• Ни для кого не секрет, что при публикации проектов на GitHub люди могут забыть удалить конфиденциальные данные, которые, в конечном итоге, становятся достоянием общественности. К примеру, новость о том, что в начале 2024 года слили исходный код Mercedes: тогда исследователи обнаружили в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных. А ведь этого могло не произойти, если разработчики были бы более внимательными и ответственными.
• Однако существуют специализированные инструменты, которые помогут предотвратить утечку данных и не слить в сеть конфиденциальные данные. Вот несколько из них: grep.app и code-search — эти тулзы предназначены для поиска по текстам и коду, с удобным интерфейсом для поиска в публичных репозиториях. Основные возможности следующие:
➡ Поиск по публичным репозиториям;
➡ Поддержка регулярных выражений;
➡ Фильтрация по языкам программирования;
➡ Поиск с учетом регистра;
➡ Оптимизация для быстрого поиска.
➡️ https://grep.app
➡️ https://github.com/features/code-search
• Повторюсь: данные инструменты будут полезны не только разработчикам, но и помогут в защите от утечек данных!
#ИБ
• Однако существуют специализированные инструменты, которые помогут предотвратить утечку данных и не слить в сеть конфиденциальные данные. Вот несколько из них: grep.app и code-search — эти тулзы предназначены для поиска по текстам и коду, с удобным интерфейсом для поиска в публичных репозиториях. Основные возможности следующие:
• Повторюсь: данные инструменты будут полезны не только разработчикам, но и помогут в защите от утечек данных!
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25👍16❤4
• Думаю, что многие из вас смотрели кино, где в качестве безналичного расчета применялся чек (на фото). Дело в том, что этот способ был настолько популярен, что использовался с 1659 до начала 1990-х, а некоторые особо консервативные люди используют чеки и в наши дни.
• Схема была следующей: банк выдавал своему клиенту чековую книжку — набор незаполненных чеков. Когда клиент хотел перевести деньги контрагенту, он заполнял чек именем контрагента, датой заполнения чека, суммой и своей подписью. Чек передавался контрагенту, который мог за несколько часов обналичить его в отделении, обслуживающего счет чекодателя. Но чаще всего чекодержатель относил чек в удобный ему банк и получал деньги на свой счет в течение нескольких дней. В течение этих дней банки совершали следующие операции: проверку подлинности чека, проверку достаточности средств на счете чекодателя, обмен информацией между банками и учет проведенный операций в гроссбухах обоих банков. Весь этот процесс называется чековым клирингом и до 1950-х совершался вручную.
• В 1959 году случилась технологическая революция, когда Bank of America стал первым банком в мире, применившим компьютер. Этот компьютер назывался ERMA (Electronic Recording Machine, Accounting) и использовался для централизованного учета счетов и автоматизации чекового клиринга. Это было громоздкое устройство, занимавшее половину комнаты (на фото выше) и стоившее Bank of America 10-и миллионов долларов (больше 100 миллионов долларов на сегодняшний день с учетом инфляции). Для чекового клиринга отделения банков больше не связывались друг с другом, а отправляли чеки на обработку ERMA в конце операционного дня. К началу следующего операционного дня транзакция была исполнена и отражена на счете.
• Помимо сильно уменьшившегося времени на обработку платежей, радикальным изменением стал учет чековых счетов клиентов центральным компьютером, а не отделениями, чья роль с тех пор начала становиться менее важной. Информация о балансе и транзакциях сохранялась в компьютере и была доступна на уровне всего банка. Именно с момента внедрения ERMA в банковскую систему и началось развитие информационных технологий в сфере банковского обслуживания.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍41❤17🔥12⚡1🥱1
• Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.
• И если вам кажется, что стеганография – это сложно, то вам не кажется. Это действительно сложно. За каждой технологией лежит огромное количество процессов, которые недоступны простым смертным. Однако… На кой они нам, простым юзерам, нужны? Вот вам нужно точно знать, как работает шифрование, чтобы спрятать в картинке то, что нужно спрятать? Для общего развития – да, но с точки конечного эффекта – без разницы.
