Social Engineering

• А вы знали, что история возникновения штрих-кода появилась еще в 1932 году? Технику его создания предложил американский студент Уоллес Флинт, который в то время учился в Гарвардском университете. Основной его задачей была максимальная автоматизация торговых процессов. • Согласно идее студента, к каждому товару в ассортименте супермаркета "привязывалась" оригинальная перфокарта. Покупатели просто выбирали бы перфокарты и передавали их менеджеру. Тот сканировал их специальным устройством, после чего поступал сигнал на ленточный конвейер, который доставлял нужный товар со склада. Далее покупатель получал счет и оплачивал его, а в общую базу данных супермаркета вносилась информация о покупке. К сожалению, в то время реализовать подобную задумку было сложно. А вернее дорого. • Но в 1948 году идея вновь всплывает на поверхность. В это время Бернард Силвер и Норман Вудленд развили идею Флинта, сами того не подозревая. Они просто услышали разговор владельца одного из магазинов о том, что было бы хорошо автоматически считывать информацию о каждом продукте перед продажей. Их это заинтересовало и началась активная работа. • Вудленд бросает свою учебу в аспирантуре, которая мешает ему сосредоточится на решении целиком, и уезжает в Майами. Там он к нему и приходит решение: он вспоминает как изучал азбуку Морзе. Песок пляжа, на котором он пробует изобразить точки и тире, наталкивает его на мысль о передаче содержания с помощью линий различной толщины. • Кодировку надо было как-то считывать, и Вудленд с Сильвером придумали использовать для этого технологию передачи звука в кино, придуманную за два десятка лет до них Лу де Форестом, которая заключалась в "просвечивании" разной интенсивности цвета, наносимого по краю кинопленки. • Уже в 1949 году друзья получили патент на свое изобретение (их код выглядел как "яблоко", полоски расположены были по кругу, как на фото выше). • Однако на этапе конструирования, уже работая в IBM, куда их пригласили как авторов приглянувшейся руководству компании перспективной идеи, изобретатели столкнулись с проблемой считывания кода, а точнее — с проблемой создания адекватного устройства. • Их первый "сканер" представлял из себя устройство размером со стол, крышка которого была прозрачной, а под крышкой были мощные лампы. Получаемый сигнал передавался на осциллограф, который должен был фиксировать результат. Первые испытания закончились пожаром: лампы раскалили крышку, бумага задымилась, но, тем не менее, первый результат был получен. • Проблема считывания кода выглядела нерешаемой, и тем более не решаемой была проблема обработки полученной информации. Эта задача возлагалась на ЭВМ, но ЭВМ тех лет были чрезвычайно громоздки и еще только учились решать задачи сложнее арифметических действий. • По итогу в IBM официально закрыли проект, Вудленд и Сильвер продают свой патент в компанию RCA за $15000. RCA вцепляется в идею шрих-кода, и много лет экспериментирует с ней, пробуя заинтересовать им торговлю. Они первые догадались применить для сканирования кода лазер! • У компании есть и первые успехи: их кодом начинают пользоваться при железнодорожных и морских перевозках. • В конце концов, их активность оказывается замеченной: в начале 70-х американский союз супермаркетов объявляет конкурс на лучший код. • Корпорация IBM мгновенно "возвращается в игру". Создается рабочая группа во главе Джорджа Лорера. Вместе с математиком Дэвидом Савиром они приступают к решению. Тут кто-то из ветеранов IBM вспоминает про двух талантливых ребят, занимавшихся у них этой проблемой в 50-е. Сильвера к тому времени уже нет в живых, но Вудленд не растерял своих способностей, и он с азартом включается в работу. • Лорер находит "ахиллесову пяту" концентрического кода, и предлагает вместо него линейный: это очень упрощает процесс сканирования и повышает его качество, количество ошибок при считывании снижается. • В итоге простое и элегантное решение от IBM пришлось по вкусу американской торговле, и 3 апреля 1973 года считается рождением UPC (Universal Product Code). Так и пошло... S.E. ▪️ infosec.work ▪️ VT

