• Атаки на контейнеры случаются не так часто, как на другие системы, но это не делает их менее опасными. В этой статье описана интересная схема, когда контейнеризованная среда была скомпрометирована комбинацией из ранее известным майнером и новым вредоносным ПО, что позволило создать новые зараженные контейнеры и инфицировать уже существующие. Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
• К слову, согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375. Эта информация дает нам представление о разрушительном потенциале данной угрозы и подчеркивает необходимость тщательного мониторинга контейнеров и их надежной защиты.
#ИБ #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29
• 15 лет назад, 22 мая 2010 года, впервые оплатили товар биткоинами. Именно в этот день в 2010 году программист Ласло Хейниц купил две пиццы за 10 тысяч биткоинов.
• 18 мая 2010 года на форуме BitcoinTalk программист Ласло Хейниц написал, что он готов заплатить 10 000 BTC тому, кто закажет ему 2 пиццы. Ответа на его предложение не последовало, и 21 мая Ласло обновил свой пост. На следующий день к нему в дверь постучался студент Джереми Стардивент, держа в руках две грибные пиццы из Papa John’s. Тогда Джереми даже не подозревал, что получает потенциальные миллиарды долларов. Обе стороны оказались весьма довольны сделкой, которая вошла в историю как первая в мире покупка за биткоины. По курсу на сегодня цена той пиццы составляет около 1.1 миллиарда баксов (или около 88 миллиарда рублей).
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Если помните, то я ранее делился с вами интересной подборкой, которая содержит в себе огромное кол-во материала для подготовки к собеседованию на должность DevOps и системных администраторов. Так вот, я нашел очень крутые лайв интервью на одном из YT-каналов и посмотрел их с огромным удовольствием. Сразу отмечу, что контент весьма необычный, но там вы найдете кучу полезной информации и можете самостоятельно попробовать ответить на вопросы.
➡ Опытный сисадмин захотел в DevOps? / Техсобес на позицию Junior DevOps Engineer.
➡ Начинающий Linux-админ стал Девопсом? / Техсобес на позицию Junior DevOps Engineer.
➡ Парень стал девопсом в 17 лет?? / Техсобес на позицию Junior DevOps Engineer.
➡ Kubernetes-админ знает всё?? / Техсобес на позицию Middle DevOps Engineer.
➡ Парень к 16-ти годам изучил Linux и DevOps и занимается пентестом? / Техсобес Junior DevOps Engineer.
• В качестве дополнения⬇️
➡ devops-interview - репозиторий, который содержит в себе огромное кол-во вопросов и ответов для подготовки к собеседованию на должность DevOps и системных администраторов.
➡ Easyoffer.ru - на этом сайте собрано более 1100 вопросов для подготовки к собеседованиям на позицию DevOps.
➡ A collection of Linux Sysadmin Test Questions and Answers - этот проект содержит 284 вопроса и ответа, которые можно использовать для проверки собственных знаний или во время собеседования на должность администратора Linux (*nix). Очень удобно, что вопросы разбиты на категории (от простых, к сложным).
➡ Список вопросов по наступальной безопасности - данный репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно прикинуть, какие области знаний Вами не покрыты для самостоятельного обучения.
➡ Red Team Interview Questions - тривиальные вопросы, к которым нужно подготовится перед прохождением собеседования на позицию Red Team.
#DevOps #ИБ #Собеседование
• В качестве дополнения
#DevOps #ИБ #Собеседование
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24
• Этот инструмент изначально был разработан с целью отслеживания исчезновения звезд на Github, т.к. IT-хостинг не предоставлет информацию по движению снятых звезд даже создателю репозитория, но спустя время функционал утилиты разросся до детектирования фейковых звезд с различной статистикой! И вот как раз этот функционал нас и интересует, так как помогает специалистам ИБ анализировать и находить репозитории, на которые накрутили статистику. Такие проекты нужно тщательно проверять перед использованием и быть максимально осторожным.
• Преимущества софта: работает из коробки на любых OS (в т.ч. и в Android/Termux) и не требует чтения мануалов и тех.скиллов. А еще есть описание на русском языке:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍35
• Мало кто знает, что до появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix.
• Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов.
• Вот некоторые примеры тех поисковых систем, которые появились в период с 1990 по 1998 год: Wandex (1993 год), Excite (1994 год), WebCrawler (1994 год), AltaVista (1995 год) и Yahoo (1995 год). Собственно, в то время, один из создателей Google Ларри Пейдж учился в университете, где пытался понять, почему тот или иной материал или сайт может быть полезен пользователю. Так как поисковики того времени не умели выдавать релевантные запросу результаты.
