🥂 С Наступающим, друзья.

• Пусть новый год принесёт Вам много новых положительных эмоций, любви, счастья и достатка. Старайтесь больше уделять время своим родным и близким, а не работе. И постарайтесь отдохнуть за эти новогодние праздники )) Встретимся с Вами в Новом Году ❤️

👩‍💻 Статистика по Linux за 2023.

• На хабре опубликовали интересную статистику, которая относится к Linux. Вот основные цифры и информация:

- Доля Linux на декстопе, наконец, превысила 3%.
- Доля Linux среди пользователей Steam в моменте (август) превышала 2%, и это было больше, чем пользователей macOS.
- LTS версии ядра Linux теперь будут поддерживаться в течение 2 лет, а не 6, как было ранее.
- Доля женщин среди разработчиков ядра: 9,9%, если считать по аккаунтам на Гитхабе (Это примерно 330 человек, вместе они сделали около 4000 коммитов, что составляет 6,8% от общего числа коммитов).
- В 2023 году вышел текущий актуальный минорный релиз — версия 6.6.
- В моменте над ядром Linux работало 2088 разработчиков.

➡️ Источник: https://habr.com/ru/post/784222/

#Статистика #Linux

🎙 DevOpsConf 2023.

• 5 дней назад были опубликованы доклады с конференции DevOpsConf. На конференции обсуждали весьма актуальные и интересные темы. Обратите внимание на самые интересные доклады:

- Особенности SRE и Observability в мобильных приложениях;
- Istio в разрезе: что умеет и не умеет самый популярный Service Mesh;
- Alert Fatigue. Когда алертов слишком много;
- Как управлять сотнями sidecar-контейнеров в Kubernetes без боли и сожаления;
- DevOps-трансформация. Как раздать инженеров по командам и не погибнуть;
- Гид автостопщика по HashiCorp Vault;
- Мимо тёщиного дома я без метрик не хожу;
- Мониторинг бизнес-процессов c помощью Opentelemetry. Логирование и мониторинг;
- Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам;
- Декларативное управление конфигурацией узлов Kubernetes в масштабе.

• Полный список докладов, а их около 45, можно найти по этой ссылке.

#DevOps

👩‍💻 PS-Commands.

• Объемный репо, который содержит в себе полезные заметки о командах PowerShell и представлен на русском языке:

➡️ https://github.com/Lifailon/PS-Commands

• Не забывайте про дополнительный материал, который опубликован в нашем канале и поможет Вам в изучении PS:

- Мини-курс: Windows PowerShell 5. [Часть 1], [Часть 2].
- Книга: PowerShell Security. (RU);
- Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.

#PowerShell

👩‍💻 JavaScript Analysis for Pentesters.

• Вероятно, что это самое объемное руководство по анализу JavaScript-файлов для пентестеров на сегодняшний день:

• Static Analysis:
- Gather JavaScript Code;
- Identify Endpoints;
- Detect Secrets;
- Locate Dangerous Functions;
- Discover Outdated Libraries.
• Dynamic analysis:
- Basic Tools;
- Example Application;
- Client-Side Filtering;
- Finding the Entry Point;
- The Debugger;
- General Advice.
• Obfuscation & Deobfuscation:
- Minification;
- Beautification;
- Source Maps;
- Minification and Analysis;
- Obfuscation;
- Deobfuscation;
- Obfuscation and Analysis.
• Hands-On: Analyze obfuscated code:
- Example Application;
- Finding the Entry Point;
- Locating the Value of Interest;
- The Unpacking Function;
- Reconstructing the Signing Call;
- Decoding the Key;
- Signing Manipulated JWTs.
• Local Overrides:
- Temporary Changes in Developer Tools;
- Persistent Changes in Developer Tools;
- Persistent Changes in Burp Suite.
• Bypass code protection:
- Setup;
- Self Defending;
- Debug protection;
- Disable console output;
- General advice.
• Wrapping Up:
- Some References.

#JavaScript #Пентест

🖥 Acrobat 1.0 и PDF формат.

• Формат файла PDF был впервые разработан в начале 90-х годов компанией Adobe Systems, той же компанией, которая представила нам Photoshop и Illustrator. Концепция PDF фактически началась с проекта Camelot в 1990 году. И сам Camelot был бы ничем без самой базовой идеи, PostScript, которая зародилась ещё в 1985 году и положила начало революции программного обеспечения для настольных издательских систем.

