24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
В ядре Linux обнаружена новая 19-ти летняя уязвимость локального повышения привилегий CIFSwitch, которая позволяет подделывать описания ключей аутентификации CIFS, использовать механизм запроса ключей ядра и получать права root.
Проблема затрагивает несколько дистрибутивов Linux, в которых используются уязвимые комбинации ядра CIFS и утилит cifs-utils (версии 6.14 и выше, хотя некоторые более старые варианты также подвержены воздействию). Обнаружение приписывается инженеру по безопасности SpaceX.
CIFS (Common Internet File System) - это сетевой протокол, позволяющий получать доступ к файлам, папкам и устройствам в локальной сети. Linux использует его для монтирования, чтения и записи данных с удаленных систем.
Если для аутентификации в сетевой папке CIFS используется Kerberos, ядро Linux запрашивает аутентификацию у вспомогательной программы в пользовательском пространстве, при этом в качестве посредника выступает набор инструментов пользовательского пространства cifs-utils.
Ядро запрашивает ключ типа cifs.spnego, а стандартная конфигурация keyutils/request-key запускает cifs.upcall от имени root для получения или создания материалов Kerberos/SPNEGO.
Проблема заключается в том, что подсистема CIFS ядра Linux не может проверить, исходят ли запросы ключа cifs.spnego от клиента CIFS ядра.
В результате, непривилегированный пользователь может создать поддельный запрос cifs.spnego и запустить обычный процесс аутентификации.
Запрос ключа cifs.spnego используется подсистемой ключей Linux для получения данных аутентификации, необходимых клиенту CIFS/SMB при подключении к сетевому ресурсу с использованием аутентификации Kerberos/SPNEGO.
Уязвимость позволяет вспомогательной функции cifs.upcall с правами root доверять полям, контролируемым злоумышленником, которые, как она предполагает, были сгенерированы ядром.
Используя эти поля для принудительного переключения пространства имен, а затем инициируя поиск службы имен (NSS) до потери привилегий, локальный злоумышленник может загрузить вредоносный модуль NSS и добиться выполнения кода с правами root.
В свою очередь, Manizada опубликовала подробный технический отчет с объяснением причин проблемы и то, как ее можно использовать для получения прав root.
Эксплуатация зависит от нескольких факторов, таких как уязвимая версия ядра. К другим необходимым условиям относятся уязвимая версия cifs-utils, наличие пространств имен пользователей и политики SELinux/AppArmor, не блокирующие атаку.
Manizada подтвердила уязвимость следующих дистрибутивов при использовании конфигураций по умолчанию: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1 и SLES 15 SP7.
Различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.
Однако существуют также версии, такие как Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 и openSUSE Leap 16, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию уязвимости CIFSwitch.
Кроме того, Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 никак не затронуты, поскольку в их версиях cifs-utils отсутствует функциональность переключения пространств имен.
Проблема с CIFSwitch была исправлена с помощью патча ядра, который добавляет проверку источников запросов cifs.spnego (коммит 3da1fdf в основной ветке разработки), но точные версии ядра, в которых включен этот патч, различаются в зависимости от дистрибутива.
Исследователи рекомендуют пользователям отключать или добавлять в черный список модуль CIFS, если он не используется, удалять пакет cifs-utils, если он не нужен, и отключать пространства имен для непривилегированных пользователей.
Manizada опубликовала также демонстрационный PoC, который может помочь проверить эффективность примененных исправлений и мер по устранению уязвимостей.
👨💻 HTTP Security Headers.
• X-Content-Type-Options Header;
• Reflected File Download (RFD);
• CORS Deception;
• Clickjacking;
• XSS (Cross-Site Scripting);
• SSL/TLS Stripping (MITM);
• Cookie Hijacking;
• CSRF (Cross-Site Request Forgery);
• Information Disclosure Attacks;
• Cache-Control Header;
• Content-Disposition Header;
• Cross-Origin Resource Policy (CORP);
• Extra HTTP Header Injection;
• Content-Encoding Header;
• Access-Control-Allow-Origin Header;
• X-Rate-Limit and X-Forwarded Headers;
• X-Content-Type-Options Header;
• XSS and CSRF Protection;
• Content-Security-Policy (CSP).
#devsecops
• Принес вам очень объемную шпаргалку по инструментам направления DevOps. Вся информация представлена на русском языке и есть возможность скачать заметку в формате книги для дальнейшего изучения. Однозначно в избранное:
➡ https://github.com/Lifailon/DevOps.md
#DevOps #CheatSheet
• Китай модернизирует свою систему камер слежения за гражданами, внедряя в нее ИИ. Теперь камеры будут не только фиксировать происходящее, но и интерпретировать поведение людей - выявлять риски в реальном времени, предупреждать полицию и предотвращать инциденты до того, как они произойдут.
• С помощью ИИ система будет распознавать любое "аномальное" поведение: опасное вождение, скопление людей, попытку несанкционированного проникновения или признаки возможной подготовки к суициду (например, если человек слишком долго находится у моста). А также сможет определять пол человека, позу и одежду.
• Изменился и поиск по архивам. Операторам больше не нужно часами просматривать записи или иметь эталонное изображение. Достаточно текстового запроса вроде "женщина в красной шляпе", и система сама найдет подходящие фрагменты.
• До мыслепреступлений все ближе....
➡️ Источники [1], [2].
#Новости
• Ничего необычного, просто швейцарская стиральная машина, которая управляется перфокартами. Всякие ручки, сенсоры и мобильные приложения - это для маглов.
• Блок управления на такой машинке имеет специальный рычаг, который размыкает и замыкает контакты переключателей соответственно отверстиям на перфокарте. Т.е. отверстия и прорези управляют переключателями, которые активируют различные функции и режимы стиральной машины. К слову, такие стиралки придумали в 1949 году (76 лет назад).
