24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
• Ничего необычного, просто швейцарская стиральная машина, которая управляется перфокартами. Всякие ручки, сенсоры и мобильные приложения - это для маглов.
• Блок управления на такой машинке имеет специальный рычаг, который размыкает и замыкает контакты переключателей соответственно отверстиям на перфокарте. Т.е. отверстия и прорези управляют переключателями, которые активируют различные функции и режимы стиральной машины. К слову, такие стиралки придумали в 1949 году (76 лет назад).
#Разное #Оффтоп
Подвед Google, Mandiant сообщает о 0-day в KnowledgeDeliver, которая использовалась для развертывания веб-оболочек и бэкдоров.
Система управления обучением (LMS) KnowledgeDeliver, разработанная Digital Knowledge, широко используется для корпоративного и образовательного электронного обучения, главным образом в Японии.
0-day, отслеживаемая как CVE-2026-5426 (CVSS 7,5), существовала в виду того, что в развертываниях Digital Knowledge использовался стандартизированный файл web.config, содержащий жестко закодированные значения machineKey, которые используются платформой ASP.NET для шифрования и подписи данных.
Наличие жестко закодированных значений в независимых установках позволило злоумышленникам, знающим ключи, скомпрометировать другие развертывания, организовав атаки десериализации ViewState.
APP.NET ViewState сохраняет состояние страницы между обратными запросами. Когда известен machineKey, злоумышленник может создать вредоносную полезную нагрузку для ViewState. Отправив эту полезную нагрузку в HTTP-запросе, злоумышленник может заставить сервер десериализовать её.
Данный тип атаки не является новинкой и ранее наблюдался в ходе эксплуатации экземпляров Sitecore и развертываний CentreStack, а также в атаках с использованием фреймворка постэксплуатации Godzilla.
По данным Mandiant, эксплуатация нуля в KnowledgeDeliver также привела к развертыванию веб-оболочек Godzilla (также известных как Bluebeam).
Развертываемое в оперативной памяти, это вредоносное ПО позволяет злоумышленникам выполнять дополнительные команды и полезные нагрузки на зараженных машинах.
Злоумышленники использовали Godzilla для изменения прав доступа к каталогу веб-приложения, а также для модификации файла JavaScript приложения с целью загрузки вредоносного скрипта и отображения ложного предупреждения системы безопасности, предлагающего пользователю установить поддельный плагин.
В конечном итоге системы были заражены бэкдором Cobalt Strike. Поскольку полезная нагрузка была зашифрована ключом, содержащим название организации-жертвы, компания Mandiant считает, что бэкдор был подготовлен специально для этой организации.
Исследователи предоставили IOCs, связанные с атакой, и рекомендует отслеживать среды на предмет потенциальных вторжений. Организациям также рекомендуется менять ключи доступа к своим экземплярам и ограничивать доступ к LMS.
Все развертывания KnowledgeDeliver, осуществленные до 24 февраля 2026 года, подвержены 0-day и потенциально могут быть использованы злоумышленниками.
В результате атаки Megalodon на цепочку поставок заражено более 5500 репозиториев GitHub.
Фейковые автоматизированные коммиты внедряли в рабочие процессы GitHub Actions вредоносные ПО, содержащие полезные нагрузки для кражи учетных данных, секретов CI, ключей и токенов.
Как сообщают в SafeDep, вредоносные процессы были внедрены посредством более чем 5700 вредоносных коммитов, отправленных в затронутые репозитории в течение шести часов 18 мая. Злоумышленники использовали два вредоносных кода в рамках атаки.
Один был предназначен для добавления нового рабочего процесса, который запускался при каждом запросе на отправку и получение данных, а другой заменял существующие рабочие процессы определенными триггерами, создавая скрытые бэкдоры.
На зараженных машинах вредоносное ПО похищало все переменные среды CI, учетные данные AWS и Azure, токены доступа GCP, закрытые ключи SSH, конфигурации Docker и Kubernetes, ключи API, строки подключения к базам данных, токены GitHub Actions, токены GitLab CI/CD и десятки других типов секретов.
Megalodon был обнаружен после выявления вредоносных версий пакета Tiledesk, платформы для онлайн-чата и чат-ботов с открытым исходным кодом. Заражённые пакеты были опубликованы в период с 19 по 21 мая.
Исследователи SafeDep отметили: один и тот же аккаунт NPM, eljohnny (giovanni@tiledesk.com), опубликовал как чистую версию 2.18.5, так и скомпрометированную.
