infosecurity

Диспетчер файлов. • Мало кто знает, но еще 6 апреля 2018 года компания Microsoft выложила на GitHub исходный код оригинальной версии Windows File Manager, который поставлялся в составе операционной системы Windows в 90-е годы, а также доработанную и улучшенную версию Диспетчера файлов. В своё время эта программа стала первым графическим менеджером файлов от Microsoft. Она позволяла копировать, перемещать и удалять файлы, выделяя их мышью. • Стоит напомнить, что самая первая 16-битная версия Windows File Manager поддерживала только имена файлов в формате 8.3. Поддержки длинных имён файлов не было, как и поддержки пробелов в именах. Если Диспетчеру приходилось отображать длинные файлы, то он показывал только первые шесть символов, затем символ тильды "~" и число, обычно единицу. Если папка содержала несколько файлов с одинаковыми первыми шестью символами в названии, то им присваивались цифры 2, 3 и так далее. • Затем программу переписали под 32 бита для Windows NT. Она уже могла отображать длинные имена файлов и поддерживала файловую систему NTFS. • В 1990-1999 годы Диспетчер файлов оставался стандартным компонентом Windows и поставлялся в составе операционной системы. Последняя версия файла WINFILE.EXE build 4.0.1381.318 поставлялась в составе Windows NT 4.0 Service Pack 6a (SP6a). Последняя 16-битная версия WINFILE.EXE build 4.90.3000 — в составе операционной системы Windows Me. • Представленный исходный код скопирован из ветки Windows NT 4 в ноябре 2007 года. Он содержит некоторые изменения по сравнению с оригинальной версией WinFile.exe. Эти изменения нужны главным образом для того, чтобы программа нормально работала на современных версиях Windows, в том числе на 64-битных версиях и на базе Visual Studio. • Отличительная особенность Windows File Manager — поддержка многодокументного интерфейса Multiple Document Interface (MDI). Это такой способ организации графического интерфейса, в котором большинство окон расположены внутри одного общего окна. Этим он и отличается от распростарнённого сейчас однодокументного интерфейса (SDI), где окна располагаются независимо друг от друга. • Скомпилировав и запустив этот артефакт на современной машине, вы оцените потрясающую обратную совместимость программ под Windows, ведь софт 35-летней давности почти без модификаций работает на последней ОС. Если вы не работали на первых версиях Windows, то можете оценить, какими программами приходилось тогда пользоваться. Только учтите, что в начале 90-х и сама Windows 3.0, и этот Диспетчер файлов заметно тормозили на многих персональных компьютерах. Специально для установки Windows 3.0 приходилось докупать несколько мегабайт оперативной памяти, а иногда и апгрейдить процессор, например, с 20 МГц до 40 МГц. Но в награду пользователь получал текстовый редактор Word под Windows с поддержкой множества кириллических шрифтов и форматированием WYSIWYG — вместо убогого однообразия «Лексикона» или Word под DOS. https://github.com/Microsoft/winfile #Разное

• Take my money.... 💸 #Разное

Программные ошибки и человеческий фактор... • Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Среди некоторых разработчиков даже укрепилось мнение, что баги в принципе существуют всегда и везде. Но если ошибки абстрактны и сложно воспроизводимы в реальных условиях, то проблема не является критичной. • В идеальной ситуации баги исправляют все и сразу. Но в жизни всегда есть куча задач, отодвигающих полный и бесповоротный багфикс (новый функционал, срочные хотфиксы, расставленные приоритеты при исправлении багов). Это значит, что в первую очередь находятся и исправляются очевидные и явные проблемы. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы. • 26 сентября 1983 года спутник эшелона "Око" системы предупреждения о ракетном нападении СССР ошибочно сообщил о запуске пяти баллистических ракет с территории США. Спутник находился на высокой эллиптической орбите, наблюдая за районами базирования ракет под таким углом, чтобы они находились на краю видимого диска Земли. Это позволяло обнаружить факт запуска на фоне темного космического пространства по инфракрасному излучению работающего ракетного двигателя. Кроме того, выбранное расположение спутника снижало вероятность засветок датчиков отраженным от облаков или снега солнечным светом. • После безупречного года работы внезапно выяснилось, что в один день при определенном положении спутника и Солнца свет отражается от облаков, расположенных на больших высотах, оставляя то самое инфракрасное излучение, которое компьютеры восприняли как след от ракет. Заступивший на боевое дежурство подполковник Станислав Петров усомнился в показаниях системы. Подозрение вызвало сообщение о пяти замеченных целях — в случае реального военного конфликта США одновременно произвели бы сотни пусков. Петров решил, что это ложное срабатывание системы, и тем самым, вероятно, предотвратил Третью мировую войну. • Подобная ошибка, едва не повлекшая за собой глобальный ядерный конфликт, произошла и по другую сторону океана. 9 ноября 1979 года из-за сбоя компьютера воздушно-космической обороны Северной Америки была получена информация о начале ракетной атаки против США — в количестве 2200 запусков. В то же время спутники раннего предупреждения и радары показали, что никакой информации о советской атаке не поступало — только благодаря перепроверке данных, сделанной за 10 минут, не был отдан приказ о взаимном гарантированном уничтожении. • Причиной всему оказалась самая опасная уязвимость — человеческий фактор. Оператор компьютера, находящегося на боевом дежурстве, загрузил в него пленку с учебной программой, имитировавшей ситуацию массированной ракетной атаки. • За несколько первых лет работы Национального центра управления Объединенного командования аэрокосмической обороны США и Канады было зафиксировано 3703 ложных сигнала тревоги, большая часть из которых появилась из-за атмосферных явлений. Однако случались и компьютерные ошибки. Так один из «боевых» компьютеров 3 июня 1980 года показал постоянно меняющиеся цифры количества ракет, запущенных Советским Союзом. Проблема возникла из-за аппаратного сбоя в микросхеме. https://www.techinsider.ru/history/1659621 #Разное

