29 сентября проходила онлайн конференция Conf42: Incident Management

Уже выложили записи

Плейлист
https://www.youtube.com/playlist?list=PLIuxSyKxlQrBiDdZNak3UjU6n-SU80Xtc

Выложены доклады с VolgaCTF 2022

Плейлист
https://youtube.com/playlist?list=PLn9UM_ZLJ6PAw8nKDN6n0sx8UjlvAcxj5

Министерство науки и технологий выбрало три наиболее перспективные отечественные операционные системы которые основаны на Linux

https://nibbl.ru/news/ministerstvo-nauki-i-texnologij-vybralo-tri-naibolee-perspektivnye-otechestvennye-operacionnye-sistemy-kotorye-osnovany-na-linux.html

> Опрос был проведен летом Центром компетенции по импортозамещению в сфере ИКТ (ЦКИКТ). Согласно Comercant, уже упоминаются три операционные системы. Это Astra Linux (разработанная Astra Group), OS Alto (разработанная Buzz Alto SPO) и Red OS (разработанная Redsoft). Все три ОС основаны на Linux.

> OS Alto (разработанная Buzz Alto SPO)

Неплохой ребрендинг для «ALT Linux» и «Базальт СПО»

Drones have the potential to be very useful in disaster scenarios by transporting food and water to people in need. But whenever you ask a drone to transport anything, anywhere, the bulk of what gets moved is the drone itself. Most delivery drones can carry only about 30 percent of their mass as payload, because most of their mass is both critical, like wings, and comes in the form of things that are essentially useless to the end user, like wings.

Eat This Drone With wings made from rice cakes, this drone is designed to save your life
https://spectrum.ieee.org/edible-robots

Прелесть какая

BYOPM is a portable Password Manager implementation based on VaultWarden, an unofficial implementation of BitWarden and a Raspberry PI Zero. It’s a self hosted solution, with full functionality, which is activated by just plugging the device on your computer. Bitwarden’s Official browser addons and extensions are also supported, and the device has been tested both on Windows (10 and 11) and Linux (Debian Based).

https://novamostra.com/2022/10/23/byopm/

За наводку спасибо @sysadmin_tools

#video #classes #yt #education

Еще пока не препод, но всё впереди :)

А пока делюсь со всем миром записями своих занятий!
За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать.

На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎

Делитесь видео с друзьями :)
Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.

Выложили записи с USENIX Security 2022. Аж 256 штук.

Плейлист
https://www.youtube.com/playlist?list=PLbRoZ5Rrl5ldbG7uSlixYqJKmi2ixbEMe

Программа
https://www.usenix.org/conference/usenixsecurity22/technical-sessions

#машины_разное

Недавно Коля (@mykola7799) написал с вопросом, не знаю ли я кого из разработчиков YDB. Пока мы с ним обсуждали, что за прекрасная СУБД эта ваша ЙДБ, возник дискуссионный момент - раз УайДиБи распределенная СУБД, и она поддерживает ACID-транзакции, то она нарушает САР.

И тут я крепко призадумался, потому что САР нарушить невозможно.

Перво-наперво попытавшись найти, что о месте YDB в самой CAP думают сами разработчики, я быстро разочаровался, и стал додумывать. Благо долго не пришлось.

Мы часто думаем про С (консистентность) и А (доступность), но забываем про P (partition tolerance - не знаю, как правильно перевести). Partition tolerance подразумевает, что при разрывах в сети система будет обслуживать трафик в штатном режиме.

Тут все сразу встало на места. Если предположить, что YDB обеспечивает строгую консистентность в пределах одного региона, то эта "строгость" сразу валится, так как транзакция до соседнего узла не долетела из-за кратковременного разрыва в сети.

Узел же, конечно, об этом ничего не знает и искренне верит, что вернул нам консистентные данные... но об этом вы уже читали в кабанчике.

В комментарии приглашаются причастные к YDB, подтвердить/опровергнуть мое мнение. Да и Коля хочет познакомиться!

P.S. Надо уже взять себя в руки и написать уже про это вашу строгую консистентность в распределенных системах.

Our national online school grade keeping system was hacked in a phising attack and this is in the source code....

https://www.reddit.com/r/ProgrammerHumor/comments/yqp2o6/our_national_online_school_grade_keeping_system/

@vrutkovs принёс в @ru_podman замечательный тред
https://fosstodon.org/@slp/109313265662637747

Теперь через podman можно microVM пускать

https://gitflic.ru/job

Не только подборнее, но, возможно, и забористее.

Красивое

Why?

While travelling through South America network data on carriers is usually restricted to not many GBs but WhatsApp is usually unlimited, I tried to create this library since I didn't find any usable at the date.

Tunneling Internet traffic over Whatsapp
https://github.com/aleixrodriala/wa-tunnel

Начинаем свою неделю с отказа от C/C++

В отчёте сказано, что C и C++ обеспечивают большую свободу программистам для выполнения необходимых проверок. При этом простые ошибки могут привести к эксплойтам. Благодаря таким уязвимостям хакерам удаётся получать доступ к конфиденциальной информации, выполнять произвольный код и нарушать цепочки поставок ПО, отмечают авторы документа.

