробная инструкция с описанием всех действий для запуска Kali. Таким вот образом у нас появился быстрый способ запустить контейнеры Kali на macOS.
➡️ https://www.kali.org/blog/kali-apple-container-containerization/
• P.S. Ну и если вы задаетесь вопросом "В чем преимущество container в отличие от докера?", то Apple на него уже ответила:
• Дело в том, что меняется принцип работы: вместо общей Linux-ВМ, как в Docker, для каждого контейнера создаётся отдельная минималистичная виртуальная машина. Это обеспечивает:
➡Строгую изоляцию — процесс, выходящий из контейнера, находится внутри ограниченной виртуальной машины, а не в общей среде с доступом к другим контейнерам.
➡Упрощённое управление ресурсами — контейнеры, созданные с использованием фреймворка, требуют меньше памяти, чем полноценные виртуальные машины.
➡Автоматическое назначение уникального IP-адреса — это избавляет от необходимости пробрасывать порты.
➡️ https://github.com/apple/container
#Kali #Linux #Apple
Онлайн-конференция ИБ без фильтров
🔥Мероприятие, где говорим о реальных проблемах и ищем практические решения, возвращается!
🗓 14 августа 11:00-15:00 мск ждем на бесплатной онлайн-конференции «ИБ без фильтров»
Что будет полезного?
Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.
Кому стоит сходить?
Мероприятие для представителей бизнеса от экспертов в области информационной безопасности.
Какие темы затронем?
— Как оценить навыки ИБ-специалиста.
— Как снизить риски с помощью систем класса «менеджеры паролей».
— Как вовлечь разработчиков, сотрудников и бизнес в защиту компании.
— Чем важны разные источники данных при расследовании инцидентов ИБ.
Кто в спикерах:
— Анастасия Федорова. Руководитель образовательных программ, Positive Education
— Кира Шиянова. Менеджер продукта платформы Jet CyberCamp, «Инфосистемы Джет»
— Никита Вьюгин. Менеджер проектов «МКО Системы»
— Валерий Комягин. Генеральный директор BearPass
— и другие эксперты из крупных компаний рынка ИБ
▶️Регистрация по ссылке.
Ждем вас на самый честный диалог по теме ИБ
Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569, ОГРН 1125476195459 erid:2SDnjeHgC6a
• Пост выходного дня: энтузиаст Бенн Джордан преобразовал "изображение" в звуковой сигнал и обучил молодого скворца запоминать и точно воспроизводить этот звук для последующего преобразования в исходный файл.
• Джордан рассказал, что он создал изображение и преобразовал его в аудиофайл с помощью спектрального синтезатора. Получившийся набор звуков он регулярно включал скворцу, чтобы тот выучил мелодию. Потом с помощью ультразвукового микрофона и аудиорекордера Sony PCM-100 Джордан записал пение скворца и декодировал результат. Оказалось, что скворец довольно точно смог воспроизвести картинку.
• Если говорить простыми словами, то мужик записал изображение на скворца (видео выше). Вот вам настоящий бэкап в облаке...
➡️ https://www.reddit.com/r/videos/image_to_a_bird
➡️ https://youtu.be/hCQCP-5g5bo
#Оффтоп #Разное
• 6 августа 1991 года можно считать вторым днём рождения сети Интернет. В этот день Тим Бернерс-Ли запустил первый в мире веб-сайт на первом в мире веб-сервере, доступном по адресу info.cern.ch. Но об этом расскажу на следующей неделе, а сейчас поговорим о первом веб-браузере, разработчиком которого был тот же самый Тим Бернерс-Ли.
• И знаете какое название было у самого первого браузера? World Wide Web... Вот прям так и назывался. Но чуть позже его переименовали, так как название было длинным, сложно запоминаемым и неудобным, поэтому браузер вскоре был переименован и стал называться Nexus.
• Браузер был создан на компьютере NeXT 15 января 1992 года. На следующий год, 30 апреля, он стал общедоступным. Nexus обладал множеством функций и уже на тот момент казался весьма продвинутым. Он отображал базовые таблицы стилей, позволял читать новости, воспроизводить видео- и аудиофайлы. Ограничений, конечно же, было немало, но для того времени программа была достаточно мощной.
• Более того, Nexus работал не только как браузер, но и как редактор WYSIWYG (What You See Is What You Get). Эта функция позволяла видеть, как будет выглядеть страница после редактирования. Сначала изображения загружались в отдельных окнах, но позже они были встроены непосредственно в структуру страницы.
• Но была у первого веб-браузера одна довольно значительная проблема: он работал только на платформе компьютеров NeXT. Это сильно ограничило возможность популяризации программы среди владельцев других операционных систем, и поэтому Бернерс-Ли привлек к работе Николу Пеллоу, студентку-математика, для разработки специальной программы, которая могла бы адаптировать браузер под другие платформы. Задача в краткие сроки была выполнена: появился Line Mode, который сделал первый в мире браузер мультиплатформенным.
• Кстати, всеобщий "любимчик" Internet Explorer от компании Microsoft был даже не третьим браузером в мире, между ним и Nexus вклинился Netscape, он же Mosaic и он же предшественник знаменитого Netscape Navigator, Erwise, Midas, Samba и т.д.
• Однако именно IE стал первым браузером в современном понимании, Nexus выполнял гораздо более узкий функционал: помогал просматривать небольшие документы и файлы на удалённом компьютере (хотя это и есть суть всех браузеров, потому что, как говорят линкусоиды, всё есть файл). К слову, именно в этом браузере и был открыт первый сайт...
#Разное
💸 $1000 от Apple за критическую уязвимость в Safari.
• Исследователь безопасности RenwaX23 обнаружил критическую уязвимость в браузере Safari. Apple оценила ошибку в 9,8 из 10 возможных баллов и заплатила за неё $1000.
• Суть уязвимости CVE-2025-30466 заключается в том, что атакующий может получать доступ к данным пользователя. Например, просматривать файлы iCloud и запускать камеру.
• Apple исправила уязвимость в марте 2025 года. За свои старания исследователь получил от Apple $1000. В шутку он заявил, что ему уже пора заканчивать с баг-баунти и надо начинать искать нормальную работу.
• Мнения комментаторов в социальных сетях разделились. Одни считают, что Apple всегда мало выплачивает даже за обнаруженные критические ошибки. Другие уверены, что уязвимость CVE-2025-30466 хоть и опасная, но воспроизвести её довольно сложно. Поэтому Apple решила не назначать за неё большой гонорар.
• Такая вот "щедрость" от Apple...
#Новости #bb #apple
• Знаете, почему, придя на новое место, никто не любит разбираться с наследием предыдущего владельца, а предпочитает снести всё и начать заново?
Так вот именно поэтому!
#Юмор