Опубликованы новые задания
Релиз #1
Пять новых задач доступны на площадке!
📌 Rev / Стружка-код
📌 Misc / Учебная граната
📌 Web / Десериализатор
📌 OSINT / Абрикос-персик
📌 OSINT / Лёха и кожа
Как объявлял ранее, задания теперь будут выходить по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #1
Пять новых задач доступны на площадке!
📌 Rev / Стружка-код
📌 Misc / Учебная граната
📌 Web / Десериализатор
📌 OSINT / Абрикос-персик
📌 OSINT / Лёха и кожа
Как объявлял ранее, задания теперь будут выходить по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Новостной дайджест #3
Подошла и эта неделя к концу, а значит время для наших кибер новостей! Не буду тянуть, переходим к *кхм* пылающим новостям. Это дайджест №3, и мы начинаем!
📌 Пылающие дата-центры Южной Кореи
Южным корейцам на этой неделе крупно досталось, у них вспыхнул весь дата-центр во время замены батареи. Пламя быстро охватило соседние батареи и сервера. Была парализована вся инфраструктура всего государства, пострадало 647 гос. сервисов и 96 были ПОЛНОСТЬЮ уничтожены. Из наиболее значимых: аналог госуслуг, система идентификации граждан, гос. почта и G-Drive (своё хранилище документов).
Иронично вышло с G-Drive, где резервные копии хранились в том же здании, которое... тоже сгорело. Теперь данные восстанавливают из локальных копий. А чиновник, который отвечал за восстановление систем покончил с собой.
🌐 Источник
📌 RCE уязвимость Redis
Что у нас тут – проблемы не в какой-то конкретной стране? Беда международного уровня.
В Redis (популярная система кэширования и база данных) была выявлена уязвимость нулевого дня (CVE-2025-49844), которой был присвоен наивысший уровень опасности. Уязвимость позволяет авторизованному злоумышленнику дистанционно выполнять код на сервере, который даёт ПОЛНЫЙ контроль над процессом.
Проблема существует уже более 13 лет, были затронуты ВСЕ версии, поддерживающие выполнение Lua. А Redis, на минуточку, используется в ~75% облачных сред.
Благо Redis Labs подтвердила, что случаев эксплуатации зафиксировано не было, но настаивает на скорейшем обновлении. Патч устанавливается вручную, и помимо обновления, необходимо ограничить сетевой доступ. Redis Labs также рекомендует провести аудит логов на предмет индикаторов компрометации.
🌐 Источник
📌 Жадный гоблин по имени Nintendo
Если слышите название Nintendo, то это, практически всегда, означает штраф или суд на крупную сумму. Так и в этой новости.
Nintendo потребовала 4,5 миллиона $$$ с модератора «пиратского» сабреддита. Тот массово распространял взломанные игры и прошивал консоли.
Джеймс Уильямс (aka Archbox), руководитель сообщества пиратов Nintendo Switch на Reddit. Согласно иску, поданного на него в начале октября, Уильямс отправил "тысячи сообщений" на Reddit направляя пользователей на пиратские сайты. Он также предоставлял техническую поддержку по перепрошивке консолей Switch взамен на подарочные карты Nintendo eShop.
Изначально Nintendo направила в марте письмо Джеймсу с просьбой прекратить свою деятельность. Казалось, что Джеймс прекратит свои дела, но нет. Он начал отрицать свою причастность к пиратским ресурсам и впоследствии удалил свои публикации в интернете, которые могли бы как то подтвердить обратное.
Ну и по классике, Nintendo говорит, что цифра то 4,5 миллиона не конкретная, а условная. Ведь реальный ущерб оценить сложно. И вообще, он *кхм* ТОЧНО превышает эти цифры.
Вот так и выходит. Если вы уж и беретесь за репаки или прошивки, то ни в коем случае не ломайте продукты Nintendo, себе хуже сделаете в конце концов.
🌐 Источник
📌 Новый (нет) вирус ClayRat
Сейчас все паблики Telegram кричат, что вышел новый вирус ClayRat, который маскируется под популярные приложения.
Распространение по старинке: по поддельным каналам и фишинговым сайтам. Маскируется он под повседневные приложения типа TikTok, YouTube, Google Photos и т.д. Вирус предлагает установить ПО, а после активации он получает доступ к SMS, кому звонили, какие уведомления получаете (вдруг там код к гугл почте или еще чего), системные данные смотрит и конечно же к камере.
Как защититься? Как и с другими подобными вирусами, лучший способ не подцепить что то — это не переходить на подозрительные ссылки.
🌐 Источник
На этом всё. И помните — храните важные данные в нескольких экземплярах, ведь никогда не знаете, что может случиться с одним из них. А у меня на сегодня всё, встретимся в следующий раз! Желаю вам КиберБезопасной недели!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
Подошла и эта неделя к концу, а значит время для наших кибер новостей! Не буду тянуть, переходим к *кхм* пылающим новостям. Это дайджест №3, и мы начинаем!
📌 Пылающие дата-центры Южной Кореи
Южным корейцам на этой неделе крупно досталось, у них вспыхнул весь дата-центр во время замены батареи. Пламя быстро охватило соседние батареи и сервера. Была парализована вся инфраструктура всего государства, пострадало 647 гос. сервисов и 96 были ПОЛНОСТЬЮ уничтожены. Из наиболее значимых: аналог госуслуг, система идентификации граждан, гос. почта и G-Drive (своё хранилище документов).
Иронично вышло с G-Drive, где резервные копии хранились в том же здании, которое... тоже сгорело. Теперь данные восстанавливают из локальных копий. А чиновник, который отвечал за восстановление систем покончил с собой.
📌 RCE уязвимость Redis
Что у нас тут – проблемы не в какой-то конкретной стране? Беда международного уровня.
В Redis (популярная система кэширования и база данных) была выявлена уязвимость нулевого дня (CVE-2025-49844), которой был присвоен наивысший уровень опасности. Уязвимость позволяет авторизованному злоумышленнику дистанционно выполнять код на сервере, который даёт ПОЛНЫЙ контроль над процессом.
Проблема существует уже более 13 лет, были затронуты ВСЕ версии, поддерживающие выполнение Lua. А Redis, на минуточку, используется в ~75% облачных сред.
Благо Redis Labs подтвердила, что случаев эксплуатации зафиксировано не было, но настаивает на скорейшем обновлении. Патч устанавливается вручную, и помимо обновления, необходимо ограничить сетевой доступ. Redis Labs также рекомендует провести аудит логов на предмет индикаторов компрометации.
📌 Жадный гоблин по имени Nintendo
Если слышите название Nintendo, то это, практически всегда, означает штраф или суд на крупную сумму. Так и в этой новости.
Nintendo потребовала 4,5 миллиона $$$ с модератора «пиратского» сабреддита. Тот массово распространял взломанные игры и прошивал консоли.
Джеймс Уильямс (aka Archbox), руководитель сообщества пиратов Nintendo Switch на Reddit. Согласно иску, поданного на него в начале октября, Уильямс отправил "тысячи сообщений" на Reddit направляя пользователей на пиратские сайты. Он также предоставлял техническую поддержку по перепрошивке консолей Switch взамен на подарочные карты Nintendo eShop.
Изначально Nintendo направила в марте письмо Джеймсу с просьбой прекратить свою деятельность. Казалось, что Джеймс прекратит свои дела, но нет. Он начал отрицать свою причастность к пиратским ресурсам и впоследствии удалил свои публикации в интернете, которые могли бы как то подтвердить обратное.
Ну и по классике, Nintendo говорит, что цифра то 4,5 миллиона не конкретная, а условная. Ведь реальный ущерб оценить сложно. И вообще, он *кхм* ТОЧНО превышает эти цифры.
Вот так и выходит. Если вы уж и беретесь за репаки или прошивки, то ни в коем случае не ломайте продукты Nintendo, себе хуже сделаете в конце концов.
📌 Новый (нет) вирус ClayRat
Сейчас все паблики Telegram кричат, что вышел новый вирус ClayRat, который маскируется под популярные приложения.
Распространение по старинке: по поддельным каналам и фишинговым сайтам. Маскируется он под повседневные приложения типа TikTok, YouTube, Google Photos и т.д. Вирус предлагает установить ПО, а после активации он получает доступ к SMS, кому звонили, какие уведомления получаете (вдруг там код к гугл почте или еще чего), системные данные смотрит и конечно же к камере.
Как защититься? Как и с другими подобными вирусами, лучший способ не подцепить что то — это не переходить на подозрительные ссылки.
На этом всё. И помните — храните важные данные в нескольких экземплярах, ведь никогда не знаете, что может случиться с одним из них. А у меня на сегодня всё, встретимся в следующий раз! Желаю вам КиберБезопасной недели!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥15❤10👍6
Разбор задачи «Двери». Часть 1
📌 Две недели назад запускали челендж, который состоял из двух задач – «Дверь» и «Двери». Тройка победителей успела решить в установленный срок и получили свои призы(по 3 месяца премиум в телеграм). Поздравляем!
Вот эти ребята слева направо:
🥇 3T0T_FL4G_1MB4
🥈 6 6 6
🥉 broken_reality
❗️ Важной объявление
На этой неделе вместе с плановым релизом задач в субботу 12:00 по МСК, запустим новый призовой челендж, он будет состоять из связанных в одну историю трех задач – попробуем запустить ракету в космос. За первое место в качестве приза будет физический календарь на 2026-2027 год с ракетой «Ангара» и подписью от БАГодельни, календарик прислал подписчик канала, за что ему огромное спасибо.
👨💻 А теперь к дверям
Xof – автор челенджа, написал разбор двух задач. Разбор получился солидный по объему текста, поэтому разобьем его на два поста. Первый тут в посте, а второй выйдет завтра. Далее авторский текст, который я сильно не правил, чтобы сохранить стиль и юмор.
