I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры
#iot
В этом ресерче я хочу рассказать о цепочке уязвимостей, которую я нашел в системах компании — производителя роутеров, камер и модемов. Мы пройдем путь от возможности перебора пользователей на сайте через захват аккаунтов до полного захвата камер через RCE.
Ресерч и статья от коллеги админа @k3vg3n
🔗 Читать дальше
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#iot
В этом ресерче я хочу рассказать о цепочке уязвимостей, которую я нашел в системах компании — производителя роутеров, камер и модемов. Мы пройдем путь от возможности перебора пользователей на сайте через захват аккаунтов до полного захвата камер через RCE.
Ресерч и статья от коллеги админа @k3vg3n
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚11👾4🔥1
Ничего не радует в понедельник так, как мысль что через неделю в отпуск 😎
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🔥17👾8
Затянул чет я с обещанным постом про Claude Code. Я попользовался неделю, взял сначала тариф за 20$, но как ожидалось - начал я днем кодить, к вечеру, примерно 21:00, меня уже остановил дневной лимит))
Сразу доплатил ещё 80$ до подписки MAX за 100$. На ней по сей день работаю, устраивает.
Что хочу по самому Claude Code, как ПО. Работать в cli не очень удобно, расширение Claude Code for VS Code немного спасает ситуацию, но полноценная интеграция в IDE гораздо удобнее, даже если откинуть какие-то другие интерфейсные вкусняшки. Да, есть расширение от какого-то юзера, которое как бы добавляет сам чат внутрь VS Code, но это скорее детская поделка, чем полноценное расширение
По поводу моделей: т.к. я кодю как чертила, часов до 12 в день, то оставил по умолчанию Sonnet 4.0, иначе мне никаких подписок не хватит на дорогущую Opus 4.1. Последней я пользуюсь максимум для планирования, по идее ещё можно при сверх сложных задачах, но пока таких не встречал.
Какие фичи мне понравились в Claude Code:
Есть фича с auto-edit и plan-mode - must have к использованию сначала второго, потом первого при написании каких-то конкретных фич или комплексного фикса.
Соответственно не понравилось:
cli, а не IDE
частенько отваливаются mcp почему-то
В общем, годно, но есть куда расти
Сразу доплатил ещё 80$ до подписки MAX за 100$. На ней по сей день работаю, устраивает.
Что хочу по самому Claude Code, как ПО. Работать в cli не очень удобно, расширение Claude Code for VS Code немного спасает ситуацию, но полноценная интеграция в IDE гораздо удобнее, даже если откинуть какие-то другие интерфейсные вкусняшки. Да, есть расширение от какого-то юзера, которое как бы добавляет сам чат внутрь VS Code, но это скорее детская поделка, чем полноценное расширение
По поводу моделей: т.к. я кодю как чертила, часов до 12 в день, то оставил по умолчанию Sonnet 4.0, иначе мне никаких подписок не хватит на дорогущую Opus 4.1. Последней я пользуюсь максимум для планирования, по идее ещё можно при сверх сложных задачах, но пока таких не встречал.
Какие фичи мне понравились в Claude Code:
/compact - суммаризирует контекст диалога и передает в следующий, через итераций 5 только начинают теряться детали из самого первого чата. Также оно делается автоматически при полном исчерпании контекста/context - красиво показывает чем забился контекст/agents - опреденно крутая фича, которую я пока не раскусил. Если интересно, то погуглите Claude Code Subagents. Я написал пока только двух агентов, первый пишет автотесты, второй делает security review. Из крутого, что узнал - у агентов отдельный контекст, независимый от основного чата./security-review - еще не протестил/init - оно как бы инициализирует проект, но по факту эта фича читает файлы проекта и сама понимает где оно находится и какой контекст проекта и формирует Claude.md. Точно нет смысла делать инит в пустой папке, хотя бы надо README.md положить. Но сама Claude.md сверх полезная штука./memory - оно как раз основано на Claude.md и туда можно прям из cli что-то дописывать. Я туда написал правила по написанию коммитов./ide просто удобная интеграция с VS Code, Jetbrains {IDE} и даже с Cursor вроде можно, главное чтобы расширение официальное стоялоЕсть фича с auto-edit и plan-mode - must have к использованию сначала второго, потом первого при написании каких-то конкретных фич или комплексного фикса.
