Cześć!

Chciałbym dziś umilić Ci kolejny piątek ciekawą lekturą, w sam raz do kawy.

Jest z czego wybierać, a patroni zainteresowani tematem cybersecurity będą szczególnie zadowoleni ;)

 

Na początek polecam dwie, moim zdaniem warte uwagi promocje z HumbleBundle:

 

A jeszcze jedno!
Na końcu tego maila dodałem specjalne przyciski do dzielenia się wydaniem #unknowNews z innymi. Będzie mi niezwykle miło, gdy wrzucisz linka do tego wydania do swoich social mediów i/lub przeforwardujesz tego maila swojemu znajomemu z branży IT.

 

A teraz czas na prawdziwe mięsko (czy tam falafla jak jesteś wege)!

Zapraszam do lektury :)

 

◢ #unknownews ◣

  1. Czyżby prawdziwa tożsamość Satoshi Nakamoto (twórcy Bitcoina) została ujawniona?
    https://www.foxbusiness.com/markets/bitcoin-creator-satoshi-nakamoto-could-be-unmasked-at-florida-trial
    INFO: na Florydzie toczy się w sądzie sprawa spadku po pewnej osobie, posiadającej milion bitcoinów (obecnie warte jakieś 64 miliardy dolarów), które należały do Nakamoto. Kim był Nakamoto, a może lepiej zapytać… kim BYLI Nakamoto?

  2. Evil Corp - dziennikarskie śledztwo w poszukiwaniu najbardziej poszukiwanych rosyjskich hackerów
    https://www.bbc.com/news/technology-59297187
    INFO: wielu z listy najbardziej poszukiwanych przez FBI hackerów, to Rosjanie. Reporter BBC postanowił więc udać się do Rosji i ich odnaleźć.

  3. Aby pokonać dowolną grę losową, wystarczy tylko dostatecznie duża liczba prób? Niekoniecznie
    https://easylang.online/apps/tutorial_monte_carlo_methods.html
    INFO: analiza metodą Monte Carlo udowadnia, że zwiększanie liczby podejść do danej gry (np. ruletki) jednoznacznie prowadzi do przegranej, a nie do zwiększenia swoich szans. Fajnie, interaktywnie przedstawione zjawisko plus fragmenty kodów źródłowych symulatorów dla lepszego zrozumienia zagadnienia.

  4. Lista dziur bezpieczeństwa w routerach różnych marek
    https://modemly.com/m1/pulse
    INFO: znajdź swoją markę, następnie swój model i poczytaj, jakie posiada(ł) błędy w danej wersji. Niektóre z bugów pozwalają na zdobycie roota na urządzeniu, a inne np. tylko na wywołanie ataków XSS czy XSRF

  5. Apple ogłosiło start programu samodzielnej naprawy ich sprzętu
    https://www.apple.com/pl/newsroom/2021/11/apple-announces-self-service-repair/
    INFO: od iPhone 12 w górę możliwe jest już kupienie oryginalnych części zamiennych do telefonu. Niebawem pojawią się w sprzedaży także części do Macbooków (tych z procesorem M1 i nowszych). Dzięki temu rozwiązaniu możliwe będzie samodzielne kupienie zastępnika uszkodzonej części i (o ile umiemy to zrobić) samodzielna jej wymiana. Wyjaśniło się już, dlaczego nowe Macbooki mają tak łatwo wymienialne baterie (bez lutowania i klejenia).

  6. TravelTime - aplikacja pokazująca na mapie, gdzie możesz dojechać/dojść z punktu startowego w zadanym czasie
    https://app.traveltime.com/
    INFO: większość map używa miar odległości jako podstawowej jednostki. Ta posługuje się minutami. Dobre do planowania pieszych wędrówek, czy wycieczek rowerowych. Odległości do 2h dostępne są bez zakładania konta.

  7. Dostęp do OpenAI (GPT-3) jest już możliwy bez listy oczekujących
    https://openai.com/blog/api-no-waitlist/
    INFO: nie musisz już mówić, że jesteś badaczem, dziennikarzem, czy pracownikiem naukowym i nie musisz czekać miesiącami w kolejce. Możesz po prostu rozpocząć swoją przygodę z GPT-3.