📌 Разбор задачи «Дверь»
С первой задачей "Дверь", все просто – она должна была служить легким барьером, который слегка разделит игроков, даст осинтерам и прочим стулоискателям больше времени на анализ второй задачи, чем тем, кто специализируется на задачах другого рода. При анализе фотографии через разные инструменты для стеганографии, можно заметить несколько вещей:
1️⃣ Один bit plane (ч/б изображение, которое берется исходя из битов по конкретному индексу - если изображение у нас 8-битное, то, например, это может быть каждый 4-й бит конкретного цвета), а конкретно – малозначимый 0-й бит зеленого цвета (LSB Green 0) показывал не данные изображения, а картинку TRY AGAIN. Несколько человек попытались ввести этот текст, как флаг. Но на самом деле, это значило, что стоит посмотреть глубже.
2️⃣ Если посмотреть глубже, можно было так же увидеть, что на этом бит плейне был небольшой шум в самом верху файла, что могло означать, что там есть скрытые данные. Собрав каждый 0-й бит зеленого цвета, можно было получить следующую строку:
✍️ Все эти данные можно получить при помощи как минимум двух инструментов:
1️⃣ Утилита zsteg. Она позволяет в автоматизированном режиме проверять все известные методы скрытия данных в файлах. Таким образом можно было решить задачу буквально за минуту, о чем автор не знал :)
2️⃣ Сайт StegOnline. На нем расположен инструмент, позволяющий листать бит плейны картинки, скрывать и доставать данные. Так же на сайте есть приятный чеклист для задач по стегано, а некоторые пункты применимы и к другим задачам.
❗️ Завтра будет опубликована вторая часть разбора
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
📌 Две недели назад запускали челендж, который состоял из двух задач – «Дверь» и «Двери». Тройка победителей успела решить в установленный срок и получили свои призы(по 3 месяца премиум в телеграм). Поздравляем!
Вот эти ребята слева направо:
🥇 3T0T_FL4G_1MB4
🥈 6 6 6
🥉 broken_reality
❗️ Важной объявление
На этой неделе вместе с плановым релизом задач в субботу 12:00 по МСК, запустим новый призовой челендж, он будет состоять из связанных в одну историю трех задач – попробуем запустить ракету в космос. За первое место в качестве приза будет физический календарь на 2026-2027 год с ракетой «Ангара» и подписью от БАГодельни, календарик прислал подписчик канала, за что ему огромное спасибо.
👨💻 А теперь к дверям
Xof – автор челенджа, написал разбор двух задач. Разбор получился солидный по объему текста, поэтому разобьем его на два поста. Первый тут в посте, а второй выйдет завтра. Далее авторский текст, который я сильно не правил, чтобы сохранить стиль и юмор.
📌 Разбор задачи «Дверь»
С первой задачей "Дверь", все просто – она должна была служить легким барьером, который слегка разделит игроков, даст осинтерам и прочим стулоискателям больше времени на анализ второй задачи, чем тем, кто специализируется на задачах другого рода. При анализе фотографии через разные инструменты для стеганографии, можно заметить несколько вещей:
1️⃣ Один bit plane (ч/б изображение, которое берется исходя из битов по конкретному индексу - если изображение у нас 8-битное, то, например, это может быть каждый 4-й бит конкретного цвета), а конкретно – малозначимый 0-й бит зеленого цвета (LSB Green 0) показывал не данные изображения, а картинку TRY AGAIN. Несколько человек попытались ввести этот текст, как флаг. Но на самом деле, это значило, что стоит посмотреть глубже.
2️⃣ Если посмотреть глубже, можно было так же увидеть, что на этом бит плейне был небольшой шум в самом верху файла, что могло означать, что там есть скрытые данные. Собрав каждый 0-й бит зеленого цвета, можно было получить следующую строку:
Start of message --- You think you found a entrance, huh? But i just got you inside of my three-walled bastion! Try to escape, if you can, hehehe... --- First flag is: --- xof{флаг-удален-для-поста} --- password for the next part: --- ПАРОЛЬ_удален_для_поста --- End of message✍️ Все эти данные можно получить при помощи как минимум двух инструментов:
1️⃣ Утилита zsteg. Она позволяет в автоматизированном режиме проверять все известные методы скрытия данных в файлах. Таким образом можно было решить задачу буквально за минуту, о чем автор не знал :)
2️⃣ Сайт StegOnline. На нем расположен инструмент, позволяющий листать бит плейны картинки, скрывать и доставать данные. Так же на сайте есть приятный чеклист для задач по стегано, а некоторые пункты применимы и к другим задачам.
❗️ Завтра будет опубликована вторая часть разбора
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥6
Разбор задачи «Двери». Часть 2
Первая часть тут.
📌 Предистория
Когда-то давно, когда автор был еще в школе, но уже знал про NAT, пробросы портов и прочее, встал вопрос защиты своих наработок. Софт хостился на материнке от старого нетбука, закрепленного на фанере, а роутер был дешевым домашним – лишнее количество внешнего трафика очень сильно нагружало сеть. В процессе ресерча и обнаружился такой примитивный, но действенный способ защиты своих сервисов - Port Knocking.
📌 Принцип работы
Port Knocking – это всего лишь собирательное описание множества методов, которым можно «обфусцировать» наличие порта, но суть одна – на хост (чаще всего, файервол стоящий лицом в интернет) отправляются пакеты определенного типа, с определенными характеристиками, и определенной последовательностью. Чем шире доступ к настройкам файервола и глубже анализ пакетов, тем более изощренные методы для защиты можно придумать. Можно отправлять ICMP ping-пакеты с определенным размером (например,
📌 Разбор задачи «Двери»
Эта задача была основана на одном из простейших методов Port Knocking'а – "простукивание" по трем TCP портам. Контейнер под задачу специально выдавался с минимально доступным набором инструментов, для тренировки скриптинга или проброса своих инструментов (мы всё видели в логах 😁и узнали много полезного). Таким образом, например, участники пробрасывали статически собранный nmap, что не было предусмотрено.
Одной из первых вещей, которые надо было сделать, это прочитать MOTD, или же баннер - сообщение, присылаемое при старте. Так как раньше таких сетевых задач в БАГодельне не было, то там специально было написано:
А так же была дана подсказка про слушателя. Не смотря на это, многие стали отправлять запросы на локалхост адреса (127.0.0.0/8 - вся эта подсеть, это loopback адреса - все что вы отправляете сюда, приходит вам же).
И все же, для начала стоило просканировать подсеть на наличие других хостов. Это можно было сделать таким one-liner скриптом:
А затем выполнить команду
Либо же, вместо всего этого, можно было закинуть nmap.
Дальше, когда мы определились с хостом, нужно понять, что с ним делать. Вспоминаем хайку из MOTD, где написано про
Собрав все воедино, начинаем сканирование портов на слушателе. Через некоторое время был добавлен еще один хинт – если простучать правильный порт, то нам в консоль выводился текст
Сканирование портов скриптом:
Правильно постучавшись три раза, получаем сообщение с флагом:
❕В процессе решения этой задачи было выявлено очень много проблем, поэтому хочу сказать спасибо за терпение даунтаймов, багов, и в целом непонятных моментов.
Ваш 🦊
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
Первая часть тут.
📌 Предистория
Когда-то давно, когда автор был еще в школе, но уже знал про NAT, пробросы портов и прочее, встал вопрос защиты своих наработок. Софт хостился на материнке от старого нетбука, закрепленного на фанере, а роутер был дешевым домашним – лишнее количество внешнего трафика очень сильно нагружало сеть. В процессе ресерча и обнаружился такой примитивный, но действенный способ защиты своих сервисов - Port Knocking.
📌 Принцип работы
Port Knocking – это всего лишь собирательное описание множества методов, которым можно «обфусцировать» наличие порта, но суть одна – на хост (чаще всего, файервол стоящий лицом в интернет) отправляются пакеты определенного типа, с определенными характеристиками, и определенной последовательностью. Чем шире доступ к настройкам файервола и глубже анализ пакетов, тем более изощренные методы для защиты можно придумать. Можно отправлять ICMP ping-пакеты с определенным размером (например,
ping -s 1024 <IP>), и создать уникальный ключ, состоящий из последовательности пришедших размеров пакетов. Или чередовать TCP и UDP порты, и еще много прочих вещей...📌 Разбор задачи «Двери»
Эта задача была основана на одном из простейших методов Port Knocking'а – "простукивание" по трем TCP портам. Контейнер под задачу специально выдавался с минимально доступным набором инструментов, для тренировки скриптинга или проброса своих инструментов (мы всё видели в логах 😁и узнали много полезного). Таким образом, например, участники пробрасывали статически собранный nmap, что не было предусмотрено.
Одной из первых вещей, которые надо было сделать, это прочитать MOTD, или же баннер - сообщение, присылаемое при старте. Так как раньше таких сетевых задач в БАГодельне не было, то там специально было написано:
This container is only an entry point.
А так же была дана подсказка про слушателя. Не смотря на это, многие стали отправлять запросы на локалхост адреса (127.0.0.0/8 - вся эта подсеть, это loopback адреса - все что вы отправляете сюда, приходит вам же).
И все же, для начала стоило просканировать подсеть на наличие других хостов. Это можно было сделать таким one-liner скриптом:
# например, через ifconfig можно посмотреть настройки сети
# только не забудьте поменять подсеть, и маску, на вашу!
for i in $(seq 1 254); do (ping -c 1 -W 1 169.254.1.$i | grep "64 bytes" &) done
А затем выполнить команду
arp -a, чтобы увидеть нашего слушателя:$ arp -a
cpmgpblj_xxx-xxx-xxx-xxx-listener-1.cpmgpblj_xxx-xxx-xxx-xxx_default (169.254.1.226) at be:37:d6:dc:ee:d3 [ether] on eth0
Либо же, вместо всего этого, можно было закинуть nmap.