#Разное #Оффтоп
Подвед Google, Mandiant сообщает о 0-day в KnowledgeDeliver, которая использовалась для развертывания веб-оболочек и бэкдоров.
Система управления обучением (LMS) KnowledgeDeliver, разработанная Digital Knowledge, широко используется для корпоративного и образовательного электронного обучения, главным образом в Японии.
0-day, отслеживаемая как CVE-2026-5426 (CVSS 7,5), существовала в виду того, что в развертываниях Digital Knowledge использовался стандартизированный файл web.config, содержащий жестко закодированные значения machineKey, которые используются платформой ASP.NET для шифрования и подписи данных.
Наличие жестко закодированных значений в независимых установках позволило злоумышленникам, знающим ключи, скомпрометировать другие развертывания, организовав атаки десериализации ViewState.
APP.NET ViewState сохраняет состояние страницы между обратными запросами. Когда известен machineKey, злоумышленник может создать вредоносную полезную нагрузку для ViewState. Отправив эту полезную нагрузку в HTTP-запросе, злоумышленник может заставить сервер десериализовать её.
Данный тип атаки не является новинкой и ранее наблюдался в ходе эксплуатации экземпляров Sitecore и развертываний CentreStack, а также в атаках с использованием фреймворка постэксплуатации Godzilla.
По данным Mandiant, эксплуатация нуля в KnowledgeDeliver также привела к развертыванию веб-оболочек Godzilla (также известных как Bluebeam).
Развертываемое в оперативной памяти, это вредоносное ПО позволяет злоумышленникам выполнять дополнительные команды и полезные нагрузки на зараженных машинах.
Злоумышленники использовали Godzilla для изменения прав доступа к каталогу веб-приложения, а также для модификации файла JavaScript приложения с целью загрузки вредоносного скрипта и отображения ложного предупреждения системы безопасности, предлагающего пользователю установить поддельный плагин.
В конечном итоге системы были заражены бэкдором Cobalt Strike. Поскольку полезная нагрузка была зашифрована ключом, содержащим название организации-жертвы, компания Mandiant считает, что бэкдор был подготовлен специально для этой организации.
Исследователи предоставили IOCs, связанные с атакой, и рекомендует отслеживать среды на предмет потенциальных вторжений. Организациям также рекомендуется менять ключи доступа к своим экземплярам и ограничивать доступ к LMS.
Все развертывания KnowledgeDeliver, осуществленные до 24 февраля 2026 года, подвержены 0-day и потенциально могут быть использованы злоумышленниками.
В результате атаки Megalodon на цепочку поставок заражено более 5500 репозиториев GitHub.
Фейковые автоматизированные коммиты внедряли в рабочие процессы GitHub Actions вредоносные ПО, содержащие полезные нагрузки для кражи учетных данных, секретов CI, ключей и токенов.
Как сообщают в SafeDep, вредоносные процессы были внедрены посредством более чем 5700 вредоносных коммитов, отправленных в затронутые репозитории в течение шести часов 18 мая. Злоумышленники использовали два вредоносных кода в рамках атаки.
Один был предназначен для добавления нового рабочего процесса, который запускался при каждом запросе на отправку и получение данных, а другой заменял существующие рабочие процессы определенными триггерами, создавая скрытые бэкдоры.
На зараженных машинах вредоносное ПО похищало все переменные среды CI, учетные данные AWS и Azure, токены доступа GCP, закрытые ключи SSH, конфигурации Docker и Kubernetes, ключи API, строки подключения к базам данных, токены GitHub Actions, токены GitLab CI/CD и десятки других типов секретов.
Megalodon был обнаружен после выявления вредоносных версий пакета Tiledesk, платформы для онлайн-чата и чат-ботов с открытым исходным кодом. Заражённые пакеты были опубликованы в период с 19 по 21 мая.
Исследователи SafeDep отметили: один и тот же аккаунт NPM, eljohnny (giovanni@tiledesk.com), опубликовал как чистую версию 2.18.5, так и скомпрометированную.
Злоумышленник не трогал аккаунт NPM. Он скомпрометировал репозиторий GitHub, и сопровождающий проекта опубликовал изменения из зараженного исходного кода, не подозревая об этом. Вредоносный коммит, приведший к заражению, был отправлен 18 мая пользователем build-bot.
Расследование SafeDep позволило выявить в общей сложности 2878 коммитов, сделанных в тот же день, а также еще 2841 коммит, сделанный через второй адрес электронной почты.
Все 5718 коммитов были внесены в один и тот же день: 18 мая 2026 года, в течение шестичасового окна примерно с 11:36 до 17:48 UTC, и были нацелены на 5561 различных репозиториев.
Выбор злоумышленниками вредоносного рабочего процесса GitHub Actions, а именно workflow_dispatch, гарантировал возможность активации скрытого бэкдора позднее через API GitHub с использованием украденных токенов.
Данный рабочий процесс не подпадает под действие правил GitHub по предотвращению рекурсии, которые запрещают запуск новых рабочих процессов с помощью событий, запускаемых токенами GitHub.
На прошлой неделе NPM аннулировала все токены доступа с возможностью записи, которые обходят двухфакторную аутентификацию, дабы предотвратить атаки на цепочку поставок, подобные Mini Shai-Hulud.
По данным Ox Security, это должно предотвратить взлом учетных записей, но не решает основную проблему, и вредоносный код будет продолжать распространяться через скомпрометированные репозитории.
Исследователи полагают, что если платформы продолжат разрешать загрузку любого типа кода без серьезной проверки, количество атак будет только расти. Отмечая, что мы вступили в новую эру атак на цепочки поставок, и взлом GitHub компанией TeamPCP был лишь началом.
Дальше сообщество ожидает бесконечная волна, или даже цунами кибератак на разработчиков по всему миру. Будем следить.
👩💻 Ansible: история создания одного из самых популярных инструментов автоматизации.