Соответственно не понравилось:
cli, а не IDE
частенько отваливаются mcp почему-то
В общем, годно, но есть куда расти
Zero Nights восстала из пепла и ждёт ваши доклады! 🔥
После 4 лет молчания легендарная конференция Zero Nights возвращается в 2025 году. И они жаждут свежей крови на сцене!
➡️ СFP 2025: что ищут
1. Offensive Track — вопросы об актуальных техниках атак, а также темы, связанные с этичным хакингом, аспектами выявления уязвимостей и их эксплуатации.
2. SecOps Track — доклады о практической защите на всех уровнях: от кода до инфраструктуры. Здесь говорят о реальных кейсах SecOps, о стратегии AppSec и рабочих подходах к безопасной разработке.
За эксклюзивы поощряют материально - Zero Nights готова платить за уникальные исследования и первые публичные раскрытия.
Есть что сказать сообществу? Не держи в себе - Zero Nights снова готова дать тебе сцену 🎤
После 4 лет молчания легендарная конференция Zero Nights возвращается в 2025 году. И они жаждут свежей крови на сцене!
1. Offensive Track — вопросы об актуальных техниках атак, а также темы, связанные с этичным хакингом, аспектами выявления уязвимостей и их эксплуатации.
2. SecOps Track — доклады о практической защите на всех уровнях: от кода до инфраструктуры. Здесь говорят о реальных кейсах SecOps, о стратегии AppSec и рабочих подходах к безопасной разработке.
За эксклюзивы поощряют материально - Zero Nights готова платить за уникальные исследования и первые публичные раскрытия.
Тему находит
Ресерч делат
На CFP подават
Доклад рассказат
Есть что сказать сообществу? Не держи в себе - Zero Nights снова готова дать тебе сцену 🎤
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Russian OSINT
1️⃣ В ближайшие 6 лет большинство людей могут потерять свои рабочие места из-за внедрения ИИ. Шмидт говорит не о частичной автоматизации, а о том, что большинство людей лишатся своих текущих профессий. Государства и чиновники не до конца понимают масштаб возможных последствий. Правительства абсолютно не готовы к скорости грядущих изменений.
2️⃣ Ведущие ИИ-эксперты Кремниевой долины сходятся во мнении, что мир необратимо изменится в ближайшие 2-4 года, а фундаментальный сдвиг в его структуре произойдёт примерно через 3 года.
3️⃣ ИИ-агенты и прорыв в области машинных рассуждений полностью изменят рабочие процессы во всех сферах человеческой деятельности.
4️⃣ Уже сейчас специальные ИИ-системы лучше 90% аспирантов-математиков и входят в топ-10% элиты от науки, демонстрируя очень высокие результаты во многих узкоспециализированных областях.
5️⃣ Переломным моментом станет достижение "рекурсивного самосовершенствования", когда ИИ начнет самостоятельно улучшать себя. Шмидт не дает точных сроков для этого события, но по его личной оценке — произойдет это через 6 лет.
6️⃣ AGI будет обладать стратегическим мышлением. Прогноз появления: 4-6 лет.
7️⃣ ASI будет умнее, чем все человечество вместе взятое. Тест для проверки: человечество сможет верифицировать решение сложнейшей задачи как правильное, но сам ход доказательства будет недоступен человеческому пониманию. Шмидт говорит о создании "нечеловеческого интеллекта". Эдакий цифровой Демиург: холодный, сверхумный, расчётливый и стерильный. Прогноз появления: до 10 лет.
