👩‍💻 Oracle Linux Monitoring and Logging.

• Полезный плейлист коротких видеороликов для начинающих, об утилитах, которые помогают получить информацию о состоянии системы (iostat, rsyslog, top, vmstat).

• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.

#Linux

📧 Outlook и Ctrl+F.

• Существует общепринятое соглашение, что сочетание клавиш Ctrl+F запускает функцию поиска. Так делает Word, так делает Excel, так делает Wordpad, так делает Notepad, так делает Internet Explorer. Но не Outlook. Почему же Outlook не соответствует негласному стандарту?

• Вернёмся в 1995 год! Группа разработчиков усиленно трудилась над созданием почтового клиента, который тогда назывался Exchange (кодовое название Capone, в соответствии со всеми чикагскими терминами тех лет). В те времена сочетание Ctrl+F вызывало диалог поиска, как и положено.

• Но потом появился баг-репорт от бета-тестера, который хотел, чтобы Ctrl+F назначили на пересылку (форвардинг) письма, а не на поиск, потому что он привык к такому сочетанию клавиш в другом почтовом клиенте, который использовал до Exchange.

• Этим бета-тестером оказался Билл Гейтс...

#Разное

👾 Awesome CVE PoC.

• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер.

• Если у Вас возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что Вы нашли очередную уязвимость и хотите рассказать о ней всему миру. Для этого потребуется заполнить определенную форму на сайте mitre. И, по сути, это всё)) https://www.cve.org/ResourcesSupport/FAQs

• Но суть поста немного в другом. Сегодня предлагаю вам изучить очень полезный репозиторий, который включает в себя почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления: https://github.com/trickest/cve. Надеюсь, что будет весьма полезно...

#Разное #ИБ

💸 Изобретатель банкомата заработал на своей идее $15 за 50 лет.

• Патентная система позволяет изобретателям многих популярных ныне вещей зарабатывать миллионы долларов США. В одной американской комедии обыгрывался момент, где одна из героинь фильма является очень обеспеченной особой, поскольку ее бабушка изобрела пружину для тостера, и вся семья до сих пор получает отчисления от производителей тостеров.

• Но бывают и исключения. Джеймс Гудфеллоу, запатентовавший устройство для автоматической выдачи бумажных денег клиентам банка, практически ничего не заработал. Он получил $15, и это всё. А ведь банкоматами пользуются миллиарды человек, самих устройств — миллионы.

• У the Guardian даже есть интервью с Гудфеллоу, в котором изобретатель поделился историей создания банкомата. Изобретатель утверждает, что сама концепция машины по выдаче денег пришла в голову не только ему, но вот идея, которая привела к созданию АТМ — именно его. Здесь он вспоминает братьев Райт, которые не создавали саму концепцию полета, вместе с ними (и до них) этим занималось множество людей. Но они создали рабочий прототип самолета, который смог полететь, поэтому их и считают создателям самолета.

• Гудфеллоу говорит, что мало кто знает о его патенте, да и сам он ничего никому не говорил до 2005 года, когда награду за изобретение банкомата получил совсем другой человек, Джон Шеперд-Баррон. Награда — орден Британской империи. Интересно, что Гудфеллоу получил аналогичный орден, но не за изобретение банкомата, а за идею введения пин-кодов для этих устройств. У Шеперд-Баррона, кстати, нет патента на устройство выдачи наличных денег клиентам банков, хотя он и создал аналогичное устройство примерно в то же время, что и Гудфеллоу.

• Система выдачи наличных денег клиентам банков в любое время была создана Гудфеллоу в середине 60-х годов. Тогда он работал в крупной компании Kelvin Hughes. Задание разработать систему выдачи денег после завершения рабочего дня было получено от начальства. В итоге изобретатель придумал систему, которая могла выдавать средства клиенту банка после его, клиента, идентификации. Процесс идентификации был двухфакторным — клиент должен был вставить в слот специальную пластиковую карту с перфорированными отверстиями (их размещение было уникальным для каждого клиента), плюс ввести свой пин-код (10-значный).

• Система по выдаче денег была создана, и первый такой автомат установили в 1967 году в одном из отделений Westminster Bank.

• Схожая система авторства другого изобретателя, Шеперд-Берроу, была установлена тоже в 1967 году, причем на месяц раньше, чем система Гудфеллоу. Тем не менее, патент на изобретение принадлежит именно герою этой публикации. Патентные заявки он подал в бюро 15 стран. Аналог тоже выдавал деньги после идентификации клиента, но здесь использовалась не пластиковая карта а чек с изотопом углерода.

