infosec

• Если честно, то я никогда не замечал тот факт, что у сервиса VirusTotal есть свой CLI инструмент. Можно и ссылочку проверить, и файл отсканировать, и информацию по хэш значению получить. Всё что вам необходимо для использования - это API ключик (он доступен абсолютно всем при регистрации). Вот тут более подробно:

➡️ https://virustotal.github.io/vt-cli/

#VT

⌚️Seiko UC-2000, умные часы из 1984 года.

• Представьте себе умные часы, но из 1984 года. Звучит как что-то прямо из научно-фантастического фильма, ведь 80-е годы прошлого века не славятся большими достижениями в области персональных компьютеров. Но это реальность, и это именно то, что было создано компанией Seiko в те времена и было известно как UC-2000 — «персональный информационный процессор», который можно носить на запястье (на фото). Как и следовало ожидать, это было новое устройство, которое было выпущено по цене 300 долларов (это что-то около 900 долларов сегодня с учётом инфляции).

• Часы выглядят как компьютер и работают почти как компьютер, хотя технически их нельзя назвать компьютером, пока вы не подключите к ним внешнюю клавиатуру, которая добавит им соответствующую функциональность.

• Устройство состояло из двух частей: часов и клавиатурной док-станции. Циферблат Seiko UC-2000 представляет собой жидкокристаллический матричный дисплей с чёрным ободком, а корпус — серый металлик, сочетающийся с браслетом из нержавеющей стали. В нижней части расположены четыре кнопки, окрашенные в оранжевый цвет на внешних концах и серый в середине, которые заменяют заводную головку в качестве механизма настройки. Внешне он невероятно похож на современные смарт-часы.

• Когда часы устанавливаются на док-станцию, они превращаются в совершенно гиковскую машину, которая стала бы настоящим украшением витрины коллекционера техники. Это QWERTY-клавиатура с дополнительными кнопками для переключения языка и доступа к различным функциям. С левой стороны находится квадратный вырез, в котором располагаются часы, взаимодействующие с клавиатурой посредством электромагнитов.

• Клавиатура достаточно большая, чтобы поместиться в кармане, но не настолько, чтобы носить её на запястье вместе с часами. На самом деле она выглядит комично большой, если носить её в таком виде, но если бы клавиатура была меньше, на ней было бы очень трудно печатать.

• Часы показывают время и дату, могут работать как секундомер, а также как будильник, как и большинство других цифровых часов того времени. Но в сочетании с клавиатурой UC-2100 они превращаются в «Информационную систему на запястье», которая может хранить заметки, вести расписание встреч и работать как калькулятор. Вы можете сохранить до 2 заметок по 1000 символов каждая, отсюда и название модели UC-2000. Представляете, какие ограничения были в то время? Целых 2 заметки!!!

• А еще была док-станция UC-2200, которая поставляется с принтером (на фото) с катушечной подачей, на случай, если вам понадобится что-то напечатать в дороге. Как вам такие высокие технологии? Так то...

➡️ https://www.namokimods.com/smartwatch-from-1984

#Разное

• Знаете какой сегодня день? 27 сентября 1983 года, Ричард Столлман опубликовал первоначальное объявление о запуске проекта по созданию полностью свободной операционной системы GNU (GNU’s Not UNIX). С тех пор минуло ровно 42 года, проект GNU слился с Linux, а операционная система GNU/Linux победно шагает по планете, успешно развиваясь.

• Если развернуть спойлер ниже, то там вы найдете текст оригинального сообщения Ричарда Столлмана, в переводе на русский язык:

Свободу Unix!

Начиная с ближайшего Дня благодарения, я собираюсь написать полную совместимую с Unix программную систему под названием GNU, что значит «Gnu's Not Unix» (GNU — это не Unix), и выпустить её в свет свободной для каждого, кто может её использовать. Очень нужна помощь в виде рабочего времени, денег, программ и оборудования.