• Очень крутую статью нашел на хабре: физическое устройство RAM от атома кремния до реальных чипов. Хоть и оффтоп, но если вы прочитаете данный материал, то найдете много нового и интересного в части устройства и архитектуры RAM. Если описывать тезисно, то материал содержит следующую информацию: ➡Типы веществ: проводники, диэлектрики, полупроводники с точки зрения Боровской модели атома; ➡Соединили два полупроводника вместе, получив диод, поняли, что им можно управлять внешним напряжением в цепи; ➡Осознав диод, осознали и транзистор (триод), что лежит в основе всей современной микроэлектроники; ➡Разобрав принципы работы конденсатора, соединили его вместе с транзистором и получили самую настоящую ячейку RAM; ➡Рассмотрели плашку RAM, оказалось, что на ней просто несколько одинаковых чипов. Детально разобрали устройство банков памяти, которые и составляют чип; ➡В общих чертах рассмотрели процесс записи и чтения и подвели итоги. ➡ Читать статью [30 min]. S.E. ▪️ infosec.work ▪️ VT

• 17 июня команда Ozon Tech планирует провести очень крутое мероприятие, в рамках которого будут представлены 4 доклада на любой вкус: ➡об удалённом доступе и подходах к организации его безопасности; ➡о patch management на рабочих станциях и опыте его разработки в Ozon Tech; ➡о первой линии и процессе разбора ИБ-событий от создания алерта до закрытия; ➡об организации соревнования CTF среди сотрудников и его важности для компании. • Будет время на нетворк и афтерпати! А еще обещают HR-интерактив: с нанимающими менеджерами можно будет пообщаться в формате 1х1. • Забронировать место офлайн или зарегистрироваться на онлайн, чтобы получить записи и презы, можно по ссылке: ➡ https://ozon.tech/events/255-ozon-tech-community-cybersec-meetup/ S.E. ▪️ infosec.work ▪️ VT

• На хабре есть хороший лонгрил по анализу безопасности криптофлэшек. Задача такого устройства — защитить чувствительную информацию от несанкционированного доступа на программно-аппаратном уровне: при помощи шифрования, механизмов антивскрытия и прочих "семи печатей". • Методами аппаратного реверс-инжиниринга эксперты попытались взломать 5 устройств в широком ценовом диапазоне. Попробовали извлечь данные, определить применяемые типы шифрования, вскрыть криптофлешки и прочитать чипы памяти. Результаты получились интересными. • Подробности по ссылке ниже. С картиночками и подробным описанием выполняемых действий - все как бы любите. ➡ https://habr.com/ru/post/984364 S.E. ▪️ infosec.work ▪️ VT

• Just the Browser - хороший проект, который поможет оптимизировать работу вашего браузера и вырезать из него некоторые избыточные функции, которые напрямую не связаны с навигацией в Web. Если описывать простыми словами, то проект предоставляет скрипты для изменения конфигурации Google Chrome, Microsoft Edge и Mozilla Firefox, и отключения в них сопутствующих возможностей, часто раздражающих пользователей, таких как работа с AI-сервисами, интеграция со сторонними продуктами, отправка телеметрии и показ рекомендованного контента на странице открытия новой вкладки. • Отключить можно следующее (зависит от браузера): • Функциональность, связанная с генеративными AI-моделями и взаимодействия с AI-сервисами (как локальными, так и облачными), например, интеграция Copilot в Edge и использование AI для рекомендации группировки вкладок в Firefox. • Инструменты для шопинга, такие как отслеживание цен в интернет-магазинах и получение купонов. • Показ стороннего или спонсируемого содержимого, например, рекламные рекомендации сайтов в адресной строке и показ статей при открытии новой вкладки. • Типовые напоминания, такие как всплывающие окна с предложением изменить выбор браузера по умолчанию. • Запросы, показываемые при первом запуске, такие как экран приветствия первого запуска и предложения импортировать данные из других браузеров. • Сбор и отправка телеметрии. • Всю необходимую документацию и более детальное описание можно найти на github: ➡ https://github.com/corbindavenport/just-the-browser S.E. ▪️ infosec.work ▪️ VT

