🖥 Технологии прошлого — стандарт X.25.

• X.25 — стандарт пакетной передачи данных в телефонных сетях, с которым работали крупные банковские системы вроде SWIFT, а энтузиасты используют до сих пор. Он был разработан операторами в 1970-х, и одобрен подразделением Международного союза электросвязи CCITT в 1976 году.

• Стандарт описывает протоколы трех уровней — физического, канального и пакетного. Они соответствуют первым трем уровням сетевой модели OSI. Физический, очевидно, отвечает за подключение вычислительных систем и терминалов к аппаратуре передачи данных. Канальный определяет методы коррекции ошибок, а пакетный — настраивает подключение, управляет передачей пакетов. Каждый пакет обычно включает 128 байт. Однако его длина могла меняться до 4096 байт. Точный размер определяли на этапе установления канала.

• Одним из главных недостатков протокола были большие задержки отклика — в пределах 0,6 сек. X.25 разрабатывали для передачи данных по телефонным линиям. Тогда качество соединения было далеко не идеальным, поэтому стандарт включал большой объем избыточной информации для коррекции ошибок. Этот факт снижал пропускную способность.

• В первые годы появления X.25 на его основе были развернуты сразу несколько крупных коммерческих сетей. Одной из первых была британская JANET, которой в 1974 году пользовалось исследовательское и образовательное сообщество. На тот момент это была самая быстрая X.25 сеть в мире со скоростью подключения до 9,6 Кбит/с. JANET объединяла до двух тысяч компьютеров на двух сотнях локаций. Но особую популярность получила среди библиотекарей и библиотек — к сети подключили электронный библиотечный каталог (OPAC).

• Вскоре протокол X.25 вышел за пределы Европы в США, Канаду, Австралию, получив распространение в бизнес-среде. Например, американская сеть Telenet в середине 70-х предоставила корпоративный сервис электронной почты Telemail. Ну а в 1979 году появился CompuServe, который предложил электронную почту и техническую поддержку пользователям персональных компьютеров. Другими крупными сетями были AOL и Prodigy с развлекательным контентом.

• Что интересно, до относительно недавнего времени X.25 применяли разработчики банковской платежной системы SWIFT. Полностью от протокола отказались только в 2005 году. Тогда компания перешла на сеть SIPN на базе IP — с большей функциональностью, возможностью передачи файлов и более защищённым окружением. В результате миграции компания сократила затраты на содержание инфраструктуры на целых 2% [по сравнению с 2004 годом].

• Есть и другой долгожитель — компания France Telecom отключила терминалы информационной системы Minitel на основе X.25 только в 2012 году. Пользователи подключались к ней через терминал, а встроенный модем «дозванивался» до серверов, представляющих различные сервисы. Можно было заказать товары, узнать расписание поездов, пообщаться с другими пользователями.

• Неудивительно, что со временем X.25 стал менее распространен. Однако в ряде отраслей он задержался, а в некоторых нишевых кейсах применяется до сих пор. Например, он до сих пор остается частью стека VHF Data Link для каналов связи «самолет — земля». Протокол планируют оставить до 2030 года, а после — заменить на IPv6 или LDACS (или совершенно новый стандарт, если такой будет разработан).

• Также существует модификация стандарта — AX.25 (Amateur X.25). Она используется энтузиастами для построения пакетных радиосетей. Реализация AX.25 даже представлена в ядре Linux, однако имеет свои недостатки — например, установка CRC-режима «сбрасывает» остальные настройки. Чтобы решить возникающие проблемы, инженеры даже пишут собственные реализации.

#Разное

😈 Malicious use of OAuth applications.

• Network Response Analysis;
• Endpoint Shapes Discovery;
- Common Shapes in OAuth 2.0;
- Application-Specific Shapes;
• OAuth 2.0 Vulnerabilities;
- Open Redirects and Token Theft;
- URL-Parameter-Based Open Redirect;
- Referer-Based Open Redirect;
- Exploiting Redirect Chains;
- Long-Lived Tokens;
- Insecure Redirects;
- Case 1: Attack with URL Parameter;
- Prevention: Method 1 - Use White-Listed Domain;
- Lack of State Check in OAuth;
- Case 1: Attack with State Parameter;
- Prevention: Method 1 - Use State Randomize Parameter;
• Creating Malicious OAuth Applications;
• OAuth Security Checklist;
• AUTHENTICATOR Pattern.

