Доброе утро... 🫠

#Понедельник

👩‍💻 Проверка безопасности Docker образов с помощью Trivy.

• Trivy — это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:

➡Безопасность образов контейнеров;
➡Безопасность базового образа;
➡Обнаружение уязвимостей пакетов;
➡Всесторонняя поддержка баз данных об уязвимостях;
➡Интеграция с контейнерной оркестровкой;
➡Интеграция с конвейером CI/CD;
➡Обнаружение неправильной конфигурации;
➡Сканирование на нескольких уровнях;
➡Быстрое сканирование.

• Материал по ссылке ниже будет отличным примером, как пользоваться данным инструментом. По сути, у нас будет готовая мини инструкция по установке и использованию:

➡️ Читать статью [10 min].

#Docker #Trivy

• А Вы знали, что в 1970-х годах дизайн китайских компьютеров и клавиатуры кардинально отличался от того, каким был на заре компьютерных технологий? Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY, а если говорить о клавишах-модификаторах, то это вообще была целая наука. Мы привыкли к тому, что, грубо говоря, а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.

• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.

• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.

• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.

• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.

➡️ https://spectrum.ieee.org/chinese-keyboard

#Разное

• Ранее публиковал пост, где в двух словах описан процесс проведения ремонтных работ поврежденных подводных кабелей, которые прокладывают на дне морей и океанов. Так вот, я нашел очень большой и красиво оформленный лонгрид о людях, которые выполняют данную работу. Пролистать стоит даже просто ради эстетического удовольствия.

➡ https://www.theverge.com/internet-cables-undersea-deep-repair-ships

#Разное

📶 Computer Networking Fundamentals.

• Каждый день тысячи людей используют SSH для подключения к серверам, домашним ПК, роутерам и смартфонам. SSH-клиенты есть для всех сколько-нибудь популярных платформ, а сервер SSH встраивают даже в умные лампочки.

• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Всем начинающим для прочтения строго обязательно.

➡️ https://iximiuz.com/en/posts/ssh-tunnels/

• В дополнение: Практические примеры SSH.

➡SSH socks-прокси;
➡SSH через сеть Tor;
➡SSH к инстансу EC2;
➡Установка VPN по SSH;
➡Обратный прокси SSH;
➡Обратный SSH-туннель;
➡SSH-туннель на третий хост;
➡Прыжки по хостам с SSH и -J;
➡Двухфакторная аутентификация;
➡Копирование ключа SSH (ssh-copy-id);
➡Туннель SSH (переадресация портов);
➡Потоковое видео по SSH с помощью VLC и SFTP;
➡Удалённое выполнение команд (неинтерактивно);
➡SSH Escape для изменения переадресации портов;
➡SSH Escape для изменения переадресации портов;
➡Мультиплексирование SSH с помощью ControlPath;
➡Удалённый перехват пакетов и просмотр в Wireshark;
➡Удалённые приложения GUI с переадресацией SSH X11;
➡Удалённое копирование файлов с помощью rsync и SSH;
➡Блокировка попыток брутфорса SSH с помощью iptables;
➡Копирование локальной папки на удалённый сервер по SSH;
➡Монтирование удалённого SSH как локальной папки с SSHFS;
➡Редактирование текстовых файлов с помощью VIM через ssh/scp;

#SSH #Сети

🌍 55 лет назад в комнате №3420 родился интернет.

• 55 лет назад, 29 октября 1969 года, аспирант Чарли Клайн, сидя за терминалом ITT Teletype, осуществил первую цифровую передачу данных для Билла Дюваля, учёного, сидевшего за другим компьютером, находившимся с Стэнфордском исследовательском институте, совершенно в другой части Калифорнии. Так началась история ARPANET, небольшой сети из академических компьютеров, ставшей предшественницей интернета.

• Нельзя сказать, что в то время этот краткий акт передачи данных прогремел на весь мир. Даже Клайн и Дюваль не смогли полностью оценить своё достижение. Однако их связь стала доказательством реалистичности концепции, которая в итоге обеспечила доступ практически ко всей информации мира для любого человека, владеющего компьютером.

➡️ https://www.fastcompany.com/90423457/

#Разное

🔐 Шифруем переписку: OpenKeychain.

• Как обеспечить передачу конфиденциальной информации через недоверенную сеть — интернет, где каждый, начиная провайдером и заканчивая администратором почтового сервера, может перехватить и прочитать передаваемую информацию?

