Cześć!
Chciałbym dziś umilić Ci kolejny piątek ciekawą lekturą, w sam raz do kawy.
Jest z czego wybierać, a patroni zainteresowani tematem cybersecurity będą szczególnie zadowoleni ;)
Na początek polecam dwie, moim zdaniem warte uwagi promocje z HumbleBundle:
A teraz czas na prawdziwe mięsko (czy tam falafla jak jesteś wege)!
Zapraszam do lektury :)
◢ #unknownews ◣
Czyżby prawdziwa tożsamość Satoshi Nakamoto (twórcy Bitcoina) została ujawniona?
https://www.foxbusiness.com/markets/bitcoin-creator-satoshi-nakamoto-could-be-unmasked-at-florida-trial
INFO: na Florydzie toczy się w sądzie sprawa spadku po pewnej osobie, posiadającej milion bitcoinów (obecnie warte jakieś 64 miliardy dolarów), które należały do Nakamoto. Kim był Nakamoto, a może lepiej zapytać… kim BYLI Nakamoto?
Evil Corp - dziennikarskie śledztwo w poszukiwaniu najbardziej poszukiwanych rosyjskich hackerów
https://www.bbc.com/news/technology-59297187
INFO: wielu z listy najbardziej poszukiwanych przez FBI hackerów, to Rosjanie. Reporter BBC postanowił więc udać się do Rosji i ich odnaleźć.
Aby pokonać dowolną grę losową, wystarczy tylko dostatecznie duża liczba prób? Niekoniecznie
https://easylang.online/apps/tutorial_monte_carlo_methods.html
INFO: analiza metodą Monte Carlo udowadnia, że zwiększanie liczby podejść do danej gry (np. ruletki) jednoznacznie prowadzi do przegranej, a nie do zwiększenia swoich szans. Fajnie, interaktywnie przedstawione zjawisko plus fragmenty kodów źródłowych symulatorów dla lepszego zrozumienia zagadnienia.
Lista dziur bezpieczeństwa w routerach różnych marek
https://modemly.com/m1/pulse
INFO: znajdź swoją markę, następnie swój model i poczytaj, jakie posiada(ł) błędy w danej wersji. Niektóre z bugów pozwalają na zdobycie roota na urządzeniu, a inne np. tylko na wywołanie ataków XSS czy XSRF
Apple ogłosiło start programu samodzielnej naprawy ich sprzętu
https://www.apple.com/pl/newsroom/2021/11/apple-announces-self-service-repair/
INFO: od iPhone 12 w górę możliwe jest już kupienie oryginalnych części zamiennych do telefonu. Niebawem pojawią się w sprzedaży także części do Macbooków (tych z procesorem M1 i nowszych). Dzięki temu rozwiązaniu możliwe będzie samodzielne kupienie zastępnika uszkodzonej części i (o ile umiemy to zrobić) samodzielna jej wymiana. Wyjaśniło się już, dlaczego nowe Macbooki mają tak łatwo wymienialne baterie (bez lutowania i klejenia).
TravelTime - aplikacja pokazująca na mapie, gdzie możesz dojechać/dojść z punktu startowego w zadanym czasie
https://app.traveltime.com/
INFO: większość map używa miar odległości jako podstawowej jednostki. Ta posługuje się minutami. Dobre do planowania pieszych wędrówek, czy wycieczek rowerowych. Odległości do 2h dostępne są bez zakładania konta.
Dostęp do OpenAI (GPT-3) jest już możliwy bez listy oczekujących
https://openai.com/blog/api-no-waitlist/
INFO: nie musisz już mówić, że jesteś badaczem, dziennikarzem, czy pracownikiem naukowym i nie musisz czekać miesiącami w kolejce. Możesz po prostu rozpocząć swoją przygodę z GPT-3.
