‼ На GitHub опубликован исходный код MS-DOS 4.00 под лицензией MIT.

• 26 апреля 2024 года разработчики из Microsoft в сотрудничестве с энтузиастами из IBM опубликовали на GitHub исходный код MS-DOS 4.00 под лицензией MIT.

• Десять лет назад Microsoft предоставила исходный код MS-DOS 1.25 и MS-DOS 2.0 Музею компьютерной истории в Калифорнии, а затем переиздала его для справочных целей в открытом доступе на GitHub. Этот код занимает важное место в истории и представляет собой увлекательные знания об операционной системе, которая была полностью написана на ассемблере для Intel 8086 почти 45 лет назад.

• За версиями DOS 4.0 стоит довольно сложная и увлекательная история, поскольку Microsoft сотрудничала с IBM в части кода, но также создала ветку DOS под названием Multitasking DOS, которая не получила широкого распространения.

• Выпуск MS-DOS 4.0 примечателен возможностью использования графического интерфейса и мыши, поддержкой дисковых разделов больше 32 МБ (до 2 ГБ), добавлением файлового менеджера DOSSHELL, поддержкой EMS (Expanded Memory Specification), командами FASTOPEN и FASTSEEK.

• Исследователь Коннор Хайд недавно переписывался с бывшим техническим директором Microsoft Рэем Оззи по поводу некоторых программ из его коллекции. Среди своих дискет Оззи нашёл неизданные двоичные файлы бета-версии DOS 4.0, которые ему прислали, когда он работал в Lotus.

• Хайд обратился в подразделение по выпуску программ с открытым исходным кодом Microsoft (OSPO) для изучения возможности выпуска исходного кода DOS 4, поскольку он работает над документированием связи между DOS 4, MT-DOS и тем, что в конечном итоге стало OS/2.

• Некоторые более поздние версии этих двоичных файлов Multitasking DOS можно найти в интернете, но новые бинарные файлы из архива Оззи кажутся намного более ранними, неизданными и также включают исходный код от команды IBM.

• Энтузиаст ретро ПК и компьютерной истории Скотт Хансельман с помощью интернет-архивиста и энтузиаста Джеффа Спонаугла сделал копии этих оригинальных дисков от Оззи и отсканировал все оригинальные печатные документы, которые достаточно хорошо сохранились. Разработчики из Microsoft и IBM считают, что это увлекательная часть истории операционных систем, которой стоит поделиться.

• Разработчик Джефф Уилкокс с помощью команды OSPO обратился к архивам Microsoft, и, хотя им не удалось найти полный исходный код MT-DOS, они обнаружили там исходный код сборок MS DOS 4.00, которую им разрешили выпустить в открытый доступ, а также дополнительные двоичные бета-версии и PDF-файлы с документацией и образы дисков. Энтузиасты пообещали, что продолжат исследовать архивы Microsoft и, возможно, обновят этот выпуск, если обнаружат что-то ещё.

➡ https://youtu.be/YPPNbaQaumk

➡ Источник.

#Разное

📶 Интерактивное описание таблиц iptables.

• Iptables - это мощный инструмент управления сетью в Linux, который позволяет администраторам управлять входящими и исходящими пакетами данных. Это основной инструмент для настройки межсетевых экранов в системах #Linux.

➡️ Наглядная демонстрация и подробное описание каждого шара доступно по ссылке: https://zersh01.github.io/iptables_interactive_scheme/

#iptables

🖥 50 лет первой операционной системе для персональных компьютеров.

• В 1974 году первопроходец ПО для PC Гэри Килдалл (на фото) продемонстрировал в Пасифик-Гроув, Калифорния, первую коммерчески успешную операционную систему для персонального компьютера — CP/M.

• В этой статье поговорим о том, как его компания Digital Research Inc. превратила CP/M в отраслевой стандарт, а позже проиграла версии ОС от Microsoft, скопировавшей внешний вид и стиль ПО DRI.

➡️ https://habr.com/ru/post/811043/

#Разное

📦 puter.

• 3 месяца назад делился с Вами интересным ресурсом, который предназначен для запуска ОС прямо в браузере. Так вот, недавно нашел интересный проект на GitHub для запуска ОС прямо в браузере и был приятно удивлен тому, какой функционал в ней реализован. Тут Вам и офисные инструменты, игры, открытый исходный код и бесплатное использование:

➡️ https://puter.com/
➡️ https://github.com/HeyPuter/puter

#Разное

👩‍💻 Oh My Git.