• Собственно, это я все веду к тому, что у ребят из Бастион есть хорошая статья на эту тему, которая написана простым языком и содержит только необходимую информацию. Автор описывает основы стеганографии и рассказывает о возможных векторах атаки на стегосистемы.
• В дополнение по теме:
#Стеганография
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍36🔥18❤7
- Получил от коллег материал о защите корпоративных данных, который сделали специалисты Яндекс Браузера для организаций. Статистика тревожная: каждая пятая компания сталкивается с утечкой данных через внешних специалистов, а средний ущерб от одного инцидента достигает 5,5 млн рублей.
- В материале компания делится знаниями и экспертным взглядом на проблемы ИБ, что особенно важно в ситуации растущего числа киберугроз.
- Речь о том, как обезопасить свою компанию от утечек, продолжая работать в привычном режиме.
#ИБ #web
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21🤮14⚡5❤🔥4
• Нашел в Twitter (Х) интересный профиль, у которого весьма забавная история: всё началось в далеком 2016 году, когда Microsoft пришла в голову идея выпустить чат-бот для Twitter. Бота назвали "Тэй" — по своей сути это искусственный интеллект, которому создатели придали вид девушки-подростка. Она должна была поддерживать легкие беседы с подростками в соцсети.
• Тэй училась общаться на диалогах из соцсетей. Позже с ней работала команда юмористов и стендаперов. Последней фазой обучения был разговор с пользователями Twitter. Вот только они стали засыпать её матом, а Тэй быстро всё впитывала, не только повторяя то, что слышала, но и придумывая новые оскорбительные слова.
• За сутки чат-бот научился ругаться матом и стал расистом. В общем итоге было опубликовано 95 тысяч твитов. Большая часть из них содержали ненормативную лексику и черный юмор.
• Из-за бота случился скандал: выяснилось, что за всем этим стояла группа троллей. Оказалось, что они специально закидывали бота матами и расистскими высказываниями. А что самое забавное, они использовали встроенную в Tэй функцию «Повторять за мной», благодаря которой бот повторял все, что ему говорили.
• В итоге Twitter накрыла волна недовольства и Microsoft отключила профиль Тэй. Профиль по-прежнему закрыт. Вот такие дела...
#Разное
• Тэй училась общаться на диалогах из соцсетей. Позже с ней работала команда юмористов и стендаперов. Последней фазой обучения был разговор с пользователями Twitter. Вот только они стали засыпать её матом, а Тэй быстро всё впитывала, не только повторяя то, что слышала, но и придумывая новые оскорбительные слова.
• За сутки чат-бот научился ругаться матом и стал расистом. В общем итоге было опубликовано 95 тысяч твитов. Большая часть из них содержали ненормативную лексику и черный юмор.
• Из-за бота случился скандал: выяснилось, что за всем этим стояла группа троллей. Оказалось, что они специально закидывали бота матами и расистскими высказываниями. А что самое забавное, они использовали встроенную в Tэй функцию «Повторять за мной», благодаря которой бот повторял все, что ему говорили.
• В итоге Twitter накрыла волна недовольства и Microsoft отключила профиль Тэй. Профиль по-прежнему закрыт. Вот такие дела...
#Разное
😁69👍20🤣12👎1🤮1
• Linux в роли серверной ОС привыкли считать гарантией надёжности и безопасности, он популярен у компаний и обычных пользователей. Однако никакая система не является полностью непроницаемой для атак. С учётом эволюционирующих киберугроз администраторы серверов должны принимать проактивные меры для защиты своих систем от атак и вовремя закрывать уязвимости.
• По ссылкам ниже можно найти очень полезный материал, который содержит рекомендации для тех, кто только начинает заниматься администрированием и защитой Linux-серверов и планирует изучить базовые техники создания укреплённой линукс-среды, устойчивой к различным угрозам:
➡ Hardening Linux Servers Against Threats and Attacks.
