infosec
60.6K subscribers
2.46K photos
143 videos
87 files
2.27K links
Copyright: @SEAdm1n

Вакансии: @infosec_work

Информационная безопасность. Литература для ИТ специалистов. Пентест, DevOps, Администрирование.

Приобрести рекламное размещение: https://telega.in/c/it_secur

РКН: https://vk.cc/cN3VCI
Download Telegram
• В Android 17 ограничивают число попыток ввода PIN‑кода для разблокировки смартфона. Если раньше система допускала до 1800 неудачных попыток в течение пяти лет, то теперь этот лимит сокращен до 20.

• В первую минуту доступно до 6 попыток, за 6 минут - 7 попыток, за 25 минут - 8, за сутки — 12, а за пять лет можно ввести пароль неправильно всего 19 раз, после 20 неверных вводов устройство блокируется навсегда.

• Объясняется это тем, что прежние лимиты позволяли злоумышленникам с легкостью брутфорсить пин-коды, особенно если они знали персональные данные владельца (год рождения и т.д.). Новая схема ориентирована на сокращение таких атак.

• Указано, что система не будет учитывать повторяющиеся попытки ввести неверный PIN-код. Если пользователь введет неверный PIN-код несколько раз, система распознает ошибку, проигнорирует её и выведет сообщение с объяснением, почему попытка не была засчитана.

• Как по мне, то это решение принесет обычным юзерам еще больше проблем, чем пользы.

#Новости #Android
174😱30👍1512💩95💊4🤩3🌭3😇3🍌1
Пост выходного дня: бывший инженер Microsoft Дэйв Пламмер, работавший над добавлением поддержки ZIP-файлов в Windows и меню "Пуск" Windows NT, представил аналог "Блокнота" для Windows под названием TinyRetroPad. Причем этот проект имеет размер 2,5 КБ и опубликован на GitHub под лицензией Apache License 2.0.

• Текстовый редактор TinyRetroPad написан на ассемблере. В решении используется класс RICHEDIT50W для обращения к WinAPI и в значительной степени использует присутствующие в штатной поставке Windows программные компоненты. В проекте есть возможность открытия и сохранения файлов, а также выбор шрифтов и печать текста.

Это доработка простого редактора DTE. Проект TinyRetroPad расширен за счёт добавления реальных меню и диалоговых окон (Открыть/Сохранить/Сохранить как, Печать/Параметры страницы, Найти/Заменить/Перейти, Шрифт, Перенос слов, Время/Дата и строка состояния Ln/Col) и в итоге занимает около 2476 байт. Каждое добавление было максимально оптимизировано по размеру; журнал логов в начале файла trpad.asm показывает стоимость каждой функции в байтах. — пояснил Пламмер.


➡️ https://github.com/PlummersSoftwareLLC/TinyRetroPad

#Разное #Оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥55👍1297🤮2
89 лет назад, 5 июля 1937 года, появился SPAM! Хотя в то время не существовало никакого ИТ. Тем не менее, именно в этот день произошло событие, которое спустя более чем полвека оказало значительное влияние на мир высоких технологий. А именно, американская компания Hormel Foods Corporation выпустила на рынок свой флагманский продукт, название которого знакомо теперь каждому айтишнику.

Начало этой истории известно, наверное, всем. После окончания Второй Мировой войны на складах компании Hormel Foods осталось огромное количество консервированной ветчины со специями — Spiced Ham, или, сокращенно, SPAM. Эти консервы изначально предназначались для снабжения солдат, но к тому времени остались невостребованными. Пока продукт не испортился окончательно, производитель решил распродать запасы как можно быстрее, и затеял для этого масштабную рекламную кампанию. Реклама консервированной ветчины появилась буквально повсюду: на уличных плакатах, на автобусах, на вывесках магазинов и кафе.

Несмотря на то, что бешеный период популярности продукта уже давно прошел, известности он не потерял. В США в городе Остин с населением 24700 человек находится улица под названием Spam Boulevard и ресторан «Johnny's SPAMarama», меню которого посвящено исключительно SPAMу. И все потому, что именно здесь предприниматель Джордж А. Хормел в 1891 году основал свою скотобойню и предприятие по упаковке мяса, которое позже превратилось в Hormel Foods.

