Хотфикс бага на проде... в пятницу 🫠

#Юмор

☝ Факты о Linux: помощь в развитии Linux от крупнейших IT-компаний.

• Многие считают, что Linux - это нечто, созданное и поддерживаемое энтузиастами-одиночками на чистом энтузиазме. Но на самом деле ведущие ИТ-компании не только используют Linux в своей работе, но и активно участвуют в его разработке. Команды разработчиков IBM, Intel, Samsung, Google, Facebook, Amazon, Microsoft занимаются улучшением Linux и открытых компонентов его экосистемы.

• Давайте возьмем, к примеру, IBM. Компания использует Linux на своих мейнфреймах, суперкомпьютерах и облачных платформах. IBM также разрабатывает собственный дистрибутив для корпоративных клиентов – Red Hat Enterprise Linux (RHEL), который приобрела вместе с компанией Red Hat за $34 миллиарда в 2019 году.

• Что касается Intel, то они регулярно добавляют в Linux поддержку новых функций своих процессоров, оптимизируют производительность и безопасность. Многие подсистемы ядра, связанные с энергосбережением, виртуализацией, обработкой графики, были разработаны именно специалистами Intel.

• ОС Android (Google) построена на базе модифицированного ядра Linux. Команда Google вносит огромный вклад в основную ветку разработки Linux. Такие функции ядра, как cgroups (механизм изоляции и ограничения ресурсов), поддержка модели векторных вычислений SIMD, используемой в машинном обучении, и многое другое было разработано инженерами Google.

• Даже Microsoft, которая долгое время считалась главным конкурентом и критиком Linux, в последние годы кардинально изменила свое отношение. Сейчас Microsoft активно использует Linux в своем облаке Azure, разрабатывает собственный дистрибутив CBL-Mariner и вносит изменения в ядро для лучшей совместимости Linux с Windows.

• Этот список можно продолжать долго. Практически все крупные ИТ-компании так или иначе вовлечены в разработку Linux и открытого ПО. Они понимают, что сотрудничество и обмен наработками выгодны всем, ведь чем лучше и стабильнее будет Linux - тем больше пользы получит вся отрасль.

• Конечно, у каждой компании свои интересы и своё видение развития Linux. Иногда эти интересы сталкиваются, и возникают конфликты. Но в целом, благодаря усилиям корпоративных разработчиков, Linux становится всё более зрелой, функциональной и удобной системой, способной решать самые сложные задачи современного цифрового мира.

#Разное

📚 Бесплатная книга: The 100-Year QA-Textbook.

• Сразу отмечу, что данная книга подойдёт для любой специальности в IT, даже для безопасников! Не смотрите на то, что в названии есть QA и анонсировали её именно для тестировщиков. А теперь ближе к делу:

➡Книга содержит 42 модуля (130 занятий), 42 набора онлайн-тестов, 700+ страниц базовых знаний;
➡Интерактивный - более 40 наборов встроенных тестов (если не прошел тест, то к следующей теме не перейти) и 40 ДЗ;
➡Полностью на русском языке;
➡Полностью бесплатная.

• Содержание книги очень объемное. Вот некоторые темы и модули:

➡Реляционные базы данных;
➡SQL запросы;
➡Команды ОС Linux и файловая система;
➡Как устроены сети;
➡HTTP, URL, JSON, API;
➡Архитектура серверного ПО;
➡Docker, Git и еще десятки разных тем...

➡ Книга доступна по этой ссылке: https://mentorpiece.org/100/

• P.S. У авторов есть и другие качественные учебники, но они более узконаправленные. Загляните, может найдете для себя что-нибудь полезное: https://mentorpiece.org/textbook/

#Разное #QA

👩‍💻 Бесплатный курс по изучению языка Go (Golang).

