• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем дамы и господа. Как оказалось, WSR 2 марта, то есть завтра, если вы читаете это в понедельник, а значит, что ничего не собьёт график статей (раньше такой риск был, т.к. я мог банально не успеть). Но теперь, между подготовкой и сном я пишу сию статью, надеюсь, вы живёте поспокойнее. Начнём

IBIT.jpg


Unix пробивает очередную стену

Некоторое время назад Дэвид Гивен портировал Fuzix для ESP8266, теперь же он сделал то же самое, но уже для новой Raspberry pi pico. Стоит объяснить, что Fuzix – это база, с помощью которой производится установка ОС Unix, в случае ошибки, не буду против, если меня поправят. Проще говоря этот человек портирует Unix туда, куда, наверное, пока даже Doom не портировали.


Command-Not-Found

Именно под таким заголовком на официальном сайте появилась новость о версии Kali Linux 2021.1. Может возникнуть вопрос, почему такое название? Потому что теперь «найти команду, которая не хочет находиться» стало гораздо проще. Ведь ранее, когда вы писали неправильную команду или пытались использовать пакет, который не установлен вы получали бездушное «command not found», теперь же всё иначе, терминал вам подскажет, что вы «fat fingered» ошиблись или, покажет, как установить программу, которую вы пытаетесь вызвать.

ComNotFou.png


Кроме этого теперь Kali сотрудничает с ещё большим количеством разработчиков, в числе новоприбывших BC Security – создатель powershell-empire и Joohoi, создатель «Fuzz Faster U Full (ffuf)».
Разумеется, добавили новые утилиты, среди которых оказался великий airgeddon и ещё множество программ кроме него.
«Just a quick little thing». Добавлены пакеты с обоями.
Забавно, пока я всё это пишу, по левую сторону от меня обновляется Kali на ноутбуке. Но не об этом. Также обновления получила и Plasma KDE, равно как и Xfce. А вот GNOME обновления не получил, быть может ждут, когда GNOME 40 станет абсолютно стабильным.
Но полный список, как всегда, где-то внизу.


А где доказательства?

Именно этот вопрос должен возникнуть у любого человека, прочитавшего следующую цитату: «На данном этапе мы нашли существенные (солидные) доказательства, которые указывают на российскую внешнюю разведку. Мы не нашли никаких доказательств, которые привели бы нас куда-либо ещё».
Речь здесь идёт о взломе Solar Winds, а автором сего высказывания явился Брэд Смит, глава Microsoft. Единственные доказательства, которые он предоставил (хотя и это с натяжкой можно назвать доказательствами) — это то, что «использовавшиеся при взломе инструменты не были из тех, которые обычно используют Китай, КНДР или Иран».
Конечно, я не отрицаю возможности причастия РФ к этой атаке, но его слова совершенно не внушают доверия по причине полного отсутствия доказательств.
Глава Microsoft заявил об имеющихся доказательствах причастности России к хакерской атаке на SolarWinds

Вам сообщение

Вышла новая версия Telegram. Вот список нововведений:
  • Автоматическое удаление сообщений в любом чате;
  • Два виджета на домашний экран: «Чаты» и «Ярлыки»;
  • Временные ссылки-приглашения в группу;
  • QR-коды-приглашения в группу;
  • Группы для трансляций;
  • Улучшенный импорт чатов;
  • Обновления в интерфейсе жалоб;
  • Новые анимированные стикеры.
На паре моментов хотелось бы остановиться поподробнее, а именно на пункте «Группы для трансляций». Это, вообще, что? Объясняю. При приближении к рубежу количества участников (200 000 человек) администратору предлагается преобразовать обычную группу в эту самую «группу для трансляций», после получения такого статуса, все участники группы могут участвовать в голосовых чатах, но печатать смогут лишь админы. То есть мы получили в любимом мессенджере нечто похожее на одну из функций clubhouse. Кстати, количество участников, что в текстовых чатах, что в голосовых теперь не ограничено.
И второй интересный момент. Вообще, всё оформление новости, гласящей об обновлении (взглянуть хотя бы на обложку) шикарно, но особенно порадовала демонстрация улучшенного интерфейса жалоб.
Текст из канала, изображенного на GIF:
WhoseApp:
«Это наш оффициальный канал.
Мы прислушиваемся к вам и обещаем, что никогда не отдадим ваши данные Facespook :)»
WhoseApp:
«А ещё мы никогда вас не обманываем».
То, как они простебали WhatsApp – бесподобно. Ой, простите, WhoseApp, разумеется.


А мы чем хуже?