На Гавайях каждый год проходит большой спам-фестиваль. Нет, на нем не зачитывают вслух письма от нигерийских принцев. Там собираются повара и любители SPAMа, чтобы посоревноваться в приготовлении блюд с использованием этого продукта. На последнем SPAM-Фестивале собрались более 24 000 посетителей, чтобы попробовать кукурузные похлебки, пиццы, блюда различных кухонь, главным ингредиентом которых стал SPAM. Вообще, на Гавайях эти мясные консервы возводятся чуть ли не в культ и употребляются в количестве семи миллионов банок ежегодно, а местные рестораны McDonald's включают их в состав местных бургеров. Как оказалось, SPAM популярен не только в США. В Южной Корее консервы с ветчиной раздают в качестве подарков на Лунный Новый год.

Так вот, в компьютерную среду спам пришел благодаря Дэйву Родесу, который в 1986 году разослал в конференциях Usenet множество рекламных сообщений о новой финансовой пирамиде. Заголовок гласил: «Заработай кучу денег», а в письмах содержалась инструкция, как это сделать. Тексты настолько приелись юзерам, что они начали ассоциировать их с рекламой, которая была повсюду. Так за словом «спам» и закрепилось его новое, современное значение.

Естественно, компании, создающие софт и различный инструментарий для борьбы с почтовой рекламой, поспешили добавить новомодное словечко в свои торговые марки, что очень не понравилось Hormel Foods Corporation. Корпорация оказалась недовольна таким использованием своего товарного знака, и в период с 2002 по 2007 год подала серию исков против таких компаний, как Spam Arrest, Spambuster и Spam Cube, — и все суды с треском проиграла. В итоге Hormel Foods пришлось смириться с тем, что название ее продукта стало общеупотребительным словом с другим значением.

В России одним из наиболее одиозных спамеров до сих пор считается «Центр американского английского», действовавший в начале двухтысячных. Пользователям настолько не полюбились массовые рассылки рекламы курсов иностранного языка, что они постоянно подвергали сайт Центра DDоS-атакам, пытались его взломать, звонили по телефонам компании, чтобы занять линию и поиздеваться над сотрудниками… А основатель центра позже и вовсе был убит при невыясненных обстоятельствах.

А ведь всё началось с ветчины ))

#Разное
2🔥37👍20883😱1
Please open Telegram to view this post
VIEW IN TELEGRAM
2112😁77874👏4
Исследователи из команды Sysdig обнаружили первый случай атаки шифровальщика, который был полностью реализован с помощью ИИ, без участия человека. Кампания получила название JADEPUFFER.

Точкой входа стал доступный из интернета сервер с Langflow - популярным инструментом, на котором собирают приложения на основе ИИ. В инструменте была обнаружена уязвимость (CVE-2025-3248), позволяющая без всякого пароля запустить на сервере произвольный код. К слову, уязвимость исправили еще в мае 2025 года, но в сети еще куча серверов, которые не обновлялись.

Что касается атаки, то ИИ смог найти у жертвы ключи от OpenAI, Anthropic, DeepSeek, доступы к облакам, пароли к базам данных и криптокошельки. Также был найден сервер с базой данных MySQL и сервисом хранения настроек Nacos. К самой базе ИИ подключился с правами администратора, причем откуда у него взялся этот доступ, эксперты Sysdig выяснить не смогли.

Ну и под конец ИИ выполнил шифрование системы и всех файлов, удалил исходные таблицы и оставил записку с требованием выкупа - btc-адресом и почтой для связи.

Соль в том, что программу-вымогатель было невозможно расшифровать, так как ИИ-агент нигде не хранил ключ шифрования, так что вернуть данные и восстановить инфраструктуру жертва не смогла бы даже после оплаты.

➡️ Более детальная информация и технические подробности можно найти тут: https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion

#AI #Исследование
Please open Telegram to view this post
VIEW IN TELEGRAM
2201386🍾22👏1🤬1
• Разработчик ядра Linux Грег Кроа-Хартман сообщил, что за первые 6 месяцев 2026 года в ядре Linux было выявлено 2308 уязвимостей, которым присвоены отдельные CVE‑идентификаторы. Таким образом ядро Linux лидирует по числу присвоенных CVE-идентификаторов среди производителей ПО.

• Отмечено, что подобный показатель не является объективным, так как большинство производителей присваивают CVE-идентификаторы только опасным уязвимостям, в то время как в ядре Linux учитываются все потенциальные уязвимости, независимо от степени опасности. Вот немного статистики:

• Число присвоенных CVE с группировкой по производителям:

2308 - Linux;
1752 - Google;
1308 - n/a;
843 - Microsoft;
495 - OpenClaw;
445 - Oracle Corporation;
395 - Adobe;
340 - Red Hat;
310 - Apache Software Foundation;
284 - Apple.

