• Wiz выкатили отчет, в котором есть интересная статистика: около 65% ИИ-компаний из списка Forbes допускают утечку конфиденциальной информации через публичные GitHub-репозитории! Специалисты смогли восстановить удаленные файлы, найти API-ключи, активные токены и учетные данные.

• Самое забавное, что Wiz публично назвала только две компании, которые оперативно отреагировали на утечки - ElevenLabs и LangChain. При этом почти половина уведомлений о найденных секретах, отправленных другим организациям, осталась без ответа, что создаёт значительный риск компрометации корпоративных данных и моделей.

➡️ https://www.wiz.io/blog/forbes-ai-50-leaking-secrets

• В качестве дополнения: инструменты grep.app и code-search - предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных!Основные возможности следующие:

➡Поиск по публичным репозиториям;
➡Поддержка регулярных выражений;
➡Фильтрация по языкам программирования;
➡Поиск с учетом регистра;
➡Оптимизация для быстрого поиска.

➡ https://grep.app
➡ https://github.com/features/code-search

#AI #Отчет #ИБ #Tools

• Тут "Информзащита" выкатили список, в котором перечислены возможные схемы мошенничества с недавним нововведением, связанным с "охлаждением" SIM-карт граждан РФ. Только не делайте удивленные лица:

• По данным экспертов, теперь мошенники могут использовать:

➡Звонки от "сотрудников" правоохранительных органов под угрозой полной блокировки номера для получения доступа к персональным данным граждан;
➡Для достижения своих целей злоумышленники будут "взламывать базы данных туроператоров и авиаперевозчиков";
➡Подборки с информацией об абонентах из ранее украденных баз данных;
➡Вероятен "подкуп сотрудников отелей, турагентств" для более точных атак на определённые группы туристов.

• Так что будьте осторожны и предупредите близких.

➡️ https://tass.ru/obschestvo/25622781

#Новости

• Недавно искал определенный софт для домашнего сервера и нашел интересную подборку, которой хочу поделиться с вами. Сразу отмечу, что весь софт является бесплатным и имеет открытый исходный код, так что выбирайте нужные инструменты, если у вас есть свой хостинг.

• Итак, для начала держите ссылку на руководство, которое включает в себя просто бескрайнее кол-во программ для самохостинга. Если изучили и что-то не нашли, хотя я в этом сомневаюсь, то переходим в еще одну коллекцию awesome-selfhosted и подреддит r/selfhosted/. Эти ресурсы точно закроют все ваши потребности!

• Ну и вот еще несколько полезных инструментов для самохостинга:

➡Umbrel OS - операционка, которая является хорошим вариантом для самохостинга домашних серверных приложений.
➡Pi-hole - фильтрация интернет-трафика во всей сети, блокировка рекламы.
➡Plex - проприетарный медиасервер для стриминга (в качестве свободной альтернативы можно использовать Jellyfin).
➡Transmission - быстрый и простой торрент-клиент, с ним интегрируется менеджер/индексатор Radarr или Sonarr для мониторинга RSS-раздач и автоматического скачивания новых эпизодов. Всё это сразу подгружается в Plex/Jellyfin. Есть ещё менеджер Lidarr - то же самое, только для музыки, и Prowlarr для интеграции Lidarr, Mylar3, Radarr, Readarr и Sonarr в одном интерфейсе.
➡Audioserve, audiobookshelf и Boringstreamer - простые серверы для аудиостриминга, то есть раздачи аудиофайлов из папок (аудиокниги, музыка, подкасты).
➡Nextcloud - опенсорсная замена Google Drive и другим облачным хостингам.
➡PhotoPrism - хранение фотографий, красивый интерфейс для просмотра альбомов и удалённого доступа.
➡Invidious - клиент для YouTube без трекинга и рекламы.
➡Whoogle - фронтенд для Google, очищенный от рекламы, скриптов, ссылок AMP, кукисов и трекинга по IP-адресам с профилированием пользователей, чем занимается Google.
➡LibReddit - альтернативный приватный фронтенд для Reddit, тоже без трекинга и рекламы.
➡SyncThing - синхронизация файлов между всеми устройствами.
➡Code Server - запуск VS Code на сервере и удалённый доступ из браузера.
➡Vaultwarden - неофициальный сервер для менеджера паролей Bitwarden.
➡Tailscale - для доступа к вашему серверу из любой точки мира.
➡Synapse - свой инстанс Matrix для децентрализованных чатов, совместимый с клиентами Element.
➡Gitea - простой хостинг Git.
➡Uptime Kuma - мониторинг аптайма для своего сервера.