➡ 40 Linux Server Hardening Security Tips [2024 edition].
➡ Linux Hardening Guide.
#Linux
• По ссылкам ниже можно найти очень полезный материал, который содержит рекомендации для тех, кто только начинает заниматься администрированием и защитой Linux-серверов и планирует изучить базовые техники создания укреплённой линукс-среды, устойчивой к различным угрозам:
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥35👍21
• Коллекция полезных шпаргалок для DevOps, ИБ и ИТ-специалистов:
➡ Nginx;
➡ Docker;
➡ Ansible;
➡ Python;
➡ Go (Golang);
➡ Git;
➡ Regular Expressions (Regex);
➡ PowerShell;
➡ VIM;
➡ Jenkins;
➡ Continuous Integration and Continuous Delivery (CI/CD);
➡ Kubernetes;
➡ Linux;
➡ Redis;
➡ Slack;
➡ Puppet;
➡ Google Cloud Developer;
➡ AI, Neural Networks, Machine Learning, Deep Learning & Data Science;
➡ PostgreSQL;
➡ Ajax;
➡ Amazon Web Services (AWS);
➡ Infrastructure as Code (IaC);
➡ System Design;
➡ Cyber Security.
#CheatSheet #DevOps #ИБ
#CheatSheet #DevOps #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39🔥8❤6⚡1
• Мало кто знает, что комбинация клавиш
• Широкую известность Ctrl + Alt + Del получила благодаря Microsoft и ее создателю Биллу Гейтсу, которые работали вместе с IBM над созданием персонального компьютера. В начале 1990-х годов в ранних версиях Windows часто происходил сбой системы, в результате которого пользователи видели печально известный «синий экран смерти». Было два пути решения проблемы: либо нажать
• А ведь комбинация могла быть совсем другой. Сначала сам Дэвид Брэдли предложил сочетание Ctrl + Alt + Esc, но отказался от него, потому что эти три клавиши можно случайно нажать одной рукой (что давольно проблематично, как по мне). В целях безопасности комбинацию заменили на Ctrl + Alt + Del. На старых клавиатурах IBM нажать ее одной рукой было почти невозможно.
• Позднее Билл Гейтс заявлял, что хотел выделить на клавиатуре всего лишь одну клавишу для «мягкой перезагрузки», но в IBM отказались это делать. Комбинация стала универсальной и работала на всех системах, и в итоге менять ничего не стали.
• В общем и целом, только начиная с версии Windows 3.1 комбинация Ctrl + Alt + Del не перезагружает компьютер сразу. Она вызывает экран безопасности, где можно заблокировать систему или выйти из нее, сменить пользователя или пароль, вызвать «Диспетчер задач», завершить работу, перезагрузить или перевести компьютер в режим ожидания или гибернацию. Это действовало во всех системах, кроме Windows XP — там нажатие Ctrl + Alt + Del запускало «Диспетчер задач». Такие вот дела...
#Разное
Ctrl + Alt + Del изначально не была предназначена для обычных пользователей. Она перезапускала компьютер сразу после нажатия, без предупреждения и возможности завершить рабочие процессы. Это могло вызвать недовольство, поэтому какое-то время ее использовали только разработчики, чтобы перезапускать компьютер быстрее. Но все изменилось, когда IBM прописала ее в своей технической документации. Вероятно, чтобы объяснить принцип работы мягкой перезагрузки и предостеречь пользователей от случайных нажатий. Так комбинация распространилась и среди «простых смертных»: первыми о ней узнали те, кому не лень читать инструкции по применению.• Широкую известность Ctrl + Alt + Del получила благодаря Microsoft и ее создателю Биллу Гейтсу, которые работали вместе с IBM над созданием персонального компьютера. В начале 1990-х годов в ранних версиях Windows часто происходил сбой системы, в результате которого пользователи видели печально известный «синий экран смерти». Было два пути решения проблемы: либо нажать
Enter и вернуться к системе, что чаще всего не срабатывало, либо нажать Ctrl + Alt + Del и перезагрузиться.• А ведь комбинация могла быть совсем другой. Сначала сам Дэвид Брэдли предложил сочетание Ctrl + Alt + Esc, но отказался от него, потому что эти три клавиши можно случайно нажать одной рукой (что давольно проблематично, как по мне). В целях безопасности комбинацию заменили на Ctrl + Alt + Del. На старых клавиатурах IBM нажать ее одной рукой было почти невозможно.