• В те дни кроссплатформенная совместимость была кошмаром, что побудило доктора Джона Уорнока, соучредителя Adobe, инициировать этот проект. Его цель была проста в своей концепции, но амбициозна в исполнении: создать формат, который позволил бы любому отправлять любой документ в электронном виде кому-либо ещё, который смог бы прочитать и распечатать его с сохранённым форматированием.

• Эти документы должны были быть доступны для просмотра на любом дисплее и печати на любом современном принтере — вне границ операционных систем, программных приложений или устройств. Для нас, избалованных пользователей компьютеров почти в конце первой четверти XXI века, это может не показаться чем-то особенным, но в 80-х и 90-х годах, когда персональные компьютеры только зарождались, это было большим делом.

• Тогда нельзя было быть уверенным, какое программное обеспечение будeт у пользователя. Пользователи могли не знать, какие шрифты установлены на их машине. Если использовали тот, которого не было в репертуаре другого компьютера, это могло в лучшем случае испортить форматирование документа. Что ещё хуже, существовал разрыв между Mac и Windows. Многие были убеждены, что файл, созданный на Mac, невозможно открыть на Windows.

• И простое размещение материалов в Интернете не было решением: это было время, когда нельзя было гарантировать, как веб-страница будет восприниматься с одного компьютера на другом или даже с одной версии браузера на другой. Всё было новым, всё постоянно развивалось, и просто нужно было смириться с тем, что тщательно продуманный макет может выглядеть тщательно выверенным только на отдельном конкретном компьютере.

• В Camelot технологии PostScript и Display PostScript упоминались как реальное решение этой проблемы, помимо того факта, что для их работы требовались мощные процессоры, недоступные большинству пользователей в то время. В те дни использовали Windows 3.0 и System 6 (для компьютеров Mac).

• Первым когда-либо созданным PDF-файлом было руководство пользователя для первой графической программы Adobe, Illustrator. Пособие было создано в 1991 году и изначально распространялось на дискетах.

• Adobe много лет работала над этим проектом, и 15 июня 1993 года был официально выпущен первый PDF-редактор Acrobat 1.0. Первый набор продуктов включал Acrobat Reader, Acrobat Exchange и Adobe Distiller для создания и просмотра PDF-файлов и преобразования файлов PostScript в PDF-файлы соответственно. Первая версия поддерживала закладки, встроенные шрифты и изображения в RGB. То, что сегодня считается само собой разумеющимся, было революционным на тот момент.

#Разное

🪙 Bug Bounty Blueprint: Руководство для начинающих.

• Очень информативное руководство по Bug Bounty, которое содержит полезные инструменты, лабы, ресерчи, кейсы из жизни и еще очень много полезных ссылок.

➡️ https://blog.securitybreached.org/

#BB

🔐 BypassAV.

• Объемная Mind Map, в которой перечислены основные методы и инструменты для обхода антивирусов и EDR.

➡️ https://github.com/CMEPW/BypassAV

• Необходимые ссылки: https://github.com/matro7sh/BypassAV/blob/main/Bypass-AV.md

#AV

🪙 Awesome Bug Bounty Tools.

• Большой список инструментов для Bug Bounty, который разбит по следующим категориям:

• Recon:
- Subdomain Enumeration;
- Port Scanning;
- Screenshots;
- Technologies;
- Content Discovery;
- Links;
- Parameters;
- Fuzzing.

• Exploitation:
- Command Injection;
- CORS Misconfiguration;
- CRLF Injection;
- CSRF Injection;
- Directory Traversal;
- File Inclusion;
- GraphQL Injection;
- Header Injection;
- Insecure Deserialization;
- Insecure Direct Object References;
- Open Redirect;
- Race Condition;
- Request Smuggling;
- Server Side Request Forgery;
- SQL Injection;
- XSS Injection;
- XXE Injection.

• Miscellaneous:
- Passwords;
- Secrets;
- Git;
- Buckets;
- CMS;
- JSON Web Token;
- postMessage;
- Subdomain Takeover;
- Uncategorized.

#BB

🐢 Terrapin Attack.

• Terrapin — атака, которая манипулирует данными в процессе хендшейка, в итоге нарушая целостность канала SSH при использовании ряда широко распространенных режимов шифрования.