Достаточно часто я писал о жалобах в антимонопольные службы в сторону Google, Apple и прочих гигантов индустрии. Но сегодня настало время нашего родного Яндекса и не менее родной ФАС (Федеральной антимонопольной службы). Причиной предупреждения в сторону компании стало излишнее продвижение собственных сервисов компании по сравнению с конкурентами. Этими самыми сервисами явились «Яндекс.Вертикали», «Яндекс.Маркет», «Яндекс.Медиасервисы», «Кинопоиск». Но компании такое обращение не понравилось, и они изволили не согласиться с предупреждением.
«Мы не согласны с предупреждением ФАС. Некоторые требования предписания уже реализованы в поиске, однако отдельные важные его части мы считаем неправильными. Исполнение всех перечисленных требований ухудшит качество поиска для пользователя, а значит — положение поиска Яндекса на рынке по сравнению с конкурентами».
Допустим, с постоянным нахождением Я.Маркета в поисковой выдаче я не согласен (сугубо моё мнение), но вот сервис объектных ответов — очень удобная вещь, а ФАС требует убрать и его. Объектные ответы — это текст, появляющийся в самом начале страницы поисковой выдачи и отвечающий на поставленный вопрос без необходимости дополнительного сёрфинга.


Теперь ещё и на него копить

Компания Framework представила модульный ноутбук. Идея его состоит в том, чтобы не выбрасывать устаревшие устройства, а заменять их части. Так, например, в этом ноутбуке будет 4 слота расширения, с помощь которых можно будет добавлять порты USB-C, USB-A, HDMI, Display Port, Micro SD и это ещё не весь список. То есть нужда в адаптерах исчезает. Материнская плата будет полностью заменяемая, а платы на новых процессорах планируется выпускать регулярно, то есть таким образом мы получаем модульность системного блока при компактности ноутбука. Корпус всегда будет оставаться один (наконец-то не придётся грустить о потерянных стикерах, остающихся на ноутбуках, которые продаёшь). К слову, это выгоднее ещё и для компании, ведь не нужно придумывать и запускать в производство новый корпус, нужно лишь обновлять внутренности для него. Уже сейчас известны некоторые характеристики.
  • Материал корпуса — алюминий
  • Толщина 15.85 мм
  • Вес 1.3кг
  • Дисплей 13.5 дюймов, разрешение 2256*1504, соотношение сторон 3:2
  • Веб-камера 1080p60fps
  • Ёмкость батареи — 55Втч
  • В первой редакции планируется выпуск с чипом Intel 11 поколения, ОЗУ до 64Гб, SSD до 4Тб.
Хоть это всё и известно уже сейчас, но весь модельный ряд со спецификациями, ценами, сроками предварительного заказа, сроками доставки будет доступен к лету 2021. Планируется выпуск нескольких версий, работающих под управление Windows 10 Home и Pro. Ну а теперь самое интересное. Планируется выпуск DIY комплекта, который вы будете собирать сами, там будет просто комплект деталей, также в DIY вариантах будет выбор между Windows и Linux.


Топ 10 методик web-хакинга за 2020

Да, вот так вот в наш недельный дайджест 2021 года попала новость охватывающая весь 2020. Изначально было представлено 54 кандидата на попадание в список, далее, голосованием сообщества были отсеяны лишние, осталось всего 15 вариантов. Следующим шагом эксперты выбрали 10 лучших и вот они здесь.
  • Обход WAF. Обход файрволла веб-приложений широко известный, достаточно простой и надёжный вектор атаки. Поэтому он и попал в список.
  • Атака на web-интерфейсы MS Exchange. Глубина проникновения в систему ошеломила всех, ведь то, чего позволяет достичь этот способ просто бесценно, так как открывает безграничный простор для дальнейших исследований.
  • ImageMagick, remote code exception через PDF. Правда нужно объяснять, почему это тут оказалось?
  • RCE без аутентификации на MobileIron MDM. О том, насколько это мощно, говорит то, что по итогу исследования была получена rce на Facebook.
  • Взлом проверки подлинности SSL – не так уж и сложно.
  • Открытие вашего NAT. И для этого лишь требуется знание структуры уровней сети, протоколов и ещё немного.
  • Когда TLS взламывает вас.
  • Воспользуйся хаосом в структуре web-сайта.
  • Снова PDF, но на этот раз XSS.
  • Протокол H2C. Забыли? А он напомнит!
Здесь всё слишком кратко, местами недостаточно понятно? Что ж, первоисточник, как и всегда, ниже.

