Встреча без галстуков: обсудим будущее DevSecOps

19 марта в Москве УЦСБ проведет камерную встречу профессионального сообщества по безопасной разработке. В атмосфере дружеского квартирника эксперты отрасли подведут итоги 2025 года, расскажут о трендах отрасли и поделятся прогнозами развития DevSecOps.

Вас ждут честные истории из практики экспертов Лаборатории Касперского, СберТеха, Яндекса и других компаний.

В программе:
▪️Диванная дискуссия «Как жить с DevSecOps в 2026 году: честный разговор о зрелости, рисках и реальных изменениях»
▪️Секции докладов от экспертов и 10-минутных откровений про сложные кейсы и извлеченные из них уроки

Стратегический партнер события — «Солар».

Подробнее ознакомиться с программой и зарегистрироваться можно на сайте🔗

Реклама. ООО «Уральский центр систем безопасности» ИНН 6672235068 Erid: 2VtzqvvZV3A

Читать полностью…

• 53 года назад, 1 марта 1973 года, мир увидел Xerox Alto - первый в мире ПК с графическим интерфейсом и рабочим столом. А еще он был первым ПК с Ethernet и лазерным принтером. Это легенда компьютерной индустрии, оказавшая огромное влияние на все дальнейшее развитие компьютеров и ПО.

• С таким компьютером мог работать даже новичок. Система также поддерживает языки программирования Mesa и Smalltalk. Alto можно назвать революционной для своего времени системой - этот ПК вышел на рынок в 1973 году.

• Компания Xerox создала около 2000 этих систем для внутреннего пользования. Работали новые компьютеры в исследовательских лабораториях и университетах. При этом Alto никогда не продавался, как коммерческий продукт. Многие идеи, реализованные в Alto, были использованы в Xerox Star, коммерческой модели ПК от Xerox. Этот компьютер был очень дорогой, поэтому его могли купить далеко не все. Тем не менее, Star стал относительно успешным. Alto и Star произвели сильное впечатление на Стива Джобса. Будущий глава крупнейшей международной корпорации, увидев графический интерфейс машин, решил создать нечто подобное. Чуть позже он реализовал задуманное в виде Apple Lisa и системах Macintosh, выведя компьютеры с графическим интерфейсом на массовый рынок.

• Xerox Alto был оснащен 16-битным процессором, вертикальным растровым экраном с разрешением 606*808 пикселей, двумя типами клавиатур (обычной и аккордной), а также трехкнопочной мышью. Растровый дисплей разделен на ряд элементов, с каждым из которых связана определенная часть памяти компьютера. В памяти хранится информация о цвете, уровне яркости и тому подобных характеристиках каждого участка экрана. Обновление изображения на экране такого типа проводится при помощи процессора. Под нужды растрового дисплея Alto была занята примерно половина всей памяти этого ПК.

• Объем съемного диска компьютера составлял 2,5 МБ. Это немного, но доступ к файлам можно было получить по Ethernet с файловых серверов.

• Программная оболочка системы включала эмулятор стандартного набора команд, выполняемого с наименьшим приоритетом. Другие задачи включали в себя низкоуровневые драйвера диска, сети, памяти, экрана, плюс развертка и курсор.

• ОС была написала на языке Basic Combined Programming Language (BCPL). Это язык программирования, разработанный Мартином Ричардсом в 1966 году, в Кембриджском университете. Изначально он предназначался для написания компиляторов для других языков. Кстати, на этом языке написана первая в мире программа "Hello world".

• Каждому Alto назначается Ethernet-адрес, который однозначно идентифицирует его в сети. Стандартный адрес, например, 50#100, большинству людей ни о чем не говорит. Поэтому каждому Alto присваивается собственное, запоминающееся имя. Например, компьютеры Alto в Стэнфорде названы в честь рек и гор штата Калифорния. Alto в CMU названы в честь драгоценных камней, а Alto в самой Xerox - в честь выдающихся людей. В результате получаются такие интересные имена, как Cypress, Turquoise или Machiavelli. Их гораздо легче запомнить, чем условный 50#100. К сети можно подключить коаксиальным кабелем совершенно чистый Alto с пустыми с завода накопителями, и он обзаведется полным набором ПО в считанные минуты.

• Xerox Alto оставил немалый след в мировой компьютерной истории. Его интерфейсу подражали лидеры рынка. Его технологии и находки применялись во множестве более новых компьютерных устройств. Прикоснуться к Alto прямо сейчас можно на этом сайте, с помощью браузерного эмулятора. Приведем несколько собственных скриншотов из игр и программ Alto. Предупреждаем, эмулятор весьма неспешен.

