🥷🏻 Linux для початківців: step by stepOverTheWire Bandit— навчальна гра для тих, хто хоче вивчити Linux, командний рядок та базові принципи кібербезпеки. Вона спеціально створена для новачків. Ви підключаєтесь до віддаленого Linux-сервера через SSH. Кожен рівень містить невелику задачу. Розв'язавши її, ви знаходите пароль до наступного рівня. Складність поступово зростає: від читання файлів до роботи з правами доступу, мережевими сервісами, кодуванням даних, скриптами тощоDistroSea — дозволяє без встановлення запускати різні Linux-дистрибутиви прямо в браузері та експериментувати з командами. Alpine Linux, Alma, Artix, Arch Linux, Debian, CachyOS, Linux Mint, Linux Lite, Big Linux, Ubuntu, Elementary OS та багато інших дистрибутивів без необхідності завантаження та інсталяції. Тут можна виконувати задачі з Bandit, якщо ви по якійсь причині не маєте змоги встановити Linux на свій пристрій. Або просто спробувати різні дистрибутиви. Linux command library — найбільша бібліотека команд і підказок для Linux. Досить зручне сортування. Є як веб-версія, так і додаток для Android та IOS. Наразі додаток містить 8439 сторінок з інструкціями, 22+ базові категорії та багато загальних порад щодо роботи з терміналом. Він працює офлайн, не потребує підключення до інтернету та не містить програмного забезпечення для відстеження.The Art of Command Line — якщо вищевказаний підійде для швидкого пошуку конкретних команд, то цей репозиторій вже next lvl. Підійде для глибшого розуміння командного рядка: коли використовувати певний інструмент, як комбінувати команди через пайпи, типові прийоми досвідчених користувачів Linux, продуктивність в терміналі тощо. Доступна українська локалізація.OSINT con Linux— також трішки специфіки. Відеокурс по OSINT для Linux. Всього дев'ять модулів: встановлення та керування Kali Linux; інструменти веб-пошуку; інструменти пошуку профілів; інструменти пошуку електронної пошти; інструменти соціальної інженерії; інструменти використання проксі; інструменти геолокаційної розвідки; фреймворки OSINT та метадані. #навчання #безпека
🎭 Що важливіше: якість результатів чи контроль над даними?Uruky — приватна пошукова система. Вона не дає кращого пошуку, ніж Google. Її головна перевага — приватність: жодної реклами, стеження чи аналітики, жодних ШІ-асистентів, новин або зведень. Ви можете шукати навіть з вимкненим JavaScript. Чим відрізняється від Google або DuckDuckGo? Не показує рекламу та не фінансується за рахунок реклами чи венчурного капіталу. Ніяких персоналізованих результатів. Ніякого ШІ. Розташована не в США, а в ЄС. Фінансується користувачами — ви не продукт, а клієнт.Для веб-пошуку Uruky наразі інтегрує Mojeek, Marginalia, EUSP, Linkup, Serper та Uruky Site Search. Для пошуку зображень використовується Pixabay та Serper. Це не про найефективніший пошук інформації, в більшості випадків Google з цим впорається краще. Це про контроль над даними, відсутність нав'язливих ШІ-асистентів, спонсорованих результатів видачі та реклами. Це альтернатива пошуковій системі Kagi, тільки яка зосереджена виключно на пошуку та повністю відмовилась від ШІ. Підписка коштує 5 €/місяць. Доступний невеликий безкоштовний період.Argos Translate — бібліотека для офлайн-машинного перекладу з відкритим кодом. Знову ж таки, це не про найкращий переклад у світі — той самий DeepL у багатьох випадках може впоратися із цією задачею краще. Це про приватність і контроль над даними: тексти нікуди не надсилаються, інструмент працює офлайн — повна автономність, відкритий код, ніяких лімітів та підписок, гнучка інтеграція. В нього також існує і веб-версія під назвою LibreTranslate.#безпека