• Если у вас возникает потребность в логировании всех команд пользователя Linux, которые он вводит в консоли, то есть отличное решение для данной задачи - Snoopy Command Logger. Настраивается предельно легко и очень быстро. Можно настроить различные фильтры записи, что сохранять, что нет. Например: можно задать логирование только root, указать формат лога, настроить исключения и т.д. • Тут стоит учитывать, что root может очистить файл, куда будут сохранятся логи. Соответственно если существует такой риск, то пересылайте сохраненные логи на удаленный сервер, к которому нет доступа с текущего. https://github.com/a2o/snoopy #Linux

• Недавно публиковал пост, где рассказывал о тематической (infosec) игре Bandit, в которой нужно ковырять консоль, подключаться по SSH к разным серверам, искать на них файлы с информацией, ну и т.д... Так вот, есть не менее интересная игра, только направленная на эксплуатацию Web-уязвимостей. • Если коротко, то суть игры заключается в поиске паролей на сайтах, ссылка на которые дается при переходе на новый уровень. Каждый lvl имеет доступ к паролю следующего уровня. • К примеру, если взять lvl 0 и lvl 1, то от вас просто потребуется посмотреть код страницы и найти в нем пароль на следующий уровень. Если сможете найти, то перейдете на 2 lvl, где уже задача будет немного сложнее: при просмотре кода страницы уровня 2 вы заметите, что на страницу загружается картинка. Заходим в директорию, откуда происходит загрузка картинки. Наблюдаем, что эта дирректоря непроиндексирована и доступна пользователям. Забираем пароль. (Для того, чтобы избежать просмотра файлов в дирректории, в настройках сервера (в данном случае /etc/apche2/httpd.conf) должен стоять запрет на индескирование файлов. Или в данной дирректории должен находиться файл index.html. • Думаю, что суть ясна. Там куча уровней и все они весьма сложные. Просто так посмотреть код страницы на каждом уровне и поискать пароль не прокатит, нужно будет много думать и читать. Но игра залипательная. Однозначно рекомендую. https://overthewire.org/wargames/natas/ #Wargame #Web