#OAuth #devsecops

👩‍💻 Linux: перенаправление.

• Если вы уже освоились с основами терминала, возможно, вы уже готовы к тому, чтобы комбинировать изученные команды. Иногда выполнения команд оболочки по одной вполне достаточно для решения определенной задачи, но в некоторых случаях вводить команду за командой слишком утомительно и нерационально. В подобной ситуации нам пригодятся некоторые особые символы, вроде угловых скобок.

• Для оболочки, интерпретатора команд #Linux, эти дополнительные символы — не пустая трата места на экране. Они — мощные команды, которые могут связывать различные фрагменты информации, разделять то, что было до этого цельным, и делать ещё много всего. Одна из самых простых, и, в то же время, мощных и широко используемых возможностей оболочки — это перенаправление стандартных потоков ввода/вывода. В этой статье вы узнаете:

- Три стандартных потока ввода/вывода;
- Перенаправление стандартного потока вывода;
- Перенаправление стандартного потока ввода;
- Перенаправление стандартного потока ошибок.

➡️ https://selectel.ru/blog/tutorials/linux-redirection/

• В качестве дополнения, к посту подгрузил полезную шпаргалку, которая поможет освоить данную тему.

#Cron #Linux #Unix #CheatSheet

⚡️ ИА "Панорама" сообщили о реальной причине падения Рунета))

#Юмор

📦 Hack The Box. Учимся взлому.

• Полезная и большая подборка прохождений HTB, которая поможет прокачать твой скилл и получить новые знания в различных аспектах пентеста.

➡️ https://0xdf.gitlab.io

• Напомню, что ранее я уже публиковал подборку материала с прохождением HTB на русском языке: https://t.iss.one/it_secur/1109

#Пентест #CTF

🖥 Как создавалась USB технология.

• Сегодня каждый может без каких либо трудностей подключить к своему ПК фотоаппарат, принтер, сканер или любое другое устройство. Но в начале 1990-х годов законектить периферийное устройство к ПК была задачей не из лёгких.

• До появления USB подключение внешних устройств нередко было проблематично. Пользователям иногда приходилось вскрывать компьютер и добавлять аппаратное обеспечение, чтобы получить необходимый коммуникационный порт.

• Универсальная последовательная шина, выпущенная в 1996 году компанией Intel, упростила ситуацию. Теперь порты USB являются стандартными для персональных компьютеров и встроены во многие электронные устройства, такие как смартфоны, электронных книги и игровые приставки.

• Прежде чем приступить к разработке USB, группа разработчиков изучила то, что уже было разработано. Инженеры рассмотрела технологии, подобные Ethernet, аудиоинтерфейсы, GeoPort от Apple и IEEE 1394 — известный также как стандарт Firewire. Но ни одна с доступных технологий не обладала всеми характеристиками, которые искала команда. В частности, инженеры хотели получить что-то недорогое, удобное в использовании, способное заряжать периферийные устройства и обеспечивающее большую пропускную способность. Чтобы снизить производственные затраты, инженеры разработали USB с тонким четырехпроводным кабелем длиной до 5 метров. Один конец кабеля имел разъем A, который подключался к компьютеру; разъем B на другом конце подключался к внешнему устройству.

• В то время компьютеры, как правило, не обеспечивали питание таких внешних устройств. Большинство периферийного оборудования должно было быть одновременно подключено к розетке при подключении к ПК. Но USB позволил компьютеру обеспечить необходимый заряд.

• Для названия команда искала что-то такое, с чем люди могли бы ассоциировать себя, а также очень хотели, чтобы оно описывало технологию. Инженеры выбрали слово «автобус», потому что оно было одновременно техническим термином (шина используется для передачи данных в компьютере) и узнаваемым. В сознании большинства людей автобусы — это транспортные средства, доставляющие пассажиров из пункта А в пункт Б, сказал один из разработчиков USB.

