infosec
44.7K subscribers
851 photos
45 videos
86 files
1.19K links
Copyright: @SEAdm1n

Вакансии: @infosec_work

Информационная безопасность. Литература для ИТ специалистов. Пентест, DevOps, Администрирование.

Преобрести рекламное размещение: https://telega.in/c/it_secur
Download Telegram
🪙 С чего всё началось: история Bug Bounty.

Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала 200 золотых гиней (что-то около $30 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс принял вызов и справился с задачей за 25 минут, получив награду.

Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.

Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle. Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.

К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер, обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.

И 10 октября 1995 года Netscape запустили первую программу Bug Bounty (анонс на фото). Они платили пользователям бета-версии браузера Netscape Navigator 2.0, которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным, Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили не только деньги, но и товары из магазина Netscape.

• Что касается последователей Netscape, то первым в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500...

#bb #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
💡 Появление оптоволокна.

• Сотни лет назад моряки определяли свое местоположение в море по частоте вспышек на маяках. Каждый маяк имел свою «зарезервированную» частоту, примерно как сейчас в телевидением или радио. Даже ночью в тяжелых погодных условиях можно было точно понять, к какому конкретно порту приближается корабль.

• Важной вехой, которая приближает нас к теме статьи, стало изобретение в 1880 году Александром Беллом фотофона как альтернативы его телефону. Суть была такой: свет попадал на гибкое зеркало, которое перенаправляло луч к приемнику. Когда человек говорил, форма зеркала изменялась, периодически фокусируя или рассеивая свет. В свою очередь, в приемник были встроены селеновые ячейки — они изменяли свою проводимость в зависимости от интенсивности света. Появлялась последовательность электрических импульсов, поступающих на выводное устройство — точно как в телефоне.

• Однако такой принцип передачи был очень нестабилен: любые препятствия на пути света делали передачу невозможной. Нужно было защитить световой поток, поместив его в какую-то защитную оболочку и передавать. Но все-таки свет имеет свойство рассеиваться и преломляться — поэтому все намного сложнее, чем с потерями на кабеле при передаче электрического сигнала. В идеале нужно было получить «концентрированный» световой поток со строго определенной длиной волны, которая была бы наиболее эффективна в конкретных условиях применения. Ну и найти материал, в котором все это будет передаваться.

• Прорыв случился, когда в 1958 году появился лазер: устройство, усиливающее свет посредством вынужденного излучения. Это означало, что теперь можно было получить свет в нужном диапазоне частот и с нужной мощностью, да еще и направить его в нужную точку. Оставалось найти канал, в котором будет происходить передача.

• В 1961 году Элиас Снитцер опубликовал теоретическое описание одномодового волокна (SMF). Он предположил, что можно:

Направить ИК лазер через очень тонкий прозрачный канал из стекловолокна, диаметр которого сопоставим с длиной волны.
Поместить все в «отражающую» оболочку из более толстого стекла с меньшим показателем преломления.

• В результате свет будет испытывать полное внутреннее отражение на границе раздела двух сред с разными показателями преломления — все как в классической оптике. Потери из-за рассеивания будут меньше, а значит, сигнал можно будет передать на большее расстояние.

• Идея была хорошей, однако проблема была в составе материала, при прохождении через который волна света сильно затухала — в первых опытах речь шла о 1000 дБ/км. Если очень примитивно, то некоторые фотоны как бы «рассеивались» при взаимодействии с атомной структурой, и поток света становился слабее. Нужно было найти способ, как уменьшить количество «лишних» элементов и, как следствие, число паразитных соударений фотонов. Проще говоря, сделать материал более прозрачным, уменьшив количество примесей.

• В 1964 году Чарльз Као и Джордж Хокхэм в своих исследованиях предположили, что теоретически потери можно снизить в 50 раз — до 20 дБ/км. Они обнаружили, что идеально на роль проводника света с точки зрения прозрачности и чистоты подходит плавленый кварц, он же — кварцевое стекло. За эту работу Као и Хокхэм были удостоены Нобелевской премии по физике в 2009 году.

• В 1970 году инженер Дональд Кек нашел способ сделать кварц еще прозрачнее — легировать его титаном. Спустя еще два года исследований Кек обнаружил, что легирование кварца оксидом германия снижает затухание до невероятных 4 дБ/км. В 1973 году в Bell Laboratories был открыт процесс химического осаждения из газовой фазы — теперь можно было производить химически чистое стекловолокно в промышленных масштабах.

• Начиная с того времени, оптоволоконная связь начала распространяться по миру: например, в 1980 году с ее помощью была передана первая картинка с Зимних Олимпийских игр в Лейк-Плэсиде. Кабели начали прокладывать под водой и поняли, что про старые-добрые медные кабели для телекоммуникации можно забыть...

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
⚠️ ДТП с участием дата-центра.

• Большинство компаний понимают важность создания бэкапов. Но вот беда — представление о том, что должна собой представлять стратегия резервирования данных, имеет не так много компаний. В результате они теряют информацию, клиентов, а значит, и деньги.

