Выборка WHERE txt_field = 0 для текстовых полей
📖 Сразу оговорюсь – я понимаю, что никому в здравом уме не придет идея делать подобные запросы умышлено. Но понимание таких нюансов может пригодиться для упрощения дебага, а также при каких-то нестандартных ситуациях, не связанных с разработкой для продакшена.
Как раз во время поиска проблемы с выборками из БД и был обнаружен подобный запрос. В коде был баг, который при определенных обстоятельствах превращал параметр строкового ключа в число ноль и в типе int использовался для запроса к базе данных MySql. Не сразу обнаружился ноль в запросе, и пришлось повозиться, прежде удалось понять, почему вместо выборки по строковому ключу, возвращаются вообще все данные из таблицы.
📌 Странные запросы и результаты
На скрине упрощенная таблица БД, которая состоит из двух полей –
В ответ получим три строки:
А такой запрос:
Вернет одну строку:
📌 Почему так происходит?
Странные выборки получаются и не очень очевидные. Но это нормальное поведение MySql. Когда в запросе нужно сравнить число и строку, MySql пытается сделать приведение к одному типу данных. Но приведение типов с MySql работает по своим правилам, вот таким:
– Читает строку слева направо до первого нечислового символа
– Если в начале строки нет цифр, результат преобразования будет равен нулю
– Если есть цифры, то берет только числовую часть и отбрасывает остатки
Поэтому все строки, которые начинаются с нечисловых символов, становятся равны нулю и удовлетворяют условиям выборки
📌 Примеры преобразований строк в число:
———
#⃣ #Костыли #sql #Типы
🐞 Канал // Чат // Задачи
📖 Сразу оговорюсь – я понимаю, что никому в здравом уме не придет идея делать подобные запросы умышлено. Но понимание таких нюансов может пригодиться для упрощения дебага, а также при каких-то нестандартных ситуациях, не связанных с разработкой для продакшена.
Как раз во время поиска проблемы с выборками из БД и был обнаружен подобный запрос. В коде был баг, который при определенных обстоятельствах превращал параметр строкового ключа в число ноль и в типе int использовался для запроса к базе данных MySql. Не сразу обнаружился ноль в запросе, и пришлось повозиться, прежде удалось понять, почему вместо выборки по строковому ключу, возвращаются вообще все данные из таблицы.
📌 Странные запросы и результаты
На скрине упрощенная таблица БД, которая состоит из двух полей –
id и txt_field. Поле txt_field имеет тип varchar и хранит строки. Если сделать такой sql запрос:SELECT * FROM `tbl_test` WHERE `txt_field` = 0;
В ответ получим три строки:
id txt_field
1 kek
2 kek_1
3 kek_2
А такой запрос:
SELECT * FROM `tbl_test` WHERE `txt_field` = 1;
Вернет одну строку:
id txt_field
4 1_kek
📌 Почему так происходит?
Странные выборки получаются и не очень очевидные. Но это нормальное поведение MySql. Когда в запросе нужно сравнить число и строку, MySql пытается сделать приведение к одному типу данных. Но приведение типов с MySql работает по своим правилам, вот таким:
– Читает строку слева направо до первого нечислового символа
– Если в начале строки нет цифр, результат преобразования будет равен нулю
– Если есть цифры, то берет только числовую часть и отбрасывает остатки
Поэтому все строки, которые начинаются с нечисловых символов, становятся равны нулю и удовлетворяют условиям выборки
WHERE txt_field = 0. Однако, если в начале строки есть число, то такая строка преобразуется в числовое значение, поэтому запрос с WHERE txt_field = 1, выдаст результат с «1_kek».📌 Примеры преобразований строк в число:
'123kek' → 123
'kek_1' → 0 (первый символ не цифра)
'1_kek' → 1
'1.23kek' → 1.23
'kek' → 0
'' (пустая строка) → 0
———
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤4👍2
Задача «Тест по YAML». Разбор и победители
📖 6 сентября запускали задачку «Тест по YAML», за ее решения были назначены призы первым трем решившим. Задачу на данный момент одолели шесть человек.
Первая тройка по времени решения:
🥇 fASTYYY – приз 3 месяца премиум телеграм вручен
🥈 AlexB – приз 250 звезд телеграм вручен
🥉 xof – приз 100 звезд телеграм. Отказался от приза в пользу фонда развития БАГодельни 😁
Поздравляю! Кому интересна задача, можно попробовать свои силы тут: площадка с задачами.
📌 Разбор задачи
Смысл задания был в том, чтобы передать не сервер такой текст Yaml, который будет парситься двумя версиями Yaml: 1.1 и 1.2. И результат парсинга должен отличаться, не равные результаты нужно получить, причем версия 1.1 должна сформировать число 1337.
Задача показывает, как сильно могут отличаться парсеры в зависимости от версии. И что это нужно учитывать в разработке, чтобы не попасть в неприятности при обновлении библиотек или рефакторинге кода. К тому же, кроме отличий в версиях парсинга, Yaml в некоторых случаях выполняет преобразования значений весьма неочевидным образом, что тоже может легко привести к неприятным сюрпризам. Есть очень наглядный квиз, который показывает проблемы и странное поведение Yaml. Проверить свои навыки можно в задаче(часть показано в тесте) и в оригинальном квизе, откуда скопированы эти вопросы(тут из больше - 22 шт): ohyaml.wtf.
📌 Решение
Решить можно было несколькими способами. Я знаю два решения, но подозреваю, что можно придумать еще несколько, если кто-то знает еще варианты – присылайте в комментарии.
Первое решение
Yaml версии 1.1 поддерживает шестидесятеричное число, которые можно передавать в формате a:b, которое потом преобразуется в десятичное по формуле a * 60 + b. Видимо, эта функция высчитывала количество минут, если передать часы:минуты. Но в версии Yaml 1.2 такая запись уже не обрабатывается и парсится как обычная строка. Поэтому если передать 22:17, то в версии 1.1 это будет
Второе решение
Решение основано также на системе исчисления, только уже восьмеричной. Если Yaml 1.1 обрабатывает значение, которое имеет ведущий ноль и остальные цифры не превышают 7, то такое значение конвертируется из восьмеричного в десятичное число. Поэтому, если парсить 02471, то версия 1.1 преобразует его в десятичное
📌 Полезные ссылки
– Попробовать решить задачку: тут
– Квиз про парсинг в Yaml: ohyaml.wtf
– Статья на Habr: «YAML из Ада»
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
📖 6 сентября запускали задачку «Тест по YAML», за ее решения были назначены призы первым трем решившим. Задачу на данный момент одолели шесть человек.
Первая тройка по времени решения:
🥇 fASTYYY – приз 3 месяца премиум телеграм вручен
🥈 AlexB – приз 250 звезд телеграм вручен
🥉 xof – приз 100 звезд телеграм. Отказался от приза в пользу фонда развития БАГодельни 😁
Поздравляю! Кому интересна задача, можно попробовать свои силы тут: площадка с задачами.
📌 Разбор задачи
Смысл задания был в том, чтобы передать не сервер такой текст Yaml, который будет парситься двумя версиями Yaml: 1.1 и 1.2. И результат парсинга должен отличаться, не равные результаты нужно получить, причем версия 1.1 должна сформировать число 1337.
Задача показывает, как сильно могут отличаться парсеры в зависимости от версии. И что это нужно учитывать в разработке, чтобы не попасть в неприятности при обновлении библиотек или рефакторинге кода. К тому же, кроме отличий в версиях парсинга, Yaml в некоторых случаях выполняет преобразования значений весьма неочевидным образом, что тоже может легко привести к неприятным сюрпризам. Есть очень наглядный квиз, который показывает проблемы и странное поведение Yaml. Проверить свои навыки можно в задаче(часть показано в тесте) и в оригинальном квизе, откуда скопированы эти вопросы(тут из больше - 22 шт): ohyaml.wtf.
📌 Решение
Решить можно было несколькими способами. Я знаю два решения, но подозреваю, что можно придумать еще несколько, если кто-то знает еще варианты – присылайте в комментарии.
Первое решение
Yaml версии 1.1 поддерживает шестидесятеричное число, которые можно передавать в формате a:b, которое потом преобразуется в десятичное по формуле a * 60 + b. Видимо, эта функция высчитывала количество минут, если передать часы:минуты. Но в версии Yaml 1.2 такая запись уже не обрабатывается и парсится как обычная строка. Поэтому если передать 22:17, то в версии 1.1 это будет
22 * 60 + 17 = 1337. А в 1.2 это просто строка «22:17». Таким образом значения будут отличаться, и версия 1.1 сформирует нужное, для получения флага, значениеВторое решение
Решение основано также на системе исчисления, только уже восьмеричной. Если Yaml 1.1 обрабатывает значение, которое имеет ведущий ноль и остальные цифры не превышают 7, то такое значение конвертируется из восьмеричного в десятичное число. Поэтому, если парсить 02471, то версия 1.1 преобразует его в десятичное
1337. А Yaml версии 1.2 посчитает такое значение строкой и оставит «02471». 📌 Полезные ссылки
– Попробовать решить задачку: тут
– Квиз про парсинг в Yaml: ohyaml.wtf
– Статья на Habr: «YAML из Ада»
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7👍6❤2
Слепая SQL-инъекция. Часть 1
📖 Про sql-инъекции уже был пост, в том примере был понятен результат запросов – при добавлении инъекций, сайт отдавал результат выполнения запросов к базе данных. Это был описан пример UNION-инъекции.
Но такого «подарка» с удобным дебагом не всегда можно получить, чаще уязвимые эндпоинты ничего не отвечают или результат запроса можно определить только по косвенным данным. Когда есть хоть какой-то признак успешного выполнения запроса, то логика сводится к бинарной – успешно прошел запрос или нет. В таких случаях инъекции нужно строить с условиями. В случае вставки или удаления данных все понятно, а для получения значений, нужно немного помудрить. Целиком получить имя БД, таблиц и значения из них уже не получится, однако можно вытянуть нужную информацию по символу – разделяя результат посимвольно с помощью substr и перебором сравнивая с алфавитом.
📌 Пример инъекции:
Где
📌 Чтобы не делать полный брутфорс 95 печатных символов ASCII(от 32 до 126), из которых может состоять текст(имена таблиц, содержимое и тд), можно ускорить поиск в 13-14 раз с помощью бинарного поиска:
📌 Однако, если сервер совсем никак не реагирует на инъекции и всегда отвечает одинаково, такой подход не сработает, поскольку нет никаких признаков, которые бы сигнализировали об успешном нахождении правильного символа. Но и такую проблему можно решить – с помощью техники Time-based. При успешном выполнении условия, мы умышленно загружаем и/или делаем паузу на стороне сервера, чтобы по времени ответа можно было определить успешность запроса. В mysql такое легко сделать с помощью:
📌 Как защититься
Точно так же, как и с другими типами инъекций – экранировать все данные, которые используются в запросах. Вредоносные данные могут приходить на публичные эндпоинты и на приватные, через другие методы или прослойки. Любой запрос к базе данных должен быть экранирован, даже если он на прямую не использует публичные данные.
❗️Для тестирования подобных инъекций опубликовано две задачи на нашей площадке, на них можно потренироваться:
– Слепая инъекция
– Совсем слепая инъекция
👨💻 Не влезает все в один пост. Тут только теоретическая часть, следом выйдет второй пост со скриптами и описанием инструментов.
———
#⃣ #SQL #БазаЗнаний
🐞 Канал // Чат // Задачи
📖 Про sql-инъекции уже был пост, в том примере был понятен результат запросов – при добавлении инъекций, сайт отдавал результат выполнения запросов к базе данных. Это был описан пример UNION-инъекции.
