Cześć!

Wróciłem już z urlopu, więc czas na nowe wydanie newslettera.

W tym tygodniu w ręce wpadło mi sporo materiałów związanych z tematyką cyberbezpieczeństwa i OSINT-u. Niektóre z materiałów (zwłaszcza te OSINT-owe) mogą mieć lekkie zabarwienie polityczne, ale patrz na nie proszę tylko pod względem prezentowanych technik i użytych narzędzi.

Przy okazji, jeśli lubisz tematy okołobiznesowe, to wczoraj wysłałem do subskrybentów mój "newsletter projektowy'. Rzuć okiem na najnowsze wydanie i subskrybuj, jeśli temat jest dla Ciebie interesujący.

Zapraszam do lektury :)

◢ #unknownews ◣

1. Jak zhackować miliony routerów na świecie?
   https://samcurry.net/hacking-millions-of-modems
   INFO: Autor, pracując z serwerem HTTP, zauważył, że jego zapytania są dublowane z innego adresu IP. Stwierdził więc, że ktoś podsłuchiwał ruch sieciowy z jego domowej sieci. Okazało się, że ktoś zhakował jego domowy router. Jak do tego doszło? Na czym polegała ta podatność? Okazuje się, że urządzenia tego typu mogą być podatne na miliony. Więcej informacji znajdziesz w artykule.

2. Efektywne zarządzanie skrzynką mailową w pracy
   https://boz.com/articles/inbox-ten
   INFO: Interesujące podejście do obsługi skrzynki. Każda wiadomość jest traktowana jak oddzielne zadanie. Celem jest efektywne przetwarzanie napływających wiadomości, szybkie odpowiadanie na nie i unikanie zaległości w komunikacji. Autor przedstawia metodę, z której korzysta i która sprawdza się przy jego potrzebach.

3. Zarządzanie motywacją jako niezależny deweloper
   https://mbuffett.com/posts/maintaining-motivation/
   INFO: Bycie samodzielnym deweloperem to nie lada wyzwanie, zwłaszcza gdy chodzi o utrzymanie motywacji do pracy. Autor dzieli się swoimi spostrzeżeniami i strategiami, które pomagają mu w efektywnym zarządzaniu motywacją. Od wykorzystywania zewnętrznych źródeł inspiracji po techniki na zwiększenie produktywności - oto rzut oka na codzienność solo dewelopera.

4. Strategie kolejkowania - interaktywne wprowadzenie do tematu
   https://encore.dev/blog/queueing
   INFO: Kolejki LIFO, FIFO, kolejki z ustalonymi priorytetami, zarządzanie kolejkami... To zagadnienia często poruszane na rozmowach o pracę, ale do czego miałyby ci się one przydać w realnym życiu? Bardzo fajnie wyjaśnione zagadnienia, a do tego artykuł zawiera interaktywne komponenty prezentujące użycie tych kolejek w praktyce.

5. Ataki XSS na aplikacje webowe - omijanie WAF-a
   https://infosecwriteups.com/xss-web-application-firewall-bypass-techniques-510b04a727b1
   INFO: Atakując nawet naprawdę kiepsko napisane i podatne na ataki XSS aplikacje webowe, na drodze do sukcesu może stanąć firewall aplikacyjny. Jak go ominąć? Autor dzieli się swoimi sztuczkami na omijanie WAF-ów (Web Application Firewalls).

6. Netflix vs mikroserwisy - czego możemy się nauczyć?
   https://newsletter.systemdesign.one/p/netflix-microservices
   INFO: Poznaj praktyki architektury mikroserwisów, które sprawdzają się w jednej z największych platform streamingowych na świecie - Netflixie. Artykuł analizuje, dlaczego firma przeszła od monolitu do mikroserwisów, jakie problemy to rozwiązało i jakie nowe wyzwania pojawiły się po tej decyzji. Krótki zbiór lekcji wyciągniętych z takiej migracji.

