infosec
60.6K subscribers
2.46K photos
143 videos
87 files
2.27K links
Copyright: @SEAdm1n

Вакансии: @infosec_work

Информационная безопасность. Литература для ИТ специалистов. Пентест, DevOps, Администрирование.

Приобрести рекламное размещение: https://telega.in/c/it_secur

РКН: https://vk.cc/cN3VCI
Download Telegram
• Разработчик ядра Linux Грег Кроа-Хартман сообщил, что за первые 6 месяцев 2026 года в ядре Linux было выявлено 2308 уязвимостей, которым присвоены отдельные CVE‑идентификаторы. Таким образом ядро Linux лидирует по числу присвоенных CVE-идентификаторов среди производителей ПО.

• Отмечено, что подобный показатель не является объективным, так как большинство производителей присваивают CVE-идентификаторы только опасным уязвимостям, в то время как в ядре Linux учитываются все потенциальные уязвимости, независимо от степени опасности. Вот немного статистики:

• Число присвоенных CVE с группировкой по производителям:

2308 - Linux;
1752 - Google;
1308 - n/a;
843 - Microsoft;
495 - OpenClaw;
445 - Oracle Corporation;
395 - Adobe;
340 - Red Hat;
310 - Apache Software Foundation;
284 - Apple.

• Число присвоенных CVE с группировкой по отдельным продуктам:

2309 - Linux;
1584 - Chrome;
888 - n/a;
497 - OpenClaw;
284 - Windows 10 Version 1607;
255 - Firefox;
153 - Android;
141 - AVideo;
136 - Red Hat Enterprise Linux 10;
124 - iOS and iPadOS.

➡️ Источники [1], [2].

#Статистика #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
237🔥1483👍311
Cron - классический планировщик задач в Unix-подобных операционных системах, позволяющий автоматизировать выполнение команд и скриптов по расписанию. Позволяет запускать команды/скрипты в определенное время или с определенной периодичностью, но при не самом аккуратном использовании может "подкинуть" проблем: от падения сервера из-за перегрузки до "тихих" ошибок, о которых можно долго не знать.

• Автор этой статьи разобрал, когда и как cron становится опасным, и какие команды помогут держать его в узде. Данное руководство можно использовать как Cheat Sheet: https://habr.com/ru/post/1052508/

В качестве дополнения ⬇️

Подробные руководства по Cron - тут описаны не только основы работы с cron, но и типичные подводные камни, альтернативы для сложных сценариев, а также продвинутые форматы расписания. Информация будет полезна всем, кто хочет более подробно разобраться в автоматизации задач в Linux.

К посту подгрузил полезную шпаргалку по работе с Cron. Надеюсь, что она окажется полезной.

Linux under attack - небольшое руководство, которое подсвечивает некоторые слабые места Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин.

#cron #linux
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍237🔥71
This media is not supported in your browser
VIEW IN TELEGRAM
Нашел бесплатный ресурс с интерактивными уроками и практическими задачами для изучения SQL. Подходит для новичков: задания начинаются с простых SELECT-запросов и постепенно усложняются, охватывая JOIN, подзапросы и работу с агрегатами. Уроки сопровождаются пояснениями и возможностью сразу проверить результат. Их можно проходить по порядку или сразу перейти к интересующей теме. Также есть пошаговая прокачка к сертификации...