• Авторство Гудфеллоу признали уже и в правительстве. А в книге Life in the United Kingdom (ее должны изучать те, кто хотел бы получить гражданство Великобритании) Гудфеллоу уже указан в качестве создателя банкомата. По его словам, изобретение не изменило его жизнь. Но Гудфеллоу всем доволен.

#Разное

👩‍💻 Oracle Linux Networking.

• Еще один полезный плейлист от Oracle, который содержит материал по инструментам для настройки и управления сетью в системе - nmcli, nftables, ip, firewalld:

• Network Configuration Files on Oracle Linux;
• Using NetworkManager CLI (nmcli) on Oracle Linux;
• Network Bonding in Oracle Linux with the NMCLI Utility;
• Create VLANs in Oracle Linux with the NMCLI and IP Utilities;
• Using the ip command on Oracle Linux;
• Introduction to using firewalld on Oracle Linux;
• Using nftables on Oracle Linux.

#Linux

🚀 Копипаста, которая не дала полететь в космос.

• Это история про ошибку, стоимость которой можно оценить в семь миллиардов долларов и 10 лет работы. Ведь именно столько было потрачено на разработку ракеты Ariane 5.

• Ракета Ariane 5 — европейская одноразовая ракета-носитель. Она предназначена для вывода на околоземную орбиту средних или тяжёлых космических аппаратов. В создании ракеты принимали участие около тысячи промышленных фирм. Всё шло хорошо, однако не прошло и 40 секунд после взлёта, как ракета взорвалась. Это произошло 4 июня 1996 года.

• На высоте 4000 метров Ariane 5 отклонилась от прямой траектории и самоуничтожилась. 13 июня 1996 года специально созданная комиссия приступила к расследованию крушения, а уже 19 июля был обнародован её исчерпывающий доклад.

• Если кратко, то ошибка была со стороны разработчиков. Они скопировали код из управляющей программы предыдущей модели ракеты, которая успешно взлетала больше сотни раз. Однако они не учли, что Ariane 4 летела по другой траектории и с другой горизонтальной скоростью.

• Подробнее об этом кейсе вы можете почитать в заметке "Космическая ошибка: 370.000.000 $ за Integer overflow", а видео результата такой ошибки можно посмотреть на видео: https://youtu.be/PK_yguLapgA

#Разное

Доброе утро...🫠

#Понедельник

👩‍💻 Attacking Golang.

• В последние годы Golang распространяется всё шире и шире. Он известен своей простотой, эффективностью и высокой производительностью. Однако, как и любой язык программирования, неправильные методы разработки могут привести к уязвимостям безопасности. В этой статье описаны возможные проблемы безопасности и рекомендации по безопасной разработке.

• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.

#Go #devsecops

🌍 Минитель: интернет до интернета.

• В 70-х телефонная сеть Франции была в руинах: прокладка одной местной линии занимала до трёх лет, а коммутаторы были ручными. Это значит, что прежде чем парижанин мог поговорить со своими родственниками в Марселе, ему нужно было пройти через телефонистку.

• Для справки, в то же время американская AT&T прокладывала новую линию за три дня, а коммутаторы были автоматическими. Посредники для связи между абонентами не требовались.

• Между тем, по всей Европе набирает популярность Видеотекс: разработка британской почтовой службы, эта клавиатура-терминал подключалась к телефонной сети и по запросу выводила на экран телевизора информацию из автоматизированных баз данных: погода, котировки акций, новости и афиши.

• В то же время французов сильно беспокоит монополия американской IBM на всё, что связано с коммуникациями. Так же, как сегодня им страшно, что Google убьёт французскую культуру, в 70-е они боялись IBM. Так появляется Минитель: Франция создаёт свой стандарт Видеотекса.

• К 1984 году более 6 миллионов французов использовали Минитель на повседневной основе: читали новости, переписывались, покупали билеты на поезда. Не отличались они от сегодняшних пользователей Сети и в главном: большую часть трафика занимали чаты для взрослых.

• Государственная телефонная компания 'France Télécom' раздавала терминалы бесплатно всем желающим. Расчёт был простым: со временем такой подход поможет сэкономить на дорогой печати телефонных книг. Да и при цене в 1 франк за минуту, технология быстро себя окупала.

