А у меня новый сертификат 😁

N8N Experience

На выходных получил удовольствие от игр c N8N и создания персонального агента, имеющего доступ к моим таск-трекерам, показателям работы бизнеса, почте и пр.


С этой штукой все мои “Я потом посмотрю в данные и позже скажу”, превращаются в один войс или текст в телегу, который быстро анализирует источник, и возвращает мне информацию о работе компаний, мое расписание на неделю, приоритетные задачи или может что-то добавить мне в интегрированные системы.

Дополнительно, становится возможным подключать к нему близких и предлагать пользоваться моим расписанием\задачником\календарем, чтобы не нагружать их интеграциями, а просто записать войс моему ассистенту и он поставит мне задачку на нужное время.

Особенно удобно для РФ, т.к. это дает доступ к AI через тележку, для которой не нужен VPN и прочие приблуды.

Сразу скажу, что придется чутка разобраться и попотеть, но за день это легко освоить и дальше уже сложно остановиться, чтобы не делать из этого интерфейс одного окна, куда захочется запихнуть весь интернет и все свои сервисы.

Для тех кто любит подобные игрушки, особенно рекомендую, хотя и не уверен, что это приживется надолго. Тем более что AI сервисы удивляют нас чем-то новым каждый месяц.
Мысли: Будущее наступило и сразу превратилось в весьма заурядный процесс душной настройки AI ботов :D

Если помните, была шутка у Louis CK про WiFi в самолете: один мудаковатый пассажир жалуется что это дерьмо снова не работает, не осознавая, что он сидит на высоте 10 000 метров, летит над океаном с коктейлем в руке, и еще и умудряется выебываться, что ему недостаточно чудес.
Вот и я чувствую, что очень быстро хочется большего от AI, и то, что вчера было невозможным, сегодня выглядит “Недостаточно хорошим”. Видимо, это и есть двигатель прогресса, хе-хе.

Привет, это канал Yet Another Hacker

Пост для всех, с кем ещё незнакомы.
Меня зовут Егор Богомолов. Я белый хакер со стажем 10+ лет, основатель Singleton Security, команды, которая делает пентесты, Red Team-оценки и обучает бизнес находить уязвимости до того, как это сделают другие. Сооснователь CyberED — главной специализированной образовательной платформы для кибербезопасников в РФ.

Здесь я пишу:

— про кибербезопасность,
— про наблюдение за миром технологий,
— про бизнес и рынок,
— и иногда — про личное и просто, что в голову придёт. Потому что канал личный и могу себе позволить.

Пригласить выступить, вызвать на дуэль, позвать на треню или обменяться мыслями — @empty_jack

У моего сокомандника есть крутой свеженький канал, обделенный публикой. Давайте это исправим!

Вы только посмотрите сколько там годноты!

Смотрите какой кайф для вас сделали!

AI заместит хакеров

Вопрос — попса попсой, согласен, конечно. Но это не значит, что я могу перестать об этом думать.

Я, само собой, спросил, что думает об этом сам ИИ, и он подтвердил мои измышления. Далее они.

Абсолютно точно ИИ поменяет нашу сферу. Об этом, в том числе, говорят все эти прекрасные статьи:
- как AI выигрывает CTF
- как AI захватывает TOP 1 BB
и прочие из этой серии.
Хоть это пока что только «отчасти правда», это очень важные сигналы к переоценке ситуации.


Мое предположение в том, что мастера тонкой настройки, эксперты глубочайшего опыта станут безмерно сильнее с AI. А также, станут еще дороже в борьбе за компетенции между лидерами рынка. Специалисты по наступательной кибербезопасности, криминалисты, спецы по противодействию и пр., которые могут сращивать контекст, происходящий в реальном мире, с событиями в виртуальном, и, применяя инструменты ускоряющие проверку гепотез, анализ и реализацию задуманных идей, станут самым главным звеном любой зрелой в вопросах кибербезопасности организации.

AI серьезно надавит на сегмент начинающих специалистов и мидлов, но это не значит, что их станет сильно меньше. Т.к. мастера же должны появляться из кого-то. Более того, есть основания полагать, что ситуация в подразделениях останется той же самой: Да, всем нужны только синьоры, но где их взять? А что, если ваш хваленый синьор уйдет? Кто его подменит?
Из-за этих сложностей и появляется целая цепочка диверсификации компетенций в подразделении со стажерами, джунами, мидлами. Преемственность опыта невероятно болезненно потерять, особенно когда это касается понимания контекста происходящего в организации.

А на самом деле, специалистов по кибербезопасности может стать гораздо больше, чем раньше, что я считаю более вероятным. Порог входа в обучение направлению и получение практических знаний существенно снижается с наличием идеального наставника в лице AI.
Недостаток кадров в индустрии не будет закрыт AI агентом еще достаточно долго, потому что их проникновение в сложные процессы идет не так гладко, как может показаться. И на недавние 50 000 мест недостающих кибербезопасников может позариться почти любой достаточно усердный новичок, не оставляющий в покое Chat GPT и продолжающий задавать ему вопросы: «Как это работает? Как этим можно воспользоваться? Как мог бы выглядеть эксплойт для этого участка кода?»