• В 1966 году американская писательница‑фантаст Урсула Ле Гуин в одной из своих книг (Планета Роканнона) написала об устройстве под названием Ansible - в книге этот прибор позволял мгновенно передавать информацию на астрономические расстояния. Спустя десятилетия, слово Ansible вырвалось из области научной фантастики и стало названием технологии, которая изменила подход к автоматизации ИТ‑инфраструктур.
• Пока мир фантастики жил сам по себе, инженеры ИТ‑инфраструктур искали способы автоматизировать рутинные задачи. Первые шаги в сторону автоматизации начались ещё в 90-х. В 1993 году появился CFEngine - первая масштабируемая система управления конфигурацией. За ней, спустя долгое время, последовали Puppet (2005), Chef (2009) и SaltStack (2011). Системы предлагали свои архитектурные решения, но все имели одну общую черту - работали по pull‑модели, при которой на каждом управляемом сервере (узле) необходимо устанавливать агент, чтобы тот периодически забирал конфигурации с центрального узла.
• Именно это и не устроило Михаэля Дехана. В 2012 году он создает Ansible - инструмент, работающий по push‑модели. Михаэль добивался максимальной простоты и гибкости - работа без агентов по стандартному SSH и конфигурация, описанная в виде YAML‑файлов. И ему это удалось, достаточно быстро инструмент оказался очень популярным. Уже через год Михаэль основал Ansible Inc., а через два выпустил Ansible Tower - серверное приложение с расширенным функционалом и веб‑интерфейсом, упрощающее использование Ansible в больших командах и корпоративной среде. Сотни компаний по всему миру, включая компании из Fortune 50, стали использовать Ansible.
• Успех не остался незамеченным, и в 2015 году Red Hat приобрела Ansible Inc, сделав его частью своей экосистемы.
• В 2017 году Red Hat сделала следующий шаг, открыв исходный код Ansible Tower под проектом AWX, который стал upstream‑проектом, а Ansible Tower постепенно влился в новую платформу — Red Hat Ansible Automation Platform (2019 год). Такая вот история...
#Разное #Ansible
• На хабре есть хороший чек-лист, включающий десять базовых правил по безопасности VDS.
• Все перечисленные в статье правила - это не набор «фишек для параноиков», а ваша уверенность в сохранности ваших данных. SSH-ключи, запрет root-доступа, закрытые порты, свежие пакеты, резервные копии и мониторинг логов не требуют сверхусилий, но именно они определяют, будет ли ваш сервер тихо работать годами или превратится в лёгкую цель для злоумышленников. Однозначно к прочтению:
➡ Читать статью [7 min].
#ИБ
• Нашел еще один очень крутой инструмент для работы с логами, который называется lnav.
• Вероятно, что данный инструмент окажется полезным для многих из вас, так как lnav является универсальным решением, которое значительно упрощает процесс анализа логов. Совокупность возможностей делает его незаменимым помощником для всех, кому приходится иметь дело с логами.
• Вот основные возможности lnav:
🟢Подсветка синтаксиса и темизация - подсветка синтаксиса делает логи более читаемыми, а возможность настроить тему позволяет адаптировать интерфейс под ваши предпочтения. Это важно при работе с большими файлами, где детали могут легко ускользнуть из-за ненадлежащего оформления.
🟢Определение логлевела - можно явно указывать логлевел для отображения, что помогает сосредоточиться на наиболее критичных записях и не отвлекаться на менее значимые.
🟢Множественные форматы логов - поддерживает одновременное отображение сразу нескольких файлов логов различного формата, что упрощает процесс анализа информации из различных источников и ведет к более полному пониманию происходящего.
🟢Работа с залогированными SQL запросами - при фильтрации lnav анализирует запросы SQL и выводит все строки, которые соответствуют фильтру, даже если запрос состоит из нескольких строк.
🟢Объединение записей по времени - даже если форматы времени в логах различны, lnav попытается их интерпретировать и отобразит записи на единой временной шкале
🟢Экспорт данных - после применения всех необходимых фильтров у вас есть возможность выделить блок строк, в том числе включающий данные из разных файлов и экспортировать эти данные в новый файл в формате текста, JSON или CSV.
🟢Создание собственных форматов лога - вы можете использовать специальный синтаксис, чтобы описать свой формат лога для разделения его по полям.
🟢Закладки и дополнительные возможности - lnav позволяет создавать закладки, что помогает быстро возвращаться к нужным участкам данных по аналогии с тем, как это работает в vim.
🟢Возможность неинтерактивной работы с lnav и создания скриптов для обработки данных - позволяет вам писать собственные скрипты для автоматизации анализа логов и обработки данных.
🟢Сохранение и загрузка сессий - в lnav можно сохранять сессии. Это позволяет сохранить текущее состояние просмотра логов, включая примененные фильтры, аннотации и все выполненные действия.
🟢Работа с пайпами и многое другое...
• Больше информации можно получить в официальной документации.
• Сам проект имеет открытый исходный код и доступен на github.
#Tools #DevOps
• В 1985 году, спустя год после основания проекта GNU, Ричард Столлман основал организацию Free Software Foundation для защиты разработчиков от компаний с сомнительной репутацией. Например, от тех, которые уличили в присвоении кода и которые пытались продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его коллегами.
• Философия фонда строится на 4 основных свободах:
➡Свобода запускать программу в любых целях (свобода 0).
➡Свобода изучения работы программы и ее адаптация к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
➡Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
➡Свобода улучшать программу и публиковать ваши улучшения, так что все общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.
• Программа свободна, если у ее пользователей есть 4 вышеупомянутых пункта. Все достаточно прозрачно и позитивно. Но здесь накладываются взаимоотношения между разработчиками в юридическом плане и в рамках государства. Свободная программа часто не значит «некоммерческая», она может быть доступна для коммерческого применения и распространения. Это правило фундаментально важно, без этого свободные программы не могли бы достичь своих целей.
