🚀 Копипаста, которая не дала полететь в космос.

• Это история про ошибку, стоимость которой можно оценить в семь миллиардов долларов и 10 лет работы. Ведь именно столько было потрачено на разработку ракеты Ariane 5.

• Ракета Ariane 5 — европейская одноразовая ракета-носитель. Она предназначена для вывода на околоземную орбиту средних или тяжёлых космических аппаратов. В создании ракеты принимали участие около тысячи промышленных фирм. Всё шло хорошо, однако не прошло и 40 секунд после взлёта, как ракета взорвалась. Это произошло 4 июня 1996 года.

• На высоте 4000 метров Ariane 5 отклонилась от прямой траектории и самоуничтожилась. 13 июня 1996 года специально созданная комиссия приступила к расследованию крушения, а уже 19 июля был обнародован её исчерпывающий доклад.

• Если кратко, то ошибка была со стороны разработчиков. Они скопировали код из управляющей программы предыдущей модели ракеты, которая успешно взлетала больше сотни раз. Однако они не учли, что Ariane 4 летела по другой траектории и с другой горизонтальной скоростью.

• Подробнее об этом кейсе вы можете почитать в заметке "Космическая ошибка: 370.000.000 $ за Integer overflow", а видео результата такой ошибки можно посмотреть на видео: https://youtu.be/PK_yguLapgA

#Разное

Доброе утро...🫠

#Понедельник

👩‍💻 Attacking Golang.

• В последние годы Golang распространяется всё шире и шире. Он известен своей простотой, эффективностью и высокой производительностью. Однако, как и любой язык программирования, неправильные методы разработки могут привести к уязвимостям безопасности. В этой статье описаны возможные проблемы безопасности и рекомендации по безопасной разработке.

• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.

#Go #devsecops

🌍 Минитель: интернет до интернета.

• В 70-х телефонная сеть Франции была в руинах: прокладка одной местной линии занимала до трёх лет, а коммутаторы были ручными. Это значит, что прежде чем парижанин мог поговорить со своими родственниками в Марселе, ему нужно было пройти через телефонистку.

• Для справки, в то же время американская AT&T прокладывала новую линию за три дня, а коммутаторы были автоматическими. Посредники для связи между абонентами не требовались.

• Между тем, по всей Европе набирает популярность Видеотекс: разработка британской почтовой службы, эта клавиатура-терминал подключалась к телефонной сети и по запросу выводила на экран телевизора информацию из автоматизированных баз данных: погода, котировки акций, новости и афиши.

• В то же время французов сильно беспокоит монополия американской IBM на всё, что связано с коммуникациями. Так же, как сегодня им страшно, что Google убьёт французскую культуру, в 70-е они боялись IBM. Так появляется Минитель: Франция создаёт свой стандарт Видеотекса.

• К 1984 году более 6 миллионов французов использовали Минитель на повседневной основе: читали новости, переписывались, покупали билеты на поезда. Не отличались они от сегодняшних пользователей Сети и в главном: большую часть трафика занимали чаты для взрослых.

• Государственная телефонная компания 'France Télécom' раздавала терминалы бесплатно всем желающим. Расчёт был простым: со временем такой подход поможет сэкономить на дорогой печати телефонных книг. Да и при цене в 1 франк за минуту, технология быстро себя окупала.

• В 90-е, на пике популярности, Минитель насчитывал 7 миллионов терминалов и 25 миллионов активных пользователей — половина тогдашнего населения Франции. Для сравнения, 25 миллионов — общее количество пользователей сети Интернет в 90-е годы. По всему миру.

• Что можно было делать с помощью терминала Минитель? На самом деле, всё, что угодно, если это можно транслировать в текстовый интерфейс. Помимо уже упомянутых банковских сервисов или заказа еды на дом, люди даже умудрялись играть друг с другом в текстовые РПГ.