• Go — популярный языка программирования, который высоко ценится этичными хакерами за его простоту, эффективность и надежность. Если у Вас есть потребность в изучении данного языка, то держите бесплатный курс для начинающих. Подойдет для тех, кто не имеет опыта в программировании. В курс входят 42 урока, 110 тестов и 45 интерактивных задач: https://stepik.org/course/100208/promo

• А еще на сайте издательства "Питер" есть крутая книга - Black Hat Go: Программирование для хакеров и пентестеров. Бумажную версию этой книги я разыграю в ближайшем розыгрыше 🔥

#Go

👨‍💻 Art of Post-Exploitation.

• Steps;
• Perspective;
• Command and Control (C2) Techniques;
• Persistence Techniques;
• Credential Access Techniques;
• Privilege Escalation Techniques;
• Lateral Movement Techniques;
• Stories:
➡RedJuliett APT;
➡UNC3886 VMware Attacks;
➡Mustang Panda’s Korplug Loader;
➡MuddyWater RMM Abuse;
➡POLONIUM’s Python Backdoor;
➡Credential Access Techniques;
➡Exfiltration Techniques;
➡Evasion Techniques;
➡Security Researcher.

#Пентест

👩‍💻 Linux в автомобильной индустрии.

• Что из себя представляет современный автомобиль? Это, по сути, настоящий дата-центр на колесах! В типичном люксовом автомобиле установлено более 100 электронных блоков управления (ECU), отвечающих за все аспекты работы машины – от управления двигателем и торможением до мультимедиа и навигации. И все больше производителей выбирают Linux для работы этих систем.

• Такие гиганты автопрома, как Toyota, Honda, Ford, Jaguar Land Rover, Audi, Mercedes-Benz, Hyundai и многие другие, используют Linux в своих информационно-развлекательных системах, цифровых приборных панелях, телематических модулях и системах помощи водителю (ADAS).

• Почему Linux стал так популярен в автопроме? Причин несколько:

➡Гибкость и возможность кастомизации. Производители могут адаптировать Linux под свои нужды, добавлять нужные драйверы, оптимизировать производительность и потребление энергии.

➡Богатая экосистема ПО. Для Linux доступны тысячи готовых приложений и библиотек с открытым кодом, которые можно использовать для построения автомобильных систем – от графических интерфейсов до сетевых стеков и алгоритмов компьютерного зрения.

➡Безопасность и надежность. Linux имеет превосходную репутацию в плане безопасности и устойчивости к сбоям. Для автомобильных систем, от которых зависит жизнь людей, эти факторы критически важны. Linux позволяет реализовать многоуровневую защиту и изоляцию критически важных компонентов.

➡Поддержка со стороны чипмейкеров. Ведущие производители автомобильных чипов, такие как Intel, NVIDIA, Qualcomm, NXP и Texas Instruments, предоставляют оптимизированные версии Linux и готовые программно-аппаратные платформы на базе своих чипов. Это облегчает разработку и интеграцию Linux-систем в автомобиле.

➡Сотрудничество и стандартизация. Автопроизводители совместно разрабатывают открытые стандарты и платформы на базе Linux. Примером является проект GENIVI Alliance, в котором участвуют более 140 компаний, работающих над стандартизацией Linux-платформы для информационно-развлекательных систем автомобилей.

• Одним из самых продвинутых примеров использования Linux в автомобиле является электрокар Tesla Model S. Его 17-дюймовый сенсорный дисплей и практически все бортовые системы работают на специализированной версии Linux. Tesla активно использует открытые компоненты, такие как графический стек Wayland, браузерный движок WebKit, фреймворк Qt и многое другое. При этом компания сама вносит улучшения в открытые проекты и делится наработками с сообществом.

• Другой известный пример — информационно-развлекательная система AGL (Automotive Grade Linux), разрабатываемая консорциумом Linux Foundation. AGL — это открытая платформа на базе Linux, которая предоставляет унифицированный набор интерфейсов и сервисов для автомобильных приложений. AGL используется в автомобилях Toyota, Mazda, Mercedes-Benz, Suzuki и др.

• С учетом того, что автономные автомобили не за горами, роль Linux в автопроме будет только возрастать. Вполне возможно, что ваш следующий автомобиль будет управляться той же ОС, что и ваш смартфон или умная колонка))

#Разное #Linux

👩‍💻 Техническая история Kubernetes: секреты создателя.