• Поделюсь с Вами достаточно увлекательной и, самое главное, полезной open source игрой для изучения GIT. Тут Вам и отдельный режим для новичков (в виде карточек) и для продвинутых пользователей (в терминале), можете даже создавать свои собственные уровни. В общем и целом, игра действительно полезная: Вы подключаете реальный репозиторий, изучаете и выполняете команды, наблюдаете результат в режиме реального времени.

➡️ https://ohmygit.org

• Дополнительно:

- Базовый курс по Git;
- Бесплатная книга Pro Git.

#Git

👩‍💻 Attacking PHP.

• ZZZPHP ISSESSION adminid Authentication Bypass;
• ZZZPHP parserIfLabel eval PHP Code Injection;
• The Ev1l eva1 Deny list;
• Shopware PHP Object Instantiation;
• XML Parsing;
• Crafting the SimpleXMLElement Object for Object Injection;
• Pivot Primitives;
• Generating a Malicious Phar;
• Technique for POP chain development;
• Type Juggling;
• Time of Check Time of Use (TOCTOU);
• Race Condition;
• Laravel Framework vs laravel.log.

#Php #devsecops

🖥 История команд «Вырезать/Копировать/Вставить» и Ctrl+Alt+Del.

История «Вырезать/Копировать/Вставить»:

• Еще до рождения компьютеров термин «вырезать и вставить» широко использовался при редактировании рукописей, когда люди могли буквально вырезать что-то с листа и вставить это на другую страницу. Так было до 1974 года, когда выражение «вырезать и вставить» стало использоваться относительно редактирования текстов на компьютере, и сделал это Ларри Теслер из Xerox.

• В 1981 году Apple популяризовало «вырезать и вставить» с выпуском Lisa, компьютера с графическим интерфейсом. Это Apple стандартизировала сочетания клавиш, в то время это были + X для вырезания, C для копирования, V для вставки. Позднее Microsoft адаптировала эти сочетания для Windows, использовав практически идентичные сочетания клавиш.

История Ctrl+Alt+Del:

• Ctrl+Alt+Del известное сочетание клавиш для закрытия повисших приложений, перезагрузки, и в некоторых случаях — для входа в систему.

• Кто же ввел сочетание клавиш, которое стало жизненным путём для стольких людей? Дэвид Брэдли, дизайнер первого IBM PC. Ему надоела необходимость при каждом зависании компьютера выключать питание, ждать несколько секунд, а затем включать питание и заново проходить весь процесс загрузки. Сперва Брэдли разработал сочетание Ctrl+Alt+Esc для горячей перезагрузки, но он обнаружил, что данное сочетание может быть случайно нажато всего одной рукой. Заменив клавишу Escape на Delete, он добился того, что именно две руки необходимы для перезагрузки.

• В одном из интервью Брэдли в шутку заметил: «Может я и придумал сочетание Ctrl+Alt+Del, но сделал его популярным Билл Гейтс».

• Несколько полезных ссылок:
- То самое интервью с Дэвидом Брэдли;
- Статья на Wikipedia, посвященная Ctrl+Alt+Del;
- Статья на Wikipedia, посвященная командам «Вырезать/Копировать/Вставить».

#Разное

👩‍💻 Play with Docker — онлайн-сервис для практического знакомства с Docker.

• Интересный и уникальный ресурс для изучения Docker, который был создан еще в далеком 2017 году. Идея заключается в том, что после авторизации нас пересылает на один из облачных хостов, где стартует 4-часовая сессия «игровой площадки». В ней вы можете создавать новые сущности (instances), т.е. узлы тестового Docker-кластера. Каждый из них — это инсталляция легковесного дистрибутива Alpine Linux с редактируемым локальным IP-адресом. В них установлен Docker актуальной версии:

https://labs.play-with-docker.com

• А чтобы начинающим пользователям Docker было проще и лучше понять, чем же вообще можно (и полезно) заниматься в игровой площадке Docker, авторы Play with Docker дополнили свой сервис удобным ресурсом по обучению:

➡️ https://training.play-with-docker.com

• Дополнительная информация есть на GitHub: https://github.com/play-with-docker/play-with-docker

#Docker

🖥 Роль MS-DOS в составе Windows 95.