• Среди причин утери данных — неподготовленность компаний к критическим событиям (сбои в подаче электроэнергии, физический ущерб оборудованию, взлом и кража данных, природные катаклизмы и т.д.). Если не позаботиться о резервных копиях заранее — потом будет мучительно больно!

• Если говорить о внезапных событиях, которые приводили к потерям и убыткам данных, то здесь нельзя не вспомнить случай из 2007 года. Тогда компания Rackspace столкнулась с неожиданностью. В ее дата-центр врезался внедорожник. Водитель этого автомобиля страдал диабетом и во время поездки он потерял сознание, нога нажала на педаль газа, и машина, вылетев за пределы дорожного полотна, на всей скорости врезалась в объект, в котором располагался центр энергетической инфраструктуры дата-центра компании.

• Сразу заработала вспомогательная система энергоснабжения, но возникла проблема — не запустилась основная система охлаждения. Из-за этого оборудование быстро перегрелось, так что сотрудники компании приняли решение выключить все, чтобы сервера и другое оборудование не вышли из строя.

• В итоге дата-центр простоял без дела около пяти часов, в течение которого ничего не работало. Эти пять часов обошлись компании в $3,5 млн... и это в 2007 году...

➡️ https://tempesto.ru/

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания WinRAR поделилась в Twitter (X) информацией, что продают каждый месяц по 10 000 лицензий. А Вы что думали?😁 Оказывается, это прибыльный продукт ))

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
🖥 История Seagate: от дискеты до HDD.

В 1920-1950-х годах в качестве способа хранения и передачи информации для компьютеров использовали перфокарты и перфоленты. Они пришли в компьютерную отрасль из ткацких станков. С помощью перфорации станки делали рисунок на ткани. Скорость работы с этим носителем была невысокой, много времени уходило на перфорацию выведенных в процессе расчётов данных и ввод новых перфокарт в машину для дальнейших вычислений. Изобретатели в то время работали над относительно новыми способами ввода и хранения данных – над магнитными лентами и проволокой.

Способ магнитной записи был запатентован в 1898 году датским физиком и инженером Вальдемаром Поульсеном. В качестве носителя он использовал не ленту, а проволоку. С усилителя сигнал подавался на записывающую головку, вдоль которой с постоянной скоростью перемещалась проволока и намагничивалась соответственно сигналу. В 1927 году немецкий инженер Фриц Пфлеймер нанёс напыление порошка оксида железа на тонкую бумагу и запатентовал метод, но патент отменили из-за изобретения тридцатилетней давности. Обе эти идеи использовала компания AEG, представившая в 1935 году «Магнетофон-К1» на магнитной ленте.

В 1950 году Национальное бюро стандартов США построило компьютер SEAC. В нём в качестве накопителей использовали металлическую проволоку в кассетах. А в 1951 году впервые использовали в компьютере магнитную ленту – в UNIVAC. Компьютер построили для нужд Военно-воздушных сил и топографической службы армии США. В качестве носителя использовали накопитель UNISERVO с лентами из никелированной бронзы шириной 13 миллиметров и длиной до 450 метров. Одна лента вмещала 1 440 000 шестибитных символов.

Магнитная лента в бытовых компьютерах в 1970-х годах использовалась в виде кассет. Программы воспроизводили либо с помощью специальных накопителей, либо с помощью обычных домашних аудиомагнитофонов. Магнитные ленты до сих пор используются — например, на них хранят результаты работы Большого адронного коллайдера в CERN, с ними работает НАСА и некоторые крупные корпорации с огромными архивами. На них делают бэкапы, когда нужно хранить большие объёмы данных.

Преимущество этого метода хранения состоит в цене. В IBM считают, что до 80% корпоративных данных можно записать на ленту. Но за низкую цену приходится платить низкой скоростью — доступ осуществляется последовательно, так что придётся ждать от нескольких десятков секунд до минуты для получения нужного файла.

Проблему скорости доступа в 1960-е годы решала команда Алана Шугарта в IBM. Вместо ленты инженеры предложили гибкий магнитный диск с кожухом. В 1971 году IBM представила первую 8-дюймовую дискету на 80 килобайт и дисковод.

После ухода из IBM Алан Шугарт продолжил работу с флоппи-дисками. В 1973 году он на деньги инвесторов основал Shugart Associates, которая вскоре представила 5 ,25-дюймовый мини-дискету в качестве замены громоздкому 8-дюймовому старшему брату. В сентябре 1976 года Shugart Associates предлагала привод за 390 долларов и десять дискет за 45 долларов. В 1977 году компанию купила Xerox, а в 1986 продала бизнес Narlinger Group.

В 1979 году Алан Шугарт основал новую компанию — Shugart Technology. Целью предприятия было создание жёсткого диска размером с дисковод для 5,25-дюймовых флоппи-дисков, но в десять раз большей скоростью и в 15 раз большей ёмкостью. Сохранить название не удалось, так как уже существовала Shugart Associates, работавшая в той же отрасли, созданная тем же человеком, но принадлежавшая другой компании. Поэтому Shugart Technology переименовали в Seagate Technology. Спустя год после основания Seagate Technology компания представила первый в мире HDD потребительского класса, получивший неброское название ST 506 (на фото) ёмкостью 5 мегабайт... С этого момента и началась история Seagate...