• Если Вы используете Android, обратите внимание на приложение OpenKeychain, которое имеет открытый исходный код, проверенный компанией Cure53 на безопасность, прозрачно интегрируется с почтовым клиентом K-9 Mail, Jabber-клиентом Conversations и даже может передавать зашифрованные файлы в приложение EDS (Encrypted Data Store). Всё что нужно - это сгенерировать ключ и правильно передать его тому с кем мы хотим осуществить обмен информацией.

➡Домашняя страница;
➡GitHub;
➡F-Droid;
➡4PDA.

#Шифрование

🔐 Безопасность в сети.

• На мой скромный взгляд есть два ключевых сервиса для проверки объекта на вшивость. Первый и самый главный, наша опора и надежа – Virus Total. Этот сервис проверит файл по сигнатурам более чем в 40 баз данных. Куда там одному жалкому антивирусу! На втором этапе из файла будет извлечена вся метадата, чтобы мы могли проанализировать все цифровые составляющие нашего объекта. После этого сервис проверит, как ведет себя пациент в условиях живой природы (это я говорю про виртуальные машины) и даст полный отчет о всех попытках закрепиться в системе или выйти на связь с внешним миром.

• Вторым номером является Intenzer. Он умеет не только защищать ресурсы, но и не хуже справляться с задачами по препарированию файлов. Объектами могут стать не только файлы и url-ссылки, но и запущенные процессы прямо на вашей машине, а также дампы памяти и многое другое. Intenzer осуществляет поиск по известным CVE-уязвимостям, а также высылает алерты в случае обнаружения непотребства. Еще в системе есть интересные новостные ленты с самыми хайповыми на данный момент угрозами.

• Обязательно пользуйтесь этими двумя сервисами и ваша жизнь станет гораздо безопаснее!

#ИБ

✉ Как электронная почта в 90-х приживалась в бизнесе и обществе.

• Многие из Вас знают, что почта появилась задолго до интернета: первые электронные сообщения начали отправлять еще в 1965 году на суперкомпьютерах IBM. Для этого использовали команду write на операционной системе Unix, а в Tenex приписывали послания к концу отправляемого файла. Передача сообщений происходила в рамках одного компьютера, а позже — локальной сети, но само общение на компьютере больше расценивалось как развлечение.

• В конце 60-х компьютеры считались машинами исключительно для вычислений, а поговорить можно было по телефону или устроив личную встречу. Но даже спустя тридцать лет, когда интернет уже захватывал умы, находились люди, которые продолжали считать так же.

• Технологии развивались. Когда в США появился ARPANET, который начал объединять десятки компьютеров в одну сеть, потребовался общий протокол, который сделает отправку и получение электронных писем стандартным для всех устройств. Так появился SMTP, который используют до сих пор.

• К концу 80-х компьютеры стали достаточно мощными, чтобы между ними можно было постоянно обмениваться электронными письмами. Почта закреплялась как формат общения в сети. Для нее начали делать графические клиенты — так появился Elm, а за ним TUI, Mutt, Pine и другие. Их продолжали делать ученые, но с расчетом на технически менее продвинутую публику.

• В 1993 Всемирная паутина, которая объединила научные сети в одну, становится открытой для всех. Интернет начинают заполнять сайты, доски объявлений, форумы, но для большинства пользователей еще несколько лет он будет оставаться недоступным: скорости входа в сеть еще было недостаточно. Зато общение через электронную почту, которая была встроена как услуга у первых интернет-провайдеров, было популярной точкой входа в киберпространство.

• Один из них — America Online (AOL). После подключения к сети по диалап-модему всплывает стартовое окно со встроенным почтовым ящиком и чатом. При появлении нового письма приходило голосовое уведомление “You've got mail” — такое же узнаваемое для американских пользователей начала 90-х, как для нас звук нового сообщения в ICQ.

• Несмотря на то что стандарты отправки писем уже были, провайдеры и хостинги использовали разные шлюзы. Например, у CompuServe не было имен — только цифры, который достались в наследство от старой архитектуры. Общаясь внутри сети, вы могли слать письма на, например, 71543,310. Но если вы хотели отправить письмо с того же AOL, то нужно было указать шлюз и убрать запятую: [email protected]. Для тех лет проблема с разными форматами почтовых имен встречалась достаточно часто. The New York Times обращал внимание, что даже простые адреса могли казаться «написанными по-марсиански: [email protected]».

• Когда доступ к интернету стал дешевле, а модемы — чуть быстрее, то вход в браузер перестал быть проблемой. Появилась веб-почта, одной из первых была HotMail — она была бесплатной и удобной для пользователя. Это серьезно упрощало доступ к обмену почтой: не нужно было разбираться с командными строками, операционными системами и общаться через ящик своего провайдера.