• Также существует «стационарный» эмулятор Alto, ContrAlto, написанный на C#. Его исходный код можно найти на GitHub.

#Разное

Читать полностью…

• В 1987 году был представлен по-настоящему доступный для потребителей ПК - Amiga 500 (на фото). Нюанс заключался в том, что эти компьютеры не имели жесткого диска. Единственным ПЗУ являлась микросхема Kickstart, содержащая в себе часть операционной системы компьютера. Предполагалось, что вторая "половина" AmigaOS будет загружена пользователем с дискеты. А игры и некоторый наиболее тяжеловесный софт и вовсе миновали запуск операционной системы и загружались с носителя напрямую. Соответственно, и "выходить" после игры было некуда: чтобы запустить другое приложение, требовалось перезагрузить компьютер кнопкой на блоке питания и вставить новую дискету.

• Так вот, в ноябре 1987 года команда Swiss Cracking Association, которая "специализировалась" на снятии защиты с лицензионного ПО, выпустила первый в мире вирус для Amiga. Вирус мог храниться либо на дискете, либо в RAM включенного компьютера.

• Вредоносный код, изначально находящийся в загрузочном секторе дискеты, загружался в оперативную память и прописывал свое тело в boot-сектора всех незащищенных от записи дисков, которые пользователь вводил в компьютер.

• Проявлялся вирус в виде следующей надписи на экране:

Something wonderful has happened
Your AMIGA is alive!!!
and, even better…
Some of your disks are infected by a VIRUS!!!
Another masterpiece of The Mega-Mighty SCA !!

• При этом "вирусный текст" выводился не при каждой загрузке с пораженной дискеты, а только 1 раз в 15 "теплых" перезапусков компьютера. Благодаря этому "инкубационному периоду" вероятность заражения нового устройства многократно возрастала.

• Несмотря на свою кажущуюся безобидность, вирус мог нанести реальный вред программам, дискеты с которыми имели собственные загрузчики. Переписывая себя на новый диск, вирус нарушал код boot-loader’а, вследствие чего программа переставала запускаться.

• Удалить вирус было достаточно просто: в случае с дисками, содержащими только файлы, требовалось дать команду "install", после чего boot-сектор полностью перезаписывался. Игру или программу "вылечить" было уже несколько сложнее: требовалось найти точно такой же, но "здоровый" диск и переписать содержимое его загрузочного сектора на зараженный.

• Крайне примечателен еще один факт: ASC был не просто вирусом, а вирусом-самоубийцей: разработчики "позаботились" о своих жертвах и вшили в программу функцию деактивации. Чтобы удалить вирус из памяти, нужно было удерживать кнопку fire 1 устройства, подключенного в первый порт, во время перезагрузки. То есть, либо "огонь" на джойстике, либо левую кнопку мыши.

• Чуть позже программист под ником SaturnusTheInvincible создал специальную программу, которая помогла в борьбе с данным вирусом.

• Кстати, вот по этой ссылке находится небольшая статья из журнала 1997 года. Обеспокоенный вирусной угрозой автор рассказывает читателям о работе с популярными антивирусными программами.

• Самые пытливые читатели могут даже ознакомиться на сайте SCA с исходным кодом вируса и некоторыми документами, касающимися его авторов.

#Разное

Читать полностью…

📰 Paged Out #8!

• Вышел 8-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute.

• К слову, весь материал собран энтузиастами со всего мира. Вы также можете принять участие и поделиться знаниями, которые могут опубликовать в следующем номере. Приятного чтения!

#Журнал #ИБ

Читать полностью…

• Знаете как называется устройство, которое изображено на фото? Это детектор подделок Портера, в котором подозрительная купюра по сетке сравнивалась с настоящей банкнотой. Именно так раньше (в 1920-х г.) проверяли подлинность купюр.

• Дело в том, что до 1920-х годов даже самые большие объёмы денег считались вручную - силами работников банков. К примеру, центры учёта наличности Федеральной резервной системы США представляли собой мрачные помещения с решетками на окнах, где сотрудники, сидя за большими деревянными столами вплотную друг к другу, вручную пересчитывали и проверяли подлинность поступивших банкнот. Нужно было удостовериться, что в каждой полученной пачке денег ровно 100 купюр одного номинала, а проверка на подлинность осуществлялась на глаз в прямом смысле этого слова - подозрительную банкноту отправляли в устройство Портера, где ее тщательно сравнивали с подлинным образцом по сетке, оценивая совпадение рисунка. Такое вот было время...