https://sqlzoo.net/wiki/SQL_Tutorial

• Дополнительно

sqlprotocol - игра для изучения SQL, которая реализована в стиле "Матрицы". Все просто - есть множество различных уровней, которые вам предстоит пройти. Постепенно вы будете переходить от простого уровня к сложному и прокачивать свои навыки. Игра, между прочим, сетевая - вы видите и общаетесь с реальными игроками, а если не можете пройти уровень, то можете попросить помощь в чатике. Кстати, там даже есть режим PvP, где вы будете решать задачи с другим игроком на скорость. Игра полностью бесплатная.
LeetСode Study Plan SQL 50 - интересный ресурс, который содержит коллекцию задачек для изучения SQL. Что важно, все задачи бесплатные. По уровню задачи рассчитаны от начинающего до продвинутого (basic to intermediate).
Sqltest.Online - интерактивная платформа для обучения, помогающая приобрести практические навыки работы с SQL и базами данных. Тут вы найдете более 370 задач: от простых SELECT запросов до сложных аналитических задач, приближённых к реальным сценариям. Задания сгруппированы по сложности, теме и используемой базе данных.
SQL-Tutorials - крутой репозиторий, который содержит в себе очень ценный и полезный материала по изучению SQL (подсказки, советы, Mindmap, команды и т.д.). Всё разбито по темам и с возможностью скачать информацию в формате PDF. Особое внимание следует обратить на сборник вопросов из собеседований. Там вы найдете 800 + вопросов и соответствующие задания для получения практического опыта.
dbquacks - бесплатный квест, который поможет прокачаться и освоить язык запросов SQL. В первой главе доступно 38 уровней, а во второй 28, сложность которых постепенно повышается.
mode/sql-tutorial - бесплатный курс по SQL с множеством объемных уроков, которые включают в себя необходимую теорию, практические занятия в редакторе Mode от полных новичков до продвинутых спецов SQL, включая всю базу (SELECT, WHERE, ORDER BY, LIMIT и логические операторы), а также продвинутые темы (агрегирующие функции, GROUP BY, HAVING, соединение таблиц). В проекте доступен симулятор на реальных данных, A/B тестирование и инсайты продукта.
Текстовая игра SQL Noir - по сюжету вы будете выступать в роли детектива, которому необходимо решить определенный пул задач, анализируя улики в базе данных. Есть задачи для начинающих, продолжающих и продвинутых пользователей.

#SQL
Please open Telegram to view this post
VIEW IN TELEGRAM
224👍14🔥52
Винтон Сёрф – человек, которого именуют "отцом Интернета". А ещё учёный, изобретатель, программист, руководитель и переговорщик, любитель классической музыки и бывший виолончелист. За 83 года своей жизни Сёрф успел приложить руку к коммерциализации мировой сети, проектированию Межпланетного Интернета, руководил развитием коммерческой электронной почты, а еще принял участие в разработке протоколов TCP/IP, сделавших возможным современный Интернет.

Так вот, это я к тому, что на следующей неделе Винтон покидает пост главного интернет-евангелиста Google, завершив свою карьеру в истории технологий. Винт уходит на заслуженную пенсию...

Его работа по разработке и популяризации TCP/IP, которая началась в 1970-х годах, была отмечена многочисленными почетными степенями, Президентской медалью Свободы и премией Тьюринга.

➡️ Если интересно, то подробнее о жизненном пути Сёрфа можно почитать тут.

Кстати, выражение "сёрфить интернет" по забавному совпадению созвучно с фамилией "отца Интернета". Однако, произошло оно от английского слова "surf", тогда как фамилия учёного пишется "Cerf".

#Оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
2🫡57👏14🎉10👍51👎1
• Хитрые Китайцы выкатили интересное исследование, в рамках которого представили новый метод извлечения данных с ПК при отсутствии связи с помощью электромагнитных излучений видеосигнала. Атака, получившая название TrojPix, реализуется через кабели HDMI, DisplayPort и VGA в качестве скрытых радиопередатчиков. По словам исследователей, технология превращает видеовыход в источник радиосигнала, который можно поймать и декодировать приемником поблизости.

• Метод относится к классу атак TEMPEST, в ходе которых атакующие фиксируют излучения компонентов ПК или проводов. В лабораторных испытаниях на частоте около 20 МГц скорость передачи в TrojPix достигла 8,1 Мбит/с. Это позволяет отправить файл объемом 10 МБ примерно за 40 сек, а 100 МБ - менее чем за 2 минуты.

• Эффективная дальность приема в открытом пространстве составила до 208 метров. В одном из тестов сигнал принимали через бетонную стену на расстоянии 10 метров с точностью декодирования около 99%. Исследователи протестировали метод на 9 различных брендах мониторов и 15 типах видеокабелей, включая современные HDMI и DisplayPort, а также устаревшие VGA, и заявили, что результат не зависит от конкретной конфигурации.

• Исследователи выделяют два режима сокрытия передачи. В первом программа имитирует выключенный монитор, во втором сигналы встраиваются в обычный визуальный контент рабочего стола незаметно для пользователя. Технологию протестировали 50 человек, и ни один участник не смог заметить отличий в изображении во время передачи данных.

Детальный разбор этой атаки доступен по ссылке: https://www.usenix.org/TrojPix

#Исследование
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
4😨52129👍8👏31
• Каждый день тысячи людей используют SSH для подключения к серверам, домашним ПК, роутерам и смартфонам. SSH-клиенты есть для всех сколько-нибудь популярных платформ, а серверы SSH встраивают даже в умные лампочки.

• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей: проброс локальных и удаленных портов. Уж сколько про них уже написано, но такого красивого гайда я еще не видел. Всем начинающим для прочтения строго обязательно.

https://iximiuz.com/en/posts/ssh-tunnels/

В качестве дополнения

Весьма интересный и актуальный материал о том, какие меры безопасности реализованы в SSH для организации защищённого доступа в процессе подключения и работы.
Практические примеры SSH, которые выведут на новый уровень ваши навыки удалённого администрирования. Команды и советы помогут не только использовать SSH, но и более грамотно перемещаться по сети.
Наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Полное руководство по SSH в Linux и Windows.
Наглядные примеры организации SSH туннелей для решения различных задач.
Маленькие хитрости SSH: в этой статье собраны полезные приемы для более эффективного использования SSH.
Изнурительно подробное руководство по SSH - отличная шпаргалка по работе с SSH.

#SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍37🔥1061
infosec
• Немного интересного оффтопа: Linux был портирован на Sega Mega Drive (игровую приставку из 1988 года). • Был опубликован первый выпуск проекта LinuxMD, который портировали на игровые приставки Sega Mega Drive. Приставки были оснащены 72 Кб ОЗУ и поставлялись…
👩‍💻Linux захватывает игровые приставки: в след за портированием Linux на Sega Mega Drive реализована возможность запуска ядра Linux с набором утилит Busybox на игровой консоли Atari Jaguar, выпущенной в 1993 году.

• Приставка комплектовалась CPU Motorola 68000, поставлялась с 2 МБ ОЗУ и в качестве постоянного хранилища могла использовать картриджи, объёмом до 6 МБ.

• По аналогии с портом для Sega MegaDrive для запуска ядра Linux на CPU Motorola 68000, не имеющем аппаратного модуля управления памятью (MMU), ядро 7.2.0-rc1 было собрано в применяемом для микроконтроллеров режиме "NOMMU", позволяющем использовать плоскую модель памяти с линейным адресным пространством. А проблему с нехваткой ОЗУ решили через механизм execute-in-place (XIP), который позволяет напрямую выполнять код ядра из ПЗУ без копирования в оперативку.

Более детальное описание доступно тут: https://cakehonolulu.github.io/linux-for-jaguar/

Другие источники [1],[2].

#Linux #Оффтоп #Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍255🔥55
Журнал "Хакер" №12 - 2003 год.

#Разное
4😁127❤‍🔥10👍6😢42
• Нашел очень крутой проект, который предоставляет нам возможность запустить старые операционные системы (включая редкие и очень специфичные) не выходя из браузера.

• Сам сервис полностью бесплатный. Там даже нет регистрации. Просто выбираете нужную ОС, нажимаете на соответствующую кнопку и ОС загружается прямо в браузере. В итоге получаем отличную возможность изучить старые ОС, ну или использовать в качестве стендов для экспериментов.

• К слову, исходный код проекта доступен на GitHub. Там же найдете инструкции и Dockerfile для упаковки всего этого добра в контейнер.

➡️ https://copy.sh/v86

Дополнительно ⬇️

• Полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare.

Подборка различных образов для VirtualBox.
Free VirtualBox Images от разработчиков VirtualBox.
Коллекция готовых VM от Oracle.
Абсолютно любые конфигурации VM на базе Linux и Open Sources.
Подборка различных образов для VMware.
VM на iOS и MacOS: getutm и mac.getutm.
Образы для Mac: mac.getutm и utmapp.

• Коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере. Это особенно полезно, когда хотите ознакомиться с ОС, но не хотите заморачиваться с поиском, загрузкой и установкой:

