• Недавно были поведены итоги соревнований ZeroDay Cloud, проведённых на конференции Black Hat Europe и нацеленных на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. В ходе соревнований было продемонстрировано 11 ранее неизвестных уязвимостей в Redis, PostgreSQL, MariaDB, ядре Linux и Grafana. Размер выплаченных вознаграждений составил 320 тыс. баксов при общем заявленном призовом фонде в $4.5 млн.
• По правилам соревнований участники должны были продемонстрировать рабочие эксплоиты для ранее неизвестных уязвимостей. В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений были размещены на GitHub.
• Продемонстрированные атаки:
➡ Пять атак на СУБД Redis, которые привели к удалённому выполнению кода при аутентифицированном доступе (пять премий в $30 000).
➡ Три атаки на СУБД PostgreSQL, которые привели к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000).
➡ Атака на СУБД MariaDB, которая привела к удалённому выполнению кода при аутентифицированном доступе (три премии $30 000).
➡ Удалённое выполнение кода в платформе визуализации данных Grafana при аутентифицированном доступе к интерфейсу ($10 000).
➡ Атака на ядро Linux, позволившая выйти из изолированного контейнера в Ubuntu ($40 000).
➡ Две попытки атаки на vLLM и Ollama оказались неуспешными, так как участникам не удалось уложиться в отведённое время.
• Победителем объявлена команда Team Xint Code, которая смогла взломать Redis, PostgreSQL и MariaDB, благодаря чему ребята смогли забрать 90 тысяч долларов. Самое забавное, что все найденные уязвимости, которые нашли Team Xint Code, были выявлены при помощи AI-анализатора Xint Code.
• Невостребованной осталась наиболее крупная премия в 300 тысяч долларов, назначенная за взлом nginx, а также премии размером 100 тысяч долларов, предложенные за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB при неаутентифицированном доступе. Заявки также не поступили на взлом Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins и GitLab CE.
• Подробности о характере уязвимостей пока не сообщаются. В соответствии с условиями конкурса детальная информация о всех продемонстрированных уязвимостях передана разработчикам проблемных проектов и будет опубликована после выпуска производителями обновлений с устранением уязвимостей.
➡️ https://www.wiz.io/wiz-zeroday-cloud-hacking
#Новости #CTF
• По правилам соревнований участники должны были продемонстрировать рабочие эксплоиты для ранее неизвестных уязвимостей. В категории "виртуализация" эксплоиты должны позволять выйти за пределы изолированного контейнера или виртуальной машины, а в остальных категориях привести к удалённому выполнению своего кода. Настройки взламываемых приложений были размещены на GitHub.
• Продемонстрированные атаки:
• Победителем объявлена команда Team Xint Code, которая смогла взломать Redis, PostgreSQL и MariaDB, благодаря чему ребята смогли забрать 90 тысяч долларов. Самое забавное, что все найденные уязвимости, которые нашли Team Xint Code, были выявлены при помощи AI-анализатора Xint Code.
• Невостребованной осталась наиболее крупная премия в 300 тысяч долларов, назначенная за взлом nginx, а также премии размером 100 тысяч долларов, предложенные за взлом Apache Tomcat, Redis, PostgreSQL и MariaDB при неаутентифицированном доступе. Заявки также не поступили на взлом Docker, Containerd, Envoy, Caddy, NVIDIA Container Toolkit, Kubernetes API Server, Kubelet Server, Prometheus, Fluent Bit, Apache Airflow, Jenkins и GitLab CE.
• Подробности о характере уязвимостей пока не сообщаются. В соответствии с условиями конкурса детальная информация о всех продемонстрированных уязвимостях передана разработчикам проблемных проектов и будет опубликована после выпуска производителями обновлений с устранением уязвимостей.
#Новости #CTF
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥17👍4
• Нашёл очень содержательный гайд, в котором автор подробно объясняет, какими знаниями вам нужно обладать, чтобы начать путь в DevOps с нуля.
• Помимо информации о том, что и где изучать, гайд содержит дотошный чек-лист для проверки знаний на Junior DevOps! А еще там есть актуальная информация, на какую сумму можно расчитывать при трудоустройстве, если иметь определенный пул знаний. В общем и целом, материал крайне полезный:
➡️ Читать гайд [30 min].
• P.S. Помимо гайда там еще есть крутой Roadmap, который является самым подробным в рунете (по заявлению автора). Обязательно изучите, если данная тема для вас интересна.
➡️ DevOps Roadmap 2025.