Все будет только интереснее, ребята. Что думаете вы?

И снова OFFZONE будет радовать нас в этом августе! Давайте отдадим долг ребятам, которые радуют нас сальной техниной уже который год, и отгрузим годноты в сообщество!

OFFZONE принимает заявки на доклады до 10 июля – настоятельно рекоменду вам вписаться, если у вас есть что-то годное.

Дерзайте 👆🏻

2025: Как режут бюджеты на ИБ

При ключевой ставке 20% бизнесу крайне сложно развиваться и даже мысли дистанцией в год не приносят облегчения — а значит всё, что не даёт прибыль здесь и сейчас идёт под нож.

Честно говоря, я не так много бизнесов знаю, которые приносят стабильные 20% рентабельности в год. Проще любые бабки положить на депозит, чем вообще бизнесом заниматься.

Как вы вообще можете просить делать бизнес безопасным, когда бизнес сам по себе то не делается?! :D

Где у безопасности нет цены – так это в государственных вопросах: энергетическая, продовольственная, информационная безопасность на уровне населения. Там в любом случае надо продолжать работать, довольствуйтесь

Что происходит в ИБ крупных компаний

1. Найм замораживают. Не все и не везде, но в ряде гигантов отечественного бизнеса на паузу поставлены десятки вакансий ИБ-блока. Особенно это касается джуновских позиций. Мотивация простая: «Не до обучения, нужны те, кто умеет тушить пожары».
2. Фичи, не направленные напрямую на рост прибыли, урезают. В 2023-24-м компании смело пробовали SASE, Zero Trust, лили бюджеты в R&D. Теперь любая инициатива должна быть предельно конкретно описана с точки зрения: «А сколько мы с этого сэкономим или заработаем?».


Недавно в паблике мелькала шуточная книжка «На*уй Безопасность: Как игнорировать весь этот бред и зарелизить проект» - это становится реальным девизом бизнеса в след 365 дней :D

Что останется

1. Добивание «последней мили» импортозамещения, т.к. никто не отменял.
2. Выполнения регуляторных требований (По принципу «каши из топора»)
3. Содержание команд реагирования и инженеров безопасности с замораживанием подбора на ближайший квартал.

В общем, времена сложные, но не забывайте, что в «хорошие времена», мы говорили тоже самое, а значит, наслаждайтесь «хорошими временами», пока они у нас есть!

Зачем тебе пентест?
Встречаешься ты с заказчиком, и он говорит тебе случайно, а может быть и нет, «О, у нас тут продукт овнер ( или любая другая сутулая собака роль) захотел пентест провести, давайте сделаем?». И тут, как бы ты не потирал ручки в предвкушении того как сейчас ты с ноги разнесешь им лицо дверь в инфру и все будут счастливы и довольны, нельзя бездумно срываться в обсуждение деталей проекта.

Любой уважающий себя консалтер знает, что если дорожить репутацией, надо делать то, что действительно ценно. Поэтому правильный ответ: «А зачем вам?». Далее не буду расписывать вам весь Тарантиновский диалог, а просто расскажу, что я обычно стараюсь понять в клиенте.

Сделав сотни тестов на проникновение, я понимаю, что результат может по-разному удовлетворять заказчика. Лучший случай и самый идеальный — это когда у заказчика есть гипотеза, которую он хочет проверить. Без понимания «Зачем ты делаешь тестирование?» ни один результат не принесет облегчения. Т.к. 2 или 5 млн рублей будут потрачены, а удовлетворенности от бумажки-подтирашки профессионально составленного отчета так и не будет получено.

Чтобы сделать такую проверку, надо сначала что-то сделать в своей безопасности. Иметь гипотезу, которую вы проверяете. Например, мы считаем что мы защищены; хотим выявить недостатки в нашем платежном API; мы сделали изолированную архитектуру сети и считаем, что из нее нас не сломать; мы построили типовое рабочее место, и наш сотрудник не сможет устроить с него саботаж в домене…

В первую очередь, если вы делаете этот пентест для себя! Если вам он нужен для выполнения регуляторных требований, постарайтесь просто получить побольше выгод во время тестирования: проверьте гипотезы; соберите лог атак для прокачивания ваших детектов; посадите свой мониторинг изучать происходящее и учиться; запросите у хакеров инвентаризацию активов и т.д. Будет стоить лишнюю копейку, зато пользы как от отдельной услуги.

📍Пентестер, не торопись крушить инфру и аппки — пойми, чего хочет заказчик! Или заставь его это понять…

Поговорим про открытый GitLab
Как показывает практика, у большого количества компаний частенько можно найти открытый GitLab в паблик. Да и не только его...