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
⚠️ Деление на ноль: катастрофические последствия программных ошибок.

Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы. Вот несколько историй о таких багах и их последствиях:

В 1997 американский ракетный крейсер «Йорктаун» (CG-48), на котором были установлены 27 компьютеров (Pentium-Pro на 200 МГц), решил поделить на ноль и полностью вышел из строя.
Компьютеры работали на Windows NT — и работали они ровно так, как вы и ожидаете, узнав название оси. В то время ВМФ США старался максимально широко использовать коммерческое ПО с целью снижения стоимости военной техники. Компьютеры же позволяли автоматизировать управление кораблем без участия человека.

На компьютеры «Йорктауна» поставили новую программу, управляющую двигателями. Один из операторов, занимавшийся калибровкой клапанов топливной системы, записал в одну из ячеек расчетной таблицы нулевое значение. 21 сентября 1997 года программа запустила операцию деления на этот самый ноль, началась цепная реакция, и ошибка быстро перекинулась на другие компьютеры локальной сети. В результате отказала вся компьютерная система «Йорктауна». Потребовалось почти три часа, чтобы подключить аварийную систему управления.

Схожая проблема с нулем возникла при испытании истребителя в Израиле. Безупречно работавший самолет на автопилоте пролетел над равнинной частью, над горной частью, над долиной реки Иордан и приблизился к Мертвому морю. В этот момент произошел сбой, автопилот выключился, и пилоты посадили истребитель на ручном управлении.

После долгих разбирательств удалось выяснить, что программы автопилота при вычислении параметров управления производили деление на значение текущей высоты истребителя над уровнем океана. Соответственно, у Мертвого моря, лежащего ниже уровня океана, высота становилась нулевой, провоцируя ошибку.

В мире найдется немало историй, когда обновление софта, совершаемое с самыми благими целями, могло повести за собой множество проблем. В 2008 году атомная электростанция в штате Джорджия (США) мощностью 1,759 МВт в экстренном режиме приостановила работу на 48 часов.

Инженер компании, занимающейся технологическим обслуживанием станции, установил обновление на главный компьютер сети АЭС. Компьютер использовался для слежения за химическими данными и диагностики одной из основных систем электростанции. После установки обновлений компьютер штатно перезагрузился, стерев из памяти данные управляющих систем. Система безопасности станции восприняла потерю части данных как выброс радиоактивных веществ в системы охлаждения реактора. В результате автоматика подала сигнал тревоги и остановила все процессы на станции... Вот такие дела...

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Катастрофические последствия программных ошибок. Часть 2.

• В продолжении вчерашней темы, поделюсь с Вами еще парой историй о серьезных багах и их последствиях. Думаю, что будет весьма интересно:

• В 1962 году космический корабль «Mariner 1» был уничтожен с земли после старта из-за отклонения от курса. Авария возникла на ракете из-за программного обеспечения, в котором разработчик пропустил всего один символ. В результате корабль стоимостью 18 миллионов долларов (в деньгах тех лет) получал неверные управляющие сигналы.

• При работе над системой управления ракетой программист переводил рукописные математические формулы в компьютерный код. Символ «верхнего тире» (индекса), он воспринял за обычное тире (или знак минус). Функция сглаживания стала отражать нормальные вариации скорости ракеты как критические и недопустимые. Однако даже допущенная ошибка могла не привести к критическому сбою, но как назло антенна ракеты потеряла связь с наводящей системой на Земле, и управление взял на себя бортовой компьютер.



• А вот еще одна история, которая привела к блэкауту в США: маленькая ошибка в программном обеспечении системы мониторинга работы оборудования General Electric Energy привела к тому, что 55 миллионов человек остались без электричества. На Восточном побережье США оказались обесточены жилые дома, школы, больницы, аэропорты.

14 августа 2003 года в 0:15 ночи оператор энергетической системы в Индиане с помощью инструмента мониторинга работы оборудования заметил небольшую проблему. Проблема вызвала раздражающий сигнал об ошибке, который оператор выключил. Оператору удалось за несколько минут решить все трудности, но он забыл перезапустить мониторинг — аварийный сигнал остался в выключенном положении.

• Отключение сигнала не стало основной причиной блэкаута. Но когда через несколько часов из-за контакта с деревом вырубились провисшие линии электропередачи в Огайо — об этом никто не узнал. Проблема приняла лавинообразный характер, перегруженные линии передачи и электростанции начали вырубаться в Нью-Йорке, Нью-Джерси, Мичигане и далее.

• Ни один из операторов не заметил каскад ошибок, которые медленно убивали энергосистему, из-за единственного выключенного сигнала тревоги — никаких дублирующих систем на этот случай не предполагалось. Официально сумма ущерба составила не менее $6 млрд. Такие дела...

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM