📶 Обход SSH Keystroke Obfuscation.

• В OpenSSH версии 9.5 были добавлены меры предотвращения keystroke timing‑атаки за счет анализа трафика. Патч включал добавление обфускации таймингов нажатий клавиш в клиенте SSH. Согласно информации о релизе, эта функция «пытается скрыть тайминги между нажатиями за счет отправки трафика взаимодействия через фиксированные интервалы времени (по умолчанию — 20 мс), когда отправляется малое количество данных». Также отправляются фейковые chaff‑пакеты после последнего нажатия, что значительно усложняет анализ трафика, скрывая реальные нажатия среди потока искусственных пакетов. Эта функция может настраиваться с помощью опции ObscureKeystrokeTiming в конфигурации SSH.

• Автор этой статье исследовал влияние использования анализа задержек между нажатиями клавиш для определения отправляемых внутри сессии SSH команд клиентом в рамках моей бакалаврской диссертации. В ходе этого он обнаружил способ обхода этого метода обфускации, работающий вплоть до текущего релиза. Подробное описание способа описано в этой статье: https://crzphil.github.io/posts/ssh-obfuscation-bypass/

➡️ Источник и перевод материала на русский язык.

#SSH

📶 Бесплатный курс по Компьютерным сетям. Климанов М. М.

• Очень хороший курс по компьютерным сетям для начинающих. Если по каким-то причинам Вам не подходит курс от Андрея Созыкина (на мой взгляд это лучший курс на данную тему), то попробуйте начать изучение этого курса:

➡️ Плейлист со всеми лекциями на YT.

• P.S. Не забывайте по наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network/

#Курс #Сети

🔒 NebulaEncrypt - Chrome Extension for Secure Local Encryption on the Web.

• Автор этого репозитория решил еще больше обезопасить свои сообщения в Telegram и закодил плагин для локального шифрования для Telegram Web.

• Идея такая, отправлять не явные сообщения, а локально зашифрованные и далее плагин на лету их расшифровывает непосредственно на клиенте. Тем самым, даже если сервер скомпрометируют, то там можно будет найти только ваши закодированные сообщения, которые зашифрованы локальным ключем.

• Плагин больше, как концепция, интересно было попробовать насколько это может быть удобно. Так то можно использовать не только в телеге, но и в других мессенджерах, главное написать адаптер.

➡ https://github.com/dmitrymalakhov/NebulaEncrypt

#Privacy

👨‍💻 История хакера, взломавшего Пентагон и NASA в 15 лет.

• Пост выходного дня: история жизни хакера, Джонатана Джонса, которому удалось проникнуть на серверы НАСА, взломать Пентагон, похитить программное обеспечение, управляющее МКС, и установить бекдор на серверах одного из американских военных ведомств. И все это в 15 летнем возрасте... Приятного чтения:

➡️ Читать статью [10 min].

#Разное

Доброе утро... 🫠

#Понедельник

👩‍💻 Бесплатный практический курс по Bash.

• Набор встроенных команд bash (и его аналогов sh, zsh, etc) совместим с любым POSIX-совместимым приложением в #Linux, что позволяет встроить в ваш bash-скрипт любое совместимое приложение. Это дает очень большой набор возможностей в сфере автоматизации рутинных задач администрирования систем Linux, деплоя и сборки приложений, различных пакетных обработок, в том числе аудио и видео.

• Суть bash-скриптов — записать все ваши действия в один файл и выполнять их по необходимости. Благодаря этому курсу Вы освоите написание bash-скриптов с нуля и получите представление, какую пользу можно из них извлечь:

• Start Learning Bash;
• Create and Run Your First Bash Shell Script;
• Understanding Variables in Bash Shell Scripting;
• Passing Arguments to Bash Scripts;
• Using Arrays in Bash;
• Using Arithmetic Operators in Bash Scripting;
• String Operations in Bash;
• Decision Making With If Else and Case Statements;
• Loops in Bash;
• Using Functions in Bash;
• Automation With Bash.

#bash #Курс

🔌 Microsoft будет использовать энергию АЭС для питания своего ЦОД.

• В Июне рассказывал Вам об интересном проекте "Natick" от Microsoft, суть которого заключалась в реализации подводного ЦОДа. Смысл проекта был в экономии на охлаждении и аренде земли (дата-центры потребляют значительное количество электричества — порядка 3,5% мирового энергопотребления. Примерно 15-20% энергии уходит на охлаждение оборудования).

• Так вот, недавно Microsoft заключила договор с компанией Constellation Energy, которая владеет закрытой атомной электростанцией Three Mile Island в Пенсильвании. В рамках соглашения майки будут использовать энергию одного из расконсервированных реакторов для питания дата-центра, который обслуживают ИИ-проекты.

• Реактор должен заработать в 2028 году. Его переименуют в Crane Clean Energy Center. Мощность реактора (837 МВт) будет эксклюзивно направляться Microsoft в течение 20 лет.

• Constellation направит на восстановление реактора $1,6 млрд, когда получит разрешение на расконсервацию у Комиссии по ядерной регламентации США, правительства штата и местных регуляторов, а также лицензию на управление АЭС до 2054 года.

• Также Microsoft планирует использовать для своих дата-центров энергию небольших ядерных реакторов. Пока в мире насчитывается три малых модульных ядерных реактора: в России и в Китае, а третий в стадии экспериментальной эксплуатации находится в Японии. Вот такие дела...

#Новости #Разное

📶 Nsntrace: захват трафика определенного приложения в Linux.

• Если перед нами стоит задача получить дамп трафика конкретного приложения в Linux, то мы можем воспользоваться утилитой Nsntrace. С помощью создания виртуальных интерфейсов и отдельного сетевого пространства имён, тулза запустит нужное нам приложение, и выполнит трассировку трафика только для него используя libpcap. Результат работы будет сохранен в отдельный файл, который можно будет прочитать любой стандартной утилитой, умеющей в pcap.

