• Нашел очень объемное руководство по изучению Docker для новичков. Весь материал представлен на русском языке и доступен совершенно бесплатно. Содержание следующее:

• Введение, Docker CLI и Dockerfile.
• Архитектура Docker:
➡Команды и флаги;
➡Dockerfile;
➡Рекомендации по Dockerfile;
➡Рекомендации по инструкциям;
➡Управление данными;
➡Сети.
• Docker Compose:
➡docker compose;
➡docker-compose.yml.
• Разработка приложения:
➡Подготовка и настройка проекта;
➡API;
➡Админка;
➡Клиент;
➡Проверка работоспособности приложения.
• "Контейнеризация" приложения:
➡Dockerfile;
➡Docker Compose.

• Помимо руководства на сайте есть множество другого полезного материала (шпаргалки, ссылки и т.д.). Хоть данный ресурс и предназначен больше для разработчиков, тем не менее, возможно вы сможете найти для себя что-то полезное. Ну и не забывайте про дополнительный материал:

➡Docker изнутри - отличный лонгрид, в котором описаны механизмы контейнеризации, всевозможные примеры, эксперименты и реализация.
➡Docker Security - очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Docker с нуля: бесплатный курс от Select;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.

#Docker

Читать полностью…

🖥 Первый в мире ПК с Ethernet и лазерным принтером!

• Персональный компьютер Xerox Alto первый во многом. Это первый ПК с графическим интерфейсом и рабочим столом. С таким компьютером мог работать даже новичок. Кроме того, это первый компьютер со встроенным Ethernet и собственным лазерным принтером. Alto можно назвать революционной для своего времени системой - этот ПК вышел на рынок в 1973 году.

• Компания Xerox создала около 2000 этих систем для внутреннего пользования. Работали новые компьютеры в исследовательских лабораториях и университетах. При этом Alto никогда не продавался, как коммерческий продукт. Тут еще стоит отметить, что этот компьютер был очень дорогой, поэтому его могли купить далеко не все. Кстати, Alto произвел сильное впечатление на Стива Джобса. Будущий глава крупнейшей международной корпорации, увидев графический интерфейс машин, решил создать нечто подобное. Чуть позже он реализовал задуманное в виде Lisa и системах Macintosh, выведя компьютеры с графическим интерфейсом на массовый рынок.

• Xerox Alto был оснащен 16-битным процессором, вертикальным растровым экраном с разрешением 606*808 пикселей, двумя типами клавиатур (обычной и аккордной), а также трехкнопочной мышью. Растровый дисплей разделен на ряд элементов, с каждым из которых связана определенная часть памяти компьютера. В памяти хранится информация о цвете, уровне яркости и тому подобных характеристиках каждого участка экрана. Обновление изображения на экране такого типа проводится при помощи процессора. Под нужды растрового дисплея Alto была занята примерно половина всей памяти этого ПК.

• Объем съемного диска компьютера составлял целых 2,5 МБ. Это достаточно для того времени, но еще доступ к файлам можно было получить по Ethernet с файловых серверов.

• Напомню, что эта система была представлена в 1973 году. На то время мощным процессором считался 4-х битный микропроцессор 4004, выпущенный Intel в 1971 году. Эта микросхема считается первым в мире коммерчески доступным однокристальным микропроцессором. До выхода процессоров 6502 и Z-80 оставалось еще два года, "персоналка" Apple II будет выпущена только через 4 года, в 1977. Процессором в Xerox Alto служили сотни относительно простых но быстрых TTL микросхем.

• Xerox Alto работал с сетевым лазерным принтером, модель "Orbit" со слотами для четырех управляющих плат. Сам принтер мог печатать 16 строк пикселей одновременно. Такой вот раритет...

#Разное

Читать полностью…

Киберсъезд в Кибердоме: формируем стандарты устойчивого цифрового будущего

4 декабря в Кибердоме соберутся лидеры в области кибербезопасности, которые формируют правила игры в цифровой среде.

💼 Киберсъезд объединит руководителей бизнеса, CISO, CIO, IT- и кибербез-экспертов, создающих устойчивость компаний в условиях технологических изменений.

На конференции обсудим острые вопросы, которые решались на протяжении года, а также тренды и ожидания игроков рынка на будущий год.

Программа Киберсъезда направлена на практику:
✔️ Киберустойчивость как новая стратегическая метрика бизнеса
✔️ Импортозамещение, технологический суверенитет и бизнес-реальность
✔️ Управление рисками цифровой устойчивости
✔️ Кибербезопасность глазами поколений: диалог CEO, CISO и школьников
✔️ Хакерское мышление как национальный код и роль белых хакеров в будущем

Спикерами станут эксперты, которые уже внедряют новые модели кибербезопасности и имеют подтверждённые результаты.