• Пейдж представлял всю интернет-сеть в виде огромного разветвленного графа, в котором одни сайты ссылались на другие. А что, если присвоить вершинам графа (страницам на сайте) весовой коэффициент, в зависимости от количества входящих в него ребер (гиперссылок)? По идее, чем больше материал упоминается на других ресурсах, тем он полезнее для большинства. А следовательно, с большей вероятностью понравится и одному конкретному пользователю под похожий запрос.
• В 1996 году Пейдж знакомится с Сергеем Брином — математиком, который достиг значительных успехов как раз в анализе огромных массивов данных. Их сотрудничество приводит к появлению алгоритма PageRank. Краеугольного камня современного веб-поиска, который учитывал не только количество раз, когда ключевое слово появлялось на веб-странице, но также качество и релевантность входящих ссылок.
• В 1996 году Брин и Пейдж получают гранты по программе стипендии Национального научного фонда и запускают в работу проект BackRub. По сути, это был мощный веб-сканер, который должен был проиндексировать миллионы страниц, выявить все взаимосвязанные обратные ссылки и проверить алгоритм ранжирования.
• Брин и Пейдж при посредничестве других выпускников Стэнфорда собрали на базе университетских серверов систему и запустили ее в работу летом 1996 года. При этом BackRub занимал примерно половину вычислительных ресурсов сети кампуса. К 29 августа 1996 система проиндексировала порядка 75 миллионов URL-адресов, загрузила 30 миллионов страниц и суммарно выкачала 207 Гб информации. Неудивительно, что университетская сеть несколько раз чуть не легла, а руководство Стэнфорда регулярно получало жалобы от пользователей.
• Чтобы продемонстрировать результат работы поисковика, Пейдж и Брин разместили страницу по адресу
google.stanford.edu и z.stanford.edu. Первыми пользователями были, разумеется, студенты Стэнфорда. И они были поражены, насколько быстро происходил поиск и ранжирование материалов в поисковой выдаче. Ну а дальше эффект сарафанного радио привел к тому, что к началу 1998 года на демонстрационную страницу приходило уже больше 10 000 запросов в день.• Пейдж и Брин решили, что из этого эксперимента может что-то получиться. 29 января 1998 года они публикуют статью The PageRank Citation Ranking: Bringing Order to the Web, которая перевернула представление о поиске в интернете.
• После этого появляется еще одна их статья, которая станет одной из самых цитируемых в истории: The Anatomy of a Large-Scale Hypertextual Web Search Engine. В ней Сергей и Ларри подробно описали архитектуру и принципы работы поисковой системы Google. В ней рассматриваются ключевые аспекты: серверная инфраструктура, алгоритм PageRank для оценки релевантности веб-страниц, методы краулинга и индексации, а также подходы к обеспечению высокой производительности и масштабируемости системы. Эта работа заложила основу для создания современных поисковых систем.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍82
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰107
• Смотрите, какое устройство недавно анонсировала одна из немецких компаний - это внешний SSD-накопитель Expert P35S с кнопкой уничтожения данных. Производитель отмечает, что достаточно просто нажать на соответствующую кнопку, которая физически выведет из строя микросхему твердотельника. После этого, если верить заявлениям компании, накопитель превращается в «бесполезный кусок пластика».
• В компании считают, что устройство пригодится всем, кто работает с секретной или чувствительной информацией. В экстренных случаях данные можно быстро уничтожить, чтобы предотвратить утечку.
#Новости
• В компании считают, что устройство пригодится всем, кто работает с секретной или чувствительной информацией. В экстренных случаях данные можно быстро уничтожить, чтобы предотвратить утечку.
#Новости
🤔73👍31💩8❤4😁1
• На хабре была опубликована хорошая статья, где автор рассказывает про семь инструментов для сканирования уязвимостей, которыми сам регулярно пользуется. Каждый из сканеров хорош по-своему: кто-то вылавливает баги в Python-коде, а кто-то проверяет контейнеры, кто-то смотрит на лучшие практики в написании кода. Мы разберем, как эти инструменты установить, настроить и использовать.
• Нужно отметить, что выбор подходящего сканера или комбинации инструментов зависит от специфики вашего проекта, требований к безопасности и возможностей интеграции.