• В англоязычных текстах free означает не только «свободное», но и «бесплатное». Оно нередко употребляется к бесплатному программному обеспечению, которое распространяется без взимания платы, но недоступно для изменения. Получается, такое ПО не является свободным. Кстати, чтобы устранить недоразумения, как раз и был придуман термин open source.
• Спустя 3 года после основания организации, Столлман представил первую версию лицензии GPL, в которой определялись юридические рамки модели распространения свободного программного обеспечения.
• В сентябре 2019 года Ричард Столлман покинул пост президента Фонда свободного программного обеспечения, а на его место в 2020 году избрали Джеффри Кнаута. В сентябре 2025 года Кнаута сменил Ян Келлинг.
• В рамках развития организации на мероприятии анонсировали проект LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об этой инициативе не приводятся. Ожидается, что проект позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение.
➡️ https://www.fsf.org/events/fsf40
#Разное
📘 На платформе Mentorix вышел курс — «Nginx на практике: от деплоя до production»
Практический курс по настройке Nginx для реальных задач: от базовой конфигурации до использования в production.
В курсе:
• настройка и конфигурация Nginx
• работа как reverse proxy
• SSL и HTTPS
• балансировка нагрузки
• подготовка конфигурации для production
Начать можно бесплатно — вводная часть курса доступна без оплаты.
Скидка действует 48 часов
👉 Пройти курс
😱 В США братья‑близнецы удалили 96 правительственных баз данных через несколько минут после увольнения.
• Два барата Муниб и Сохайб Ахтер уничтожили 96 правительственных баз данных в течение часа после того, как их уволили из компании, обслуживающей федеральные ведомства.
• В судебных документах не указана конкретная компания, в которой работали братья. Вероятно, речь идёт об Opexus - это IT‑подрядчик, который обслуживает более 45 федеральных ведомств.
• Все началось 18 февраля 2025 года, когда братьям направили встречу в Microsoft Teams и сообщили об увольнении. Встреча завершилась в 16:50, а уже через 5 минут, в 16:55, Сохайб попытался войти в корпоративную сеть, но его доступ был заблокирован. А вот учетная запись Муниба была активна - он смог зайти в систему и сразу же начал удалять все базы данных, к которым имел доступ. В 16:58 командой DROP DATABASE dhsproddb была уничтожена база Министерства внутренней безопасности. В 16:59 Муниб спросил у ИИ‑инструмента, как затереть логи SQL‑сервера после удаления баз.
• Забавно, что один из братьев решил записать их встречу еще до начала обсуждения об увольнении. HR сообщили новость братьям и вышли из сессии примерно через две с половиной минуты. Муниб и Сохайб не выключили запись, в результате чего в течение следующего часа Teams фиксировал, как братья обсуждают происходящее и дропают базы - судя по всему, они не заметили, что встреча всё ещё активна.
• Помимо удаления БД, Муниб скачал файл с 1,2 млн строк персональных данных - именами, адресами, телефонами и хешами паролей.
• Ну а теперь самое интересное: оба брата ранее уже были судимы за взлом систем Госдепартамента США и слив персональных данных. Тогда Муниб получил 39 месяцев, а Сохайб - 24. Именно это и стало причиной увольнения братьев - компания узнала о тюремных сроках братьев в феврале 2025 года и немедленно инициировала увольнение. Ну т.е. никто не проверял сотрудников, сидевших за взлом Гос. деп-а США, на наличие судимостей и просто трудоустроили их в компанию, дали доступ к правительственным БД, а потом уволили их через MS Teams не заблочив перед этим учетки...
• Итог: Ахтеров арестовали в декабре 2025 года. Сохайбу грозит до 21 года, а Мунибу до 45 лет... Как то так.
➡️ https://arstechnica.com/tech-policy
#Новости
• 20 лет назад мир увидел μTorrent - одно из самых популярных в мире приложений. С того момента сильно изменилась целевая аудитория программы. Если 20 лет назад им начали пользоваться гики, то сейчас через uTorrent могут качать сериалы наши мамы, папы, бабушки и дедушки и другие люди, кого и близко нельзя назвать экспертами в компьютерах.
• Символ "μ" в названии μTorrent означает «micro». Разработчик Людвиг Стригеус в 2004 году начал работать над эффективным BitTorrent-клиентом, который не стал бы использовать слишком много ресурсов.
• Стригеус работал над приложением в свободное время, но вскоре занялся другими делами, и проект застопорился. В сентябре 2005 года Стригеус к нему вернулся и уже спустя три дня представил первую версию μTorrent.
• Спустя считанные дни приложение заработало популярность среди пользователей Windows. За следующие несколько месяцев новым торрент-клиентом начали пользоваться сотни тысяч человек. К декабрю 2008 года им пользовались 28 миллионов человек, а к 2015 году их количество достигло 150 миллионов.
• За первый год работы с приложением Людвиг Стригеус сделал ряд ключевых нововведений, которые являются неотъемлемой частью BitTorrent-экосистемы. Это протокол DHT, позволяющий BitTorrent-клиентам находить друг друга без трекера, и шифрование BitTorrent.
• Новым приложением быстро заинтересовалась компания BitTorrent. Её глава Ашвин Навин поблагодарил Стригеуса за его инновации в 2006 году. Одной благодарностью дело не закончилось…
• 7 декабря 2006 года, спустя чуть более года после первого релиза, компания BitTorrent Inc. купила μTorrent после того, как сама получила новые вложения в очередном раунде финансирования. С помощью μTorrent компания хотела расширить базу пользователей. Поглощение повысило потенциал μTorrent, количество пользователей выросло, а Людвиг Стригеус стал техническим консультантом BitTorrent и занялся другим P2P-проектом — легальным стримингом музыки Spotify...
#Разное
🔎 Первый в мире поисковый движок.