• MS-DOS в составе Windows 95 использовалась для двух целей:

- Она служила загрузчиком.
- Она выступала в качестве слоя совместимости с 16-битными драйверами.

• Когда Windows 95 стартовала, сначала загружалась специальная версия MS-DOS, именно она обрабатывала ваш файл CONFIG.SYS, запускала COMMAND.COM, который выполнял ваш AUTOEXEC.BAT и в конце концов выполнял WIN.COM, который в свою очередь начинал процесс загрузки 32-битного менеджера виртуальных машин VMM.

• Программа WIN.COM начинала загрузку того, что большинство людей называют собственно «Windows». Посредством копии MS-DOS она загружала менеджер виртуальных машин, считывала файл SYSTEM.INI, загружала драйверы виртуальных устройств, затем выключала EMM386 (если таковой был) и переключалась в защищённый режим. «Настоящая Windows» с точки зрения большинства людей — именно защищённый режим.

• В защищённом режиме драйверы виртуальных устройств творили свою магию. В числе их действий было вытаскивание всего состояния MS-DOS, перевод его в состояние 32-битной файловой подсистемы и отключение MS-DOS. Все дальнейшие файловые операции направлялись в 32-битную файловую подсистему. Когда программа обращалась к int 21h, ответственной за обработку оказывалась 32-битная файловая подсистема.

• Здесь вступает в игру вторая роль MS-DOS. Видите ли, программы и драйверы MS-DOS любили встраиваться в глубины операционной системы. Они могли заменять обработчик прерывания 21h, они могли патчить код системы, они могли заменять низкоуровневые дисковые обработчики int 25h и int 26h. Они могли также творить умопомрачительные вещи с прерываниями BIOS типа int 13h, ответственного за работу с дисками.

• Когда программа обращалась к int 21h, сначала запрос направлялся в 32-битную файловую подсистему, где проходил некоторую предобработку. Затем, если файловая подсистема обнаруживала, что кто-то перехватил вектор int 21h, она переходила назад в 16-битный код, чтобы позволить перехватчику выполниться. Замена вектора int 21h идеологически похожа на сабклассинг окна. Вы получаете старый вектор и устанавливаете новый вектор. Когда установленный вами обработчик вызывается, вы что-то делаете, а затем вызываете старый обработчик. После возврата из старого обработчика вы можете ещё что-нибудь сделать, прежде чем вернуть управление.

• Одним из 16-битных драйверов, загружавшихся из CONFIG.SYS, был IFSMGR.SYS. Его задачей было перехватить MS-DOS первым, прежде чем все остальные драйверы и программы получат свой шанс! Этот драйвер был в сговоре с 32-битной файловой подсистемой, возвращаясь из 16-битного кода назад в 32-битный, чтобы файловая подсистема могла продолжить свою работу.

• Другими словами, MS-DOS была всего лишь исключительно искусной подсадной уткой. 16-битные драйверы и программы патчили и перехватывали обработчики, которые для них выглядели совсем как настоящая MS-DOS, но в действительности были приманкой. Если 32-битная файловая подсистема видела, что кто-то купился на приманку, она заставляла подсадную утку крякать.

#Разное

👨‍💻 OWASP DevSecOps Guideline.

• DevSecOps можно рассматривать в качестве апдейта методологии #DevOps: подход подразумевает не расширение классического пайплайна DevOps, а только интеграцию в него методов безопасности. При этом, согласно DevSecOps, к циклу разработки подключаются специалисты по информационной безопасности, которые гарантируют, что:

- Реализуемые решения не противоречат требованиям ИБ и регламентам компании;
- В конфигурации нет уязвимых мест;
- Все компоненты системы имеют актуальные патчи, корректно настроены;
- Разработана эксплуатационная документация в контексте ИБ.

• Согласно практике DevSecOps, о безопасности разработки нужно начинать думать еще на этапе планирования будущего продукта. В противном случае может возникнуть ситуация, когда, например, код написан идеально, но в техническом дизайне не исключена возможность пользователей назначать себе привилегированные права, что полностью нивелирует любые дальнейшие меры безопасности.