#DevOps
• Помимо информации о том, что и где изучать, гайд содержит дотошный чек-лист для проверки знаний на Junior DevOps! А еще там есть актуальная информация, на какую сумму можно расчитывать при трудоустройстве, если иметь определенный пул знаний. В общем и целом, материал крайне полезный:
• P.S. Помимо гайда там еще есть крутой Roadmap, который является самым подробным в рунете (по заявлению автора). Обязательно изучите, если данная тема для вас интересна.
#DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥19
• Уверен, что многие из вас знают и использовали тулзы SysInternals (Winternals) для администрирования и диагностики Windows! Эти инструменты известны с незапамятных времён. Но не каждый в курсе, что эти незаменимые инструменты написаны вовсе не компанией Microsoft. Скорее наоборот, они написаны вопреки её желанию.
• Все эти инструменты, количество которых составляет более 60, написал Марк Руссинович. Он доказал, что в одиночку способен интеллектуально продавить мегакорпорацию. И той придётся заплатить ему огромные деньги, и даже взять на работу. Потому что повторить его программы Microsoft не сумела…
• Началось всё в 1996 году Марк вместе с Брайсом Когсвеллом соучредили компанию Winternals Software, где Руссинович занимал должность главного архитектора программного обеспечения. Одновременно был запущен сайт sysinternals.com, на котором напарники написали и опубликовали десятки популярных утилит. Все программы поначалу были бесплатными.
• Можно сказать, что утилиты Winternals выставили Microsoft в невыгодном свете. Все ясно увидели, какой функциональности сильно не хватает в операционной системе, каких настроек там нет, что сделано коряво по дефолту. И удивительно, что все эти косяки продемонстрировал по сути один программист. Фактически, Марк знал ядро Windows и умел программировать лучше, чем тысячи разработчиков редмондской корпорации.
• Большинство утилит в базовой версии распространялись бесплатно, но компания продавала профессиональные версии этих инструментов, а также отдельный коммерческий софт для восстановления данных.
• В общей сложности Марк с Брайсом написали более 65 утилит. Судя по всему, даже после основания компании и найма джуниоров они работали ведущими программистами и писали часть кода.
• Сейчас Microsoft продолжает поддержку и обновление многих из этих инструментов, и даже выпускает версии под Linux.
• В июле 2006 года Microsoft купила Winternals Software и все её активы. Марк объявил эту новость в своём блоге и пояснил, что продолжает распространение утилит из комплекта Sysinternals до тех пор, пока Microsoft против этого не возражает.
• Однако не всё пошло гладко. Сразу после сделки с Microsoft с сайта была удалена утилита NT Locksmith для восстановления "забытых" паролей Windows. Вероятно, юристы посчитали, что её можно использовать для взлома, то есть для несанкционированного доступа к компьютерной информации, за что предусмотрена статья в УК.
• Первоначально Марк Руссинович получил должность технического специалиста в подразделении платформ и сервисов Microsoft, в сферу которого входит разработка ядра Windows. Со временем его таланты проявились более очевидно - и к 2014 году он дорос до технического директора в Microsoft Azure.
• Эта история показывает, что большой успех может начинаться с очень маленького дела - одной или простой утилитки, написанной буквально за вечер. Так было и с Winamp, хотя о гениальности Франкеля не идёт и речи, потому что достаточно было набросать GUI и портировать под Windows готовый плеер. Однако с Марком Руссиновичем совершенно другая история. Он действительно проявил себя как высококлассный системный программист, заработал уважение миллионов системных администраторов, которые до сих пор используют его утилиты каждый день. Подобное уважение миллионов людей и собственный талант всегда легко конвертировать в деньги, если есть такое желание.
• Кстати, Брайс Когсвелл уволился в 2010-м, а Марк Руссинович до сих пор работает в Microsoft. Что касается инструментов, то скачать их можно по этой ссылке: https://learn.microsoft.com/en-us/sysinternals/downloads
#Разное
• Все эти инструменты, количество которых составляет более 60, написал Марк Руссинович. Он доказал, что в одиночку способен интеллектуально продавить мегакорпорацию. И той придётся заплатить ему огромные деньги, и даже взять на работу. Потому что повторить его программы Microsoft не сумела…
• Началось всё в 1996 году Марк вместе с Брайсом Когсвеллом соучредили компанию Winternals Software, где Руссинович занимал должность главного архитектора программного обеспечения. Одновременно был запущен сайт sysinternals.com, на котором напарники написали и опубликовали десятки популярных утилит. Все программы поначалу были бесплатными.
• Можно сказать, что утилиты Winternals выставили Microsoft в невыгодном свете. Все ясно увидели, какой функциональности сильно не хватает в операционной системе, каких настроек там нет, что сделано коряво по дефолту. И удивительно, что все эти косяки продемонстрировал по сути один программист. Фактически, Марк знал ядро Windows и умел программировать лучше, чем тысячи разработчиков редмондской корпорации.