… и другие серверные приложения из каталога.

#Разное

• Тот, кто застал эпоху «до Microsoft Windows», прекрасно помнит файловый менеджер Norton Commander, который царствовал на персоналках конца 80-х и начала 90-х. Любопытно, но факт: эту легендарную тулзу написал не Питер Нортон, как многие считают, а совершенно другой разработчик - Джон Соча. Но все не так просто...

• В 1981 году, когда корпорация IBM выпустила на рынок свою персоналку IBM PC, Нортон стал одним из ее первых пользователей. На жизнь он зарабатывал тем, что писал программы под MS-DOS на заказ. Однажды Питер случайно удалил разрабатываемую им программу, но вместо того чтобы написать код заново, он придумал специальную утилиту, с помощью которой сумел восстановить файл. Приложение получило название Norton Unerase. Этот инструмент очень понравился его друзьям - в MS-DOS не было «корзины», а случайное удаление нужных файлов считалось обычным делом. Дополнив свое детище еще несколькими полезными программами, Питер получил набор утилит, который так и назвал - Norton Utilities. А для продажи этого продукта в 1982 году он основал компанию «Peter Norton Computing».

• Ядром Norton Utilities стал тот самый инструмент для восстановления удаленных файлов в файловой системе FAT. Фактически, Питер Нортон изобрел новый класс ПО для PC: средства для восстановления данных. Вскоре в этой коммерческой нише у него появились конкуренты, в частности, пакет программ PC Tools, но, тем не менее, Нортон являлся здесь первопроходцем.

• Peter Norton Computing стала одной из первых фирм, продававших коммерческий софт для MS-DOS! Компания обладала стартовым капиталом в 30 тыс. баксов и единственным компьютером IBM PC. Собственно, в начале и сотрудник в ней числился всего один: он же директор, он же учредитель. Питер продавал диски с утилитами, посещая офисные центры и распространяя рекламу на компьютерных выставках. Однако первыми на него обратили внимание не потенциальные покупатели утилит, а корпорация Microsoft, вернее, ее издательское подразделение: в 1983 году Microsoft Press предложило Нортону написать книгу по программированию, что он и сделал...

• В 1984 году, когда Нортон трудился над собственной книгой, аспирант факультета прикладной физики Корнельского университета Джон Соча работал над файловым менеджером для MS-DOS, который он назвал Visual DOS, или, сокращенно, VDOS. «Видос» был написан на Си с применением Ассемблера, его интерфейс включал две настраиваемых панели со списками файлов, а операции над ними можно было выполнять с помощью набора горячих клавиш. В общем, получился удобный и полезный инструмент для работы с файлами и папками без помощи мыши, которого в MS-DOS очень не хватало.

• Помимо создания программ у Сочи был и другой источник дохода: он подписал контракт на несколько книг с Microsoft Press. Именно в этом издательстве Соча и познакомился с Питером Нортоном. Быстро оценив рыночные перспективы нового файлового менеджера, Нортон предложил молодому разработчику сотрудничество. Соча стал директором по разработке в Peter Norton Computing, а VDOS был выпущен на рынок под названием Norton Commander 1.0.

• Вскоре этот файловый менеджер завоевал огромную популярность среди пользователей, особенно в СССР. Многие пользователи даже не подозревали, что это не «родной» интерфейс DOS, ассоциируя ОС с самим Norton Commander.

• В 1986 году доход Peter Norton Computing достиг 5 миллионов долларов - довольно неплохой показатель в то время для небольшой компании с численностью персонала до сотни сотрудников.

• Сейчас Питер Нортон наслаждается жизнью на пенсии в калифорнийском городке Санта-Моника. Автор Norton Commander Джон Соча покинул компанию, организовал несколько успешных стартапов и вполне успешен в бизнесе. А программные продукты под торговой маркой «Norton» продолжают развиваться по сей день.