• Позднее Билл Гейтс заявлял, что хотел выделить на клавиатуре всего лишь одну клавишу для «мягкой перезагрузки», но в IBM отказались это делать. Комбинация стала универсальной и работала на всех системах, и в итоге менять ничего не стали.
• В общем и целом, только начиная с версии Windows 3.1 комбинация Ctrl + Alt + Del не перезагружает компьютер сразу. Она вызывает экран безопасности, где можно заблокировать систему или выйти из нее, сменить пользователя или пароль, вызвать «Диспетчер задач», завершить работу, перезагрузить или перевести компьютер в режим ожидания или гибернацию. Это действовало во всех системах, кроме Windows XP — там нажатие Ctrl + Alt + Del запускало «Диспетчер задач». Такие вот дела...
#Разное
👍79🔥24⚡8
• С такой ситуацией и столкнулись 2 героя этого материала. Они нашли неизвестную Raspberry Pi в серверной и смогли установить владельца:
#Raspberry #пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
👍44👏10🥰5
• Несколько часов назад эксперты "Лаборатории Касперского" выкатили очень объемный отчет, в котором описали многоступенчатую схему атак на промышленные организации Китая, Японии, Тайланда и т.д. В отчете сказано, что атакующие использовали публично доступных упаковщиков для шифрования образцов вредоносного ПО, динамическое изменение адресов серверов управления вредоносным ПО (C2), использовали функционал легитимных приложений для запуска вредоносного ПО, а первоначальное заражение осуществляли посредством распространения вредоносных zip-архивов через WeChat, Telegram и электронную почту.
• Такие Zip-архивы маскировались под счета-фактуры или легитимные налоговые приложения для китайскоязычных пользователей и содержали троянские программы для удаленного доступа с открытым исходным кодом, такие как Gh0st RAT, SimayRAT, Zegost и FatalRAT. Функциональность FatalRAT предоставляет атакующим практически неограниченные возможности для развития атаки: распространение по сети, установка инструментов удаленного администрирования, манипулирование устройствами, кража и удаление конфиденциальной информации и т.д. Очевидно, что заражение подобным вредоносным ПО представляет серьезную угрозу, особенно для промышленных организаций, которых оказалось немало среди жертв этих атак.
➡️ Полную версию отчета можно скачать тут: https://ics-cert.kaspersky.ru/reports/operation-salmonslalom
• P.S. Напомню, что любые файлы, которые распространяются в Telegram (и не только), вы можете предварительно пересылать в нашего бота S.E. Virus Detect для анализа на наличие вирусов. В конечном итоге бот выдаст вам подробный отчет и предупредит о наличии вирусов (если они там есть). Помимо проверки файлов можно направить боту QR код и получить его расшифровку, дешифровать короткие ссылки и просканировать домен \ ip на наличие угроз. В общем и целом, это как VirusTotal, только на стероидах и с доп. функционалом. Тем более полностью бесплатный. Пользуйтесь!
#Отчет
• Такие Zip-архивы маскировались под счета-фактуры или легитимные налоговые приложения для китайскоязычных пользователей и содержали троянские программы для удаленного доступа с открытым исходным кодом, такие как Gh0st RAT, SimayRAT, Zegost и FatalRAT. Функциональность FatalRAT предоставляет атакующим практически неограниченные возможности для развития атаки: распространение по сети, установка инструментов удаленного администрирования, манипулирование устройствами, кража и удаление конфиденциальной информации и т.д. Очевидно, что заражение подобным вредоносным ПО представляет серьезную угрозу, особенно для промышленных организаций, которых оказалось немало среди жертв этих атак.
