Mythos обошёл защиту, в которую Apple вложила 5 лет и миллиарды
Три исследователя использовали Anthropic Mythos, чтобы собрать рабочий exploit для macOS kernel. По их словам, он обходит Apple M5 Memory Integrity Enforcement - систему защиты, которую Apple строила годами и продвигала как один из главных барьеров против memory corruption атак.
Таймлайн выглядит жёстко:
- 25 апреля нашли баг
- 1 мая уже был рабочий exploit
- отчёт понесли лично в Apple Park
MIE была флагманской security-фичей для M5 и A19. Apple описывала её как защиту, которая должна резко усложнить целый класс атак на память. По их же исследованиям, MIE ломала все известные публичные exploit chains против современных iOS-устройств.
Исследователи не «сломали» MIE напрямую. Они её обошли. По описанию, атака была data-only: без манипуляций с указателями, через стандартные syscalls, от обычного непривилегированного пользователя до root.
Проблема уже не только в том, что уязвимости всё ещё находятся. Проблема в том, что frontier-модели начинают ускорять самую сложную часть offensive security: связывать баги, проверять гипотезы, искать обходные маршруты и собирать рабочую цепочку быстрее, чем это делала бы обычная команда вручную.
55-страничный технический отчёт обещают выпустить после патча Apple.
Если всё подтвердится, это одна из самых важных cybersecurity-историй года.
https://blog.calif.io/p/first-public-kernel-memory-corruption
@linux_education
Три исследователя использовали Anthropic Mythos, чтобы собрать рабочий exploit для macOS kernel. По их словам, он обходит Apple M5 Memory Integrity Enforcement - систему защиты, которую Apple строила годами и продвигала как один из главных барьеров против memory corruption атак.
Таймлайн выглядит жёстко:
- 25 апреля нашли баг
- 1 мая уже был рабочий exploit
- отчёт понесли лично в Apple Park
MIE была флагманской security-фичей для M5 и A19. Apple описывала её как защиту, которая должна резко усложнить целый класс атак на память. По их же исследованиям, MIE ломала все известные публичные exploit chains против современных iOS-устройств.
Исследователи не «сломали» MIE напрямую. Они её обошли. По описанию, атака была data-only: без манипуляций с указателями, через стандартные syscalls, от обычного непривилегированного пользователя до root.
Проблема уже не только в том, что уязвимости всё ещё находятся. Проблема в том, что frontier-модели начинают ускорять самую сложную часть offensive security: связывать баги, проверять гипотезы, искать обходные маршруты и собирать рабочую цепочку быстрее, чем это делала бы обычная команда вручную.
55-страничный технический отчёт обещают выпустить после патча Apple.
Если всё подтвердится, это одна из самых важных cybersecurity-историй года.
https://blog.calif.io/p/first-public-kernel-memory-corruption
@linux_education
blog.calif.io
First public macOS kernel memory corruption exploit on Apple M5
Apple spent five years building hardware and software to make memory corruption exploits dramatically harder. Our engineers, working together with Mythos Preview, built a working exploit in five days.
🔥1
🧾 Shellfirm — защита от случайных или вредоносных команд в терминале.
Shellfirm — это оболочка безопасности, которая перехватывает опасные команды перед их выполнением. Она помогает избежать случайных удалений, перезаписей и других разрушительных операций. Вместо того чтобы полагаться только на alias или ручные проверки, Shellfirm добавляет дополнительный уровень безопасности — требует подтверждение на понятном языке, прежде чем выполнить потенциально опасную команду.
Поддерживаемые команды: rm, mv, chmod, chown, scp, rsync, dd, mkfs, shutdown, reboot, curl, wget, kill, и другие.
Примеры использования:
$ rm -rf /
🚨 Вы уверены, что хотите удалить / ? [y/N]
Shellfirm умеет:
- Перехватывать опасные команды до их выполнения.
- Показывать, что именно будет сделано (например, какие файлы будут удалены).
- Работать в интерактивном режиме с подтверждением.
- Настраиваться под себя.
- Поддерживать различные оболочки (`bash`, zsh, fish, xonsh и т.д.).
Установка через brew, go install, pipx и другие.