7. Akademia Debugowania Linuxa - nauczę Cię jak rozwiązywać problemy z aplikacjami [autopromocja]
   https://adl.mrugalski.pl/
   INFO: Wideo szkolenie z debugowanie problemów z aplikacjami zdeployowanymi w środowisku linuksowym. Debugowanie problemów z kontenerami, siecią, DNS-em, certyfikatami, systemem plików, dyskami twardymi, nasłuchiwanie ruchu sieciowego i wiele innych. Na stronie znajdziesz kilka przykładowych lekcji i pełną agendę.

8. Polowanie na Obajtka - czyli OSINT w użyciu
   https://frontstory.pl/penthouse-daniel-obajtek-budapeszt-orlen/
   INFO: Czy były prezes Orlenu, Daniel Obajtek, ukrywa się na Węgrzech? Ten artykuł to opis detektywistycznego śledztwa. Przy użyciu mediów społecznościowych i materiałów z internetu, autorzy próbują ustalić lokalizację Obajtka. Przeprowadzili wnikliwą analizę zdjęć luksusowych apartamentów, fotek ze spacerów itp. Jest zadziwiające, jak wiele tropów da się znaleźć na publicznie dostępnych zdjęciach.

9. Śledzenie białoruskiego szpiega za pomocą technik OSINT
   https://zaufanatrzeciastrona.pl/post/na-tropie-szmydta-czyli-jak-znalezc-bialoruskiego-szpiega/
   INFO: Autor dzieli się fascynującym procesem geolokalizacji, analizy zdjęć i filmów z mediów społecznościowych, które doprowadziły go do wytropienia lokalizacji Tomasza Szmydta. Jest to świetna prezentacja tego, jak zaawansowane narzędzia i metodyczne podejście mogą odsłonić więcej, niż się wydaje na pierwszy rzut oka.

10. Czego nauczyliśmy się po roku budowania aplikacji wykorzystujących LLM-y - O'Reilly
    https://www.oreilly.com/radar/what-we-learned-from-a-year-of-building-with-llms-part-i/
    INFO: W ciągu ostatniego roku Duże Modele Językowe (LLM) stały się na tyle dojrzałe, że da się je zastosować w realnym świecie, a nie tylko w warunkach testowych. Firma O'Reilly opisuje swoje doświadczenia z ich produkcyjnym zastosowaniem. To pierwsza część artykułów z tej serii. W tekście znajdziesz linka także do drugiej, a trzecia powstanie według autorów już niebawem.

11. Podsumowanie 100 nowości z Google I/O 2024
    https://blog.google/technology/ai/google-io-2024-100-announcements/
    INFO: Jeśli przegapiłeś Google I/O 2024, ten artykuł zawiera skrót najważniejszych ogłoszeń. Zobacz, co nowego przynosi aktualizacja modelu Gemini, jakie innowacje czekają na deweloperów oraz jakie narzędzia generatywnej AI będą niedługo publicznie dostępne. Artykuł jest przygotowany w postaci listy 100 krótkich punktów, więc dość łatwo go przeskanować wzrokiem w poszukiwaniu ciekawostek.

12. Atak cache poisoning w Github Actions
    https://adnanthekhan.com/2024/05/06/the-monsters-in-your-build-cache-github-actions-cache-poisoning/
    INFO: Pamięć podręczna w GitHub Actions może być wykorzystana jako narzędzie do eskalacji uprawnień i w konsekwencji do przejęcia kluczy dostępowych użytkownika, czy nawet całego repozytorium. Artykuł opisuje technikę zwaną 'Actions Cache Blasting', dzięki której autor zdołał uzyskać dostęp do sekretów produkcyjnych, np. w repozytoriach Angulara. Przeczytaj, aby zrozumieć, jak działają mechanizmy pamięci podręcznej w GitHub Actions i jak mogą być one wykorzystane przeciwko Tobie. Treść przeznaczona dla pentesterów.