🔥 Завершением конференции станет первое вручение премии в области кибербезопасности «Киберпризнание», организуемое Кибердомом и фондом «Сайберус».

Участвуйте в Киберсъезде в любом удобном формате: онлайн или офлайн.

#реклама
О рекламодателе

Читать полностью…

• Пост выходного дня и немного оффтопа: Разработчик, который ранее выкатил игру Герои Меча и Магии III для браузера, представил порт культовых шутеров Doom и Doom II прямо в Telegram. Вся эта магия работает не выходя из телеги, через бота, который работает на «любых современных» смартфонах.

Сделал свои порты двух классических частей Doom для telegram - TRUEDOOM (@truedoombot). Почему True? Потому что существует поделка от конторки под названием Axiom Game Labs, которая прогремела по новостям полгода назад. Порт работал криво, с кучей багов и ошибок. И создавала его якобы целая команда (уже смешно). Но самой главной целью конторки было собрать побольше народа, что бы позже запустить свой крипто-скам проект, что они удачно и сделали. Ну а я посчитал что мы действительно заслуживаем нормальный tg-порт игры, пошел немного дальше и сделал обе части. WebAssembly и немного магии.

• Особенности:

➡Две игры в одном приложении;
➡Мобильное управление, которое можно кастомизировать;
➡Поддержка полноэкранного режима;
➡В каждой игре доступны полные версии первых эпизодов.

➡️ @truedoombot

#Оффтоп #Разное

Читать полностью…

• Исследователь безопасности Алекс Шапиро взломал API системы бронирования авиакомпании Avelo. В результате получилось узнать личные данные случайных пассажиров.

• Уязвимость выявили совершенно случайно - Алекс решил изменить собственный билет в Avelo Airlines и заметил, что сайт отправляет странный запрос к API. Он попробовал подставить в URL свой шестизначный код бронирования, и сервер выдал полные данные рейса. А затем он подставил чужой код, оставив свою сессию - и снова получил доступ. Оказалось, что система не проверяет ФИО пассажира и не ограничивает частоту запросов. Любой, у кого есть валидный cookie, мог перебором подставлять шестизначные коды.

• В итоге имеем то, что для получения данных нужен всего лишь шестизначный номер бронирования, состоящий из заглавных букв английского алфавита и цифр. Возможных значений всего 2 176 782 336, и их не так сложно перебрать брутфорсом.

• Если арендовать сервер с возможностью отправлять по 100 тыс. запросов в секунду, то все актуальные коды бронирования можно будет получить примерно за шесть часов. При этом аренда сервера с нужными параметрами будет стоить в пределах тысячи баксов.

• Единственная система защиты в API системы бронирования Avelo - ограничение на количество запросов в секунду. Блокировки подозрительных IP-адресов или капчи в системе не было. Исследователь написал скрипт на Python для генерации случайных шестизначных кодов бронирования и получил от сервера данные пассажиров, включая: ФИО, дату рождения, пол, номер телефона, почту, номер бронирования, рейс, место в самолете и платежные данные.

• Исследователь обнаружил уязвимость 15 октября 2025 года и сразу сообщил в поддержку Avelo. Спустя сутки с инженером связались, и попросили подробнее рассказать об ошибке и воспроизвести её. Почти через месяц, 13 ноября, разработчики отчитались об исправлении.

➡️ https://alexschapiro.com/blog/avelo-airline

#Новости

Читать полностью…

• Произошла классика: уволенный технический специалист признал факт саботажа против бывшего работодателя, который нанёс компании ущерб в размере $862 тысяч. История произошла еще в 2021 году, но приговор будет вынесен только в следующем году.

• 35-летний Максвелл Шульц из Огайо, который лишился доступа к корпоративным системам после увольнения, используя украденные учётные данные другого сотрудника запустил PowerShell-скрипт и сбросил около 2500 паролей в организации. В итоге тысячи сотрудников и подрядчиков по всей территории США временно лишились доступа к корпоративной сети.

• А еще Максвелл пытался удалить системные журналы, чтобы скрыть следы доступа. В некоторых случаях он смог стереть записи о своих действиях и очистить журнал событий PowerShell.

• Суммарно атака привела к ущербу более чем на $862 тысячи. Эта сумма включает простой в работе сотрудников, сбои в работе службы поддержки клиентов, а также затраты на расследование инцидента и восстановление инфраструктуры.

• Шульцу вынесут приговор 30 января 2026 года. Ему грозит до десяти лет лишения свободы и штраф до $250 тысяч.

➡️ https://www.justice.gov/

#Новости

Читать полностью…

• Нашел хороший репозиторий, в котором собрано большое кол-во материала для освоения DevOps: от основ Docker и k8s до более продвинутых инструментов. Кстати, там есть не только теория, но еще и практическая часть с необходимыми примерами, сценариями, скриптами, манифестами и т.д.