  8. Narzędzie CLI/WEB do zarządzania sesjami SSH
    https://pythonawesome.com/a-command-line-tool-to-manage-your-ssh-connections/
    INFO: przydatne, gdy w swojej pracy łączysz się z wieloma serwerami. Dla każdego z serwerów można ustawić oddzielne parametry połączenia (np. dla serwera A port to 22, dla B to 1234, a dla C wyłączasz forwardowanie kluczy). Aplikacja potrafi w locie zrekonfigurować Twojego klienta SSH

  9. Czysty kod i refactoring starych funkcji nie zawsze się opłaca
    https://overreacted.io/goodbye-clean-code/
    INFO: ciekawa historia optymalizacji kodu pewnego programu i wnioski, jakie wyciągnął z tego programista. Schludnie przepisany i zoptymalizowany kod jest ładny i czytelny, ale czy jest także elastyczny i gotowy na późniejsze zmiany? Niekoniecznie.

  10. Ściąga z gotowymi, użytecznymi poleceniami do SEDa (przetwarzanie tekstu w CLI)
    https://github.com/adrianscheff/useful-sed
    INFO: wyszukiwanie tekstu, jego podmiana, usuwanie, a to wszystko w jednej linijce kodu. Wiedza niezbędna szczególnie dla adminów i autorów skryptów shellowych

  11. Generator bardzo realistycznie wyglądających cieni w CSS
    https://www.joshwcomeau.com/shadow-palette/
    INFO: w aplikacji można nawet ustawić umiejscowienie źródła światła, jego moc, rozmycie cienia i kilka innych rzeczy. Efekt przeważnie wygląda świetnie.

  12. Skanery/Kopiarki od Xeroxa miały pewien subtelny błąd… losowo zamieniały cyferki w skanowanych/kopiowanych dokumentach
    https://www.dkriesel.com/en/blog/2013/0802_xerox-workcentres_are_switching_written_numbers_when_scanning
    INFO: i jak tu teraz wytłumaczyć szefowi, że liczne błędy w obliczeniach w przygotowanym przez Ciebie raporcie to tak naprawdę bug w funkcji ‘skanuj na maila’?

  13. Jak stać się bogatym pracownikiem z branży IT?
    https://amaca.substack.com/p/how-i-got-wealthy-without-working
    INFO: garść porad na temat tego, jak dobrze/lepiej zarabiać jako programista, admin itp. Niekoniecznie będziesz robić to, co lubisz, ale wszystko zależy do priorytetów.

  14. Jak działają kodu Spotify? (te małe obrazki, prowadzące do piosenek/albumów)
    https://boonepeter.github.io/posts/2020-11-10-spotify-codes/
    INFO: w wyszukiwarce utworów jest mała ikona aparatu, po kliknięciu której użytkownik może zeskanować kod prowadzący do zasobów w bibliotece Spotify. Artykuł pokazuję operację analizy tego kodu, aby ostatecznie dojść do tego, jak taki znacznik jest generowany. Na blogu jest także drugi tekst o kodach, który jeszcze bardziej pogłębia temat.

  15. Czy dithering obrazków webowych ma sens we współczesnym świecie?
    https://www.simplethread.com/why-your-website-should-not-use-dithered-images/
    INFO: dithering to metoda tworzenia ‘wykropkowanych’ obrazów, które zawierają mniej znaczących pikseli, co może wpływać na ilość transferowanych danych do użytkownika końcowego. Metoda ta była bardzo modna 15-20 lat temu. Czy jej użycie obecnie ma sens?

  16. Dlaczego twoje formularze z checkboxami powinny zawierać opcję ‘żadne z powyższych’?
    https://designnotes.blog.gov.uk/2021/11/15/letting-users-tick-a-none-checkbox/
    INFO: ciekawe przemyślenia mogące poprawić jakość zbieranych przez Ciebie np. wyników ankiet. Użytkownicy mogą niekiedy nie wiedzieć, że mają prawo pominąć jakieś pytanie i wtedy czują się zmuszeni do udzielenia jakiejkolwiek (często losowej) odpowiedzi.

  17. Wiedza głęboka vs wiedza szeroka - jak warto się uczyć?
    https://www.iamjonas.me/2021/10/want-to-be-great-know-lot.html
    INFO: przemyślenia autora na temat zdobywania wiedzy (głównie z punktu widzenia programisty). Artykuł zawiera kilka użytecznych porad na temat nauki, metod czytania książek itp.

  18. Zdokeryzowana wersja… Windowsa 2000
    https://github.com/hectorm/docker-qemu-win2000
    INFO: jest to obraz uruchamiający zdokeryzowaną wersję emulatora Qemu, a w nim obraz właściwego systemu. Sama metoda uruchamiania może być użyteczna także dla innych, nieco nowszych już systemów. Z uruchomionym systemem można połączyć się przez RDP/VNC/NoVNC

  19. Mermaid - biblioteka JS do łatwego generowania grafów, flowchartów i diagramów
    https://mermaid-js.github.io/mermaid/
    INFO: to co wyróżnia tę bibliotekę to fakt, że jako input przyjmuje ona tekstowy zapis połączeń miedzy elementami.