🏪 Аналіз відео: зворотний пошук, метадані та пошук об'єктівClipTrace— зворотний пошук відео по всьому Інтернету. Одночасно через Google, Yandex, Bing та TinEye. Що він покаже? Схожі відео або точні співпадіння на різних платформах; мову, якою говорить спікер, та вірогідну локацію/регіон зйомки — за наявності відповідних ознак; метадані. З мінусів — не ви вибираєте ключові кадри, за якими буде здійснено пошук, а сам сервіс. Через це в частині випадків Google Image Search працюватиме краще, банально тому, що тут ви самі обираєте кадр.Find Moments — шукає потрібні моменти на відео. Аналізує відео за посиланням і знаходить фрагменти, що відповідають текстовому опису. Шукайте об’єкти, сцени, дії, звуки, емоції, людей тощо. Наприклад, "знайти всі моменти, коли були помічені автомобілі на відео". Шукає досить непогано. Швидкий. Фрагменти одразу можна переглянути з точними позначками часу. З мінусів — присутні ліміти, але їх вистачить для обробки декількох довготриваючих відео. Завантажити своє відео ви не зможете, тільки URL-посилання.#перевірка
🌎 Чим небезпечне використання GPS-трекерів при пробіжках, велопоїздках тощоStrava Global Heatmap — взагалі це як Інстаграм для спортсменів. Сюди завантажують свої маршрути з даними GPS, швидкістю, часом проходження та іншою статистикою — частково через соціальну конкуренцію й лідерборди. Вся суть проблеми: один публічний біговий маршрут може розкрити військову базу, схему патрулювання, домашню адресу або місцезнаходження авіаносця в режимі реального часу.Мова зараз йде саме про Global Heatmap — теплову карту активності користувачів у світі. Вона показує, де люди бігають, їздять, ходять, катаються. В OSINT такі інструменти цікаві не через спорт, а через геодані та поведінкові патерни людей. Фактично він дозволяє дослідити, чи є регулярна активність у певному районі, наскільки місце "живе", які дороги або стежки використовуються найчастіше, часові патерни тощо.Деякі люди на делікатних посадах та/або в певних місцях щодня діляться своїми тренуваннями. Іноді це солдат на базі, іноді охоронець, іноді велосипедист, чий маршрут починається біля їхніх вхідних дверей. Колись саме через Strava Global Heatmap знаходили військові бази США в пустелях — бо солдати бігали з GPS-трекерами. В додаток кожен, хто ним користується, повинен мати обліковий запис.І тут цікавий кейс — співставили маршрути 70 офіційних візитів Джо Байдена за кілька років з даними пробіжок зі Strava у ці ж дні в районах мешкання офіційної делегації. Таким чином у Strava було ідентифіковано 150 агентів. З них список звузили до 26 — щодо яких не було сумнівів, що вони входять до складу охорони Президента США. Тому що охоронці президента завжди слідують за ним. А де агенти, там і президент — можна знайти адресу мешкання його та його сім'ї просто за маршрутами пробіжок.#перевірка
💊 Знайти кохання своєї мрії або жити без ілюзійКалькулятор ілюзій — яка частка чоловіків/жінок України відповідає вашим критеріям? Інструмент розраховує приблизні шанси знайти ту саму або того самого, які підходять вам за всіма основними критеріями "успішності": вік, зріст, дохід, освіта, не курить, не п'є, має своє житло, без дітей, має власний автомобіль тощо. Вже успішно розвінчано понад 74 000 чиїхось ілюзій. Дані взяті з реальних джерел: Держстат, МОЗ, Інститут демографії НАН тощо. Є непогані шанси, що після розрахунку ви зможете небезпідставно заявляти, що таких як ви — менше одного відсотка.Open source games— для тих, хто вибрав жити без ілюзій. Це перелік різних відеоігор з відкритим кодом та комерційних відеоігор, ремейки яких були створені на основі відкритого коду. Будівництво міст, гонки, стратегії та інші категорії. Багато маловідомих, але досить цікавих оригінальних проектів, наприклад «Server Survival» (виживання на сервері) — гра в жанрі «захист вежі», яка допомагає освоїти архітектуру хмарних систем. Ви в ролі архітектора хмарних рішень. Ваше завдання — створити та масштабувати надійну хмарну інфраструктуру, здатну витримувати зростаючі навантаження трафіку, одночасно відбиваючи DDoS-атаки, керуючи бюджетом та забезпечуючи безперебійну роботу сервісів.#сервіси