➡ https://github.com/Pradumnasaraf/DevOps

• P.S. У автора есть сайт, куда дублируется вся информация из GitHub. Соответственно там можете ознакомиться со всем материалом в более удобном форме: devops.pradumnasaraf.dev

• В качестве дополнения:

➡Roadmap в DevOps 2025 - очень объемный и актуальный roadmap для DevOps, который поможет понять, какие компетенции нужно приобрести в данной профессии. А еще статья содержит информацию о заработной плате, перспективах и грейдах.
➡PS-Commands - очень объемная шпаргалка по инструментам направления DevOps. Вся информация представлена на русском языке и есть возможность скачать заметку в формате книги для дальнейшего изучения.
➡Cheat-Sheet Collection - коллекция полезных шпаргалок для DevOps, ИБ и ИТ-специалистов.
➡devops-interview - репозиторий, который содержит в себе огромное кол-во вопросов и ответов для подготовки к собеседованию на должность DevOps и системных администраторов.
➡Easyoffer.ru - на этом сайте собрано более 1100 вопросов для подготовки к собеседованиям на позицию DevOps.

#DevOps

Читать полностью…

• И ведь так каждый раз...

#Юмор

Читать полностью…

• Компанию, которая продаёт по всему миру системы слежки и цензуры под брендом Protei, взломали и оставили интересное послание на главной странице сайта (на фото).

• Утекло около 182 ГБ данных. В наборе - базы, информация о клиентах и сотни тысяч писем. После взлома весь дамп выложили через торрент, а magnet-ссылку положили прямо на сайт компании - чтобы уж точно никто не пропустил.

➡️ https://web.archive.org/

• Фон, кстати, очень красивый...

#Новости

Читать полностью…

3 киберловушки, в которые попадаются даже «знаменитые пользователи»

Последние недели — сплошные новости о компрометации аккаунтов публичных людей. Причины могут отличаться, однако типовые уязвимости остаются теми же. Разберем самые актуальные из них.

🤡 Неизвестные ссылки
Фишинг все еще активно работает. Любая подозрительная ссылка может вести на поддельный сайт с целью похитить ваши данные.

Что делать: проверять ссылки URL в адресной строке и открывать сервисы только из закладок/приложений.

🤡 «Удобные» пароли
Даже «P@ssw0rd123!» взламывается за секунды.

Что делать: создавать длинные уникальные пароли для каждого сервиса. Хранить их в корпоративном менеджере паролей, установить двухфакторную аутентификацию.

🤡 Доверие к GenAI контенту
Дипфейки и скомпрометированные аккаунты помогают злоумышленникам легко и очень правдоподобно маскироваться под других людей.

Что делать: перепровять информацию, задавать проверочные вопросы, брать паузу перед «срочными» действиями.

Рекомендуем всегда быть на шаг впереди злоумышленников и подписаться на канал про Identity Security от Индид — там разбирают актуальные кейсы и решения для защиты учетных данных.

#реклама
О рекламодателе

Читать полностью…

• Нашел очень крутую и бесплатную платформу с интерактивными заданиями, которые помогут получить практический опыт в работе с Linux, k8s, docker, git, terraform и д.р. Единственный нюанс - материал на английском языке. Так что если у вас с этим сложности, то воспользуйтесь ИИ.

➡️ Забираем отсюда: https://kodekloud.com/studio/labs

• Ну и не забывайте про labex - это аналогичная платформа, только с другими заданиями. Здесь уже можно найти материал на русском языке. И еще там есть ИИ помощник, если возникнут трудности с выполнением заданий.

➡️ https://labex.io/ru

#Linux #DevOps #ИБ

Читать полностью…

• Сам постоянно публикую вакансии на отдельном канале и знаю, как это работает с разных сторон. В Сетке (соцсеть для нетворкинга от hh) заметил интересную штуку - там вакансии выкладывают реальные люди, которым можно написать прямо там напрямую или посмотреть, как он общается в комментах. Сразу понятно, сходится ли вайб потенциальной команды. Плюс можно словить интересные позиции раньше, чем они размажутся по всем агрегаторам.

• Например, мне попалась вакансия от Яндекса, где ищут DL-разработчика в команду качества генеративных ответов Поиска с Алисой. Вот образец нормального описания работы, где сразу понятно, что надо делать. Ну а если не совсем понятно, то можно сразу задать интересующие вопросы, а не ждать, пока цепочка рекрутеров согласует ответ шаблонными фразами из HR-отдела…

#Разное

Читать полностью…

• Продолжаем рассматривать протокол TLS, в этот раз целостность данных - обнаружение случайного или преднамеренного изменения данных.