• Большинство утилит в базовой версии распространялись бесплатно, но компания продавала профессиональные версии этих инструментов, а также отдельный коммерческий софт для восстановления данных.
• В общей сложности Марк с Брайсом написали более 65 утилит. Судя по всему, даже после основания компании и найма джуниоров они работали ведущими программистами и писали часть кода.
• Сейчас Microsoft продолжает поддержку и обновление многих из этих инструментов, и даже выпускает версии под Linux.
• В июле 2006 года Microsoft купила Winternals Software и все её активы. Марк объявил эту новость в своём блоге и пояснил, что продолжает распространение утилит из комплекта Sysinternals до тех пор, пока Microsoft против этого не возражает.
• Однако не всё пошло гладко. Сразу после сделки с Microsoft с сайта была удалена утилита NT Locksmith для восстановления "забытых" паролей Windows. Вероятно, юристы посчитали, что её можно использовать для взлома, то есть для несанкционированного доступа к компьютерной информации, за что предусмотрена статья в УК.
• Первоначально Марк Руссинович получил должность технического специалиста в подразделении платформ и сервисов Microsoft, в сферу которого входит разработка ядра Windows. Со временем его таланты проявились более очевидно - и к 2014 году он дорос до технического директора в Microsoft Azure.
• Эта история показывает, что большой успех может начинаться с очень маленького дела - одной или простой утилитки, написанной буквально за вечер. Так было и с Winamp, хотя о гениальности Франкеля не идёт и речи, потому что достаточно было набросать GUI и портировать под Windows готовый плеер. Однако с Марком Руссиновичем совершенно другая история. Он действительно проявил себя как высококлассный системный программист, заработал уважение миллионов системных администраторов, которые до сих пор используют его утилиты каждый день. Подобное уважение миллионов людей и собственный талант всегда легко конвертировать в деньги, если есть такое желание.
• Кстати, Брайс Когсвелл уволился в 2010-м, а Марк Руссинович до сих пор работает в Microsoft. Что касается инструментов, то скачать их можно по этой ссылке: https://learn.microsoft.com/en-us/sysinternals/downloads
#Разное
3❤54👍25🔥18
• 35 лет назад, 20 декабря 1990 года, Тим Бёрнерс-Ли (на фото) запустил первый в истории веб-сайт.
• Сайт был создан для Европейского центра ядерных исследований (ЦЕРН), который находится в Швейцарии. Сначала ресурс не был публичным, а его первыми посетителями стали сотрудники ЦЕРН. На этом сайте опубликовали описание новой технологии
• Именно с того момента и началась история веба. Если хотите посмотреть на саймый первый в мире сайт, то он доступен по ссылке: https://info.cern.ch
#Разное
• Сайт был создан для Европейского центра ядерных исследований (ЦЕРН), который находится в Швейцарии. Сначала ресурс не был публичным, а его первыми посетителями стали сотрудники ЦЕРН. На этом сайте опубликовали описание новой технологии
World Wide Web, основанной на протоколе передачи данных HTTP, системе адресации URL и языке гипертекстовой разметки HTML. Там же объяснялись принципы установки и работы серверов и браузеров, технические детали для создания веб-страницы и инструкции по поиску информации в интернете. 6 августа 1991 года технология стала доступна всем пользователям интернета.• Именно с того момента и началась история веба. Если хотите посмотреть на саймый первый в мире сайт, то он доступен по ссылке: https://info.cern.ch
#Разное
1🔥41
• Чат-боты в смартфонах уже стали обычным делом, а вот старая аналоговая техника с ИИ обычно не дружит. Исправить ситуацию взялся один из пользователей Reddit. Он "прокачал" старую пишущую машинку, превратив винтажное устройство в необычного ИИ-помощника.
• Основой аппаратной платформы проекта стал одноплатник Raspberry Pi Zero, а "мозгом" - нейросеть Claude. Для общения с ИИ запрос нужно напечатать на клавиатуре пишущей машинки, после чего чат-бот выдаст "бумажный" ответ. Чтобы реализовать эту функцию, энтузиаст создал механизм, имитирующий фантомные нажатия при помощи Arduino.
• Часть электроники пришлось вынести на корпус устройства, чтобы не мешать работе печатающего механизма. Подробную инструкцию по сборке "аналогового чат-бота" автор проекта опубликовал в своём блоге.
#Оффтоп #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
14🔥51
⚡️ Храните бэкапы и логи выгодно:
в S3 Selectel появился новый класс хранилища — ледяное.
📦Минимальная стоимость хранения и Erasure Coding — оптимально для редко используемых файлов.
