📝 Разница TLS vs IPsec vs SSH

ZeroDay | #ИБ

Без права на запись: как мы заперли содержимое SPI Flash в сейф и выбросили ключ

BIOS - штука, о которой большинство юзеров вспоминает только при включении компьютера. Но именно там любят прятаться самые живучие угрозы. CosmicStrand, например, умудрялся переживать любые переустановки ОС и оставаться незаметным годами.

⏺В статье рассказывается, как прошивка на SPI Flash из обычной детали системы превращается в главный трофей для атакующих, какие реальные сценарии атак встречаются на практике, и почему без аппаратной блокировки тут не обойтись.

ZeroDay | #Статья

PDFRip: как быстро вскрыть PDF‑документы

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺PDFRip — это многопоточный тул на Rust, который проводит до 100 тысяч попыток в секунду, используя весь потенциал CPU. Он умеет работать не только с классическими словарями, но и ломать пароли по датам, числовым диапазонам и даже кастомным шаблонам.

⏺Зачем он: Потому что иногда пароли в PDF - это даты рождения, простые числа или повторяющиеся паттерны. Перебор в лоб - достаточно долго, а PDFRip умеет быстро нацелиться туда, где шанс найти пароль максимальный.

⏺Вот как это выглядит на деле:

Перебор по словарю:

pdfrip -f file.pdf wordlist rockyou.txt

Перебор числового диапазона:

pdfrip -f file.pdf range 1000 9999

Перебор по датам (формат DDMMYYYY):

pdfrip -f file.pdf date 1990 2000

Кастомный шаблон, когда вы знаете часть пароля:

pdfrip -f file.pdf custom-query PASS{0000-9999}

ZeroDay | #Инструмент

Атака на SK Telecom: 27 миллионов пострадавших

👋 Приветствую в мире цифровой безопасности!

Кратко расскажу о громкой атаке на SK Telecom, флагманского корейского оператора.

⏺Всё началось в июне 2022‑го с обычного веб‑шелла: Казалось, что ничего серьезного, но отсутствие логов превратило ситуацию в целую катастрофу: почти три года хакеры свободно гуляли по внутренним системам, и никто этого не заметил.

⏺Главный трофей: Home Subscriber Server (HSS), сердце мобильной сети. В итоге утекли десятки миллионов IMSI‑ключей, сотни тысяч IMEI и почти 10 гигабайт чувствительных учётных данных. По сути, полный доступ к цифровой инфе о миллионах людей.

⏺За кулисами все это время стоял BPFDoor. Этот хитрый бэкдор сидел в ядре Linux и ждал «секретного сигнала». Услышал, и либо поднимал реверсшелл через UDP‑пакет, либо подменял правила iptables так, что атакующий подключался под видом обычного SSH.

⏺Какой итог: миллионы заявок на замену SIM‑карт, акции упали почти на 7%, четверть миллиона клиентов ушли. А государство запретило SK Telecom подключать новых абонентов, пока не наведут порядок.

ZeroDay | #разное

Ищем Shadow IT: три шага

👋 Приветствую в мире цифровой безопасности!

Расскажу, как отыскать незаметные и даже опасные устройства и сервисы, которые могут грозить сети.

⏺arp-scan с фокусом на производителя: Сканируем лок. сеть и смотрим не просто IP, а кто за ними стоит. MAC-адреса - отличный маячок, чтобы понять, есть ли среди устройств что-то “нетипичное”. Если видим производителя из списка неизвестных - пора проверить.

arp-scan --localnet --verbose | tee arp_full.log
awk '{print $2, $3}' arp_full.log | sort | uniq -c

⏺nmap с NSE-скриптами для глубокого анализа веб-портов: Просто открыть порт мало, нужно ведь еще понять, что именно на нём работает. Юзаем скрипты nmap, которые “заглядывают” в веб-сервисы, находят админки, панели и даже проверяют на известные уязвимости.

nmap -p 80,443 --script=http-enum,http-vuln* -oA shadowit_web 192.168.0.0/24

⏺ss и расследование HTTPS-сессий: глянем, кто реально держит HTTPS на серверах, и к кому эти процессы подключаются. Shadow IT часто пытается маскироваться или выходит на подозрительные IP.

ss -tpn | grep ':443 ' | while read line; do
  pid=$(echo $line | grep -oP 'pid=\K[0-9]+')
  cmdline=$(tr '\0' ' ' < /proc/$pid/cmdline)
  echo "PID: $pid CMD: $cmdline"
done

ZeroDay | #безопасность

Network Packet Brokers: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое сетевой брокер трафика и зачем он нужен

⏺Представлю вам сетевой брокер трафика или же Network Packet Broker (NPB). Он не ловит угрозы сам, но делает суперважную вещь: фильтрует, упорядочивает и готовит сетевой трафик для NDR, IDS, DLP и всего, что его анализирует.