• Число присвоенных CVE с группировкой по отдельным продуктам:

2309 - Linux;
1584 - Chrome;
888 - n/a;
497 - OpenClaw;
284 - Windows 10 Version 1607;
255 - Firefox;
153 - Android;
141 - AVideo;
136 - Red Hat Enterprise Linux 10;
124 - iOS and iPadOS.

➡️ Источники [1], [2].

#Статистика #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
237🔥1483👍311
Cron - классический планировщик задач в Unix-подобных операционных системах, позволяющий автоматизировать выполнение команд и скриптов по расписанию. Позволяет запускать команды/скрипты в определенное время или с определенной периодичностью, но при не самом аккуратном использовании может "подкинуть" проблем: от падения сервера из-за перегрузки до "тихих" ошибок, о которых можно долго не знать.

• Автор этой статьи разобрал, когда и как cron становится опасным, и какие команды помогут держать его в узде. Данное руководство можно использовать как Cheat Sheet: https://habr.com/ru/post/1052508/

В качестве дополнения ⬇️

Подробные руководства по Cron - тут описаны не только основы работы с cron, но и типичные подводные камни, альтернативы для сложных сценариев, а также продвинутые форматы расписания. Информация будет полезна всем, кто хочет более подробно разобраться в автоматизации задач в Linux.

К посту подгрузил полезную шпаргалку по работе с Cron. Надеюсь, что она окажется полезной.

Linux under attack - небольшое руководство, которое подсвечивает некоторые слабые места Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин.

#cron #linux
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍237🔥71
This media is not supported in your browser
VIEW IN TELEGRAM
Нашел бесплатный ресурс с интерактивными уроками и практическими задачами для изучения SQL. Подходит для новичков: задания начинаются с простых SELECT-запросов и постепенно усложняются, охватывая JOIN, подзапросы и работу с агрегатами. Уроки сопровождаются пояснениями и возможностью сразу проверить результат. Их можно проходить по порядку или сразу перейти к интересующей теме. Также есть пошаговая прокачка к сертификации...

https://sqlzoo.net/wiki/SQL_Tutorial

• Дополнительно

sqlprotocol - игра для изучения SQL, которая реализована в стиле "Матрицы". Все просто - есть множество различных уровней, которые вам предстоит пройти. Постепенно вы будете переходить от простого уровня к сложному и прокачивать свои навыки. Игра, между прочим, сетевая - вы видите и общаетесь с реальными игроками, а если не можете пройти уровень, то можете попросить помощь в чатике. Кстати, там даже есть режим PvP, где вы будете решать задачи с другим игроком на скорость. Игра полностью бесплатная.
LeetСode Study Plan SQL 50 - интересный ресурс, который содержит коллекцию задачек для изучения SQL. Что важно, все задачи бесплатные. По уровню задачи рассчитаны от начинающего до продвинутого (basic to intermediate).
Sqltest.Online - интерактивная платформа для обучения, помогающая приобрести практические навыки работы с SQL и базами данных. Тут вы найдете более 370 задач: от простых SELECT запросов до сложных аналитических задач, приближённых к реальным сценариям. Задания сгруппированы по сложности, теме и используемой базе данных.
SQL-Tutorials - крутой репозиторий, который содержит в себе очень ценный и полезный материала по изучению SQL (подсказки, советы, Mindmap, команды и т.д.). Всё разбито по темам и с возможностью скачать информацию в формате PDF. Особое внимание следует обратить на сборник вопросов из собеседований. Там вы найдете 800 + вопросов и соответствующие задания для получения практического опыта.
dbquacks - бесплатный квест, который поможет прокачаться и освоить язык запросов SQL. В первой главе доступно 38 уровней, а во второй 28, сложность которых постепенно повышается.
mode/sql-tutorial - бесплатный курс по SQL с множеством объемных уроков, которые включают в себя необходимую теорию, практические занятия в редакторе Mode от полных новичков до продвинутых спецов SQL, включая всю базу (SELECT, WHERE, ORDER BY, LIMIT и логические операторы), а также продвинутые темы (агрегирующие функции, GROUP BY, HAVING, соединение таблиц). В проекте доступен симулятор на реальных данных, A/B тестирование и инсайты продукта.
Текстовая игра SQL Noir - по сюжету вы будете выступать в роли детектива, которому необходимо решить определенный пул задач, анализируя улики в базе данных. Есть задачи для начинающих, продолжающих и продвинутых пользователей.