LinuxOnTab - это рабочий Linux (на базе ядра Linux 6.12.13) во вкладке вашего браузера. Проект является автономным, работающим только в браузере, включая рабочий стол Linux с файловым менеджером, туннелями портов и социальной средой с публичными папками на базе Nostr. В решении загружается полноценное ядро ​​x86 + Alpine Linux во вкладке через эмулятор WebAssembly - без сервера, без установки, без демона Docker. После загрузки можно работать офлайн.
WebVM - это фактически бессерверная виртуалка, которая позволяет запустить Debian прямо в браузере, доступный хоть с телефона.
Instant Workstation - хороший сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
distrosea - если не можете выбрать подходящий Linux дистрибутив, то вот вам полностью бесплатный сервис, который позволяет прямо в браузере затестить различные версии операционных систем. Тут даже есть богатый выбор графических оболочек, а общее кол-во доступных систем переваливает за 70!
PCjs Machines - эмулятор вычислительных систем 1970–1990 годов. Он работает в обычном браузере. Данный проект появился в 2012 году — его основал программист из Сиэтла Джефф Парсонс. Он хотел помочь людям понять, как работали первые компьютеры, и дать им возможность «поиграть» с различными конфигурациями этих машин.
redroid - простой способ запустить ОС Android на обычном ноутбуке, ПК или ВМ: (Remote-Android), благодаря которому мы можем запустить Android в Docker контейнере на базе Ubuntu. Есть поддержка 8.1 - 16 версии. Помимо redroid есть еще несколько интересных проектов: waydroid, Bliss-OS и Memuplay.

#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍208🔥85
• Ну вы только посмотрите на эту красоту. Проект называется Tall Tower Unit (TTU-01) - автор реализовал с помощью 3D-принтера корпус для монитора и добавил несколько дополнительных плюшек. Выглядит максимально круто.

#Разное #Оффтоп
3👍69🔥28112🤝2🥰1
Немного интересного чтива перед сном: В Amazon Web Services раскрыли технические подробности первой в истории трансляции видео в разрешении 4K с Луны на Землю, которая состоялась в апреле 2026 года в ходе миссии Artemis II. Трансляцию посмотрели около 25 млн. человек через NASA+, YouTube и Prime Video.

• Ключевым звеном стал лазерный терминал O2O (Orion Artemis II Optical Communications System), который НАСА разрабатывало на протяжении 20 лет. Устройство обеспечивает скорость передачи данных до 260 Мбит/с - достаточно для потоковой трансляции 4K в реальном времени с запасом для телеметрии, голосовой связи и данных научных приборов.

• Сигнал с Orion принимали два наземных объекта: обсерватория Маунт‑Стромло Австралийского национального университета под Канберрой - для участков траектории, видимых из Южного полушария - и комплекс Уайт‑Сэндс в штате Нью‑Мексико, где сигнал обрабатывался и уходил дальше. Чтобы соединить Австралию с Уайт‑Сэндс, НАСА и AWS всего за несколько недель развернули сетевой маршрут через глобальную магистральную сеть AWS, покрывающую около 15 тысяч км.

• Из Уайт‑Сэндс сигнал уходил в потоковую инфраструктуру NASA+, построенную на сервисах AWS Elemental. MediaLive занимался кодированием живого видео, MediaConnect обеспечивал надежную доставку до YouTube и Prime Video. Все трансляции Artemis II, включая запуск, облет Луны и посадку на воду, распространялись бесплатно в соответствии с требованием НАСА охватить максимально широкую аудиторию.

• Другим крупным направлением участия AWS стали вычисления. Траектория лунной миссии рассчитывается на десятках тысяч симуляций штатных и нештатных сценариев. Команда инженеров‑орбитальщиков из Космического центра имени Джонсона генерирует от 2 до 5 ТБ данных на каждое пусковое окно. Инфраструктура на базе AWS GovCloud позволила увеличивать вычислительные мощности до сотен дополнительных инстансов именно тогда, когда это было нужно, без конкуренции за ресурсы с другими программами NASA. В первые 48 часов после старта система в режиме, который максимально приближен к реальному времени, корректировала траекторию Orion по мере изменения условий.

• Artemis II стал демонстрационным полетом для технологий, которые войдут в основу Artemis IV - первой посадки людей на Луну с 1972 года. NASA рассчитывает, что аудитория трансляции миссии Artemis IV достигнет 250 млн человек.

➡️ https://www.aboutamazon.com/4k-video-from-the-moon

#Сети #Оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
422🔥1410👍8🤯1🕊1🥱1🖕1
• Подтверждаю 😁

#Юмор #Лайфхак
4🤣11729💯26😁6👏521
Media is too big
VIEW IN TELEGRAM
Ребят, тут Авито регистрацию на свой первый CTF открыл с призами до 300 000 рублей на команду 📍

AvitoTech устраивает CTF онлайн с денежным призовым фондом, мерчем и интересными тасками!
Регистрация команд уже открыта по ссылке, а ниже собрали инфу, что предстоит делать во время HoneyBadger CTF AvitoTech.