• Кстати, в 1920-х годах появилась первая автоматическая сортировочная машина для банкнот. Устройство раскладывало стопку купюр в пачки по 100 банкнот. Как только в одном из выходных лотков набиралась сотня, машина останавливалась, а оператор отделял готовую пачку деревянной перегородкой и запускал сортировку вновь. И хотя машина иногда ошибалась, ее точность была гораздо выше, чем у профессиональных сортировщиков.

• Первое сортировочное устройство работало в Федеральной резервной системе США практически без изменений в конструкции вплоть до конца 1960-х годов. Вместе с механизмами в кэш-центрах ФРС продолжали работать люди-сортировщики. Новичок на этой должности обрабатывал в день около 15 мешков однодолларовых купюр. По мере накопления опыта человек получал доступ к купюрам больших номиналов, требовавших особого внимания при проверке на подлинность. Например, в Федеральном резервном банке Филадельфии работало 55 сортировщиков, из которых всего несколько человек были допущены к работе с 50- и 100-долларовыми банкнотами.

• Что касается современных сортировочных машин, то это сложнейшее устройство с простейшим интерфейсом. Например, с высокоскоростным сортировщиком Toshiba IBS-1000 справится любой человек после короткого двадцатиминутного обучения, так как все управление устройством происходит через сенсорный экран и очень лаконичный интерфейс.

• Деньги помещаются в приемный лоток. Загрузочный карман IBS-1000 вмещает 2000 купюр любых номиналов - это стопка высотой порядка 25 см. Только представьте себе такую кучу денег и прикиньте, сколько времени потребуется одному человеку, чтобы ее пересчитать и разложить по номиналам. Причем после ручного счета такую стопку денег хорошо бы пересчитать - даже при подсчёте сотни купюр легко ошибиться.

• Непрофессионал сможет пролистывать банкноты со скоростью 3 листа в секунду. Мастера пятипальцевого счета пролистывают 7-8 банкнот в секунду. Toshiba IBS-1000 безошибочно обрабатывает более 16 купюр в секунду, подсчитывая, переворачивая и сортируя их по номиналу и степени износа. Последнее очень важно, так как банкноты имеют три степени износа: "ATM" (отличное состояние, годные для банкоматов), "годные для выдачи через кассы банков" и "ветхие", отправляемые на утилизацию в шредерах. Статистика сортировки для учета сохраняется на сервер.

• Так что пока наличные будут в обороте - счетно-сортировочные машины будут востребованными во всех странах, где используют бумажные или пластиковые деньги.

#Разное

Читать полностью…

• Вчера нашел интересный блог, автор которого начал публиковать материал по изучению Linux для DevOps и DevSecOps. На данный момент опубликована только 1 статья из 11, в которой описана структура файловой системы, навигация, работа с файлами, просмотр содержимого и поиск внутри файлов.

• В будущем планируется разобрать следующие темы: пользователи и группы, права доступа, процессы и система, сеть, логи и мониторинг, hardening и безопасность, пакеты и обновления, скриптинг и автоматизация, криптография и сертификаты, контейнеры (Linux-уровень)!

• Первую часть можно изучить по ссылке ниже. Что касается всего "курса", то я опубликую информацию в канале, когда материал будет готов полностью.

➡ https://hub.opensophy.com/docs/linux-filesystem

• Кстати, в самом конце статьи вас ждет Linux commands CheatSheet! Думаю, что для многих он окажется полезным.

#Linux

Читать полностью…

🎤Прослушка.

• Август 1945 года. Всесоюзная пионерская организация имени Владимира Ленина представила послу США Авеллеру Гарриману деревянную копию Великой печати Соединенных Штатов (на фото), в качестве символа дружбы между союзниками во Второй мировой войне. Герб повесили в кабинете американского посла в Москве (Спасо-Хаус). Вот только был один нюанс - в Герб был спрятан секретный жучок, благодаря которому осуществлялась прослушка...

• На протяжение 10 лет советской стороной велась кропотливая работа по плану внедрения уникального жучка, который не содержал никаких электронных компонентов и не требовал наличия батарей или какого-либо другого источника электропитания. Американцы окрестили жучок - the Thing (The Great Seal Bug (жучок в Большой печати США)). С Советской стороны операция прослушки носила кодовое название "Исповедь" и курировалось лично Сталиным и Берией.

• Сам жучок представлял собой ВЧ радиопередатчик оригинальной конструкции: не было собственного источника питания, не было подключений и проводов. Вместо этого устройство приводилось в действие сильным радиосигналом снаружи. Такой резонатор с неограниченным сроком действия послужил Советам в качестве наилучшей разведывательной службы.