• Команда объявила о своей первой разработке в 1995 году. При скорости 12 мегабит в секунду USB 1.0 был «быстрее, чем все, что обычно подключается к задней панели ПК. Однако команда столкнулась с проблемой: скорость 12 Мбит/с была слишком быстрой для компьютерных мышек, джойстиков, клавиатур и других аксессуаров с неэкранированными кабелями. Инженеры решили эту проблему, организовав для USB 1.0 поддержку связи на скорости 1,5 Мбит/с.

• Такой подход позволил USB работать на низкой скорости для недорогих периферийных устройств с неэкранированными кабелями и на высокой скорости для устройств с экранированными кабелями, таких как принтеры и дисководы для флоппи-дисков.

• USB 1.1, выпущенный в 1996 году, стал популярным только в 1998 году. Всеобщая известность настигла его после демонстрарации на выставке COMDEX в Лас-Вегасе. На пресс-конференции команда Intel подключила 127 периферийных устройств к одному компьютеру.

• Задержка между выпуском USB 1.1 в 1996 году и до момента настоящей популярности, вполне объяснима, поскольку Microsoft Windows 98, которая вышла в июне 1998 года, была первой операционной системой, поддерживающей USB. Двумя месяцами позже компания Apple выпустила свой iMac, в котором отсутствовал дисковод для дискет, но была пара портов USB. Хотя Apple не входила в число компаний, работавших над проектом USB, но компания помогла сделать эту технологию популярной.

• С тех пор появилось еще три поколения USB. Самое последнее, USB4, было выпущено в 2019 году.

#Разное

🌍 Top 10 web hacking techniques of 2023.

• В файле ниже собран весь материал, который был опубликован в этом посте.

➡️ Источник: @hadess_security

#web #hack

👨‍💻 Культовый ноутбук без жесткого диска. Toshiba T1100.

• Ноутбук, предназначенный «для мобильных профессионалов», до 8 часов автономной работы, по цене 1899 долларов… в 1985 году. Как такое возможно?

• В 80-х компьютеры уже стали важной частью повседневной жизни, и, очевидно, было приятно иметь портативный компьютер, который можно взять с собой, со всеми файлами, документами и личными данными. В то время мобильные компьютеры были не «портативными», а «переносными», и причина банальна, первый портативный компьютер, Osborne I, выглядел примерно так: https://en.wikipedia.org/wiki/Osborne_1

• Эта машина, выпущенная в 1981 году, стала, к слову, первым коммерчески успешным мобильным компьютером, но, конечно, в реальности при весе в 24,5 фунта (11,1 кг) она была далеко не портативной. Но прогресс шел дальше, и уже в 1985 году инженеры Toshiba сделали первый ноутбук, который действительно легко помещался в сумке. Как им это удалось? Решающее значение имели несколько компонентов:

1⃣ Дисплей. Тяжелый и громоздкий ЭЛТ был заменен тонким и легким ЖК-дисплеем. Эти дисплеи отличались медленной частотой обновления и низкой контрастностью, но для работы с документами этого было достаточно.

2⃣ Подсветка экрана. Какая подсветка? ЖК-дисплей Toshiba T1100 вообще не имеет подсветки — пользователь должен сам позаботиться о достаточном внешнем освещении. В наши дни это решение может показаться странным, но в 80-х и 90-х годах такая практика была довольно распространенной для наручных часов, КПК Psion или Palm.

3⃣ Жесткий диск? Жесткого диска в Toshiba T1100 нет вообще. Это решение может показаться странным в наши дни, но во времена MS-DOS было обычным делом иметь ПК с одним или двумя дисководами для дискет. Жесткие диски были громоздкими и дорогими, а размер программного обеспечения был достаточно мал, чтобы запускать его с дисковода гибких дисков.

• Со всеми этими изменениями Toshiba удалось создать компьютер, который не только обладал достаточно хорошими характеристиками для того времени, но также был портативным и более или менее доступным.