• Чтобы обеспечить целостность в TLS используется Message Authentication Code (MAC), русскоязычное название имитовставка. Не путать с MAC-адресом на канальном уровне.

• Идея простая: считаем хэш от сообщения с помощью криптографической хэш-функции и добавляем его к сообщению. Получатель также считает хэш по таким же правилам и сравнивает его с хэшем в полученном сообщении. Если хэши совпадают, то сообщение не было изменено.

• Однако такая простая схема не работает: злоумышленник может перехватить сообщение, изменить его, пересчитать хэш, записать обновленное значение хэша в сообщение, а затем передать получателю.

• Поэтому в Message Authentication Code хэш считается не только от самого сообщения, но и от ключа, который есть только у отправителя и получателя. Такой код аутентификации злоумышленник не может подделать (только если не получит доступ к ключу, но в этом случае вся защита закончится).

• В современной версии TLS 1.3 используется еще более сложный подход: шифры типа Authenticated Encryption with Associated Data (AEAD). В них сразу выполняется шифрование и MAC. Примеры таких шифров: AES-GCM, Chacha20-Poly1305.

#Сети #Курс

Читать полностью…

Осень.

Листья падают, настроение тоже 🐱

Кто-то спешит к психологу, а кто-то ищет спасения в мемах про ИБ...

Мы на канале Avanpost не лечим депрессию, зато стабильно поднимаем настроение мемами про информационную безопасность ❤️

Хотите порцию хорошего настроения?

Давайте знакомиться 👋

Читать полностью…

• Немного воскресного оффтопа: на сайте bethesda появился наручный компьютер, который в точности повторяет модель "Пип-Боя" из игры Fallout. Отмечено, что на экран компьютера может выводиться информация персонажа, игровая карта и даже есть возможность подключаться к радио (вы ведь помните эту божественную музыку?)!

• Цена компьютера составляет 300 баксов, что, в общем-то, немало, но для коллекционеров и фанатов игры сгодиться.

❤❤❤❤❤❤❤❤❤❤
❤❤❤❤❤❤❤❤❤❤
❤❤❤❤❤❤❤❤❤❤
❤❤❤❤❤❤❤❤❤❤
❤❤❤❤❤❤❤❤❤❤

➡ https://gear.bethesda.net/fallout-pip-boy

• Кстати, чуть больше года назад я рассказывал про энтузиаста, который воссоздал терминал из Fallout с помощью Raspberry Pi 400. У него получилось устройство, которое не только выглядит круто, но и вписывается в систему умного дома. Работает он как интерактивный текстовый помощник: обрабатывает вводимые данные благодаря OpenAI. Если кому интересно, то обратите внимание на этот пост: там есть инструкция и необходимые файлы, чтобы сделать аналогичный терминал.

#Оффтоп

Читать полностью…

• Хорошее и объемное исследование было опубликовано в блоге "Лаборатории Касперского". Эксперты изучили безопасность типичного "мозга" современного автомобиля - System on Chip (SoC) со встроенным сотовым модемом. Найденная уязвимость позволила удаленно выполнить код на ранней стадии соединения - до установки защищенного канала связи. Следом эксперты получили доступ к процессору приложений и смогли запустить произвольный код с максимальными привилегиями - то есть получили полный контроль над SoC.

• Исследование было проведено на современной SoC Unisoc UIS7862A, оснащенной встроенным 2G/3G/4G-модемом. Такую SoC можно встретить в китайских автомобилях, которых на дорогах страны становится все больше. Захватив SoC, атакующий получает возможность не только контролировать инфо. поток между устройством и внешним миром, но и практически неограниченный доступ к наиболее важным компонентам конечного устройства.

• При компрометации SoC атакующий может получить удаленный доступ к пользовательским данным, в частности к записи голоса через встроенный микрофон, или развить атаку на подключаемые мобильные устройства. Более того, в случае ошибки в конфигурации бортового шлюза шины CAN он может получить возможность удаленного воздействия на другие автомобильные блоки, что может влиять на безопасность дорожного движения.

• Содержание следующее:

• Получение встроенного программного обеспечения модема;
• Удаленный доступ в модем (CVE-2024-39431);
• Закрепление в системе;
• Lateral Movement внутри SoC;
• Разработка эксплойта под AP:
➡Этап 1: Поиск базового адреса ядра Linux;
➡Этап 2: Локализация таблицы kallsyms;
➡Этап 3: Выбор системного вызова для перехвата;
➡Этап 4: Локализация функции call_usermodehelper;
➡Этап 5: Отключение SELinux;
➡Этап 6: Поиск области для внедрения кода;
➡Этап 7: Создание и внедрение шелл-кода;
➡Этап 8: Модификация таблицы системных вызовов.

