2021-04-08 聚會手記 meeting journal

2021-04-08 聚會手記 meeting journal

黑客星期四 聚會資訊 hacking thursday meetup info

https://hackmd.io/CVS-B5o6T0iYuMKGjfi6XA?view

簽到: jeffgen0x4

筆記 Note

thinker

.學好 Python (無 coding 經驗者) 我就技術討論技術的成長, 而不是職涯成長。我個人覺的職涯成長應該去 Tech Jobs 或是商周看。 Python 的學習, 粗分成兩大部分。1. Python 本身的語法和 coding 技巧。 2. 特定應用領域, 如 machine learning, statistics, data analysis, science computation, security, … etc. 後者基本上看個人的興趣和職涯規劃, 前者則是後者的基礎。此文集中在前者。 Python 有一些基本的觀念, 初學 programming 要循序學習, 才比較容易。

  1. 簡單的四則運算和符號或變數的觀念。
  2. branch (if-else, for-loop, while-loop)
  3. tuple, list 和 dictionary (primitive type 和 object 的差別)
  4. Function 的觀念
  5. namespaces 是什麼? scope 是什麼?
  6. module
  7. class
  8. iterators, list comprehension, …. functional 等較複雜的語法
  9. Python 的風格和哲學
  10. meta programming 一般來說, 沒有任何 coding 基礎者, 學到 5 之前, 前四階段應該都沒什麼大問題。除了第一階段的 symbol/or variable 觀念, 可能有人會卡一下。在後面 2~4 可能還會因為 symbol 觀念不清楚, 而開始混淆。 第三階段, 也會因為 primitive types 和 compound types 而疑惑。主要疑惑會發生在將某 compound type 的 instance 指定到不同 symbol 裡, 和指定到其它 compound type 的 member。 第五階段要先建立 namespace 的概念, local, global 等。甚至是 nested function 的 scoping/namespace。這觀念通常要花不少時間, 而且也影嚮到 6 和 7 的學習。 6 和 7, module 和 class。這涉汲到 Python 一個很特別的設計。不管是 module 或是 class, 基本上都可以看成是一段用來初始一個 namespace 內容的程式碼。瞭解這個事實上, 才算通透 Python 的特性。但這個特性應該放到最後的 meta programming 來學習比較合適。module 不止學會製作 module, 還要學習一些常用的 module 的功能。做一些應用。 8 和 9 沒什麼特別要注意的。9 就是多參考別人的程式碼, 瞭解別人決擇的關鍵因素在哪!在這個階段, 算是出師了。在 9 的階段, 就是師父叫你下山去歷練的時間點。10. 大概是師父留給你的秘籍, 讓你慢慢練。練不成也無所謂。 基本上, 從 Python 入門 programming 有三個主要的關卡。變數, compound types, namespaces or scopes.學習時要特別注意。 至於第 10 階段學到的技巧, 是一些可以移山倒海的禁技。真的不是我唬爛的,你可以改變 Python 的一些行為, 影嚮的範圍可以遠超過你的 module , 用移山倒海來形容不為過。千萬不要隨便使用。除非你的受眾是那些你覺的有資格的人。例如, 一些非常核心的東西, 你覺的其它人沒事不應該去更動。像這種情況, 或許可以適當的使用。否則, 你會收到一堆 WTF。 補: 6 和 7 階段開始要做一些應用,不一定是實例。但可以是一些小任務, 練習 programming 的特定面向。這方面的練習安排, 可以參考「學習的王道」和「刻意練習」這兩本書的概念。

jeffgen0x4

HARDWARE

facebook user data leak incident

國際最新新聞,有駭客論壇洩露Facebook用戶5.33億個人隱私資料. OSSLab Geek Lab分析了一下 一.FB資料早在 2021 2.19 早已經洩漏約3億筆資料. 台灣筆數如圖約73萬筆 二.新資料一樣也是73萬筆 數字一模一樣,總國家為106國家,總筆數增加為5億筆. 三.看起來都是公開資料如:FB ID 電話 跟男女性 工作單位 應該是以公開的為主 四.看起來是FB 2019 的漏洞. 五.有心人士有開發輸入FB ID查找此人電話號碼Telegram bot. #OSSLab #只講一手資安資訊