• Есть несколько подходов и рекомендаций, определяющих нормы внедрения DevSecOps-принципов в процесс разработки. Одним из базовых фолиантов в этом контексте является DevSecOps Guideline от OWASP — формируемое сообществом руководство, которое поясняет, как правильно выстроить процесс безопасной разработки и выявлять любые проблемы на ранних стадиях их возникновения.

https://github.com/OWASP/DevSecOpsGuideline/

#DevSecOps

👩‍💻 Play with Kubernetes — сервис для практического знакомства с K8s.

• PWK полностью повторяет идею (и даже интерфейс) своего «прародителя» Play with Docker (о котором я упоминал вчера): его основной сайт — это так называемая «игровая площадка» (playground), предоставляющая в веб-браузере доступ к виртуальной Linux-машине для возможности проведения экспериментов с кластерами Kubernetes. По сути это доступный бесплатно SaaS-аналог Minikube со своими удобствами (работа прямо в браузере) и ограничениями

• Предлагаемая в онлайн-сервисе лабораторная работа ориентирована на начинающих и посвящена основным концепциям и возможностям Kubernetes:

- Что вообще позволяет делать эта система: запуск контейнеров, балансировка нагрузки, выкатывание новых версий образов, автомасштабирование…;
- Архитектура Kubernetes;
- Ресурсы Kubernetes: узлы, поды, сервисы, пространства имён, секреты;
- Декларативный подход;
- Сетевая модель Kubernetes;
и т.п.

• Выглядит же прохождение лабораторной работы аналогично тому, как всё было в Play with Docker: слева у вас есть документ-инструкция (в том числе и команды для ввода), а справа — терминал (точнее, их два — для двух узлов Kubernetes), позволяющий «поиграть» в администратора K8s-кластера и видеть, что и как происходит на самом деле. Последнему, безусловно, способствует возможность выполнять произвольные уточняющие команды на любых этапах выполнения работы.

➡️ https://labs.play-with-k8s.com

#Kubernetes

👩‍💻 Test drive Linux distros online!

• Ещё один ресурс, где можно прямо в браузере протестировать работу разных дистрибутивов Linux:

➡️ https://distrosea.com/

#Linux

Доброе утро... 🫠

#Понедельник

📱 Клик-ферма в картинках.

• О клик-фермах, состоящих из сотен (или тысяч) мобильных телефонов, известно уже давно. В определенных случаях такие фермы используются для улучшения ранжирования приложений в каталоге вроде Google Play или App Store. Но это не единственное применение, аналогичные системы (не только из мобильных телефонов) применяются для повышения ранжирования сайтов, постов в социальных сетях, рекламы и т.д.

• Особенно сейчас, когда дезинформации в сети больше чем правды, такие фермы можно использовать во вред и манипулировать обществом (в соц.сетях, новостных ресурсах и т.д.). Но речь немного не об этом. Хочу Вам показать, что вообще из себя представляет клик-ферма, с небольшой историей и фотографиями. В статье нет технической составляющей, но Вы наглядно поймёте как все работает. Будет интересно:

➡ https://www.huckmag.com/

#Разное

👩‍💻 Attacking Java.

• Язык программирования Java является одним из самых распространенных языков программирования. На нем написано множество сложных приложений как под Linux, так и под Windows. Однако, как и у любого другого языка программирования, у Java есть свои уязвимости.

• Цель этой статьи познакомиться с уязвимостями, типичными для языка программирования Java, а также разобрать практики безопасной разработки.

• Spring Boot Actuators Jolokia reloadByURL JNDI Injection;
• Understanding the Vulnerability;
• Static Vulnerability Analysis;
• Remote Class Loading;
• Deserialization of Untrusted Data;
• Java URI Filter Bypasses and Remote Code Execution;
• startsWith Directory Traversal;
• endsWith Path Parameter Injection;
• Request Forwarding Authentication Bypasses;
• Deserialization of Untrusted Data 102;
• Object Validation;
• java rmi;
• jmx security issues;
• MBean Writing and Control;
• java dynamic proxy;
• Static Proxy;
• Dynamic Proxy;
• Cglib Proxy;
• java reflection mechanism;
• Use cases of common libraries for XML parsing in XXE;
• XXE-DocumentBuilder.

#Java #devsecops