13. Narzędzia niezbędne dla niezależnego twórcy w 2024 roku
    https://www.techsistence.com/p/indie-hackers-toolstack-2024
    INFO: Poznaj zestaw aplikacji i narzędzi, które pomagają autorowi efektywnie pracować i tworzyć treści online. Od edytorów tekstu po zarządzanie zadaniami i automatyzację - zobacz, jak wygląda jego workflow. Być może znajdziesz tam inspirację do optymalizacji własnych procesów. Techsistance to także newsletter, więc jeśli interesują Cię tego typu treści, warto go subskrybować.

14. Przejęcie danych obywateli z użyciem wygaśniętych domen - proste i tanie
    https://inti.io/p/when-privacy-expires-how-i-got-access
    INFO: Warto sprawdzić, co dzieje się z domenami, które przestały być używane i opłacane. Autor kupił ponad 100 domen należących do instytucji socjalnych i sądowych w Belgii. Odkrył, że wiele z tych domen było nadal wykorzystywane, co może prowadzić do wycieku wrażliwych danych obywateli. To ciekawa lektura z pogranicza security.

15. Nie używaj 'pikselowania' do ukrywania tajnych danych - oto dlaczego
    https://bishopfox.com/blog/unredacter-tool-never-pixelation
    INFO: Technika pikselizacji tekstu to nie jest bezpieczny sposób na jego utajnienie. Ten proces da się odwrócić. Autor przedstawia narzędzie Unredacter, które potrafi odwrócić taką operację i przywrócić oryginalną wiadomość. Najlepszą metodą na porządną cenzurę jest... zwykły, jednolity, czarny pasek zasłaniający tekst.

16. Czym jest mechanizm JavaScript Proxy?
    https://gomakethings.com/a-primer-on-javascript-proxies/
    INFO: W JavaScript pojawiły się już jakiś czas temu obiekty typu "proxy". Czym one są, jak z nich korzystać i kiedy mogą usprawnić twoją pracę? Ten artykuł to solidne źródło wiedzy o wykrywaniu interakcji z właściwościami obiektów i tablic, a także o uruchamianiu kodu w odpowiedzi na takie działania. Poznaj podstawy użycia Proxy, w tym najpopularniejsze metody pułapek, takie jak get(), set() i deleteProperty(), oraz dowiedz się, jak radzić sobie z zagadnieniem zagnieżdżonych obiektów i tablic.

17. Zbiór narzędzi online dla developerów
    https://it-tools.tech/
    INFO: Przydatna kolekcja wszelkiego rodzaju generatorów, konwerterów, parserów, kalkulatorów itp. Istnieje szansa, że znajdziesz tam coś, co będzie przydatne w twojej codziennej pracy.

18. Kiedy GIT milczy o błędach i rozwala Ci merge...
    https://felixandreas.me/blog/when-git-fails-silently/
    INFO: Autor omawia problem, który może wystąpić podczas korzystania z Git-a. W pewnych warunkach może zdarzyć się sytuacja, która doprowadzi do utraty danych lub do błędnego połączenia commitów. Dlaczego tak się dzieje i jak to rozwiązać, korzystając z repozytoriów na GitHubie? Warto wiedzieć, że tego rodzaju błędy mogą wystąpić.

19. Jak zostać świetnym tech leadem w ciągu 12 miesięcy?
    https://hybridhacker.email/p/how-to-become-a-great-engineering-leader
    INFO: Marzysz o roli lidera w branży IT, ale nie wiesz, od czego zacząć? Ten artykuł to rozpisana 12-miesięczna ścieżka rozwoju, która pomoże Ci osiągnąć ten ambitny cel. Znajdziesz tu materiały, które przygotują Cię do efektywnego zarządzania zespołem i współpracy z produktami. Łącznie, znajduje się tu ponad 150 linków do źródeł wraz z opisami.