Но такого «подарка» с удобным дебагом не всегда можно получить, чаще уязвимые эндпоинты ничего не отвечают или результат запроса можно определить только по косвенным данным. Когда есть хоть какой-то признак успешного выполнения запроса, то логика сводится к бинарной – успешно прошел запрос или нет. В таких случаях инъекции нужно строить с условиями. В случае вставки или удаления данных все понятно, а для получения значений, нужно немного помудрить. Целиком получить имя БД, таблиц и значения из них уже не получится, однако можно вытянуть нужную информацию по символу – разделяя результат посимвольно с помощью substr и перебором сравнивая с алфавитом.
📌 Пример инъекции:
1 AND (SELECT SUBSTR(flag_column,{position},1) FROM flag LIMIT 1) = '{char}'Где
{position} – это позиция символа, который пытаемся определить для записи из колонки flag_column в таблице flag. А {char} – это символ, с которым сверяемся. Если мы угадали первый символ, то запрос будет содержать какой-то ответ, поскольку условие вернет true. Так перебирая по одному символу и опираясь на статус ответа запроса, можно получить не только значения из таблицы, но и саму структуру таблиц. Например, в mysql можно сделать запрос к INFORMATION_SCHEMA, которая возвращает список и описание таблиц. 📌 Чтобы не делать полный брутфорс 95 печатных символов ASCII(от 32 до 126), из которых может состоять текст(имена таблиц, содержимое и тд), можно ускорить поиск в 13-14 раз с помощью бинарного поиска:
log₂(95) ≈ 7 запросов на один символ. В самой инъекции меняется только условие >= '{char}', вместо равенства стало неравенство. Так мы существенно оптимизируем поиск.📌 Однако, если сервер совсем никак не реагирует на инъекции и всегда отвечает одинаково, такой подход не сработает, поскольку нет никаких признаков, которые бы сигнализировали об успешном нахождении правильного символа. Но и такую проблему можно решить – с помощью техники Time-based. При успешном выполнении условия, мы умышленно загружаем и/или делаем паузу на стороне сервера, чтобы по времени ответа можно было определить успешность запроса. В mysql такое легко сделать с помощью:
SLEEP(3), где 3 – это количество секунд, на которые «задумается» mysql. Дальше, остается только изменить логику обработки – вместо самих ответом запросов, опираться на их время выполнения. В некоторых СУБД нет sleep или он может быть отключен в настройках. В подобных случаях можно самим сделать задержку – использовать в запросах сложные или рекурсивные расчеты, которые так же вызовут задержку ответа. К примеру, в sqlite нет sleep, но есть функция randomblob, которая генерирует рандомные байты, и если запросить большое количество, то запрос может подвисать на несколько секунд. 📌 Как защититься
Точно так же, как и с другими типами инъекций – экранировать все данные, которые используются в запросах. Вредоносные данные могут приходить на публичные эндпоинты и на приватные, через другие методы или прослойки. Любой запрос к базе данных должен быть экранирован, даже если он на прямую не использует публичные данные.
❗️Для тестирования подобных инъекций опубликовано две задачи на нашей площадке, на них можно потренироваться:
– Слепая инъекция
– Совсем слепая инъекция
👨💻 Не влезает все в один пост. Тут только теоретическая часть, следом выйдет второй пост со скриптами и описанием инструментов.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍4
Слепая SQL-инъекция. Часть 2
Вторая часть, продолжение предыдущего поста «Слепая SQL-инъекция».
📖 Такие атаки, где нет явного ответа сервера о результате запроса, на БД сложно выполнять в «ручном режиме», нужно писать скрипты или пользоваться готовыми инструментами. Самый мощный инструмент для таких целей – sqlmap. Он умеет работать полностью автоматически, если передать нужный адрес уязвимости и правильный набор параметров. Для тестирования этого инструмента и подобных типов уязвимостей, опубликовано две задачки на нашей площадке. Первая уязвимость отвечает true/false, а вторая совсем ничего не подсказывает, и в добавок ограничена по ресурсам, чтобы потренироваться с настройками таймингов.
📌 Запуска sqlmap на примере второй задачи опишу, тут больше всего флагов:
И это только часть флагов, которые доступны в утилите sqlmap. Инструмент умеет автоматически определять СУБД, извлекать имена БД, имена и структуры таблиц, а так же собирать и выкачивать полный дамп базы данных.
📌 Инструменты – это хорошо, но в самых не стандартных ситуациях спасают только самодельные скрипты. К тому же написание скриптов это еще и гимнастика для мозгов, а самое главное – способ детальнее погрузиться в тему и разобраться в вопросе более детально. Хорошо пользоваться готовым инструментов, когда понимаешь как он устроен, действовать в нестандартных ситуациях будет проще и понятнее. Поэтому для примеров решения задачек прикладываю еще два скрипта, которые помогут более детально разобраться в способах применения слепой инъекции.
📌 Скрипты нахождения флагов из тестовых задачек на тему поста:
Первый скрипт – простой брутфорс флага из таблицы по одному символу: скрипт.
Второй скрипт, который использует бинарный поиск для оптимизации и ускорения: скрипт.
❗️ Потренировать можно тут:
– Слепая инъекция
– Совсем слепая инъекция
———
#⃣ #SQL #БазаЗнаний
🐞 Канал // Чат // Задачи
Вторая часть, продолжение предыдущего поста «Слепая SQL-инъекция».
📖 Такие атаки, где нет явного ответа сервера о результате запроса, на БД сложно выполнять в «ручном режиме», нужно писать скрипты или пользоваться готовыми инструментами. Самый мощный инструмент для таких целей – sqlmap. Он умеет работать полностью автоматически, если передать нужный адрес уязвимости и правильный набор параметров. Для тестирования этого инструмента и подобных типов уязвимостей, опубликовано две задачки на нашей площадке. Первая уязвимость отвечает true/false, а вторая совсем ничего не подсказывает, и в добавок ограничена по ресурсам, чтобы потренироваться с настройками таймингов.
📌 Запуска sqlmap на примере второй задачи опишу, тут больше всего флагов:
sqlmap -u "http://31.207.77.216:4005/check?number=1" --technique=T --time-sec=2 --delay=1 --timeout=3 --dbms=SQLite --hex --level=5 --risk=3 -T flag -C flag --dump -v 6
-u "http://31.207.77.216:4005/check?number=1" – адрес цели--technique=T – указываем тип техники для атаки Time-based--time-sec=2 – время задержки для проверки условий--delay=1 – интервалы задержек между запросами--timeout=3 – ожидание ответа сервера--dbms=SQLite – тип субд--hex – кодирование данных--level=5 – уровень тестирования(от 1 до 5, 5 максимальный набор)--risk=3 – уровень риска(1-3, на сколько заметный пейлоад в запросе)-T flag -C flag – имена целевой таблицы и колонки--dump – получение данных-v 6 – уровень дебага при работе программыИ это только часть флагов, которые доступны в утилите sqlmap. Инструмент умеет автоматически определять СУБД, извлекать имена БД, имена и структуры таблиц, а так же собирать и выкачивать полный дамп базы данных.
📌 Инструменты – это хорошо, но в самых не стандартных ситуациях спасают только самодельные скрипты. К тому же написание скриптов это еще и гимнастика для мозгов, а самое главное – способ детальнее погрузиться в тему и разобраться в вопросе более детально. Хорошо пользоваться готовым инструментов, когда понимаешь как он устроен, действовать в нестандартных ситуациях будет проще и понятнее. Поэтому для примеров решения задачек прикладываю еще два скрипта, которые помогут более детально разобраться в способах применения слепой инъекции.
📌 Скрипты нахождения флагов из тестовых задачек на тему поста:
Первый скрипт – простой брутфорс флага из таблицы по одному символу: скрипт.
Второй скрипт, который использует бинарный поиск для оптимизации и ускорения: скрипт.
❗️ Потренировать можно тут:
– Слепая инъекция
– Совсем слепая инъекция
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7👍4
Задача «Практикующий жонглер» от DUCKERZ
📖 Ребята из DUCKERZ – команда CTF-еров, у которых тоже есть площадка с задачами, прислали нам челендж из категории web. Он уже опубликован на сайте – «Практикующий жонглер».
Давайте пробовать решать :) И как всегда, если будут сложности – заходите в чат, там можем обсудить и помочь друг другу! А кто первый справится, тот молодец. Поехали!
Решать задачу: Практикующий жонглер.
❗️P.S. Прошлую неделю пропустили, но в эту субботу в 12:00 по МСК выйдет призовая задача на скорость, символические призы получит первая тройка самых быстрых.
———
#⃣ #Задачи #CTF #Web
🐞 Канал // Чат // Задачи
📖 Ребята из DUCKERZ – команда CTF-еров, у которых тоже есть площадка с задачами, прислали нам челендж из категории web. Он уже опубликован на сайте – «Практикующий жонглер».
Давайте пробовать решать :) И как всегда, если будут сложности – заходите в чат, там можем обсудить и помочь друг другу! А кто первый справится, тот молодец. Поехали!
Решать задачу: Практикующий жонглер.
❗️P.S. Прошлую неделю пропустили, но в эту субботу в 12:00 по МСК выйдет призовая задача на скорость, символические призы получит первая тройка самых быстрых.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤11🔥7👍4
Призовая задача «Двери»
❗️ Эта задача анонсировалась заранее и за ее решение первая тройка решивших получит небольшие призы: 3 месяца премиум в телеграм. Решения в призовой зачет принимаются до 4 октября 12:00 по МСК.
📌 В этот раз задание разбито на две части.
Первая в категории Stegano – «Дверь», ее решение помимо флага, дает подсказку и доступ ко второй части челенджа – задача из категории Misc «Двери».
Для получения приза необходимо решить обе задач, успеть сделать это за неделю, и стать одним из трех самых быстрых.
📌 Ответы в зачет принимаются до 4 октября 12:00 МСК, есть ровно неделя на решение. Потом будет пост с полным разбором этой задачи и объявлением победителей.
Кто первый, тот молодец. Поехали!
❗️ Ссылки на задачи:
– Первую часть: Дверь
– Вторая часть: Двери
———
#⃣ #Задачи #CTF #Misc
🐞 Канал // Чат // Задачи
❗️ Эта задача анонсировалась заранее и за ее решение первая тройка решивших получит небольшие призы: 3 месяца премиум в телеграм. Решения в призовой зачет принимаются до 4 октября 12:00 по МСК.
📌 В этот раз задание разбито на две части.
Первая в категории Stegano – «Дверь», ее решение помимо флага, дает подсказку и доступ ко второй части челенджа – задача из категории Misc «Двери».
Для получения приза необходимо решить обе задач, успеть сделать это за неделю, и стать одним из трех самых быстрых.
📌 Ответы в зачет принимаются до 4 октября 12:00 МСК, есть ровно неделя на решение. Потом будет пост с полным разбором этой задачи и объявлением победителей.
Кто первый, тот молодец. Поехали!
❗️ Ссылки на задачи:
– Первую часть: Дверь
– Вторая часть: Двери
———
Please open Telegram to view this post
VIEW IN TELEGRAM
4🔥9❤3
Новостной дайджест #1
⚡️ Подборка самых интересных событий из мира информационной безопасности за эту неделю. Сбором и обработкой данных занимался Дмитрий Кустовский из команды БАГодельня.
📌 Интерлюдия
Я – Евгений Ипатов, автор канала, перестал успевать во всех направлениях, в которые стала расти БАГодельня. Как-то само собой получилось, что мы запустили площадку с задачами (там их уже 30 шт.) – туда нужно готовить таски и следить за их корректной работой. Также параллельно занимаемся разработкой полноценного сайта. Ну и основная работа у меня есть.
Однако во всей этой суете не хочется забывать про главное в БАГодельне – посты на канал. Авторские заметки с разборами задач, алгоритмами и прочими разработческими штуками никуда не денутся, просто их будет чуточку меньше, как вы уже, наверняка, заметили.
