• Доброе утро...🫠

#Понедельник

• Очень крутое и актуальное, на текущий момент времени, пошаговое руководство по созданию собственного сервиса для видео и аудиозвонков, что позволит оставаться на связи с семьей в любой момент времени.

• По итогу мы получаем решение, которое:

➡Работает из одного бинарника — скачал, запустил, работает. Нужен Root, чтобы биндить порты <10K, можете собрать из сорцов (предложения по выпиливанию необходимости рута приветствуются);
➡Автоматически настраивается — сертификаты, ключи, TURN-сервер всё генерируется само;
➡Работает за NAT — встроенный TURN-сервер обеспечивает соединение даже в сложных сетевых условиях;
➡Шифрует всё, кроме TURN — HTTPS + DTLS-SRTP для полной защиты;
➡Не требует внешних зависимостей — всё работает локально на вашем сервере;
➡Дешёвое в эксплуатации — нужен только домен (~500₽/год) и VPS (~200₽/месяц).

• Вся необходимая информация по реализации такого решения есть на хабре и на github.

#Разное #Связь

🔑 Сертификаты TLS/SSL и инфраструктура открытых ключей.

• Вышло новое видео от Андрея Созыкина, которое продолжает тему защищенных сетевых протоколов. В новом материале по протоколу TLS Андрей рассказывает об аутентификации - подтверждении подлинности сервера (а иногда и клиента), к которому происходит подключение.

• Аутентификация нужна для защиты от MITM (Man-in-the-Middle) атак, когда кто-то перехватывает все наши сообщения, передает их от своего имени серверу, а ответы сервера пересылает нам. При перехвате злоумышленник может прочитать и изменить все сообщения.

• Как проверить подлинность удаленного сервера? Для этого можно применить асимметричное шифрование, но не так, как мы рассматривали ранее. Если зашифровать сообщение закрытым ключом сервера, то расшифровать его можно будет только открытым ключом. Такой алгоритм называется цифровой подписью (на самом деле все устроено несколько сложнее, но технические детали нам пока не важны). Если клиент с помощью открытого ключа смог расшифровать цифровую подпись, сделанную закрытым ключом сервера, то клиент может быть уверен, что сообщение действительно отправил сервер.

• Но далее возникает следующая проблема – как узнать, что открытый ключ действительно принадлежит серверу, а не злоумышленнику? Для этого нужен третий участник – удостоверяющий центр (Certificate authority). Именно удостоверяющий центр подтверждает подлинность открытого ключа сервера. Для этого создается сертификат TLS/SSL, в котором есть открытый ключ сервера и цифровая подпись удостоверяющего центра. Если клиент доверяет удостоверяющему центру, то он может быть уверен в подлинности открытого ключа сервера.

• Для масштабирования на уровень интернет удостоверяющие центры организованы в иерархию - инфраструктуру открытых ключей (Public Key Infrastructure). Клиентам нужно настроить доверие только с корневыми удостоверяющими центрами, с остальными доверие будет проверено автоматически.

➡ https://youtu.be/0kavXRgQ2G0

#Сети

📞 Как устроены мобильные номера.

• Начнем с истории. Самые первые телефоны были предназначены только для конкретных домов и соединялись непосредственно напрямую. Так как прокладывать связь дорого, их использовали либо правительственные органы либо богатые люди. Так как телефония начинает активно развиваться почти сразу же приходит мысль, что соединять телефоны напрямую не разумно, гораздо лучше иметь центр, к которому подключены множество телефонов и данный центр может переключать вас с телефоном, по его номеру. Так появляются телефонистки, которые вручную переключает вас по номеру телефона.

• Так собственно и появляется самая первая нумерация в Англии, США и т.д. Но в самом начальном этапе нумерация была децентрализована, не существовало никого стандарта номеров телефонов, как правило это были трехзначные номера, например 867, так как телефонов было довольно мало. И совсем немного времени проходит как уже телефонные линии покрываются почти повсеместно, но так как каждая страна ведет собственную нумерацию, нет возможности позвонить за рубеж, тогда то и возникает идея создание единого стандарта, которому подчинялись бы все люди мира, чтобы у каждого человека был свой уникальный номер, по которому можно дозвониться.