20. VPN nie gwarantuje bezpieczeństwa, a reklamy kłamią (film, 15m)
    https://www.youtube.com/watch?v=bS6exO5SRfU
    INFO: Chcesz bezpiecznie korzystać z publicznych sieci Wi-Fi? Załatw sobie VPN! Chcesz zabezpieczyć się przed atakami? Koniecznie użyj VPN! Tylko... to wszystko nie jest prawdą. Reklamy kłamią, a usługi tego typu nie do końca działają tak, jak sugerują to reklamy. Do tego, najnowsza luka zwana TunnelVision pozwala na podsłuchiwanie ruchu sieciowego, i to nawet pomimo zastosowanego w VPN-ie szyfrowania.

21. Jeden z algorytmów Google ujawniony przez wyciek z GitHuba? (film, 4m)
    https://youtu.be/XNQhDl4a9Ko
    INFO: Algorytm wyszukiwarki Google został niedawno ujawniony w ramach niedawnego wycieku. Nie do końca wiadomo, czym były wycieknięte dokumenty i fragmenty kodu, oraz czy były one prawdziwe (sama firma raczej się od tego odcina). Po analizie niektórych struktur danych okazało się, że Google nie do końca szczerze mówi o tym, co wpływa na algorytm pozycjonowania stron w wynikach, ale to chyba nie jest zaskoczeniem.

22. Wyciek wewnętrznej dokumentacji algorytmu Google Search
    https://ipullrank.com/google-algo-leak
    INFO: Jeśli myślałeś, że wiesz wszystko o tym, jak działa Google Search, ten artykuł dostarczy ci nowych informacji. Wyciekła wewnętrzna dokumentacja API Content Warehouse od Google, ujawniając ciekawe szczegóły dotyczące przechowywanych danych na temat zaindeksowanych treści. Autor stara się przeanalizować to, co wyciekło. Materiał ten jest interesujący zwłaszcza dla ludzi z branży SEO.

23. VS Code i sprawdanie kompatybilność CSS 'na żywo'
    https://github.com/vivek9patel/vscode-css-compatibility
    INFO: Jeśli pracujesz z CSS w Visual Studio Code, ta wtyczka zdecydowanie Ci się spodoba. Sprawdza ona w czasie rzeczywistym, które elementy CSS są wspierane przez różne przeglądarki, a które są już przestarzałe lub dopiero eksperymentalne. To trochę jak zintegrowanie 'Can I use' z IDE.

24. Zhakowałem czas, aby odzyskać 3 miliony dolarów z portfela krypto (film, 22m)
    https://www.youtube.com/watch?v=o5IySpAkThg
    INFO: Ponad 11 lat temu, jeden z właścicieli portfela na kryptowaluty uświadomił sobie, że zapomniał do niego hasła. Po latach okazało się, że kwota zgromadzona na nim to całkiem pokaźna sumka. Hasło do portfela zostało wygenerowane za pomocą aplikacji RoboForm. Okazało się, że metoda "losowania" haseł w tej aplikacji nie należała do najbezpieczniejszych i przy użyciu pewnych sztuczek da się odzyskać utracone hasło.

25. Recall w Windows 11 - poważne zagrożenie dla prywatności?
    https://www.bleepingcomputer.com/news/microsoft/microsofts-new-windows-11-recall-is-a-privacy-nightmare/
    INFO: Microsoft przedstawił technologię, która, zapisując zrzuty ekranu, pozwala na łatwe odnajdywanie informacji z przeszłości za pomocą odpytywania o nie sztucznej inteligencji. Jednak przetwarzanie ekranu użytkownika co kilka sekund i wysyłanie wszystkiego, co na nim się znajduje, do chmury nie brzmi jak dobry pomysł w kwestii prywatności i bezpieczeństwa cyfrowego. Co realnie nam grozi?

26. Omijanie firewalla przez znalezienie źródłowego adresu IP
    https://infosecwriteups.com/bypass-firewall-by-finding-origin-ip-41ba984e1342
    INFO: Wiele aplikacji jest ukrytych za zaporą sieciową, która przyjmuje na siebie np. ataki DDoS czy wszelkiego rodzaju skanowania podatności. Jeśli jednak agresorowi uda się poznać prawdziwy adres IP serwera chronionego przez takie rozwiązanie, może on wysyłać zapytania wprost do źródła. Tylko jak namierzyć to źródło? Tego dowiesz się z artykułu.