Пропуск виртуальный, продуктовое закулисье — реальное! Присоединяйтесь к онлайн-трансляции Product Backstage За каждым нашим продуктом — смелые идеи, бессонные ночи и команда, для которой результат важнее всего. 17-18 июня на мероприятии Product Backstage мы убираем занавес и приглашаем вас в самое сердце разработки ИБ-продуктов.   Что вас ждет?   🌱 Только настоящие истории, живые кейсы и инсайты от тех, кто делает индустрию кибербезопасности. Узнайте, о том, как сухие тренды из отчетов становятся живым продуктом, которым пользуется бизнес.   🚀 Крутые продуктовые запуски, обновленные релизы, разговоры о ML- и LLM-технологиях, live-трансляции с продуктовых площадок и открытые микрофоны с создателями и пользователями ИБ-решений.   📈 Обсуждения трендов в ИБ, прогнозов, а также выступления спикеров, настоящих рок-звезд кибербеза, — с их экспертными докладами и инсайтами.   Узнайте подробности и зарегистрируйтесь на онлайн-трансляцию Product Backstage    Увидимся за сценой!

• А вы знали, что у ОС Windows были платные дополнения? В 1994 году выпустили в релиз коммерческий продукт - Microsoft Plus, который дополнял возможности Windows. Сразу стоит отметить, что Plus выпускался для разных ОС, включая Win 95, XP и Win 98, о которой сегодня и пойдет речь. • Основной фичей дополнения Microsoft Plus! 98 были темы рабочего стола. Так как персонализация внешнего вида считалась одним из важных и конкурентных преимуществ ОС. Уже в Windows 95 явно прослеживается желание упростить взаимодействие пользователя с системой и одновременно заложить основу для будущих интерфейсов. Решение — поддержка тем рабочего стола, которые состояли из цветовой схемы, фоновых изображений, хранителей экрана, звуков, иконок и указателей мыши. • Такой набор позволял очень сильно изменить внешний облик графического интерфейса, оставив все элементы на своих местах. Последнее было важно, поскольку текущие пользователи уже давно привыкли к расположению программ и настроек. Любое значительное изменение могло вызвать недовольство покупателей и, как следствие, снижение продаж. • Готовая тема имела расширение .Theme. Раньше это был единый INI-файл, разделенный на секции, каждая из которых настраивала свою часть темы. При этом редактировалась обычным текстовым редактором, а это позволяло создать кастомный вид интерфейса. • В Windows XP о такой вольнице пришлось забыть. Каждая тема стала состоять из двух компонентов: общие настройки по-прежнему хранились в файле с расширением .theme, а вот визуальное оформление элементов интерфейса теперь лежало в файле стилей .msstyles. Последний был бинарником (но не исполняемым), где они хранились в формате ресурсов PE (Portable Executable). • Дополняло эту картину то, что файл .msstyles имел цифровую подпись Microsoft, что делало невозможным прямую замену на кастомный без дополнительных манипуляций. За применение визуальных стилей отвечала библиотека uxtheme.dll. Так что для установки собственных пользователям нужно было "взломать" этот файл. Брали либо готовые патчи, либо правили в HEX-редакторе, заменяя условный переход безусловным или вообще пропуская проверку подписи. • Всего Microsoft Plus! 98 добавил 18 новых тем рабочего стола. Из них особо выделялись FoxTrot и Garfield (на фото). Обе темы были основаны на популярных американских комиксах. Первый о жизни семьи Фоксов, а второй о знаменитом коте по кличке Гарфилд. Разработчики подошли к созданию тем тщательно, так что даже анимация курсора ожидания была заменена на круглую пиццу, от которой непрерывно "съедаются" треугольные куски. • Помимо тем дополнение включало кучу игр и различные тулзы, включая фоторедакторы, плееры, софт для оптимизации системы и очистки мусора! А еще там был McAfee VirusScan! • В общем и целом, Microsoft Plus был неким тест-драйвом функций, которые разработчики хотели внедрить в новые версии Windows, и маркетинговый инструмент, позволяющий улучшить узнаваемость бренда. Плюс все же он приносил прибыль компании. На минуточку, за Plus просили 50 баксов (сама win 98 стоила 100 баксов)!!! Другой вопрос, стоил ли он своих денег? Очень спорный вопрос. S.E. ▪️ infosec.work ▪️ VT