Дальше, когда мы определились с хостом, нужно понять, что с ним делать. Вспоминаем хайку из MOTD, где написано про
three-way dance, что намекает на TCP, и сообщение из прошлой задачи, про three-walled bastion. Еще в процессе ковыряния можно было наткнуться на позднее добавленный хинт - если постучать в локалхост на служебный UDP порт, можно было увидеть следующее сообщение:Wrong listener, bud! Try knocking around the subnet.
Собрав все воедино, начинаем сканирование портов на слушателе. Через некоторое время был добавлен еще один хинт – если простучать правильный порт, то нам в консоль выводился текст
knock. Поэтому составить скрипт для сканирования труда не составит: сканируем порты посредством nmap или netcat, если получаем knock в выводе, либо же статус от соответствующей программы, что порт открыт - сохраняем его, и сканируем порты снова, на этот раз постоянно простукивая прошлый порт. Кто-то даже бесконечный while цикл запускал ради этого :)Сканирование портов скриптом:
for port in $(seq 1 65536); do nc -z -w1 169.254.1.226 $port 2>/dev/null && echo "Port $port is open"; done
Правильно постучавшись три раза, получаем сообщение с флагом:
Fuck, it was THAT easy?!
Take your flag and get out!
xof{флаг-удален-для-поста}
❕В процессе решения этой задачи было выявлено очень много проблем, поэтому хочу сказать спасибо за терпение даунтаймов, багов, и в целом непонятных моментов.
Ваш 🦊
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #2
❗️Внимание!
Челендж "Ангара" состоит из трех частей, которые нужно решать по очереди. Это призовой набор задач.
Первая тройка решивших получат символические призы:
– За первое место физический календарь на 2026-2027 годы с ракетой Ангара на обложке и подписью от БАГодельни. Отправляется только по РФ, если победитель будет из другой страны, то приз будет заменен на цифровой.
– За второе и третье место премиум в телеграм на 3 месяца.
❗️Внимание! [2]
Пока на площадке толком никто не участвовал и было пару десятков пользователей, мы экспериментировали с ачивками. Так появились дополнительные баллы(5, 7 и 10) за первые три решения по субботам. Эта механика сейчас нарушает баланс и ломает все базовые правила соревнований. Поэтому принято решение отменить эти дополнительные баллы, но оставить в личном кабинете отметки о победах в призовых челенджах – за 1-3 места. Сейчас вместе с релизом новых задач обнулены эти баллы, таких было девять штук. Дашборд теперь отражает честную конкуренцию. А ачивки подсвечивают факт победы в дополнительных ивентах и факт получения приза за него.
———
❗️Шесть новых задач доступны на площадке!
📌 Misc / Ангара-1: Вход в ОС
📌 Misc / Ангара-2: Коды запуска
📌 Misc / Ангара-3: Запуск
📌 Rev / Почувствуй радугу
📌 OSINT / Стул №3: Земля в иллюминаторе
📌 OSINT / Первое правило
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #2
❗️Внимание!
Челендж "Ангара" состоит из трех частей, которые нужно решать по очереди. Это призовой набор задач.
Первая тройка решивших получат символические призы:
– За первое место физический календарь на 2026-2027 годы с ракетой Ангара на обложке и подписью от БАГодельни. Отправляется только по РФ, если победитель будет из другой страны, то приз будет заменен на цифровой.
– За второе и третье место премиум в телеграм на 3 месяца.
❗️Внимание! [2]
Пока на площадке толком никто не участвовал и было пару десятков пользователей, мы экспериментировали с ачивками. Так появились дополнительные баллы(5, 7 и 10) за первые три решения по субботам. Эта механика сейчас нарушает баланс и ломает все базовые правила соревнований. Поэтому принято решение отменить эти дополнительные баллы, но оставить в личном кабинете отметки о победах в призовых челенджах – за 1-3 места. Сейчас вместе с релизом новых задач обнулены эти баллы, таких было девять штук. Дашборд теперь отражает честную конкуренцию. А ачивки подсвечивают факт победы в дополнительных ивентах и факт получения приза за него.
———
❗️Шесть новых задач доступны на площадке!
📌 Misc / Ангара-1: Вход в ОС
📌 Misc / Ангара-2: Коды запуска
📌 Misc / Ангара-3: Запуск
📌 Rev / Почувствуй радугу
📌 OSINT / Стул №3: Земля в иллюминаторе
📌 OSINT / Первое правило
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Новостной дайджест #4
⏰ Вмешательство во время
Необычные атаки происходят у китайцев. По сообщению их министерства безопасности, они обнаружили, что АНБ США вело продолжительную кибератаку на центр национальной службы Китая.
К слову, если кто не знал, этот центр отвечает за установление, поддержание и трансляцию пекинского времени и предоставляет услуги синхронизации времени в таких сферах, как связь, финансы, электроэнергетика, транспорт, геодезия и картография, национальная оборона, а также данные для расчета международного поясного времени. И повреждение этой структуры может очень сильно повлиять на безопасную и стабильную работу «пекинского времени». К примеру, может произойти коллапс в транспортной сфере или возникнуть перебои в электроснабжении.
Начиная с 25 марта 2022 года АНБ использовало уязвимость в SMS-сервисе иностранного производителя мобильных телефонов, чтобы тайно получить контроль над мобильными телефонами нескольких сотрудников и похитить хранящиеся на них конфиденциальные данные, утверждают они. С 18 апреля 2023 года украденные учетные записи неоднократно использовались для проникновения в компьютеры центра службы времени и слежки.
Источник
👨💻 DDoS рекорд
В последнее время я смотрю новости и часто замечаю, что DDoS-атак стало значительно больше, чем раньше. Одна новость меня особенно зацепила. Gcore — провайдер хостинга игр из Люксембурга — подвергся одной из крупнейших DDoS-атак: пиковая нагрузка составила около 6 Тбит/с и около 5,3 млрд пакетов в секунду. Это колоссальные размеры. Но на такую атаку нужны огромные ресурсы, поэтому она длилась недолго, где-то 30–45 секунд. Эта атака вошла в топ-10 подобных. Половина атаки исходила из Бразилии, а остальное — из США и стран Азии и Европы.
Мотивы атаки пока неизвестны.
Источник
🤖 Скайнет близко
В наше время ИИ очень быстро стал развиваться и интегрироваться во все системы и инфраструктуры. Были какие-то примитивные чат-боты, потом генерация видео, и вот 2025 год — и мы уже буквально живём вровень с искусственным интеллектом. Человек не был бы человеком, если бы не использовал какую-то технологию, чтобы навредить другим. Так, Microsoft собрала отчёт за июль этого года, в нём было зафиксировано более 200 случаев использования ИИ-генерированного контента и фейков в рамках атак. В них входят: автоматизированные фишинг-кампании с ИИ-помощниками, цифровые клоны лиц, выдающие себя за официальных представителей, и использование ИИ-инструментов для дезинформации.
– Вот список стран, которые пользовались таким: Россия, Китай, Иран и Северная Корея. Цели атак были направлены на США, затем на Израиль и уже потом на Украину.
– Россия начала использовать LLM-модели (Large Language Models) для автоматизации перевода и адаптации фишинговых шаблонов на языки целевых стран.
– Китай применяет ИИ для анализа резюме инженеров и выбора целей фишинга по технологическим стекам.
– Иран использует генераторы изображений для создания поддельных аккаунтов журналистов и инфографики.
– Северная Корея тестирует ИИ-модули для фишинговых писем, имитирующих стиль LinkedIn-рекрутеров.
Источник
🔪Нож в спину
Специалисты Symantec Threat Hunter Team сообщают, что связанная с Китаем группировка Jewelbug провела около пяти месяцев в сети неназванного российского поставщика ИТ-услуг. Подчеркивается, что это первый случай, когда группа действует за пределами Юго-Восточной Азии и Южной Америки. Вредоносная активность велась с января по май этого года.
Благодаря этой атаке стало видно, что Россия не в «запретной зоне» для китайских хакеров, даже учитывая улучшение военных, экономических и дипломатических отношений между нами. В атаке на российского ИТ-провайдера Jewelbug использовала переименованную версию Microsoft Console Debugger (cdb.exe), которую можно применять для запуска шелл-кода и обхода белых списков приложений, а также для запуска исполняемых файлов, DLL и завершения работы защитных решений.
Источник
На этом всё! До скорого!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
⏰ Вмешательство во время
Необычные атаки происходят у китайцев. По сообщению их министерства безопасности, они обнаружили, что АНБ США вело продолжительную кибератаку на центр национальной службы Китая.
К слову, если кто не знал, этот центр отвечает за установление, поддержание и трансляцию пекинского времени и предоставляет услуги синхронизации времени в таких сферах, как связь, финансы, электроэнергетика, транспорт, геодезия и картография, национальная оборона, а также данные для расчета международного поясного времени. И повреждение этой структуры может очень сильно повлиять на безопасную и стабильную работу «пекинского времени». К примеру, может произойти коллапс в транспортной сфере или возникнуть перебои в электроснабжении.
Начиная с 25 марта 2022 года АНБ использовало уязвимость в SMS-сервисе иностранного производителя мобильных телефонов, чтобы тайно получить контроль над мобильными телефонами нескольких сотрудников и похитить хранящиеся на них конфиденциальные данные, утверждают они. С 18 апреля 2023 года украденные учетные записи неоднократно использовались для проникновения в компьютеры центра службы времени и слежки.