Для начала GNU будет представлять собой ядро плюс все утилиты, нужные для написания и запуска программ на Си: редактор, командный интерпретатор, компилятор Си, редактор связей, ассемблер и кое-что ещё. После этого мы добавим программу форматирования текста, YACC, игру «Империя», табличный процессор и сотни других вещей. Мы надеемся выдать — со временем — всё то полезное, что обычно поставляется с системой семейства Unix, и всё прочее полезное, включая документацию в электронном виде и на бумаге.

GNU сможет исполнять программы Unix, но не будет идентична Unix. Мы внесём все улучшения, какие только будут уместны, опираясь на наш опыт работы с другими операционными системами. В частности, мы планируем ввести более длинные имена файлов, номера версий файлов, устойчивую к сбоям файловую систему, поддержку терминально-независимых дисплеев, возможно, завершение имён файлов, а со временем — оконную систему на базе Лисп, в которой несколько программ на Лисп и обычных программ Unix могут разделять один экран. В качестве системных языков программирования будут доступны как Си, так и Лисп. У нас будут сетевые программы на основе chaosnet — протокола Массачусетского технологического института, значительно превосходящего протокол UUCP. Может быть, у нас будет также что-нибудь совместимое с UUCP.

Кто я такой?

Я — Ричард Столмен, изобретатель оригинального редактора EMACS, который много имитировали; я работаю в Лаборатории искусственного интеллекта в Массачусетском технологическом институте. У меня большой опыт работы над компиляторами, редакторами, отладчиками, командными интерпретаторами, Несовместимой системой разделения времени (НСРВ) и операционной системой на машине Лисп. Я впервые ввёл поддержку терминально-независимых дисплеев на НСРВ. Кроме того, я реализовал устойчивую к сбоям файловую систему и две оконных системы для машин Лисп.

Почему я должен писать GNU

Я принимаю во внимание, что золотое правило требует, что если мне нравится программа, я должен обмениваться ею с другими людьми, которым она нравится. Я не могу без стыда подписать лицензионное соглашение программы или договор о неразглашении.

Так что, чтобы я мог продолжать пользоваться компьютерами без нарушения своих принципов, я решил сложить вместе достаточную массу свободных программ, чтобы я мог обойтись без любой несвободной программы.

Чем вы можете помочь

Я призываю производителей компьютеров приносить в дар машины и деньги. Я призываю частных лиц приносить в дар программы и труд.

Отдельные программисты могут помочь, написав совместимую замену какой-нибудь из утилит Unix и передав её мне. Для большинства проектов такую распределённую работу по совместительству было бы очень трудно координировать; независимо написанные части не заработали бы вместе. Но конкретно для задачи замены Unix этой проблемы нет. Большинство спецификаций взаимодействия определяется совместимостью с Unix. Если каждый вклад будет работать с остальной Unix, он, вероятно, заработает с остальной GNU.

➡ https://www.gnu.org/gnu/initial-announcement.en.html

#GNU

• Пост выходного дня: а вы знали, что домен .ai приносит небольшому карибскому острову Ангилья около 30 млн. баксов в год? Это примерно четверть годового дохода, что весьма круто.

• А всё началось с Искусственного Интеллекта, когда число сайтов с доменом .ai выросло в 10 раз за последние 5 лет. Кстати, самым дорогим адресом является you.ai - его выкупили за 700 тыс. баксов. Да что уж там говорить, сотни крупных компаний (Google, Notion и д.р.) платят очень большие деньги острову за доменные имена. Поэтому со временем доход острова будет только расти.

➡️ Источник.

#Разное

• Доброе утро...🫠

#Понедельник

Как найти слабые места в веб-приложении до того, как их найдут хакеры?

Расскажем на обновленном курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!

🔴 Каждую неделю — вебинары с куратором!

Старт 2 октября! Регистрация здесь.

Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)

Получите практические навыки как в рабочих задачах, так и в Bug Bounty.

🚀 @CodebyManagerBot

• Нашел очень полезный сервис, благодаря которому можно создать зашифрованные HTML странички, расшифровка которых происходит с помощью ввода пароля в браузере на стороне клиента.

• Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Но что делать, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решает тулза StatiCrypt.

• StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг. Страница будет расшифрована в браузере пользователя, когда тот введёт известный ему пароль. В принципе, эту систему можно использовать для шифрования личных заметок, если вы хотите выложить их на общедоступный сервер, чтобы всегда иметь к ним доступ, но при этом надёжно защитить от посторонних глаз.

• Расшифровка происходит на обычном JavaScript, то есть со стороны клиента не требуется скачивание и установка дополнительных инструментов, кроме стандартного браузера. Ни хостинг-провайдер, ни интернет-провайдер не получают доступ к этой информации в процессе расшифровки её расшировки в браузере.

• Консольная утилита StatiCrypt доступна для скачивания на Github и в виде пакета NPM. А еще существует готовый шаблон для создания и хостинга одностраничного зашифрованного сайта на GitHub Pages.

• Страница шифруется с помощью AES-256 в режиме CBC, который в контексте StatiCrypt лишён характерных для него уязвимостей. Пароль хешируется с помощью функции PBKDF2: 599 тыс. операций хеширования SHA-256 и 1000 операций SHA-1 (для легаси). По сути, генерируется новая веб-страница (зашифрованная), которая вмещает содержимое старой.

• Утилита также умеет генерировать ссылку, которая уже содержит хешированный пароль, для доступа к странице без ввода пароля непосредственно в веб-форме браузера. Такую ссылку можно передавать доверенным лицам или использовать самому, а контент при этом хранится на сервере в зашифрованном виде, недоступном для просмотра ни хостером, ни третьим лицам.

➡️ https://github.com/robinmoisson/staticrypt

#Tools

• Очень хороший материал по изучению Docker для начинающих. Как обычно: все бесплатно, без регистрации и смс. Читаем и практикуем.

1️⃣ Docker с нуля: как работают контейнеры и зачем они нужны.

• Эта подборка из шести статей - ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны начинающим. На полное изучение уйдет менее двух часов. Материалы курса:

➡Docker: что это такое и как работать с контейнерами;
➡Установка Docker Desktop на Windows, настройка WSL и Hyper-V;
➡Запуск контейнера Docker и команда docker run;
➡Docker Compose и основы работы с контейнерами;
➡Создание своего Docker-репозитория;
➡Kubernetes vs Docker: в чем различия.

2️⃣ Основы безопасности в Docker-контейнерах.

• Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен. Материалы:

➡Безопасность в Docker: от правильной настройки хоста до демона
➡Исчерпывающее пособие по безопасной сборке Docker-образов
➡Профилактика в работе с Docker-контейнерами

• Не забывайте про дополнительный материал, который я уже публиковал в этом канале:

➡На сайте hacktricks есть очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.

#Docker #Security

🖥 ENIAC.

• Electronic Numerical Integrator and Computer (ENIAC) был одним из первых в мире компьютеров общего назначения. В этом году ENIAC (на фото) исполнилось 79 лет. Его создание считается одной из важнейшей вех развития компьютерной техники.

• В ходе создания ENIAC ученые и инженеры предложили множество новых идей, которые в дальнейшем стали базой для построения электронно-вычислительных машин уже гораздо более совершенных, чем ENIAC.

• А началось всё с военных. Он потребовался, в частности, для расчета траекторий полета баллистических ракет и других снарядов. Просчитать вручную все это было можно, но процесс занимал крайне много времени. В некоторых случаях военным требовалась информация по нескольким тысячам траекторий полета снаряда, причем на расчет каждой из них требовалось по 1000 и более операций. Соответственно, у одного человека на выполнение всего этого комплекса вычислительных задач уходило около 2 недель, а иногда — и месяцев.

• После проведения расчетов военные составляли специальные таблицы, которые помогали метко стрелять по вражеским целям.

• ENIAC создали для ускорения всей этой работы. Разработка системы началась в 1942 году, а в 1945 компьютер уже приступил к работе, избавляя сотрудников от необходимости выполнять рутинную работу на протяжении нескольких недель.

• Готовый аппаратный комплекс занимал помещение площадью в 140 м2. Масса устройства составляла 30 тонн, в состав его входило около 18 000 электронных ламп и 1500 реле, плюс сотни тысяч других элементов, включая сотни тысяч резисторов, конденсаторов и катушек индуктивности.