• Начиная с 1945 года США с подозрением относились к безопасности в посольствах за рубежом, особенно в Москве. Хотя в конце 1940 в посольствах США в Восточной Европе и было обнаружено немало прослушивающих устройств, ни одно из них не было найдено в Москве, начиная со времен Второй мировой войны. Тем не менее дипломаты полагали, что у стен в Москве выросли уши. Подозрения усилились осенью 1951 года.

• Официальная версия: в 1951 году британский радиооператор в посольстве Великобритании (расположено было в 700 метрах от американского) наблюдал за советской радио связью, когда внезапно перехватил разговор, в котором узнал голос британского авиационного атташе, но скрытых микрофонов при обыске в посольстве так и не обнаружили.

• Чуть позже аналогичная ситуация произошла с американским оператором в 1952 году - он случайно смог подслушать разговор, который, как оказалось исходил из резиденции посла в Спасо-Хаусе. Начались усиленные поиски прослушивающих устройств в итоге жучок был обнаружен с помощью кристаллического видео приемника (он состоял из кристаллического детектора и видеоусилителя, уровень шума задавался детектором кристалла).

• Жучок был обнаружен Гос. департаментом США в 1952 году! За это время пост успели сменить уже три посла. Что только не делали и как не искали источник утечки информации: допрашивали с пристрастием на детекторе лжи сотрудников посольства, перелопачивали каждый сантиметр самого посольства, но - безрезультатно.

• Но как удалось обнаружить жучок в надежных "стенах" посольства? Существует несколько версий: 1) Прекращение утечки информации заметили в то время, когда герб снимали на реставрацию. 2) Рассохшийся деревянный герб выдал местонахождение жучка, оказавшись в трещине. 3) Существовал некий «доброжелатель-предатель» подполковник ГРУ Петр Попов, завербованный ЦРУ, поделившийся секретной информацией.

• Устройство, найденное внутри герба имело вид микрофона цилиндрической формы с проволокой длиной около 23 см, без каких-либо элементов питания. Изначально даже было предположение, что настоящий жучок спрятан в другом месте, а это лишь неизвестная вещица. Еще полтора года инженеры американской разведки бились над загадкой - что это такое? Жучок располагался под клювом орла, крошечные отверстия, сделанные в дереве, направляли звук на мембрану.

• Американская сторона приняла решение не придавать огласке такую неожиданную находку, вплоть до инцидента с U-2 в 1960 году. 1 мая 1960 года над воздушным пространством СССР был сбит американский самолет-шпион U-2. Было созвано заседание Совета Безопасности ООН, на котором советы обвинили американцев в шпионаже. На четвертый день встречи (26 мая 1960 года) был освещен факт взаимошпионажа между двумя странами: американский посол Генри Кэбот Лодж продемонстрировал "троянский" герб. Такая вот история...

➡️ https://youtu.be/YPJjxiuyy4A

#Разное

Читать полностью…

🟧🟧🟧🟧 Мы запускаем флагманскую программу по Application Security!

AppSec — одно из самых востребованных и быстрорастущих направлений в кибербезопасности.
И теперь у нас есть полный 7-месячный практический курс, который готовит к работе в реальных проектах — от поиска уязвимостей до внедрения безопасного SDLC и DevSecOps.

Что ждёт на программе?
🟧 200+ часов практики
🟧 Личный стенд: SQLi, XSS, SSRF, LFI, IDOR, Race Condition и др.
🟧 Работа с SAST (Semgrep), DAST (Burp/ZAP/OAST), SCA (Trivy)
🟧 Secure SDLC, Threat Modeling, CVE/CWE/CVSS
🟧 Автоматизация безопасности в CI/CD
🟧 Финальный capstone: mini-CTF, созданный своими руками
🟧 Большое портфолио из 9 проектов, закрывающее требования junior-вакансий

🎓 По итогам — диплом о профпереквалификации и готовность выйти на рынок как:
Junior/Middle AppSec Engineer, Web-Pentester, Security Developer, DevSecOps-инженер.

Запись до: 26 февраля
🟧🟧🟧 Первый поток доступен со скидкой 10%: 120.000 руб. 108.000 руб.

Набор открыт:
🟧 https://codeby.school/appsec.html

Читать полностью…

• Немного оффтопа: первый в истории оптоволоконный кабель стали извлекать со дна океана для переработки.