• Атака позволяет удалять или изменять сообщения, передающиеся в рамках канала связи, что приводит к даунгрейду уровня алгоритмов публичных ключей, используемых для аутентификации пользователей, или к полному отключению защиты от timing-атак, основанных на анализе времени нажатия клавиш, в OpenSSH 9.5. В итоге Terrapin снижает безопасность соединения, манипулируя negotiation-сообщениями таким образом, что клиент или сервер этого не замечают.

• Уязвимости, связанные с этой атакой, получили следующие идентификаторы:

- CVE-2023-48795, общая уязвимостью SSH на уровне протокола;
- CVE-2023-46445 и CVE-2023-46446, проблемы, характерные для SSH-клиента AsyncSSH, который ежедневно скачивают около 60 000 пользователей.

• Для перехвата и модификации хендшейка атакующий должен заранее занять в сети позицию типа man-in-the-middle (MiTM), а соединение должно быть защищено либо посредством ChaCha20-Poly1305, либо CBC с Encrypt-then-MAC.

➡ Более подробное описание реализации можно найти здесь: https://terrapin-attack.com

• Стоит отметить, что на GitHub есть сканер для обнаружения уязвимостей Terrapin, с помощью которого администраторы смогут определить, уязвим ли их SSH-клиент или сервер к этой атаке: https://github.com/RUB-NDS/Terrapin-Scanner

• Что касается цифр, то аналитики из Shadowserver опубликовали интересную информацию, что в сети можно обнаружить около 11 миллионов SSH-серверов (по количеству уникальных IP-адресов), которые уязвимы перед атаками Terrapin.

• Таким образом, уязвимы примерно 52% всех просканированных образцов в пространствах IPv4 и IPv6. Больше всего уязвимых систем было выявлено в США (3,3 млн), за которыми следуют Китай (1,3 млн), Германия (1 млн), Россия (700 000), Сингапур (390 000) и Япония (380 000).

• Хотя не все 11 миллионов уязвимых серверов подвергаются непосредственному риску атаки, информация Shadowserver наглядно демонстрирует, что у злоумышленников есть из чего выбирать.

#Новости #Разное #SSH

🤖 Механизмы шифрования в Android OS.

• В этом руководстве приведена информация о типах шифрования, которые используются в процессе работы Android OS, а также способы атаки на них.

➡️ Скачать.

#Android #Шифрование

📭 Временная почта. Подборка сервисов.

• Если Вам потребовался одноразовый почтовый ящик (допустим, для регистрации), то вот вам небольшая подборка бесплатных сервисов:

- https://xkx.me
- https://M.kuku.lu
- https://erine.email
- https://maildrop.cc
- https://mailsac.com
- https://anonbox.net
- https://getnada.com
- https://mailcatch.com
- https://smailpro.com
- https://tempmail.plus
- https://emailfake.com
- https://tempr.email/en
- https://dropmail.me/ru
- https://generator.email
- https://yopmail.com/en
- https://one-off.email/ru
- https://mytrashmail.com
- https://www.moakt.com
- https://www.33mail.com
- https://www.yopmail.com
- https://10minutemail.net
- https://www.emaildrop.io
- https://www.fakemail.net
- https://www.mohmal.com
- https://10minutemail.com
- https://www.tempinbox.xyz
- https://temporarymail.com
- https://www.mailinator.com
- https://www.yopmail.com/en
- https://www.mailinator.com
- https://www.mohmal.com/en
- https://www.dispostable.com
- https://www.guerrillamail.com
- https://www.emailondeck.com
- https://www.crazymailing.com/ru
- https://www.trash-mail.com/inbox

#mail

🖥 История PDF формата. Часть 2.

• В первые дни PDF был в основном популярен в рабочих процессах настольных издательских систем. Массовое внедрение было медленным, чему способствовал тот факт, что Adobe Acrobat не был в свободном доступе. Когда Интернет начал распространяться по всему миру, PDF-файлы не получили всеобщего признания, как надеялись разработчики. Тогда было много проблем, которые мешали формату. Одной из них стало отсутствие поддержки гиперссылок.