• В копилку гайдов по настройке голосовой и видеосвязи... На хабре есть хорошее руководство по настройке Nextcloud Talk. • Nextcloud Talk занимает третье место среди всех платформ цифровых коммуникаций, учитывая функциональность, защищённость, открытый код клиента и сервера, установку на самохостинге, поддержку сквозного шифрования. А еще веб-интерфейс и мобильное приложение Nextcloud Talk работают через сервер пользователя, что хорошо подойдет для семьи и для общения с друзьями. Поддерживается федерация с другими серверами. ➡ https://habr.com/ru/post/984836 • В дополнение ⬇ ➡Matrix и XMPP на своем сервере для самых маленьких. ➡Galene — простой сервер видеоконференций. Установка на VPS. ➡Звонки через Jabber в докер-контейнере за 5 минут. ➡Запускаем сотовую сеть 4G LTE с поддержкой звонков и SMS. S.E. ▪️ infosec.work ▪️ VT

• В конце 19 века, во время бума розничной торговли, владельцы магазинов столкнулись с определенными проблемами: кражами на кассах, случаями хищений со стороны сотрудников, а еще покупателям приходилось долго ждать расчета или сдачи. Чтобы оставаться на плаву, владельцам магазинов нужно было найти безопасный и удобный способ перемещения денег по магазину. • Многие годы деньги в крупных магазинах доставляли в общую кассу с помощью курьеров. Продавцы звонили в колокольчики или кричали "Кассир!", чтобы вызвать "кассовых мальчиков". Те забирали деньги клиентов, бежали к кассовому пункту, получали сдачу и возвращались обратно. Согласитесь, сейчас такая схема выглядит безумием. • Уильям Стикни Ламсон, торговец тканями из Массачусетса, был одним из первых, кто попытался автоматизировать этот денежный поток. В конце 1870-х он экспериментировал с передачей налички, завернутой в носовые платки. Сотрудники бросали их друг другу до кассы. Это было, конечно, странно и тоже не особо эффективно. Но потом он создал гораздо более продвинутую систему, которая стала чрезвычайно популярной у бизнеса. • Ламсон изобрел систему, основой которой были полые деревянные шары. Деньги помещались в них, а они уже катились по наклонным рельсам, установленным за полками. Конечная станция - касса. Покупатели находили это удобным и новаторским, поэтому вскоре и другие розничные торговцы начали использовать такую систему. • Система кассовых шаров работала достаточно хорошо, но рельсы были громоздкими, а внутреннее устройство некоторых магазинов не позволяло соединять все отделы наклонными дорожками. • Здесь пришла на помощь другая система. 15 июля 1875 года предприниматель из США Дэвид Браун получил патент на "аппарат для транспортировки наличных денег и прочих мелких грузов". Система представляла собой корзинки, подвешенные к веревочной карусели. Полученные за товар деньги продавец отправлял в корзине кассиру, а тот возвращал сдачу и чек. • Ламсон выкупил права на это изобретение, усовершенствовал его и добился коммерческого успеха своего предприятия. В 1882 году он основал в Бостоне компанию Cash Carrier Company. Она занялась массовым выпуском устройств по доставке денег на базе этой технологии. • К концу 1880-х продавцы отправляли деньги в небольших деревянных емкостях или корзинах. Оснащенные шарнирной системой, те передвигались по натянутому проводу от прилавка к кассовому пункту, который обычно представлял собой клетку в центре магазина. Натягивая специальный шнур или нажимая на рычаг, продавцы могли отправлять емкости по проводу, а те достигали пункта назначения за считанные секунды. Кассир возвращал сдачу и квитанцию тем же образом. • К середине 1890-х годов компания Cash Carrier Ламсона стала международной, обслуживая розничных торговцев в Великобритании, США и Канаде. Неудивительно, что у Ламсона появились конкуренты, которые патентовали похожие системы и пытались пробиться на быстро развивающийся рынок "кассовых деньгоперевозок". • С развитием спроса системы становились все более масштабными, сложными и эффективными. Одна из популярных инноваций - доставка с электрическим двигателем. Он приводил в движение серию канатов, по которым кассовые контейнеры могли перемещаться в любом направлении. • Системы разных компаний стали неотъемлемой частью дизайна розничных магазинов начала XX века. Самые сложные из них напоминали аттракционы, когда деньги и товары стремительно передвигались по открытым пространствам, лихо заворачивали за углы, и скользили вверх и вниз по наклонным проводам. • Но всему когда-то приходит конец... Все эти канатные системы устарели с появлением новых технологий. Автоматические кассовые аппараты обеспечили безопасность и повысили удобство, что позволило уйти от "железных дорог" в магазинах... S.E. ▪️ infosec.work ▪️ VT