Протестируйте хранилище и перенесите данные в S3 Selectel по акции «миграционные каникулы»: у вас будет 30 дней бесплатного использования входящих запросов и хранилища.
Создавайте заявку и пользуйтесь: https://slc.tl/5yvxu
Реклама. АО "Селектел". erid:2W5zFGZ23dA
в S3 Selectel появился новый класс хранилища — ледяное.
📦Минимальная стоимость хранения и Erasure Coding — оптимально для редко используемых файлов.
Протестируйте хранилище и перенесите данные в S3 Selectel по акции «миграционные каникулы»: у вас будет 30 дней бесплатного использования входящих запросов и хранилища.
Создавайте заявку и пользуйтесь: https://slc.tl/5yvxu
Реклама. АО "Селектел". erid:2W5zFGZ23dA
🤡10👍5❤4
• Очень крутое и актуальное, на текущий момент времени, пошаговое руководство по созданию собственного сервиса для видео и аудиозвонков, что позволит оставаться на связи с семьей в любой момент времени.
• По итогу мы получаем решение, которое:
➡ Работает из одного бинарника — скачал, запустил, работает. Нужен Root, чтобы биндить порты <10K, можете собрать из сорцов (предложения по выпиливанию необходимости рута приветствуются);
➡ Автоматически настраивается — сертификаты, ключи, TURN-сервер всё генерируется само;
➡ Работает за NAT — встроенный TURN-сервер обеспечивает соединение даже в сложных сетевых условиях;
➡ Шифрует всё, кроме TURN — HTTPS + DTLS-SRTP для полной защиты;
➡ Не требует внешних зависимостей — всё работает локально на вашем сервере;
➡ Дешёвое в эксплуатации — нужен только домен (~500₽/год) и VPS (~200₽/месяц).
• Вся необходимая информация по реализации такого решения есть на хабре и на github.
#Разное #Связь
• По итогу мы получаем решение, которое:
• Вся необходимая информация по реализации такого решения есть на хабре и на github.
#Разное #Связь
Please open Telegram to view this post
VIEW IN TELEGRAM
8👍19❤11🔥3😁2⚡1💩1
• Месяц назад в университете Юты (США) была обнаружена магнитная лента с надписью "UNIX Original From Bell Labs V4" (фото 1). Предположительно, она датирована 1973 годом. Чтобы вы понимали, Unix V4 - это одна из первых версий ОС, переписанных на языке C, что сделало систему переносимой между разными машинами. Впоследствии это позволило развивать Linux, macOS и Android, а архитектура Unix до сих пор лежит в основе большинства современных ОС. До последнего момента считалось, что оригинальная V4 утеряна...
• Так вот, на сайте
• Обычно ленты 70-х страдают от деградации оксидного слоя и "осыпания" носителя, поэтому их приходится буквально запекать при низкой температуре, чтобы стабилизировать материал перед чтением. Кроме того, проблема кроется в формате данных, который мог быть уникальным у каждого разработчика. Но не смотря на все трудности, специалистам удалось восстановить образ и получить данные.
• Профессор-исследователь Роб Риччи из Школы вычислительной техники Университета Юты, который и нашёл ленту, опубликовал фотографии и видео процесса чтения ленты, а также несколько обновлений. Исследователь университета Майк Хиблер отметил, что код был создан до знаменитого высказывания "You are not expected to understand this", и обнаружил часть компилятора
#Разное
• Так вот, на сайте
Archive.org появилась страница с восстановленным цифровым образом найденной ленты Bell Labs. Данные удалось прочитать в Исследовательском архиве Шустека Музея компьютерной истории в Калифорнии. Работу выполнил Эл Коссоу с помощью модифицированного устройства (фото 2). Берлинский энтузиаст ретрокомпьютинга создал страницу с содержимым ленты, готовым к загрузке, "включая tar-архив файловой системы", а также инструкциями по копированию образа диска RK05 с ленты на диск и дальнейшими действиями.• Обычно ленты 70-х страдают от деградации оксидного слоя и "осыпания" носителя, поэтому их приходится буквально запекать при низкой температуре, чтобы стабилизировать материал перед чтением. Кроме того, проблема кроется в формате данных, который мог быть уникальным у каждого разработчика. Но не смотря на все трудности, специалистам удалось восстановить образ и получить данные.
• Профессор-исследователь Роб Риччи из Школы вычислительной техники Университета Юты, который и нашёл ленту, опубликовал фотографии и видео процесса чтения ленты, а также несколько обновлений. Исследователь университета Майк Хиблер отметил, что код был создан до знаменитого высказывания "You are not expected to understand this", и обнаружил часть компилятора
C с авторскими правами 1972 года. Такие дела...#Разное
4🔥79👍19❤18⚡3