• Эта история от первого ведущего архитектора проекта, Брайана Гранта, который постил в Twitter серию тредов о технической истории проекта. Он рассказал о появлении разных фичей в K8s и логике, которая стояла за принятием отдельных решений.

• В честь юбилея оркестратора Брайан собрал все твиты в одну статью. Это её перевод, из которого вы узнаете, как появились контроллеры рабочих нагрузок, декларативная модель ресурсов, descheduler и многое другое:

➡️ https://habr.com/ru/post/851176/

#Kubernetes

👩‍💻 Как создавалось ядро Linux.

• В далёком 2013 году один из разработчиков Microsoft детально объяснил, в чём главные технические проблемы при разработке ядра Windows NT. Спустя десять лет Windows 10/11 работает на том же ядре, а многие старые проблемы так и остались нерешёнными.

• Хотя в ряде задач Windows превосходит Linux, но в большинстве тестов она на порядок медленнее. По словам разработчика, это отставание усугубляется, а причина «социальная». Суть в том, как организован процесс разработки, внесения изменений в ОС. Если в мире опенсорса это открытый процесс, который несёт пользу и улучшает систему, то в мире корпоративного ПО зачастую изменения вносятся по причинам эгоизма, желания продвижения по карьерной лестнице, славы и т.д. Всё это ведёт к деградации продукта.

• Один из студенческих товарищей Линуса Торвальдса вспоминает ранние дни Linux, как всё начиналось. С исторической точки зрения в воспоминаниях Ларса Вирцениуса много интересных фактов. Они дают понять, под влиянием каких концепций создавалось ядро Linux. Сообщество Open Source — это абсолютно другой мир, который кардинально отличается от корпоративной разработки.

• Ларс познакомился с Линусом Торвальдсом на первом курсе в университете Хельсинки, тогда же они получили доступ к серверу Unix и случайно обнаружили на нём Usenet, когда по ошибке ввели команду rn вместо rm (подробнее вот тут). После службы в армии в 1990 году ребята взяли курс обучения по C и программированию Unix, что включало в себя изучение архитектуры ядра Unix. Ларс и Линус также заинтересовались и изучили устройства ядра других ОС, таких как QNX и Plan 9.

• В январе 1991 года Линус купил свой первый ПК и сутками зависал в Prince of Persia, а позже приобрёл ОС MINIX, потому что с университета привык к Unix и хотел установить на домашнем компьютере похожую систему.

• Когда Линус наконец прошёл игру, он начал изучать ассемблер и в качестве эксперимента реализовал программу с многозадачностью. Затем начал понемногу писать ядро, добавляя функцию за функцией. Например, однажды он случайно запустил HDD вместо модема, так что в загрузочный сектор записалась инструкция ATDT с номером университетской BBS — после этого Линус прописал в ядре права доступа к файлам. Так и шёл процесс. Постепенно появлялась и другая функциональность. Во время рождественских каникул 1991 года после сессии Линус реализовал виртуальную память, и т. д.

• Ядро Linux было написано студентами под сильным влиянием Unix. В августе 1991 года Линус впервые упомянул о своём проекте в эхоконференции comp.os.minix. Первоначально система называлась Freax. В 1992 году вышел первый дистрибутив Softlanding Linux System (SLS), а также под Linux была портирована система X11, что сильно повлияло на популярность Linux.

• Когда Линус программировал на рабочем ПК, его раздражала медлительность машины — и он потратил целый день, чтобы переписать на ассемблере парсер командной строки в ядре (потом его переписали обратно на С). А потом Линус несколько дней играл в Quake, выдавая это за стресс-тест управления памятью ядра.

• Так или иначе, но разработчики Linux изначально ориентировались на производительность, они писали на С и ассемблере, и в общем это была цельная, мощная концепция. Наверное, в этом одно из отличий с ядром Windows NT, над которым работают тысячи программистов в корпорации Microsoft, не имея единого видения.