Злоумышленник не трогал аккаунт NPM. Он скомпрометировал репозиторий GitHub, и сопровождающий проекта опубликовал изменения из зараженного исходного кода, не подозревая об этом. Вредоносный коммит, приведший к заражению, был отправлен 18 мая пользователем build-bot.
Расследование SafeDep позволило выявить в общей сложности 2878 коммитов, сделанных в тот же день, а также еще 2841 коммит, сделанный через второй адрес электронной почты.
Все 5718 коммитов были внесены в один и тот же день: 18 мая 2026 года, в течение шестичасового окна примерно с 11:36 до 17:48 UTC, и были нацелены на 5561 различных репозиториев.
Выбор злоумышленниками вредоносного рабочего процесса GitHub Actions, а именно workflow_dispatch, гарантировал возможность активации скрытого бэкдора позднее через API GitHub с использованием украденных токенов.
Данный рабочий процесс не подпадает под действие правил GitHub по предотвращению рекурсии, которые запрещают запуск новых рабочих процессов с помощью событий, запускаемых токенами GitHub.
На прошлой неделе NPM аннулировала все токены доступа с возможностью записи, которые обходят двухфакторную аутентификацию, дабы предотвратить атаки на цепочку поставок, подобные Mini Shai-Hulud.
По данным Ox Security, это должно предотвратить взлом учетных записей, но не решает основную проблему, и вредоносный код будет продолжать распространяться через скомпрометированные репозитории.
Исследователи полагают, что если платформы продолжат разрешать загрузку любого типа кода без серьезной проверки, количество атак будет только расти. Отмечая, что мы вступили в новую эру атак на цепочки поставок, и взлом GitHub компанией TeamPCP был лишь началом.
Дальше сообщество ожидает бесконечная волна, или даже цунами кибератак на разработчиков по всему миру. Будем следить.
👩💻 Ansible: история создания одного из самых популярных инструментов автоматизации.
• В 1966 году американская писательница‑фантаст Урсула Ле Гуин в одной из своих книг (Планета Роканнона) написала об устройстве под названием Ansible - в книге этот прибор позволял мгновенно передавать информацию на астрономические расстояния. Спустя десятилетия, слово Ansible вырвалось из области научной фантастики и стало названием технологии, которая изменила подход к автоматизации ИТ‑инфраструктур.
• Пока мир фантастики жил сам по себе, инженеры ИТ‑инфраструктур искали способы автоматизировать рутинные задачи. Первые шаги в сторону автоматизации начались ещё в 90-х. В 1993 году появился CFEngine - первая масштабируемая система управления конфигурацией. За ней, спустя долгое время, последовали Puppet (2005), Chef (2009) и SaltStack (2011). Системы предлагали свои архитектурные решения, но все имели одну общую черту - работали по pull‑модели, при которой на каждом управляемом сервере (узле) необходимо устанавливать агент, чтобы тот периодически забирал конфигурации с центрального узла.
• Именно это и не устроило Михаэля Дехана. В 2012 году он создает Ansible - инструмент, работающий по push‑модели. Михаэль добивался максимальной простоты и гибкости - работа без агентов по стандартному SSH и конфигурация, описанная в виде YAML‑файлов. И ему это удалось, достаточно быстро инструмент оказался очень популярным. Уже через год Михаэль основал Ansible Inc., а через два выпустил Ansible Tower - серверное приложение с расширенным функционалом и веб‑интерфейсом, упрощающее использование Ansible в больших командах и корпоративной среде. Сотни компаний по всему миру, включая компании из Fortune 50, стали использовать Ansible.
• Успех не остался незамеченным, и в 2015 году Red Hat приобрела Ansible Inc, сделав его частью своей экосистемы.
• В 2017 году Red Hat сделала следующий шаг, открыв исходный код Ansible Tower под проектом AWX, который стал upstream‑проектом, а Ansible Tower постепенно влился в новую платформу — Red Hat Ansible Automation Platform (2019 год). Такая вот история...
#Разное #Ansible
• На хабре есть хороший чек-лист, включающий десять базовых правил по безопасности VDS.
• Все перечисленные в статье правила - это не набор «фишек для параноиков», а ваша уверенность в сохранности ваших данных. SSH-ключи, запрет root-доступа, закрытые порты, свежие пакеты, резервные копии и мониторинг логов не требуют сверхусилий, но именно они определяют, будет ли ваш сервер тихо работать годами или превратится в лёгкую цель для злоумышленников. Однозначно к прочтению:
➡ Читать статью [7 min].
#ИБ
• Нашел еще один очень крутой инструмент для работы с логами, который называется lnav.