🎭 Steam — не гарантія того, що в грі не буде вірусівРеальний свіжий кейс. Valve видаляє безкоштовну гру жахів зі Steam після того, як гравці виявили, що вона містить шкідливе програмне забезпечення, яке краде їхні дані. На прев'ю гра виглядає досить смачно. Час від часу у Steam трапляються платні ігри зі 100% знижкою або нові безкоштовні ігри — найчастіше проблеми виникають саме з ними.Спочатку гра називалася «Rodent Race». Однак хтось зламав обліковий запис розробника на Steam і швидко перетворив її на «Beyond The Dark», змінивши назву, скріншоти та інші дані в магазині. Оскільки Steam не перевіряє повністю кожне оновлення гри, модифікована версія змогла з’явитися в продажу, не викликавши одразу підозр. Сама гра часто аварійно завершувала роботу, при цьому шкідливе ПЗ продовжувало непомітно працювати у фоновому режимі, шукаючи розширення браузера для криптогаманців, інформацію браузера та паролі.Інші приклади: нову безкоштовну гру 2025 року PirateFi через тиждень після релізу було видалено з бібліотеки ігор Valve у Steam через вміст у ній шкідливого коду. Так само й інші ігри: BlockBlasters, Chemia, Lampy, Lunara, DashFPS, Tokenova. Угода користувача Steam одразу попереджає, що сервіс не дає жодних гарантій того, що програмне забезпечення функціонуватиме безперебійно й без помилок або шкідливих програм (вірусів), як і Epic Games. Тому робіть висновки.#безпека
Курс кібербезпекового комплаєнсу — безкоштовне навчання для фахівців, які хочуть системно розібратись у регуляторних вимогах до кібербезпеки.🗓 1 червня — 15 червня 👥 Для сек'юріті офіцерів, комплаєнс офіцерів та всіx, хто працює з безпекоюУ програмі — актуальне законодавство ЄС, США та України (NIS2, CRA, DORA, HIPAA), міжнародні стандарти (ISO 27001, SOC 2, NIST CSF) та практичні інструменти імплементації, які ми використовуємо у своїй роботі. 👉🏻 Більше про адженду тут📌 Який формат? Онлайн-лекції та домашні завдання та нетворкінг з однодумцями — ми розраховуємо на тих, хто готовий справді занурюватись у матеріал, а не просто бути спростерігачем. 📌 А буде сертифікат? Після завершення курсу сертифікат від Legal IT Group отримають ті, хто пройшов усі модулі та виконав завдання. До фіналу дійдуть не всі — і це нормально. 📌 Як потрапити?Участь безкоштовна, але місця обмежені. Відбір відбувається за мотиваційним листом — напишіть, чому вам важливо опанувати кібербезпековий комплаєнс саме зараз. Заявки приймаємо до 29 травня.📌 А хто спікери?* Катерина Дубас, CIPP/E, CIPT, CIPP/US, FIP, LL.M — голова практики приватності та кібербезпеки в Legal IT Group * Антон Тарасюк, CIPP/E, CIPM, FIP, LL.M — керуючий партнер в Legal IT GroupДеталі та подача заявокза посиланням!Приєднуйся!
👨🎤 Фейковий GEOINT, або як видавати бажане за дійснеВсе частіше потрапляють відео з нереально крутим визначенням місця зйомки за фото. У цьому прикладі ви бачите одне з таких відео, яке набрало мільйони переглядів, сотні тисяч лайків і багато схвальних коментарів. Насправді ж автор просто накидав рандомних зображень зі швидкістю звука, додав "серйозний" музичний супровід і вже знав місце, яке шукав, ще до того, як почав його шукати.Детальний розбір відео. Автору в особисті скидають фото, де зображена цегляна кладка якоїсь хрущовки з невеликим фрагментом газової труби. Далі він вручну відтворює узор кладки і запитує в Gemini про нього, який відповідає, що така кладка використовувалася в сотнях різних міст росії. Далі автор демонструє фрагмент зі статті, де зображена така сама кладка і нібито ця стаття стосується саме Нижнього Новгороду. Я знайшов цю статтю, і вона ніяким чином не стосується вищевказаного міста — це просто інструкції по будівництву. Отож екстрасенсорними здібностями він "зрозумів", що це Нижній Новгород.Далі він починає робити розрахунки за тінями. Для чогось демонструє демо-фото інструменту ShadowFinder, для роботи якого необхідні: висота об'єкта, довжина його тіні, точна дата та час (з урахуванням часового поясу). Він же не знає ні дати зйомки, ні точного часу зйомки, ні часового поясу. А там кожна хвилини має значення. Та й взагалі ShadowFinder встановлює за тінями всі можливі місця на Землі, де могло бути зроблено фото. Якщо ти вже знаєш, що це Нижній Новгород, який сенс використовувати цей інструмент? Хтось скаже: щоб перевірити, що це дійсно Нижній Новгород, — тоді чому немає ніяких розрахунків? Як він вводить дані, вимірює тіні, об'єкти? Немає кінцевої згенерованої мапи можливих місць. Я б із радістю подивився, як він це зробить із такими то вхідними даними. А то тільки тикає по карті, як гадалка.