• К слову, сегодня Питеру Нортону исполнилось 82 года 🎉

#Разное

🍀 История и конец ICQ.

• Прошло почти полтора года, как VK объявила о закрытии проекта мессенджера ICQ. Сегодня "Аське" исполнилось бы 29 лет...

• ICQ происходит от фразы «I Seek You», которая дословно переводится как «Я ищу тебя», а логотип ICQ в виде цветка с разноцветными лепестками информировал о статусе пользователей в сети: красный указывал на офлайн, а зелёный — на онлайн. В рунете сервис называли «Аська». За разработкой мессенджера стояла израильская компания Mirabilis, в состав которой входили Яир Голдфингер, Сефи Вигисер, Амнон Амир, Арик и Йосси Варди. Результатом 18-месячной работы команды и стало появление ICQ в 1996 году.

• Изначальная концепция ICQ предполагала мгновенную передачу сообщений между персональными компьютерами! В отличие от других платформ, которые представили подобные функции позже, ICQ была первой, кто предложил этот инновационный способ мгновенной связи между пользователями.

• Летом 1998 года американский холдинг America Online (AOL) купил Mirabilis за $407 млн. С 1998 по 1999 годы база пользователей ICQ выросла с 12 млн до 40 млн, а уже в 2001 году аудитория мессенджера достигла 100 млн учётных записей по всему миру. Однако в последующие годы ICQ начала терять популярность на фоне запуска MySpace и «ВК».

• Стратегия AOL предусматривала использование значительного международного охвата ICQ и его привлекательности среди молодых технически подкованных пользователей для расширения присутствия на рынке. В особенности это касалось сегментов, которые не были охвачены основными услугами AOL. За эти годы ICQ значительно усовершенствовала безопасность за счёт внедрения протоколов шифрования. Изначально мессенджер не имел шифрования, что делало передачу данных открытой и уязвимой.

• ICQ был первопроходцем в интеграции возможностей голосовой и видеосвязи - платформа поддерживала аудио- и видеочаты, текстовые сообщения на мобильные телефоны, электронную почту и передачу файлов с более ранних версий. К 2005 году количество пользователей ICQ превысило 500 млн.

• Рост таких платформ, как AOL Instant Messenger, MSN Messenger, а позже крупных соцсетей, которые также внедрили функции обмена сообщениями, значительно повлияли на пользовательскую базу ICQ. Конкуренты предлагали похожие возможности и представили более удобные интерфейсы и функции, которые привлекли более широкую аудиторию. Запуск оптимизированных для мобильных устройств приложений обмена сообщениями, таких как WhatsApp и Snapchat в 2009 и 2011 годах, ещё больше оттянул долю рынка ICQ.

• Весной 2010 года AOL продал ICQ инвестиционному фонду Digital Sky Technologies за $188 млн. После реорганизации осенью того же года DST вошёл в состав Mail.ru Group. Переход к новому владельцу укрепил позиции сервиса на рынках, где он уже был известен: в России, Германии, Чехии и Израиле. К моменту приобретения ICQ был ведущей службой обмена сообщениями на 16 языках с более чем 32 млн уникальными пользователями в месяц.

• К середине 2010-х годов в сфере мобильных приложений для обмена сообщениями доминировали WeChat, WA, Telegram и другие сервисы. Они предлагали ряд функций, включая высококачественные голосовые звонки, видеочаты и даже платёжные сервисы, намного превосходящие возможности традиционных клиентов обмена сообщениями.

• В Mail.ru Group планировали объединить ICQ с мессенджером Агент Mail.ru, но этого не произошло. В 2013 году аудитория сервиса составляла 11 млн человек, из которых 6,7 млн были россиянами. Попытки модернизировать ICQ и расширить его функции не смогли вернуть сервису былую популярность. В 2016 году Mail.ru Group открыла исходный код ICQ на GitHub, а сам проект перезапустили.