Это удобно бизнесу, особенно когда есть куча подрядчиков. Комфортный интерфейс, web-хуки, CI-виджеты, всё работает из коробки. Проблема в том, что тот же интерфейс оказывается первым, что находят автоматические сканеры типа Shodan и Censys. Дальше цепочка выглядит предсказуемо.

Как происходит компрометация
1. Определение версии
В новых обновлениях ее скрывают, но обычно на help странице она доступна. GitLab подсказывает, какой патч устанавливался в последний раз. Если версия устарела, список публичных CVE уже готов.
2. Remote Code Execution
Для критических уязвимостей (CVE-2025-1257, CVE-2022-2884 и т. д.) давно существуют скрипты-плейбуки. Время от получения баннера до shell — минуты.
3. Доступ к репозиториям и Runner-секретам
Успешный RCE открывает секреты в gitlab variables, CI-токены, deploy-keys, а нередко и приватные ключи разработчиков в артефактах.
4. Распространение внутри сети
С помощью токенов CI/CD атакующий разворачивает бэкдор в пайплайнах, получает доступ к прод-серверу, а затем запускает скрипт шифровки или тихую подмену кода.
5. Supply-chain-эффект
Изменения в репозиториях распространяются клиентам, партнёрам, конечным пользователям — ущерб выходит за пределы одной организации.

Почему риск недооценивают
- GitLab воспринимается как вторая Jira. Почему-то многие забывают, что внутри часто лежат коды инфраструктуры, доступы к Kubernetes, Ansible playbooks и токены облака.
- Сервис обновляется редко: мажорная версия требует тестов, раннеров и иногда даунтайма. Патчи откладывают
- «Ну и что, у GitLab же встроенная авторизация» — да, но без MFA и VPN она становится вопросом перебора паролей или фишинга.

Что делать
1. GitLab спрятать за VPN; как минимум — reverse proxy с ограничением IP-адресов
2. Защитить токены: ротация секретов; хранение deploy-keys вне репозитория
3. Ограничить последствия. Изолированный бэкап gitlab-backup; регулярное восстановление на стенде.

Zero-day в SharePoint: CVE-2025-53770

Привет! Проверьте, не затронуло ли вас. Ниже «краткая историческая справка» и инструкции, что делать.

Microsoft подтвердила активную эксплуатацию критической уязвимости в on-prem SharePoint CVE-2025-53770. Уязвимость позволяет атакующему без авторизации развернуть web-shell и получить удалённое выполнение кода (RCE) через подделку ViewState-токенов.

Эксплойт использует POST-запрос к /layouts/15/ToolPane.aspx с Referer=/layouts/SignOut.aspx, что приводит к загрузке spinstall0.aspx — дампера, извлекающего ValidationKey. Это позволяет сгенерировать валидный токен ViewState и вызвать RCE через инструменты вроде ysoserial.
Первая волна атак была 18 июля и массовое заражение продолжается по всему миру.

Патч от Microsoft уже выпущен: официальная информация от MSRC, установите как можно скорее.

Что ещё стоит сделать:
1. Проверьте IIS-логи на:
POST /layouts/15/ToolPane.aspx?DisplayMode
Referer /layouts/SignOut.aspx
GET /layouts/15/spinstall0.aspx

2. Публичный эксплойт размещает файл spinstall0.aspx в папки SharePoint, проверьте у себя его наличие. Полный путь выглядит так: $destinationFile = "C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx"

Собрали для вас YARA-правило и индикаторы компрометации, приложу сюда

Ладно, вот мои комменты про Аэрофлот

Вы уже точно видели, что случилось. И об этом взломе мы явно будем говорить ещё долго (если только в этом году не случится нового масштабного взлома КИИ).

Я против танцев на костях, тем более что пока мы видели только информацию со стороны хакеров. Будем честны, такое могло произойти не только с Аэрофлотом.

Если все что написано об инциденте правда, то от такого удара будет тяжело оправиться еще долго. Сочувствуем ИТ инженерам кто сейчас будут несколько недель работать без продыха - ребята, мы с вами! ;)
Посмотрим, что расскажут коллеги после официального расследования, и очень надеюсь, что они публично поделятся максимумом информации, потому что отрасли важно учиться на чужих ошибках.

Take care!

Всю неделю на Positive Hack Camp – читаю лекции для студентов из разных стран

Поздравляю финалистов шорт-листа Pentest Awards!

@baksist — спец по анализу защищённости из Singleton Security — смог с первого захода попасть в шорт-лист «Пробив WEB», одной из самых популярных номинаций!

В пятницу узнаем имена победителей, я тоже буду на вечерней тусовке, приходите пообщаться.

P.S. Я не в жюри (к великому моему сожалению) и не знаю, какие кейсы победят и почему. Но очень жду, когда номинанты смогут поделиться своими историями и может даже порадовать нас новыми техниками и подходами к атакам!