• Первый в истории океанический оптоволоконный кабель TAT-8 протяжённостью почти 6 тысяч км. стали извлекать со дна, чтобы отправить его на переработку. Кабель перестали эксплуатировать ещё в 2002 году, а стоимость проекта оценивалась в 335 миллионов баксов.

• TAT-8 запустили 14 декабря 1988 года. Он соединил США, Великобританию и Францию по дну Атлантического океана. Кабель был построен компаниями AT&T, British Telecom и France Telecom. В 2002 году его вывели из строя из-за неисправности, слишком дорогой для ремонта.

• Извлечением кабеля занимается компания Subsea Environmental Services, одна из трёх в мире, чья деятельность полностью сосредоточена на переработке кабелей. Она начала эту операцию в начале прошлого года, а к августу уже доставила 1012 км кабеля в португальский порт Лейшоэш, в том числе более 100 повторителей весом около 400 кг каждый.

• Всю работу выполняет команда из 14 человек, которая снимает кабель, демонтирует повторители и упаковывает бочки с оптоволокном для дальнейшей отправки в переработку.

• Кабель отправляется в компанию Mertech Marine в Южной Африке, где он будет разобран на сталь, медь и два типа полиэтилена. Пластик отправят в Нидерланды для его переработки в гранулы для разных сфер промышленности.

➡️ https://www.wired.com/global-internet-possible

• Между тем Google объявила о запуске проекта подводных линий связи America-India Connect. Проект должен расширить охват, повысить надёжность и устойчивость связи на четырёх континентах. В рамках America-India Connect создадут международный подводный шлюз в городе Вишакхапатнам. Также проложат три новых подводных маршрута, соединяющих Индию с Сингапуром, Южной Африкой и Австралией.

#Разное

Читать полностью…

• Компания ReversingLabs выкатила интересный отчет, в котором описана вредоносная компания "Veltrix Capital" с фейковыми собеседованиями, направленная на программистов. Речь пойдет о продуманной и очень хорошо подготовленной схеме, когда жертве предлагают пройти собеседование и направляют тестовое задание, содержащее вредоносный код.

• Атакующие реализовали собственный веб-сайт, регулярно обновляли аккаунты в соцсетях, а также собственный репозиторий в GitHub. Все "вакансии" от имени несуществующей компании публиковались на LinkedIn и в профильных сообществах на Reddit. Некоторым жертвам предложения рассылались лично, причем, вероятно, для этого нанимались настоящие рекрутеры-фрилансеры. Сами вакансии выглядели максимально правдоподобно, с щедрыми, но реалистичными окладами.

• В случае отклика кандидата ему присылали ссылку на тестовое задание, размещенное на GitHub фейковой компании. Там были выложены варианты кода на Python и JavaScript. Они не содержали собственно вредоносного кода, но он подключался в виде зависимости (библиотеки в репозиторий npm или PyPI). От кандидатов требовалось "запустить, отладить и улучшить" предложенный код...

• Реальной целью атакующих было выполнение вредоносного кода на компьютере жертвы. На скриншоте выше показано, что в качестве одной из зависимостей используется пакет graphnetworkx, который мимикрирует сразу под две популярных библиотеки - graphlib и networkx в репозитории PyPI. Выполнение этого кода приводило к загрузке троянской программы, которая на регулярной основе обращалась к командному серверу и выполняла полученные оттуда команды. Набор вредоносных фич был стандартный: создание и отправка списка запущенных программ и информации о системе, отправка атакующим произвольных файлов, загрузка файлов с командного сервера и так далее.

➡ https://www.reversinglabs.com/fake-recruiter

• Классическая схема, но ей далеко до мошенников, которые сделали целый "стартап" и нанимали программистов на работу в несуществующие компании! Они рассылали офферы, добавляли своих жертв в рабочие чаты в Slack, где общались боты и симулировали рабочую деятельность, а скамеры требовали от настоящих работников установить вредоносное ПО для кражи данных и криптовалюты.

#Исследование

Читать полностью…

• Доброе утро...🫠

#Понедельник #Юмор

Читать полностью…

Лучшее время для инвестиций в карьеру!
С 2️⃣0️⃣ по 2️⃣4️⃣ февраля открываем праздничное окно продаж.

В эти дни каждый, кто приобретёт любой курс, получит не только знания и новую профессию, но и фирменный бокс с мерчем.

Подробности о составе боксов и условиях — скоро в соцсетях Академии Кодебай.

Посмотреть программы курсов и даты стартов:
▶️https://codeby.academy/courses/

✔️ Для связи с менеджером

Читать полностью…

📷 Пост выходного дня: Sony MVC-CD400.