• В ранние годы интернет-эры миллионы файлов хранились на тысячах анонимных FTP-сайтов. В этом многообразии пользователям было достаточно сложно обнаружить программу, подходящую для решения их задачи. Поэтому приходилось вручную просматривать FTP-хранилища, структура которых значительно отличалась. Именно эта проблема и привела к появлению одного из ключевых аспектов современного мира — интернет-поиска.
• Считается, что создателем первого поискового движка выступил Алан Эмтейдж. В 1989 году он работал в университете Макгилла в Монреале. Одной из его задач как администратора университетского факультета информационных технологий было нахождение программ для студентов и преподавателей. Чтобы облегчить себе работу и сэкономить время, Алан написал код, который выполнял поиск за него.
• Эмтейдж написал простой сценарий, автоматизирующий задачу внедрения в листинги на FTP-серверах, которые затем копировались в локальные файлы. В этих файлах осуществлялся быстрый поиск необходимой информации с помощью стандартной grep-команды Unix. Таким образом, Алан создал первую в мире поисковую систему, которая получила название Archie — это сокращение от слова Archive (Архив).
• Archie оказался способен производить поиск среди 2,1 миллиона файлов более чем на тысяче сайтов по всему миру в течение нескольких минут. От пользователя требовалось ввести тему, а система предоставляла отчет о местонахождении файлов, названия которых совпадали с ключевыми словами.
• Решение оказалось настолько удачным, что в 1990 году Эмтейдж и его партнер Питер Дойч основали компанию Bunyip, намереваясь вывести на рынок более мощную коммерческую версию Archie. Можно сказать, что это был первый интернет-стартап в истории, поскольку Bunyip продавали интернет-сервис.
• Команда решила привести листинги к более эффективному представлению. Данные были разбиты на отдельные базы: в одной из них хранились текстовые названия файлов, в другой — записи со ссылками на иерархические директории хостов. Была и третья база, соединяющая две другие между собой. Поиск при этом производился поэлементно по именам файлов.
• Со временем были реализованы и другие доработки. Например, база данных вновь была изменена — её заменила база данных, основанная на теории сжатых деревьев. Новая версия формировала текстовую базу данных вместо списка имен файлов и работала значительно быстрее предыдущих. Также произведенные второстепенные улучшения позволили Archie проводить индексацию веб-страниц.
• К сожалению, работа над Archie была прекращена, а революция в области поисковых систем — отложена. Эмтейдж со своими партнерами разошлись во взглядах касательно будущих инвестиций, и в 1996 году он принял решение об уходе. После этого клиент Bunyip проработал еще год, а затем стал частью Mediapolis, Нью-Йоркской фирмы веб-дизайна. При этом патенты на все наработанные технологии так и не были получены.
• Archie породил такие поисковые системы, как Google, потому в какой-то мере его можно считать прапрадедушкой поисковых движков. Что касается Алана Эмтейджа, то когда его спрашивают об упущенной возможности разбогатеть, он отвечает с долей скромности:
«Разумеется, я бы хотел разбогатеть, — говорит он. — Однако даже с оформленными патентами я мог бы и не стать миллиардером. Слишком легко допустить неточности в описании. Иногда выигрывает не тот, кто был первым, а тот, кто стал лучшим».
• Сейчас многие Telegram каналы пишут, что Instagram* аккаунт 44-го президента США Барака Обамы был взломан. Это действительно так, но метод взлома, который использовали злоумышленники, использовался продолжительное время и приносил хакерам миллионы баксов на продаже красивых юзернеймов.
• Вся соль заключается в том, чтобы подобрать регион жертвы через VPN, воспользоваться функционалом восстановления пароля и попросить помощь, где вам дружелюбно ответит ИИ. Далее атакующие просто направляют ИИ нужный запрос на замену электронной почты в аккаунте и успешно получают доступ к учетной записи. Что может быть проще?
• К слову, эту фичу уже пофиксили. А все началось с того, что Цукерберг решил заменить сотрудников технической поддержки на ИИ...
➡️ Источники [1],[2].
* принадлежит компании Meta, которая признана в РФ экстремистской и запрещена!
#Новости
Подрядчик подключился к вашей системе. Работу сделал. Доступ остался.
Знакомая ситуация?
В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает.
Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы.
В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем.
В нем вы сможете забрать гайд по работе с подрядчиками. Внутри:
📍 Ключевые риски ИБ при работе с подрядчиками
📍 Способы атак злоумышленников и их последствия
📍 Меры безопасности, регламентирующие получение прав доступа
Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа.
#реклама
О рекламодателе
💣 Zip-бомбы против агрессивных ИИ-краулеров.
• Основной объём трафика в вебе возникает из-за ботов. По большей части, эти боты используются для обнаружения нового контента. Это читалки RSS-фидов, поисковые движки, выполняющие краулинг вашего контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM. По информации аналитического отчёта Fastly, краулеры, скраперы и фетчеры иногда создают нагрузку на сайт до 39 тыс. запросов в минуту.
• Традиционно против ботов используется комбинация нескольких методов, включая ограничение на количество запросов и капчи — задачи, сложные для компьютеров, но тривиальные для людей, фильтрация по user-agent и т.д. но есть и более креативные решения...
• Автор этого материала описывает актуальный метод защиты от агрессивных ИИ-краулеров с помощью zip-бомб, которые истощают оперативную память в дата-центре краулера. Это может быть стандартный архив размером 10 МБ, который распаковывается в 10 ГБ... Пример такой реализации можно найти по ссылке ниже:
➡ Читать статью [5 min].
#ИБ #Web
Микромягкие (вместо качественной разработки своих решений) продолжают щемить исследователя, известного как Nightmare-Eclipse, который стал известен после публикации 6 эксплойтов для Windows в течение 6 недель, начиная с 3 апреля 2026 года, в знак мести корпорации за ненадлежащую организацию процесса раскрытия уязвимостей и выплаты вознаграждений.