Чтобы материалов на канале не стало меньше и немного разбавить посты про задачи, добавим новую рубрику – новостной дайджест, который будет выходить раз в неделю по воскресеньям. В этом мне помогут ребята из команды, которые увлекаются OSINT-ом, это как раз их стезя.
А теперь передаю слово Диме, он приготовил классную подборку со своими комментариями.
📌 Новости из мира ИБ
📖 Привет всем! Меня зовут Дмитрий Кустовский (или же 3T0T_FL4G_1MB4). Я — молодой участник команды БАГодельня с апреля, буду вести нашу новую рубрику новостей из сферы цифровой безопасности на канале 😁
Давайте же перейдём сразу к теме.
⚡️ Открывает рубрику у нас новость из Америки, где подросток взломал казино. Ему не пришлось как-то ломать подсеть или в целом прибегать к манипуляциям с кодом. Он просто... прикинулся айтишником компании и через LinkedIn убедил техподдержку сбросить пароль. Ну и дальше по классике: появился доступ к внутренним сервисам, а после этого — сбои в работе самого казино. Итог такой деятельности — ущерб в 100 МИЛЛИОНОВ долларов.
Более подробно в источнике.
⚡️ Идём дальше, и КРУЧЕ. В Иране буквально рухнул крупнейший банк Sepah — клиенты лишились доступа как к онлайн-сервису, так и к банкоматам. И здесь без преуменьшения, ведь при попытке переключиться на резервные площадки было также невозможно — хакеры и тут постарались, всё повреждено. Даже есть информация о том, что был не только удалённый взлом, но и физический.
Можно сказать, банк какой-то невезучий. Всё потому, что на ЭТОТ ЖЕ банк ранее совершила атаку другая хакерская группа. Они украли 12 ТБ данных (около 42 миллионов клиентов). В них вошли пароли, совершённые транзакции и аккаунты. Группировка требовала выкуп в размере 42 миллионов долларов в биткоинах взамен на то, что они не сольют данные в сеть. Банк старался успокоить народ и отрицал взлом, на что хакеры выпустили в сеть часть данных.
Подробнее про невезучий банк: тут.
⚡️ И напоследок — ближе к нашим краям. 22 августа на наш портал «Госуслуги» была совершена массовая DDoS-атака из-за рубежа. Всего за час, по данным Downdetector, было зафиксировано 122 жалобы на работу портала, а за сутки — 1271 жалоба. В тот же период велись крупные атаки на другие государственные сервисы. По информации — ничего не пострадало, кроме нервов людей, кому понадобились Госуслуги в тот момент. Все отбились, всё хорошо.
Подробнее в источнике.
👨💻 И на этой ноте завершаю нашу сводку новостей. Буду и дальше сёрфить интернет в поисках интересной информации для вас! Встретимся в следующее воскресенье!
❗️Ждем ваши комментарии по этим новостям и в целом по новому формату – пишите под постом или сразу в наш чат.
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
📌 Интерлюдия
Я – Евгений Ипатов, автор канала, перестал успевать во всех направлениях, в которые стала расти БАГодельня. Как-то само собой получилось, что мы запустили площадку с задачами (там их уже 30 шт.) – туда нужно готовить таски и следить за их корректной работой. Также параллельно занимаемся разработкой полноценного сайта. Ну и основная работа у меня есть.
Однако во всей этой суете не хочется забывать про главное в БАГодельне – посты на канал. Авторские заметки с разборами задач, алгоритмами и прочими разработческими штуками никуда не денутся, просто их будет чуточку меньше, как вы уже, наверняка, заметили.
Чтобы материалов на канале не стало меньше и немного разбавить посты про задачи, добавим новую рубрику – новостной дайджест, который будет выходить раз в неделю по воскресеньям. В этом мне помогут ребята из команды, которые увлекаются OSINT-ом, это как раз их стезя.
А теперь передаю слово Диме, он приготовил классную подборку со своими комментариями.
📌 Новости из мира ИБ
📖 Привет всем! Меня зовут Дмитрий Кустовский (или же 3T0T_FL4G_1MB4). Я — молодой участник команды БАГодельня с апреля, буду вести нашу новую рубрику новостей из сферы цифровой безопасности на канале 😁
Давайте же перейдём сразу к теме.
Более подробно в источнике.
Можно сказать, банк какой-то невезучий. Всё потому, что на ЭТОТ ЖЕ банк ранее совершила атаку другая хакерская группа. Они украли 12 ТБ данных (около 42 миллионов клиентов). В них вошли пароли, совершённые транзакции и аккаунты. Группировка требовала выкуп в размере 42 миллионов долларов в биткоинах взамен на то, что они не сольют данные в сеть. Банк старался успокоить народ и отрицал взлом, на что хакеры выпустили в сеть часть данных.
Подробнее про невезучий банк: тут.
Подробнее в источнике.
👨💻 И на этой ноте завершаю нашу сводку новостей. Буду и дальше сёрфить интернет в поисках интересной информации для вас! Встретимся в следующее воскресенье!
❗️Ждем ваши комментарии по этим новостям и в целом по новому формату – пишите под постом или сразу в наш чат.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
2
Локальный домен devilbox показывает казино
📖 Devilbox – это локальный веб-сервер на основе Docker. Простой и удобный инструмент с кучей предустановленных версий php и приложений, нужных для веб-разработки: MySql, Redis, Elasticsearch и тд. Когда много разных проектов на php, то довольно удобно использовать и быстро переключаться.
При запуске локального веб-сервера создается локальный хост. Его можно сделать какой угодно, но по умолчанию запускается dvl.to. И уже к этому домену можно быстро создавать любые поддомены для разных локальных проектов, например, test.dvl.to или back-1.dvl.to и так далее.
Devilbox автоматически резолвит имена этих виртуальных хостов и на локальном компьютере в браузере открывается локальный проект.
📌 Но сегодня у Devilbox начались проблемы. Сперва не разобрались в чем дело – аякс-запросы из фронта к бекенду на свой же хост стали выдавать ошибки CORS, которые случаются только при запросах между разными хостами. А потом в запаре разработчик скинул в чат ссылку на свою локалку, вместо тестового хоста и тут все встало на свои места. При переходе по ссылке открылся не рабочий тестовый сайт, а сайт с казино. При повторном переходе сайт с вебкамщицами, а потом и совсем порнуха.
Оказалось, что кто-то купил домен dvl.to и настроил его dns-ы так, что сам домен и его поддомены выполняют редирект на рекламу чернухи. Проверить DNS-ы домена можно тут: https://mxtoolbox.com/SuperTool.aspx
📌 Исправляется проблема просто – нужно или изменить основной локальный домен для Devilbox или в хостах прописать ip своей локалки. Но сама ситуация интересная и очень комичная: кто-то выкупил дефолтный домен локального веб-сервера и делает редиректы на чернушную рекламу.
❗️ И анонс, который в сториз от канала уже был сегодня – в 21:00 по МСК выйдут две новые задачи на площадке с ctf-задачами.
———
#⃣ #Юмор #Devilbox
🐞 Канал // Чат // Задачи
📖 Devilbox – это локальный веб-сервер на основе Docker. Простой и удобный инструмент с кучей предустановленных версий php и приложений, нужных для веб-разработки: MySql, Redis, Elasticsearch и тд. Когда много разных проектов на php, то довольно удобно использовать и быстро переключаться.
При запуске локального веб-сервера создается локальный хост. Его можно сделать какой угодно, но по умолчанию запускается dvl.to. И уже к этому домену можно быстро создавать любые поддомены для разных локальных проектов, например, test.dvl.to или back-1.dvl.to и так далее.
Devilbox автоматически резолвит имена этих виртуальных хостов и на локальном компьютере в браузере открывается локальный проект.
📌 Но сегодня у Devilbox начались проблемы. Сперва не разобрались в чем дело – аякс-запросы из фронта к бекенду на свой же хост стали выдавать ошибки CORS, которые случаются только при запросах между разными хостами. А потом в запаре разработчик скинул в чат ссылку на свою локалку, вместо тестового хоста и тут все встало на свои места. При переходе по ссылке открылся не рабочий тестовый сайт, а сайт с казино. При повторном переходе сайт с вебкамщицами, а потом и совсем порнуха.
Оказалось, что кто-то купил домен dvl.to и настроил его dns-ы так, что сам домен и его поддомены выполняют редирект на рекламу чернухи. Проверить DNS-ы домена можно тут: https://mxtoolbox.com/SuperTool.aspx
📌 Исправляется проблема просто – нужно или изменить основной локальный домен для Devilbox или в хостах прописать ip своей локалки. Но сама ситуация интересная и очень комичная: кто-то выкупил дефолтный домен локального веб-сервера и делает редиректы на чернушную рекламу.
❗️ И анонс, который в сториз от канала уже был сегодня – в 21:00 по МСК выйдут две новые задачи на площадке с ctf-задачами.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
😁15
Площадка с CTF-задачами
📖 Как-то случайно и само собой получилось, что мы запустили сайт с тренировочными задачками. Заниматься подобным совсем не было цели, все задачи планировались как примеры к постам с разборами и пояснениями различных проблем в коде. Но как-то завертелось, ребята подключились, которые решают и которые помогают делать задачи. И теперь уже некуда отступать, нужно продолжать. Тем более, что новые участники постоянно приходят и пытаются решать.
Будем и дальше поддерживать, и развивать площадку. Только немного систематизируем подход, чтобы выходы задач были предсказуемыми и можно было честно соревноваться в скорости решения – релизы в конкретное время и день недели. Первая тройка решивших автоматически объявляется ботом в нашем чате. Чатик, кстати, тоже оживился и постоянно пополняется. Кроме статистики, там можно пообщаться про задачи, разработку и вообще на любую другую отвлеченную тему – кому интересно, заходите.
📌 Ближайшее время на площадке добавится короткие подсказки-разборы в задачах, которые имеют мало решений, чтобы можно было подсмотреть, как решать и в будущем подобную задачу уже было понятнее с какой стороны можно одолеть. Такие подсказки будут снимать часть очков за решение, чтобы было справедливое табло с рейтингом участников.
Пока плотно занимаюсь площадкой, посты по разработке и разборы выходят пореже, но они вернуться, как только появится больше свободного времени.
📌 Немного статистики по площадке:
– Сайт запущен ровно 1 месяц назад
– Опубликовано 35 заданий
– Зарегистрировалось 124 человека
– 58 человек смогли что-то решить и попасть на Scoreboard
– Сдали верных флагов: 480 штук
– Ошибочных флагов: 1156 штук
📌 Если у вас тоже есть идеи задач, не стесняйтесь и присылайте мне в личку – будем публиковать. Сейчас почти половина заданий, это те, что присылают ребята. Спасибо им за это, сам бы я точно не справился в одиночку. Авторство есть в описаниях задач, можете ознакомиться с этими героями на сайте.
❗️Важный анонс. Теперь задачи будут публиковаться по субботам в 12:00 по Московскому времени. Это может быть как одна, так и сразу несколько задач, смотря сколько успеем подготовить. Отбивки о публикациях новых задач буду выкладывать сюда в канал.
❗️И напоследок – опубликована новая задача «Мозаика внутри PNG» в категории Stegano.
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
📖 Как-то случайно и само собой получилось, что мы запустили сайт с тренировочными задачками. Заниматься подобным совсем не было цели, все задачи планировались как примеры к постам с разборами и пояснениями различных проблем в коде. Но как-то завертелось, ребята подключились, которые решают и которые помогают делать задачи. И теперь уже некуда отступать, нужно продолжать. Тем более, что новые участники постоянно приходят и пытаются решать.