Источник
👨💻 DDoS рекорд
В последнее время я смотрю новости и часто замечаю, что DDoS-атак стало значительно больше, чем раньше. Одна новость меня особенно зацепила. Gcore — провайдер хостинга игр из Люксембурга — подвергся одной из крупнейших DDoS-атак: пиковая нагрузка составила около 6 Тбит/с и около 5,3 млрд пакетов в секунду. Это колоссальные размеры. Но на такую атаку нужны огромные ресурсы, поэтому она длилась недолго, где-то 30–45 секунд. Эта атака вошла в топ-10 подобных. Половина атаки исходила из Бразилии, а остальное — из США и стран Азии и Европы.
Мотивы атаки пока неизвестны.
Источник
🤖 Скайнет близко
В наше время ИИ очень быстро стал развиваться и интегрироваться во все системы и инфраструктуры. Были какие-то примитивные чат-боты, потом генерация видео, и вот 2025 год — и мы уже буквально живём вровень с искусственным интеллектом. Человек не был бы человеком, если бы не использовал какую-то технологию, чтобы навредить другим. Так, Microsoft собрала отчёт за июль этого года, в нём было зафиксировано более 200 случаев использования ИИ-генерированного контента и фейков в рамках атак. В них входят: автоматизированные фишинг-кампании с ИИ-помощниками, цифровые клоны лиц, выдающие себя за официальных представителей, и использование ИИ-инструментов для дезинформации.
– Вот список стран, которые пользовались таким: Россия, Китай, Иран и Северная Корея. Цели атак были направлены на США, затем на Израиль и уже потом на Украину.
– Россия начала использовать LLM-модели (Large Language Models) для автоматизации перевода и адаптации фишинговых шаблонов на языки целевых стран.
– Китай применяет ИИ для анализа резюме инженеров и выбора целей фишинга по технологическим стекам.
– Иран использует генераторы изображений для создания поддельных аккаунтов журналистов и инфографики.
– Северная Корея тестирует ИИ-модули для фишинговых писем, имитирующих стиль LinkedIn-рекрутеров.
Источник
🔪Нож в спину
Специалисты Symantec Threat Hunter Team сообщают, что связанная с Китаем группировка Jewelbug провела около пяти месяцев в сети неназванного российского поставщика ИТ-услуг. Подчеркивается, что это первый случай, когда группа действует за пределами Юго-Восточной Азии и Южной Америки. Вредоносная активность велась с января по май этого года.
Благодаря этой атаке стало видно, что Россия не в «запретной зоне» для китайских хакеров, даже учитывая улучшение военных, экономических и дипломатических отношений между нами. В атаке на российского ИТ-провайдера Jewelbug использовала переименованную версию Microsoft Console Debugger (cdb.exe), которую можно применять для запуска шелл-кода и обхода белых списков приложений, а также для запуска исполняемых файлов, DLL и завершения работы защитных решений.
Источник
На этом всё! До скорого!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #3
❗️Шесть новых задач доступны на площадке!
📌 Web / Вокруг света
📌 Stegano / Промпты на стол!
📌 Stegano / Шахматы с Момо
📌 Misc / Современный формат
📌 OSINT / Кодировщик
📌 OSINT / Стул №4: Приватный танец
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #3
❗️Шесть новых задач доступны на площадке!
📌 Web / Вокруг света
📌 Stegano / Промпты на стол!
📌 Stegano / Шахматы с Момо
📌 Misc / Современный формат
📌 OSINT / Кодировщик
📌 OSINT / Стул №4: Приватный танец
Задания и далее будут выходить пачками по субботам в одно и тоже время – в 12:00 по МСК. Следующий релиз через неделю.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥13
Новостной дайджест #5
Вот и воскресенье, а значит время новостей. Давайте посмотрим, что у нас!
🥒 Взломжопы секс-игрушек
С порога нас встречает довольно пикантная новость. Была найдена ВОСЬМИЛЕТНЯЯ уязвимость в приложениях для секс-игрушек Lovense.
Исследователи выяснили, что при любом взаимодействии между пользователями на сервер отправляется API-запрос, где для идентификации обоих используются не анонимизированные ID, а электронная почта. Проанализировав собственный трафик, кто угодно мог узнать адреса других пользователей. Для генерации токена аутентификации в приложении Lovense Connect было достаточно как раз почты пользователя. То есть подготовленный человек, воспользовавшись этой уязвимостью, мог захватить любой аккаунт.
Впрочем, похоть похотью, но реальные злоумышленники, могли использовать это на вебкам-моделях и самих зрителей для шантажа, сталкинга и уйму других не совсем законных деятельностей.
Самое поразительное, то, что компания ЗНАЛА об этой уязвимости все эти 8 лет (а то и больше), и как вы понимаете, ничего с этим не делала.
Источник
🛏 Сон с подогревом
Думаю, все уже в курсе, что на этой неделе масштабный сбой Amazon Web Services (AWS) вывел из строя половину интернета. Ладно бы только интернет, но мы то в будущем живём, а значит что-то еще должно было откиснуть. Ну и откисло. Умные системы для сна Eight Sleep стоимостью несколько тысяч долларов в буквальном смысле подогрел своих владельцев во время сна, а кто-то и вовсе не мог лечь горизонтально и были вынуждены спать в приподнятом положении.
Чуть больше о самих матрасах. Если вы доплатите еще несколько тысяч, то можно приобрести базу с регулировкой положения матраса, биометрическими датчиками сна, опциями нагрева и охлаждения. В дополнение у вас обязательная подписка на сервисы Eight Sleep стоимостью от 17 до 33 долларов в месяц. При этом всё зависит от облака AWS, и если облако падает, то из кошерного матраса вы получаете матрас обычного пользователя (у матрасов есть физические кнопки, но и им требуется интернет).
Источник
🗑 TikTok-мошенники
В TikTok начали появляться видео, где объясняется, как можно активировать Photoshop бесплатно. Зрителям предлагают запустить PowerShell от имени администратора и вставить строку кода — после чего на компьютер загружается Updater.exe, который на самом деле является трояном AuroraStealer, который крадёт пароли, данные системы и может запускать дополнительный вредоносный код.
Такая схема относится к методу ClickFix, когда жертву убеждают самостоятельно запустить вредоносный скрипт под видом «лайфхака» или «исправления ошибки». Ранее подобные атаки уже применялись для распространения вирусов Vidar и StealC.
По данным Microsoft, ClickFix стал одним из самых популярных способов взлома в 2025 году — его зафиксировали в 47% всех атак.
Надеюсь, мне не нужно говорить, но не вставляйте непроверенный код себе в терминал. В большинстве случаев вы не активируете себе ничего, а только лишитесь данных или, в худшем случае, целой системы.
Источник
❤️ Спасибо CTF News
Немного уйдем от происшествий в мире. Наша любимая БАГодельня попала на CTF News! Благодаря им у нас появились новенькие как на платформе, так и на канале. Привет вам :)
Ответственность за работу платформы и качество задач увеличивается, с размером аудитории, но мы постараемся не разочаровать, и дальше развивать и продвигать площадку с ctf-задачами.
Источник
На этом всё! До скорого!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
Вот и воскресенье, а значит время новостей. Давайте посмотрим, что у нас!
🥒 Взлом
С порога нас встречает довольно пикантная новость. Была найдена ВОСЬМИЛЕТНЯЯ уязвимость в приложениях для секс-игрушек Lovense.
Исследователи выяснили, что при любом взаимодействии между пользователями на сервер отправляется API-запрос, где для идентификации обоих используются не анонимизированные ID, а электронная почта. Проанализировав собственный трафик, кто угодно мог узнать адреса других пользователей. Для генерации токена аутентификации в приложении Lovense Connect было достаточно как раз почты пользователя. То есть подготовленный человек, воспользовавшись этой уязвимостью, мог захватить любой аккаунт.
Впрочем, похоть похотью, но реальные злоумышленники, могли использовать это на вебкам-моделях и самих зрителей для шантажа, сталкинга и уйму других не совсем законных деятельностей.
Самое поразительное, то, что компания ЗНАЛА об этой уязвимости все эти 8 лет (а то и больше), и как вы понимаете, ничего с этим не делала.
Источник
🛏 Сон с подогревом
Думаю, все уже в курсе, что на этой неделе масштабный сбой Amazon Web Services (AWS) вывел из строя половину интернета. Ладно бы только интернет, но мы то в будущем живём, а значит что-то еще должно было откиснуть. Ну и откисло. Умные системы для сна Eight Sleep стоимостью несколько тысяч долларов в буквальном смысле подогрел своих владельцев во время сна, а кто-то и вовсе не мог лечь горизонтально и были вынуждены спать в приподнятом положении.
Чуть больше о самих матрасах. Если вы доплатите еще несколько тысяч, то можно приобрести базу с регулировкой положения матраса, биометрическими датчиками сна, опциями нагрева и охлаждения. В дополнение у вас обязательная подписка на сервисы Eight Sleep стоимостью от 17 до 33 долларов в месяц. При этом всё зависит от облака AWS, и если облако падает, то из кошерного матраса вы получаете матрас обычного пользователя (у матрасов есть физические кнопки, но и им требуется интернет).
Источник
В TikTok начали появляться видео, где объясняется, как можно активировать Photoshop бесплатно. Зрителям предлагают запустить PowerShell от имени администратора и вставить строку кода — после чего на компьютер загружается Updater.exe, который на самом деле является трояном AuroraStealer, который крадёт пароли, данные системы и может запускать дополнительный вредоносный код.
Такая схема относится к методу ClickFix, когда жертву убеждают самостоятельно запустить вредоносный скрипт под видом «лайфхака» или «исправления ошибки». Ранее подобные атаки уже применялись для распространения вирусов Vidar и StealC.
По данным Microsoft, ClickFix стал одним из самых популярных способов взлома в 2025 году — его зафиксировали в 47% всех атак.
