🗞 Второе полугодие 2023 года — краткий обзор основных инцидентов промышленной кибербезопасности.

• Свежий отчет от экспертов Лаборатории Касперского по угрозам для систем промышленной автоматизации: статистика по вредоносному ПО, источникам угроз, распределение обнаруженных угроз по отраслям и регионам.

- Производственный сектор;
- Автомобилестроение;
- Энергетика;
- Электронная промышленность;
- Коммунальные службы;
- Логистика и транспорт;
- Пищевая промышленность;
- Нефтегазовая отрасль;
- Судостроение;
- Металлургия;
- Строительство;
- Другое.

➡️ Скачать в PDF || Читать онлайн.

#Отчет

Доброе утро... 🫠

#Понедельник

👣 Pwning the Domain: Lateral Movement.

• Lateral movement in red teaming is all about moving between targets in the environment to reach the objective.

- Password;
- WinRM;
- RDP;
- MSSQL;
- SMB;
- Interactive-shell;
- NTHash;
- Pass-the-Hash;
- Overpass-the-Hash;
- Pass-the-Key;
- MSSQL;
- Execute OS Commands;
- Trusted Link Abuse in MS SQL;
- SCCM (MECM);
- Credential Harvest;
- Network Access Account;
- Client Push Credentials;
- Application & Script Deployment;
- Security Research.

#AD #Пентест

👩‍💻 Kubenomicon.

• Поделюсь с Вами очень интересным проектом, который описывает методы атак на Kubernetes. Проект сырой, но постоянно дополняется необходимой информацией. Особенно будет полезно изучить начинающим специалистам: https://kubenomicon.com/

• Другой полезный материал:

- Kubernetes: шпаргалка для собеседования;
- Обучающий курс по Kubernetes;
- Шпаргалка по архитектуре Kubernetes;
- Взлом и защита Kubernetes;
- Полезные уроки, которые помогут освоить K8s;
- Top 4 Kubernetes Service Types in one diagram;
- ТОП-8 книг по DevOps в 2023 году.

#Kubernetes

📉 Чёрный понедельник.

• Чёрный понедельник (англ. Black Monday) — понедельник 19 октября 1987 года — день, в который произошло самое большое падение Промышленного индекса Доу Джонса за всю его историю, — 22,6 %. Это событие затронуло не только США, а быстро распространилось по всему миру. Так, фондовые биржи Австралии потеряли к концу октября 41,8 %, Канады — 22,5 %, Гонконга — 45,8 %, Великобритании — 26,4 %.

• Промышленный индекс Доу Джонса — один из нескольких фондовых индексов, созданных редактором газеты Wall Street Journal и одним из основателей компании Dow Jones & Company. В него заложена стоимость акций 30 самых больших американских компаний, например, Apple, Coca-Cola и Intel.

• Падения индекса начались ещё в начале октября 1987 года. Причины назывались разные: военная эскалация в зоне Персидского залива, печальное известие о здоровье Первой леди Нэнси Рейган, ужесточение налогового законодательства со стороны Западной Германии и Японии и др. И вот чёрный понедельник произошёл 19 октября 1987 года.

• Это был самый крупный обвал, который затронул не только США, но и такие страны, как Австралия, Канада, Великобритания и др.

• После этого дня в падении стали винить непосредственно разработчиков. Хотя эксперты ещё спорят о его истинных причинах. Но, по официальной версии, к кризису привела ошибка программного трейдинга. Дело в том, что специальная программа автоматически заключала сделки, чтобы инвесторам не приходилось постоянно следить за котировками и проводить все операции вручную. Машины ориентировались на движение рынка: индексы растут — закупаем, падают — продаём.

• Когда рынок качнуло, машины одновременно стали продавать акции на миллионы долларов. Но покупать их было некому, и поэтому программа ещё больше снижала цену. За один день американский рынок акций потерял около 500 миллиардов долларов.

• Но были и положительные итоги у этой истории. Например, был изменён регламент работы фондовой биржи. Также были ограничены те виды программного трейдинга, которые ведут к перегрузке биржевых специалистов. Ввели процедуру принудительной остановки торговли при резких колебаниях индекса. Такие вот дела...

#Разное

👨‍💻 System Design 101.

• В данной шпаргалке рассматриваются такие вещи, как протоколы коммуникации, DevOps, CI/CD, архитектурные паттерны, базы данных, кэширование, микросервисы (и монолиты), платежные системы, Git, облачные сервисы etc. Особую ценность представляют диаграммы — рекомендую уделить им пристальное внимание:

• Протоколы:
- REST и GraphQL;
- gRPC;
- Webhook;
- Производительность API;
- HTTP 1.0 -> HTTP 1.1 -> HTTP 2.0 -> HTTP 3.0 (QUIC);
- SOAP, REST, GraphQL и RPC;
- Сначала код и сначала API;
- Коды статусов HTTP;
- Шлюз API;
- Эффективное и безопасное API;
- Инкапсуляция TCP/IP;
- Почему NGINX называют "обратным" прокси?
- Алгоритмы балансировки нагрузки;
- URL, URI и URN.