• Вероятно, что данный инструмент окажется полезным для многих из вас, так как lnav является универсальным решением, которое значительно упрощает процесс анализа логов. Совокупность возможностей делает его незаменимым помощником для всех, кому приходится иметь дело с логами.
• Вот основные возможности lnav:
🟢Подсветка синтаксиса и темизация - подсветка синтаксиса делает логи более читаемыми, а возможность настроить тему позволяет адаптировать интерфейс под ваши предпочтения. Это важно при работе с большими файлами, где детали могут легко ускользнуть из-за ненадлежащего оформления.
🟢Определение логлевела - можно явно указывать логлевел для отображения, что помогает сосредоточиться на наиболее критичных записях и не отвлекаться на менее значимые.
🟢Множественные форматы логов - поддерживает одновременное отображение сразу нескольких файлов логов различного формата, что упрощает процесс анализа информации из различных источников и ведет к более полному пониманию происходящего.
🟢Работа с залогированными SQL запросами - при фильтрации lnav анализирует запросы SQL и выводит все строки, которые соответствуют фильтру, даже если запрос состоит из нескольких строк.
🟢Объединение записей по времени - даже если форматы времени в логах различны, lnav попытается их интерпретировать и отобразит записи на единой временной шкале
🟢Экспорт данных - после применения всех необходимых фильтров у вас есть возможность выделить блок строк, в том числе включающий данные из разных файлов и экспортировать эти данные в новый файл в формате текста, JSON или CSV.
🟢Создание собственных форматов лога - вы можете использовать специальный синтаксис, чтобы описать свой формат лога для разделения его по полям.
🟢Закладки и дополнительные возможности - lnav позволяет создавать закладки, что помогает быстро возвращаться к нужным участкам данных по аналогии с тем, как это работает в vim.
🟢Возможность неинтерактивной работы с lnav и создания скриптов для обработки данных - позволяет вам писать собственные скрипты для автоматизации анализа логов и обработки данных.
🟢Сохранение и загрузка сессий - в lnav можно сохранять сессии. Это позволяет сохранить текущее состояние просмотра логов, включая примененные фильтры, аннотации и все выполненные действия.
🟢Работа с пайпами и многое другое...
• Больше информации можно получить в официальной документации.
• Сам проект имеет открытый исходный код и доступен на github.
#Tools #DevOps
• В 1985 году, спустя год после основания проекта GNU, Ричард Столлман основал организацию Free Software Foundation для защиты разработчиков от компаний с сомнительной репутацией. Например, от тех, которые уличили в присвоении кода и которые пытались продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его коллегами.
• Философия фонда строится на 4 основных свободах:
➡Свобода запускать программу в любых целях (свобода 0).
➡Свобода изучения работы программы и ее адаптация к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
➡Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
➡Свобода улучшать программу и публиковать ваши улучшения, так что все общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.
• Программа свободна, если у ее пользователей есть 4 вышеупомянутых пункта. Все достаточно прозрачно и позитивно. Но здесь накладываются взаимоотношения между разработчиками в юридическом плане и в рамках государства. Свободная программа часто не значит «некоммерческая», она может быть доступна для коммерческого применения и распространения. Это правило фундаментально важно, без этого свободные программы не могли бы достичь своих целей.
• В англоязычных текстах free означает не только «свободное», но и «бесплатное». Оно нередко употребляется к бесплатному программному обеспечению, которое распространяется без взимания платы, но недоступно для изменения. Получается, такое ПО не является свободным. Кстати, чтобы устранить недоразумения, как раз и был придуман термин open source.
• Спустя 3 года после основания организации, Столлман представил первую версию лицензии GPL, в которой определялись юридические рамки модели распространения свободного программного обеспечения.
• В сентябре 2019 года Ричард Столлман покинул пост президента Фонда свободного программного обеспечения, а на его место в 2020 году избрали Джеффри Кнаута. В сентябре 2025 года Кнаута сменил Ян Келлинг.
• В рамках развития организации на мероприятии анонсировали проект LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об этой инициативе не приводятся. Ожидается, что проект позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение.
➡️ https://www.fsf.org/events/fsf40
#Разное
📘 На платформе Mentorix вышел курс — «Nginx на практике: от деплоя до production»
Практический курс по настройке Nginx для реальных задач: от базовой конфигурации до использования в production.
В курсе:
• настройка и конфигурация Nginx
• работа как reverse proxy
• SSL и HTTPS
• балансировка нагрузки
• подготовка конфигурации для production
Начать можно бесплатно — вводная часть курса доступна без оплаты.
Скидка действует 48 часов
👉 Пройти курс
😱 В США братья‑близнецы удалили 96 правительственных баз данных через несколько минут после увольнения.