27. Ekosystemie frameworków JavaScript - omówienie (film, 43m)
    https://youtu.be/XaNqdlfVF-M
    INFO: Eksperci z Google omawiają najnowsze trendy w świecie frameworków JS. Przedstawione są między innymi rozwiązania takie jak Nuxt, Astro czy Remix i możliwości, jakie dają programiście.

28. Praktyczne narzędzia wiersza poleceń w Pythonie
    https://www.pythonmorsels.com/cli-tools/
    INFO: Czy wiedziałeś, że niektóre moduły Pythona mogą być wywoływane bezpośrednio z terminala? Ten artykuł to przewodnik po tego rodzaju modułach, które ułatwiają codzienną pracę. Od prostego serwera HTTP, po generowanie kalendarza. Znajdziesz tu również wskazówki, jak wykorzystać te narzędzia w pracy z kodem Pythona, na przykład podczas analizy kodu.

29. OSINT i pozyskiwanie informacji z wykorzystaniem map
    https://devszczepaniak.pl/osint-pozyskiwanie-informacji-z-wykorzystaniem-map/
    INFO: Mapy stanowią świetne źródło informacji w ramach analiz prowadzonych z wykorzystaniem metod białego wywiadu. Autor przedstawia narzędzia, które mogą usprawnić taką analizę.

30. JiraJS - zautomatyzuj swój 'ulubiony' system
    https://github.com/MrRefactoring/jira.js
    INFO: Ta biblioteka ułatwia interakcję z API JIRA Cloud, Agile oraz ServiceDesk, za pomocą JavaScript/TypeScriptu. Dzięki niej możesz zautomatyzować powtarzalne czynności z aplikacji JIRA, na przykład automatycznie przypisywać tickety, klasyfikować je, analizować, tworzyć raporty itp.

31. Matcha CSS- framework CSS dla szybkiego prototypowania
    https://github.com/lowlighter/matcha?tab=readme-ov-file
    INFO: Jeśli potrzebujesz naprawdę szybko i bez zbędnego grzebania w kodzie ostylować prostą stronę, to być może Matcha CSS jest tym, czego szukasz. Nie wykorzystuje JS-a, nie wymaga budowania zasobów i w praktyce często wystarczy tylko dorzucić jeden plik CSS do projektu, aby zaczął on wyglądać lepiej.

LINKI TYLKO DLA PATRONÓW

32. "A gdyby tak zrobić startup w weekend?" - moje wystąpienie z Infoshare 2024
    https://uw7.org/un_2746615052b1b/
    INFO: Jest to nagranie z tegorocznej, płatnej konferencji Infoshare, na której opowiadałem o szybkim prototypowaniu aplikacji za pomocą narzędzi no-code. Film został wrzucony do "Skarbca Patrona", do którego dostęp otrzymał każdy z patronów.

Zobacz poprzednie wydania newslettera:

• [2024-05-24] Hackowanie Electrona, zatruwanie danych, Atomowe Nawyki i... znikająca kropka
• [2024-05-17] Skuteczne zespoły IT, mów jak Senior Developer, chiński podsłuch i... fałszywy badge od Apple?!
• [2024-05-10] Przeciążeni programiści, enigma, 10x engineer i... wojna ze StackOverflow?!
• [2024-05-03] Kosmiczny rachunek za S3, bezpieczny Docker, granice LLM-ów i... lava lamp?!
• [2024-04-26] Produktywność z AI, zostań ISP, analizuj malware i... ktoś zepsuł Google?!

Lubisz czytać mój Newsletter? Podziel się nim proszę ze znajomymi ⬇️ 

Wersja webowa aktualnego wydania

Do zobaczenia za tydzień  👋

pozdrawiam Jakub 'unknow' Mrugalski https://mrugalski.pl

Jeśli nie chcesz więcej otrzymywać ode mnie wiadomości, zawsze możesz się wypisać.