Далі, без пояснень вищевказаних дій, він переходить у ШІ-інструмент Picarta, який за фото визначає місце зйомки. З особистого досвіду — це досить рандомний інструмент, навіть якщо звузити радіус пошуку до невеликої області. Найсмішніше, що навіть тут у автора нічого не вийшло. Як мені здається, Picarta просто не змогла знайти правильне місце, тому в момент видачі результатів він вставив фрагмент з іншою картою (це чітко видно по зміні інтерфейсу), де заздалегідь вже знав правильне місце. Звичайно "обучєніє" тільки в закритих телеграм каналах. Найнеприємніше, що таких відео на просторах TikTok з'явилося сотні за останні місяці, і люди в значній своїй масі вірять в це. #інформаційнабезпека
🏪 Ностальгія — така солодка й безтурботнаToon Tone — наскільки ви уважні до деталей? Ваше завдання — вгадати кольори різних героїв із мультфільмів по пам'яті. Згадайте класичних персонажів мультфільмів різних епох та підберіть їхні характерні відтінки за допомогою повзунків HSB. Черепашки-ніндзя, South Park, Спанч Боб, Злюки-Бори, Том і Джері, Свинка Пеппа, Вінні-Пух (1968), Сімпсони, Аладдін (1992), Флінстоуни (1960) та сотні інших мультфільмів 20-21 століть. Ностальгія для всіх поколінь.Explorer Samismith— це файлова система Windows XP, до якої прив'язали Вікіпедію та розсортували все за категоріями. Непоганий спосіб зацікавити себе дослідженням глибин Вікіпедії, повернутися десь у 2000-2010 роки, коли кожна картинка була на вагу золота, а роздрукований реферат із біографією Шевченка майже гарантував тобі хорошу оцінку. Ну й ця невідомість — коли не знаєш наперед, яка папка з якими картинками або матеріалами буде далі.Forty.News — рівно 40 років тому це здавалося чимось надзвичайним. Ресурс публікує щоденні важливі новини із затримкою в 40 років. Подивіться, як це сприймається з відстані часу - без паніки, оскільки ми вже знаємо, що буде далі. Чому 40 років? Це не випадкове число. 40-річна затримка створює ідеальне дзеркало між епохою Рейгана та сучасністю. Ви бачите відлуння популізму знаменитостей, напруженість часів Холодної війни та мінливий ландшафт глобального капіталізму.#навчання
🥷🏻 Шкідливе ПЗ під час технічної співбесіди — нова схема шахрайстваПід час фальшивої співбесіди попросили встановити шкідливе програмне забезпечення. За останній місяць автор отримав дві такі пропозиції роботи технічним консультантом, але обидві виявилися фейковими. Обидві мали схожий сценарій. Роботодавці зв’язувалися з ним через LinkedIn, запрошували до своєї команди на посаду технічного консультанта. Потім вони ділилися посиланням на свій репозиторій з кодом — навіть не попросивши автора підписати угоду про нерозголошення та не додавши його до своєї організації.Далі просили протестувати код, де сама лише команда "npm install" могла б запустити шкідливе ПЗ. Після того як автор виявив підміну, роботодавці його одразу заблокували в LinkedIn. Також можуть писати у різні месенджери, наприклад Telegram або на фріланс-платформах, з проханням перевірити/виправити код.Рекомендації від автора статті, як запобігти таким шахрайствам:
- Ніхто не публікує свій репозиторій коду публічно, хіба що він призначений для використання з відкритим вихідним кодом.- Якщо він з відкритим вихідним кодом, ви побачите змістовну активність — зірки, форки, учасників.- Ніхто не ділиться своїм приватним репозиторієм коду без угоди про нерозголошення. Оскільки підписання угоди про нерозголошення є повільним процесом, шахрайство стає складним для виконання.- Ніколи не виконуйте npm install на своєму персональному комп'ютері до другої розмови.- Якщо вам потрібно npm install — використайте віртуальну машину в хмарі.- Запускайте тестові завдання та код від незнайомих компаній лише в ізольованому середовищі типу пісочниці.- Якщо є питання по коду — найприскіпливіше в питаннях безпеки перевіряє ШІ Claude. #безпека
TGLIST.COM.UA