• P.S. Напомню, что любые файлы, которые распространяются в Telegram (и не только), вы можете предварительно пересылать в нашего бота S.E. Virus Detect для анализа на наличие вирусов. В конечном итоге бот выдаст вам подробный отчет и предупредит о наличии вирусов (если они там есть). Помимо проверки файлов можно направить боту QR код и получить его расшифровку, дешифровать короткие ссылки и просканировать домен \ ip на наличие угроз. В общем и целом, это как VirusTotal, только на стероидах и с доп. функционалом. Тем более полностью бесплатный. Пользуйтесь!
#Отчет
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍60🔥15❤8👎3👏1💩1🥱1
• Нашел очень крутой репозиторий, который содержит в себе огромное кол-во вопросов и ответов для подготовки к собеседованию на должность DevOps и системных администраторов. К слову, для других направлений список окажется не менее полезным, поэтому рекомендую.
• Репозиторий разделен на несколько частей:
➡ Техническое интервью - здесь собраны ответы на вопросы самых разных собеседований за последние 2 года;
➡ Интервью с hr - советы о том, как подготовиться к интервью, на что обратить внимание;
➡ Референсы, ссылки - ссылки на полезные метариалы;
➡ Топ вопросов - субъективный рейтинг популярных вопросов по баллам от 0 до 10.
• В качестве дополнения:
➡ Easyoffer.ru - на этом сайте собрано более 1100 вопросов для подготовки к собеседованиям на позицию DevOps.
➡ A collection of Linux Sysadmin Test Questions and Answers - этот проект содержит 284 вопроса и ответа, которые можно использовать для проверки собственных знаний или во время собеседования на должность администратора Linux (*nix). Очень удобно, что вопросы разбиты на категории (от простых, к сложным).
➡ Список вопросов по наступальной безопасности - данный репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно прикинуть, какие области знаний Вами не покрыты для самостоятельного обучения.
➡ Red Team Interview Questions - тривиальные вопросы, к которым нужно подготовится перед прохождением собеседования на позицию Red Team.
#DevOps #ИБ #Собеседование
• Репозиторий разделен на несколько частей:
• В качестве дополнения:
#DevOps #ИБ #Собеседование
Please open Telegram to view this post
VIEW IN TELEGRAM
👍40❤10🔥9
• На днях просматривал список бесплатных курсов на Stepik и заметил программу обучения по стеганографии. На самом деле, был немного удивлен, так как на эту тему мало говорят в паблике (по сравнению с другими темами).
• Так вот, по ссылке ниже можно найти бесплатный курс, в который входят 22 урока и 41 тест. При изучении вы освоите методы стеганографии, научитесь применять их на практике и познакомитесь с большим количеством инструментов. А еще попробуете себя в роли реверс-инженера, разбирающего разные форматы файлов и кодировку! Рекомендую:
➡️ https://stepik.org/course/201836/
#Курс #Стеганография
• Так вот, по ссылке ниже можно найти бесплатный курс, в который входят 22 урока и 41 тест. При изучении вы освоите методы стеганографии, научитесь применять их на практике и познакомитесь с большим количеством инструментов. А еще попробуете себя в роли реверс-инженера, разбирающего разные форматы файлов и кодировку! Рекомендую:
#Курс #Стеганография
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍71🔥9❤6🤡2
• Более 45 лет назад у правительства США появилась потребность в компактном ноутбуке, которым могли бы пользоваться астронавты в ходе своих миссий. И такой компьютер был создан — он получил название Grid Compass 1101 (на фото).
• Относительно небольшие переносные компьютеры в 1982 году, когда появился на свет Grid Compass 1101, уже не считались чем-то сверхъестественным: за год до этой даты свой «прото-ноутбук» представил на рынке Осборн (не Оззи, а Адам). Его персоналка Osborne I на базе процессора Z80 помещалась в небольшой чемодан, который можно было с комфортом разместить под сидением автомобиля или самолёта, благодаря чему эта машина быстро завоевала популярность среди бизнесменов и корпоративных менеджеров, вынужденных часто путешествовать по работе.