• Минитель не покинул Францию быстро:
- В 2007 технология всё ещё приносила 100 млн. долларов ежегодно;
- В 2010-м — уже половину этой суммы, причём большая часть прибытков шла на обслуживание провайдеров;
- В 2012 году Минитель прикрыли, но энтузиасты пользуются им и сегодня. Всё благодаря маленькой коробочке под названием MiniMit.

• MiniMit содержит электронную карту, которая подключается к сети Wi-Fi с одной стороны и к разъему DIN Minitel с другой, создавая тем самым мост между старыми и новыми технологиями.

• Этот мини-Минитель содержит десяток старых сервисов: телефонный справочник, игры, гороскопы, новости, и т.д. Настоящее возвращение в 80-е.

➡ Рекомендую к ознакомлению страницу MiniMit на Ulule (французский аналог Кикстартера) — там можно подробно посмотреть, как всё работает: https://fr.ulule.com/minimit/

#Разное

• 402 Тбит/с — новый рекорд скорости интернета через оптоволокно. Таких результатов добились ученые национального института информационно-коммуникационных технологий Японии.

• Ученые использовали множество усилителей, чтобы достичь общей пропускной способности в 37,6 THz. Это более чем в 100 тыс. раз выше, чем позволяет WiFi 7.

➡️ Более подробная информация об исследовании описана вот тут: https://www.nict.go.jp/en/press/2024/06/26-1.html

#Разное #Новости

🐍 Python для сетевых инженеров.

• В книге рассматриваются основы #Python с примерами и заданиями построенными на сетевой тематике. Задача книги – объяснить понятным языком основы Python и дать понимание необходимых инструментов для его практического использования. Всё, что рассматривается в книге, ориентировано на сетевое оборудование и работу с ним. Все примеры показываются на примере оборудования Cisco, но, конечно же, они применимы и для любого другого оборудования.

• Основы Python:
- Подготовка к работе;
- Использование Git и GitHub;
- Начало работы с Python;
- Типы данных в Python;
- Создание базовых скриптов;
- Контроль хода программы;
- Работа с файлами;
- Полезные возможности и инструменты.

• Повторное использование кода:
- Функции;
- Полезные функции;
- Модули;
- Полезные модули;
- Итераторы, итерируемые объекты и генераторы.

• Регулярные выражения:
- Синтаксис регулярных выражений;
- Модуль re.

• Запись и передача данных:
- Unicode;
- Работа с файлами в формате CSV, JSON, YAML.

• Работа с сетевым оборудованием:
- Подключение к оборудованию;
- Одновременное подключение к нескольким устройствам;
- Шаблоны конфигураций с Jinja2;
- Обработка вывода команд TextFSM.

• Основы объектно-ориентированного программирования:
- Основы ООП;
- Специальные методы;
- Наследование.

• Работа с базами данных:
- Работа с базами данных.

• Дополнительная информация:
- Модуль argparse;
- Форматирование строк с оператором %
- Соглашение об именах;
- Подчеркивание в именах;
- Проверка заданий с помощью утилиты pyneng;
- Проверка заданий с помощью pytest.

• Продолжение обучения:
- Написание скриптов для автоматизации рабочих процессов;
- Python для автоматизации работы с сетевым оборудованием;
- Python без привязки к сетевому оборудованию.

#Книга

✈️ Фейковая точка доступа в самолете.

• В Австралии мужчина реализовал схему с поддельным Wi-Fi на авиарейсе, чтобы собирать пароли, учетные и персональные данные пассажиров.

• Авиакомпания заподозрила неладное и написала в полицию. Мошенника быстро задержали и изъяли у него портативный роутер, ноутбук и мобильный телефон. Когда дошло до обысков в доме, оказалось, что это далеко не первый случай.

• Мужчину обвинили во владении личными данными в корыстных целях. В настоящее время обвиняемый отпущен под залог, но ему запретили осуществлять некоторые действия в интернете. Вот такие дела...

➡️ https://www.afp.gov.au/

#Новости

🔐 Реальная криптография.