GitLab, куда перебазировался пользователь после того, как GitHub заблокировал его аккаунт 23 мая, также залочил его 26 мая. Обе платформы также удалили все опубликованные репозитории.
Nightmare-Eclipse получил широкую известность после публичного раскрытия информации о работающих критически важных эксплойтах для Windows, предоставляющих злоумышленникам полный доступ к системе или позволяющих обойти шифрование BitLocker. В сообществе наблюдали использование этих инструментов в реальных случаях вторжений.
Среди них, напомним:
- BlueHammer (уязвимость для повышения локальных привилегий в Windows Defender, которая позволяла злоумышленникам запускать прилагаемый файл FunnyApp.exe или компилировать собственную версию и получать доступ к командной оболочке Windows SYSTEM).
- RedSun (аналогичная уязвимость, появившаяся сразу после того, как Microsoft устранила первую уязвимость, также предоставляет привилегии SYSTEM).
- UnDefend (нструмент для предотвращения сбоев в работе Windows Defender, предназначенный для остановки обновлений баз данных и создания отказоустойчивых систем. Defender не может обнаруживать новые угрозы, пока система выглядит работоспособной).
- YellowKey («самый безумный» эксплойт, который полностью обходит шифрование BitLocker с помощью USB-накопителя).
- GreenPlasma (уязвимость повышения привилегий, выходящая за рамки уязвимостей Defender. Она нацелена на процесс CTFMON, отвечающий за ввод текста и работающий от имени SYSTEM).
- MiniPlasma (ещё один инструмент для повышения привилегий, запускающий SYSTEM-оболочку. Однако он использует уязвимость шестилетней давности, первоначально обнаруженную проектом Google Project Zero, которая либо не была исправлена, либо исправление было откачено).
В сети Nightmare-Eclipse, личность которого остается загадкой) уже сравнили с реальным Мистером Роботом, хакером из популярного сериала, ведущим кибервойну против корпоративного гиганта.
Nightmare-Eclipse особо не отреагировал на бан, но ранее хакер угрожал дальнейшими релизами, предложив отметить 14 июля 2026 года в качестве возможной даты следующего мероприятия.
При этом последовательные блокировки привели к прямо противоположному результату. В течение нескольких часов множество пользователей распространили клоны его эксплойтов, а сам Nightmare-Eclipse фактически становится народным героем.
Но на простых блокировках в Microsoft не остановились и пошли дальше, только лишь усугубляя противостояние.
Microsoft (MSRC) выкатила в своем блоге сообщение с обвинениями в адрес анонимного исследователя в обходе скоординированного раскрытия информации, что сразу же вызвало волну возмущения среди специалистов по кибербезопасности.
Ведь технологический гигант пригрозил судебными исками, но не называет цели, используя общие формулировки, охватывающие как самих злоумышленников, так и исследователей, которые «способствуют им» с помощью экспериментальных PoC. Будем следить.
• Расскажу вам историю, которая произошла в 2008 году. Тогда интернет заполнила информация о кибератаке на Министерство обороны США.
• Началось все с обычной флешки, которая была заражена червем agent.btz и была вставлена в ноутбук на военной базе США в Среднем Востоке. Этот ноутбук был подключен к центральному командованию вооружённых сил США, из-за чего червь смог распространится по всем системам, включая секретные. Он делал это путем создания файла AUTORUN.INF в руте каждого из дисков. Также вирус мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.
• Еще в зараженной системе червь создавал файл с именем thumb.dd на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: winview.ocx, wmcache.nld и mswmpdat.tlb. В них содержалась информация о зараженной системе и логи активности червя. Если разобраться, то thumb.dd представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на командный сервер.
• Кроме того Agent.btz постоянно мутировал. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные.
• В общем и целом, Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации. А еще им пришлось переформатировать сотни машин и конфисковать тысячи зараженных флешек. Такие вот дела...
➡️ https://securelist.com/agent-btz
#Разное
• А вы знали, что компания Nokia была основана еще в 1865 году и в течение почти пятидесяти лет занималась различными сферами деятельности, начиная от производства бумаги и резины и заканчивая строительством электростанций? Все началось с Фредерика Идестама, который основал в городке Нокиа бумажную фабрику. Только шесть лет спустя, в 1871 году фабрика получила название Nokia Ab (произошло от названия реки Nokianvirta, протекающей поблизости), и узнаваемый «рыбный» логотип, размещаемый на всей её продукции (на фото выше).
• Только в 1963 году под руководством главы отдела электроники Nokia Курта Викстедта инженеры компании создали первый радиотелефон, а двумя годами позднее — радиомодем, служащий для передачи данных. Именно этот момент и определил тот факт, что основным направлением развития компании стал телекоммуникационный бизнес. В середине 1980-х годов Nokia совместно с другими европейскими компаниями начала работу над разработкой единого стандарта цифровой мобильной связи.
• Благодаря усилиям финских компаний Tampere Telephone Company и Helsinki Telephone был разработан стандарт GSM. Примерно в это же время, в 1987 году, Nokia выпустила «компактный» мобильный телефон Mobira Cityman, который стоил примерно как крыло от самолета (около 5000 евро в текущем эквиваленте) и весил 760 граммов.
• В 1991 году премьер-министр Финляндии впервые в истории позвонил через сеть GSM — это было сделано по телефону Nokia.
• В 1992 году Nokia обозначила следующую веху своей истории, выпустив первый цифровой мобильный телефон Nokia 1011, батарея которого выдерживала 90 минут разговора, а в телефонной книжке можно было хранить 90 номеров. Телефоны Nokia были самыми популярными в 1990-х и 2000-х и славились своей прочностью.