Проект с открытым исходным кодом, написан на Go.
https://github.com/kaplanelad/shellfirm
@linux_education
Shellfirm — это оболочка безопасности, которая перехватывает опасные команды перед их выполнением. Она помогает избежать случайных удалений, перезаписей и других разрушительных операций. Вместо того чтобы полагаться только на alias или ручные проверки, Shellfirm добавляет дополнительный уровень безопасности — требует подтверждение на понятном языке, прежде чем выполнить потенциально опасную команду.
Поддерживаемые команды: rm, mv, chmod, chown, scp, rsync, dd, mkfs, shutdown, reboot, curl, wget, kill, и другие.
Примеры использования:
$ rm -rf /
🚨 Вы уверены, что хотите удалить / ? [y/N]
Shellfirm умеет:
- Перехватывать опасные команды до их выполнения.
- Показывать, что именно будет сделано (например, какие файлы будут удалены).
- Работать в интерактивном режиме с подтверждением.
- Настраиваться под себя.
- Поддерживать различные оболочки (`bash`, zsh, fish, xonsh и т.д.).
Установка через brew, go install, pipx и другие.
Проект с открытым исходным кодом, написан на Go.
https://github.com/kaplanelad/shellfirm
@linux_education
GitHub
GitHub - kaplanelad/shellfirm: Safety guardrails for ai coding agents and human terminal commands
Safety guardrails for ai coding agents and human terminal commands - kaplanelad/shellfirm
👍2
⚡️ Linux может читать сетевые пакеты почти напрямую
В Linux можно открыть raw socket и увидеть пакеты, которые приходят на сетевую карту.
Пример из скрина делает простую вещь:
1. создаёт socket уровня AF_PACKET
2. просит у ядра все Ethernet-пакеты через ETH_P_ALL
3. в бесконечном цикле читает их через recvfrom
4. печатает размер каждого пакета
То есть программа буквально говорит ядру:
“Отдавай мне всё, что видит сетевой интерфейс.”
Так становится понятно, что Wireshark - это не магия. Он тоже получает низкоуровневый трафик от системы, просто красиво его разбирает и показывает.
Обычно разработчик работает с сетью на высоком уровне:
HTTP → TCP → socket
А raw socket позволяет спуститься ниже:
Ethernet frame → IP packet → TCP/UDP → payload
На таком уровне видно, что реально летит по сети: заголовки, размеры пакетов, служебные данные и весь сырой трафик.
Это один из тех примеров, после которых Linux networking перестаёт быть чёрным ящиком.
@linux_education
В Linux можно открыть raw socket и увидеть пакеты, которые приходят на сетевую карту.
Пример из скрина делает простую вещь:
1. создаёт socket уровня AF_PACKET
2. просит у ядра все Ethernet-пакеты через ETH_P_ALL
3. в бесконечном цикле читает их через recvfrom
4. печатает размер каждого пакета
То есть программа буквально говорит ядру:
“Отдавай мне всё, что видит сетевой интерфейс.”
Так становится понятно, что Wireshark - это не магия. Он тоже получает низкоуровневый трафик от системы, просто красиво его разбирает и показывает.
Обычно разработчик работает с сетью на высоком уровне:
HTTP → TCP → socket
А raw socket позволяет спуститься ниже:
Ethernet frame → IP packet → TCP/UDP → payload
На таком уровне видно, что реально летит по сети: заголовки, размеры пакетов, служебные данные и весь сырой трафик.
Это один из тех примеров, после которых Linux networking перестаёт быть чёрным ящиком.
@linux_education
👍3
Сюжет уровня дебильной комедии: агентство США по кибербезопасности, которое отвечает за защиту федеральных сетей, случайно засветило на GitHub собственные ключи и пароли.
CISA учит всех хранить пароли безопасно. А потом сама выкладывает их на GitHub 😳
Исследователи нашли публичный репозиторий с названием Private-CISA. Внутри - учётные данные для Amazon AWS GovCloud и файл AWS-Workspace-Firefox-Passwords.csv, где в открытом виде лежали логины и пароли к десяткам внутренних систем CISA и Министерства внутренней безопасности.