• Но продукт Osborne Computer Corporation все же имел целый ряд серьезных недостатков: слабый процессор, крошечный дисплей, ограниченный ассортимент программ и небольшой ресурс аккумуляторной батареи. Поработать на такой персоналке пару часов в самолёте или купе поезда — еще куда ни шло, а вот в космосе… Там нужен был компьютер помощнее.
• И в 1979 году правительство США начало искать подрядчиков для разработки компактной переносной персоналки, которую могли бы использовать астронавты НАСА в ходе реализации программы Space Shuttle. За создание такой машины взялась компания Grid Systems Corporation, основанная в том же году выходцем из Xerox Джоном Элленби и британским дизайнером Биллом Моггриджем.
• Оригинальный дизайн компьютера разработал Моггридж, а Элленби с командой инженеров занимались электронной начинкой. Поскольку Compass 1101 изначально проектировался для использования на космических кораблях, цена устройства не считалась определяющим фактором, гораздо важнее были небольшой вес, быстродействие, ресурс автономной работы от аккумулятора и дисплей, способный выдавать качественное изображение в условиях недостаточной освещенности.
• Работа над компьютером заняла три года, и в 1982 году Grid Compass 1101 был, наконец, представлен заказчику. Он полностью соответствовал всем выдвинутым техническим требованиям, и стал тем самым устройством, которое легло в основу целого поколения портативных ноутбуков 80-х. (На втором фото изображен Астронавт Джон Крейтон с GRiD Compass на борту «Дискавери»).
➡️ https://spectrum.ieee.org/nasas-original-laptop-the-grid-compass
#Разное
• Относительно небольшие переносные компьютеры в 1982 году, когда появился на свет Grid Compass 1101, уже не считались чем-то сверхъестественным: за год до этой даты свой «прото-ноутбук» представил на рынке Осборн (не Оззи, а Адам). Его персоналка Osborne I на базе процессора Z80 помещалась в небольшой чемодан, который можно было с комфортом разместить под сидением автомобиля или самолёта, благодаря чему эта машина быстро завоевала популярность среди бизнесменов и корпоративных менеджеров, вынужденных часто путешествовать по работе.
• Но продукт Osborne Computer Corporation все же имел целый ряд серьезных недостатков: слабый процессор, крошечный дисплей, ограниченный ассортимент программ и небольшой ресурс аккумуляторной батареи. Поработать на такой персоналке пару часов в самолёте или купе поезда — еще куда ни шло, а вот в космосе… Там нужен был компьютер помощнее.
• И в 1979 году правительство США начало искать подрядчиков для разработки компактной переносной персоналки, которую могли бы использовать астронавты НАСА в ходе реализации программы Space Shuttle. За создание такой машины взялась компания Grid Systems Corporation, основанная в том же году выходцем из Xerox Джоном Элленби и британским дизайнером Биллом Моггриджем.
• Оригинальный дизайн компьютера разработал Моггридж, а Элленби с командой инженеров занимались электронной начинкой. Поскольку Compass 1101 изначально проектировался для использования на космических кораблях, цена устройства не считалась определяющим фактором, гораздо важнее были небольшой вес, быстродействие, ресурс автономной работы от аккумулятора и дисплей, способный выдавать качественное изображение в условиях недостаточной освещенности.
• Работа над компьютером заняла три года, и в 1982 году Grid Compass 1101 был, наконец, представлен заказчику. Он полностью соответствовал всем выдвинутым техническим требованиям, и стал тем самым устройством, которое легло в основу целого поколения портативных ноутбуков 80-х. (На втором фото изображен Астронавт Джон Крейтон с GRiD Compass на борту «Дискавери»).
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍53🔥23❤5🤣1