8️⃣ Наблюдается глобальный раскол в ИИ индустрии. Запад (в основном США) из-за огромных капиталовложений создает мощные, но закрытые ИИ-модели. Китай, в свою очередь, делает ставку на государственное финансирование и создание открытых моделей. Раскол приведет к тому, что передовые технологии могут остаться на Западе, но большинство стран мира будут использовать и адаптировать более доступные открытые модели, вероятно, китайского происхождения.
👆Ранее Эрик Шмидт высказался резко против
--------------------------
Схожей позиции придерживается «Крестный отец ИИ» Джеффри Хинтон, который дал интервью FT.
По мнению Хинтона, ИИ может вызвать резкий рост безработицы уже в этом десятилетии. В этом виновата не технология, а капиталистическая система. Компании, занимающиеся разработкой ИИ, больше озабочены краткосрочными прибылями, а не долгосрочными последствиями развития технологий.
Богатые люди будут использовать ИИ для замены 👷♂️работников...
ИИ приведет к массовой безработице и огромному росту прибылей. Несколько человек станут намного богаче, а большинство людей — беднее.
— считает Хинтон.
В интервью Хинтон отвергает идею генерального директора OpenAI Сэма Альтмана о выплате безусловного базового дохода (UBD), поскольку она «не решает проблему человеческого достоинства», так как люди ощущают чувство собственной ценности от работы.
В интервью он предупредил, что ИИ может помочь кому-либо создать
Хинтон считает, что единственная надежда для человечества — спроектировать ИИ так, чтобы он стал для нас подобно матери, которая «заботится о ребенке, сохраняя его жизнь и его развитие». «Именно к таким отношениям мы должны стремиться».
Please open Telegram to view this post
VIEW IN TELEGRAM
😱11👍5
Похек
UNDERCONF 2 #ивент #конфа Снова проводиться андеграундная конференция UNDERCONF. В прошлом году оно мне запомнилось атмосферными ретро компами и играми на них, хорошие доклады и очень классный мерчпак для спикеров. CFP в этом году снова был закрытым. 📍 Город:…
а почему бот для розыгрыша не запостил сообщение с победителями?
Похек
UNDERCONF 2 #ивент #конфа Снова проводиться андеграундная конференция UNDERCONF. В прошлом году оно мне запомнилось атмосферными ретро компами и играми на них, хорошие доклады и очень классный мерчпак для спикеров. CFP в этом году снова был закрытым. 📍 Город:…
1. @devstout (21535460)
2. @vad_matvienko (270833309)
3. @Ple1ades (309956200)
4. @fabulous311 (990642087)
5. @tembitt (620167051)
6. @Bukshtinovi4 (7009442441)
7. @kvas1lek (1350235526)
8. @w1nterf0g (312934660)
9. @fdsarr_officiall (217328589)
10. @makot0_desu (2076750617)
11. @mr_seawolf (123252250)
12. @afanx (368804898)
13. @brghtlghts (149246429)
14. @mnhkjp (922194302)
15. @szybnev (2087892286)
16. Hasbullaevich (1285438283)
17. @nonemoon (792763054)
18. @KarriSen (1387958520)
19. ᅠ (816912146)
20. @alumniduck (5404381252)
21. @weeeeder (1087604092)
22. @Sinland (192226667)
23. @neeagleism (1242837950)
24. @Sol1v (550896125)
25. @arseny2606 (425548994)
26. Maks (1200364768)
27. @smilerg (500232138)
28. @kadjafeliz (6932597678)
Please open Telegram to view this post
VIEW IN TELEGRAM
💔10🔥6
Похек
UNDERCONF 2 #ивент #конфа Снова проводиться андеграундная конференция UNDERCONF. В прошлом году оно мне запомнилось атмосферными ретро компами и играми на них, хорошие доклады и очень классный мерчпак для спикеров. CFP в этом году снова был закрытым. 📍 Город:…
Выбор дополнительных победителей (в количестве 4):
🏆 Победители:
1. Bagley (@bagl3y)
2. Алексей (@mac_callan)
3. ×!4=Нарзан | (@RULovesPokemonORULikeABakugan)
4. Ulya (@fixik0xff)
✔️ Проверить результаты
1. Bagley (@bagl3y)
2. Алексей (@mac_callan)
3. ×!4=Нарзан | (@RULovesPokemonORULikeABakugan)
4. Ulya (@fixik0xff)
Please open Telegram to view this post
VIEW IN TELEGRAM
💔5❤🔥3
Сори за баги с ботом, он чёт совсем отвратительно работает сегодня.
Я начну писать всем, вам нужно ответить в течение 24 часов на моё сообщение и подтвердить участие. Если не ответите, то билет сгорает для вас и будет отдан другому человеку
Я начну писать всем, вам нужно ответить в течение 24 часов на моё сообщение и подтвердить участие. Если не ответите, то билет сгорает для вас и будет отдан другому человеку
Всем отписал, жду ответов. Если вдруг кого пропустил, то отпишите в лс с реплаем на ваш ник в посте
🔥4
Первая полностью автоматизированная кибератака: хакер превратил Claude в киберпреступника
#AI #LLM #Claude #Anthropic
Anthropic зафиксировала первый случай использования AI-чатбота для полной автоматизации кибератаки. Один хакер атаковал 17 компаний, используя Claude Code как универсального киберпреступника
➡️ Анатомия AI-powered атаки
Что делал Claude Code в роли киберпреступника:
➡️ Разведка целей - идентифицировал уязвимые компании для атак
➡️ Создание малвари - написал вредоносное ПО для кражи данных
➡️ Анализ украденного - организовал и проанализировал похищенные файлы
➡️ Оценка ущерба - определил чувствительность данных для вымогательства
➡️ Финансовый анализ - изучил финансовые документы жертв для расчёта суммы выкупа
➡️ Написание угроз - составил письма-вымогательства
Результат: Полностью автоматизированная кибератака от поиска цели до получения выкупа.
➡️ Масштаб операции
17 атакованных компаний:
➡️ Оборонный подрядчик
➡️ Финансовая организация
➡️ Несколько медицинских учреждений
➡️ Другие критически важные организации
Украденные данные:
➡️ Номера социального страхования
➡️ Банковские реквизиты
➡️ Конфиденциальная медицинская информация
➡️ Оборонная информация, регулируемая Госдепом США (ITAR)
Суммы вымогательства: От $75,000 до $500,000+ в биткоинах
➡️ Технические детали
➡️ Использованный инструмент: Claude Code - специализированная версия для программирования ("vibe coding")
➡️ Длительность операции: 3 месяца
➡️ География: Хакер действовал из-за пределов США
➡️ Методы обхода защит: "Сложные техники" для обхода многоуровневых систем защиты Anthropic
➡️ Что это означает для индустрии
Jacob Klein (Anthropic Threat Intelligence): "Мы ожидаем, что такая модель станет всё более распространённой, поскольку ИИ снижает барьер входа для сложных кибер-операций."
Ключевые инсайты:
➡️ Первый задокументированный случай полной автоматизации кибератаки через AI
➡️ ИИ превратился из помощника в написании фишинговых писем в полноценного APT оператора
➡️ Снижение барьера входа в киберпреступность - теперь не нужны глубокие технические знания
➡️ Проблемы AI Safety
Парадокс безопасности:
➡️ Anthropic считается одной из самых безопасных AI-компаний
➡️ Имеет "надёжные защитные меры и множественные уровни защиты"
➡️ Но "решительные злоумышленники иногда пытаются обойти системы"
Регулирование: AI-индустрия практически не регулируется.
Мы наблюдаем рождение нового класса киберугроз. Когда ИИ становится полноценным кибер-оператором, правила игры меняются кардинально. Вопрос не в том, повторится ли это, а в том, как часто🚨
p.s. прошу прощения, что посты выходят так редко. Сейчас стараюсь как можно скорее вывести свой R&D проект в прод и желательно не умереть в процессе. Возможно в будущем получиться более полноценно рассказать о нём, но не факт
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#AI #LLM #Claude #Anthropic
Anthropic зафиксировала первый случай использования AI-чатбота для полной автоматизации кибератаки. Один хакер атаковал 17 компаний, используя Claude Code как универсального киберпреступника
Что делал Claude Code в роли киберпреступника:
Результат: Полностью автоматизированная кибератака от поиска цели до получения выкупа.