  • 標題:臉書「個資外流」事件,全球 5.33億(台灣 73.4 萬、香港 293.7 萬)筆個資外洩 寫在前面: 這是在 2019 年外洩的個資,但不確定是否包含現在的資料。如果你從 2019 年到現在都沒有變更過密碼,沒有開啟兩階段驗證,請盡速變更及設定。當然最好現在再變更一次,以策安全。 就算是舊資料,有心人士及詐騙集團還是會拿來進行社交工程。並且不曉得為什麼,許多敏感單位的人都喜歡告訴別人,自己在哪任職? 摘要: 根據《Business Insider》報導指出,他們在 4/3 發現Facebook發生個資外洩的事件,他們從一個初階的駭客論壇中,取得了5.33億筆的Facebook個人資料。 法新社報導,以色列網路犯罪情報業者Hudson Rock技術長加爾(Alon Gal)今天在推特(Twitter)表示:「全部5億3300萬筆臉書紀錄已外洩供免費使用」。 推特上的資料與截圖: https://twitter.com/UnderTheBreach/status/1378314424239460352?fbclid=IwAR3JUr3K-nkwzBMzgAu2DHyD2tczttFt7KCamg3Bg1PGyW0wYOmL9gaXlYI

這些資料來自106個國家使用者,其中有超過3200萬條屬於美國用戶的資料、1100萬條英國用戶資料、600萬條印度用戶資料。 《CTWANT》也實際前往該論壇查看,發現台灣用戶的資料也在洩漏清單中,共計有73.4萬筆,香港則有293.7萬筆外流。 而外洩資料的範圍包含了用戶的電話號碼、ID、真實姓名、所在區域、生日、個人簡歷,甚至部份情形下,可以看到用戶的電子郵件。 原始資料: 533 million Facebook users’ phone numbers and personal data have been leaked online 相關報導: https://www.worldjournal.com/wj/story/121148/5364694 引用來源: https://www.ctwant.com/article/110618

image alt

fortinet leak

  • 標題:美國政府警告 Fortinet 軟體漏洞恐遭國家駭客開採 摘要: 美國聯邦調查局(FBI)及網路安全暨基礎架構安全管理署(CISA)指出,他們觀察到一個進階滲透威脅(APT)組織正在掃瞄Fortinet的傳輸埠4443、8443、10443,尋找作業系統軟體FortiOS上的漏洞CVE-2018-13379,並針對Fortinet裝置進行列舉分析,以開採CVE-2019-5591和CVE-2020-12812。 目前已有多家政府、商業組織及ISP遭到鎖定,FBI和CISA呼籲政府及民間組織應儘速修補這三項漏洞。 沒有使用FortiOS者,則應將FortiOS的主要產出檔案加入封鎖清單,防止任何安裝或執行程式或相關檔案的行為。 原始資料: https://www.ic3.gov/Media/News/2021/210402.pdf 引用來源: https://www.ithome.com.tw/news/143629

  • 標題:補了沒?Cring 勒索軟體現在對 Fortinet OS 漏洞發動攻擊 寫在前面: 別不信邪, MS Exchange 的案例擺在眼前。 備註: 駭客論壇出現近5萬個未修補漏洞的Fortinet SSL VPN設備IP位址名單 https://www.ithome.com.tw/news/141261 摘要: 卡巴斯基安全研究中心發布公告,他們發現一隻名為Cring的勒索軟體正在開採Fortinet SSL VPN設備FortiGate上的漏洞。受害企業包括數家歐洲工業廠商,至少有一家受害企業因為控制生產流程的伺服器遭到加密,導致產線暫時中斷。 在主要攻擊前幾天,攻擊者已經針對FortiGate VPN進行先導測試,他們可能是藉由掃瞄IP位址,或是從地下論壇上購買有漏洞的FortiGate的IP位址以尋找攻擊目標。 研究人員建議企業用戶儘速安裝更新版FortiOS、安全軟體、做好備份,此外也建議限制使用VPN的裝置及傳輸埠、並限制用戶對目錄存取。 原始資料: https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/ 引用來源: https://www.ithome.com.tw/news/143701

clojure 月底四月聚會

h4cker02