Будем и дальше поддерживать, и развивать площадку. Только немного систематизируем подход, чтобы выходы задач были предсказуемыми и можно было честно соревноваться в скорости решения – релизы в конкретное время и день недели. Первая тройка решивших автоматически объявляется ботом в нашем чате. Чатик, кстати, тоже оживился и постоянно пополняется. Кроме статистики, там можно пообщаться про задачи, разработку и вообще на любую другую отвлеченную тему – кому интересно, заходите.
📌 Ближайшее время на площадке добавится короткие подсказки-разборы в задачах, которые имеют мало решений, чтобы можно было подсмотреть, как решать и в будущем подобную задачу уже было понятнее с какой стороны можно одолеть. Такие подсказки будут снимать часть очков за решение, чтобы было справедливое табло с рейтингом участников.
Пока плотно занимаюсь площадкой, посты по разработке и разборы выходят пореже, но они вернуться, как только появится больше свободного времени.
📌 Немного статистики по площадке:
– Сайт запущен ровно 1 месяц назад
– Опубликовано 35 заданий
– Зарегистрировалось 124 человека
– 58 человек смогли что-то решить и попасть на Scoreboard
– Сдали верных флагов: 480 штук
– Ошибочных флагов: 1156 штук
📌 Если у вас тоже есть идеи задач, не стесняйтесь и присылайте мне в личку – будем публиковать. Сейчас почти половина заданий, это те, что присылают ребята. Спасибо им за это, сам бы я точно не справился в одиночку. Авторство есть в описаниях задач, можете ознакомиться с этими героями на сайте.
❗️Важный анонс. Теперь задачи будут публиковаться по субботам в 12:00 по Московскому времени. Это может быть как одна, так и сразу несколько задач, смотря сколько успеем подготовить. Отбивки о публикациях новых задач буду выкладывать сюда в канал.
❗️И напоследок – опубликована новая задача «Мозаика внутри PNG» в категории Stegano.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
5❤12🔥11
Новостной дайджест #2
Доброго здравия всем! Вот и наступило воскресенье, а значит — пора выпускать новости из мира ИБ и IT.
📌 Японцы временно остались без пива
Японская компания Asahi Group (что-то вроде нашей пивоваренной компании «Балтика») объявила о «сбое систем из-за кибератаки». Были остановлены приём заказов, отгрузки и работа колл-центров. В результате компании пришлось перейти на ручные операции, в приоритете у которых — еда и безалкогольные напитки. Утечки персональных данных не подтверждены, но, по сообщениям медиа, пива на всех желающих уже не хватает. Остаётся лишь ждать восстановления инфраструктуры — официальных сроков пока нет. Моё мнение: это полная катастрофа.
🌐 Источник
📌 Утечка данных авиокомпании WestJet
Канадская авиакомпания WestJet подтвердила утечку данных почти 1,2 миллионов пассажиров: имена, даты рождения, документы и детали поездок. Кредитные карты затронуты не были. Детали атаки: 13 июня была зафиксирована «подозрительная активность», после чего компания ограничила работу приложения и сайта и начала форензику. Злоумышленников описали как «сложную криминальную третью сторону», проникшую в систему. Глубоких публичных деталей — что именно затронули и кто стоит за атакой — пока нет. Остаётся загадкой.
🌐 Источник
📌 Взлом медицинского центра Shamir Medical Center
Что ж, предыдущая новость оказалась с налётом мистики, но следующая — ещё интереснее.
Группировка Qilin (растущая в масштабах атак) заявила о взломе Израильского Shamir Medical Center, выдвинув ультиматум: 700 тысяч долларов за 72 часа. Они утверждают, что похитили до 8 ТБ данных пациентов и внутренних документов. Послание было адресовано «Биби (и Бобе) и Саре». Как часто бывает в государственных интригах, здесь две версии: Qilin заявляет о полном доступе к системе, а власти пишут, что атака была обнаружена на ранней стадии и остановлена (при этом подтвердили утечку части электронных писем с медицинской информацией). Масштабы и типы украденных данных на сегодняшний день ещё уточняются. Публичного дампа данных пока нет.
🌐 Источник
📌 Новости из РФ
Хотелось бы завершить наш дайджест новостями из России за эту неделю, но их, по сути, и нет — в этот раз всё спокойно. Зато вот вам факт из отчёта за 3 октября:
Глобально DDoS-активность за полугодие выросла на 83%; Россия вошла в топ-10 по числу атак (6-е место) в мире. На первом — США, на втором — Индия, на третьем — Китай.
В России больше всего DDoS-атак пришлось на онлайн-ритейл, телекомы и образовательные организации.
🌐 Источник и больше статистики
И на этом у меня пока всё. Встретимся в следующий раз! Пишите комментарии и делитесь этими новостями с друзьями. Пока-пока!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
Доброго здравия всем! Вот и наступило воскресенье, а значит — пора выпускать новости из мира ИБ и IT.
📌 Японцы временно остались без пива
Японская компания Asahi Group (что-то вроде нашей пивоваренной компании «Балтика») объявила о «сбое систем из-за кибератаки». Были остановлены приём заказов, отгрузки и работа колл-центров. В результате компании пришлось перейти на ручные операции, в приоритете у которых — еда и безалкогольные напитки. Утечки персональных данных не подтверждены, но, по сообщениям медиа, пива на всех желающих уже не хватает. Остаётся лишь ждать восстановления инфраструктуры — официальных сроков пока нет. Моё мнение: это полная катастрофа.
📌 Утечка данных авиокомпании WestJet
Канадская авиакомпания WestJet подтвердила утечку данных почти 1,2 миллионов пассажиров: имена, даты рождения, документы и детали поездок. Кредитные карты затронуты не были. Детали атаки: 13 июня была зафиксирована «подозрительная активность», после чего компания ограничила работу приложения и сайта и начала форензику. Злоумышленников описали как «сложную криминальную третью сторону», проникшую в систему. Глубоких публичных деталей — что именно затронули и кто стоит за атакой — пока нет. Остаётся загадкой.
📌 Взлом медицинского центра Shamir Medical Center
Что ж, предыдущая новость оказалась с налётом мистики, но следующая — ещё интереснее.
Группировка Qilin (растущая в масштабах атак) заявила о взломе Израильского Shamir Medical Center, выдвинув ультиматум: 700 тысяч долларов за 72 часа. Они утверждают, что похитили до 8 ТБ данных пациентов и внутренних документов. Послание было адресовано «Биби
📌 Новости из РФ
Хотелось бы завершить наш дайджест новостями из России за эту неделю, но их, по сути, и нет — в этот раз всё спокойно. Зато вот вам факт из отчёта за 3 октября:
Глобально DDoS-активность за полугодие выросла на 83%; Россия вошла в топ-10 по числу атак (6-е место) в мире. На первом — США, на втором — Индия, на третьем — Китай.
В России больше всего DDoS-атак пришлось на онлайн-ритейл, телекомы и образовательные организации.
И на этом у меня пока всё. Встретимся в следующий раз! Пишите комментарии и делитесь этими новостями с друзьями. Пока-пока!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
8🔥13
Опубликованы новые задания
Релиз #1
Пять новых задач доступны на площадке!
📌 Rev / Стружка-код
📌 Misc / Учебная граната
📌 Web / Десериализатор
📌 OSINT / Абрикос-персик
📌 OSINT / Лёха и кожа
Как объявлял ранее, задания теперь будут выходить по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #1
Пять новых задач доступны на площадке!
📌 Rev / Стружка-код
📌 Misc / Учебная граната
📌 Web / Десериализатор
📌 OSINT / Абрикос-персик
📌 OSINT / Лёха и кожа
Как объявлял ранее, задания теперь будут выходить по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Новостной дайджест #3
Подошла и эта неделя к концу, а значит время для наших кибер новостей! Не буду тянуть, переходим к *кхм* пылающим новостям. Это дайджест №3, и мы начинаем!
📌 Пылающие дата-центры Южной Кореи
Южным корейцам на этой неделе крупно досталось, у них вспыхнул весь дата-центр во время замены батареи. Пламя быстро охватило соседние батареи и сервера. Была парализована вся инфраструктура всего государства, пострадало 647 гос. сервисов и 96 были ПОЛНОСТЬЮ уничтожены. Из наиболее значимых: аналог госуслуг, система идентификации граждан, гос. почта и G-Drive (своё хранилище документов).
Иронично вышло с G-Drive, где резервные копии хранились в том же здании, которое... тоже сгорело. Теперь данные восстанавливают из локальных копий. А чиновник, который отвечал за восстановление систем покончил с собой.
🌐 Источник
📌 RCE уязвимость Redis
Что у нас тут – проблемы не в какой-то конкретной стране? Беда международного уровня.
В Redis (популярная система кэширования и база данных) была выявлена уязвимость нулевого дня (CVE-2025-49844), которой был присвоен наивысший уровень опасности. Уязвимость позволяет авторизованному злоумышленнику дистанционно выполнять код на сервере, который даёт ПОЛНЫЙ контроль над процессом.
Проблема существует уже более 13 лет, были затронуты ВСЕ версии, поддерживающие выполнение Lua. А Redis, на минуточку, используется в ~75% облачных сред.
Благо Redis Labs подтвердила, что случаев эксплуатации зафиксировано не было, но настаивает на скорейшем обновлении. Патч устанавливается вручную, и помимо обновления, необходимо ограничить сетевой доступ. Redis Labs также рекомендует провести аудит логов на предмет индикаторов компрометации.
🌐 Источник
📌 Жадный гоблин по имени Nintendo
Если слышите название Nintendo, то это, практически всегда, означает штраф или суд на крупную сумму. Так и в этой новости.
Nintendo потребовала 4,5 миллиона $$$ с модератора «пиратского» сабреддита. Тот массово распространял взломанные игры и прошивал консоли.
Джеймс Уильямс (aka Archbox), руководитель сообщества пиратов Nintendo Switch на Reddit. Согласно иску, поданного на него в начале октября, Уильямс отправил "тысячи сообщений" на Reddit направляя пользователей на пиратские сайты. Он также предоставлял техническую поддержку по перепрошивке консолей Switch взамен на подарочные карты Nintendo eShop.
Изначально Nintendo направила в марте письмо Джеймсу с просьбой прекратить свою деятельность. Казалось, что Джеймс прекратит свои дела, но нет. Он начал отрицать свою причастность к пиратским ресурсам и впоследствии удалил свои публикации в интернете, которые могли бы как то подтвердить обратное.
Ну и по классике, Nintendo говорит, что цифра то 4,5 миллиона не конкретная, а условная. Ведь реальный ущерб оценить сложно. И вообще, он *кхм* ТОЧНО превышает эти цифры.
Вот так и выходит. Если вы уж и беретесь за репаки или прошивки, то ни в коем случае не ломайте продукты Nintendo, себе хуже сделаете в конце концов.
🌐 Источник
📌 Новый (нет) вирус ClayRat
Сейчас все паблики Telegram кричат, что вышел новый вирус ClayRat, который маскируется под популярные приложения.
Распространение по старинке: по поддельным каналам и фишинговым сайтам. Маскируется он под повседневные приложения типа TikTok, YouTube, Google Photos и т.д. Вирус предлагает установить ПО, а после активации он получает доступ к SMS, кому звонили, какие уведомления получаете (вдруг там код к гугл почте или еще чего), системные данные смотрит и конечно же к камере.
Как защититься? Как и с другими подобными вирусами, лучший способ не подцепить что то — это не переходить на подозрительные ссылки.
🌐 Источник
На этом всё. И помните — храните важные данные в нескольких экземплярах, ведь никогда не знаете, что может случиться с одним из них. А у меня на сегодня всё, встретимся в следующий раз! Желаю вам КиберБезопасной недели!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
Подошла и эта неделя к концу, а значит время для наших кибер новостей! Не буду тянуть, переходим к *кхм* пылающим новостям. Это дайджест №3, и мы начинаем!