• Целостность формата и макета также рассматривалась как роскошь для обычных пользователей, когда приходилось отправлять файлы через модемы с коммутируемой связью, где небольшой текстовый файл будет отправлен за секунды, а PDF-файл мог надолго забить телефонную линию. И, несмотря на высокие амбиции Camelot, PDF-файлы оказались слишком тяжёлыми для многих компьютеров того времени.

• Чтобы хоть как-то проникнуть на рынок, было решено сделать нечто, противоречащее принципам Adobe: раздать бесплатно. Когда вышел Adobe Reader 1.0, за программное обеспечение, которое позволяло просто читать PDF-файлы, приходилось заплатить 50 долларов. Неудивительно, что только профессионалы настольных издательских систем раскошелились бы на это программное обеспечение.

• Adobe захотела, чтобы PDF-стандарт стал популярен, и ей пришлось изменить свой подход, и когда в 1994 году была выпущена версия 2.0, любой смог получить копию бесплатно. В то время многие люди внутри компании были категорически против этого решения. Но соучредитель Adobe Чарльз Гешке доверился своему чутью в отношении продукта, который сегодня является одним из лучших бесплатных редакторов PDF. Как он сам сказал, отвечая на вопрос, почему продолжал инвестировать в Acrobat:

«Инстинкты. Вы не можете анализировать рынок, которого никогда не существовало».

• Ему повезло, что другие продукты его компании, такие как Photoshop, оказались прибыльными, и пока доллары продолжали течь, у PDF было время, чтобы встать на ноги. И встать на ноги удалось. Раздача Reader определённо придала формату импульс, и он постепенно увеличивал свою экспанисию. Всего через несколько лет он стал стандартом де-факто для печатных документов. С тех пор формат файла постоянно совершенствовался: функции безопасности, комментарии, функция поиска, подписи, преобразования или режим Liquid Mode для просмотра на мобильных устройствах.

• В 2005 году вариант PDF, известный как PDF/A, был разработан для использования при архивировании и долговременном хранении электронных документов. Этот формат отличается от PDF тем, что в нём намеренно отсутствуют функции, которые могли бы помешать достижению таких целей, как связывание шрифтов и программное обеспечение для шифрования. В том же году PDF/A стал стандартом де-юре (то есть официальным форматом документооборота).

• Всё это время PDF оставался проприетарным стандартом, полностью принадлежащим и контролируемым Adobe. Однако это изменилось в 2008 году, когда он стал открытым стандартом ISO32000. С тех пор он находится под опекой Международной организации по стандартизации (ISO).

• В 2006 году была выпущена последняя версия формата под контролем Adobe. Она представила улучшенную поддержку комментариев, улучшенную безопасность и встроенные настройки принтера, такие как выбор бумаги, количество копий и масштабирование. С тех пор Adobe добавила расширения, которые поддерживают только их программное обеспечение, что позволяет компании продолжать добавлять функции, независимо от того, что делает ISO. Недостатком этого является то, что любое стороннее программное обеспечение не работает.

➡ Предыдущая часть.

#Разное

🌐 Реализация Tor на Rust. Arti 1.1.12 и тестирование onion-сервисов.

• В марте 2021 года Tor Project получил 670 тысяч баксов от Zcash Open Major Grants на обновление языка программирования, что позволяет сделать клиент Tor более адаптируемым и простым для использования. Tor Project планировали перевести с языка С на Rust.

• Разработчики начали работать над проектом Arti. Главный сетевой архитектор и соучредитель Tor Project Ник Мэтьюсон говорил, что Arti позволит создать улучшенную версию Tor, которая будет более надежной, безопасной и простой в использовании с другим ПО.

• Прошло почти 3 года и разработчики Tor опубликовали выпуск проекта Arti 1.1.12, которая отмечена как пригодная для использования обычными пользователями и обеспечивающая тот же уровень конфиденциальности, юзабилити и стабильности, что и основная реализация на языке Си.

• Версия Arti 1.1.12 примечательна доведением реализации onion-сервисов до готовности тестирования и проведения экспериментов. При помощи Arti теперь можно не только подключаться к существующим onion-сервисам, но и создавать свои onion-сервисы. При этом в настоящее время ещё не готовы некоторые возможности для обеспечения приватности и защиты onion-сервисов, такие как авторизация клиентов, защита от DoS-атак и механизм предотвращения определения Guard-узлов "Vanguard", поэтому реализация пока не рекомендована для рабочих внедрений.

#Новости #tor