Надеюсь, мне не нужно говорить, но не вставляйте непроверенный код себе в терминал. В большинстве случаев вы не активируете себе ничего, а только лишитесь данных или, в худшем случае, целой системы.
Источник
❤️ Спасибо CTF News
Немного уйдем от происшествий в мире. Наша любимая БАГодельня попала на CTF News! Благодаря им у нас появились новенькие как на платформе, так и на канале. Привет вам :)
Ответственность за работу платформы и качество задач увеличивается, с размером аудитории, но мы постараемся не разочаровать, и дальше развивать и продвигать площадку с ctf-задачами.
Источник
На этом всё! До скорого!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #4
❗️Обновление 1
Добавили рейтинг и отзывы для задач. Теперь после сдачи флага можно проголосовать за задачу — поставить ей оценку от 1 до 5. А так же можно написать комментарий с замечанием, пожеланием или любым другим содержанием. Оценки публичные, их видят все пользователи. А отзывы только для авторов задач, чтобы собирать критику и дорабатывать и улучшать задачи.
❗️Обновление 2
Добавлены теги для задач, которые указывают на уровень сложности. Определение сложности пока субъективное от авторов задач, поэтому если не согласны, то оставляйте и про это свои комментарии. Позже планируется добавить голосование и за сложность тасок.
Сейчас четыре тега сложности: Baby, Easy, Medium и Hard. Для всех задач уже проставлены теги, они видны при полном просмотре задачи.
📌 Кроме комментариев в форме задачи, всегда можно поделиться идеями по улучшению площадки и задач или задать вопрос по таскам в нашем чате или у меня в личке: @ipatove
Ваши отзывы и предложения очень помогают улучшать задачи. Спасибо всем, кто пишет свои замечания и пожелания.
❗️Опубликованы новые задания
Шесть новых задач доступны на площадке!
🟢 Welcome / Цензура
🟢 OSINT / Мы довольны, Винсент?
🟡 Web / Вектор атаки
🟡 MISC / Счет на минуты
🔴 Stegano / Чужой
🔴 Rev / Стул №5: ДСП
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #4
❗️Обновление 1
Добавили рейтинг и отзывы для задач. Теперь после сдачи флага можно проголосовать за задачу — поставить ей оценку от 1 до 5. А так же можно написать комментарий с замечанием, пожеланием или любым другим содержанием. Оценки публичные, их видят все пользователи. А отзывы только для авторов задач, чтобы собирать критику и дорабатывать и улучшать задачи.
❗️Обновление 2
Добавлены теги для задач, которые указывают на уровень сложности. Определение сложности пока субъективное от авторов задач, поэтому если не согласны, то оставляйте и про это свои комментарии. Позже планируется добавить голосование и за сложность тасок.
Сейчас четыре тега сложности: Baby, Easy, Medium и Hard. Для всех задач уже проставлены теги, они видны при полном просмотре задачи.
📌 Кроме комментариев в форме задачи, всегда можно поделиться идеями по улучшению площадки и задач или задать вопрос по таскам в нашем чате или у меня в личке: @ipatove
Ваши отзывы и предложения очень помогают улучшать задачи. Спасибо всем, кто пишет свои замечания и пожелания.
❗️Опубликованы новые задания
Шесть новых задач доступны на площадке!
🟢 Welcome / Цензура
🟢 OSINT / Мы довольны, Винсент?
🟡 Web / Вектор атаки
🟡 MISC / Счет на минуты
🔴 Stegano / Чужой
🔴 Rev / Стул №5: ДСП
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥7
Новостной дайджест #6
🚙 Угон админки и персональных данных
На сайте FIA нашли дыру, которая позволяла получить права админа и стащить конфиденциальные данные пилотов Формулы-1. Третьего июня «белые» хакеры поделились с компанией такой находкой.
Исследователи получили доступ ко всем внутренним коммуникациям, а также к очень чувствительным сведениям (личные дела, сканы паспортов, резюме, гоночные лицензии и т.п.).
Сайт был временно заблокирован, а проблему устранили спустя неделю.
Вот и учитывая такие детали не только о самих водителях F1, но и о самой FIA, представить не сложно, какие манипуляции в гонках можно осуществить. Ну или заработать на этом как то.
Источник
🃏Мошенничество в покере
Казино уже давно использует автоматические тасовщики карт. Два года назад презентовали новый авто-тасовщик Deckmate 2, и в нём на презентации нашли дыры через USB порт. Через него можно было изменить код устройства и получить доступ к внутренней камере тасовщика, тем самым узнавая порядок карт до игры. Этим мошенники и воспользовались такой уязвимостью, и набрали около 7 МИЛЛИОНОВ долларов с пострадавших в этой схеме. А сама схема такова — за покерным столом сидели известные баскетболисты и заманивали этим обычных любителей покераю (кто не хочет с ними сыграть, верно?). Вот так и попадались на такое. В этой схеме участвовали члены мафии и бывшие игроки НБА (тренер Portland Trail Blazers Чонси Биллапса и экс-игрок Дэймон Джонс). В итоге 31 человеку предъявили обвинения по делу о мошенничестве.
Источник
🌐Уязвимости у нового браузера от OpenAI
Если кто-то уже начал пользоваться новым браузером Atlas — можете откатываться назад на другие браузеры. Была найдена критическая уязвимость, которая позволяет встраивать вредоносный код прямиком в память ChatGPT и его исполнять. Технически это затрагивает вообще всех пользователей ChatGPT, но особо уязвимы будут пользователи Atlas (более чем на 90%). Суть уязвимости — мошенники используют межсайтовую подделку запроса, делая запрос, чтобы воспользоваться учетными данными для доступа и запустить нежелательный код. После этого пользователь должен воспользоваться ChatGPT, но ИИ сделает то, что было сохранено в ее памяти — тот самый код. А отсюда уже и рукой подать до ваших данных и систем которыми вы пользуетесь. Это была основная уязвимость, больше в источнике.
Источник
🐞 ❤️
Напоследок, хотелось бы поблагодарить канал Райтапы по CTF{2025} за освещение нашей площадки несколько недель назад. А так же поздравляем их админа с прошедшим ДР!
А на этом всё! До встречи и хорошей кибер-недели вам!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
🚙 Угон админки и персональных данных
На сайте FIA нашли дыру, которая позволяла получить права админа и стащить конфиденциальные данные пилотов Формулы-1. Третьего июня «белые» хакеры поделились с компанией такой находкой.
Исследователи получили доступ ко всем внутренним коммуникациям, а также к очень чувствительным сведениям (личные дела, сканы паспортов, резюме, гоночные лицензии и т.п.).
Мы остановили тестирование, после того как мы заметили, что мы могли получить доступ к паспорту Макса Ферстаппена, его резюме, лицензию, хэш паролей, и его персональную идентификацию. К этим данным можно было получить доступ для всех пилотов Формулы-1 с категоризацией, а также к конфиденциальной информации о внутренних операциях FIA" - Говорит Кэролл
Сайт был временно заблокирован, а проблему устранили спустя неделю.
Вот и учитывая такие детали не только о самих водителях F1, но и о самой FIA, представить не сложно, какие манипуляции в гонках можно осуществить. Ну или заработать на этом как то.
Источник
🃏Мошенничество в покере
Казино уже давно использует автоматические тасовщики карт. Два года назад презентовали новый авто-тасовщик Deckmate 2, и в нём на презентации нашли дыры через USB порт. Через него можно было изменить код устройства и получить доступ к внутренней камере тасовщика, тем самым узнавая порядок карт до игры. Этим мошенники и воспользовались такой уязвимостью, и набрали около 7 МИЛЛИОНОВ долларов с пострадавших в этой схеме. А сама схема такова — за покерным столом сидели известные баскетболисты и заманивали этим обычных любителей покераю (кто не хочет с ними сыграть, верно?). Вот так и попадались на такое. В этой схеме участвовали члены мафии и бывшие игроки НБА (тренер Portland Trail Blazers Чонси Биллапса и экс-игрок Дэймон Джонс). В итоге 31 человеку предъявили обвинения по делу о мошенничестве.
Источник
🌐Уязвимости у нового браузера от OpenAI
Если кто-то уже начал пользоваться новым браузером Atlas — можете откатываться назад на другие браузеры. Была найдена критическая уязвимость, которая позволяет встраивать вредоносный код прямиком в память ChatGPT и его исполнять. Технически это затрагивает вообще всех пользователей ChatGPT, но особо уязвимы будут пользователи Atlas (более чем на 90%). Суть уязвимости — мошенники используют межсайтовую подделку запроса, делая запрос, чтобы воспользоваться учетными данными для доступа и запустить нежелательный код. После этого пользователь должен воспользоваться ChatGPT, но ИИ сделает то, что было сохранено в ее памяти — тот самый код. А отсюда уже и рукой подать до ваших данных и систем которыми вы пользуетесь. Это была основная уязвимость, больше в источнике.
Источник
Напоследок, хотелось бы поблагодарить канал Райтапы по CTF{2025} за освещение нашей площадки несколько недель назад. А так же поздравляем их админа с прошедшим ДР!
А на этом всё! До встречи и хорошей кибер-недели вам!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
4❤9
Разборы задач
📖 Чтобы площадка с задачами была полноценно обучающей, ей не хватает разборов, куда можно подсмотреть, если наступил совсем тупик в решении. Такие пояснения нужны для повышения навыков: получив их, следующие подобные задания будет решать проще и понятнее. Поэтому мы начинаем потихоньку писать и выкладывать разборы к задачам, которые давно вышли и многие успели решить.
Но сперва несколько ремарок, чтобы снять некоторые вопросы и добавить ясности:
📌 В первую очередь разборы будут публиковаться для задач сложности Baby, Easy и некоторых Medium. Hard пока останется без описания. Это умышленное ограничение, чтобы сложные задачи нельзя было подсмотреть и не сломать баланс скорборда, где идет честная борьба.