⚙ Maltrail ― крайне полезный инструмент для обнаружения вредоносного трафика на базе общедоступных черных списков сетевых адресов. • Если говорить простыми словами, то Maltrail является легковесной системой обнаружения вторжений (IDS). Принцип работы следующий: ➡Тулза тихо слушает весь сетевой трафик, идущий к вашему серверу и от него. ➡Сверяет IP-адреса, домены и URL из этого трафика с огромной, постоянно обновляемой базой данных, собранной из сотен публичных "чёрных списков" и статических сигнатур. Туда входят списки от AlienVault, dshield, Emerging Threats, трекеры Ransomware и данные о тысячах семейств вредоносов! ➡Если обнаруживается совпадение — Maltrail немедленно записывает это в лог и показывает в красивом веб-интерфейсе. • При использовании нужно учитывать: ➡Это IDS, а не IPS. Maltrail обнаруживает, но не блокирует трафик по умолчанию. ➡Возможны ложные срабатывания. Иногда в списки попадают IP-адреса крупных сервисов вроде Google или Cloudflare. ➡Идеален для pet-проектов и небольших серверов. Он очень лёгкий, почти не потребляет ресурсов и прост в настройке. ➡ https://github.com/stamparm/maltrail S.E. ▪️ infosec.work ▪️ VT

Домены .ru и .рф за один рубль Вы можете перенести и продлить домен в Selectel по одному рублю в зонах .ru и .рф. Миграция пройдет бесшовно, никаких остановок работы вашего сайта на время переноса. Бонус — бесплатный DNS-хостинг и SSL-сертификаты. И это не все, что вы получаете в Selectel. Здесь в одном окне браузера собрано 50+ инфраструктурных продуктов: от S3 и VDS до выделенных серверов. То, что нужно для развития ваших проектов. Успейте перенести и продлить домены в Selectel по рублю до 30.06 → Реклама. АО "Селектел". erid:2W5zFGhj8CR