• В июле прошлого года рассказывал вам про цифровую фотокамеру Sony Digital Mavica, которая в качестве запоминающего устройства использовала дискеты! Да, дискеты, память которых составляла от 1 до 2 мб! Тогда размер файла в стандартном режиме фотосъемки составлял от 40 до 100 килобайт, и на одну дискету поместится от 10 до 20 фотографий.

• Так вот, у этой модели был старший брат на трёхдюймовых CD! Шел 2002 год, и Sony выпустила камеру MVC-CD400, которая умела прожигать диски. Поддерживались форматы: JPEG, TIFF, GIF и MPEG-1 (для коротких видео).

#Разное

Читать полностью…

SIEM-система должна не только показывать события, но и раскрывать связи между ними. Козырь KUMA 4.2 от «Лаборатории Касперского» — видеть полную комбинацию там, где другие видят лишь разрозненные сигналы.

Недавно вышла обновленная версию Kaspersky Unified Monitoring and Analysis Platform 4.2, и коллеги готовы «прочесть расклад» её ключевых функций.

26 февраля в 11:00 (МСК) приглашаем вас на стрим «Раскрываем карты: что нового в KUMA 4.2».

Программа эфира:

• Старшие арканы KUMA 4.2 — ключевые фичи и их польза
• Таро-расклад от сообщества — новости KUMA Community
• Взгляд в карту будущего — планы следующего релиза

Узнайте, как превратить разрозненные сигналы в ясную картину угроз.

Присоединяйтесь к стриму 26 февраля в 11:00 (МСК)

Читать полностью…

• В одном из ТГ-каналов нашел интересный ресурс, который содержит множество полноценных веб-приложений с реальными уязвимостями. Все задания, которые вы будете проходить, основаны на реальных багрепортах.

• Никакой настройки. Всё работает в браузере. Бесплатно. Что еще можно пожелать? Заходим и получаем отличную возможность прокачаться в поиске уязвимостей!

➡️ https://labs.hackadvisor.io/

• В качестве дополнения:

• На GitHub есть преднамеренно уязвимое банковское веб-приложение, которое содержит множество дыр в безопасности. Такие проекты помогают получить бесценный опыт ИБ специалистам, пентестерам, DevSecOps и программистам, в части поиска уязвимостей и безопасной разработки. На текущий момент веб-приложение содержит более 40 уязвимостей (на скриншоте выше), которые вам придется найти. Если не справляетесь или недостаточно опыта, то у автора есть подробный гайд по прохождению:

➡ GitHub;
➡ cyberpreacher_/hacking-vulnerable-bank-api-extensive-d2a0d3bb209e">Руководство [VPN].

• Кстати, там еще есть уязвимое мобильное приложение. На сколько оно дырявое не указано, да и подробного гайда нет, но если вам интересно, то забирайте по этой ссылке.

#AppSec #ИБ #Web #Пентест

Читать полностью…

• Доброе утро...🫠

#Понедельник

Читать полностью…

• Интересное было время...

• 2000 год - Журнал "Хакер" №10.

#Разное

Читать полностью…

• Они сделали это: в последних сборках Ubuntu 26.04 при запросе пароля командой sudo обратная связь по паролю теперь включена по умолчанию и отображает символы звёздочки (*) при вводе. Традиционно sudo не предоставляла обратную связь по паролю в целях безопасности, чтобы не раскрывать его длину. Разработчики sudo-rs изменили это поведение по умолчанию ради улучшения пользовательского опыта. Если обновление вам не по душе, то звёздочки по-прежнему можно отключить через pwfeedback.

➡️ https://www.phoronix.com/news/sudo-rs-password-feedback

#Новости #Linux

Читать полностью…

Курс по реагированию на киберинциденты

РКИ — это не теория. Это практический курс, после которого вы будете:
🟧 собирать дампы с Windows/Linux,
🟧 анализировать логи и вредоносное ПО,
🟧 работать с SIEM и проводить Threat Hunting,
🟧 грамотно реагировать на атаки и искать следы проникновения.

🟧 Стартуем 2 марта

🟧🟧🟧🟧 Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию!

🟧 Начать обучение сегодня

🚀 Для связи с менеджером @CodebyAcademyBot

Читать полностью…

• Так и живем...

#Новости

Читать полностью…

• Джун и его первая задача...

#Юмор

Читать полностью…

📶 Протокол NTLM для хакера.

• На хабре опубликовали хорошую статью, автор которой во всех подробностях рассказал о том, как работает NTLM протокол! Мы рассмотрим как в теории и на практике работает NTLM и какие в него включены меры безопасности.