📌 Пылающие дата-центры Южной Кореи
Южным корейцам на этой неделе крупно досталось, у них вспыхнул весь дата-центр во время замены батареи. Пламя быстро охватило соседние батареи и сервера. Была парализована вся инфраструктура всего государства, пострадало 647 гос. сервисов и 96 были ПОЛНОСТЬЮ уничтожены. Из наиболее значимых: аналог госуслуг, система идентификации граждан, гос. почта и G-Drive (своё хранилище документов).
Иронично вышло с G-Drive, где резервные копии хранились в том же здании, которое... тоже сгорело. Теперь данные восстанавливают из локальных копий. А чиновник, который отвечал за восстановление систем покончил с собой.
📌 RCE уязвимость Redis
Что у нас тут – проблемы не в какой-то конкретной стране? Беда международного уровня.
В Redis (популярная система кэширования и база данных) была выявлена уязвимость нулевого дня (CVE-2025-49844), которой был присвоен наивысший уровень опасности. Уязвимость позволяет авторизованному злоумышленнику дистанционно выполнять код на сервере, который даёт ПОЛНЫЙ контроль над процессом.
Проблема существует уже более 13 лет, были затронуты ВСЕ версии, поддерживающие выполнение Lua. А Redis, на минуточку, используется в ~75% облачных сред.
Благо Redis Labs подтвердила, что случаев эксплуатации зафиксировано не было, но настаивает на скорейшем обновлении. Патч устанавливается вручную, и помимо обновления, необходимо ограничить сетевой доступ. Redis Labs также рекомендует провести аудит логов на предмет индикаторов компрометации.
📌 Жадный гоблин по имени Nintendo
Если слышите название Nintendo, то это, практически всегда, означает штраф или суд на крупную сумму. Так и в этой новости.
Nintendo потребовала 4,5 миллиона $$$ с модератора «пиратского» сабреддита. Тот массово распространял взломанные игры и прошивал консоли.
Джеймс Уильямс (aka Archbox), руководитель сообщества пиратов Nintendo Switch на Reddit. Согласно иску, поданного на него в начале октября, Уильямс отправил "тысячи сообщений" на Reddit направляя пользователей на пиратские сайты. Он также предоставлял техническую поддержку по перепрошивке консолей Switch взамен на подарочные карты Nintendo eShop.
Изначально Nintendo направила в марте письмо Джеймсу с просьбой прекратить свою деятельность. Казалось, что Джеймс прекратит свои дела, но нет. Он начал отрицать свою причастность к пиратским ресурсам и впоследствии удалил свои публикации в интернете, которые могли бы как то подтвердить обратное.
Ну и по классике, Nintendo говорит, что цифра то 4,5 миллиона не конкретная, а условная. Ведь реальный ущерб оценить сложно. И вообще, он *кхм* ТОЧНО превышает эти цифры.
Вот так и выходит. Если вы уж и беретесь за репаки или прошивки, то ни в коем случае не ломайте продукты Nintendo, себе хуже сделаете в конце концов.
📌 Новый (нет) вирус ClayRat
Сейчас все паблики Telegram кричат, что вышел новый вирус ClayRat, который маскируется под популярные приложения.
Распространение по старинке: по поддельным каналам и фишинговым сайтам. Маскируется он под повседневные приложения типа TikTok, YouTube, Google Photos и т.д. Вирус предлагает установить ПО, а после активации он получает доступ к SMS, кому звонили, какие уведомления получаете (вдруг там код к гугл почте или еще чего), системные данные смотрит и конечно же к камере.
Как защититься? Как и с другими подобными вирусами, лучший способ не подцепить что то — это не переходить на подозрительные ссылки.
На этом всё. И помните — храните важные данные в нескольких экземплярах, ведь никогда не знаете, что может случиться с одним из них. А у меня на сегодня всё, встретимся в следующий раз! Желаю вам КиберБезопасной недели!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥15❤10👍6
Разбор задачи «Двери». Часть 1
📌 Две недели назад запускали челендж, который состоял из двух задач – «Дверь» и «Двери». Тройка победителей успела решить в установленный срок и получили свои призы(по 3 месяца премиум в телеграм). Поздравляем!
Вот эти ребята слева направо:
🥇 3T0T_FL4G_1MB4
🥈 6 6 6
🥉 broken_reality
❗️ Важной объявление
На этой неделе вместе с плановым релизом задач в субботу 12:00 по МСК, запустим новый призовой челендж, он будет состоять из связанных в одну историю трех задач – попробуем запустить ракету в космос. За первое место в качестве приза будет физический календарь на 2026-2027 год с ракетой «Ангара» и подписью от БАГодельни, календарик прислал подписчик канала, за что ему огромное спасибо.
👨💻 А теперь к дверям
Xof – автор челенджа, написал разбор двух задач. Разбор получился солидный по объему текста, поэтому разобьем его на два поста. Первый тут в посте, а второй выйдет завтра. Далее авторский текст, который я сильно не правил, чтобы сохранить стиль и юмор.
📌 Разбор задачи «Дверь»
С первой задачей "Дверь", все просто – она должна была служить легким барьером, который слегка разделит игроков, даст осинтерам и прочим стулоискателям больше времени на анализ второй задачи, чем тем, кто специализируется на задачах другого рода. При анализе фотографии через разные инструменты для стеганографии, можно заметить несколько вещей:
1️⃣ Один bit plane (ч/б изображение, которое берется исходя из битов по конкретному индексу - если изображение у нас 8-битное, то, например, это может быть каждый 4-й бит конкретного цвета), а конкретно – малозначимый 0-й бит зеленого цвета (LSB Green 0) показывал не данные изображения, а картинку TRY AGAIN. Несколько человек попытались ввести этот текст, как флаг. Но на самом деле, это значило, что стоит посмотреть глубже.
2️⃣ Если посмотреть глубже, можно было так же увидеть, что на этом бит плейне был небольшой шум в самом верху файла, что могло означать, что там есть скрытые данные. Собрав каждый 0-й бит зеленого цвета, можно было получить следующую строку:
✍️ Все эти данные можно получить при помощи как минимум двух инструментов:
1️⃣ Утилита zsteg. Она позволяет в автоматизированном режиме проверять все известные методы скрытия данных в файлах. Таким образом можно было решить задачу буквально за минуту, о чем автор не знал :)
2️⃣ Сайт StegOnline. На нем расположен инструмент, позволяющий листать бит плейны картинки, скрывать и доставать данные. Так же на сайте есть приятный чеклист для задач по стегано, а некоторые пункты применимы и к другим задачам.
❗️ Завтра будет опубликована вторая часть разбора
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
📌 Две недели назад запускали челендж, который состоял из двух задач – «Дверь» и «Двери». Тройка победителей успела решить в установленный срок и получили свои призы(по 3 месяца премиум в телеграм). Поздравляем!
Вот эти ребята слева направо:
🥇 3T0T_FL4G_1MB4
🥈 6 6 6
🥉 broken_reality
❗️ Важной объявление
На этой неделе вместе с плановым релизом задач в субботу 12:00 по МСК, запустим новый призовой челендж, он будет состоять из связанных в одну историю трех задач – попробуем запустить ракету в космос. За первое место в качестве приза будет физический календарь на 2026-2027 год с ракетой «Ангара» и подписью от БАГодельни, календарик прислал подписчик канала, за что ему огромное спасибо.
👨💻 А теперь к дверям
Xof – автор челенджа, написал разбор двух задач. Разбор получился солидный по объему текста, поэтому разобьем его на два поста. Первый тут в посте, а второй выйдет завтра. Далее авторский текст, который я сильно не правил, чтобы сохранить стиль и юмор.
📌 Разбор задачи «Дверь»
С первой задачей "Дверь", все просто – она должна была служить легким барьером, который слегка разделит игроков, даст осинтерам и прочим стулоискателям больше времени на анализ второй задачи, чем тем, кто специализируется на задачах другого рода. При анализе фотографии через разные инструменты для стеганографии, можно заметить несколько вещей:
1️⃣ Один bit plane (ч/б изображение, которое берется исходя из битов по конкретному индексу - если изображение у нас 8-битное, то, например, это может быть каждый 4-й бит конкретного цвета), а конкретно – малозначимый 0-й бит зеленого цвета (LSB Green 0) показывал не данные изображения, а картинку TRY AGAIN. Несколько человек попытались ввести этот текст, как флаг. Но на самом деле, это значило, что стоит посмотреть глубже.
2️⃣ Если посмотреть глубже, можно было так же увидеть, что на этом бит плейне был небольшой шум в самом верху файла, что могло означать, что там есть скрытые данные. Собрав каждый 0-й бит зеленого цвета, можно было получить следующую строку:
Start of message --- You think you found a entrance, huh? But i just got you inside of my three-walled bastion! Try to escape, if you can, hehehe... --- First flag is: --- xof{флаг-удален-для-поста} --- password for the next part: --- ПАРОЛЬ_удален_для_поста --- End of message✍️ Все эти данные можно получить при помощи как минимум двух инструментов:
1️⃣ Утилита zsteg. Она позволяет в автоматизированном режиме проверять все известные методы скрытия данных в файлах. Таким образом можно было решить задачу буквально за минуту, о чем автор не знал :)
2️⃣ Сайт StegOnline. На нем расположен инструмент, позволяющий листать бит плейны картинки, скрывать и доставать данные. Так же на сайте есть приятный чеклист для задач по стегано, а некоторые пункты применимы и к другим задачам.
❗️ Завтра будет опубликована вторая часть разбора
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥6
Разбор задачи «Двери». Часть 2
Первая часть тут.
📌 Предистория
Когда-то давно, когда автор был еще в школе, но уже знал про NAT, пробросы портов и прочее, встал вопрос защиты своих наработок. Софт хостился на материнке от старого нетбука, закрепленного на фанере, а роутер был дешевым домашним – лишнее количество внешнего трафика очень сильно нагружало сеть. В процессе ресерча и обнаружился такой примитивный, но действенный способ защиты своих сервисов - Port Knocking.
📌 Принцип работы
Port Knocking – это всего лишь собирательное описание множества методов, которым можно «обфусцировать» наличие порта, но суть одна – на хост (чаще всего, файервол стоящий лицом в интернет) отправляются пакеты определенного типа, с определенными характеристиками, и определенной последовательностью. Чем шире доступ к настройкам файервола и глубже анализ пакетов, тем более изощренные методы для защиты можно придумать. Можно отправлять ICMP ping-пакеты с определенным размером (например,
📌 Разбор задачи «Двери»
Эта задача была основана на одном из простейших методов Port Knocking'а – "простукивание" по трем TCP портам. Контейнер под задачу специально выдавался с минимально доступным набором инструментов, для тренировки скриптинга или проброса своих инструментов (мы всё видели в логах 😁и узнали много полезного). Таким образом, например, участники пробрасывали статически собранный nmap, что не было предусмотрено.
Одной из первых вещей, которые надо было сделать, это прочитать MOTD, или же баннер - сообщение, присылаемое при старте. Так как раньше таких сетевых задач в БАГодельне не было, то там специально было написано:
А так же была дана подсказка про слушателя. Не смотря на это, многие стали отправлять запросы на локалхост адреса (127.0.0.0/8 - вся эта подсеть, это loopback адреса - все что вы отправляете сюда, приходит вам же).
И все же, для начала стоило просканировать подсеть на наличие других хостов. Это можно было сделать таким one-liner скриптом:
А затем выполнить команду
Либо же, вместо всего этого, можно было закинуть nmap.
Дальше, когда мы определились с хостом, нужно понять, что с ним делать. Вспоминаем хайку из MOTD, где написано про
Собрав все воедино, начинаем сканирование портов на слушателе. Через некоторое время был добавлен еще один хинт – если простучать правильный порт, то нам в консоль выводился текст
Сканирование портов скриптом:
Правильно постучавшись три раза, получаем сообщение с флагом:
❕В процессе решения этой задачи было выявлено очень много проблем, поэтому хочу сказать спасибо за терпение даунтаймов, багов, и в целом непонятных моментов.