➡ https://github.com/nsntrace/nsntrace

#network #pcap

«Всем спасибо, было весело». Ком в горле при виде этого сообщения: основатель Флибусты Стивер объявил о закрытии проекта и одновременно своём смертельном диагнозе. В комментариях на форуме — шок и бесконечная благодарность за проект.

Флибуста — знаковый и важный проект для Рунета. 15 лет благодаря Флибусте я, вы и миллионы других людей могли найти книгу, которой часто нет даже на легальных ресурсах.

Буду рад сделать большой донат на оплату серверов, если кто-то из Флибусты выйдет на связь.

Шокировала лично новость, обязательно проверяйте своё здоровье, друзья, и берегите себя❤️

👨‍💻 DevOops 2023.

• На YT появились доклады с DevOops 2023 - конференции по инженерным решениям и DevOps-культуре. Список докладов следующий:

• Security:
- GitOps с точки зрения безопасности;
- Как мы захотели автоматизировать Vault CE и во что его в итоге превратили;
- Безопасность контейнеров в 2023 году. Тренд или необходимость? (VK / VK Cloud);
- Токсичные репозитории. Что сейчас происходит с open source?
- Network Policy для разработчиков: как, зачем и почему;
- Прорастить или насадить? Руководство по выращиванию политик безопасной разработки;
- (Не)стандартный подход к моделированию Supply Chain Attack;
- Безопасность: консультативная vs запрещающая;
- Защищаем Kubernetes при помощи StackRox — дешево, сердито, эффективно?
- Security для бедных без ущерба для DevEx.

• K8s:
- Очумелые ручки: делаем свой Helm Chart Repository из подручных средств;
- Скрывая Kubernetes: подходы к конфигурированию;
- Stateful в K8s, которого мы боимся;
- Использование Helm без написания Helm-чартов;
- Сказка о рулевом и прорехах в пиджаке: как защитить K8s;
- Через тернии к Kubernetes operators;
- Побег из курятника контейнера;
- 7 раз отмерь, а потом переделай: как мы храним сетевые политики;
- Развертывание инфраструктуры в облаках с NOVA Container Platform.

#DevOps #Kubernetes

🌥 Зарождение облачных технологий. С чего все начиналось?

• Шестьдесят один год назад, в 1963 году, Управление перспективных исследовательских проектов (DARPA), действующее, как известно, в интересах Министерства обороны США, выделило Массачусетскому технологическому институту грант в размере двух миллионов долларов на очень интересную разработку. Она получила наименование Project on Mathematics and Computation, сокращенно — Project MAC, хотя к «макам» (в современном понимании), никакого отношения не имела.

• Целью исследователей, группу которых возглавили ученые-кибернетики Роберт М. Фано и Фернандо Хосе Корбато, стала разработка принципиально новой системы разделения времени, предназначенной для организации совместного доступа к ресурсам электронно-вычислительных машин нескольким удаленным пользователям. Причина интереса к подобным технологиям со стороны военного ведомства, в общем-то, очевидна: компьютеры в те времена были дорогими, и их насчитывалось относительно мало, а потребность в вычислениях росла стремительными темпами.

• В основу Project MAC легла созданная Фернандо Хосе Корбато за несколько лет до этого экспериментальная система Corbato Compatible Time-Sharing System (CTSS), которая позволяла пользователям нескольких подключенных к ЭВМ терминалов обращаться к одной и той же работающей на такой машине программе. Код CTSS переработали и усовершенствовали, в результате чего уже через полгода 200 пользователей в десяти различных лабораториях MIT смогли подключиться к одному компьютеру и централизованно запускать на нем программы. Это событие можно считать отправной точкой в истории развития облачных технологий, поскольку в рамках данного эксперимента был реализован основной лежащий в их основе принцип — многопользовательский режим доступа по требованию к общим вычислительным ресурсам.

• К 1969 году на основе проекта MAC компании Bell Laboratories и General Electric создали многопользовательскую операционную систему с разделением времени Multics (Multiplexed Information and Computing Service), в фундаменте которой лежали заложенные учеными MIT принципы. Помимо организации доступа к приложениям, Multics обеспечивала совместное использование файлов, а также реализовывала некоторые функции безопасности и защиты данных от случайного повреждения. Именно на основе этой системы в ноябре 1971 года Кен Томпсон создал первую версию UNIX, на долгие годы ставшую самой востребованной многопользовательской операционной системой в мире.

• Можно сказать, что с момента появления UNIX в истории развития облачных технологий на некоторое время наступило затишье, поскольку эта система полностью соответствовала требованиям как многочисленных коммерческих предприятий, так и учебных заведений, где она использовалась в образовательном процессе. Затишье продлилось ровно до тех пор, пока в самой Bell Laboratories не решили заменить UNIX более современной ОС, ориентированной в первую очередь на совместное использование аппаратных и программных ресурсов.

• Это решение стало еще одним шагом к развитию современных облачных технологий. Новая система Plan 9, разработкой которой занималась команда создателей UNIX во главе с Кеном Томпсоном, позволяла полноценно работать с файлами, файловыми системами и устройствами вне зависимости от того, на каком подключенном к сети компьютере они расположены физически. Де-факто, эта ОС превращала всю компьютерную сеть в одну глобальную многопользовательскую вычислительную систему с общими ресурсами, доступ к которым осуществлялся по требованию и в соответствии с правами пользователей — то есть, фактически, в некое подобие современного «облака».

• Следующим важным шагом в эволюции облачных систем стало появление виртуальных машин. Но об этом мы поговорим немного позже....

#Разное