1️⃣Фильтрует лишнее: Например, IDS не нужен весь трафик - только HTTP. Всё остальное можно отсеять заранее, не нагружая систему.

2️⃣Убирает дубли: Один и тот же пакет может приходить с нескольких SPAN-портов. Брокер распознаёт и удаляет повторы, чтобы не засорять анализ.

3️⃣Разворачивает туннели: VXLAN, GRE - всё это часто мешает аналитике. Брокер умеет «разархивировать» трафик до полезного содержимого.

⏺Условный пример: вот есть у нас объект, и SOC на нем стабильно зависал по понедельникам. SPAN-шлюзы выдавали туда весь служебный трафик, включая бэкапы, heartbeat’ы и всё подряд. После внедрения брокера трафик отфильтровали по портам, развернули туннели, и всё заработало

⏺Можно ли без него: Если у вас одна IDS и пара линков - можно. Но когда сеть разрастается, и появляется зоопарк из NDR, SIEM и forensic - брокер становится не доп. фишкой, а базой. Он даёт чистую картину происходящего, а не кашу из всего подряд.

ZeroDay | #NPB

Уязвимости XXE в разрезе Java

XML-файлы везде: в настройках, данных, обмене информацией. Но если парсер не настроен должным образом, хакер может взять и воспользоваться механизмом внешних сущностей (XXE), чтобы вытянуть из сервера файлы, к которым не должен иметь доступа - начиная от конфигов и заканчивая паролями.

⏺В статье показывают, как на примере Java-кода происходит эта атака, почему она так опасна, и что нужно делать, чтобы точно закрыть эту дверь - отключить внешние сущности, запретить DTD и правильно настроить парсер.

ZeroDay | #Статья

🎁 Большой розыгрыш от Codeby X Zeroday

Мы подготовили для вас кучу полезных призов по кибербезопасности, чтобы апнуть свои навыки!

Что можно выиграть:

1) 15 месячных подписок на платформу hackerlab.pro
2) 5 книг «Искусственный интеллект глазами хакера»
3) 5 промокодов на курсы Codeby

Целых 25 призовых мест!

🗓 Итоги — 21 августа в 19:00 (МСК).

Как участвовать:

1) Подписаться на канал @codeby_sec
2) Подписаться на канал @cybersec_academy
3) Нажать кнопку «Участвовать» под этим постом

Ждать результатов розыгрыша

Бот может немного подвиснуть — не паникуйте, просто нажмите кнопку ещё раз.

Infisical: настраиваем хранение секретов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Infisical - это классная open-source платформа, которая собирает все ваши пароли, ключи, сертификаты и конфиги в одном месте.

⏺Зачем она нужна: когда секреты разбросаны по разным сервисам, средам и локальным машинам - это постоянный риск и нервы. Этот инструмент упрощает жизнь контролирует доступ, ведёт историю изменений, автоматически обновляет ключи и даже генерит временные секреты, которые сами «умирают», чтобы лишний раз не переживать.

⏺Как начать:

1️⃣Запускаете локально через Docker, пару команд в терминале — и вуаля, ваша платформа готова:

git clone https://github.com/Infisical/infisical  
cd infisical  
cp .env.example .env  
docker compose -f docker-compose.prod.yml up  

Потом заходите на http://localhost:80, создаёте аккаунт и вперед — порядок в секретах.

2️⃣Интегрируете в CI/CD, чтобы секреты подтягивались прямо в ваши пайплайны — никаких секретов в коде:

infisical run -- <ваша команда>

3️⃣Чтобы не сливать пароли в репозиторий, ставите проверку на каждый коммит:

infisical scan install --pre-commit-hook  
infisical scan --verbose  

ZeroDay | #Инструмент

P2P-мессенджер, работающий без интернета

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу про мессенджер BitChat, который работает без интернета вообще.

⏺BitChat создал Джек Дорси - тот самый парень, который стоял у истоков Twitter. Его команда решила сделать инструмент, который поможет оставаться на связи даже в самых жестких условиях - после аварий, отключений или вдалеке от всего.

⏺Главная фишка BitChat - децентрализованная mesh-сеть на Bluetooth Low Energy. Другими словами: каждый телефон тут - и отправитель, и ретранслятор сообщений. Так сообщения перепрыгивают с одного устройства на другое, пока не доберутся до получателя.