➡ https://habr.com/ru/articles/993934

• Если данная тема для вас является интересной, то обратите внимание на дополнительный материал. По ссылке ниже вы найдете замечательную статью на английском, которая хорошо дополняет официальную документацию от Microsoft:

➡ https://davenport.sourceforge.net/ntlm.html

#NTLM #Security

Читать полностью…

• Как же так вышло-то?

#скаМ #Новости

Читать полностью…

🍎Стив Джобс.

• 71 год назад, 24 февраля 1955 года, родился Стив Джобс! Его биологическими родителями были уроженец Сирии Абдул Фаттах Джандали и студентка магистратуры Висконсинского университета Джоан Шибле, происходившая из семьи немецких эмигрантов. Их отношения не получили одобрения семьи девушки - отец угрожал лишить её наследства. Джоан отправилась рожать к частному врачу в Сан‑Франциско, где после рождения была вынуждена отдать ребёнка на усыновление.

• Мальчика взяла в семью бездетная пара Пол и Клара Джобс и назвала Стивеном Полом. Его приемная мать работала в бухгалтерской компании, а отец был механиком.

• В 12 лет Стивен Джобс позвонил главе компании HP Уильяму Хьюлетту и попросил у него детали, необходимые ему для сборки какого-то прибора. Пообщавшись с мальчиком, Уильям выслал ему все необходимое и пригласил в свою фирму поработать на каникулах. Тут-то и решилась судьба Джобса - во время работы в Hewlett-Packard он познакомился со Стивеном Возняком, с которым они и основали компанию Apple Computer Co.

#Разное

Читать полностью…

TRON.ASOC: Сделаем DevSecOps удобным!

Приглашаем на вебинар, где покажем TRON.ASOC:
• оркестрация сканеров проблем безопасности
• сбор, корреляция и создание отчётов
• управление процессом устранения уязвимостей

Покрытие всех этапов SSDLC: от анализа требований до контроля деплоя.

Из коробки доступны:
• триаж
• работа с ложноположительными находками и дубликатами
• настраиваемая приоритизация уязвимостей
• дашборды с метриками и отчёты
• гранулярная настройка RBAC-модели
• автоматическое реагирование

TRON.ASOC интегрируется в CI/CD процессы и работает с AppSec.Sting, Aqua, Codescoring, ESLint, Gitlab SAST, Grype, KCS, KICS, OWASP Depandency Track, PT Application Inspector, PVS Studio, SASTAV, Semgrep, Solar AppScreener, Trivy и любыми сканерами через API и SARIF.

Вебинар пройдёт 26-го февраля в 12:00 по Москве.
Регистрируйтесь по ссылке

Покажем TRON.ASOC, расскажем про безопасную разработку.

Читать полностью…

👁 1984.

«Все в городе выглядело бесцветным — кроме расклеенных повсюду плакатов. С каждого заметного угла смотрело лицо черноусого. С дома напротив тоже. СТАРШИЙ БРАТ СМОТРИТ НА ТЕБЯ, — говорила подпись, и темные глаза глядели в глаза Уинстону»...

• В 1949 году вышел роман Джорджа Оруэлла «1984», ставший одним из образцовых в жанре антиутопии. В нём описано будущее, в котором людей контролируют с помощью слежки и пропаганды, а технологии существуют только как инструмент этого контроля.

• Роман имел огромную популярность в Англии и США, был переведен более чем на шестьдесят языков и неоднократно экранизировался.

• К слову, в СССР книги Оруэла были под запретом более сорока лет. Отечественные политики называли Оруэлла троцкистом. Лишь в 1988 году советский литературовед Виктория Чаликова осмелилась назвать Оруэлла не "политическим памфлетистом", а классиком английской литературы, имя которого стоит в ряду с Джонатаном Свифтом и Чарлзом Диккенсом. Тогда же и вышел первый официальный тираж романа.

• Позже планирую разыграть 10 бумажных книг, когда найду в издательствах книги лучшего качества. А пока можете скачать книгу в электронном формате, либо почитать онлайн.

#Оруэлл

Читать полностью…

• Пост выходного дня и немного оффтопа: один из пользователей Reddit рассказал историю, что приобрел на eBay неисправную материнскую плату MSI Pro Z690-A WiFi за 50 баксов. У платы был повреждённый сокет, но на фото в объявлении были видны радиаторы на всех четырёх слотах M.2, что намекало на возможные SSD-накопители под ними.