Самое абсурдное: по словам исследователей, GitHub Secret Scanning был вручную отключён. То есть защита, которая должна предупреждать о таких утечках, просто не работала.
Теперь в Сенате требуют закрытый брифинг от CISA. И понять их можно: когда агентство, которое раздаёт рекомендации по кибербезопасности всей стране, само выкладывает пароли в публичный репозиторий - это уже не инцидент, а диагноз процессам.
Главный урок простой: правительство США можно не взламывать через суперэксплойты.
Иногда достаточно просто открыть GitHub.
Кибербезопасность по-американски: https://gizmodo.com/the-worst-leak-that-ive-witnessed-u-s-cybersecurity-agency-leaves-its-digital-keys-out-in-public-on-github-2000760330
@linux_education
CISA учит всех хранить пароли безопасно. А потом сама выкладывает их на GitHub 😳
Исследователи нашли публичный репозиторий с названием Private-CISA. Внутри - учётные данные для Amazon AWS GovCloud и файл AWS-Workspace-Firefox-Passwords.csv, где в открытом виде лежали логины и пароли к десяткам внутренних систем CISA и Министерства внутренней безопасности.
Самое абсурдное: по словам исследователей, GitHub Secret Scanning был вручную отключён. То есть защита, которая должна предупреждать о таких утечках, просто не работала.
Теперь в Сенате требуют закрытый брифинг от CISA. И понять их можно: когда агентство, которое раздаёт рекомендации по кибербезопасности всей стране, само выкладывает пароли в публичный репозиторий - это уже не инцидент, а диагноз процессам.
Главный урок простой: правительство США можно не взламывать через суперэксплойты.
Иногда достаточно просто открыть GitHub.
Кибербезопасность по-американски: https://gizmodo.com/the-worst-leak-that-ive-witnessed-u-s-cybersecurity-agency-leaves-its-digital-keys-out-in-public-on-github-2000760330
@linux_education
🔥1🤩1
GitHub взломали через расширение для VS Code. Утекли тысячи внутренних репозиториев
GitHub сообщил о компрометации одного из сотрудников компании. По предварительным данным, атака прошла через заражённое расширение для VS Code.
В результате злоумышленники получили доступ примерно к 4 000 внутренних репозиториев.
И, конечно, история уже вышла за рамки «внутреннего инцидента»: хакеры выставили похищенные данные на продажу за $50 000.
GitHub обещает позже опубликовать подробный отчёт и итоги расследования.
Но сам кейс уже показательный: сегодня supply chain атака может начаться не с сервера, не с CI/CD и не с облака, а с обычного расширения в редакторе кода.
https://x.com/github/status/2056949168208552080
@linux_education
GitHub сообщил о компрометации одного из сотрудников компании. По предварительным данным, атака прошла через заражённое расширение для VS Code.
В результате злоумышленники получили доступ примерно к 4 000 внутренних репозиториев.
И, конечно, история уже вышла за рамки «внутреннего инцидента»: хакеры выставили похищенные данные на продажу за $50 000.
GitHub обещает позже опубликовать подробный отчёт и итоги расследования.
Но сам кейс уже показательный: сегодня supply chain атака может начаться не с сервера, не с CI/CD и не с облака, а с обычного расширения в редакторе кода.
https://x.com/github/status/2056949168208552080
@linux_education
❤1
Один собрал боевой радар на 20 км выложили в открытый доступ.
На GitHub появился проект AERIS-10: фазированный радар на 10,5 ГГц, способный вести цели на дистанции до 20 километров. Бесплатно, с открытыми исходниками и документацией вплоть до последнего винтика. Репозиторий уже собрал 17,8 тысяч звёзд и 4,2 тысячи форков за считанные дни.
Внутри буквально всё, что нужно для повторения. Полные схемы PCB и файлы для производства, код FPGA на Verilog со сжатием импульсов, доплеровским анализом и CFAR, прошивка под STM32F746, питоновский GUI с картой, интеграция GPS и IMU для коррекции позиции. Плюс электронное наведение луча в диапазоне ±45 градусов и две версии устройства на 3 и 20 километров.