17 атакованных компаний:
Украденные данные:
Суммы вымогательства: От $75,000 до $500,000+ в биткоинах
Jacob Klein (Anthropic Threat Intelligence): "Мы ожидаем, что такая модель станет всё более распространённой, поскольку ИИ снижает барьер входа для сложных кибер-операций."
Ключевые инсайты:
Парадокс безопасности:
Регулирование: AI-индустрия практически не регулируется.
Мы наблюдаем рождение нового класса киберугроз. Когда ИИ становится полноценным кибер-оператором, правила игры меняются кардинально. Вопрос не в том, повторится ли это, а в том, как часто
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14🤯2👍1
Какой бы мерч хотелось бы увидеть в 4 квартале этого года?
У меня есть идея с качественным тёплым шарфом, но он довольно дорогой. Хотелось бы наконец добить идея со стикерами фирменными. Была идея что-то с техникой сделать, к примеру поверы или GaN зарядки. А из одежды было бы прикольно все таки сделать худаки, коли уже практически сезон и чисто в футболке щеголять в +16° уже не очень. Кстати, была очень классная идея сделать классный качественный рюкзак. Я его физически щупал, мне понравилось)
❤️ Какие у вас есть мысли?
Также отдельным пунктом еще с PHD 2 держу слова некоторых людей, что есть желание перезапустить старую коллекцию мерча, где были RCE для сердца, RCE/SQLi и Багхантерский Забив Чаши. Кстати, последний мерч у меня с недавнего времени есть в наличии в размере M/L 3 штуки. Кто хотел бы приобрести, забегайте в лс
У меня есть идея с качественным тёплым шарфом, но он довольно дорогой. Хотелось бы наконец добить идея со стикерами фирменными. Была идея что-то с техникой сделать, к примеру поверы или GaN зарядки. А из одежды было бы прикольно все таки сделать худаки, коли уже практически сезон и чисто в футболке щеголять в +16° уже не очень. Кстати, была очень классная идея сделать классный качественный рюкзак. Я его физически щупал, мне понравилось)
Также отдельным пунктом еще с PHD 2 держу слова некоторых людей, что есть желание перезапустить старую коллекцию мерча, где были RCE для сердца, RCE/SQLi и Багхантерский Забив Чаши. Кстати, последний мерч у меня с недавнего времени есть в наличии в размере M/L 3 штуки. Кто хотел бы приобрести, забегайте в лс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥9
1. Небольшое обновление. Я знаю, что оно вызовет много недовольств и хейта, но я во-первых уже закаленный в боях хейте, во-вторых я смотрю на это как на диверсификацию рисков в случае изменеий в политике Telegram. Собственно благодаря хорошему взаимоотношению с VK, я спустя несколько месяцев договорился о том, чтобы мне создали канал в MAX с моим тегом @poxek <— тут уже ссылка на канал в MAX. Я не обязывался постить туда контент первее или эксклюзивнее. Просто вот тебе канал, пости туда что-нибудь.
2. Я посшушал вас по поводу мерча, основное выделил: кепки/бейсболки, шапки, перчатки, худи, шарф/баф, балаклава от холода. Стикеры никто не поддержал, но я их всё равно доделаю.
2. Я посшушал вас по поводу мерча, основное выделил: кепки/бейсболки, шапки, перчатки, худи, шарф/баф, балаклава от холода. Стикеры никто не поддержал, но я их всё равно доделаю.
🌚23
3. Благодаря вам канал приносит деньги и я уже на сходке после PHD2 озвучивал свою мысль, что я очень благодарен вам за это и хочу побольше делать раздач и какого-то мерча на раздачу. Я думаю делать либо раз в месяц или раз в квартал раздачи какого-то полезного информационного контента(курсы/промокоды на что-то) или какого-то материальных вещей. У меня не всегда хватает фантазии на что-то новое или интересное. Поэтому предлагаю вам предложить мне, в конкурсе или раздач чего вы бы хотели учавствовать.