В детстве, которое пришлось на 90-е, мне очень хотелось иметь Интернет. Родители не собирались его подключать, поэтому я позвонил провайдеру и сказал, что хочу создать аккаунт. У меня спросили фамилию, я назвал вымышленную. Потом у меня спросили номер кредитной карты, я сказал, что мне нужно найти бумажник, после чего я перезвоню. Из книги Big Secrets и нескольких выпусков журнала 2600 я знал пару фактов о кредитных картах. Номера карт American Express всегда состояли из 15 цифр и начинались с тройки, а номера карт Visa состояли из 16 цифр и начинались с четвёрки. Первая пара цифр обозначала банк-эмитент, затем шёл номер счёта; последняя цифра вычислялась при помощи алгоритма Луна и использовалась как контрольная сумма всех предыдущих цифр. Для генерации номера карты Visa нужно начать с четвёрки, добавить несколько случайных цифр, а затем вычислить контрольную цифру и добавить её в конец. Получившееся число почти наверняка не совпадёт с номером реальной карты, но будет выглядеть настоящим номером. Я написал программу для генерации номеров кредитных карт согласно описанному выше алгоритму, а затем перезвонил провайдеру, сообщил номер и произвольный срок действия. Представитель провайдера сказал: «Отлично, теперь нам нужен лишь номер телефона, чтобы перезвонить вам». Не знаю, первое ли это правило мошенничества с кредитными картами, но оно вполне может им быть: «Не сообщай человеку, которого пытаешься обмануть, свой реальный номер телефона». Я сказал, что недавно переехал, мне нужно его поискать, и что я перезвоню. Я пошёл к таксофону рядом с магазином у дома, записал его номер, перезвонил провайдеру и сообщил данные. На другом конце провода повесили трубку, подождали несколько минут и перезвонили на таксофон, я ответил. Меня попросили назвать имя пользователя, дали мне произвольный пароль и поблагодарили. Интернет оказался всем тем, на что я надеялся; по крайней мере, на пару недель. Но однажды имя пользователя и пароль не сработали. Очевидно, провайдер попытался снять платёж с карты, и ему не удалось. Я сгенерировал новый номер кредитки, вернулся к магазину, снова позвонил с таксофона и попросил создать новый аккаунт. Всё проходило без проблем, пока я не дал номер таксофона, после чего меня не поблагодарили. Номер таксофона занесли в чёрный список, но преимущество жизни в большом американском городе в 90-х заключалось в том, что всегда можно было найти другой таксофон. Я позвонил провайдеру с другого, создал новый аккаунт и снова получил Интернет. На следующие несколько месяцев это превратилось в своеобразную игру «кошки-мышки» между мной и провайдером. Я распечатал список сгенерированных номеров кредитных карт и носил его с собой. Если я находил таксофон, то или звонил, чтобы создать новый аккаунт, или записывал его адрес на будущее. Иногда я попадал на сотрудника, с которым я говорил раньше и который узнавал мой голос, иногда сотрудник настаивал на том, чтобы перезвонить на следующий день, из-за чего мне пришлось бы зависать рядом с таксофоном, надеясь, что он зазвонит. Если я был с другом, то просил позвонить его и сказать текст, который я записывал на бумаге. Со временем у меня наконец появился более постоянный доступ к Интернету, но этот опыт заставил меня полюбить таксофоны за то, что они были столь полезны в нужную мне минуту.

• Максимально атмосферная статья, где автор рассказывает об опыте использования таксофонов и его установке у себя дома. Статья - оффтоп, но однозначно вам понравится. ➡ Источник [eng]. ➡ Перевод [ru]. S.E. ▪️ infosec.work ▪️ VT

IDS/IPS: как работают современные системы обнаружения и предотвращения атак. Открытый урок курса «IDS/IPS. Инфраструктурные компоненты защиты» IDS/IPS — это не «чёрный ящик», который сам по себе делает сеть безопасной. Чтобы такие системы реально помогали в защите инфраструктуры, нужно понимать, как они анализируют сетевой трафик, какие события фиксируют, как формируются правила обнаружения и почему одни атаки видны сразу, а другие проходят мимо. На открытом уроке 3 июня в 20:00 разберём, как современные IDS/IPS-системы помогают находить сетевые атаки, аномалии и признаки компрометации инфраструктуры. Посмотрим на архитектуру таких решений, принципы анализа трафика и журналов событий, а также практические примеры обнаружения подозрительной активности. Отдельно обсудим открытые инструменты Snort и Suricata: их возможности, ограничения и первые шаги настройки. На практике развернём Snort и получим Oinkcode. Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576 Урок не для тех, кто ждёт «поставил и забыл», не хочет разбираться в сетевой природе атак и считает, что система обнаружения сама решит задачу без правил, анализа событий и настройки. 👉 Записаться: https://otus.pw/WsG6/

• На github есть интересный проект, который называется Winslopr. Он предназначен для удаления ненужного системного мусора в Windows 10/11. Тулза упрощает обслуживание системы, оптимизирует производительность и устраняет навязчивые и избыточные функции. • Winslopr - это локальная версия форка проекта CrapFixer, которая показывает, какие изменения произойдут в ОС, позволяя пользователям просматривать и отменять действия. Инструмент работает полностью в автономном режиме, без ИИ, облачных сервисов или телеметрии. Решение подходит для пользователей, которые хотят реализовать более минималистичный и оптимизированный интерфейс Windows 10/11. • Основные особенности и возможности проекта Winslop: ➡Удаляет системные ненужные компоненты; ➡Оптимизирует использование ресурсов для повышения производительности; ➡Локальная и автономная работа; ➡Улучшает производительность системы; ➡Удаляет принудительные или необязательные компоненты; ➡Показывает, что будет изменено, прежде чем применить изменения; ➡Легковесный инструмент. ➡Позволяет просматривать и отменять изменения, сохраняя контроль в ОС. • Забираем по ссылке ниже: ➡ https://github.com/builtbybel/Winslopr S.E. ▪️ infosec.work ▪️ VT