• И получился действительно удачный продукт — Т1100 стал не только «первым в мире массовым портативным компьютером», но и был клонирован в СССР под названием Электроника МС 1504. По сути, это был единственный ноутбук в истории, который производился в Советском Союзе. Экземпляр Toshiba T1100 помещен в лондонском музее дизайна и искусств Виктории и Альберта, и этот компьютер действительно заслуживает этого.

• Что касается аппаратной части ноутбука, то сегодня она выглядит не очень впечатляюще, но для 1985 года T1100 был достаточно хорош: процессор 8086 с частотой 4,7 МГц (7,16 МГц для T1100 Plus), 256 КБ ОЗУ (640 КБ для T1100 Plus), ЖК-дисплей 640x200, опциональный модем на 1200 бит/с и два 3,5-дюймовых флоппи-дисковода по 720 Кбайт. T1100 имел сравнительно небольшой вес и потрясающую возможность автономной работы в течение 6–8 часов — даже в наше время не каждый ноутбук на такое способен. Это особенно впечатляет, потому что в ноутбуке установлена NiCd батарея, литиевые батареи еще не получили широкого распространения.

#Разное

⚙️ ThievingFox.

• ThievingFox — инструмент для удалённого дампа учетных данных из различных менеджеров паролей и утилит Windows.

➡️ https://github.com/Slowerzs/ThievingFox/

• Всю необходимую информацию можно найти в блоге автора: https://blog.slowerzs.net/posts/thievingfox/

#Пентест #tools

• В дополнение к посту выше. Pandora — инструмент для извлечения учетных данных из менеджеров паролей. Поддерживает 14 программ с 18 различными реализациями (к примеру, мы можем сдампить данные из десктопного приложения и из расширения браузера одного и того же продукта).

➡ Описание и другая информация: https://github.com/efchatz/pandora

#Пентест #ИБ #Tools

🖥 Всё, что вы хотели знать о МАС адресе.

• Всем известно, что это шесть байт, обычно отображаемых в шестнадцатеричном формате, присвоены сетевой карте на заводе, и на первый взгляд случайны. Некоторые знают, что первые три байта адреса – это идентификатор производителя, а остальные три байта им назначаются. Известно также, что можно поставить себе произвольный адрес. Многие слышали и про "рандомные адреса" в Wi-Fi. Давайте разберемся, что это такое.

➡️ https://habr.com/post/483670/

#Сети

Официально взломанный iPhone от Apple

Гергели Калман (Gergely Kalman) опубликовал на своей странице в X/Twitter взломанный iPhone, который получил от Apple в рамках Security Research Device Program:
🍏 Устройство поставляется с набором стикеров и мануалом по использованию.
🍏 Смартфон внешне отличается маркировкой с предупреждением о конфиденциальности и номером телефона, на который необходимо позвонить в случае утери телефона.
🍏 iPhone с разблокированной iOS позволяет ставить неподписанные Apple приложения и проще проводить поиск уязвимостей в системе.

#apple

🔄 40+ OSINT расширений для Google Chrome и Firefox.

• Расширения для браузера могут сыграть большую роль для специалистов в области #OSINT и #СИ, не говоря уже о повышении производительности в работе.

• В этом репозитории собраны 40+ полезных расширений Google Chrome и Firefox, которые помогут анализировать данные из открытых источников и пригодятся в работе:

➡️ https://github.com/cqcore/OSINT-Browser-Extensions

#OSINT

🌍 Получаем максимум информации из браузера.

• Пароли, история браузера и загрузок, куки, список расширений и реквизиты банковской карты. Всё это Вы можете экспортировать через инструмент HackBrowserData, который имеет открытый исходный код и кроссплатформенность. Инструмент поможет Вам выгрузить все перечисленные данные из 18 браузеров в Linux, MacOS и Windows.

• Все доступные параметры и команды можно посмотреть стандартным способом:

.\hack-browser-data.exe -h

➡ Ссылка на загрузку: https://github.com/moonD4rk/

#ИБ

Очередной понедельник... Доброе утро...🫠