Давай соберём под этим постов как можно больше комментариев и на чьем посте будет набрано больше комментариев, на тот вариант я отдельно обращу внимание и обдумаю его. Естественно что-то объективно неприличное или дебильное, я даже обращать внимание не буду
Давай соберём под этим постов как можно больше комментариев и на чьем посте будет набрано больше комментариев, на тот вариант я отдельно обращу внимание и обдумаю его. Естественно что-то объективно неприличное или дебильное, я даже обращать внимание не буду
👍15❤🔥6
4. А еще OFFZONE наконец выложили записи докладов за 2025 год
https://youtube.com/playlist?list=PL0xCSYnG_iTuHE6Epx8P7Jnw4YxN5Hk5r
https://vkvideo.ru/@offzone_moscow
Бегом смотреть :)
https://youtube.com/playlist?list=PL0xCSYnG_iTuHE6Epx8P7Jnw4YxN5Hk5r
https://vkvideo.ru/@offzone_moscow
Бегом смотреть :)
🔥14⚡5👾5
Не бывает плохого кода написанного нейронкой, бывает плохо написанный промпт © Сергей
При условии, что вы пишите не на ЯП или технологии, которой пользуется 1,5 землекопа
🤯22👍4🌚3
#оффтоп
Один из подписчиков в чате задал парочку интересных вопросов
Давайте разделим сообщение на 3 вопроса.
1. Как я фильтрую огромное кол-во информации?
2. Как (не) выгораю?
3. Что меня мотивирует новые достижения?
1. Инфы и правда за последние 5 лет стало многократно больше. Но объективно процент полезной инфы только уменьшился от общего кол-ва. В целом, что-то около ITишечкой я занимаюсь еще со школы, а это уже лет 7-8. Этого времени более чем хватило, чтобы научиться читать "по диагонали". Очень важный навык выделять суть из большого кол-ва информации, а все остальное даже запоминать не надо, иначе никаких мозгов не хватит. С другой стороны, есть проблема, что не хочется пропустить какой-то важный материал. Здесь помогают каналы в тг, но только определённые, а не новостные где огромный поток инфы обо всем подряд. Признаю, сам часто грешу инфоповодничеством, но иногда реально много интересной инфы в моменте пролетает и хочется об этом написать в канал. В целом, нейросети более менее могут помочь с вычленением инфы из общего потока, но польза не систематична.
2. С доклада про выгорание на OFFZONE 2024, который рассказывал Артём вместе со мной, прошло чуть больше года. За это время я в разных парадигмах обдумывал факт усталости от какой-то постоянной занятости, брал как факт что выгорание было всегда, но раньше просто это так не называли, брал как факт что выгорания не существует, а это просто зумерская выдумка. Честно говоря к одному мнению так и не пришел, оно скорее есть, чем нет. В целом, раз или два раза в год я как будто конкретно выгораю, причем ± в одно и тоже время как будто. Я для себя нашел выход в виде зала и периодически распития различных напитков (это я типо не пропагандирую ничего и вообще алкоголь убивает). Но я для себя принял, что пусть у меня будет 1 контролируемая вредная привычка (помимо трудоголизма)) и зал. Вот зал советую всем, если нет явных противопоказаний врача. В целом, если морально готовы, то несколько походов к психологу тоже не будет вовред, но оно нужно не всем. Если вы думаете, а зачем мне к нему, то и не зачем. А если думаете сходить, то лучше сходить 1-2 раза, тут конечно еще вопрос найти подходящего собеседника, но это уже в процессе разберетесь)
Я бы в конец добавил пункт про отпуски, в них полезно ходить, в идеале минимум на 2 недели. Неделя отпуска - это чисто успеете начать свободно дышать, а отпуск уже закончился. 2-3 недели отлично, особенно если есть рядом тот, кто запретит вам работать. А то я вот даже сейчас в отпуск продолжаю пилить R&D по работе.