➡️Как обнаружить атаку на AD, когда не видно ничего подозрительного? Изучите техники и методики атак на инфраструктуру Active Directory! Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Стартуем 8 июня🚗 ➡️ Регистрация Содержание курса: ⏺️AD-сети с миксом Windows/Linux ⏺️Харденинг в AD, добыча критичной информации, развитие по инфраструктуре ⏺️Захват и укрепление позиций внутри инфраструктуры ⏺️Применение и анализ популярных эксплоитов Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff 😀☺️😚🥲😎Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

• Хорошая и полезная статья, где автор рассказывает о реализации сотовой сети 4G LTE с поддержкой звонков и SMS в домашних условиях. А еще мы разберемся, каким образом работают звонки в LTE-сетях, как запустить такую сеть при помощи SDR и как заставить это всё работать! ➡ https://habr.com/ru/post/971258 • В дополнение ⬇ ➡Matrix и XMPP на своем сервере для самых маленьких. ➡Galene — простой сервер видеоконференций. Установка на VPS. ➡Звонки через Jabber в докер-контейнере за 5 минут. ➡Как развернуть Nextcloud Talk на собственном VPS. ➡Реализация собственного сервера для безопасной коммуникации текстовыми сообщениями и звонков. S.E. ▪️ infosec.work ▪️ VT

• Если вам кажется, что мигающий курсор это незначительное изобретение, то вы просто не знаете как люди жили до этого. Внесение информации в компьютер была скрупулезной и сложной работой. Больше всего досталось редакторам цифровых изданий и наборщикам текстов. • Только представьте, черный фон, на котором зеленым шрифтом печатались тексты. Мало того, что это сложно прочитать, так еще и с кучей опечаток. Автор текста, отвлекшись, может потерять место, где нужно писать. Ко всему прочему, проблемой была и задержка в появлении напечатанных символов на экране компьютера. • Редакторы издательств, уставшие от рутинной работы за компьютерами, распечатывали фрагменты текста, чтобы отметить правки ручкой, а затем вводили весь текст заново. Несмотря на то, что текстовые файлы уже можно было записывать на магнитную ленту, ранние программы для предпечатной подготовки книг не умели сохранять макеты - расположение текста на страницах, отступы и даже свойства гарнитуры. Эти параметры каждый раз заново вводили перед печатью. • Удивительно, но решение всех этих проблем нашел Чарльз Кислинг. Американец шотландского происхождения в молодости служил на флоте, где и нашел свое призвание. Нет, это не океан, а вычислительная техника. После участия в Корейской войне, Кислинг в 1955 году устраивается работать в компанию Sperry Rand. Там он работал с логическими схемами для персональных компьютеров. • В 1968 году от имени Чарльза Кислинга поступает заявка в патентное бюро на разработку мигающего курсора, а в 1970 ему этот патент одобрили. • В том же году он получил патент на логическую схему расширения для систем отображения. Иными словами, механизм, который сократил время визуализации символов на экране компьютера. • Его изобретения впервые были использованы в компьютерах компании Apple в 1977 году. Стив Возняк пожертвовал ради внедрения этой функции в компьютерах Apple II вводом строчных символов. И сооснователь не прогадал, потому что это было настоящим прорывом... Технология довольно быстро стала использоваться во всех персональных компьютерах. • Чарльз Кислинг проработал более тридцати лет в конструкторском бюро по производству логистических схем и умер в 2014 году в преклонном возрасте в окружении семьи. Благодаря этому открытию жизнь миллиардов людей стала гораздо проще. ➡ https://patents.google.com/patent/US3531796A S.E. ▪️ infosec.work ▪️ VT

Хотите стать пентестером и предотвращать кибератаки? 👀 Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Стартуем 4 июня — регистрация здесь. Что вы получите? 🔸 Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест 🔸 Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов. 🔸 Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности Полный цикл обучения: ⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений ⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки! Подробнее о курсе📵