  20. SQLite Playground - eksperymentuj z zapytaniami SQL online i dziel się wynikami
    https://sqlime.org
    INFO: to narzędzie do szybkiego sprawdzania koncepcji zapytań, ich debugowania i dzielenia się swoimi spostrzeżeniami z innymi. Pod spodem działa SQLite.

  21. Github wprowadził udogodnienie użyteczne przy pracy z wielkimi repozytoriami (monorepo)
    https://github.blog/2021-11-10-make-your-monorepo-feel-small-with-gits-sparse-index/
    INFO: ‘sparse index’ (bo tak nazywa się to rozwiązanie) umożliwia wirtualne podzielenie dużego repozytorium na mniejsze kawałki w taki sposób, aby użytkownik czuł, jakby pracował z malutkim repo.

  22. DbGate - nowoczesny klient do zarządzania bazami danych (MySQL, PostgreSQL, SQL Server, MongoDB, SQLite itp.)
    https://github.com/dbgate/dbgate
    INFO: działa na Windowsie, Macu i Linuksie. Oferuje interface webowy i można go szybko postawić przez NPM lub jako gotowy obraz dockera.

  23. Zabawa nagłówkami HTTP w celu oszukania mechanizmów reverse proxy i zabezpieczeń AWSa
    https://www.intruder.io/research/practical-http-header-smuggling
    INFO: kilka praktycznych wskazówek mogących pomóc atakującemu na lepsze poznanie środowiska, czy ominięcie restrykcji dla IP źródłowych

  24. JOY.js - biblioteka do tworzenia prostych, interaktywnych aplikacji online
    https://ncase.me/joy/
    INFO: idealnie nadaje się do wyjaśniania działania algorytmów (pozwala użytkownikowi na zmianę parametrów wejściowych ‘na żywo’)

  25. Parallel-SSH - biblioteka Pythona będąca asynchronicznym i zrównoleglonym klientem SSH
    https://pythonawesome.com/asynchronous-parallel-ssh-client-library/
    INFO: dzięki niej możliwe jest pisanie skryptów, które wykonują jednocześnie różne akcje na różnych serwerach (nawet tysiącach serwerów), nie blokując przy tym głównego wątku aplikacji. Może bardzo się przydać do automatyzacji zadań admina/devopsa (o ile znasz Pythona).

LINKI TYLKO DLA PATRONÓW

  1. Kolekcja narzędzi do testowania bezpieczeństwa aplikacji webowych
    https://uw7.org/un_61976701d7795
    INFO: skanery luk, zbieracze informacji, narzędzia do ataków siłowych itp. Wszystko krótko opisane i podlinkowane do repozytoriów GitHuba.

  2. Notatki pentestera na temat uczestnictwa w programach bugbounty
    https://uw7.org/un_61976714435c0
    INFO: ciekawe podatności, które znalazł. Metody obchodzenia zabezpieczeń. Zapytania do wyszukiwania haseł na GitHubie, Google, czy podatności w Shodanie.

  3. Ściągawka dla pentesterów (i hackerów) z przeprowadzania pentestów
    https://uw7.org/un_6197670df2091
    INFO: kliknij w konkretny katalog w repozytorium, aby zobaczyć porady co i jak testować

  4. Narzędzia do obchodzenia zabezpieczeń aplikacji mobilnych i samych smartfonów
    https://uw7.org/un_6197670859a34
    INFO: analiza ruchu sieciowego ze smartfona, reverse engineering aplikacji na iOS i Androida, gotowe frameworki do pentestów mobilnych itp.

 

Dołącz do grona patronów, dzięki którym powstaje ten newsletter i uzyskaj dostęp do wszystkich archiwalnych linków z sekcji dla patronów.

 

Lubisz czytać mój Newsletter? Podziel się nim proszę ze znajomymi ⬇️ 

Facebook Twitter Linkedin

 

Jakub Mrugalski

pozdrawiam

Jakub 'unknow' Mrugalski

https://mrugalski.pl

Facebook Instagram YouTube Twitter Linkedin

Jeśli nie chcesz więcej otrzymywać ode mnie wiadomości, zawsze możesz się wypisać.

Dostałeś tego maila od kogoś? Tutaj możesz się na niego zapisać

Zapisz się na ten newsletter!