Ваш 🦊
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
Первая часть тут.
📌 Предистория
Когда-то давно, когда автор был еще в школе, но уже знал про NAT, пробросы портов и прочее, встал вопрос защиты своих наработок. Софт хостился на материнке от старого нетбука, закрепленного на фанере, а роутер был дешевым домашним – лишнее количество внешнего трафика очень сильно нагружало сеть. В процессе ресерча и обнаружился такой примитивный, но действенный способ защиты своих сервисов - Port Knocking.
📌 Принцип работы
Port Knocking – это всего лишь собирательное описание множества методов, которым можно «обфусцировать» наличие порта, но суть одна – на хост (чаще всего, файервол стоящий лицом в интернет) отправляются пакеты определенного типа, с определенными характеристиками, и определенной последовательностью. Чем шире доступ к настройкам файервола и глубже анализ пакетов, тем более изощренные методы для защиты можно придумать. Можно отправлять ICMP ping-пакеты с определенным размером (например,
ping -s 1024 <IP>), и создать уникальный ключ, состоящий из последовательности пришедших размеров пакетов. Или чередовать TCP и UDP порты, и еще много прочих вещей...📌 Разбор задачи «Двери»
Эта задача была основана на одном из простейших методов Port Knocking'а – "простукивание" по трем TCP портам. Контейнер под задачу специально выдавался с минимально доступным набором инструментов, для тренировки скриптинга или проброса своих инструментов (мы всё видели в логах 😁и узнали много полезного). Таким образом, например, участники пробрасывали статически собранный nmap, что не было предусмотрено.
Одной из первых вещей, которые надо было сделать, это прочитать MOTD, или же баннер - сообщение, присылаемое при старте. Так как раньше таких сетевых задач в БАГодельне не было, то там специально было написано:
This container is only an entry point.
А так же была дана подсказка про слушателя. Не смотря на это, многие стали отправлять запросы на локалхост адреса (127.0.0.0/8 - вся эта подсеть, это loopback адреса - все что вы отправляете сюда, приходит вам же).
И все же, для начала стоило просканировать подсеть на наличие других хостов. Это можно было сделать таким one-liner скриптом:
# например, через ifconfig можно посмотреть настройки сети
# только не забудьте поменять подсеть, и маску, на вашу!
for i in $(seq 1 254); do (ping -c 1 -W 1 169.254.1.$i | grep "64 bytes" &) done
А затем выполнить команду
arp -a, чтобы увидеть нашего слушателя:$ arp -a
cpmgpblj_xxx-xxx-xxx-xxx-listener-1.cpmgpblj_xxx-xxx-xxx-xxx_default (169.254.1.226) at be:37:d6:dc:ee:d3 [ether] on eth0
Либо же, вместо всего этого, можно было закинуть nmap.
Дальше, когда мы определились с хостом, нужно понять, что с ним делать. Вспоминаем хайку из MOTD, где написано про
three-way dance, что намекает на TCP, и сообщение из прошлой задачи, про three-walled bastion. Еще в процессе ковыряния можно было наткнуться на позднее добавленный хинт - если постучать в локалхост на служебный UDP порт, можно было увидеть следующее сообщение:Wrong listener, bud! Try knocking around the subnet.
Собрав все воедино, начинаем сканирование портов на слушателе. Через некоторое время был добавлен еще один хинт – если простучать правильный порт, то нам в консоль выводился текст
knock. Поэтому составить скрипт для сканирования труда не составит: сканируем порты посредством nmap или netcat, если получаем knock в выводе, либо же статус от соответствующей программы, что порт открыт - сохраняем его, и сканируем порты снова, на этот раз постоянно простукивая прошлый порт. Кто-то даже бесконечный while цикл запускал ради этого :)Сканирование портов скриптом:
for port in $(seq 1 65536); do nc -z -w1 169.254.1.226 $port 2>/dev/null && echo "Port $port is open"; done
Правильно постучавшись три раза, получаем сообщение с флагом:
Fuck, it was THAT easy?!
Take your flag and get out!
xof{флаг-удален-для-поста}
❕В процессе решения этой задачи было выявлено очень много проблем, поэтому хочу сказать спасибо за терпение даунтаймов, багов, и в целом непонятных моментов.
Ваш 🦊
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #2
❗️Внимание!
Челендж "Ангара" состоит из трех частей, которые нужно решать по очереди. Это призовой набор задач.
Первая тройка решивших получат символические призы:
– За первое место физический календарь на 2026-2027 годы с ракетой Ангара на обложке и подписью от БАГодельни. Отправляется только по РФ, если победитель будет из другой страны, то приз будет заменен на цифровой.
– За второе и третье место премиум в телеграм на 3 месяца.
❗️Внимание! [2]
Пока на площадке толком никто не участвовал и было пару десятков пользователей, мы экспериментировали с ачивками. Так появились дополнительные баллы(5, 7 и 10) за первые три решения по субботам. Эта механика сейчас нарушает баланс и ломает все базовые правила соревнований. Поэтому принято решение отменить эти дополнительные баллы, но оставить в личном кабинете отметки о победах в призовых челенджах – за 1-3 места. Сейчас вместе с релизом новых задач обнулены эти баллы, таких было девять штук. Дашборд теперь отражает честную конкуренцию. А ачивки подсвечивают факт победы в дополнительных ивентах и факт получения приза за него.
———
❗️Шесть новых задач доступны на площадке!
📌 Misc / Ангара-1: Вход в ОС
📌 Misc / Ангара-2: Коды запуска
📌 Misc / Ангара-3: Запуск
📌 Rev / Почувствуй радугу
📌 OSINT / Стул №3: Земля в иллюминаторе
📌 OSINT / Первое правило
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #2
❗️Внимание!
Челендж "Ангара" состоит из трех частей, которые нужно решать по очереди. Это призовой набор задач.
Первая тройка решивших получат символические призы:
– За первое место физический календарь на 2026-2027 годы с ракетой Ангара на обложке и подписью от БАГодельни. Отправляется только по РФ, если победитель будет из другой страны, то приз будет заменен на цифровой.
– За второе и третье место премиум в телеграм на 3 месяца.
❗️Внимание! [2]
Пока на площадке толком никто не участвовал и было пару десятков пользователей, мы экспериментировали с ачивками. Так появились дополнительные баллы(5, 7 и 10) за первые три решения по субботам. Эта механика сейчас нарушает баланс и ломает все базовые правила соревнований. Поэтому принято решение отменить эти дополнительные баллы, но оставить в личном кабинете отметки о победах в призовых челенджах – за 1-3 места. Сейчас вместе с релизом новых задач обнулены эти баллы, таких было девять штук. Дашборд теперь отражает честную конкуренцию. А ачивки подсвечивают факт победы в дополнительных ивентах и факт получения приза за него.
———
❗️Шесть новых задач доступны на площадке!
📌 Misc / Ангара-1: Вход в ОС
📌 Misc / Ангара-2: Коды запуска
📌 Misc / Ангара-3: Запуск
📌 Rev / Почувствуй радугу
📌 OSINT / Стул №3: Земля в иллюминаторе
📌 OSINT / Первое правило
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Новостной дайджест #4
⏰ Вмешательство во время
Необычные атаки происходят у китайцев. По сообщению их министерства безопасности, они обнаружили, что АНБ США вело продолжительную кибератаку на центр национальной службы Китая.
К слову, если кто не знал, этот центр отвечает за установление, поддержание и трансляцию пекинского времени и предоставляет услуги синхронизации времени в таких сферах, как связь, финансы, электроэнергетика, транспорт, геодезия и картография, национальная оборона, а также данные для расчета международного поясного времени. И повреждение этой структуры может очень сильно повлиять на безопасную и стабильную работу «пекинского времени». К примеру, может произойти коллапс в транспортной сфере или возникнуть перебои в электроснабжении.
Начиная с 25 марта 2022 года АНБ использовало уязвимость в SMS-сервисе иностранного производителя мобильных телефонов, чтобы тайно получить контроль над мобильными телефонами нескольких сотрудников и похитить хранящиеся на них конфиденциальные данные, утверждают они. С 18 апреля 2023 года украденные учетные записи неоднократно использовались для проникновения в компьютеры центра службы времени и слежки.
Источник
👨💻 DDoS рекорд
В последнее время я смотрю новости и часто замечаю, что DDoS-атак стало значительно больше, чем раньше. Одна новость меня особенно зацепила. Gcore — провайдер хостинга игр из Люксембурга — подвергся одной из крупнейших DDoS-атак: пиковая нагрузка составила около 6 Тбит/с и около 5,3 млрд пакетов в секунду. Это колоссальные размеры. Но на такую атаку нужны огромные ресурсы, поэтому она длилась недолго, где-то 30–45 секунд. Эта атака вошла в топ-10 подобных. Половина атаки исходила из Бразилии, а остальное — из США и стран Азии и Европы.
Мотивы атаки пока неизвестны.
Источник
🤖 Скайнет близко
В наше время ИИ очень быстро стал развиваться и интегрироваться во все системы и инфраструктуры. Были какие-то примитивные чат-боты, потом генерация видео, и вот 2025 год — и мы уже буквально живём вровень с искусственным интеллектом. Человек не был бы человеком, если бы не использовал какую-то технологию, чтобы навредить другим. Так, Microsoft собрала отчёт за июль этого года, в нём было зафиксировано более 200 случаев использования ИИ-генерированного контента и фейков в рамках атак. В них входят: автоматизированные фишинг-кампании с ИИ-помощниками, цифровые клоны лиц, выдающие себя за официальных представителей, и использование ИИ-инструментов для дезинформации.
– Вот список стран, которые пользовались таким: Россия, Китай, Иран и Северная Корея. Цели атак были направлены на США, затем на Израиль и уже потом на Украину.
– Россия начала использовать LLM-модели (Large Language Models) для автоматизации перевода и адаптации фишинговых шаблонов на языки целевых стран.
– Китай применяет ИИ для анализа резюме инженеров и выбора целей фишинга по технологическим стекам.
– Иран использует генераторы изображений для создания поддельных аккаунтов журналистов и инфографики.
– Северная Корея тестирует ИИ-модули для фишинговых писем, имитирующих стиль LinkedIn-рекрутеров.
Источник
🔪Нож в спину
Специалисты Symantec Threat Hunter Team сообщают, что связанная с Китаем группировка Jewelbug провела около пяти месяцев в сети неназванного российского поставщика ИТ-услуг. Подчеркивается, что это первый случай, когда группа действует за пределами Юго-Восточной Азии и Южной Америки. Вредоносная активность велась с января по май этого года.
Благодаря этой атаке стало видно, что Россия не в «запретной зоне» для китайских хакеров, даже учитывая улучшение военных, экономических и дипломатических отношений между нами. В атаке на российского ИТ-провайдера Jewelbug использовала переименованную версию Microsoft Console Debugger (cdb.exe), которую можно применять для запуска шелл-кода и обхода белых списков приложений, а также для запуска исполняемых файлов, DLL и завершения работы защитных решений.
Источник
На этом всё! До скорого!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
⏰ Вмешательство во время
Необычные атаки происходят у китайцев. По сообщению их министерства безопасности, они обнаружили, что АНБ США вело продолжительную кибератаку на центр национальной службы Китая.
К слову, если кто не знал, этот центр отвечает за установление, поддержание и трансляцию пекинского времени и предоставляет услуги синхронизации времени в таких сферах, как связь, финансы, электроэнергетика, транспорт, геодезия и картография, национальная оборона, а также данные для расчета международного поясного времени. И повреждение этой структуры может очень сильно повлиять на безопасную и стабильную работу «пекинского времени». К примеру, может произойти коллапс в транспортной сфере или возникнуть перебои в электроснабжении.