• Культовой моделью стал телефон Nokia 3310. Он не просто принимал звонки и сообщения, в аппарат были встроены будильник, таймер, калькулятор, игры. При этом он держал заряд батареи до 260 часов. Телефон стал хитом продаж и разошелся тиражом 126 млн. После этого было выпущено еще множество популярных моделей разных конфигураций, но именно 3310 будет у многих ассоциироваться с Nokia. А абсолютным лидером стала Nokia 1100, разработанная в 2002 году, — было продано 250 млн единиц.
• Nokia была лидером на рынке по производству мобильных телефонов с начала 2000-х. Но в конце 2000-х на смену кнопочным телефонам пришли сенсорные. Apple выпустили первую модель iPhone в 2007 году. С этого момента Nokia, специализировавшаяся на кнопочных моделях, начала терять лидерство на рынке. В 2007 году доля мобильных телефонов Nokia на рынке составляла 51%, и это число стало постепенно уменьшаться. Их сенсорные аппараты были не такими популярными, как телефоны конкурентов.
• В 2008 году на рынке появилась новинка — операционная система Android от Google, которая стремительно начала набирать популярность, но Nokia продолжила выпускать телефоны на собственной платформе Symbian. В 2011 году Nokia начала сотрудничать с Microsoft, чтобы сделать в своих аппаратах операционной системой последнюю Windows Phone.
• Но доля рынка уже сильно падала: для покупателей оказались более привлекательными телефоны от Apple и на платформе Android.
• В конце 2011 года на рынке появились смартфоны Lumia 800 и Lumia 710, но их продажи шли очень плохо и уже в 2012 году Nokia уступила первое место на рынке конкуренту Samsung.
• В 2013 году Microsoft выкупила бизнес у компании Nokia по очень низкой цене: производство вместе с патентами было продано всего за $7 млрд. Бренд Nokia включили в состав Microsoft и переименовали в Microsoft Mobile. Но в мае 2016 года в Microsoft продали сегмент бизнеса по производству кнопочных телефонов и бренда Nokia только что созданной финской компании HMD Global, которая сейчас продает телефоны под маркой Nokia.
• Сама компания Nokia не имеет отношения к мобильным телефонам, она выпускает телекоммуникационное оборудование и программное обеспечение для услуг связи...
#Разное
• Когда решился сделать правила на фаерволе более жесткими.
#Юмор
• Подробное руководство по тестированию на проникновение одной из самых приоритетных целей в корпоративной сети — Outlook Web Access (OWA). Автор разобрал все основные атаки и уязвимости OWA, собрал и структурировал самое полезное в одном месте:
➡ Читать статью [58 min].
‼ Материал предназначен для специалистов ИБ и представлен в ознакомительных целях.
#Пентест
• Flipper One выглядит максимально красиво и эстетично, а его функционал кардинально отличается от Flipper Zero (по сути, это совершенно другой проект с другими задачами).
• Нам обещают, что новая версия будет представлять из себя открытую Linux-платформу, из которой можно слепить что угодно: от сканера IP-сетей с 5G-модемом до AI-анализатора радиосигналов на SDR. Разработчики уделили большое внимание системе хардварных расширений. Внутрь Flipper One можно устанавливать высокоскоростные модули с интерфейсами PCIe, USB 3.0, SATA. Можно добавить SDR, быстрый SSD диск, сотовый LTE/5G или спутниковый модем.
• В устройство встроены сетевые интерфейсы: 2x Gigabit Ethernet, USB Ethernet (5 Gbps), Wi-Fi 6E (2.4/5/6 GHz). Можно добавить поддержку 5G с помощью M.2-модема. Это позволяет использовать Flipper One как роутер, VPN-шлюз или мост между проводной и беспроводной сетью.
• К сожалению, о полноценном анонсе Flipper One говорить пока рано. По предварительной информации только в конце этого года устройство появится на Kickstarter, но посмотреть на эту красоту уже можно сейчас. В любом случае, когда Flipper будет официально анонсирован и поступит в продажу, то я обязательно разыграю несколько штук в этом канале.
➡️ https://blog.flipper.net/flipper-one-we-need-your-help/
#Разное
Недавно исправленная уязвимость повышения привилегий в Linux теперь имеет общедоступный PoC, позволяющий локальным злоумышленникам получить права root в системах Arch Linux.
Уязвимость, получившая название PinTheft от команды безопасности V12 и до сих пор ожидающая присвоения идентификатора CVE, затрагивает протокол RDS (Reliable Datagram Sockets) ядра Linux и была исправлена в начале этого месяца.
PinTheft - это эксплойт для повышения локальных привилегий в Linux, использующий механизм двойного освобождения памяти с нулевым копированием в RDS, который может быть преобразован в перезапись кэша страниц с помощью фиксированных буферов io_uring.
Ошибка заключалась в механизме отправки нулевого копирования RDS. Функция rds_message_zcopy_from_user() закрепляет страницы пользователя по одной.
Если последующая страница завершается с ошибкой, механизм обработки ошибок удаляет уже закрепленные страницы, и последующая очистка сообщений RDS снова удаляет их, поскольку записи в списке разброса и счетчик записей остаются активными после очистки уведомления о нулевом копировании. Каждая неудачная отправка нулевого копирования может украсть одну ссылку с первой страницы.
В версии V12 также был выпущен эксплойт PoC, который крадет ссылки на FOLL_PIN до тех пор, пока io_uring не останется с украденным указателем страницы, что позволяет ему получить корневую оболочку.
Однако, помимо загрузки модуля RDS в целевую систему, для успешной эксплуатации PinTheft также требуются определенные условия, включая включение API ввода-вывода Linux io_uring, читаемый исполняемый файл с правами SUID-root и поддержку x86_64 для включенной полезной нагрузки.
Это значительно ограничивает поверхность атаки, при этом в версии V12 указано, что модуль RDS включен по умолчанию только в Arch Linux из наиболее распространенных дистрибутивов Linux.
Пользователям Linux, использующим затронутые дистрибутивы, рекомендуется как можно скорее установить последние обновления ядра либо использовать меры для блокировки попыток эксплуатации уязвимости.