⏺И никаких привычных аккаунтов или номеров. Вместо этого эфемерные ID, которые постоянно меняются. Это значит, что вас почти невозможно отследить.

⏺Что по безопасности: сообщения шифруются по протоколу Noise, а для маскировки трафика добавляются случайные задержки и фейковые сообщения. Даже если связь пропала, сообщения сохраняются и уходят, когда устройство снова окажется в сети. А функция «тройное касание» позволит моментально стереть все данные, если вдруг нужно срочно очистить следы.

⏺Еще одна фишка: в BitChat есть IRC-подобные команды, чтобы создавать каналы, отправлять личные сообщения или блокировать пользователей. Трафик сжимается, батарея экономится, а разработчики обещают добавить поддержку LoRa (для сверхдальней связи), Wi-Fi Direct и даже ультразвук!

ZeroDay | #разное

API-токены: как один ключ может открыть вообще всё

👋 Приветствую в мире цифровой безопасности!

Сегодня кратко о том, как один забытый ключ может превратить сервис в открытый буфер для хакеров.

⏺К сути: часто разрабы оставляют API-токены прямо в коде или .env-файлах. Казалось бы, мелочь, но сканеры вроде truffleHog и Gitleaks ищут их на GitHub и других репозиториях. Один успешный поиск, и кто-то уже в вашем облаке, с доступом к базам и сервисам.

⏺Ищем токены первыми:

git log -p | grep -i "api_key"

или с помощью

truffleHog --repo https://github.com/your/repo

⏺Ротация ключей: меняем токены регулярно, чтобы даже найденный ключ быстро терял ценность.

⏺Минимальные права: токен получает только те возможности, которые реально нужны.

aws iam create-policy --policy-name ReadOnlyPolicy ...

⏺Хранилища секретов: Vault, Infisical, Secrets Manager - чтобы токены не болтались в коде. И не забываем про Pre-commit hooks. Смотрим каждый коммит локально, прежде чем пушить в репозиторий.

gitleaks detect --source . --branch=main

ZeroDay | #безопасность

CORS: блокировка кросс-домена

👋 Приветствую в мире цифровой безопасности!

Поговорим про CORS. Такой механизм, который браузеры используют, чтобы защищать пользователя от «чужого кода».

⏺CORS (Cross-Origin Resource Sharing) нужен, чтобы сайты не могли тайно читать данные с других доменов. Например, вы зашли на bank.com, а потом открыли evil.com — без CORS JavaScript на evil.com мог бы запросить /api/account и прочитать ваши куки. Плохая идея, верно?

⏺Как на деле: простые GET/POST запросы браузер пропускает, но читать ответ не даст без заголовков Access-Control-Allow-Origin. Сложные запросы (PUT, DELETE, кастомные заголовки) сначала проходят preflight-запрос OPTIONS. Сервер должен подтвердить, типо: «Да, фронтенд с этого домена может использовать эти методы и заголовки».

Access-Control-Allow-Origin: https://frontend.com
Access-Control-Allow-Methods: POST, DELETE
Access-Control-Allow-Headers: Content-Type, Authorization

⏺Пример для Express.js:

app.use((req, res, next) => {
  res.setHeader('Access-Control-Allow-Origin', 'https://frontend.com');
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  res.setHeader('Access-Control-Allow-Credentials', 'true');
  next();
});

⏺Советы на практике: никогда не давайте * для защищённых данных, проверяйте preflight OPTIONS для сложных запросов, ограничивайте куки и токены доверенными доменами, а кэширование preflight-запросов через Access-Control-Max-Age снизит нагрузку.

⏺Типичные косяки: забыли заголовки - ответ блокируется; использовали * с куки - это тоже ошибка. Не настроили OPTIONS? Ну тогда сложный запрос не проходит.

ZeroDay | #безопасность

📝 Вспомним протоколы безопасности

ZeroDay | #ИБ

Джейлбрейкаем чатботы: ChatGPT без фильтров

У чатботов есть встроенные «поручни безопасности» - guardrails, которые не дают им выходить за рамки дозволенного. Но что если эти ограничения мешают работе? Тут поможет джейлбрейк: от ролевых сценариев до визуальных инъекций, позволяющих обойти ограничения и заставить ИИ отвечать, как нужно вам.

⏺В статье разбирают, как работают джейлбрейки, какие техники до сих пор живы (спойлер: не всё закрыто), и почему умение ломать guardrails не только про «серые зоны», но и про аудит безопасности, а также честный доступ к инфе.

ZeroDay | #Статья