• Два барата Муниб и Сохайб Ахтер уничтожили 96 правительственных баз данных в течение часа после того, как их уволили из компании, обслуживающей федеральные ведомства.
• В судебных документах не указана конкретная компания, в которой работали братья. Вероятно, речь идёт об Opexus - это IT‑подрядчик, который обслуживает более 45 федеральных ведомств.
• Все началось 18 февраля 2025 года, когда братьям направили встречу в Microsoft Teams и сообщили об увольнении. Встреча завершилась в 16:50, а уже через 5 минут, в 16:55, Сохайб попытался войти в корпоративную сеть, но его доступ был заблокирован. А вот учетная запись Муниба была активна - он смог зайти в систему и сразу же начал удалять все базы данных, к которым имел доступ. В 16:58 командой DROP DATABASE dhsproddb была уничтожена база Министерства внутренней безопасности. В 16:59 Муниб спросил у ИИ‑инструмента, как затереть логи SQL‑сервера после удаления баз.
• Забавно, что один из братьев решил записать их встречу еще до начала обсуждения об увольнении. HR сообщили новость братьям и вышли из сессии примерно через две с половиной минуты. Муниб и Сохайб не выключили запись, в результате чего в течение следующего часа Teams фиксировал, как братья обсуждают происходящее и дропают базы - судя по всему, они не заметили, что встреча всё ещё активна.
• Помимо удаления БД, Муниб скачал файл с 1,2 млн строк персональных данных - именами, адресами, телефонами и хешами паролей.
• Ну а теперь самое интересное: оба брата ранее уже были судимы за взлом систем Госдепартамента США и слив персональных данных. Тогда Муниб получил 39 месяцев, а Сохайб - 24. Именно это и стало причиной увольнения братьев - компания узнала о тюремных сроках братьев в феврале 2025 года и немедленно инициировала увольнение. Ну т.е. никто не проверял сотрудников, сидевших за взлом Гос. деп-а США, на наличие судимостей и просто трудоустроили их в компанию, дали доступ к правительственным БД, а потом уволили их через MS Teams не заблочив перед этим учетки...
• Итог: Ахтеров арестовали в декабре 2025 года. Сохайбу грозит до 21 года, а Мунибу до 45 лет... Как то так.
➡️ https://arstechnica.com/tech-policy
#Новости
• 20 лет назад мир увидел μTorrent - одно из самых популярных в мире приложений. С того момента сильно изменилась целевая аудитория программы. Если 20 лет назад им начали пользоваться гики, то сейчас через uTorrent могут качать сериалы наши мамы, папы, бабушки и дедушки и другие люди, кого и близко нельзя назвать экспертами в компьютерах.
• Символ "μ" в названии μTorrent означает «micro». Разработчик Людвиг Стригеус в 2004 году начал работать над эффективным BitTorrent-клиентом, который не стал бы использовать слишком много ресурсов.
• Стригеус работал над приложением в свободное время, но вскоре занялся другими делами, и проект застопорился. В сентябре 2005 года Стригеус к нему вернулся и уже спустя три дня представил первую версию μTorrent.
• Спустя считанные дни приложение заработало популярность среди пользователей Windows. За следующие несколько месяцев новым торрент-клиентом начали пользоваться сотни тысяч человек. К декабрю 2008 года им пользовались 28 миллионов человек, а к 2015 году их количество достигло 150 миллионов.
• За первый год работы с приложением Людвиг Стригеус сделал ряд ключевых нововведений, которые являются неотъемлемой частью BitTorrent-экосистемы. Это протокол DHT, позволяющий BitTorrent-клиентам находить друг друга без трекера, и шифрование BitTorrent.
• Новым приложением быстро заинтересовалась компания BitTorrent. Её глава Ашвин Навин поблагодарил Стригеуса за его инновации в 2006 году. Одной благодарностью дело не закончилось…
• 7 декабря 2006 года, спустя чуть более года после первого релиза, компания BitTorrent Inc. купила μTorrent после того, как сама получила новые вложения в очередном раунде финансирования. С помощью μTorrent компания хотела расширить базу пользователей. Поглощение повысило потенциал μTorrent, количество пользователей выросло, а Людвиг Стригеус стал техническим консультантом BitTorrent и занялся другим P2P-проектом — легальным стримингом музыки Spotify...
#Разное
🔎 Первый в мире поисковый движок.