• В апреле 2020 года Mail.ru Group представила новый мессенджер на базе ICQ - ICQ New. Сервис разработали при использовании технологий ИИ для быстрых ответов исходя из контекста. Но не смотря на все нововведения ICQ продолжала терять аудиторию... 26 июня 2024 года ICQ решили закрыть. Так завершилась история "Аськи", которая была в свое время отличным мессенджером...

#Разное

• Доброе утро...🫠

#Понедельник

• На хабре есть две очень крутые статьи, в которых описаны уязвимости и наиболее распространенные атаки на банкоматы, благодаря чему злоумышленники могут похищать деньги без физического вмешательства. Кстати, некоторые из описанных методов занимают не более 10 минут времени, что максимально осложняет возможность оперативно обнаружить факт взлома.

• Тема весьма интересная и ее редко обсуждают в паблике, поэтому рекомендую к прочтению:

➡️ Из чего состоят современные банкоматы и как их атакуют хакеры [Часть 1], [17 min];
➡️ Погружаемся в программный взлом банкоматов [Часть 2], [25 min].

‼ Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности.

#Пентест #Исследование #ИБ

• Забавная и интересная история от программиста Предрага Груевского: много лет назад, будучи студентом, он приехал на каникулы к родителям. Отец пожаловался, что с домашним интернетом происходят странные вещи: большую часть времени потери пакетов достигали 98%, но стоило пойти дождю, как Wi-Fi начинал работать стабильно.

• Ранее отец программиста настроил Wi-Fi-мост с направленными антеннами между домом и своим офисом, находившимся в двух кварталах (но в прямой видимости). Так он обеспечивал семью высокоскоростным корпоративным интернетом.

• Система проработала безупречно почти десять лет, пока на соседнем участке не выросло большое дерево с раскидистыми ветвями. Когда дерево стало достаточно высоким, оно начало блокировать радиосигнал.

• Однако во время дождя капли тянули вниз ветки и листву, и сигнал снова проходил беспрепятственно. Нет, Груевский не вырубил дерево, но поменял антенны, поддерживающие стандарт 802.11g, на 802.11n. Технология формирования луча (beamforming), в том числе позволила фокусировать Wi-Fi-сигнал в нужном направлении, и связь стала стабильной.

• Кстати, читатели, которые обсуждали эту историю, нашли интересным тот факт, что инженер первым делом не проверил возможное наличие препятствий на пути сигнала, учтивая, что в его сети имелся LOS-компонент. Впрочем, как часто бывает, очевидное решение приходит в голову последним. Также участники обсуждения поделились похожими "магическими" историями. Один из комментаторов рассказал, как связь между офисом его компании и ретрансляционной вышкой каждую ночь прерывалась ровно на десять минут. Причиной неполадки были новые натриевые газоразрядные лампы наружного освещения - во время включения они генерировали радиочастотные помехи в диапазоне 5 ГГц. Проблему решили заменой освещения на менее "шумное". Такая вот история...

➡️ https://predr.ag/blog/wifi

#Разное

👾 В кэше — фотка, в ней payload.

• Автор этого материала обнаружил необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG картинки, убеждая пользователя самостоятельно выполнить вредоносный код.

• В типичных сценариях атакующие пытаются заставить жертву скачать исполняемый файл из сети - но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга.

• По сути, атака умело сочетает две техники: принуждение к локальному исполнению ClickFix / FileFix и контрабанду кэша Cache Smuggling. В статье подробно разобраны все из этих приемов и показаны, как можно сделать доставку полезной нагрузки еще более незаметной.

➡️ Источник.
➡️ Перевод статьи на RU [9 min].

‼ Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности.

#ИБ #Фишинг #СИ

• Нашел очень крутую и бесплатную платформу с интерактивными заданиями, которые помогут получить практический опыт в работе с Linux, k8s, docker, git, terraform и д.р. Единственный нюанс - материал на английском языке. Так что если у вас с этим сложности, то воспользуйтесь ИИ.

➡️ Забираем отсюда: https://kodekloud.com/studio/labs

• Ну и не забывайте про labex - это аналогичная платформа, только с другими заданиями. Здесь уже можно найти материал на русском языке. И еще там есть ИИ помощник, если возникнут трудности с выполнением заданий.

➡️ https://labex.io/ru

#Linux #DevOps #ИБ