#Исследование

Читать полностью…

• Command Challenge - очень крутая интерактивная игра, которая бросает вызов вашим навыкам Bash. Все задачи решаются через командную строку.

• Игра начинается с довольно простых задачек и постепенно становится сложной. Если возникают сложности с решением, то вы можете посмотреть подсказку. В общем и целом, это очередная годнота в нашу копилку. Забираем по ссылке ниже и практикуемся.

➡ https://cmdchallenge.com

• Бонусом: две более сложные версии игры: oops и 12days.

#Bash #Linux #CTF #CMD

Читать полностью…

• Доброе утро...🫠

#Понедельник

Читать полностью…

• 16 ноября 1996 года Microsoft выпустила продукт для тех, кто хотел иметь компьютер прямо в кармане. И имя этому продукту было Windows CE.

• Ещё в 90-х годах прошлого века корпорация Microsoft занялась разработкой концепции ПО для портативных устройств. Проект развивался достаточно медленно, но спустя некоторое время разработчики ускорились.

• Сначала эта операционная система представляла собой облегчённую версию Windows 95 с ограниченными возможностями. Спустя несколько месяцев после выхода ОС появилось и несколько моделей гаджетов с ней. Разработчики планировали, что пользователям будет проще привыкнуть к форм-фактору портативного девайса с сенсорным экраном, если интерфейс будет привычным. Собственно, примерно так и получилось.

• Кроме того, ОС разрабатывали с прицелом на совместимость «старших» версий операционной системы. Поскольку в портативных устройствах того времени «железо» было слабым, то и ОС создавалась такая, чтобы нормально работать с минимальными характеристиками. В целом всё получилось, для ядра ОС было достаточно 32 Кб ОЗУ, а для системы с графическим интерфейсом - от 5 Мб и выше.

• Кстати, в отличие от Windows 95, Windows CE чаще всего переустановить было нельзя, она была зашита в носитель информации, доступа к компонентам ОС или всей системе не было. Для того чтобы распространить эту ОС, Microsoft привлекла к сотрудничеству большое количество партнёров, включая такие компании, как Casio, Compaq, HP, LG Electronics, а также NEC и Philips.

• С течением времени изначальная Windows CE переродилась в платформу для КПК под именем Pocket PC. Потом появился Windows Mobile, который, в свою очередь, разделился на Windows Mobile Professional - для коммуникаторов с сенсорным экраном и функцией мобильного телефона (платформа Pocket PC), Windows Mobile Classic - для карманных персональных компьютеров и Windows Mobile Standard - для смартфонов с функцией мобильного телефона, но без сенсорного экрана. А еще были Windows Automotive, Windows Phone и не только. Однако под всеми этими потребительскими названиями был один и тот же фундамент - ядро Windows CE.

• Со временем Microsoft и вовсе перестала афишировать бренд «CE» для массового пользователя, оставив его для разработчиков встраиваемых систем. А для обычных покупателей были придуманы более привлекательные маркетинговые названия.

• Последняя - восьмая - версия CE вышла в 2013 году под именем Windows Embedded Compact 2013. В 2016 году на волне успеха Windows 10 Microsoft отказалась от продолжения линейки, заменив ее Windows 10 IoT. Несмотря на завершение поддержки в 2023 году, Microsoft разрешила продажу лицензий аж до 2028 года. Такое невероятное долголетие - прямое следствие невероятной популярности платформы, на базе которой было создано и продолжает работать огромное количество систем по всему миру - банкоматы и терминалы, автомобильные навигаторы и медиасистемы, вывески, торговое и медицинское оборудование и многое-многое другое.
Но на самом деле CE жива и по сей день. Она продолжает тихо и исправно трудиться в фоне на тысячах «умных» устройств по всему миру, обеспечивая работу критически важных систем...

#Разное

Читать полностью…

• Со мной тут недавно поделились подборкой CLI-инструментов, которые якобы облегчают работу в терминале, и попросили рассказать про самые интересные из них. Так вот, если вы активно пользуетесь терминалом, то я не рекомендую пользоваться такими инструментами, а использовать всё стандартное, так как аналоги - зло! Я уже как-то рассказывал про инструменты для подсветки логов - тут всё аналогично! Когда зайдёте на рандомный сервак, работа в терминале будет проблематичной (мягко говоря). Лучше использовать всё стандартное, чтобы можно было всё делать на автомате, а не вспоминать, в чём же там отличия. Ну и ещё вам не нужно будет тратить время на настройку под себя.

• Кстати, в подборке увидел инструмент "thefuck" для автоматического исправления ошибок. Т.е. вы работаете в терминале, ввели неправильную команду, получили сообщение об ошибке, запустили тулзу - и она сама исправляет ошибку на своё усмотрение. Мб это круто в IDE, где будет ревью, но однозначно не в консоли, где может не быть никаких дополнительных проверок, а ошибка может стоить очень дорого...