➡️ https://habr.com/ru/articles/910840/
• В качестве дополнительного материала рекомендую обратить внимание на проект Scanners Box (scanbox), где опубликована подборка различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для Red Team и Blue Team специалистов, до сканеров анализа кода в мобильных приложениях:
➡ https://github.com/We5ter/Scanners-Box
#ИБ #Пентест #Tools
• Нужно отметить, что выбор подходящего сканера или комбинации инструментов зависит от специфики вашего проекта, требований к безопасности и возможностей интеграции.
• В качестве дополнительного материала рекомендую обратить внимание на проект Scanners Box (scanbox), где опубликована подборка различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для Red Team и Blue Team специалистов, до сканеров анализа кода в мобильных приложениях:
#ИБ #Пентест #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24👍17⚡6💩3❤2💋1
• Возможно, вы не знали, но в Великобритания требует от каждой семьи, которая пользуется телевизором, приобретать лицензию (фото 1) на эту привилегию. Появившаяся в 1923 году после принятия Закона о беспроводной телеграфии лицензия требовалась всем, кто пользовался радиоприёмниками. В 1946 году под лицензирование попало и телевидение. Средства, собираемые с граждан, используются в качестве основного источника финансирования Британской общенациональной общественной телерадиовещательной организации. Если коротко, то BBC.
• Да, вы всё правильно поняли. Каждая семья, слушающая радио или смотрящая телевидение, должна пойти на почту, заплатить деньги и приобрести эту лицензию. Почтовая служба автоматически переводит полученные деньги непосредственно Би-би-си.
• Чтобы ни один пенни за просмотр ТВ или прослушивание радио не прошёл мимо бюджета компании, BBC создала и выпустила на улицы специальные фургоны (фото 3,4), чьей задачей был поиск незаконно работающих телевизоров.
• Чтобы обеспечить стабильный доход, BBC внедрила срок действия лицензий, а также создала реестр семей, которые пользуются телекоммуникационными устройствами. Одна выданная лицензия на ТВ действительна не более 12 месяцев. В системе телерадиовещателя регистрируют номер лицензии и дату истечения её срока действия. В отношении семей, подозреваемых во владении телевизором, но не внёсших требуемую сумму в нужный срок, проводятся расследования.
• Чтобы гарантировать себе полный и своевременный сбор средств за лицензии, специальная служба TV Licensing регулярно шлёт грозные письма тем, у кого истекает срок действия лицензии или кто не купил её. Если реакции нет, сотрудники службы могут организовать визит сотрудников правоохранительных органов. Эти сотрудники не имеют права насильственно входить в дома, но если семья категорически отказывается сотрудничать с полицией, TV Licensing подаёт заявку на выдачу ордера на обыск. Поводом для такой заявки может стать спутниковая тарелка или антенна, обнаруженная на крыше жилого дома. Ну, или визуальное наблюдение за окнами квартиры, в которой предположительно находится «нелегальный» телевизор.
• Ещё одним способом выявления неплательщиком долгое время являлся автофургон, оборудованный современной (на тот момент времени) техникой, которая способна обнаружить работу телевизионных устройств. Такие фургоны часто отправляются по адресам с просроченными или отсутствующими телевизионными лицензиями. Если удаётся зафиксировать, что в семье есть устройство, которое может работать и принимать сигналы вещания, TV Licensing подаёт заявку на выдачу ордера для продолжения расследования.
• Фургоны-детекторы ТВ используются в основном для сбора «улик», необходимых для одобрения заявки на обыск. Доказательства, собранные фургоном, редко используются в суде для преследования лиц, уклоняющихся от лицензии. Ведь имея на руках ордер, полицейские смогут использовать прямые улики (вроде телевизора, подключённого к антенне), чтобы привлечь нарушителя к ответственности.
• О том, как сейчас ищут уклонистов, у которых нет желания платить за лицензию, мало что известно. Современные плоские телевизоры, принимающие цифровой сигнал, не излучают столько радиопомех, как более старые устройства. Кроме того, любые такие обнаруженные сигналы труднее сопоставить с вещательным телевидением. Ведь на экране вполне может быть игра, если владелец ТВ также является и владельцем игровой приставки. А ещё есть стриминговые сервисы, которые тоже можно смотреть, не оплачивая лицензионный сбор.
• Если изучить поданные BBC заявления о выдаче ордера на обыск, то можно заметить, что чаще всего там фигурируют оптические методы наблюдения, когда отраженный свет от телевизора в доме зрителя сравнивается с сигналом прямой трансляции. Компания вообще неохотно делится информацией о своих фургонах-детекторах ТВ. Пусть они ещё и ездят по улицам, но с учётом разнообразия доступных вещательных, кабельных и спутниковых каналов есть основание подозревать, что их дни практически сочтены...
#Разное
• Да, вы всё правильно поняли. Каждая семья, слушающая радио или смотрящая телевидение, должна пойти на почту, заплатить деньги и приобрести эту лицензию. Почтовая служба автоматически переводит полученные деньги непосредственно Би-би-си.
• Чтобы ни один пенни за просмотр ТВ или прослушивание радио не прошёл мимо бюджета компании, BBC создала и выпустила на улицы специальные фургоны (фото 3,4), чьей задачей был поиск незаконно работающих телевизоров.
• Чтобы обеспечить стабильный доход, BBC внедрила срок действия лицензий, а также создала реестр семей, которые пользуются телекоммуникационными устройствами. Одна выданная лицензия на ТВ действительна не более 12 месяцев. В системе телерадиовещателя регистрируют номер лицензии и дату истечения её срока действия. В отношении семей, подозреваемых во владении телевизором, но не внёсших требуемую сумму в нужный срок, проводятся расследования.
• Чтобы гарантировать себе полный и своевременный сбор средств за лицензии, специальная служба TV Licensing регулярно шлёт грозные письма тем, у кого истекает срок действия лицензии или кто не купил её. Если реакции нет, сотрудники службы могут организовать визит сотрудников правоохранительных органов. Эти сотрудники не имеют права насильственно входить в дома, но если семья категорически отказывается сотрудничать с полицией, TV Licensing подаёт заявку на выдачу ордера на обыск. Поводом для такой заявки может стать спутниковая тарелка или антенна, обнаруженная на крыше жилого дома. Ну, или визуальное наблюдение за окнами квартиры, в которой предположительно находится «нелегальный» телевизор.
• Ещё одним способом выявления неплательщиком долгое время являлся автофургон, оборудованный современной (на тот момент времени) техникой, которая способна обнаружить работу телевизионных устройств. Такие фургоны часто отправляются по адресам с просроченными или отсутствующими телевизионными лицензиями. Если удаётся зафиксировать, что в семье есть устройство, которое может работать и принимать сигналы вещания, TV Licensing подаёт заявку на выдачу ордера для продолжения расследования.
• Фургоны-детекторы ТВ используются в основном для сбора «улик», необходимых для одобрения заявки на обыск. Доказательства, собранные фургоном, редко используются в суде для преследования лиц, уклоняющихся от лицензии. Ведь имея на руках ордер, полицейские смогут использовать прямые улики (вроде телевизора, подключённого к антенне), чтобы привлечь нарушителя к ответственности.
• О том, как сейчас ищут уклонистов, у которых нет желания платить за лицензию, мало что известно. Современные плоские телевизоры, принимающие цифровой сигнал, не излучают столько радиопомех, как более старые устройства. Кроме того, любые такие обнаруженные сигналы труднее сопоставить с вещательным телевидением. Ведь на экране вполне может быть игра, если владелец ТВ также является и владельцем игровой приставки. А ещё есть стриминговые сервисы, которые тоже можно смотреть, не оплачивая лицензионный сбор.
• Если изучить поданные BBC заявления о выдаче ордера на обыск, то можно заметить, что чаще всего там фигурируют оптические методы наблюдения, когда отраженный свет от телевизора в доме зрителя сравнивается с сигналом прямой трансляции. Компания вообще неохотно делится информацией о своих фургонах-детекторах ТВ. Пусть они ещё и ездят по улицам, но с учётом разнообразия доступных вещательных, кабельных и спутниковых каналов есть основание подозревать, что их дни практически сочтены...
#Разное
2🙈75
• Нашел бесплатный и объемный курс для изучения Linux, который рассчитан на изучение в течении месяца. Включает в себя практические задания, теоретический материал и множество дополнительный ссылок на различные ресурсы в качестве дополнения.
• Начинающим будет хорошей тренировкой, а опытные специалисты могут проверить - хорошо ли они помнят аспекты работы с Linux. Единственный минус - курс написан на английском языке. Если у вас с этим трудности, то воспользуйтесь chatgpt и deepl.
➡️ https://linuxupskillchallenge.org
➡️ https://github.com/livialima/linuxupskillchallenge
➡️ https://theleo.zone/posts/linux-upskill/
#Курс #Linux
• Начинающим будет хорошей тренировкой, а опытные специалисты могут проверить - хорошо ли они помнят аспекты работы с Linux. Единственный минус - курс написан на английском языке. Если у вас с этим трудности, то воспользуйтесь chatgpt и deepl.
#Курс #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
👍55