Lockheed и Raytheon продают аналогичные системы за миллионы долларов и десятилетиями держат эти технологии за семью печатями оборонных контрактов. А тут один парень берёт и выкладывает рабочий комплект, который можно собрать в гараже при наличии рук и паяльной станции.
Оборонка годами убеждала всех, что такие вещи требуют гигантских бюджетов, допусков и специальных лабораторий. AERIS-10 наглядно показывает, что значительная часть этой стены держалась не на физике, а на NDA и закрытости. И теперь джинн из бутылки уже не вернётся.
https://github.com/NawfalMotii79/PLFM_RADAR
@linux_education
На GitHub появился проект AERIS-10: фазированный радар на 10,5 ГГц, способный вести цели на дистанции до 20 километров. Бесплатно, с открытыми исходниками и документацией вплоть до последнего винтика. Репозиторий уже собрал 17,8 тысяч звёзд и 4,2 тысячи форков за считанные дни.
Внутри буквально всё, что нужно для повторения. Полные схемы PCB и файлы для производства, код FPGA на Verilog со сжатием импульсов, доплеровским анализом и CFAR, прошивка под STM32F746, питоновский GUI с картой, интеграция GPS и IMU для коррекции позиции. Плюс электронное наведение луча в диапазоне ±45 градусов и две версии устройства на 3 и 20 километров.
Lockheed и Raytheon продают аналогичные системы за миллионы долларов и десятилетиями держат эти технологии за семью печатями оборонных контрактов. А тут один парень берёт и выкладывает рабочий комплект, который можно собрать в гараже при наличии рук и паяльной станции.
Оборонка годами убеждала всех, что такие вещи требуют гигантских бюджетов, допусков и специальных лабораторий. AERIS-10 наглядно показывает, что значительная часть этой стены держалась не на физике, а на NDA и закрытости. И теперь джинн из бутылки уже не вернётся.
https://github.com/NawfalMotii79/PLFM_RADAR
@linux_education
🔥6
🚨 OnlyFans взломан 💸
По-видимому, взломали OnlyFans, и теперь продают полную базу данных 340 миллионов пользователей, включая создателей контента и потребителей.
Результатом этого станет огромная волна массовых вымогательств в отношении пользователей, точно так же, как это произошло после взлома Ashley Madison в 2015 году.
В утёкшие данные входят
• Имена пользователей и имена профилей
• Адреса электронной почты
• Номера телефонов
• Даты создания аккаунтов
• Метрики подписчиков/подписок
• Статистика «лайков» и контента
• Рейтинги создателей/фанатов
• Профили в социальных сетях, связанные с аккаунтом
• Частичные метаданные платёжных карт (последние 4 цифры карты)
@linux_education
По-видимому, взломали OnlyFans, и теперь продают полную базу данных 340 миллионов пользователей, включая создателей контента и потребителей.
Результатом этого станет огромная волна массовых вымогательств в отношении пользователей, точно так же, как это произошло после взлома Ashley Madison в 2015 году.
В утёкшие данные входят
• Имена пользователей и имена профилей
• Адреса электронной почты
• Номера телефонов
• Даты создания аккаунтов
• Метрики подписчиков/подписок
• Статистика «лайков» и контента
• Рейтинги создателей/фанатов
• Профили в социальных сетях, связанные с аккаунтом
• Частичные метаданные платёжных карт (последние 4 цифры карты)
@linux_education
❤4🔥1
🌐 Умный DNS-резолвер Numa
Numa - это портативный DNS-резолвер, который работает из одного бинарного файла. Он блокирует рекламу, позволяет настраивать локальные сервисы и шифрует запросы с помощью ODoH, обеспечивая вашу конфиденциальность. Все функции встроены, без необходимости в облачных сервисах.
🚀 Основные моменты:
- Портативный, работает на любом устройстве.
- Блокировка рекламы и кэширование по умолчанию.
- Поддержка DNSSEC и DNS-over-TLS для шифрования.
- Автоматическое обнаружение устройств в локальной сети.
- Легкий в использовании интерфейс и настройка.
📌 GitHub: https://github.com/razvandimescu/numa
@linux_education
Numa - это портативный DNS-резолвер, который работает из одного бинарного файла. Он блокирует рекламу, позволяет настраивать локальные сервисы и шифрует запросы с помощью ODoH, обеспечивая вашу конфиденциальность. Все функции встроены, без необходимости в облачных сервисах.