Canon NoteJet BN22 — удивительный ноутбук со встроенным принтером (или принтер со встроенным ноутбуком). • Торговая марка Canon прочно ассоциируется у нас с фотоаппаратами, сканерами, принтерами и прочей офисной техникой. Но в былые времена интересы японской корпорации простирались далеко за пределы этого рынка, а ассортимент выпускаемой продукции был гораздо шире. В далёкие 80-е годы крупные японские компании вроде Sharp, Toshiba и даже Casio активно искали своё место в мире персональных компьютеров — рынок ПК демонстрировал бурный рост, и занять там полянку желали многие производители электроники. • Но растущий рынок влечёт за собой нешуточную конкуренцию. Чтобы утвердиться на нём, необходимо предложить покупателям что-то достойное их внимания, оригинальное и необычное. В Canon решили сосредоточить свои усилия не на «домашних» пользователях, а на корпоративном сегменте, предоставив компаниям в дополнение к оргтехнике компьютеры, которыми те могли бы оснастить свои офисы. • Так родилась идея Canon NoteJet — ноутбука со встроенным струйным принтером и оптическим сканером. Это был не просто гибрид, а полноценный бизнес-инструмент для менеджеров, адвокатов, журналистов и страховых агентов, которые работали с документами «в полях». Переносной компьютер с принтером избавлял пользователя от необходимости срочно искать печатающее устройство, если ему вдруг приспичило вывести на бумагу договор или счёт, а сканер в сочетании с модемом превращал устройство в копир и полноценный факс. • Внешне Canon NoteJet выглядит (на фото), как обычный ноутбук образца 1993 года: угловатый, пластиковый, и довольно тяжёлый — весит устройство 3,49 кг. при геометрических размерах 31 × 25,5 × 5 см. Сразу же обращает на себя внимание слишком высокий корпус, но если учесть, что внутри устройства прячется принтер, этот размер вполне оправдан. • Первая модель компьютера была оборудована монохромным LCD-дисплеем диагональю 9,5 дюйма, который поддерживает максимальное разрешение 640x480 точек. Все интерфейсные разъёмы скомпонованы на задней торцевой стороне ноутбука и также прикрыты защитными крышками. Помимо гнезда питания и одного порта PS/2 для подключения мыши или клавиатуры, здесь имеется интерфейс VGA, к которому можно присоединить внешний монитор, параллельный и последовательный (RS-232C) порты, а также многоконтактный разъём расширения для подключения периферии. • Но самое кроется под клавиатурой. Блок с клавишами легко поднимается, и под ним обнаруживается лоток для загрузки бумаги — всего он может вместить до 10 стандартных листов формата А4. Принтер имеет механизм автоматической подачи, отключаемый тумблером на верхней крышке устройства (ASF on/off), при этом отпечатанный лист выходит позади ноутбука, из щели за монитором. • Принтер оборудован собственным выключателем питания, который располагается на верхней крышке, там же размещены кнопки управления процессом печати. Поэтому ради экономии ресурса аккумулятора пользователь может запросто отключить принтер, а сам компьютер будет продолжать работать. • Этот ноутбук продавался в розницу совсем недёшево: по цене 2499 бакссов (на момент 1993 года). С одной стороны, оно того стоило — за эти деньги клиент получал практически готовый мобильный офис, позволяющий работать где угодно. С другой стороны, мнения об этом устройстве кардинально разделились: его либо горячо хвалили, либо не менее горячо ругали. Ругали, прежде всего, за очень маленький ресурс картриджа и большой вес — даже по меркам 90-х ноутбук был тяжёлым и громоздким. В том же 1994 году конкуренты вроде Toshiba и Compaq предлагали более компактные решения. Но главным недостатком всё же считалась цена. Компьютер оказался чересчур дорогим, чтобы стать массовым. • Canon продолжала выпускать NoteJet несколько лет, постепенно улучшая дизайн и характеристики машины, но в конце 90-х компания свернула проект, так как ноутбуки не пользовались особым спросом... #Разное

#Юмор

• Containerlab — бесплатное, open source решение для построения сетевых лабораторий на основе контейнеров, которое позволяет создавать сетевые модели без громоздких виртуальных машин и физических устройств. • Из плюсов: возможность очень быстро и понятно взаимодействовать \ управлять топологией и есть функционал экспорта графа в различных форматах (drawio, mermaid и т. д.). Также есть возможность отобразить топологию в браузере. Минусы: ограниченный набор готовых контейнеров операционной системой #Linux. • К сожалению, я не нашел подробного гайда на русском языке, но есть материал на хабре, в котором есть сравнение с Cisco Packet Tracer / PNETLab и небольшой гайд по использованию. Все ссылочки ниже: • GitHub; • Официальный сайт Containerlab; • Статья: containerlab, как альтернатива Cisco Packet Tracer / PNETLab; • Статья: обзорная экскурсия в мир сетевых контейнеров; • Статья: простое развёртывание сетевой лабы на базе контейнеров. #Сети

• Было время, когда все функции WhoIs, DNS, Google, GoDaddy выполнялись вручную. И делала это девушка по прозвищу Джейк. • В 1969 году Дугласу Энгельбарту (один из первых исследователей человеко-машинного интерфейса и изобретатель компьютерной мыши) приглянулась библиотекарша Элизабет Джослин Фейнлер со скромным прозвищем «Джейк» и он пригласил ее к себе в научный центр ARC (Augmentation Research Center, спонсируемый DARPA). • К 1972 году, когда появился первый в мире персональный компьютер Xerox Alto, Джейк возглавила рабочую группу по созданию нового Network Information Center (NIC) для ARPANET. • Центр давал пользователям информацию о людях, организациях (аналог «желтых страниц»), связь осуществлялась по обычной почте и телефону. Позже связь осуществлялась через электронную почту по узлам ARPANET. • А в 1974 Элизабет с рабочей группой разработали короткое текстовое именование хостов (Host names on-line). Дело в том, что в ARPANET владелец хоста должен был отправить email на HOSTSMASTER@SRI-NIC.ARPA чтобы запросить адрес. Файл hosts.txt распространялся усилиями сотрудников центра NIC и вручную устанавливался на каждом хосте в сети, чтобы обеспечить связь (mapping) между всеми адресами сети. Позже, исследовательская группа работала над масштабированием и функции центра NIC взяли на себя сервисы WhoIs и DNS. • В 1989 году Фейнлер перешла на работу в НАСА в Исследовательский центр Эймса. Она вышла на пенсию в 1996 году, а в 2012 году она вошла в Зал славы Интернета. • Кстати, благодаря Джейк существуют домены (.com, .gov, .org, .mil). Такие дела... #Разное

#Юмор