Начиная с 25 марта 2022 года АНБ использовало уязвимость в SMS-сервисе иностранного производителя мобильных телефонов, чтобы тайно получить контроль над мобильными телефонами нескольких сотрудников и похитить хранящиеся на них конфиденциальные данные, утверждают они. С 18 апреля 2023 года украденные учетные записи неоднократно использовались для проникновения в компьютеры центра службы времени и слежки.
Источник
👨💻 DDoS рекорд
В последнее время я смотрю новости и часто замечаю, что DDoS-атак стало значительно больше, чем раньше. Одна новость меня особенно зацепила. Gcore — провайдер хостинга игр из Люксембурга — подвергся одной из крупнейших DDoS-атак: пиковая нагрузка составила около 6 Тбит/с и около 5,3 млрд пакетов в секунду. Это колоссальные размеры. Но на такую атаку нужны огромные ресурсы, поэтому она длилась недолго, где-то 30–45 секунд. Эта атака вошла в топ-10 подобных. Половина атаки исходила из Бразилии, а остальное — из США и стран Азии и Европы.
Мотивы атаки пока неизвестны.
Источник
🤖 Скайнет близко
В наше время ИИ очень быстро стал развиваться и интегрироваться во все системы и инфраструктуры. Были какие-то примитивные чат-боты, потом генерация видео, и вот 2025 год — и мы уже буквально живём вровень с искусственным интеллектом. Человек не был бы человеком, если бы не использовал какую-то технологию, чтобы навредить другим. Так, Microsoft собрала отчёт за июль этого года, в нём было зафиксировано более 200 случаев использования ИИ-генерированного контента и фейков в рамках атак. В них входят: автоматизированные фишинг-кампании с ИИ-помощниками, цифровые клоны лиц, выдающие себя за официальных представителей, и использование ИИ-инструментов для дезинформации.
– Вот список стран, которые пользовались таким: Россия, Китай, Иран и Северная Корея. Цели атак были направлены на США, затем на Израиль и уже потом на Украину.
– Россия начала использовать LLM-модели (Large Language Models) для автоматизации перевода и адаптации фишинговых шаблонов на языки целевых стран.
– Китай применяет ИИ для анализа резюме инженеров и выбора целей фишинга по технологическим стекам.
– Иран использует генераторы изображений для создания поддельных аккаунтов журналистов и инфографики.
– Северная Корея тестирует ИИ-модули для фишинговых писем, имитирующих стиль LinkedIn-рекрутеров.
Источник
🔪Нож в спину
Специалисты Symantec Threat Hunter Team сообщают, что связанная с Китаем группировка Jewelbug провела около пяти месяцев в сети неназванного российского поставщика ИТ-услуг. Подчеркивается, что это первый случай, когда группа действует за пределами Юго-Восточной Азии и Южной Америки. Вредоносная активность велась с января по май этого года.
Благодаря этой атаке стало видно, что Россия не в «запретной зоне» для китайских хакеров, даже учитывая улучшение военных, экономических и дипломатических отношений между нами. В атаке на российского ИТ-провайдера Jewelbug использовала переименованную версию Microsoft Console Debugger (cdb.exe), которую можно применять для запуска шелл-кода и обхода белых списков приложений, а также для запуска исполняемых файлов, DLL и завершения работы защитных решений.
Источник
На этом всё! До скорого!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #3
❗️Шесть новых задач доступны на площадке!
📌 Web / Вокруг света
📌 Stegano / Промпты на стол!
📌 Stegano / Шахматы с Момо
📌 Misc / Современный формат
📌 OSINT / Кодировщик
📌 OSINT / Стул №4: Приватный танец
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #3
❗️Шесть новых задач доступны на площадке!
📌 Web / Вокруг света
📌 Stegano / Промпты на стол!
📌 Stegano / Шахматы с Момо
📌 Misc / Современный формат
📌 OSINT / Кодировщик
📌 OSINT / Стул №4: Приватный танец
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥13
Новостной дайджест #5
Вот и воскресенье, а значит время новостей. Давайте посмотрим, что у нас!
🥒 Взломжопы секс-игрушек
С порога нас встречает довольно пикантная новость. Была найдена ВОСЬМИЛЕТНЯЯ уязвимость в приложениях для секс-игрушек Lovense.
Исследователи выяснили, что при любом взаимодействии между пользователями на сервер отправляется API-запрос, где для идентификации обоих используются не анонимизированные ID, а электронная почта. Проанализировав собственный трафик, кто угодно мог узнать адреса других пользователей. Для генерации токена аутентификации в приложении Lovense Connect было достаточно как раз почты пользователя. То есть подготовленный человек, воспользовавшись этой уязвимостью, мог захватить любой аккаунт.
Впрочем, похоть похотью, но реальные злоумышленники, могли использовать это на вебкам-моделях и самих зрителей для шантажа, сталкинга и уйму других не совсем законных деятельностей.
Самое поразительное, то, что компания ЗНАЛА об этой уязвимости все эти 8 лет (а то и больше), и как вы понимаете, ничего с этим не делала.
Источник
🛏 Сон с подогревом
Думаю, все уже в курсе, что на этой неделе масштабный сбой Amazon Web Services (AWS) вывел из строя половину интернета. Ладно бы только интернет, но мы то в будущем живём, а значит что-то еще должно было откиснуть. Ну и откисло. Умные системы для сна Eight Sleep стоимостью несколько тысяч долларов в буквальном смысле подогрел своих владельцев во время сна, а кто-то и вовсе не мог лечь горизонтально и были вынуждены спать в приподнятом положении.
Чуть больше о самих матрасах. Если вы доплатите еще несколько тысяч, то можно приобрести базу с регулировкой положения матраса, биометрическими датчиками сна, опциями нагрева и охлаждения. В дополнение у вас обязательная подписка на сервисы Eight Sleep стоимостью от 17 до 33 долларов в месяц. При этом всё зависит от облака AWS, и если облако падает, то из кошерного матраса вы получаете матрас обычного пользователя (у матрасов есть физические кнопки, но и им требуется интернет).
Источник
🗑 TikTok-мошенники
В TikTok начали появляться видео, где объясняется, как можно активировать Photoshop бесплатно. Зрителям предлагают запустить PowerShell от имени администратора и вставить строку кода — после чего на компьютер загружается Updater.exe, который на самом деле является трояном AuroraStealer, который крадёт пароли, данные системы и может запускать дополнительный вредоносный код.
Такая схема относится к методу ClickFix, когда жертву убеждают самостоятельно запустить вредоносный скрипт под видом «лайфхака» или «исправления ошибки». Ранее подобные атаки уже применялись для распространения вирусов Vidar и StealC.
По данным Microsoft, ClickFix стал одним из самых популярных способов взлома в 2025 году — его зафиксировали в 47% всех атак.
Надеюсь, мне не нужно говорить, но не вставляйте непроверенный код себе в терминал. В большинстве случаев вы не активируете себе ничего, а только лишитесь данных или, в худшем случае, целой системы.
Источник
❤️ Спасибо CTF News
Немного уйдем от происшествий в мире. Наша любимая БАГодельня попала на CTF News! Благодаря им у нас появились новенькие как на платформе, так и на канале. Привет вам :)
Ответственность за работу платформы и качество задач увеличивается, с размером аудитории, но мы постараемся не разочаровать, и дальше развивать и продвигать площадку с ctf-задачами.
Источник
На этом всё! До скорого!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
Вот и воскресенье, а значит время новостей. Давайте посмотрим, что у нас!
🥒 Взлом
С порога нас встречает довольно пикантная новость. Была найдена ВОСЬМИЛЕТНЯЯ уязвимость в приложениях для секс-игрушек Lovense.
Исследователи выяснили, что при любом взаимодействии между пользователями на сервер отправляется API-запрос, где для идентификации обоих используются не анонимизированные ID, а электронная почта. Проанализировав собственный трафик, кто угодно мог узнать адреса других пользователей. Для генерации токена аутентификации в приложении Lovense Connect было достаточно как раз почты пользователя. То есть подготовленный человек, воспользовавшись этой уязвимостью, мог захватить любой аккаунт.
Впрочем, похоть похотью, но реальные злоумышленники, могли использовать это на вебкам-моделях и самих зрителей для шантажа, сталкинга и уйму других не совсем законных деятельностей.
Самое поразительное, то, что компания ЗНАЛА об этой уязвимости все эти 8 лет (а то и больше), и как вы понимаете, ничего с этим не делала.
Источник
🛏 Сон с подогревом
Думаю, все уже в курсе, что на этой неделе масштабный сбой Amazon Web Services (AWS) вывел из строя половину интернета. Ладно бы только интернет, но мы то в будущем живём, а значит что-то еще должно было откиснуть. Ну и откисло. Умные системы для сна Eight Sleep стоимостью несколько тысяч долларов в буквальном смысле подогрел своих владельцев во время сна, а кто-то и вовсе не мог лечь горизонтально и были вынуждены спать в приподнятом положении.
Чуть больше о самих матрасах. Если вы доплатите еще несколько тысяч, то можно приобрести базу с регулировкой положения матраса, биометрическими датчиками сна, опциями нагрева и охлаждения. В дополнение у вас обязательная подписка на сервисы Eight Sleep стоимостью от 17 до 33 долларов в месяц. При этом всё зависит от облака AWS, и если облако падает, то из кошерного матраса вы получаете матрас обычного пользователя (у матрасов есть физические кнопки, но и им требуется интернет).
Источник
В TikTok начали появляться видео, где объясняется, как можно активировать Photoshop бесплатно. Зрителям предлагают запустить PowerShell от имени администратора и вставить строку кода — после чего на компьютер загружается Updater.exe, который на самом деле является трояном AuroraStealer, который крадёт пароли, данные системы и может запускать дополнительный вредоносный код.
Такая схема относится к методу ClickFix, когда жертву убеждают самостоятельно запустить вредоносный скрипт под видом «лайфхака» или «исправления ошибки». Ранее подобные атаки уже применялись для распространения вирусов Vidar и StealC.
По данным Microsoft, ClickFix стал одним из самых популярных способов взлома в 2025 году — его зафиксировали в 47% всех атак.
Надеюсь, мне не нужно говорить, но не вставляйте непроверенный код себе в терминал. В большинстве случаев вы не активируете себе ничего, а только лишитесь данных или, в худшем случае, целой системы.
Источник
❤️ Спасибо CTF News
Немного уйдем от происшествий в мире. Наша любимая БАГодельня попала на CTF News! Благодаря им у нас появились новенькие как на платформе, так и на канале. Привет вам :)
Ответственность за работу платформы и качество задач увеличивается, с размером аудитории, но мы постараемся не разочаровать, и дальше развивать и продвигать площадку с ctf-задачами.
Источник
На этом всё! До скорого!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #4
❗️Обновление 1
Добавили рейтинг и отзывы для задач. Теперь после сдачи флага можно проголосовать за задачу — поставить ей оценку от 1 до 5. А так же можно написать комментарий с замечанием, пожеланием или любым другим содержанием. Оценки публичные, их видят все пользователи. А отзывы только для авторов задач, чтобы собирать критику и дорабатывать и улучшать задачи.
❗️Обновление 2
Добавлены теги для задач, которые указывают на уровень сложности. Определение сложности пока субъективное от авторов задач, поэтому если не согласны, то оставляйте и про это свои комментарии. Позже планируется добавить голосование и за сложность тасок.
Сейчас четыре тега сложности: Baby, Easy, Medium и Hard. Для всех задач уже проставлены теги, они видны при полном просмотре задачи.
📌 Кроме комментариев в форме задачи, всегда можно поделиться идеями по улучшению площадки и задач или задать вопрос по таскам в нашем чате или у меня в личке: @ipatove
Ваши отзывы и предложения очень помогают улучшать задачи. Спасибо всем, кто пишет свои замечания и пожелания.