🚀 Основные моменты:
- Портативный, работает на любом устройстве.
- Блокировка рекламы и кэширование по умолчанию.
- Поддержка DNSSEC и DNS-over-TLS для шифрования.
- Автоматическое обнаружение устройств в локальной сети.
- Легкий в использовании интерфейс и настройка.
📌 GitHub: https://github.com/razvandimescu/numa
@linux_education
👍2🔥2❤1
🚨 Джейлбрейкнутый Gemini помогал красть админки и крипту
Cyber Security News разобрали кейс русскоязычного хакера bandcampro, который с 2021 года вёл MAGA/QAnon-инфраструктуру, ломал WordPress-админки и использовал Gemini как рабочий инструмент.
Он управлял Telegram-каналом americanpatriotus, где выдавал себя за американского военного ветерана. Канал набрал около 17 000 подписчиков и использовался для политического влияния, крипто-схем и развода аудитории.
Gemini применяли для:
- генерация MAGA/QAnon-постов
- чистка текстов от русскоязычных следов
- планирование публикаций под американское время
- подбор вариантов паролей для WordPress
- помощь с C2-инфраструктурой
- автоматизация фейкового криптокошелька
По отчёту, связка Gemini и купленных infostealer-логов помогла взломать 29 WordPress-админок. Позже через Telegram продвигали фейковый кошелёк StellarMonster, который собирал seed-фразы. Подтверждён минимум один опустошённый криптокошелёк.
Операция почти ничего не стоила. Актор крутил 73 предположительно украденных Gemini API-ключа, а ротатор для них, по данным исследователей, тоже помог написать Gemini.
Один человек с VPS, Telegram-каналом и ворованными API-ключами теперь может собрать небольшую фабрику влияния, фишинга и credential theft без команды и больших затрат.
cybersecuritynews.com/russian-hacker-used-jailbroken-gemini/
@linux_education
Cyber Security News разобрали кейс русскоязычного хакера bandcampro, который с 2021 года вёл MAGA/QAnon-инфраструктуру, ломал WordPress-админки и использовал Gemini как рабочий инструмент.
Он управлял Telegram-каналом americanpatriotus, где выдавал себя за американского военного ветерана. Канал набрал около 17 000 подписчиков и использовался для политического влияния, крипто-схем и развода аудитории.
Gemini применяли для:
- генерация MAGA/QAnon-постов
- чистка текстов от русскоязычных следов
- планирование публикаций под американское время
- подбор вариантов паролей для WordPress
- помощь с C2-инфраструктурой
- автоматизация фейкового криптокошелька
По отчёту, связка Gemini и купленных infostealer-логов помогла взломать 29 WordPress-админок. Позже через Telegram продвигали фейковый кошелёк StellarMonster, который собирал seed-фразы. Подтверждён минимум один опустошённый криптокошелёк.
Операция почти ничего не стоила. Актор крутил 73 предположительно украденных Gemini API-ключа, а ротатор для них, по данным исследователей, тоже помог написать Gemini.
Один человек с VPS, Telegram-каналом и ворованными API-ключами теперь может собрать небольшую фабрику влияния, фишинга и credential theft без команды и больших затрат.
cybersecuritynews.com/russian-hacker-used-jailbroken-gemini/
@linux_education
This media is not supported in your browser
VIEW IN TELEGRAM
Ночью сервер сломался, конфиг «никто не трогал», а деплой «точно не виноват»?
Есть простая команда:
find /etc -mtime -1 -type f
Она покажет все файлы в /etc, которые менялись за последние 24 часа.
Нужно проверить сайт - меняешь /etc на /var/www.
Когда все говорят «это не я», find быстро показывает, что реально трогали.
@linux_education
Есть простая команда:
find /etc -mtime -1 -type f
Она покажет все файлы в /etc, которые менялись за последние 24 часа.
Нужно проверить сайт - меняешь /etc на /var/www.
Когда все говорят «это не я», find быстро показывает, что реально трогали.
@linux_education
👍6❤2🔥1