За информацию благодарю Группу Компаний «Анлим»


Google будет слегка спонсировать Linux

IT-гигант начал выделять средства на поддержку двух штатных сотрудников, работающих над улучшением безопасности ядра. Инженер Google также заметил, что в компании безопасность стоит на первом месте и заявил:
«Проблема в том, что ядро Linux огромно... И мы находим ошибки намного быстрее, чем можем их исправить. Следующая проблема — найти способы ускорить этот процесс».
Видимо господин Торвальдс настолько быстро выпускает новые версии ядра, что в Google не успевают приводить их безопасность к подобающему уровню. Linux Foundation поблагодарили Google за такой акт поддержки.


Кто-то пытается избавить людей от долгов?

Помните, как в сериале, когда f-society уронили все сервера и уничтожили все резервы Evil Corp. Так вот, нечто подобное произошло в реальности, но вот только за этим никто не стоит или об этом ещё не узнали, а причиной тому, что ФРС (Федеральная Резервная Система, выполняет функции центрального банка) лежала 3,5 часа, стал технический сбой. Во время «отдыха» ФРС не было доступа к некоторым сервисам выплат задолженностей, кредитов и прочим финансовым службам.
Из-за технического сбоя Федеральная резервная система США «лежала» несколько часов

Очень плохая тенденция

Нет, правда, крайне плохая тенденция. В каждом дайджесте появляется новость о законе, который отдаёт ещё какую-то информацию в государственные структуры. Так случилось и в этот раз. Центральный научно-исследовательский институт связи исследует возможность введения системы, идентифицирующей пользователя сети по номеру телефона. Стоимость исследований составит 32.7 млн рублей. Хм, исследования. Звучит безобидно, не так ли? Только звучит, на самом деле всё весьма серьёзно, ведь одна из целей исследования - подготовка предложений поправок в законодательство для внедрения технологии — протокола переноса телефонных номеров на систему доменных имен в интернете ENUM (Electronic Number Mapping System). Система ENUM работает за счёт преобразования телефонного номера в домен. Операторы понимают, что это может привести к тотальному контролю. Вот что пишет по этому поводу МегаФон: «Внедрение технологии возможно, все операторы будут заинтересованы».
Ростелеком не разделяет уверенности МегаФона: «Это будет во многом зависеть от технической реализации, в том числе возможности государства создать единый центр авторизации».
Вообще, смысл этого нововведения не слишком ясен, ведь «Для идентификации пользователей государственных сервисов уже используется Единая система идентификации и аутентификации (ЕСИА), а в остальных случаях — электронная почта, тот же номер телефона или аккаунты в социальных сетях».
ЦНИИС изучит возможность внедрения в России системы идентификации пользователей интернета с привязкой к номеру телефона

Блиц

За сим, я, не задерживаясь, предпочту откланяться, ведь когда я выложил эту статью у меня уже начался первый день worldskills. Сегодня (в понедельник) никаких соревнований, только регистрация, инструктаж, и еще некоторые организационные моменты, обо всём этом будет в статье про соревнования, которая, как я планирую, выйдет в субботу-воскресенье. Всё, теперь точно откланиваюсь.
 
Последнее редактирование:

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Либо я ищу крокодила там где его нет, либо автор начал оставлять артефакты, ибо "+" и "08" там где их недолжно быть, не очень похоже на опечатки

Но статья как всегда очень кстати)
 
  • Нравится
Реакции: Adrian Grum и dieZel

Wenzel

Green Team
10.08.2020
194
74
BIT
1
Модульный ноут это конечно прикольно, только сколько будет стоить апгрейд этих модулей интересно. Да и сам корпус ноутбука имеет свойство уставать, все равно менять придется.
 
  • Нравится
Реакции: dieZel

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Модульный ноут это конечно прикольно, только сколько будет стоить апгрейд этих модулей интересно. Да и сам корпус ноутбука имеет свойство уставать, все равно менять придется.
что имеется ввиду под уставать?
 
  • Нравится
Реакции: Adrian Grum и dieZel

dieZel

Green Team
08.04.2018
227
597
BIT
0
Либо я ищу крокодила там где его нет, либо автор начал оставлять артефакты, ибо "+" и "08" там где их недолжно быть, не очень похоже на опечатки
Это вполне могут быть опечатки, ибо одновременная подготовка к worldskills - это не супер легко, особенно учитывая, что заливал эту статью прямо на подготовительном дне wsr.
P.S. Ткни мне, где я ошибся, поправлю.
 

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Это вполне могут быть опечатки, ибо одновременная подготовка к worldskills - это не супер легко, особенно учитывая, что заливал эту статью прямо на подготовительном дне wsr.
P.S. Ткни мне, где я ошибся, поправлю.
А где доказательства?
а автором сего в+ысказывания явился Брэд Смит, глава Microsoft
А мы чем хуже?
Но компании такое обращение не понравилось, и они изволили не согласиться с пре08дупреждением
 
  • Нравится
Реакции: Adrian Grum и dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!