❗️Опубликованы новые задания
Шесть новых задач доступны на площадке!
🟢 Welcome / Цензура
🟢 OSINT / Мы довольны, Винсент?
🟡 Web / Вектор атаки
🟡 MISC / Счет на минуты
🔴 Stegano / Чужой
🔴 Rev / Стул №5: ДСП
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #4
❗️Обновление 1
Добавили рейтинг и отзывы для задач. Теперь после сдачи флага можно проголосовать за задачу — поставить ей оценку от 1 до 5. А так же можно написать комментарий с замечанием, пожеланием или любым другим содержанием. Оценки публичные, их видят все пользователи. А отзывы только для авторов задач, чтобы собирать критику и дорабатывать и улучшать задачи.
❗️Обновление 2
Добавлены теги для задач, которые указывают на уровень сложности. Определение сложности пока субъективное от авторов задач, поэтому если не согласны, то оставляйте и про это свои комментарии. Позже планируется добавить голосование и за сложность тасок.
Сейчас четыре тега сложности: Baby, Easy, Medium и Hard. Для всех задач уже проставлены теги, они видны при полном просмотре задачи.
📌 Кроме комментариев в форме задачи, всегда можно поделиться идеями по улучшению площадки и задач или задать вопрос по таскам в нашем чате или у меня в личке: @ipatove
Ваши отзывы и предложения очень помогают улучшать задачи. Спасибо всем, кто пишет свои замечания и пожелания.
❗️Опубликованы новые задания
Шесть новых задач доступны на площадке!
🟢 Welcome / Цензура
🟢 OSINT / Мы довольны, Винсент?
🟡 Web / Вектор атаки
🟡 MISC / Счет на минуты
🔴 Stegano / Чужой
🔴 Rev / Стул №5: ДСП
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥7
Новостной дайджест #6
🚙 Угон админки и персональных данных
На сайте FIA нашли дыру, которая позволяла получить права админа и стащить конфиденциальные данные пилотов Формулы-1. Третьего июня «белые» хакеры поделились с компанией такой находкой.
Исследователи получили доступ ко всем внутренним коммуникациям, а также к очень чувствительным сведениям (личные дела, сканы паспортов, резюме, гоночные лицензии и т.п.).
Сайт был временно заблокирован, а проблему устранили спустя неделю.
Вот и учитывая такие детали не только о самих водителях F1, но и о самой FIA, представить не сложно, какие манипуляции в гонках можно осуществить. Ну или заработать на этом как то.
Источник
🃏Мошенничество в покере
Казино уже давно использует автоматические тасовщики карт. Два года назад презентовали новый авто-тасовщик Deckmate 2, и в нём на презентации нашли дыры через USB порт. Через него можно было изменить код устройства и получить доступ к внутренней камере тасовщика, тем самым узнавая порядок карт до игры. Этим мошенники и воспользовались такой уязвимостью, и набрали около 7 МИЛЛИОНОВ долларов с пострадавших в этой схеме. А сама схема такова — за покерным столом сидели известные баскетболисты и заманивали этим обычных любителей покераю (кто не хочет с ними сыграть, верно?). Вот так и попадались на такое. В этой схеме участвовали члены мафии и бывшие игроки НБА (тренер Portland Trail Blazers Чонси Биллапса и экс-игрок Дэймон Джонс). В итоге 31 человеку предъявили обвинения по делу о мошенничестве.
Источник
🌐Уязвимости у нового браузера от OpenAI
Если кто-то уже начал пользоваться новым браузером Atlas — можете откатываться назад на другие браузеры. Была найдена критическая уязвимость, которая позволяет встраивать вредоносный код прямиком в память ChatGPT и его исполнять. Технически это затрагивает вообще всех пользователей ChatGPT, но особо уязвимы будут пользователи Atlas (более чем на 90%). Суть уязвимости — мошенники используют межсайтовую подделку запроса, делая запрос, чтобы воспользоваться учетными данными для доступа и запустить нежелательный код. После этого пользователь должен воспользоваться ChatGPT, но ИИ сделает то, что было сохранено в ее памяти — тот самый код. А отсюда уже и рукой подать до ваших данных и систем которыми вы пользуетесь. Это была основная уязвимость, больше в источнике.
Источник
🐞 ❤️
Напоследок, хотелось бы поблагодарить канал Райтапы по CTF{2025} за освещение нашей площадки несколько недель назад. А так же поздравляем их админа с прошедшим ДР!
А на этом всё! До встречи и хорошей кибер-недели вам!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
🚙 Угон админки и персональных данных
На сайте FIA нашли дыру, которая позволяла получить права админа и стащить конфиденциальные данные пилотов Формулы-1. Третьего июня «белые» хакеры поделились с компанией такой находкой.
Исследователи получили доступ ко всем внутренним коммуникациям, а также к очень чувствительным сведениям (личные дела, сканы паспортов, резюме, гоночные лицензии и т.п.).
Мы остановили тестирование, после того как мы заметили, что мы могли получить доступ к паспорту Макса Ферстаппена, его резюме, лицензию, хэш паролей, и его персональную идентификацию. К этим данным можно было получить доступ для всех пилотов Формулы-1 с категоризацией, а также к конфиденциальной информации о внутренних операциях FIA" - Говорит Кэролл
Сайт был временно заблокирован, а проблему устранили спустя неделю.
Вот и учитывая такие детали не только о самих водителях F1, но и о самой FIA, представить не сложно, какие манипуляции в гонках можно осуществить. Ну или заработать на этом как то.
Источник
🃏Мошенничество в покере
Казино уже давно использует автоматические тасовщики карт. Два года назад презентовали новый авто-тасовщик Deckmate 2, и в нём на презентации нашли дыры через USB порт. Через него можно было изменить код устройства и получить доступ к внутренней камере тасовщика, тем самым узнавая порядок карт до игры. Этим мошенники и воспользовались такой уязвимостью, и набрали около 7 МИЛЛИОНОВ долларов с пострадавших в этой схеме. А сама схема такова — за покерным столом сидели известные баскетболисты и заманивали этим обычных любителей покераю (кто не хочет с ними сыграть, верно?). Вот так и попадались на такое. В этой схеме участвовали члены мафии и бывшие игроки НБА (тренер Portland Trail Blazers Чонси Биллапса и экс-игрок Дэймон Джонс). В итоге 31 человеку предъявили обвинения по делу о мошенничестве.
Источник
🌐Уязвимости у нового браузера от OpenAI
Если кто-то уже начал пользоваться новым браузером Atlas — можете откатываться назад на другие браузеры. Была найдена критическая уязвимость, которая позволяет встраивать вредоносный код прямиком в память ChatGPT и его исполнять. Технически это затрагивает вообще всех пользователей ChatGPT, но особо уязвимы будут пользователи Atlas (более чем на 90%). Суть уязвимости — мошенники используют межсайтовую подделку запроса, делая запрос, чтобы воспользоваться учетными данными для доступа и запустить нежелательный код. После этого пользователь должен воспользоваться ChatGPT, но ИИ сделает то, что было сохранено в ее памяти — тот самый код. А отсюда уже и рукой подать до ваших данных и систем которыми вы пользуетесь. Это была основная уязвимость, больше в источнике.
Источник
Напоследок, хотелось бы поблагодарить канал Райтапы по CTF{2025} за освещение нашей площадки несколько недель назад. А так же поздравляем их админа с прошедшим ДР!
А на этом всё! До встречи и хорошей кибер-недели вам!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
4❤9
Разборы задач
📖 Чтобы площадка с задачами была полноценно обучающей, ей не хватает разборов, куда можно подсмотреть, если наступил совсем тупик в решении. Такие пояснения нужны для повышения навыков: получив их, следующие подобные задания будет решать проще и понятнее. Поэтому мы начинаем потихоньку писать и выкладывать разборы к задачам, которые давно вышли и многие успели решить.
Но сперва несколько ремарок, чтобы снять некоторые вопросы и добавить ясности:
📌 В первую очередь разборы будут публиковаться для задач сложности Baby, Easy и некоторых Medium. Hard пока останется без описания. Это умышленное ограничение, чтобы сложные задачи нельзя было подсмотреть и не сломать баланс скорборда, где идет честная борьба.
📌 Разборы на сложные задания, где решений не много, тоже появятся, но не раньше весны следующего года. Мы работаем над обновлением площадки, и одним из серьезных изменений будет введение сезонов. Это самое оптимальное решение для сохранения честного баланса на скорборде и публикации разборов ко всем задачам. То есть после завершения определенного срока старые задачи перестанут учитываться в зачете, но для них появятся описания решений. Так мы сможем публиковать разборы и не допустим мухлежа на доске достижений. Все старые победы из прошлых сезонов также останутся доступны в истории.
📌 Для полноценного описания решений не хватает формата постов в Телеграме — он не позволяет добавлять картинки в текст, а без них нормально объяснить не получится. Поэтому мы немного поэкспериментировали с разными сервисами и как временное решение остановились на Telegraph, который встроен в сам Телеграм. Позже эти статьи переедут на сайт, чтобы были рядом с задачами.
❗️ Разбор задачи «Отголосок прошлого»
А теперь сам разбор. Начнем с задачи из категории OSINT, которая называется «Отголосок прошлого». За два месяца ее смогли решить 42 человека.
Полный разбор задачи со ссылками и картинками можно посмотреть тут: разбор задачи.
Пишите в чат или комментарии к посту, как вам такой формат разборов. Может быть, что-то стоит доработать в описании или есть какие-то еще идеи по более удобным сервисам для публикации. А также делитесь своими идеями решения, так как у каждой задачи может быть множество вариаций нахождения флага.
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
📖 Чтобы площадка с задачами была полноценно обучающей, ей не хватает разборов, куда можно подсмотреть, если наступил совсем тупик в решении. Такие пояснения нужны для повышения навыков: получив их, следующие подобные задания будет решать проще и понятнее. Поэтому мы начинаем потихоньку писать и выкладывать разборы к задачам, которые давно вышли и многие успели решить.
Но сперва несколько ремарок, чтобы снять некоторые вопросы и добавить ясности:
📌 В первую очередь разборы будут публиковаться для задач сложности Baby, Easy и некоторых Medium. Hard пока останется без описания. Это умышленное ограничение, чтобы сложные задачи нельзя было подсмотреть и не сломать баланс скорборда, где идет честная борьба.
📌 Разборы на сложные задания, где решений не много, тоже появятся, но не раньше весны следующего года. Мы работаем над обновлением площадки, и одним из серьезных изменений будет введение сезонов. Это самое оптимальное решение для сохранения честного баланса на скорборде и публикации разборов ко всем задачам. То есть после завершения определенного срока старые задачи перестанут учитываться в зачете, но для них появятся описания решений. Так мы сможем публиковать разборы и не допустим мухлежа на доске достижений. Все старые победы из прошлых сезонов также останутся доступны в истории.
📌 Для полноценного описания решений не хватает формата постов в Телеграме — он не позволяет добавлять картинки в текст, а без них нормально объяснить не получится. Поэтому мы немного поэкспериментировали с разными сервисами и как временное решение остановились на Telegraph, который встроен в сам Телеграм. Позже эти статьи переедут на сайт, чтобы были рядом с задачами.
❗️ Разбор задачи «Отголосок прошлого»
А теперь сам разбор. Начнем с задачи из категории OSINT, которая называется «Отголосок прошлого». За два месяца ее смогли решить 42 человека.
Полный разбор задачи со ссылками и картинками можно посмотреть тут: разбор задачи.
Пишите в чат или комментарии к посту, как вам такой формат разборов. Может быть, что-то стоит доработать в описании или есть какие-то еще идеи по более удобным сервисам для публикации. А также делитесь своими идеями решения, так как у каждой задачи может быть множество вариаций нахождения флага.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
5