• В 90-е, на пике популярности, Минитель насчитывал 7 миллионов терминалов и 25 миллионов активных пользователей — половина тогдашнего населения Франции. Для сравнения, 25 миллионов — общее количество пользователей сети Интернет в 90-е годы. По всему миру.

• Что можно было делать с помощью терминала Минитель? На самом деле, всё, что угодно, если это можно транслировать в текстовый интерфейс. Помимо уже упомянутых банковских сервисов или заказа еды на дом, люди даже умудрялись играть друг с другом в текстовые РПГ.

• Минитель не покинул Францию быстро:
- В 2007 технология всё ещё приносила 100 млн. долларов ежегодно;
- В 2010-м — уже половину этой суммы, причём большая часть прибытков шла на обслуживание провайдеров;
- В 2012 году Минитель прикрыли, но энтузиасты пользуются им и сегодня. Всё благодаря маленькой коробочке под названием MiniMit.

• MiniMit содержит электронную карту, которая подключается к сети Wi-Fi с одной стороны и к разъему DIN Minitel с другой, создавая тем самым мост между старыми и новыми технологиями.

• Этот мини-Минитель содержит десяток старых сервисов: телефонный справочник, игры, гороскопы, новости, и т.д. Настоящее возвращение в 80-е.

➡ Рекомендую к ознакомлению страницу MiniMit на Ulule (французский аналог Кикстартера) — там можно подробно посмотреть, как всё работает: https://fr.ulule.com/minimit/

#Разное

• 402 Тбит/с — новый рекорд скорости интернета через оптоволокно. Таких результатов добились ученые национального института информационно-коммуникационных технологий Японии.

• Ученые использовали множество усилителей, чтобы достичь общей пропускной способности в 37,6 THz. Это более чем в 100 тыс. раз выше, чем позволяет WiFi 7.

➡️ Более подробная информация об исследовании описана вот тут: https://www.nict.go.jp/en/press/2024/06/26-1.html

#Разное #Новости

🐍 Python для сетевых инженеров.

• В книге рассматриваются основы #Python с примерами и заданиями построенными на сетевой тематике. Задача книги – объяснить понятным языком основы Python и дать понимание необходимых инструментов для его практического использования. Всё, что рассматривается в книге, ориентировано на сетевое оборудование и работу с ним. Все примеры показываются на примере оборудования Cisco, но, конечно же, они применимы и для любого другого оборудования.

• Основы Python:
- Подготовка к работе;
- Использование Git и GitHub;
- Начало работы с Python;
- Типы данных в Python;
- Создание базовых скриптов;
- Контроль хода программы;
- Работа с файлами;
- Полезные возможности и инструменты.

• Повторное использование кода:
- Функции;
- Полезные функции;
- Модули;
- Полезные модули;
- Итераторы, итерируемые объекты и генераторы.

• Регулярные выражения:
- Синтаксис регулярных выражений;
- Модуль re.

• Запись и передача данных:
- Unicode;
- Работа с файлами в формате CSV, JSON, YAML.

• Работа с сетевым оборудованием:
- Подключение к оборудованию;
- Одновременное подключение к нескольким устройствам;
- Шаблоны конфигураций с Jinja2;
- Обработка вывода команд TextFSM.

• Основы объектно-ориентированного программирования:
- Основы ООП;
- Специальные методы;
- Наследование.

• Работа с базами данных:
- Работа с базами данных.

• Дополнительная информация:
- Модуль argparse;
- Форматирование строк с оператором %
- Соглашение об именах;
- Подчеркивание в именах;
- Проверка заданий с помощью утилиты pyneng;
- Проверка заданий с помощью pytest.

• Продолжение обучения:
- Написание скриптов для автоматизации рабочих процессов;
- Python для автоматизации работы с сетевым оборудованием;
- Python без привязки к сетевому оборудованию.

#Книга

✈️ Фейковая точка доступа в самолете.

• В Австралии мужчина реализовал схему с поддельным Wi-Fi на авиарейсе, чтобы собирать пароли, учетные и персональные данные пассажиров.

• Авиакомпания заподозрила неладное и написала в полицию. Мошенника быстро задержали и изъяли у него портативный роутер, ноутбук и мобильный телефон. Когда дошло до обысков в доме, оказалось, что это далеко не первый случай.

• Мужчину обвинили во владении личными данными в корыстных целях. В настоящее время обвиняемый отпущен под залог, но ему запретили осуществлять некоторые действия в интернете. Вот такие дела...