• Нашел интересную информацию в блоге у Реймонда Чена (разработчика из Microsoft), в которой он рассказал, что в ранних сборках планшетной версии Windows 8 в меню для вывода на экран кодов ошибок были заведены девять картинок с кошками, сидящими на заборе и вилявшими хвостами, смотря на заходящую Луну. Именно эти картинки позволяли разработчикам понять, что в запущенном приложении произошла ошибка, и экран с кнопкой "Пуск" недоступен. • Чен пояснил, что в интерфейсе планшета с Windows 8 компоненты организованы в виде набора слоев, где каждый элемент располагается поверх следующего. • Основной слой - "Пуск", также есть слой "Приложения". Если пользователь использует приложение, то соответствующий слой отображается в полноэкранном режиме. Если пользователь открывал в этот момент меню "Пуск", то этот слой закрывает "Приложения". Если последнее приложение закрывается, то автоматически открывается слой "Пуск". На экране всегда должен отображаться только полноэкранный слой. • Во время разработки, конечно, что-то неизбежно пойдет не так. Тестировщики при проверках часто попадали в состояние, когда ни слой "Пуск", ни слой "Приложения" не отображались, что приводило к черному экрану и зависанию устройства. • Разработчики столкнулись с тем, что черный экран может иметь несколько причин. Видеодрайвер мог глючить. Либо же он мог работать нормально, но система передачи изображений в память зависла, так что видеодрайверу не передавалась информация. Или компоновщик картинки мог работать штатно, но оболочка давала сбой, поэтому компоновщику оказывалось нечего рендерить. Или оболочка могла быть запущена, но система не выдавала на экран нужную картинку из-за багов или ошибок и отображала черный фон. В общем и целом, там был миллион причин... • Разработчики решили, что в этом случае им нужен вспомогательный экран, который бы отображался системой, если все остальные слои не работают, и при этом непонятно, почему возникла проблема. При штатной работе этот экран не виден: его слой всегда находится ниже остальных. • На ранних отладочных сборках этот вспомогательный экран содержал ASCII-рисунки с кошками. Таким образом, если разработчики видели этих животных на дисплее, то знали, что попали в тот последний случай сбоя: оболочка работает, но забыла что-то вывести на экран. • Но почему кошки? На самом деле все предельно просто. Дело в том, что разработчик, создавший этот вспомогательный экран, просто любил кошек. • Как оказалось, этому разработчику так нравились кошки, что он создал с ними целую серию картинок. При запуске системы они рисовали первое изображение с кошками на самом последнем слое. Каждый раз, когда показывался слой с кошками из-за ошибок в системе, их картинки перерисовались на новые, они циклически переходили к следующему изображению. Это было похоже на историю, которая рассказывалась по одному предложению за раз, причем каждое предложение раскрывалось лишь тогда, когда происходила ошибка на устройстве. Такая вот история... ➡ https://devblogs.microsoft.com/20220208 S.E. ▪️ infosec.work ▪️ VT

• Интересный инструмент с текстовым интерфейсом - Dive, который позволяет визуально исследовать каждый слой вашего образа. Вы можете "пощупать" файловую систему контейнера на каждом этапе его сборки. • Выглядит это так: перед вами открывается экран, разделённый на две основные части. Слева вы видите список слоёв. Справа отображается дерево файлов текущего выбранного слоя. • Одной из полезных функций является подсветка изменений. Вы можете переключаться между слоями, и программа будет показывать, какие файлы были добавлены, изменены или удалены именно на этом шаге. Dive автоматически анализирует эффективность образа и показывает метрику Wasted Space (потраченное впустую пространство). Это происходит, когда вы, например, копируете файлы в одном слое, а удаляете их в другом. Фактически файлы остаются в истории образа, занимая место, хотя в финальной файловой системе их нет. ➡ https://github.com/wagoodman/dive • Еще больше полезных инструментов можно найти в статье: 6 Docker-фич для продвинутого использования [Часть 1], [Часть 2]. S.E. ▪️ infosec.work ▪️ VT