• Весьма интересная книга по криптографии появилась в продаже у издательства Питер, а на хабре даже опубликовали одну из 12 глав: https://habr.com/ru/post/825934/

• Так вот, суть этого поста заключается в том, что я бы хотел разыграть парочку таких книг (в бумажном формате) между подписчиками этого канала. Розыгрыш будет без каких либо условий (т.е. подписываться на другие каналы не потребуется), нужно будет только принять участие и все.

• Если идея хорошая, то жмите на огонек🔥 и уже на этой неделе я организую конкурс (ориентировочно в субботу или воскресение).

• P.S. Книга отлично зайдет пентестерам, ИБ-консультантам, ИБ-инженерам, ИБ-архитекторам и прочим специалистам по информационной безопасности.

• P.S.S. Если Вам зайдет такой формат, то будем проводить такие конкурсы чаще и разыгрывать прикольные книги для ИБ специалистов.

#Криптография #Конкурс

📶 How Container Networking Works: a Docker Bridge Network From Scratch.

• Вероятно, что это самое понятное руководство, которое описывает работу контейнеров с сетью. Слева читаете, копируете команды, а справа наблюдаете за консолью:

➡️ https://labs.iximiuz.com/tutorials/container-networking-from-scratch

#Docker #Сети

💾 MenuetOS. Операционка, которая помещается на дискету.

• Давайте расскажу об операционной системе, которая существует с 2005 года, а её объем настолько мал, что она помещается на дискете. Как говорит нам «Википедия», MenuetOS не основана ни на Unix, ни на стандарте POSIX, ни на какой-либо другой операционной системе; задача проекта — исключить дополнительные уровни между различными частями ОС, которые обычно усложняют программирование и порождают баги.

• Эта ОС предназначена для написания приложений на 32-битном и 64-битном ассемблере x86, поскольку в результате программы получаются, как правило, более быстрые, более компактные и менее требовательные к ресурсам.

• Вот основные особенности системы:

- Вытесняющая многозадачность, многопоточность, защита памяти Ring3;
- Графический интерфейс (разрешение до 1920 × 1080, 16 миллионов цветов);
- Окна приложений произвольной формы, их прозрачность и настраиваемость при помощи скинов, функция drag’n’drop;
- Встроенное ПО: графический редактор Draw, медиапроигрыватель MediaPlayer, браузер (от разработчиков MenuetOS), FTP-клиент, программа для работы с электронной почтой, Necromancer's Dos Navigator (аналог «Проводника»); умеет запускать игры через эмуляцию DOS;
- Интегрированная среда разработки: редактор, макроассемблер для сборки ядра и приложений;
- Cтек TCP/IP с драйверами loopback, ethernet и PPP;
- Сетевые приложения включают в себя серверы FTP/HTTP/SMTP и клиенты IRC/HTTP/NNTP/TFTP;
- Выборка данных в реальном времени;
- Помещается на одной дискете в неупакованном виде;
- Для запуска MenuetOS достаточно 16 Мб памяти и видеокарты, поддерживающей стандарты VESA 1.2 или 2.0, при этом реализована поддержка 32 Гб оперативной памяти;
- Возможность русификации.

• Неплохо, правда? И всё это — в объёме дистрибутива, который в 2024 году кажется невозможно маленьким. Разработчики следят за проектом, не бросают его и периодически обновляют. А для желающих ознакомиться с MenuetOS, был подготовлен ISO-образ, который можно записать на флешку и вообще куда угодно.

• Кстати, отдельно стоит вспомнить о совместимости ОС с большим количеством более-менее современных аксессуаров, расширений и т. п. для компьютеров. Это, конечно, клавиатуры, мыши, веб-камеры, принтеры, сканеры, сетевые устройства. В операционной системе реализована поддержка USB 2.0, а в интернет можно выходить благодаря поддержке Ethernet. В общем, все условия для работы и игр (правда, ретро).

➡ https://www.menuetos.net

#Разное

👩‍💻 60 Linux Commands.