Технический директор агентства по кибербезопасности отметил, что уязвимости из-за небезопасной работы с памятью эксплуатируются уже несколько десятилетий и остаются распространёнными.

Отчёт ссылается на статистику Google и Microsoft, которая указывает, что около 70% всех уязвимостей в продуктах этих компаний связаны с безопасностью оперативной памяти. 

В связи с этим АНБ рекомендует организациям переходить на безопасные языки программирования, такие как C#, Go, Java, Ruby, Rust и Swift. По мнению экспертов, это поможет предотвратить возникновение определённых типов уязвимостей, связанных с памятью. 

АНБ США порекомендовало IT-компаниям отказаться от языков C и C++
https://habr.com/ru/news/t/699142/

Оригинал PDF скину в комменты.

#api #params #tool

Помимо брутфорса директорий, на проекте также важно находить и проверять скрытые параметры. Разработчики могли оставить функции для их обработки на сервере, но на клиентской части код удалить.

Также может возникать уязвимость Mass Assignment, где разработчик создал структуру, а злоумышленник может её заполнить, угадав названия полей с помощью перебора.

public class User {
   private String userid;
   private String password;
   private String email;
   private boolean isAdmin;
}

Чтобы правильно и эффективно находить такие вещи, нам нужен подход или утилита. Самые известные вот эти две: Param Miner и Arjun

Первая это плагин для BurpSuite. Вторая — консольная утилита на Python.

Относительно недавно, появилась новая консольная утилита x8

Она написана на языке Rust, разработчиком является багхантер @sh1y0
Около 40% уязвимостей на h1 он нашёл с её использованием

К слову, багхантеры за рубежом не стесняются встраивать её в свои конвейеры для поиска уязвимостей.

На мой взгляд, данная тула наиболее эффективна, и сейчас мы разберёмся почему.

1. Arjun, в отличие от x8, имеет фиксированное значение параметров при брутфорсе (по умолчанию 500).

Это значит, что в запросе из вордлиста будут отсылаться сразу 500 параметров:

/?param1=test&param2=test&...&param500=test

Проблема здесь заключается в том, что многие серверы будут отдавать 414 URI Too Long, либо банально игнорировать последние 200 параметров. Таким образом, даже если в вашем текстовом файле есть нужный параметр — он не будет найден.

2. Ещё одним важным отличием являются функции сравнения ответов на странице.

Arjun сохраняет тело первого ответа и сравнивает с ответом нового запроса. Если есть разница — выводит сообщение о том что параметр влияет на ответ.

Естественно, проблема здесь очевидна, содержимое в ответе может быть всегда динамическим. Например, в теле ответа иногда встроен datetime.

x8 лишён данной проблемы, из-за наличия специальных тестовых запросов, которые нужны для выявления динамических строк — исключая их таким образом из поиска.

HTTP/1.1 200 OK
Content-Length: 18

<html>
- Time 13:36:23

<id="test">

Как видно из примера, строка которая содержит время, исключена и помечена как динамическая.

HTTP/1.1 200 OK
Content-Length: 37

<html>
- Time 13:37:48

+ <id="admin_param">

Здесь x8 понимает, что параметр найден из-за изменений в теге id.

3. Arjun поддерживает методы только GET и POST, а Param Miner не умеет искать рекурсивным поиском.

Кроме того, в x8 есть гибкая настройка отправки параметров — концепция шаблонов и injection pointов, которая отсутствует в других инструментах.

Вообще, автор создал табличку, где сравнивает все три решения sh1yo.art/x8stats/
Так можно оценить эффективность работы на реальных сайтах.

Пример использования: x8 -u "https://example.com/" -w <wordlist>

YouTube таргетирует

Как следует из текста протокола задержания подозреваемого, модуль SQLmap был скачан из общего доступа с репозитория на GitHub. При помощи Python софт был доработан, благодаря чему он мог осуществлять поиск уязвимостей на 50 сайтах одновременно. После проверки работоспособности программу выставили на продажу на сайте cracked.to по цене $300. На этом сайте объявление Сосина обнаружили оперативники. После совершения покупки осуждённый был задержан и обвинён за хакерскую деятельность, а именно — по ч.2 ст. 273 УК РФ

Миллионеры тут? 😎

Язык PHP, знание которого может приносить россиянам по 500 тыс. руб. в месяц, постепенно исчезает из поля зрения пользователей GitHub. По популярности среди них он упал на седьмое место, уступив C++, который вышел на 10 лет раньше него, и которому Google готовит более продвинутую замену в лице языка Carbon.

Язык программирования, делающий из россиян миллионеров, стремительно теряет популярность в мире
https://www.cnews.ru/news/top/2022-11-15_yazyk_programmirovaniyadelayushchij