#Tools #Разное #CLI

Читать полностью…

Хотите стать пентестером и предотвращать кибератаки? 👀

Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Стартуем 1 декабря — регистрация здесь.

Что вы получите?
🔸 Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест
🔸 Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов.
🔸 Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности

Полный цикл обучения:
⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети

Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!

🚀 По всем вопросам пишите @CodebyManagerBot

Читать полностью…

• Сегодня 20 ноября 2025 года. Последняя версия Windows - Windows 11. Но вернемся на 40 лет назад - в 1985 год. Именно тогда и появилась Windows 1.0!

• Windows 1.0 даже не была операционной системой - она была простой графической оболочкой, целью которой являлось упрощение работу с DOS и периферийными устройствами.

• На старте запуск Windows 1.0 происходил с помощью файла WIN.COM, доступ к которому можно было получить с помощью командной строки MS-DOS. После этого следовал запуск самого настоящего рабочего стола, на котором отображались приложения, совместимые с файловым менеджером и другими нюансами графического интерфейса. Почти как сегодня, запущенные в оболочке приложения отмечались специальными значками в нижней части экрана. Более того, здесь даже присутствовал аналог современной «Панели управления», с помощью которой можно было настраивать те или иные нюансы работы Windows 1.0.

• К более-менее современному виду в визуальном плане "операционная система" Microsoft с графическим интерфейсом добралась только к релизу Windows 95. До этого момента ей еще пришлось пройти далеко не через пару версий, которые заняли не один год. Тем не менее отголоски MS-DOS тянулись за ней достаточно долго.

• Анонсированная Биллом Гейтсом, в Нью-Йорке, в 1983 году, но опубликованная только в 1985 году, Windows 1.0 была первой коммерчески успешной графической оболочкой для операционной системы MS-DOS от компании Microsoft. Windows 1.0 представляла собой графический интерфейс, который значительно упростил работу с компьютером для пользователей, привыкших к командной строке.

• ОС позволила юзерам запускать программы и оперировать файлами и папками с помощью мыши и оконного интерфейса. Это была переломная точка в истории операционных систем, так как графический интерфейс делал ПК более доступными и интуитивно понятными для широкой аудитории.

• В общем и целом, Windows 1.0 заложила основы для развития будущих версий операционной системы Windows. В дальнейшем компания Microsoft продолжила развивать Windows, добавляя новые функции и улучшая производительность, что сделало её одной из самых популярных операционных систем в мире.

#Разное

Читать полностью…

⚙️ Mido - очень простой скрипт, который позволяет скачать образ Windows используя api Microsoft. Пригодится для ситуаций, когда образ системы нужен, а разбираться с регистрацией, поиском нужной загрузки и вот этим вот всем не хочется...

➡️ https://github.com/ElliotKillick/Mido

#Windows

Читать полностью…

• В Cloudflare раскрыли причину почти пятичасового глобального сбоя в работе своих сервисов. Оказалось, что это была ошибка в файле конфигурации системы защиты от ботов, который перед началом инцидента был обновлён инженерами Cloudflare в плановом порядке.

• После изменения конфигурации возникла скрытая ошибка в сервисе, лежащем в основе системы противодействия ботам, который начал давать сбои. В пресс-службе компании добавили, что сбой возник из-за того, что размер файла конфигурации превысил ожидаемый. Именно эта ситуация привела к сбою в работе ПО, обрабатывающего трафик ряда сервисов Cloudflare, а также к масштабному ухудшению работы клиентской сети и других сервисов компании.

• Технические детали под спойлером:

Сбой произошёл после изменения в структуре БД, размещённой в хранилище ClickHouse, после которого файл с параметрами для системы противодействия ботам в два раза увеличился в размере. В БД были образованы дублирующиеся таблицы, при том, что SQL-запрос для формирования файла просто выводил все данные из всех таблиц по ключу, без отсеивания дубликатов.

Созданный файл распространился по всем узлам кластера, обрабатывающего входные запросы. В обработчике, использующем данный файл для проверки на обращение от ботов, указанные в файле параметры сохранялись в оперативной памяти и для защиты от излишнего расхода памяти в коде был предусмотрен лимит на максимально допустимый размер файла. В обычных условиях фактический размер файла был значительно меньше выставленного ограничения, но после дублирования таблиц превысил лимит.

Проблема оказалась в том, что вместо корректной обработки превышения лимита и продолжения использования прошлой версии файла с информированием системы мониторинга о внештатной ситуации, в обработчике срабатывало аварийное завершение, которое блокировало дальнейший проброс трафика. Ошибка была вызвана использованием в коде на языке Rust метода unwrap() с типом Result.