#SQL
Please open Telegram to view this post
VIEW IN TELEGRAM
224👍14🔥52
Винтон Сёрф – человек, которого именуют "отцом Интернета". А ещё учёный, изобретатель, программист, руководитель и переговорщик, любитель классической музыки и бывший виолончелист. За 83 года своей жизни Сёрф успел приложить руку к коммерциализации мировой сети, проектированию Межпланетного Интернета, руководил развитием коммерческой электронной почты, а еще принял участие в разработке протоколов TCP/IP, сделавших возможным современный Интернет.

Так вот, это я к тому, что на следующей неделе Винтон покидает пост главного интернет-евангелиста Google, завершив свою карьеру в истории технологий. Винт уходит на заслуженную пенсию...

Его работа по разработке и популяризации TCP/IP, которая началась в 1970-х годах, была отмечена многочисленными почетными степенями, Президентской медалью Свободы и премией Тьюринга.

➡️ Если интересно, то подробнее о жизненном пути Сёрфа можно почитать тут.

Кстати, выражение "сёрфить интернет" по забавному совпадению созвучно с фамилией "отца Интернета". Однако, произошло оно от английского слова "surf", тогда как фамилия учёного пишется "Cerf".

#Оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
2🫡57👏14🎉10👍51👎1
• Хитрые Китайцы выкатили интересное исследование, в рамках которого представили новый метод извлечения данных с ПК при отсутствии связи с помощью электромагнитных излучений видеосигнала. Атака, получившая название TrojPix, реализуется через кабели HDMI, DisplayPort и VGA в качестве скрытых радиопередатчиков. По словам исследователей, технология превращает видеовыход в источник радиосигнала, который можно поймать и декодировать приемником поблизости.

• Метод относится к классу атак TEMPEST, в ходе которых атакующие фиксируют излучения компонентов ПК или проводов. В лабораторных испытаниях на частоте около 20 МГц скорость передачи в TrojPix достигла 8,1 Мбит/с. Это позволяет отправить файл объемом 10 МБ примерно за 40 сек, а 100 МБ - менее чем за 2 минуты.

• Эффективная дальность приема в открытом пространстве составила до 208 метров. В одном из тестов сигнал принимали через бетонную стену на расстоянии 10 метров с точностью декодирования около 99%. Исследователи протестировали метод на 9 различных брендах мониторов и 15 типах видеокабелей, включая современные HDMI и DisplayPort, а также устаревшие VGA, и заявили, что результат не зависит от конкретной конфигурации.

• Исследователи выделяют два режима сокрытия передачи. В первом программа имитирует выключенный монитор, во втором сигналы встраиваются в обычный визуальный контент рабочего стола незаметно для пользователя. Технологию протестировали 50 человек, и ни один участник не смог заметить отличий в изображении во время передачи данных.

Детальный разбор этой атаки доступен по ссылке: https://www.usenix.org/TrojPix

#Исследование
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
4😨52129👍8👏31
• Каждый день тысячи людей используют SSH для подключения к серверам, домашним ПК, роутерам и смартфонам. SSH-клиенты есть для всех сколько-нибудь популярных платформ, а серверы SSH встраивают даже в умные лампочки.

• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей: проброс локальных и удаленных портов. Уж сколько про них уже написано, но такого красивого гайда я еще не видел. Всем начинающим для прочтения строго обязательно.

https://iximiuz.com/en/posts/ssh-tunnels/

В качестве дополнения

Весьма интересный и актуальный материал о том, какие меры безопасности реализованы в SSH для организации защищённого доступа в процессе подключения и работы.
Практические примеры SSH, которые выведут на новый уровень ваши навыки удалённого администрирования. Команды и советы помогут не только использовать SSH, но и более грамотно перемещаться по сети.
Наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Полное руководство по SSH в Linux и Windows.
Наглядные примеры организации SSH туннелей для решения различных задач.
Маленькие хитрости SSH: в этой статье собраны полезные приемы для более эффективного использования SSH.
Изнурительно подробное руководство по SSH - отличная шпаргалка по работе с SSH.

#SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍37🔥1061
infosec
• Немного интересного оффтопа: Linux был портирован на Sega Mega Drive (игровую приставку из 1988 года). • Был опубликован первый выпуск проекта LinuxMD, который портировали на игровые приставки Sega Mega Drive. Приставки были оснащены 72 Кб ОЗУ и поставлялись…
👩‍💻Linux захватывает игровые приставки: в след за портированием Linux на Sega Mega Drive реализована возможность запуска ядра Linux с набором утилит Busybox на игровой консоли Atari Jaguar, выпущенной в 1993 году.

• Приставка комплектовалась CPU Motorola 68000, поставлялась с 2 МБ ОЗУ и в качестве постоянного хранилища могла использовать картриджи, объёмом до 6 МБ.

• По аналогии с портом для Sega MegaDrive для запуска ядра Linux на CPU Motorola 68000, не имеющем аппаратного модуля управления памятью (MMU), ядро 7.2.0-rc1 было собрано в применяемом для микроконтроллеров режиме "NOMMU", позволяющем использовать плоскую модель памяти с линейным адресным пространством. А проблему с нехваткой ОЗУ решили через механизм execute-in-place (XIP), который позволяет напрямую выполнять код ядра из ПЗУ без копирования в оперативку.

Более детальное описание доступно тут: https://cakehonolulu.github.io/linux-for-jaguar/

Другие источники [1],[2].

#Linux #Оффтоп #Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍255🔥55
Журнал "Хакер" №12 - 2003 год.

#Разное
4😁127❤‍🔥10👍6😢42
• Нашел очень крутой проект, который предоставляет нам возможность запустить старые операционные системы (включая редкие и очень специфичные) не выходя из браузера.

• Сам сервис полностью бесплатный. Там даже нет регистрации. Просто выбираете нужную ОС, нажимаете на соответствующую кнопку и ОС загружается прямо в браузере. В итоге получаем отличную возможность изучить старые ОС, ну или использовать в качестве стендов для экспериментов.

• К слову, исходный код проекта доступен на GitHub. Там же найдете инструкции и Dockerfile для упаковки всего этого добра в контейнер.

➡️ https://copy.sh/v86

Дополнительно ⬇️

• Полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare.

Подборка различных образов для VirtualBox.
Free VirtualBox Images от разработчиков VirtualBox.
Коллекция готовых VM от Oracle.
Абсолютно любые конфигурации VM на базе Linux и Open Sources.
Подборка различных образов для VMware.
VM на iOS и MacOS: getutm и mac.getutm.
Образы для Mac: mac.getutm и utmapp.

• Коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере. Это особенно полезно, когда хотите ознакомиться с ОС, но не хотите заморачиваться с поиском, загрузкой и установкой:

LinuxOnTab - это рабочий Linux (на базе ядра Linux 6.12.13) во вкладке вашего браузера. Проект является автономным, работающим только в браузере, включая рабочий стол Linux с файловым менеджером, туннелями портов и социальной средой с публичными папками на базе Nostr. В решении загружается полноценное ядро ​​x86 + Alpine Linux во вкладке через эмулятор WebAssembly - без сервера, без установки, без демона Docker. После загрузки можно работать офлайн.
WebVM - это фактически бессерверная виртуалка, которая позволяет запустить Debian прямо в браузере, доступный хоть с телефона.
Instant Workstation - хороший сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
distrosea - если не можете выбрать подходящий Linux дистрибутив, то вот вам полностью бесплатный сервис, который позволяет прямо в браузере затестить различные версии операционных систем. Тут даже есть богатый выбор графических оболочек, а общее кол-во доступных систем переваливает за 70!
PCjs Machines - эмулятор вычислительных систем 1970–1990 годов. Он работает в обычном браузере. Данный проект появился в 2012 году — его основал программист из Сиэтла Джефф Парсонс. Он хотел помочь людям понять, как работали первые компьютеры, и дать им возможность «поиграть» с различными конфигурациями этих машин.
redroid - простой способ запустить ОС Android на обычном ноутбуке, ПК или ВМ: (Remote-Android), благодаря которому мы можем запустить Android в Docker контейнере на базе Ubuntu. Есть поддержка 8.1 - 16 версии. Помимо redroid есть еще несколько интересных проектов: waydroid, Bliss-OS и Memuplay.

#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍208🔥85
• Ну вы только посмотрите на эту красоту. Проект называется Tall Tower Unit (TTU-01) - автор реализовал с помощью 3D-принтера корпус для монитора и добавил несколько дополнительных плюшек. Выглядит максимально круто.

#Разное #Оффтоп
3👍69🔥28112🤝2🥰1