• CI/CD:
- CI/CD простыми словами;
- Технический стек Netflix (конвейер CI/CD).

• Архитектурные паттерны:
- MVC, MVP, MVVM, MVVM-C и VIPER;
- 18 основных архитектурных паттернов.

• База данных:
- 8 структур данных, улучшающих работу баз данных;
- Выполнение инструкции SQL в базе данных;
- Теорема CAP;
- Типы памяти и хранилищ данных;
- Визуализация запроса SQL;
- Язык SQL.

• Кэш:
- Кэширование данных;
- Причины высокой производительности Redis;
- Случаи использования Redis;
- Стратегии кэширования.

• Микросервисная архитектура:
- Типичная микросервисная архитектура;
- Лучшие практики микросервисов;
- Типичный технический стек микросервисов;
- Причины высокой производительности Kafka.

• Платежные системы:
- Почему кредитную карту называют "самым выгодным продуктом банка"? Как VISA/Mastercard делают деньги?
- Принцип работы VISA.

• DevOps:
- DevOps, SRE и Platform Engineering;
- Что такое Kubernetes?
- Docker и Kubernetes;
- Принцип работы Docker.

• Git:
- Принцип работы команд Git;
- Принцип работы Git;
- Git merge и git rebase.

• Облачные сервисы:
- Популярные облачные сервисы по состоянию на 2023 год;
- Облачная нативность.

• Инструменты, повышающие продуктивность разработки:
- Визуализация файлов JSON;
- Автоматические преобразование кода в архитектурные диаграммы.

• Linux:
- Файловая система Linux;
- 18 основных команд Linux.

• Безопасность:
- Принцип работы HTTPS;
- OAuth 2.0 простыми словами;
- 4 наиболее распространенных механизмов аутентификации;
- Сессия, куки, JWT, SSO и OAuth;
- Безопасное хранение паролей в базе данных и их валидация;
- JWT (JSON Web Token) простыми словами;
- Принцип работы Google Authenticator и других типов двухфакторной аутентификации.

• Реальные системы:
- Технический стек Netflix;
- Архитектура Twitter по состоянию на 2022 год;
- Эволюция архитектуры Airbnb в течение последних 15 лет;
- Монорепозиторий и микрорепозитории.

#DevOps #SysOps

💾 AmigaOS.

• Когда Apple представила миру Macintosh (22 января 1984), в то время существовала более известная компания Commodore International. Начинали эти ребята с ремонта и перепродажи печатных машинок, но со временем переквалифицировались. Славу Commodore принес прежде всего персональный компьютер Commodore 64, через три года после выпуска которого Commodore представили новый многообещающий ПК — Amiga.

• Его создавала команда из бывших сотрудников Atari, и на Amiga возлагались большие надежды. Он обеспечивал прекрасную для своих лет графику и звук, игры на Amiga выглядели гораздо лучше, чем на ПК конкурентов. По задумке производителя, впоследствии Amiga должен был пошатнуть позиции Apple как создателя компьютеров для творческих людей.

• У Amiga была своя операционная система — AmigaOS. В ней реализовали мультизадачность, довольно продвинутую по тем временам функцию, которая была далеко не у всех. В то время для старта второго приложения на ПК обычно требовалось закрыть первое. На AmigaOS в этом не было необходимости: первое приложение просто переходило в режим гибернации и ожидало возврата пользователя, чтобы продолжить работу с того же места.

• Также у Amiga был свой AmigaDOS (disk operating system), в котором уже имелся графический интерфейс и доступ к файловой системе, так что в некоторых случаях можно было даже не запускать AmigaOS.

• При этом некоторые важные функции в AmigaOS реализованы не были. В ней отсутствовала защита памяти: любой процесс мог взять и занять любой объем памяти, который ему вздумается. Это давало огромный простор для зловредного ПО, которое могло таким образом парализовать всю работу и повредить систему.

• Здесь напрашивается страшная история о том, что AmigaOS была уничтожена, когда столкнулась с достаточно расторопными злоумышленниками. Реальность оказалась прозаичней: Commodore начала отставать в гонке ПК, сделала ставку на неудачную консоль Amiga CD32 и к 1993 году столкнулась со спадом продаж, от которого просто не смогла оправиться. В 1994 компания приступила к процедуре банкротства.

➡ Более подробно о том, как появилась AmigaOS и что с ней стало, читайте в этой статье: https://xakep.ru/2015/06/24/amigaos-197/

#Разное

👩‍💻 Bash-Oneliner.

• Объемная подборка команд, от очевидных, до каких-то мелочей, упрощающих жизнь.

- Terminal Tricks;
- Variable;
- Math;
- Grep;
- Sed;
- Awk;
- Xargs;
- Find;
- Condition and Loop;
- Time;
- Download;
- Random;
- Xwindow;
- System;
- Hardware;
- Networking;
- Data Wrangling;
- Others.

➡️ https://github.com/onceupon/Bash-Oneliner

#Bash