• E.123 и E.164 именно под такими номерами Международный Консультационный Комитет по Телефонии и Телеграфии разработал рекомендации согласно которым мы устанавливаем номера и по сей день. Первое правило, все номера в международном формате, без исключения начинаются со знака +.

• После знака + идут следующие цифры, которые указывают страну, что и называется кодом страны. Длина может доходить до 6 цифр, но как правило это занимает одну две или три цифры. Основная идея заключается в том, чтобы каждой стране раздать свой номер, внутри которого также есть множество номеров. Как распределить эти номера должно решать правительство данной страны. Как вы видите на карте выше, было принято решения поделить весь мир на 9 частей в соответствии с географической принадлежностью страны, код страны будет начинаться на эту цифру.

• Кстати, если вы наберете +8, то вы позвоните в Китай, либо Японию. Но если вы наберете 8 без плюса, то вы также попадаете в Россию. Это было сделано еще в СССР для удобства, чтобы не искать в телефоне знак плюс, для внутренних звонков, если оператор получает от вас телефон без знака плюс с 8, то просто меняет его на +7, но это работает только в России и по сей день. Если вы попробуете набрать такой номер телефона в другой стране, оператор просто скажет что номер некорректный, либо обработает не так как вы ожидаете.

• После кода страны идет номер телефона. Таким образом, что для каждой страны мы имеем столько номеров, что хватает на каждого человека проживающего в этой стране.

• У каждой страны есть примерно по 10 миллиардов номеров. Формально правительство страны само решает как распоряжаться этими номерами и кому их выдавать, но тем не менее также в выше сказанных рекомендациях E.123 E.164 было рекомендовано использовать всем странам первые 3 цифры из 10 для обозначения региона. Так как каждая страна делится на части, например Россия на субъекты, США на штаты, Италия на провинции и т.д. Количество деления в каждой стране не превышает 1000. Следовательно 3 цифры, в которой можно пронумеровать 1000 номеров, хватает с головой. И данной рекомендации прислушались и выполнили почти все государства, правда в некоторых местах используются первые 4 цифры для обозначения региона.

• Последние семь цифр указывают уникальный номер каждого абонента. Если кто-то помнит или знает, раньше были домашние телефоны и как правило там номера были из семи, шести или пяти цифр. Лично у меня было 5 цифр (4-33-28). На самом деле при наборе такого номера оператор автоматически дописывал вначале двойки или шестёрки, чтобы цифр стало семь, затем приписывает номер региона в котором ты находишься затем приписывает код страны в которой ты находишься и по итогу ты просто звонишь в собственный город абоненту номер которого ты указал.

#Разное

• Помните у нас был конкурс, где я разыгрывал полезную литературу, включая "Хакерство. Физические атаки с использованием хакерских устройств"? Так вот, автор этого издания выкатил новую книгу: "Хакерская самооборона", которую сегодня мы разыграем. Кстати, это последний конкурс в этом году, так что успевайте принять участие. Всего будет 8 призовых мест.

Книга посвящена практическим методам активной киберзащиты, выявлению атак на различных этапах пентеста, обнаружению следов в системах доменной аутентификации и многому другому. В любом случае, почитать будет крайне полезно!

• По нашей хорошей традиции данный конкурс не предусматривает каких-либо условий. Нужно только нажать на кнопку под этим постом. Доставка для победителей бесплатная в зоне действия СДЭК. Итоги подведем в эту субботу (27.12 в 10:00), при помощи бота, который рандомно выберет победителя. Всем удачи ❤

P.S. Не забывайте ставить огонек под этим постом 🔥 это помогает проводить такие розыгрыши чаще =)

#Конкурс

• В Узбекистане есть общенациональная система, которая отслеживает номерные знаки автомобилей, следит за правилами дорожного движения, непристегнутыми пассажирами и т.д., а база данных содержит миллионы фотографий и видеозаписей транспортных средств.