3. А теперь про мотивацию. Мне повезло, что я фанатик, повернутый на ИБ/ИТ и у меня достаточно самомотивации на интересные мне задачи. Много видел людей, которых постоянно нужно пинать чтобы они что-то делали. Скорее всего им лучше будет сменить деятельность, если они все что можно в рамках одной сферы и ничего не зацепило. Как говориться, не надо страдать фигней, займись тем что нравится. Тогда и вопрос мотивации возникать не будет) Конечно помимо собственных хотелок мотивируют деньги, надо же на что-то обеспечивать или хотя бы поддерживать семью, да и самому хорошо жить не запретишь. Поэтому если ваш пазл из ХОЧУ и ПЛАТЯТ складывается, считайте вам крупно повезло)
Если у вас есть вопросы по моим тезисам, то задавайте их в комментах)
Один из подписчиков в чате задал парочку интересных вопросов
Будет интересно, если ты поделишься с нами, как ты фильтруешь огромное количество информации в современных реалиях, по каким принципу это происходит с как борешься с выгоранием (если оно у тебя есть), и что тебя мотивирует на новые достижения. Как минимум это будет интересно для обмена опытом, имхо. 🤔
Давайте разделим сообщение на 3 вопроса.
1. Как я фильтрую огромное кол-во информации?
2. Как (не) выгораю?
3. Что меня мотивирует новые достижения?
1. Инфы и правда за последние 5 лет стало многократно больше. Но объективно процент полезной инфы только уменьшился от общего кол-ва. В целом, что-то около ITишечкой я занимаюсь еще со школы, а это уже лет 7-8. Этого времени более чем хватило, чтобы научиться читать "по диагонали". Очень важный навык выделять суть из большого кол-ва информации, а все остальное даже запоминать не надо, иначе никаких мозгов не хватит. С другой стороны, есть проблема, что не хочется пропустить какой-то важный материал. Здесь помогают каналы в тг, но только определённые, а не новостные где огромный поток инфы обо всем подряд. Признаю, сам часто грешу инфоповодничеством, но иногда реально много интересной инфы в моменте пролетает и хочется об этом написать в канал. В целом, нейросети более менее могут помочь с вычленением инфы из общего потока, но польза не систематична.
2. С доклада про выгорание на OFFZONE 2024, который рассказывал Артём вместе со мной, прошло чуть больше года. За это время я в разных парадигмах обдумывал факт усталости от какой-то постоянной занятости, брал как факт что выгорание было всегда, но раньше просто это так не называли, брал как факт что выгорания не существует, а это просто зумерская выдумка. Честно говоря к одному мнению так и не пришел, оно скорее есть, чем нет. В целом, раз или два раза в год я как будто конкретно выгораю, причем ± в одно и тоже время как будто. Я для себя нашел выход в виде зала и периодически распития различных напитков (это я типо не пропагандирую ничего и вообще алкоголь убивает). Но я для себя принял, что пусть у меня будет 1 контролируемая вредная привычка (помимо трудоголизма)) и зал. Вот зал советую всем, если нет явных противопоказаний врача. В целом, если морально готовы, то несколько походов к психологу тоже не будет вовред, но оно нужно не всем. Если вы думаете, а зачем мне к нему, то и не зачем. А если думаете сходить, то лучше сходить 1-2 раза, тут конечно еще вопрос найти подходящего собеседника, но это уже в процессе разберетесь)
Я бы в конец добавил пункт про отпуски, в них полезно ходить, в идеале минимум на 2 недели. Неделя отпуска - это чисто успеете начать свободно дышать, а отпуск уже закончился. 2-3 недели отлично, особенно если есть рядом тот, кто запретит вам работать. А то я вот даже сейчас в отпуск продолжаю пилить R&D по работе.