📌 Разборы на сложные задания, где решений не много, тоже появятся, но не раньше весны следующего года. Мы работаем над обновлением площадки, и одним из серьезных изменений будет введение сезонов. Это самое оптимальное решение для сохранения честного баланса на скорборде и публикации разборов ко всем задачам. То есть после завершения определенного срока старые задачи перестанут учитываться в зачете, но для них появятся описания решений. Так мы сможем публиковать разборы и не допустим мухлежа на доске достижений. Все старые победы из прошлых сезонов также останутся доступны в истории.
📌 Для полноценного описания решений не хватает формата постов в Телеграме — он не позволяет добавлять картинки в текст, а без них нормально объяснить не получится. Поэтому мы немного поэкспериментировали с разными сервисами и как временное решение остановились на Telegraph, который встроен в сам Телеграм. Позже эти статьи переедут на сайт, чтобы были рядом с задачами.
❗️ Разбор задачи «Отголосок прошлого»
А теперь сам разбор. Начнем с задачи из категории OSINT, которая называется «Отголосок прошлого». За два месяца ее смогли решить 42 человека.
Полный разбор задачи со ссылками и картинками можно посмотреть тут: разбор задачи.
Пишите в чат или комментарии к посту, как вам такой формат разборов. Может быть, что-то стоит доработать в описании или есть какие-то еще идеи по более удобным сервисам для публикации. А также делитесь своими идеями решения, так как у каждой задачи может быть множество вариаций нахождения флага.
———
#⃣ #Задачи #Разбор #CTF
🐞 Канал // Чат // Задачи
📖 Чтобы площадка с задачами была полноценно обучающей, ей не хватает разборов, куда можно подсмотреть, если наступил совсем тупик в решении. Такие пояснения нужны для повышения навыков: получив их, следующие подобные задания будет решать проще и понятнее. Поэтому мы начинаем потихоньку писать и выкладывать разборы к задачам, которые давно вышли и многие успели решить.
Но сперва несколько ремарок, чтобы снять некоторые вопросы и добавить ясности:
📌 В первую очередь разборы будут публиковаться для задач сложности Baby, Easy и некоторых Medium. Hard пока останется без описания. Это умышленное ограничение, чтобы сложные задачи нельзя было подсмотреть и не сломать баланс скорборда, где идет честная борьба.
📌 Разборы на сложные задания, где решений не много, тоже появятся, но не раньше весны следующего года. Мы работаем над обновлением площадки, и одним из серьезных изменений будет введение сезонов. Это самое оптимальное решение для сохранения честного баланса на скорборде и публикации разборов ко всем задачам. То есть после завершения определенного срока старые задачи перестанут учитываться в зачете, но для них появятся описания решений. Так мы сможем публиковать разборы и не допустим мухлежа на доске достижений. Все старые победы из прошлых сезонов также останутся доступны в истории.
📌 Для полноценного описания решений не хватает формата постов в Телеграме — он не позволяет добавлять картинки в текст, а без них нормально объяснить не получится. Поэтому мы немного поэкспериментировали с разными сервисами и как временное решение остановились на Telegraph, который встроен в сам Телеграм. Позже эти статьи переедут на сайт, чтобы были рядом с задачами.
❗️ Разбор задачи «Отголосок прошлого»
А теперь сам разбор. Начнем с задачи из категории OSINT, которая называется «Отголосок прошлого». За два месяца ее смогли решить 42 человека.
Полный разбор задачи со ссылками и картинками можно посмотреть тут: разбор задачи.
Пишите в чат или комментарии к посту, как вам такой формат разборов. Может быть, что-то стоит доработать в описании или есть какие-то еще идеи по более удобным сервисам для публикации. А также делитесь своими идеями решения, так как у каждой задачи может быть множество вариаций нахождения флага.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
5
Нужен ваш голос и совет!
❗️ На площадке с задачами появилась проблема – как сохранить баланс на скорборде и в тоже время выкладывать разборы задач для обучения. После мозгового штурма есть несколько идей, у всех свои плюсы и минусы. Помогите решить – следующим постом будет голосование. А также можете писать свои идеи и предложения в комментарии или в чат.
📌 Первый способ
Выкладывать разборы на площадке и даль возможность их посмотреть(как хинты) за списание баллов. То есть описание решения можно посмотреть, заплатив условными 100 баллами из своих накопленных за решения задач очков. Тут ряд минусов: в канал обзор не получится опубликовать и можно жульничать, если регистрировать фейковые аккаунты и с них открывать подсказки.
📌 Второй способ
Ввести сезоны на площадке. Каждые 2-3 месяца полностью обнулять скорборд, обнулять баллы на все старые задачи и публиковать на них разборы с описанием решений. Тут минус в том, что каждый сезон придется с нуля набирать очки, а самые свежие задачи побудут актуальными всего несколько недель, а последняя пачка и вовсе неделю. А также это займет время для доработки площадки. Ее и так переделываем, но два других способа можно реализовать уже сейчас.
📌 Третий способ
Обнулять очки на устаревшие задачи, которым исполнилось 2-3 месяца. И для таких задач выкладывать постепенно разборы. Так каждая задача будет актуальной одинаковое время и будет достаточный промежуток для того, чтобы попробовать самостоятельно порешать. Минус тут в том, что хардовые задачи, где было всего несколько решений, тоже будут обнулены и это может неприятно изменить баланс на скорборде, но такой недостаток есть в каждом из вариантов.
❗️ Я больше склоняюсь к третьему варианту, он более спокойный и без кардинальных изменений на скорборде, и публикация разборов будет более равномерная. Но хочется и ваши комментарии и голоса увидеть. Ниже опрос – голосуйте.
Идеи и пожелания пишите в комментарии к посту или в чат.
———
#⃣ #Голосование #CTF
🐞 Канал // Чат // Задачи
❗️ На площадке с задачами появилась проблема – как сохранить баланс на скорборде и в тоже время выкладывать разборы задач для обучения. После мозгового штурма есть несколько идей, у всех свои плюсы и минусы. Помогите решить – следующим постом будет голосование. А также можете писать свои идеи и предложения в комментарии или в чат.
📌 Первый способ
Выкладывать разборы на площадке и даль возможность их посмотреть(как хинты) за списание баллов. То есть описание решения можно посмотреть, заплатив условными 100 баллами из своих накопленных за решения задач очков. Тут ряд минусов: в канал обзор не получится опубликовать и можно жульничать, если регистрировать фейковые аккаунты и с них открывать подсказки.
📌 Второй способ
Ввести сезоны на площадке. Каждые 2-3 месяца полностью обнулять скорборд, обнулять баллы на все старые задачи и публиковать на них разборы с описанием решений. Тут минус в том, что каждый сезон придется с нуля набирать очки, а самые свежие задачи побудут актуальными всего несколько недель, а последняя пачка и вовсе неделю. А также это займет время для доработки площадки. Ее и так переделываем, но два других способа можно реализовать уже сейчас.
📌 Третий способ
Обнулять очки на устаревшие задачи, которым исполнилось 2-3 месяца. И для таких задач выкладывать постепенно разборы. Так каждая задача будет актуальной одинаковое время и будет достаточный промежуток для того, чтобы попробовать самостоятельно порешать. Минус тут в том, что хардовые задачи, где было всего несколько решений, тоже будут обнулены и это может неприятно изменить баланс на скорборде, но такой недостаток есть в каждом из вариантов.
❗️ Я больше склоняюсь к третьему варианту, он более спокойный и без кардинальных изменений на скорборде, и публикация разборов будет более равномерная. Но хочется и ваши комментарии и голоса увидеть. Ниже опрос – голосуйте.
Идеи и пожелания пишите в комментарии к посту или в чат.
———
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🤔3
Как публиковать разборы задач и не сломать скорборд БАГодельни
Anonymous Poll
16%
1. Открывать разборы за списание очков с участника
22%
2. Ввести сезоны на площадке
56%
3. Обнулять задачи старше 2-3 мес и выкладывать на них разборы
6%
Свой вариант, напишу в комментарий
Опубликованы новые задания
Релиз #5
Шесть новых задач доступны на площадке!
🟢 Welcome / Бесславные БАГоделы
🟡 Rev / Кости и Баги
🟡 Misc / Испорченное селфи
🟡 OSINT / Сквозняк в голове
🟡 Forensic / CTF-ер, который смог
🔴 Web / Кошачья CVEтыня
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #5
Шесть новых задач доступны на площадке!
🟢 Welcome / Бесславные БАГоделы
🟡 Rev / Кости и Баги
🟡 Misc / Испорченное селфи
🟡 OSINT / Сквозняк в голове
🟡 Forensic / CTF-ер, который смог
🔴 Web / Кошачья CVEтыня
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Новостной дайджест #7
👨💻 Проделки Killnet и Beregini
Российские хакеры Killnet, совместно с другой хакерской группировкой Beregini (состоит из гражданок Украины) получили доступ к данным более 7 миллионов клиентов ШЕСТИ крупнейших страховых фирм Украины, а также массив информации о крупнейших оборонных предприятиях.
В результате атаки они выгрузили около 10 миллионов пакетов документов, как на физические лица, так и на юридические. В них попали:
Как писал выше, хакеры выгрузили еще массив информации оборонных предприятий (кого именно, есть в источнике), также вместе с данными руководства, схемами производства и данными сотрудников. Всю инфу они планируют использовать против лиц, которые как то связаны с укр. радикалами, а также против тех, кто распространял пронацистскую пропаганду в интернете.