Narzędzie CLI/WEB do zarządzania sesjami SSH
https://pythonawesome.com/a-command-line-tool-to-manage-your-ssh-connections/
INFO: przydatne, gdy w swojej pracy łączysz się z wieloma serwerami. Dla każdego z serwerów można ustawić oddzielne parametry połączenia (np. dla serwera A port to 22, dla B to 1234, a dla C wyłączasz forwardowanie kluczy). Aplikacja potrafi w locie zrekonfigurować Twojego klienta SSH
Czysty kod i refactoring starych funkcji nie zawsze się opłaca
https://overreacted.io/goodbye-clean-code/
INFO: ciekawa historia optymalizacji kodu pewnego programu i wnioski, jakie wyciągnął z tego programista. Schludnie przepisany i zoptymalizowany kod jest ładny i czytelny, ale czy jest także elastyczny i gotowy na późniejsze zmiany? Niekoniecznie.
Ściąga z gotowymi, użytecznymi poleceniami do SEDa (przetwarzanie tekstu w CLI)
https://github.com/adrianscheff/useful-sed
INFO: wyszukiwanie tekstu, jego podmiana, usuwanie, a to wszystko w jednej linijce kodu. Wiedza niezbędna szczególnie dla adminów i autorów skryptów shellowych
Generator bardzo realistycznie wyglądających cieni w CSS
https://www.joshwcomeau.com/shadow-palette/
INFO: w aplikacji można nawet ustawić umiejscowienie źródła światła, jego moc, rozmycie cienia i kilka innych rzeczy. Efekt przeważnie wygląda świetnie.
Skanery/Kopiarki od Xeroxa miały pewien subtelny błąd… losowo zamieniały cyferki w skanowanych/kopiowanych dokumentach
https://www.dkriesel.com/en/blog/2013/0802_xerox-workcentres_are_switching_written_numbers_when_scanning
INFO: i jak tu teraz wytłumaczyć szefowi, że liczne błędy w obliczeniach w przygotowanym przez Ciebie raporcie to tak naprawdę bug w funkcji ‘skanuj na maila’?
Jak stać się bogatym pracownikiem z branży IT?
https://amaca.substack.com/p/how-i-got-wealthy-without-working
INFO: garść porad na temat tego, jak dobrze/lepiej zarabiać jako programista, admin itp. Niekoniecznie będziesz robić to, co lubisz, ale wszystko zależy do priorytetów.
Jak działają kodu Spotify? (te małe obrazki, prowadzące do piosenek/albumów)
https://boonepeter.github.io/posts/2020-11-10-spotify-codes/
INFO: w wyszukiwarce utworów jest mała ikona aparatu, po kliknięciu której użytkownik może zeskanować kod prowadzący do zasobów w bibliotece Spotify. Artykuł pokazuję operację analizy tego kodu, aby ostatecznie dojść do tego, jak taki znacznik jest generowany. Na blogu jest także drugi tekst o kodach, który jeszcze bardziej pogłębia temat.
Czy dithering obrazków webowych ma sens we współczesnym świecie?
https://www.simplethread.com/why-your-website-should-not-use-dithered-images/
INFO: dithering to metoda tworzenia ‘wykropkowanych’ obrazów, które zawierają mniej znaczących pikseli, co może wpływać na ilość transferowanych danych do użytkownika końcowego. Metoda ta była bardzo modna 15-20 lat temu. Czy jej użycie obecnie ma sens?
Dlaczego twoje formularze z checkboxami powinny zawierać opcję ‘żadne z powyższych’?
https://designnotes.blog.gov.uk/2021/11/15/letting-users-tick-a-none-checkbox/
INFO: ciekawe przemyślenia mogące poprawić jakość zbieranych przez Ciebie np. wyników ankiet. Użytkownicy mogą niekiedy nie wiedzieć, że mają prawo pominąć jakieś pytanie i wtedy czują się zmuszeni do udzielenia jakiejkolwiek (często losowej) odpowiedzi.
Wiedza głęboka vs wiedza szeroka - jak warto się uczyć?
https://www.iamjonas.me/2021/10/want-to-be-great-know-lot.html
INFO: przemyślenia autora na temat zdobywania wiedzy (głównie z punktu widzenia programisty). Artykuł zawiera kilka użytecznych porad na temat nauki, metod czytania książek itp.