• Весной 1994 года работа над ядром Linux была в основном закончена, так что Ларс организовал торжественную презентацию Linux 1.0 с приглашением прессы:

➡ https://youtu.be/qaDpjlFpbfo

• На презентации 30 марта 1994 года Линус Торвальдс пошутил, что коммерческая лицензия на Unix стоит так дорого, что проще написать собственную операционную систему.

#Linux

🟧Как обнаружить атаку на AD, когда не видно ничего подозрительного?

Изучите техники и методики атак на инфраструктуру Active Directory!

Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать 😎 Стартуем 18 августа!

🟧 Регистрация

Содержание курса:
🟧 AD-сети с миксом Windows/Linux
🟧 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🟧 Захват и укрепление позиций внутри инфраструктуры
🟧 Применение и анализ популярных эксплоитов

Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

🟧🟧🟧 Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

🚀 @Codeby_Academy

⚠️ Первая DoS-атака.

• Мало кто знает, что первая DOS-атака была организована еще в 1974 году! Это событие произошло в Университете Иллинойса, одним из студентов, который вывел из строя c помощью простого скрипта 31 PLATO-терминал (Programmed Logic for Automated Teaching Operations — первая система электронного обучения, соединенная общей компьютерной сетью), (на фото).

• Студент распространял команду «ext», отвечавшую за подключение внешних устройств к терминалу. Если при обработке запроса они не были обнаружены, система зависала, и продолжить работу можно было только после перезагрузки. Эта шалость была вызвана простым любопытством, но стала она первым в истории зафиксированным случаем DoS-атаки.

• Разработчики PLATO исправили ошибку в том же году. Кстати, есть мнение, что атаку нельзя считать dinial-of-service в силу природы PLATO-терминалов. Также похожие «уязвимости» к тому времени уже отмечали и для других систем.

#Разное

👩‍💻 Обфускация PowerShell.

• В базах антивирусов содержатся миллионы сигнатур, однако трояны по-прежнему остаются в хакерском арсенале. Даже публичные и всем известные варианты полезных нагрузок Metasploit, разновидностей RAT и стиллеров могут остаться незамеченными. Как? Благодаря обфускации! Даже скрипт на PowerShell можно спрятать от любопытных глаз антивируса.

• Этот репозиторий содержит тонну полезных техник, примеров и теории на тему ручной обфускации скриптов PowerShell. Ну и что самое главное, содержимое этого репо является результатом проб и ошибок автора, который имеет огромный опыт в проведении тестов на проникновение.

➡ https://github.com/t3l3machus/PowerShell-Obfuscation-Bible

#PowerShell

👩‍💻 Проверка безопасности Docker образов с помощью Trivy.

• Trivy — это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:

➡Безопасность образов контейнеров;
➡Безопасность базового образа;
➡Обнаружение уязвимостей пакетов;
➡Всесторонняя поддержка баз данных об уязвимостях;
➡Интеграция с контейнерной оркестровкой;
➡Интеграция с конвейером CI/CD;
➡Обнаружение неправильной конфигурации;
➡Сканирование на нескольких уровнях;
➡Быстрое сканирование.

• Материал по ссылке ниже будет отличным примером, как пользоваться данным инструментом. По сути, у нас будет готовая мини инструкция по установке и использованию:

➡️ Читать статью [10 min].

#Docker #Trivy

• А Вы знали, что в 1970-х годах дизайн китайских компьютеров и клавиатуры кардинально отличался от того, каким был на заре компьютерных технологий? Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY, а если говорить о клавишах-модификаторах, то это вообще была целая наука. Мы привыкли к тому, что, грубо говоря, а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.

• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.

• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.

• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.

• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.

➡️ https://spectrum.ieee.org/chinese-keyboard

#Разное

• Ранее публиковал пост, где в двух словах описан процесс проведения ремонтных работ поврежденных подводных кабелей, которые прокладывают на дне морей и океанов. Так вот, я нашел очень большой и красиво оформленный лонгрид о людях, которые выполняют данную работу. Пролистать стоит даже просто ради эстетического удовольствия.

➡ https://www.theverge.com/internet-cables-undersea-deep-repair-ships

#Разное