Когда значение Result имеет состояние Ok, метод unwrap() возвращает связанный с этим состоянием объект, но если результат не является успешным - вызов приводит к аварийному завершению (вызывается макрос panic!), . Обычно unwrap() применяется в процессе отладки или при написании тестового кода и не рекомендован для использования в рабочих проектах.

• Инженеры добавили, что ситуация усложнялась тем, что файл конфигурации обновлялся каждые пять минут. Эта закономерность на какое-то время навела команду на мысль, что они, возможно, подверглись DDoS атаке. Как только инженеры поняли, что каждый узел начал создавать нерабочую версию, след привел к искажённому файлу управления ботами. В Cloudflare остановили распространение файла, отправили заведомо исправный файл, перезапустили основные прокси-сервисы, и трафик начал восстанавливаться.

• В Cloudflare описывают инцидент как самый серьёзный сбой с 2019 года...

#Новости

Читать полностью…

• Ровно 62 года назад, 18 ноября 1963 года, в истории телекоммуникаций произошло значимое событие – компания Bell Telephone представила миру новое устройство, которое изменило способ набора телефонных номеров: первый в мире кнопочный телефон (на фото).

• С течением времени такие устройства стали неотъемлемой частью нашей повседневной жизни. До появления кнопочных телефонов, большинство телефонов использовали вращающиеся диски для выбора цифр в номере. Данный процесс мог быть медленным и не всегда удобным, особенно в ситуациях, когда требовался быстрый набор номера. Bell Telephone решила усовершенствовать данный процесс и предложила более эффективное решение.

• Внедрение кнопочного телефона позволило абонентам намного быстрее и точнее набирать номера. Вместо вращения диска, пользователи могли просто нажимать на кнопки с цифрами от 0 до 9. Такой метод упростил процесс и сделал его более удобным. Кнопочные телефоны быстро обрели популярность. Стали стандартом для домашних и офисных телефонов и подготовили почву для более поздних инноваций, таких как сотовые телефоны! Так то...

#Разное

Читать полностью…

👾 В кэше — фотка, в ней payload.

• Автор этого материала обнаружил необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG картинки, убеждая пользователя самостоятельно выполнить вредоносный код.

• В типичных сценариях атакующие пытаются заставить жертву скачать исполняемый файл из сети - но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга.

• По сути, атака умело сочетает две техники: принуждение к локальному исполнению ClickFix / FileFix и контрабанду кэша Cache Smuggling. В статье подробно разобраны все из этих приемов и показаны, как можно сделать доставку полезной нагрузки еще более незаметной.

➡️ Источник.
➡️ Перевод статьи на RU [9 min].

‼ Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности.

#ИБ #Фишинг #СИ

Читать полностью…

• Забавная и интересная история от программиста Предрага Груевского: много лет назад, будучи студентом, он приехал на каникулы к родителям. Отец пожаловался, что с домашним интернетом происходят странные вещи: большую часть времени потери пакетов достигали 98%, но стоило пойти дождю, как Wi-Fi начинал работать стабильно.

• Ранее отец программиста настроил Wi-Fi-мост с направленными антеннами между домом и своим офисом, находившимся в двух кварталах (но в прямой видимости). Так он обеспечивал семью высокоскоростным корпоративным интернетом.

• Система проработала безупречно почти десять лет, пока на соседнем участке не выросло большое дерево с раскидистыми ветвями. Когда дерево стало достаточно высоким, оно начало блокировать радиосигнал.

• Однако во время дождя капли тянули вниз ветки и листву, и сигнал снова проходил беспрепятственно. Нет, Груевский не вырубил дерево, но поменял антенны, поддерживающие стандарт 802.11g, на 802.11n. Технология формирования луча (beamforming), в том числе позволила фокусировать Wi-Fi-сигнал в нужном направлении, и связь стала стабильной.

• Кстати, читатели, которые обсуждали эту историю, нашли интересным тот факт, что инженер первым делом не проверил возможное наличие препятствий на пути сигнала, учтивая, что в его сети имелся LOS-компонент. Впрочем, как часто бывает, очевидное решение приходит в голову последним. Также участники обсуждения поделились похожими "магическими" историями. Один из комментаторов рассказал, как связь между офисом его компании и ретрансляционной вышкой каждую ночь прерывалась ровно на десять минут. Причиной неполадки были новые натриевые газоразрядные лампы наружного освещения - во время включения они генерировали радиочастотные помехи в диапазоне 5 ГГц. Проблему решили заменой освещения на менее "шумное". Такая вот история...

➡️ https://predr.ag/blog/wifi

#Разное

Читать полностью…

• На хабре есть две очень крутые статьи, в которых описаны уязвимости и наиболее распространенные атаки на банкоматы, благодаря чему злоумышленники могут похищать деньги без физического вмешательства. Кстати, некоторые из описанных методов занимают не более 10 минут времени, что максимально осложняет возможность оперативно обнаружить факт взлома.