• Сначала у ENIAC не было внутренней памяти, все данные хранились на перфокартах. Но в 1953 году инженеры смогли добавить к системе память на 100 слов.

• Стоит отметить, что для своего времени система была просто феноменально быстрой. Компьютер был в состоянии выполнять 357 операций умножения в секунду или 5000 операций сложения за то же время. Кроме того, компьютер позволял решать дифференциальные уравнения второго порядка.

• Не обошлось и без проблем. Поскольку в ENIAC содержалось почти 18 000 радиоламп, они регулярно выходили из строя, из-за чего работы приостанавливались примерно раз в день. Лампы приходилось заменять, на что требовалось время. В самом начале на поиск неисправной лампы требовалось несколько часов, но через некоторое время команда компьютера смогла ускорить процесс — на него стало уходить не более 15 минут.

• Компьютер потреблял около 160 кВт энергии, а во время его работы температура в машзале поднималась вплоть до 50 градусов Цельсия. При всем при этом система была крайне сложной. Даже у опытного программиста на ввод новой задачи уходило много времени. Чаше всего несколько дней — ведь сначала нужно было согласовать планирование, а потом уже внедрять.

• К тому времени, когда ENIAC заработал, подошла к концу Вторая мировая война. Поэтому команде проекта пришлось срочно адаптировать свое детище для решения новых задач, включая сельское хозяйство.

• В итоге ENIAC выполнял вот такие задачи:

➡Расчет конструкции водородной бомбы.
➡Прогнозы погоды.
➡Исследования космических лучей.
➡Изучение случайных чисел.
➡Проектирование аэродинамических труб.

• Прогнозы погоды, выдаваемые системой, были довольно точными, но приоритет отдавался, конечно, созданию водородной бомбы.

• К слову, использовался компьютер не так и долго вплоть до 1955 года, когда в мире появились более мощные системы. Тем не менее, за все время существования инженеры внедрили немало новейших и эффективных для того времени решений. ENIAC очень сильно изменился по сравнению с тем, что он собой представлял в начале существования.

• Когда компьютер перестал быть актуальным, его просто разобрали. Элементы системы разбирали и складывали не самым аккуратным образом. Часть элементов увезли, другие — оставили.

• С течением времени элементы ENIAC расходились все дальше друг от друга — их могли просто перескладировать, отправляя их за десятки километров от предыдущей дислокации. Причина — размеры элементов компьютера.

#Разное

Вакансии в информационную безопасность Точка Банк

Точка Банк — IT-компания, мы создаём онлайн-банк и другие сервисы для бизнеса. Ими пользуются более 700 000 клиентов, а создают больше 5 000 сотрудников.

Администратор ИБ

📍От 180 000 ₽ до вычета налогов. Удалёнка, офис или гибрид — как тебе удобнее.

Что делать:
— Сопровождать и администрировать средства защиты информации: NGFW, 2FA, VPN, WAF, AV, СКЗИ, SIEM, DLP, antiDDoS.
— Оперативно реагировать на задачи ИБ: согласовывать доступы и проверять соответствие ПО, сервисов и процессов требованиям.
— Проводить регулярные контроли и аудиты системы информационной безопасности.

Ты подойдёшь, если:
— Есть опыт работы администратором ИБ от 1 года.
— Есть опыт администрирования основных средств защиты: DLP, SIEM, FW, AV, VPN.

Бизнес-партнёр по ИБ

📍От 300 000 ₽ до вычета налогов. Удалёнка, офис или гибрид — как тебе удобнее.

Что делать:
— Анализировать соответствие архитектуры IT-решений требованиям ИБ.
— Выявлять и оценивать возможные риски.
— Отслеживать выполнение мер при релизе продуктов.
— Экспертно сопровождать проектные и бизнес-команды по вопросам ИБ.

Ты подойдёшь, если:
— Есть опыт работы в банковской сфере от трёх лет на схожей позиции.
— Знаешь требования законодательства и Банка России (716-П, 821-П, 683-П, 787-П) и умеешь применять их на практике.
— Разбираешься в микросервисной и монолитной архитектуре, облаках и виртуализации.