📰 Paged Out #7!
• 7-й номер журнала Paged Out - включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute. Приятного чтения.
#Журнал #ИБ
Исследователи Лаборатории Касперского продолжают отслеживать активность Leek Likho (также известной как SkyCloak или Vortex Werewolf).
Группировка впервые была описана исследователями в 2025 году, когда стало известно о серии целевых атак на организации из госсектора России и Беларуси в рамках кампании под названием Операция SkyCloak.
В ЛК заметили продолжение ее активности на протяжении февраля–апреля 2026 года, а также обнаружили новую технику, которую злоумышленники используют для эксфильтрации файлов.
Основная схема заражения осталась прежней: злоумышленники распространяют через социнженерию с использованием Telegram вредоносные архивы с файлами-приманками, внутри которых находятся LNK с двойным расширением и еще один архив, содержащий набор инструментов.
Злоумышленники маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие Telegram-файлы или страницы загрузки.
В некоторых случаях атакующие используют сервис Dropbox. Переход по таким ссылкам приводит к скачиванию специально подготовленного архива с файлами.
Запуск LNK-файла инициирует цепочку выполнения PowerShell-скриптов, выступающих в роли загрузчиков и устанавливающих задачи по расписанию.
В частности, после того как пользователь запускает ярлык, начинается выполнение содержащейся в нем командной строки. Это инструмент для запуска вредоносной нагрузки второго этапа - LeekSower.
В свою очередь, он запускает новый скрытый процесс PowerShell, в котором выполняется команда gc, которая читает содержимое файла action и передает его на исполнение как PowerShell-код.
Затем происходит запуск следующего этапа вредоносной нагрузки, которая была скрыта в одном из файлов вложенного архива. Этот код является инструментом LeekGerminator, который производит установку и настройку всех распакованных инструментов.
Таким образом в системе будут запускаться инструменты удаленного доступа через Tor и ssh, через которые происходит соединение с управляющим сервером.
После этого в зараженную систему загружается инструмент для эксфильтрации rclone, который собирает файлы с хоста жертвы и выгружает их по установленному соединению с командным центром.
Собранные данные выгружаются с хоста по протоколу S3 в удаленный репозиторий aunion через установленный туннель на 12191 порту. При этом атакующий создает задачу по расписанию, которая выполняет закодированный PowerShell-скрипт - это инструмент LeekYield.
Для маскировки сетевого взаимодействия применяется транспорт obfs4, позволяющий затруднить выявление Tor-трафика средствами сетевого мониторинга.
Причем в ЛК заметили возможное использование LLM для генерации как самих скриптов, так и их имен под каждую цель.
Принцип работы вредоносных инструментов при этом остается одинаковым. Таким подходом Leek Likho пытается снизить эффективность детектирования.
Все технические подробности и IOCs - в отчете.
• Пост выходного дня: подробные руководства по Cron и Systemd в Linux.
• Cron - классический планировщик задач в Unix-подобных операционных системах, позволяющий автоматизировать выполнение команд и скриптов по расписанию. Позволяет запускать команды/скрипты в определенное время или с определенной периодичностью, но при не самом аккуратном использовании может "подкинуть" проблем: от падения сервера из-за перегрузки до "тихих" ошибок, о которых можно долго не знать.
• В этом руководстве описаны не только основы работы с cron, но и типичные подводные камни, альтернативы для сложных сценариев, а также продвинутые форматы расписания. Информация будет полезна всем, кто хочет более подробно разобраться в автоматизации задач в Linux.
➡ Читать статью [8 min].
• Systemd - комплексная, глубоко интегрированная система инициализации и управления, которая стала неотъемлемым скелетом современных дистрибутивов Linux. Её архитектура, построенная вокруг концепции юнитов, cgroups и централизованного журналирования, кардинально меняет подход к администрированию системы.
• В данном руководстве автор рассказал про все основные и ключевые технические аспекты: архитектура, юниты, cgroups, работа с журналами. Только команды и конфиги. Данная статья является продолжением статьи по cron, так как systemd был затронут, но не раскрыт.
➡ Читать статью [16 min].
#Linux #Cron #Systemd
⚠ Роутер с "вечным" VPN: удобство, которое стоит слишком дорого.
• Весьма интересный и содержательный материал, где проанализировали роутеры с предустановленным «пожизненным» VPN, которые продаются на различных маркетплейсах.
• Автор купил три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000, и в процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще автор выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.
• В этой статье поговорим об угрозах, которые скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.
➡ Читать статью [12 min].
#ИБ
DevSecMLOps: как безопасно внедрять ИИ в процессы разработки и эксплуатации. Открытый урок курса «Внедрение и работа в DevSecOps»
ИИ уже вошёл в рабочие процессы команд разработки, эксплуатации и информационной безопасности. Но вместе с ускорением работы он приносит и новые риски: утечки данных, небезопасное обращение с моделями и зависимостями, ошибки при встраивании инструментов ИИ в конвейеры и внутренние сервисы. Поэтому вопрос уже не в том, использовать ИИ или нет, а в том, как делать это управляемо и безопасно.
📅 На открытом уроке 18.05.2026 в 20:00 разберём, как смотреть на ИИ не только как на полезный инструмент, но и как на новый элемент ландшафта угроз. Поговорим о том, какие риски возникают при встраивании ИИ в продукты, внутренние сервисы и процессы разработки, как принципы DevSecOps применяются к таким сценариям и какие меры стоит предусмотреть ещё до внедрения. Обсудим моделирование угроз, контроль доступа, работу с данными, безопасные проверки в процессе разработки и подходы, которые помогают использовать ИИ без роста уязвимости системы.
Урок не для тех, кто считает ИИ «просто ещё одной утилитой», не думает о рисках данных и зависимостей или хочет встроить ИИ в процессы без пересмотра модели угроз и защитных мер.