• Спустя несколько лет HotMail выкупит Microsoft и позже превратит его в Outlook. Эта сделка станет знаковой и для РФ: один из создателей Mail.ru, Алексей Кривенков, вдохновится продажей и начнет делать свою почтовую службу.

• К концу 90-х университеты и крупные корпорации обмениваются письмами наравне с бумажными документами. Первые юзеры интернета активно заводят ящики в бесплатных службах Hotmail и RocketMail либо продолжают пользоваться ящиками своих провайдеров. Популярность общения в сети растет.

• СМИ называли этот тренд интернет-манией: сеть начала захватывать умы не только обычных юзеров, но и бизнеса. В 1993 году интернет привлекал по 150 тысяч пользователей ежемесячно, а к 1994 году почтой пользовались от 40 до 50 млн человек, из которых 16 млн — команды и бизнес.

#Разное

👨‍💻 Перейди по ссылке, и я узнаю твой номер.

• В цифровую эпоху уже никто не удивляется, когда ему названивают с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.

• Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных.

• В этой статье автор описывает кликджекинг-сервисы, которые пытаются получить сторонние cookies у зашедшего на страницу пользователя, чтобы затем проверить их у своих партнёров. Если у этого партнёра по переданным куки-файлам будет привязан номер телефона, то дело сделано, ваш номер найден.

• И всё вроде здорово, ведь по такой схеме, чтобы защититься от сбора ваших данных, пользователю можно просто запретить сторонние cookies... Но увы, не всё так просто, тут, как всегда, есть несколько очень важных нюансов:

➡ Читать статью [7 min].

#Разное

👩‍💻 Linux в Голливуде.

• Студии, занимающиеся компьютерной графикой и спецэффектами – такие как Industrial Light and Magic, Pixar, Weta Digital, DreamWorks Animation, широко используют Linux для рендеринга финальных кадров фильмов. Этот процесс требует огромных вычислительных мощностей и может занимать для одного фильма месяцы или даже годы машинного времени. Для обработки столь масштабных задач студии используют так называемые рендер-фермы – кластеры из сотен или тысяч серверов, работающих параллельно. И подавляющее большинство этих серверов работает под управлением Linux.

• Студии могут тонко настроить ОС под свои нужды, оптимизировать производительность и при этом не тратить огромные средства на лицензии, ведь Linux бесплатен. Более того, многие ключевые приложения для 3D-моделирования, анимации и рендеринга, такие как Blender, Houdini, Foundry Nuke, Autodesk Maya и другие, имеют нативные версии для Linux или даже разрабатываются изначально под эту ОС.

• Так что когда вы в следующий раз будете смотреть последний блокбастер от Marvel, Star Wars или Pixar, знайте – без Linux его создание было бы невозможно. Те самые захватывающие дух визуальные эффекты, которыми славится современный кинематограф – результат работы тысяч серверов под управлением этой ОС.

#Разное #Linux

👨‍💻DEF CON 32.

• Технологии взлома не стоят на месте. Благодаря «белым» хакерам системы безопасности успевают идти с ними в ногу — но далеко не всегда. Современный мир наполнен уязвимостями — даже лампа накаливания может превратиться в микрофон, а крыса — в кучера, а карета — в тыкву, так что смотрим свежие доклады, которые были представлены в этом году на DEF CON 32 и впитываем тонну полезной информации:

➡️ https://www.youtube.com/@DEFCON

#Конференция

• Мне иногда кажется, что схема с компьютерными "мастерами" (‎домушниками) будет актуальна еще очень долгое время... На этот раз жертвой стала жительница Сибири, которая нашла листовку с рекламой у себя в почтовом ящике и вызвала "специалиста", чтобы тот починил ей два компьютера. По итогу пенсионерке объявили счёт в 865 тысяч рублей за чистку от грязи и пыли, замену термопасты и переустановку операционной системы. Пенсионерка растерялась, не смогла отказать и передала "мастеру" затребованную сумму, составлявшую почти все ее сбережения.

• Но закончилось вроде все хорошо. Когда мастер ушёл почти с миллионом рублей, женщина поняла, что её обманули и пошла в полицию. По итогу мошенника удалось найти и потребовать возмещение материального ущерба. В настоящее время расследование завершено, мужчина ожидает суда, ему может грозить лишение свободы сроком до шести лет. Вот такие дела...

➡️ Источник.

#Новости