• Соль в том, что доступ к этой системе мог получить любой желающий. Всё очень просто: для доступа к системе даже не нужен пароль, так как его там попросту нет. Об этом сообщил исследователь Anurag Sen, который и обнаружил так называемую "уязвимость".

• Классика жанра заключается в том, что исследователь направил всю необходимую информацию в министерство внутренних дел Узбекистана в Ташкенте, а еще представителям узбекского правительства в Вашингтоне, округ Колумбия, но ответ так и не получил.

• Указано, что на момент публикации данной новости "фичу" так и не пофиксили. Доступ по-прежнему может получить любой желающий. Такие дела...

➡️ https://techcrunch.com/surveillance-system/

#Новости

🎄 Что подарить на Новый год тому, кто в теме? В Академии Кодебай открылись продажи новогодних подарочных сертификатов!

Если вы ищете подарок, который действительно имеет ценность — мы создали его.
Теперь вы можете подарить близкому человеку не вещь, а возможность изменить профессию, усилить навыки и выйти на новый уровень.

🎁 Премиальный подарок для будущего профессионала.
🎁 Практичный выбор для тех, кто ценит развитие.
🎁 Подарок с долгосрочной ценностью.

Выберите формат:
↖️ Сертификат на один курс
↖️ Сертификат-номинал

Получатель сам выбирает направление обучения: от веб-пентеста и SOC до самых свежих новинок — DevSecOps и Appsec-инженер!

Сертификат приходит на e-mail в виде стильного PDF, который можно красиво вручить лично или отправить онлайн.
➡️ Продажи уже открыты.

• Хороший материал по интерфейсу командной строки Linux. Отмечу, что я уже делился этим списком ранее, но у автора появилось несколько новых статей и поэтому это хорошая возможность напомнить вам о данной подборке и других полезных разделах:

➡Оболочки Linux - общие сведения об оболочках (shell) Linux. Что такое оболочка пользователя, наиболее распространенные оболочки, интерпретация командной строки;
➡Основы работы в оболочке bash - основы синтаксиса сценариев и встроенные команды оболочки bash;
➡Основы командной строки в Linux - работа в терминале Linux для начинающих. Как получить подсказку по использованию команд. Как выключить или перезагрузить компьютер. Как посмотреть список процессов и снять зависший. Приоритеты и их изменение из командной строки;
➡Аналоги команд Windows и Linux - таблица функционального соответствия основных команд командной строки Windows и Linux;
➡Список наиболее распространенных команд Linux - Перечень наиболее часто используемых команд Linux с кратким описанием и характерными примерами;
➡Команда export - экспорт переменных окружения и функций в дочерние процессы;
➡Возможности и настройки команды sudo в Linux - назначение и порядок использования команды sudo. Как выполнить запуск программы с привилегиями суперпользователя, обычным пользователям Linux без ввода пароля root. Примеры настроек содержимого конфигурационного файла /etc/sudoers;
➡Получение сведений об оборудовании в командной строке Linux - способы получения сведений о компьютерном оборудовании и практические примеры использования команд dmidecode, lspci,lshw и др.
➡Работа с архиватором tar в Linux - краткое описание и примеры использования архиватора tar для создания резервных копий файлов и каталогов в Linux.
➡Обновление базы данных часовых поясов в Linux - настройки системного времени в Linux и обновление базы данных часовых поясов публикуемых на сайте международной организации IANA (The Internet Assigned Numbers Authority) в разделе Time Zone Database.

• Дополнительно:

➡Linux и Windows на виртуальных машинах.
➡Совместное использование Linux и Windows.
➡Оборудование и Linux.
➡Прочее.

#Linux #CheatSheet