Также хакеры в октябре взломали КРУПНЕЙШУЮ айти платформу (какую именно не публикуют ни СМИ ни сами Killnet) производителей дронов для ВСУ с личными данными продавцов беспилотников и ТТХ множества моделей дронов, включая зарубежные образцы. Оборот этой платформы составлял около 160 млрд. рублей в год.
Источник
🤡 Бэкдор Kalambur
Некоторым пользователям начали рассылать письма, якобы от антивирусной компании ESET. В письмах говорится, что «обнаружена подозрительная активность» в их почтовом ящике и нужно срочно запустить сканирование. Пользователи как бы и скачивали антивирус, но вместе с ним и был скрытый Каламбур(вот умора) — вредоносный бэкдор.
Через этот бэкдор хакеры получают удалённый доступ к компьютеру: могут включить RDP, отключить OpenSSH и управлять ОС. По данным специалистов, за атакой стоит группировка InedibleOchotense, которая маскировалась под ESET, создавая фейковые сайты вроде esetsmart[dot]com и esetremover[dot]com (более недоступны, по понятным причинам).
Источник
🥷 Киберограбление, которое мы заслужили
Необычная история пришла из Москвы. Трое злоумышленников пригласили 16 летнего парня "снять совместный контент", нужно было обсудить с ним детали. Место встречи назначили у метро, трое молодых людей ждали в машине, и пригласили парня на беседу. Один из злоумышленников для запугивания выстрелил в пол и потребовал телефон. После чего грабители зашли в Telegram жертвы и перевели цифровые открытки на сумму 60 тысяч рублей.
Злоумышленники также увидели у парнишки приложение для крипты и заинтересовались, сколько у него на счету. Парень соврал, что там 9 миллионов, но вывести может только из дома. Парня отпустили, чтобы он сделал перевод из дома, а тот не растерялся и сразу заявил о происшествии в полицию.
Грабителей задержали: одного на месте, двоих — на трассе М-1 при попытке сбежать. Им возбуждены уголовные дела по разбою и вымогательству.
Источник
Вот такие вот насыщенные новости получились. И помните: как учила мама в детстве — не идите в машину к незнакомому дяде — украдут. Всем добра на следующую неделю!
❗️ P.S. Если у вас есть интересные новости или другие идеи/советы, то можете присылать их в директ канала — снизу слева есть кнопочка :) Или просто сюда в личку: @ipatove
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
👨💻 Проделки Killnet и Beregini
Российские хакеры Killnet, совместно с другой хакерской группировкой Beregini (состоит из гражданок Украины) получили доступ к данным более 7 миллионов клиентов ШЕСТИ крупнейших страховых фирм Украины, а также массив информации о крупнейших оборонных предприятиях.
В результате атаки они выгрузили около 10 миллионов пакетов документов, как на физические лица, так и на юридические. В них попали:
— грин-карты
— страховые договора
— полные пакеты документов на физических лиц
— страхование недвижимости
— заводы
— автомобили
— водительские удостоверения
Операция длилась больше недели — представитель Killnet.
Как писал выше, хакеры выгрузили еще массив информации оборонных предприятий (кого именно, есть в источнике), также вместе с данными руководства, схемами производства и данными сотрудников. Всю инфу они планируют использовать против лиц, которые как то связаны с укр. радикалами, а также против тех, кто распространял пронацистскую пропаганду в интернете.
Также хакеры в октябре взломали КРУПНЕЙШУЮ айти платформу (какую именно не публикуют ни СМИ ни сами Killnet) производителей дронов для ВСУ с личными данными продавцов беспилотников и ТТХ множества моделей дронов, включая зарубежные образцы. Оборот этой платформы составлял около 160 млрд. рублей в год.
Источник
🤡 Бэкдор Kalambur
Некоторым пользователям начали рассылать письма, якобы от антивирусной компании ESET. В письмах говорится, что «обнаружена подозрительная активность» в их почтовом ящике и нужно срочно запустить сканирование. Пользователи как бы и скачивали антивирус, но вместе с ним и был скрытый Каламбур
Через этот бэкдор хакеры получают удалённый доступ к компьютеру: могут включить RDP, отключить OpenSSH и управлять ОС. По данным специалистов, за атакой стоит группировка InedibleOchotense, которая маскировалась под ESET, создавая фейковые сайты вроде esetsmart[dot]com и esetremover[dot]com (более недоступны, по понятным причинам).
Источник
Необычная история пришла из Москвы. Трое злоумышленников пригласили 16 летнего парня "снять совместный контент", нужно было обсудить с ним детали. Место встречи назначили у метро, трое молодых людей ждали в машине, и пригласили парня на беседу. Один из злоумышленников для запугивания выстрелил в пол и потребовал телефон. После чего грабители зашли в Telegram жертвы и перевели цифровые открытки на сумму 60 тысяч рублей.
Злоумышленники также увидели у парнишки приложение для крипты и заинтересовались, сколько у него на счету. Парень соврал, что там 9 миллионов, но вывести может только из дома. Парня отпустили, чтобы он сделал перевод из дома, а тот не растерялся и сразу заявил о происшествии в полицию.
Грабителей задержали: одного на месте, двоих — на трассе М-1 при попытке сбежать. Им возбуждены уголовные дела по разбою и вымогательству.
Источник
Вот такие вот насыщенные новости получились. И помните: как учила мама в детстве — не идите в машину к незнакомому дяде — украдут. Всем добра на следующую неделю!
❗️ P.S. Если у вас есть интересные новости или другие идеи/советы, то можете присылать их в директ канала — снизу слева есть кнопочка :) Или просто сюда в личку: @ipatove
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Опубликованы новые задания
Релиз #6
Шесть новых задач доступны на площадке!
🟢 Welcome / Условный реверс
🟢 Misc / Точность+
🟡 Web / SubFlag
🟡 Rev / ЗаБАГованная башня
🟡 OSINT / Новый блог
🔴 Crypto / Ах#енный зум
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #6
Шесть новых задач доступны на площадке!
🟢 Welcome / Условный реверс
🟢 Misc / Точность+
🟡 Web / SubFlag
🟡 Rev / ЗаБАГованная башня
🟡 OSINT / Новый блог
🔴 Crypto / Ах#енный зум
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Новостной дайджест #8
🍓 Подработка для студентов
Начнём немного с остренького. На сайте Санкт-Петербургского архитектурно-строительного колледжа появилась вакансия из крупнейшей вебкам студии, в которой всё чётко было расписано — что делать придется, какие позиции открыты, сколько на этом можно заработать, ну вы поняли.
Администрация колледжа заявила, что была совершена хакерская атака (так мы и поверили ), вот что они говорят:
На сегодняшний день, колледж эту информацию уже убрал, на web archive информацию тоже не найти, поэтому кому интересно, что именно было написано на сайте — прошу в источник.
Источник
🥷 Двойные агенты
Новости из Чикаго. Сотрудники компаний DigitalMint и Sygnia, задача которых помогать людям в переговорах с вымогателями, внезапно решили самим встать на сторону зла и стали киберпреступниками.
Всё дело в том, что сотрудники таких компаний имеют доступ к чувствительной информации клиентов. Имея это, они сами запускали атаки на клиентов. Один сотрудник выступал как переговорщик, а в это время другие сотрудники запускали атаки на компании, требуя выкуп исчисляемый в миллионы долларов. Так они смогли взломать серверы медицинской компании во Флориде, выставили требование в 10 миллионов долларов, а в итоге похитили 1,2 миллиона. Такая атака была не единственной, но компания утверждает, что вообще не знала о двойных агентах, и сразу же уволила виновных.
Источник
🔑 Гигантская БД слитых данных
Исследователи обнаружили колоссальный массив скомпрометированных данных: почти 2 млрд уникальных e-mail адресов и около 1,3 млрд паролей, собранных в единую базу. Компания Synthient проанализировала десятки утечек из даркнета, убрала дубликаты и выяснила, что более 625 млн паролей никогда ранее не появлялись в открытых слитых архивах.
Такой объём делает набор крайне ценным для атак «credential stuffing», где злоумышленники перебирают украденные пары логин-пароль на разных сервисах, рассчитывая на повторное использование учётных данных.
Масштаб находки показывает, насколько широко по сети продолжают циркулировать старые и новые слитые базы, формируя и постоянно пополняя гигантские словари для таких автоматизированных атак.
Источник
Как то так вышло. Вот вам напоследок сайт, узнайте, слиты ваши данные или еще пронесло: тут
А на этом всё! Всем хорошей недели! До встречи!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
🍓 Подработка для студентов
Начнём немного с остренького. На сайте Санкт-Петербургского архитектурно-строительного колледжа появилась вакансия из крупнейшей вебкам студии, в которой всё чётко было расписано — что делать придется, какие позиции открыты, сколько на этом можно заработать, ну вы поняли.
Администрация колледжа заявила, что была совершена хакерская атака (
Сегодня утром была осуществлена хакерская атака на официальный сайт колледжа, в результате которой несанкционированно были опубликованы материалы, не относящиеся к работе колледжа. Инцидент был немедленно зафиксирован. Все данные сайта были оперативно восстановлены. Официальный сайт колледжа работает в штатном режиме. Просим использовать только достоверные источники информации.
На сегодняшний день, колледж эту информацию уже убрал, на web archive информацию тоже не найти, поэтому кому интересно, что именно было написано на сайте — прошу в источник.
Источник
🥷 Двойные агенты
Новости из Чикаго. Сотрудники компаний DigitalMint и Sygnia, задача которых помогать людям в переговорах с вымогателями, внезапно решили самим встать на сторону зла и стали киберпреступниками.