Возьмите на себя роль медоеда, проверьте защиту пчелиного улья и найдите все скрытые уязвимости в сотах.
Чего ждать от турнира: тасков на веб-уязвимости, инфраструктурных мисконфигов, анализа скомпилированного кода, расследования инцидентов, слабостей шифров, всего, что требует хакерской смекалки. И розыгрыша мерча, помимо основного призового фонда.

Важно: CTF не только для спецов по кибербезопасности — есть отдельная лига для всех, кто любит разбираться, как устроены IT-системы 🐝
Please open Telegram to view this post
VIEW IN TELEGRAM
156💩32🤣22🔥1🤔1👀1
• А ведь проект Uptime Kuma продолжает развиваться, и это очень хорошо. Напомню, что это очень удобный open source инструмент для мониторинга ресурсов сети. Соль в том, что если Zabbix или Prometheus могут отпугнуть новичков своей сложностью, то с Kuma наоборот - тут вам и лёгкая установка, простота в использовании, понятный интерфейс и в довесок куча возможностей для большинства задач мониторинга.

• Тулза умеет слать вам алерты в Telegram, Discord, Gotify, Slack, Pushover, Email и т.д. (более 90 сервисов). Позволяет мониторить срок действия SSL-сертификатов, сайты по HTTP, DNS записи, открытые TCP порты, статус Docker контейнеров, SQL сервера и еще кучу всего остального: https://github.com/louislam/uptime-kuma

• Из минусов, не хватает мониторинга параметров сервера (место на диске, нагрузка).

• Вы, конечно, можете использовать Zabbix, но для многих он будет тяжеловесным и крайне избыточным решением.

Сайт проекта | Docker-образ | Демо без установки.

#Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍2010🔥4
• Большинство знает, что SSH по умолчанию работает на порту 22. Это не совпадение. Вот история, как ему достался этот порт.

• Когда Tatu Ylonen (создатель SSH и генеральный директор компании SSH Communications Security) впервые опубликовал эту историю в апреле 2017 года, она стала вирусной: её прочитали около 120 000 читателей за три дня. Дальше идёт повествование с его слов:

• Я написал первую версию SSH (Secure Shell) весной 1995 года. В то время широко использовались Telnet и FTP.

• Но я все равно разработал SSH для замены и telnet (порт 23) и ftp (порт 21). Порт 22 был свободен и удобно располагался между портами для telnet и ftp. Я подумал, что такой номер порта может стать одной из тех маленьких деталей, которые придадут некоторую ауру доверия SSH. Но как его получить? Я никогда не распределял порты, но я знал тех, кто этим занимается.

• В то время процесс выделения портов был довольно простым. Интернет был меньше, и мы находились на самых ранних стадиях интернет-бума. Номера портов выделяла организация IANA (Internet Assigned Numbers Authority). В то время это означало уважаемых первопроходцев интернета Джона Постела и Джойс К. Рейнольдс. Среди всего прочего, Джон являлся редактором таких незначительных протоколов, как IP (RFC 791), ICMP (RFC 792) и TCP (RFC 793). Возможно, кто-то из вас слышал о них.

• Меня откровенно пугал Джон как автор всех основных RFC для Интернета!

• Так или иначе, но перед анонсом ssh-1.0, 10 июля 1995 года, я отправил в IANA электронное письмо с описанием преимуществ своего протокола и просьбой выделить для него порт 22. Спустя немного времени мне пришел ответ с официальным закреплением порта 22 за SSH.

• У нас получилось! Теперь у SSH порт 22!!!

• Через несколько дней, 12 июля 1995 года в 2:32 утра, я анонсировал окончательную бета-версию для своих бета-тестеров в Хельсинкском технологическом университете. В 17:23 выслал тестерам пакеты ssh-1.0.0, а в 17:51 отправил объявление о SSH (Secure Shell) в список рассылки cypherpunks@toad.com. Я также продублировал анонс в несколько новостных групп, списков рассылки и непосредственно отдельным людям, которые обсуждали смежные темы в интернете.


• Можно сказать, что ровно 31 год назад, 10 июля 1995 года, SSH был присвоен 22 порт, а через несколько дней состоялся первый публичный релиз SSH. Так и пошло...

➡️ https://www.ssh.com/academy/ssh/port#how-ssh-port-became-22

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
474🔥37🎉11👍11