➡️ https://www.afp.gov.au/

#Новости

🔐 Реальная криптография.

• Весьма интересная книга по криптографии появилась в продаже у издательства Питер, а на хабре даже опубликовали одну из 12 глав: https://habr.com/ru/post/825934/

• Так вот, суть этого поста заключается в том, что я бы хотел разыграть парочку таких книг (в бумажном формате) между подписчиками этого канала. Розыгрыш будет без каких либо условий (т.е. подписываться на другие каналы не потребуется), нужно будет только принять участие и все.

• Если идея хорошая, то жмите на огонек🔥 и уже на этой неделе я организую конкурс (ориентировочно в субботу или воскресение).

• P.S. Книга отлично зайдет пентестерам, ИБ-консультантам, ИБ-инженерам, ИБ-архитекторам и прочим специалистам по информационной безопасности.

• P.S.S. Если Вам зайдет такой формат, то будем проводить такие конкурсы чаще и разыгрывать прикольные книги для ИБ специалистов.

#Криптография #Конкурс

📶 How Container Networking Works: a Docker Bridge Network From Scratch.

• Вероятно, что это самое понятное руководство, которое описывает работу контейнеров с сетью. Слева читаете, копируете команды, а справа наблюдаете за консолью:

➡️ https://labs.iximiuz.com/tutorials/container-networking-from-scratch

#Docker #Сети

💾 MenuetOS. Операционка, которая помещается на дискету.

• Давайте расскажу об операционной системе, которая существует с 2005 года, а её объем настолько мал, что она помещается на дискете. Как говорит нам «Википедия», MenuetOS не основана ни на Unix, ни на стандарте POSIX, ни на какой-либо другой операционной системе; задача проекта — исключить дополнительные уровни между различными частями ОС, которые обычно усложняют программирование и порождают баги.

• Эта ОС предназначена для написания приложений на 32-битном и 64-битном ассемблере x86, поскольку в результате программы получаются, как правило, более быстрые, более компактные и менее требовательные к ресурсам.

• Вот основные особенности системы:

- Вытесняющая многозадачность, многопоточность, защита памяти Ring3;
- Графический интерфейс (разрешение до 1920 × 1080, 16 миллионов цветов);
- Окна приложений произвольной формы, их прозрачность и настраиваемость при помощи скинов, функция drag’n’drop;
- Встроенное ПО: графический редактор Draw, медиапроигрыватель MediaPlayer, браузер (от разработчиков MenuetOS), FTP-клиент, программа для работы с электронной почтой, Necromancer's Dos Navigator (аналог «Проводника»); умеет запускать игры через эмуляцию DOS;
- Интегрированная среда разработки: редактор, макроассемблер для сборки ядра и приложений;
- Cтек TCP/IP с драйверами loopback, ethernet и PPP;
- Сетевые приложения включают в себя серверы FTP/HTTP/SMTP и клиенты IRC/HTTP/NNTP/TFTP;
- Выборка данных в реальном времени;
- Помещается на одной дискете в неупакованном виде;
- Для запуска MenuetOS достаточно 16 Мб памяти и видеокарты, поддерживающей стандарты VESA 1.2 или 2.0, при этом реализована поддержка 32 Гб оперативной памяти;
- Возможность русификации.

• Неплохо, правда? И всё это — в объёме дистрибутива, который в 2024 году кажется невозможно маленьким. Разработчики следят за проектом, не бросают его и периодически обновляют. А для желающих ознакомиться с MenuetOS, был подготовлен ISO-образ, который можно записать на флешку и вообще куда угодно.

• Кстати, отдельно стоит вспомнить о совместимости ОС с большим количеством более-менее современных аксессуаров, расширений и т. п. для компьютеров. Это, конечно, клавиатуры, мыши, веб-камеры, принтеры, сканеры, сетевые устройства. В операционной системе реализована поддержка USB 2.0, а в интернет можно выходить благодаря поддержке Ethernet. В общем, все условия для работы и игр (правда, ретро).

➡ http://www.menuetos.net

#Разное

👩‍💻 60 Linux Commands.

• Отличный видеоматериал, который содержит описание и примеры команд Linux для начинающих: https://youtu.be/gd7BXuUQ91w

• Ну, а если захотите продолжить изучение или освежить свои знания, то не забывайте про полезные руководства:

- Руководство по командам Linux.
- Краткий справочник по «всем-всем» командам Linux.
- Интерфейс командной строки Linux.

#Linux