Всё дело в том, что сотрудники таких компаний имеют доступ к чувствительной информации клиентов. Имея это, они сами запускали атаки на клиентов. Один сотрудник выступал как переговорщик, а в это время другие сотрудники запускали атаки на компании, требуя выкуп исчисляемый в миллионы долларов. Так они смогли взломать серверы медицинской компании во Флориде, выставили требование в 10 миллионов долларов, а в итоге похитили 1,2 миллиона. Такая атака была не единственной, но компания утверждает, что вообще не знала о двойных агентах, и сразу же уволила виновных.
Источник
🔑 Гигантская БД слитых данных
Исследователи обнаружили колоссальный массив скомпрометированных данных: почти 2 млрд уникальных e-mail адресов и около 1,3 млрд паролей, собранных в единую базу. Компания Synthient проанализировала десятки утечек из даркнета, убрала дубликаты и выяснила, что более 625 млн паролей никогда ранее не появлялись в открытых слитых архивах.
Такой объём делает набор крайне ценным для атак «credential stuffing», где злоумышленники перебирают украденные пары логин-пароль на разных сервисах, рассчитывая на повторное использование учётных данных.
Масштаб находки показывает, насколько широко по сети продолжают циркулировать старые и новые слитые базы, формируя и постоянно пополняя гигантские словари для таких автоматизированных атак.
Источник
Как то так вышло. Вот вам напоследок сайт, узнайте, слиты ваши данные или еще пронесло: тут
А на этом всё! Всем хорошей недели! До встречи!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Опубликованы новые задания
Релиз #7
Семь Шесть с половиной новых задач доступны на площадке!
🟢 Welcome / Первый CTF
🟢 Crypto / Закодированный дед
🟢 Stegano / Заказ для друга
🟢 OSINT / Утренний туман
🟡 OSINT / Липсинк, который мы заслужили
🔴 Misc / Квадратная дружба
❗️Примечание:
Бонусом опубликована половинчатая задача на 100 баллов. В ночь перед релизом обнаружена ошибка — задача повторяет первую часть, если работать с картинкой в ОС Windows, задуманное решение доступно только в MacOs и Linux. Но чтобы совсем не убирать задачу и сделать на нее интересный разбор, будет опубликована сразу с минимальным баллом.
🐞 Stegano / Границы лишь в голове #2
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #7
🟢 Welcome / Первый CTF
🟢 Crypto / Закодированный дед
🟢 Stegano / Заказ для друга
🟢 OSINT / Утренний туман
🟡 OSINT / Липсинк, который мы заслужили
🔴 Misc / Квадратная дружба
❗️Примечание:
Бонусом опубликована половинчатая задача на 100 баллов. В ночь перед релизом обнаружена ошибка — задача повторяет первую часть, если работать с картинкой в ОС Windows, задуманное решение доступно только в MacOs и Linux. Но чтобы совсем не убирать задачу и сделать на нее интересный разбор, будет опубликована сразу с минимальным баллом.
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
Новостной дайджест #9
Всем доброго вечера! Надеюсь, ваше воскресенье отдебажено, и всё готово к отдыху, потому что у нас на очереди дайджест новостей за неделю!
⚙️ Глобальный сбой Cloudflare
Не так давно упал AWS, из за чего тонна сервисов, которые держались на нём, просто перестали работать. Эту эстафету перенял Cloudflare, у которого случился масштабный технический сбой. Cбой затронул множество сервисов по всему миру, из-за чего при попытке войти на сайте, пользователей встречала ошибка "Internal Server Error", доступ был временно невозможен. Cloudflare засекли в этот момент "необычный всплеск трафика" и работала над решением.
Причина раскрылась спустя день. Проблема была... в файле конфигурации системы защиты от ботов. Дело в том, что за день до этого, разработчики в Cloudflare обновили свои конфиги. Сбой возник из-за того, что размер файла конфигурации превысил ожидаемый и допустимый. Что именно пошло не так, можно почитать в источнике.
Источник
📲 Не надежный Whatsapp
А вот тут интересно вышло. Халатная компания Whatsapp (принадлежит компании Meta, которая признана в России экстремистской и запрещена) допустила утечку данных пользователей более чем на 3.5 млрд номеров. Такую базу собрали без какого либо взлома. Сервис не имел ограничения на запросы, Австрийские умельцы просто перебирали автоматически номера через веб-версию приложения. Итог: у 57% пользователей также были раскрыты аватарки, у 29% оказался доступен текст в профиле.
О такой проблеме заявляли еще в 2017 году, однако существенных изменений сделано не было. Австрийская команда заявила, что если бы этой уязвимостью воспользовались злоумшленники, то была бы НАИКРУПНЕЙШАЯ утечка всех данных. На сегодняшний день, команда уведомила Whatsapp, а те в свою очередь сказали, что уже работают над латанием этой дыры.(верим)
Источник
🚇 Железные дороги Италии
Кому-то нужны данные национальных железных дорог Италии? Нет? А они есть в даркнете, и аж 2.3ТБ. Железнодорожного гиганта FS Italiane Group взломал один хакер, нагрёб он у них внутренние документы высшей секретности. Эта корпорация отвечает за всю железнодорожную инфраструктуру государства. Доступ к данным хакер получил через крупного поставщика услуг Almaviva. Андреа Драгетти (руководитель направления киберразведки в лаборатории D3Lab) рассказывает:
Это создаёт риски не только для конфиденциальности, но и для устойчивости работы критически важного сектора страны.
Самого хакера опознать не удаётся, однако здесь обратили внимание, что дамп данных разложен аккуратно по архивам в соответствии с подразделениями и компаниями, что намекает на профессиональные группировки, которые специализируются на вымогательстве и продаже украденной инфы в 24-25 годах.
Источник
Вот и доверяй зарубежным компаниям. Ребята, всё надо своё иметь, поэтому Багодельня теперь в Max!Это шутка . Хорошей всем недели!
———
#⃣ #Новости
🐞 Канал // Чат // Задачи
Всем доброго вечера! Надеюсь, ваше воскресенье отдебажено, и всё готово к отдыху, потому что у нас на очереди дайджест новостей за неделю!
⚙️ Глобальный сбой Cloudflare
Не так давно упал AWS, из за чего тонна сервисов, которые держались на нём, просто перестали работать. Эту эстафету перенял Cloudflare, у которого случился масштабный технический сбой. Cбой затронул множество сервисов по всему миру, из-за чего при попытке войти на сайте, пользователей встречала ошибка "Internal Server Error", доступ был временно невозможен. Cloudflare засекли в этот момент "необычный всплеск трафика" и работала над решением.
Причина раскрылась спустя день. Проблема была... в файле конфигурации системы защиты от ботов. Дело в том, что за день до этого, разработчики в Cloudflare обновили свои конфиги. Сбой возник из-за того, что размер файла конфигурации превысил ожидаемый и допустимый. Что именно пошло не так, можно почитать в источнике.
Источник
А вот тут интересно вышло. Халатная компания Whatsapp (принадлежит компании Meta, которая признана в России экстремистской и запрещена) допустила утечку данных пользователей более чем на 3.5 млрд номеров. Такую базу собрали без какого либо взлома. Сервис не имел ограничения на запросы, Австрийские умельцы просто перебирали автоматически номера через веб-версию приложения. Итог: у 57% пользователей также были раскрыты аватарки, у 29% оказался доступен текст в профиле.
О такой проблеме заявляли еще в 2017 году, однако существенных изменений сделано не было. Австрийская команда заявила, что если бы этой уязвимостью воспользовались злоумшленники, то была бы НАИКРУПНЕЙШАЯ утечка всех данных. На сегодняшний день, команда уведомила Whatsapp, а те в свою очередь сказали, что уже работают над латанием этой дыры.
Источник
🚇 Железные дороги Италии
Кому-то нужны данные национальных железных дорог Италии? Нет? А они есть в даркнете, и аж 2.3ТБ. Железнодорожного гиганта FS Italiane Group взломал один хакер, нагрёб он у них внутренние документы высшей секретности. Эта корпорация отвечает за всю железнодорожную инфраструктуру государства. Доступ к данным хакер получил через крупного поставщика услуг Almaviva. Андреа Драгетти (руководитель направления киберразведки в лаборатории D3Lab) рассказывает:
Преступник хвастается материалами, среди которых внутренние акции компаний, репозитории кода нескольких организаций, объёмная техническая документация, контракты с государственными структурами, архивы отделов кадров, финансовые отчёты и полные базы данных дочерних предприятий FS Group.
Это создаёт риски не только для конфиденциальности, но и для устойчивости работы критически важного сектора страны.
Самого хакера опознать не удаётся, однако здесь обратили внимание, что дамп данных разложен аккуратно по архивам в соответствии с подразделениями и компаниями, что намекает на профессиональные группировки, которые специализируются на вымогательстве и продаже украденной инфы в 24-25 годах.
Источник
Вот и доверяй зарубежным компаниям. Ребята, всё надо своё иметь, поэтому Багодельня теперь в Max!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Опубликованы новые задания
Релиз #8
Шесть новых задач доступны на площадке!
🟢 Welcome / Первый CTF в России
🟢 Web / Альтушка с БАГуслуг
🟡 OSINT / Египетская сила
🟡 Rev / Bogosort
🟡 Stego / Немое кино
🟡 Forensic / Украденный флаг
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
#⃣ #Задачи #CTF
🐞 Канал // Чат // Задачи
Релиз #8
Шесть новых задач доступны на площадке!
🟢 Welcome / Первый CTF в России
🟢 Web / Альтушка с БАГуслуг
🟡 OSINT / Египетская сила
🟡 Rev / Bogosort
🟡 Stego / Немое кино
🟡 Forensic / Украденный флаг
Следующий релиз через неделю в тоже время – в 12:00 по МСК.
Отбивки о первых трех самых быстрых решениях на каждую задачу приходят в наш чат. Так же там можно пообщаться и обсудить сложности, если они возникают в процессе решения.
Кто первый решит, тот молодец. Поехали!
———
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥3