• Rustypaste — тулза, которая позволяет на собственном сервере организовать простой сервис для обмена файлами. Самое приятное — возможность создать короткие и одноразовые ссылочки для скачивания файла, HTTP аутентификация и возможность указания времени жизни для файла. Более подробная информация есть в блоге автора: https://blog.orhun.dev/blazingly-fast-file-sharing/

➡️ https://github.com/orhun/rustypaste

#Разное #Tools

🤔 Откуда взялся Unix?

• Сегодня многие полагают, что «Unix» и «Linux» — это одно и то же. Но по состоянию на 2025 год с большинством дистрибутивов, ситуация почти так и обстоит.

• В 1969 году Кен Томпсон, сотрудник-исследователь из лаборатории «Bell Labs» экспериментировал в области проектирования операционных систем. Тогда в Bell Labs имелся PDP-7, компьютер с интересной периферией: у него был очень быстрый (по тем временам) дисковый накопитель. Томпсон заинтересовался, на какую максимальную пропускную способность может выйти этот дисковод при обработке данных, поэтому написал собственную программу, служившую интерфейсом для жёсткого диска. Это была серьёзная задача: в те времена всё программировали на ассемблере, а для того, чтобы создать драйвер жёсткого диска, требовалась масса низкоуровневого кода.

• В какой-то момент Томпсон осознал: в этот интерфейс уже вложено столько труда, что программу практически можно считать полноценным ядром операционной системы. Он посчитал, что ещё три недели — и он доведёт ядро до ума. Неделю на создание нового редактора, неделю на работу с ассемблером и ещё неделю, чтобы написать прототип ядра. Именно с этого прототипа и начинается история операционной системы Unix.

• Этот ранний прототип и заложенные в нём идеи показались интересными, и Томпсон вместе с коллегами по Bell Labs принялся его развивать. Единственный паттерн проектирования в новой системе заключался в следующем: нужно много полезных инструментов, каждый из которых сфокусирован на решении ровно одной задачи. Брайан Керниган, ещё один исследователь из Bell Labs, предложил назвать новую систему «Unix» — как бы в противовес операционной системе «Multics», которой компания Bell Labs также занималась несколькими годами ранее. Но проект «Multics» не удался из-за того, что та операционная система получалась очень сложной.

• К ноябрю 1971 года «Bell Labs» собрала программы для новой операционной системы, и так был создан «Unix, 1-я редакция». За ней последовали Unix 2nd Edition в июле 1972 года, Unix 3rd Edition в феврале 1973 года и Unix 4th Edition в ноябре 1973 года.

• Эти ранние версии Unix не слишком отличались от современных систем Linux. Многие команды, на которые мы сегодня полагаемся при работе с Linux, присутствовали уже в Unix 2nd Edition. Например, команда cat для отображения файлов, команды mkdir и rmdir для управления каталогами, cp, mv и rm для управления файлами, chmod и chown для управления доступом к файлам.

• Мы нечасто задумываемся о происхождении команд Linux, используемых в повседневной практике. Эти команды возникли во времена, когда компьютеры были медленными, а память исчислялась килобайтами. Инструменты приходилось делать маленькими и строго специализированными.

• Особенно сильно от исходного Unix до современных дистрибутивов Linux изменился разброс доступных опций командной строки. Когда компьютеры стали гораздо быстрее, и памяти стало больше, каждый инструмент стал брать на себя всё больше и больше работы. Например, команда ls из версии Unix 2nd Edition поддерживала всего пять опций: -l для вывода списка в длинном формате, -t для сортировки по времени, а не по имени, -a для перечисления всех файлов, -s для показа, каков размер каждого файла и -d для перечисления имён каталогов, а не их содержимого. Современная команда ls в GNU поддерживает как эти исходные опции, так и более пятидесяти расширений для них.

• Родословная всех современных Unix-подобных систем прослеживается вплоть до исходного Unix. Linux — одна из таких систем, использующих инструментарий GNU. Набор GNU основан на инструментах Unix. В 2025 Linux уже не указывается в исходной структуре Unix, и неслучайно: теперь Linux поддерживает такие архитектуры и инструменты, о которых и мечтать было нельзя на момент зарождения Unix. Но общий принцип работы с командной строкой по-прежнему сохранился во многом таким, каким его закладывали в Unix в 1970-е. В следующий раз, когда вам доведётся при помощи ls вывести список файлов из каталога — вспомните, что вы пользуетесь инструментом, которому уже больше пятидесяти лет.

#Разное #Unix

😟 О скрытых сообщениях в эмодзи и взломе казначейства США.

• 30 декабря 2024 года, пока большинство людей суетились в преддверии празднования Нового года, Казначейство США готовило для Финансового комитета Сената США важное уведомление. В нём сообщалось, что его системы, которые содержат особо чувствительные конфиденциальные данные, были взломаны группой правительственных хакеров Китая.

• И это ещё не самое безумное. Начнём с того, что это была старая добрая атака посредством внедрения SQL-кода. За защиту серверов казначейства отчасти отвечает инструмент управления привилегированным доступом (Privileged Access Management, PAM) компании Beyond Trust. К сожалению для них, сотрудники Beyond Trust были вынуждены сообщить эту новость правительству, поскольку именно их ПО хакеры использовали в качестве точки входа.

• Но на месте Beyond Trust могла оказаться любой другая компания, так как в основе уязвимости лежит PostgreSQL — одна из самых распространённых реляционных баз данных в мире. Как же так получилось, что в PostgreSQL более 9 лет просидела нераскрытой уязвимость нулевого дня? Причём ещё и уязвимость SQLi.

➡ Оригинал.
➡ Перевод.

#PostgreSQL #ИБ

• Пост выходного дня: на просторах Хабра есть очень интересное чтиво, где авторы освещают тему приватности в реальном мире и анонимности в сети. Два лонгрида - рассуждения, которые обязательно Вам понравятся:

1⃣ Приватность: рождение и смерть - рассказано о том, как приватность постепенно появлялась в этом мире еще 3000 лет назад и о том, что мы сейчас подразумеваем под приватностью. К слову, в комментариях к этой статье есть очень много рассуждений, на которые стоит обратить внимание.

2⃣ Анонимность. При каких условиях возможен реванш? - в этой статье нет информации о том, каким образом Вы можете оставаться анонимными (с технической точки зрения), но есть рассуждения автора, при каких условиях такая возможность станет реальной! Рекомендую к прочтению.

#Разное

Доброе утро... 🫠

#Понедельник

• Ни для кого не секрет, что при публикации проектов на GitHub люди могут забыть удалить конфиденциальные данные, которые, в конечном итоге, становятся достоянием общественности. К примеру, новость о том, что в начале 2024 года слили исходный код Mercedes: тогда исследователи обнаружили в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных. А ведь этого могло не произойти, если разработчики были бы более внимательными и ответственными.

• Однако существуют специализированные инструменты, которые помогут предотвратить утечку данных и не слить в сеть конфиденциальные данные. Вот несколько из них: grep.app и code-search — эти тулзы предназначены для поиска по текстам и коду, с удобным интерфейсом для поиска в публичных репозиториях. Основные возможности следующие:

➡Поиск по публичным репозиториям;
➡Поддержка регулярных выражений;
➡Фильтрация по языкам программирования;
➡Поиск с учетом регистра;
➡Оптимизация для быстрого поиска.

➡️ https://grep.app
➡️ https://github.com/features/code-search

• Повторюсь: данные инструменты будут полезны не только разработчикам, но и помогут в защите от утечек данных!

#ИБ

😟 Когда спрятать недостаточно: как устроены атаки на системы тайной передачи информации.

• Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.

• И если вам кажется, что стеганография – это сложно, то вам не кажется. Это действительно сложно. За каждой технологией лежит огромное количество процессов, которые недоступны простым смертным. Однако… На кой они нам, простым юзерам, нужны? Вот вам нужно точно знать, как работает шифрование, чтобы спрятать в картинке то, что нужно спрятать? Для общего развития – да, но с точки конечного эффекта – без разницы.

• Собственно, это я все веду к тому, что у ребят из Бастион есть хорошая статья на эту тему, которая написана простым языком и содержит только необходимую информацию. Автор описывает основы стеганографии и рассказывает о возможных векторах атаки на стегосистемы.

➡️ Читать статью [13 min].

• В дополнение по теме:

➡Заражение с помощью стеганографии - очень объемный отчет от PT, в котором описан уникальный метод сокрытия вредоносов использующийся одной из хакерских группировок;
➡OpenPuff - инструмент, который поможет спрятать информацию в файле. Он работает с PDF, картинками, аудиофайлами и видео. Далее вводите пароли и вуаля – игла в яйце, яйцо в зайце, а заяц в утке. Проще и быть не может. И самое главное – это на вашем компьютере. Это не какое-то вам облако.
➡Как спрятать любые данные в PNG - Как спрятать любые данные в JPEG - очень крутой материал, который поможет разобраться в сегодняшней теме.

#Стеганография

• Linux в роли серверной ОС привыкли считать гарантией надёжности и безопасности, он популярен у компаний и обычных пользователей. Однако никакая система не является полностью непроницаемой для атак. С учётом эволюционирующих киберугроз администраторы серверов должны принимать проактивные меры для защиты своих систем от атак и вовремя закрывать уязвимости.

• По ссылкам ниже можно найти очень полезный материал, который содержит рекомендации для тех, кто только начинает заниматься администрированием и защитой Linux-серверов и планирует изучить базовые техники создания укреплённой линукс-среды, устойчивой к различным угрозам:

➡Hardening Linux Servers Against Threats and Attacks.
➡40 Linux Server Hardening Security Tips [2024 edition].
➡Linux Hardening Guide.

#Linux

• Коллекция полезных шпаргалок для DevOps, ИБ и ИТ-специалистов:

➡Nginx;
➡Docker;
➡Ansible;
➡Python;
➡Go (Golang);
➡Git;
➡Regular Expressions (Regex);
➡PowerShell;
➡VIM;
➡Jenkins;
➡Continuous Integration and Continuous Delivery (CI/CD);
➡Kubernetes;
➡Linux;
➡Redis;
➡Slack;
➡Puppet;
➡Google Cloud Developer;
➡AI, Neural Networks, Machine Learning, Deep Learning & Data Science;
➡PostgreSQL;
➡Ajax;
➡Amazon Web Services (AWS);
➡Infrastructure as Code (IaC);
➡System Design;
➡Cyber Security.

#CheatSheet #DevOps #ИБ

😟 Шпионская малина: дело о Raspberry Pi в шкафу для сетевого оборудования.

• Крошечный форм-фактор, хороший процессор, относительно малое энергопотребление, возможность подключения WiFi-модуля по USB, ядро Linux — что ещё нужно для скрытой установки в шкафу для сетевого оборудования? Остаётся только придумать, как запитать устройство от розетки или подключить к нему батарейки, чтобы модуль мог работать в автономном режиме долгое время — и платформа для тестов на проникновение готова.

• С такой ситуацией и столкнулись 2 героя этого материала. Они нашли неизвестную Raspberry Pi в серверной и смогли установить владельца:

➡ Читать статью [10 min].

#Raspberry #пентест