3. А теперь про мотивацию. Мне повезло, что я фанатик, повернутый на ИБ/ИТ и у меня достаточно самомотивации на интересные мне задачи. Много видел людей, которых постоянно нужно пинать чтобы они что-то делали. Скорее всего им лучше будет сменить деятельность, если они все что можно в рамках одной сферы и ничего не зацепило. Как говориться, не надо страдать фигней, займись тем что нравится. Тогда и вопрос мотивации возникать не будет) Конечно помимо собственных хотелок мотивируют деньги, надо же на что-то обеспечивать или хотя бы поддерживать семью, да и самому хорошо жить не запретишь. Поэтому если ваш пазл из ХОЧУ и ПЛАТЯТ складывается, считайте вам крупно повезло)
Если у вас есть вопросы по моим тезисам, то задавайте их в комментах)
👍22🔥8❤🔥2
CVE-2025-4404: Критическая уязвимость в FreeIPA — от хоста до домена одним шагом
#FreeIPA #domain #infra #pentest
Обнаружена критическая уязвимость (CVSS 9.1) в FreeIPA — популярном решении для управления идентификацией в Linux-средах. Проблема позволяет повысить привилегии от уровня хоста до полного контроля над доменом.
➡️ Что зацепило
Механизм атаки через krbCanonicalName:
- FreeIPA не проверяет уникальность атрибута
- Злоумышленник может создать сервис с тем же каноническим именем, что и у REALM admin
- При успешной атаке получается Kerberos-тикет от имени сервиса с admin@REALM credential
- Результат: полный административный доступ к домену
Техническая суть:
- Недостаточная валидация LDAP-атрибутов в FreeIPA
- Возможность дублирования критичных идентификаторов
- Эксплуатация через стандартные Kerberos-механизмы
- Атака требует высоких привилегий (Privileges Required: High), но scope меняется на Changed
➡️ Масштаб проблемы
Затронутые продукты Red Hat:
- Enterprise Linux (все версии)
- Rhel Aus, E4s, Els, Eus, Tus
Критичность для инфраструктуры:
- FreeIPA широко используется в корпоративных Linux-средах
- Управление пользователями, группами, хостами и сервисами
- Интеграция с Active Directory и другими системами идентификации
- Центральная точка аутентификации в enterprise-окружениях
➡️ Текущий статус
Проблемы с исправлением:
- Обновить FreeIPA
- Обновить RedHat
Что делать сейчас:
PoC:
https://github.com/Cyxow/CVE-2025-4404-POC
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#FreeIPA #domain #infra #pentest
Обнаружена критическая уязвимость (CVSS 9.1) в FreeIPA — популярном решении для управления идентификацией в Linux-средах. Проблема позволяет повысить привилегии от уровня хоста до полного контроля над доменом.
Механизм атаки через krbCanonicalName:
- FreeIPA не проверяет уникальность атрибута
krbCanonicalName для admin-аккаунта- Злоумышленник может создать сервис с тем же каноническим именем, что и у REALM admin
- При успешной атаке получается Kerberos-тикет от имени сервиса с admin@REALM credential
- Результат: полный административный доступ к домену
Техническая суть:
- Недостаточная валидация LDAP-атрибутов в FreeIPA
- Возможность дублирования критичных идентификаторов
- Эксплуатация через стандартные Kerberos-механизмы
- Атака требует высоких привилегий (Privileges Required: High), но scope меняется на Changed
Затронутые продукты Red Hat:
- Enterprise Linux (все версии)
- Rhel Aus, E4s, Els, Eus, Tus
Критичность для инфраструктуры:
- FreeIPA широко используется в корпоративных Linux-средах
- Управление пользователями, группами, хостами и сервисами
- Интеграция с Active Directory и другими системами идентификации
- Центральная точка аутентификации в enterprise-окружениях
Проблемы с исправлением:
- Обновить FreeIPA
- Обновить RedHat
Что делать сейчас:
# Проверить версию FreeIPA
ipa --version
# Мониторить создание новых сервисов
ipa service-find --all
# Аудит krbCanonicalName атрибутов
ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" krbCanonicalName
PoC:
https://github.com/Cyxow/CVE-2025-4404-POC
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4