Zdokeryzowana wersja… Windowsa 2000
https://github.com/hectorm/docker-qemu-win2000
INFO: jest to obraz uruchamiający zdokeryzowaną wersję emulatora Qemu, a w nim obraz właściwego systemu. Sama metoda uruchamiania może być użyteczna także dla innych, nieco nowszych już systemów. Z uruchomionym systemem można połączyć się przez RDP/VNC/NoVNC
Mermaid - biblioteka JS do łatwego generowania grafów, flowchartów i diagramów
https://mermaid-js.github.io/mermaid/
INFO: to co wyróżnia tę bibliotekę to fakt, że jako input przyjmuje ona tekstowy zapis połączeń miedzy elementami.
SQLite Playground - eksperymentuj z zapytaniami SQL online i dziel się wynikami
https://sqlime.org
INFO: to narzędzie do szybkiego sprawdzania koncepcji zapytań, ich debugowania i dzielenia się swoimi spostrzeżeniami z innymi. Pod spodem działa SQLite.
Github wprowadził udogodnienie użyteczne przy pracy z wielkimi repozytoriami (monorepo)
https://github.blog/2021-11-10-make-your-monorepo-feel-small-with-gits-sparse-index/
INFO: ‘sparse index’ (bo tak nazywa się to rozwiązanie) umożliwia wirtualne podzielenie dużego repozytorium na mniejsze kawałki w taki sposób, aby użytkownik czuł, jakby pracował z malutkim repo.
DbGate - nowoczesny klient do zarządzania bazami danych (MySQL, PostgreSQL, SQL Server, MongoDB, SQLite itp.)
https://github.com/dbgate/dbgate
INFO: działa na Windowsie, Macu i Linuksie. Oferuje interface webowy i można go szybko postawić przez NPM lub jako gotowy obraz dockera.
Zabawa nagłówkami HTTP w celu oszukania mechanizmów reverse proxy i zabezpieczeń AWSa
https://www.intruder.io/research/practical-http-header-smuggling
INFO: kilka praktycznych wskazówek mogących pomóc atakującemu na lepsze poznanie środowiska, czy ominięcie restrykcji dla IP źródłowych
JOY.js - biblioteka do tworzenia prostych, interaktywnych aplikacji online
https://ncase.me/joy/
INFO: idealnie nadaje się do wyjaśniania działania algorytmów (pozwala użytkownikowi na zmianę parametrów wejściowych ‘na żywo’)
Parallel-SSH - biblioteka Pythona będąca asynchronicznym i zrównoleglonym klientem SSH
https://pythonawesome.com/asynchronous-parallel-ssh-client-library/
INFO: dzięki niej możliwe jest pisanie skryptów, które wykonują jednocześnie różne akcje na różnych serwerach (nawet tysiącach serwerów), nie blokując przy tym głównego wątku aplikacji. Może bardzo się przydać do automatyzacji zadań admina/devopsa (o ile znasz Pythona).
LINKI TYLKO DLA PATRONÓW
Kolekcja narzędzi do testowania bezpieczeństwa aplikacji webowych
https://uw7.org/un_61976701d7795
INFO: skanery luk, zbieracze informacji, narzędzia do ataków siłowych itp. Wszystko krótko opisane i podlinkowane do repozytoriów GitHuba.
Notatki pentestera na temat uczestnictwa w programach bugbounty
https://uw7.org/un_61976714435c0
INFO: ciekawe podatności, które znalazł. Metody obchodzenia zabezpieczeń. Zapytania do wyszukiwania haseł na GitHubie, Google, czy podatności w Shodanie.
Ściągawka dla pentesterów (i hackerów) z przeprowadzania pentestów
https://uw7.org/un_6197670df2091
INFO: kliknij w konkretny katalog w repozytorium, aby zobaczyć porady co i jak testować
Narzędzia do obchodzenia zabezpieczeń aplikacji mobilnych i samych smartfonów
https://uw7.org/un_6197670859a34
INFO: analiza ruchu sieciowego ze smartfona, reverse engineering aplikacji na iOS i Androida, gotowe frameworki do pentestów mobilnych itp.
Lubisz czytać mój Newsletter? Podziel się nim proszę ze znajomymi ⬇️
 |
pozdrawiam Jakub 'unknow' Mrugalski
|
Jeśli nie chcesz więcej otrzymywać ode mnie wiadomości, zawsze możesz się wypisać.
Dostałeś tego maila od kogoś? Tutaj możesz się na niego zapisać