• Тема весьма интересная и ее редко обсуждают в паблике, поэтому рекомендую к прочтению:

➡️ Из чего состоят современные банкоматы и как их атакуют хакеры [Часть 1], [17 min];
➡️ Погружаемся в программный взлом банкоматов [Часть 2], [25 min].

‼ Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности.

#Пентест #Исследование #ИБ

Читать полностью…

• Доброе утро...🫠

#Понедельник

Читать полностью…

🍀 История и конец ICQ.

• Прошло почти полтора года, как VK объявила о закрытии проекта мессенджера ICQ. Сегодня "Аське" исполнилось бы 29 лет...

• ICQ происходит от фразы «I Seek You», которая дословно переводится как «Я ищу тебя», а логотип ICQ в виде цветка с разноцветными лепестками информировал о статусе пользователей в сети: красный указывал на офлайн, а зелёный — на онлайн. В рунете сервис называли «Аська». За разработкой мессенджера стояла израильская компания Mirabilis, в состав которой входили Яир Голдфингер, Сефи Вигисер, Амнон Амир, Арик и Йосси Варди. Результатом 18-месячной работы команды и стало появление ICQ в 1996 году.

• Изначальная концепция ICQ предполагала мгновенную передачу сообщений между персональными компьютерами! В отличие от других платформ, которые представили подобные функции позже, ICQ была первой, кто предложил этот инновационный способ мгновенной связи между пользователями.

• Летом 1998 года американский холдинг America Online (AOL) купил Mirabilis за $407 млн. С 1998 по 1999 годы база пользователей ICQ выросла с 12 млн до 40 млн, а уже в 2001 году аудитория мессенджера достигла 100 млн учётных записей по всему миру. Однако в последующие годы ICQ начала терять популярность на фоне запуска MySpace и «ВК».

• Стратегия AOL предусматривала использование значительного международного охвата ICQ и его привлекательности среди молодых технически подкованных пользователей для расширения присутствия на рынке. В особенности это касалось сегментов, которые не были охвачены основными услугами AOL. За эти годы ICQ значительно усовершенствовала безопасность за счёт внедрения протоколов шифрования. Изначально мессенджер не имел шифрования, что делало передачу данных открытой и уязвимой.

• ICQ был первопроходцем в интеграции возможностей голосовой и видеосвязи - платформа поддерживала аудио- и видеочаты, текстовые сообщения на мобильные телефоны, электронную почту и передачу файлов с более ранних версий. К 2005 году количество пользователей ICQ превысило 500 млн.

• Рост таких платформ, как AOL Instant Messenger, MSN Messenger, а позже крупных соцсетей, которые также внедрили функции обмена сообщениями, значительно повлияли на пользовательскую базу ICQ. Конкуренты предлагали похожие возможности и представили более удобные интерфейсы и функции, которые привлекли более широкую аудиторию. Запуск оптимизированных для мобильных устройств приложений обмена сообщениями, таких как WhatsApp и Snapchat в 2009 и 2011 годах, ещё больше оттянул долю рынка ICQ.

• Весной 2010 года AOL продал ICQ инвестиционному фонду Digital Sky Technologies за $188 млн. После реорганизации осенью того же года DST вошёл в состав Mail.ru Group. Переход к новому владельцу укрепил позиции сервиса на рынках, где он уже был известен: в России, Германии, Чехии и Израиле. К моменту приобретения ICQ был ведущей службой обмена сообщениями на 16 языках с более чем 32 млн уникальными пользователями в месяц.

• К середине 2010-х годов в сфере мобильных приложений для обмена сообщениями доминировали WeChat, WA, Telegram и другие сервисы. Они предлагали ряд функций, включая высококачественные голосовые звонки, видеочаты и даже платёжные сервисы, намного превосходящие возможности традиционных клиентов обмена сообщениями.

• В Mail.ru Group планировали объединить ICQ с мессенджером Агент Mail.ru, но этого не произошло. В 2013 году аудитория сервиса составляла 11 млн человек, из которых 6,7 млн были россиянами. Попытки модернизировать ICQ и расширить его функции не смогли вернуть сервису былую популярность. В 2016 году Mail.ru Group открыла исходный код ICQ на GitHub, а сам проект перезапустили.

• В апреле 2020 года Mail.ru Group представила новый мессенджер на базе ICQ - ICQ New. Сервис разработали при использовании технологий ИИ для быстрых ответов исходя из контекста. Но не смотря на все нововведения ICQ продолжала терять аудиторию... 26 июня 2024 года ICQ решили закрыть. Так завершилась история "Аськи", которая была в свое время отличным мессенджером...

#Разное

Читать полностью…