• Дома покупатель аккуратно снял радиаторы и обнаружил четыре полностью рабочих M.2 SSD общим объёмом 12 ТБ. Улов оказался очень жирным: два топовых WD Black SN850X по 4 ТБ каждый, один Intel 670p на 2 ТБ и один Corsair Force MP600 на 2 ТБ. Рыночная стоимость комплекта - около 1500 баксов, по оценке пользователя.

• WD Black SN850X вышел четыре года назад, это один из самых популярных PCIe 4.0 SSD со скоростью чтения до 7000 МБ/с и записи до 6600 МБ/с. Intel 670p использует QLC-память и подходит для хранения данных. Corsair Force MP600 - ранний PCIe 4.0-диск с высокой скоростью, уже снятый с производства. Все накопители протестированы и работают без нареканий.

• Рад за него, но не от всего сердца...

#Оффтоп

Читать полностью…

🎉 Результаты розыгрыша:

🏆 Победители:
1. Maxim (@maksometr)
2. Arsenii (@gelapber)
3. Akiri

✔️Проверить результаты

Читать полностью…

💿 LaserDisc.

• 15 декабря 1978 года в Атланте стартовали продажи первого лазерного диска - MCA DiscoVision с фильмом "Челюсти". Это был громкий дебют: 12-дюймовые диски, лазерная точность считывания, аналоговое видео без сжатия. Формат обещал революцию - стоп-кадр, стереозвук, отсутствие помех при перемотке. Но технологии 1970-х не поспевали за амбициями. Первые проигрыватели грешили сбоями: половина дисков страдала от "лазерной дрожи", а плееры зависали на динамичных сценах. В 1981 году MCA и Philips разорвали партнерство, а формат перешел к Pioneer, который переименовал его в LaserDisc и начал долгую борьбу за выживание....

• Хитрые японцы бились над главной проблемой - емкостью. Без цифрового сжатия видео требовало сложных решений. Режим CAV, появившийся в 1978-м, работал как грампластинка: один оборот - один кадр. Это давало всего 30 минут записи на сторону, но позволяло ставить паузы, перескакивать к нужному кадру и замедлять воспроизведение.

• В 1980 году появился CLV - аналог компакт-дисков. Здесь скорость вращения плавно снижалась, упаковывая 60 минут на сторону. Теперь на диске умещалось два часа видео, что снизило цены. Позже Pioneer доработала CLV, внедрив режим CAA с резкими перепадами скорости. Это устранило помехи, но поддерживали его только топовые плееры.

• Диски стоили по 30–50 баксов (как два билета в кино), а проигрыватели - до 1000 баксов. Даже двухчасовой фильм требовал переворачивать диск или менять его каждые 30-60 минут. Запись была невозможна - только воспроизведение. В СССР попытки локализовать формат в 1990-х провалились из-за отсутствия поликарбоната и инфраструктуры. LaserDisc оставался экзотикой, доступной лишь энтузиастам.

• Но те, кто приобщился, ценили преимущества: 440 ТВ-линий, стереозвук, уникальные издания. "Звездные войны" с комментариями Джорджа Лукаса, "Криминальное чтиво" с альтернативными сценами - каждый релиз становился событием. Последними стали "Сонная лощина" от Paramount (2000) и японский "Tokyo Raiders" (2001). Производство плееров завершилось в 2009 году - Pioneer выпустил прощальный LD-909. К 2000 году DVD окончательно вытеснил LaserDisc. Такое вот было время... Сегодня LaserDisc пользуется успехом лишь у любителей, собирающих лазердиски с различными записями - фильмы, музыка, шоу.

#Разное

Читать полностью…

Как усилить свою позицию на рынке ИБ в 2026? Академия Кодебай предлагает системный подход с поддержкой экспертов!

Если вы планируете развиваться в ИБ или углубить текущую специализацию, сейчас открыты наборы по направлениям:

⏺️ AppSec инженер
⏺️ Профессия Пентестер
⏺️ Анализ защищенности Android-приложений
⏺️ Реагирование на компьютерные инциденты

Формат — практическое обучение с фокусом на инженерные навыки:

CI/CD и безопасность инфраструктуры, анализ инцидентов, работа с артефактами, исследование ПО без исходников, SAST/DAST, тестирование на проникновение, мобильная безопасность.

Ближайшие старты: 16 февраля и 2 марта.
По части программ можно присоединиться к текущей группе.

Мы готовы подобрать карьерный трек под ваши цели.

Пишите ОБУЧЕНИЕ @CodebyAcademyBot и получите бесплатную консультацию по образовательным программам.

Читать полностью…