• Отличный видеоматериал, который содержит описание и примеры команд Linux для начинающих: https://youtu.be/gd7BXuUQ91w

• Ну, а если захотите продолжить изучение или освежить свои знания, то не забывайте про полезные руководства:

- Руководство по командам Linux.
- Краткий справочник по «всем-всем» командам Linux.
- Интерфейс командной строки Linux.

#Linux

🧄 Общее введение в I2P.

• I2P, или Invisible Internet Project, — это на сегодняшний день самая анонимная сеть. Здесь мы можем ходить по сайтам и пользоваться сервисами, не раскрывая сторонним лицам ни байта своей информации.

• I2P построен по принципу оверлея, то есть анонимный и защищенный слой работает поверх другой сети — интернета. Одна из главных особенностей I2P — децентрализованность. В этой сети нет серверов DNS, их место занимают автоматически обновляемые «адресные книги». А роль адресов играют криптографические ключи, никак не выдающие реальные компьютеры. Каждый пользователь проекта может получить свой ключ, который невозможно отследить.

• Многие пользователи часто задаются вопросом, зачем использовать I2P, когда есть VPN и #Tor. Если сравнивать I2P с браузером Tor, можно выделить следующие различия:

- Tor использует «луковую» маршрутизацию, отправляя твой трафик через знаменитые восемь прокси, но при этом сам по себе никак не защищает от расшифровки. I2P, наоборот, опирается на шифрование трафика;
- Tor — большой любитель SOCKS, тогда как I2P предпочитает использовать собственный API. Что удобнее — решать тебе.
- Туннели I2P однонаправленные в отличие от Tor.
- Tor хоть и обладает свойствами пиринговой сети, но при этом централизованный. I2P полностью децентрализован.

• Это лишь основные отличия I2P от Tor. Но даже исходя только из них можно смело заявить о том, что I2P — более безопасный и анонимный вариант.

• Если вы никогда не сталкивались с I2P, эта статья — начало вашего пути к по-настоящему приватной и анонимной коммуникации; если вы бывалый энтузиаст скрытых сетей, этот обзор наверняка заполнит пробелы и поможет упорядочить уже имеющиеся знания. Содержание следующее:

- Отличие традиционной сети от скрытой;
- Базовое понимание криптографии;
- Общие принципы работы I2P;
- Построение туннелей;
- Модель взаимодействия;
- Практическое использование;
- Разработка протокола;
- Сравнение с другими сетями;
- Послесловие.

➡️ https://habr.com/ru/articles/552072/

#i2p #Анонимность

👩‍💻 Powershell для пентестера.

• Интересный набор быстрых команд на Powershell:

- Захват нажатий клавиш;
- Извлечение профилей и паролей Wi-Fi;
- Извлечение сохраненных паролей браузера;
- Работа с сетью и выгрузка конфигураций;
- Выгрузка системной информации;
- Подробная выгрузка информации запущенных процессов;
- Доступ к журналам событий;
- Выполнение скриптов с указанного URL-адреса;
- Мониторинг изменений файловой системы;
- Отключение Защитника Windows....

➡️ https://redteamrecipe.com/powershell-tips-tricks

• Дополнительно:

- Awesome PowerShell — большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.;
- Windows PowerShell 5 — мини-курс описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10 [часть 1], [часть 2].
- PowerShell Security — полезная книга по безопасности PowerShell, которая была переведена нашим подписчиком с английского языка;
- PowerShell Commands for Pentesters — еще одна полезная статья, где описаны различные команды для пентестеров и ИБ специалистов.

#Powershell

• Новости к этому часу: На одном из хакерских форумов появилась компиляция из 10 млрд. уникальных паролей. Файл под названием rockyou2024.txt был опубликован 4 июля пользователем ObamaCare (скриншот выше).

• Объем файлика составляет 45 гб в архиве (156 гб без архива). Некоторые ребята уже начали качать и скоро зальют на торрент. Когда появится ссылочка, я обязательно репостну ее в канал или дополню данный пост 🔥

#Новости

RockYou2024
Архив весит 45 гб
Распакованный 156 гб

Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip

Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g

🌚 @poxek