• В ранние годы интернет-эры миллионы файлов хранились на тысячах анонимных FTP-сайтов. В этом многообразии пользователям было достаточно сложно обнаружить программу, подходящую для решения их задачи. Поэтому приходилось вручную просматривать FTP-хранилища, структура которых значительно отличалась. Именно эта проблема и привела к появлению одного из ключевых аспектов современного мира — интернет-поиска.
• Считается, что создателем первого поискового движка выступил Алан Эмтейдж. В 1989 году он работал в университете Макгилла в Монреале. Одной из его задач как администратора университетского факультета информационных технологий было нахождение программ для студентов и преподавателей. Чтобы облегчить себе работу и сэкономить время, Алан написал код, который выполнял поиск за него.
• Эмтейдж написал простой сценарий, автоматизирующий задачу внедрения в листинги на FTP-серверах, которые затем копировались в локальные файлы. В этих файлах осуществлялся быстрый поиск необходимой информации с помощью стандартной grep-команды Unix. Таким образом, Алан создал первую в мире поисковую систему, которая получила название Archie — это сокращение от слова Archive (Архив).
• Archie оказался способен производить поиск среди 2,1 миллиона файлов более чем на тысяче сайтов по всему миру в течение нескольких минут. От пользователя требовалось ввести тему, а система предоставляла отчет о местонахождении файлов, названия которых совпадали с ключевыми словами.
• Решение оказалось настолько удачным, что в 1990 году Эмтейдж и его партнер Питер Дойч основали компанию Bunyip, намереваясь вывести на рынок более мощную коммерческую версию Archie. Можно сказать, что это был первый интернет-стартап в истории, поскольку Bunyip продавали интернет-сервис.
• Команда решила привести листинги к более эффективному представлению. Данные были разбиты на отдельные базы: в одной из них хранились текстовые названия файлов, в другой — записи со ссылками на иерархические директории хостов. Была и третья база, соединяющая две другие между собой. Поиск при этом производился поэлементно по именам файлов.
• Со временем были реализованы и другие доработки. Например, база данных вновь была изменена — её заменила база данных, основанная на теории сжатых деревьев. Новая версия формировала текстовую базу данных вместо списка имен файлов и работала значительно быстрее предыдущих. Также произведенные второстепенные улучшения позволили Archie проводить индексацию веб-страниц.
• К сожалению, работа над Archie была прекращена, а революция в области поисковых систем — отложена. Эмтейдж со своими партнерами разошлись во взглядах касательно будущих инвестиций, и в 1996 году он принял решение об уходе. После этого клиент Bunyip проработал еще год, а затем стал частью Mediapolis, Нью-Йоркской фирмы веб-дизайна. При этом патенты на все наработанные технологии так и не были получены.
• Archie породил такие поисковые системы, как Google, потому в какой-то мере его можно считать прапрадедушкой поисковых движков. Что касается Алана Эмтейджа, то когда его спрашивают об упущенной возможности разбогатеть, он отвечает с долей скромности:
«Разумеется, я бы хотел разбогатеть, — говорит он. — Однако даже с оформленными патентами я мог бы и не стать миллиардером. Слишком легко допустить неточности в описании. Иногда выигрывает не тот, кто был первым, а тот, кто стал лучшим».
• Исследователи безопасности из команды V12 несколько часов назад опубликовали информацию о новой критической уязвимости в ядре Linux, получившей название Fragnesia. Эксплойт позволяет локально повышать привилегии до уровня root на уязвимых системах, при этом атака не связана с состоянием гонки (race conditions) и не приводит к сбоям ядра.
• Fragnesia эксплуатирует логическую ошибку в подсистеме XFRM ESP-in-TCP, отвечающей за инкапсуляцию зашифрованного трафика IPSec. Уязвимость позволяет злоумышленнику выполнять произвольную запись байтов в кэш страниц ядра для файлов, доступных только для чтения.
• Указано, что уязвимы все версии ядра Linux, не содержащие патч от 13 мая 2026 года. Официальный патч доступен в списке рассылки OpenWall. Обновляемся...
➡️ PoC и демонстрация уязвимости.
➡ Источники [1],[2],[3].
#Linux #Новости #CVE #Security
1979 год. В то время диск на 250 мб. был настоящим чудом технологии! А выглядел он вот так:
Читать полностью…
• 44 года назад на свет появилась технология, в буквальном смысле слова изменившая мир - на японский рынок поступили в продажу компакт-диски.
• Изначально компакты разрабатывали в качестве замены виниловым дискам, как более качественный и надежный носитель. Считается, что лазерные диски являются результатом совместной работы команд двух технологических корпораций — японской Sony и голландской Philips.
• При этом мало кто знает, что базовая технология «холодных лазеров», которая и сделала возможной появление лазерных дисков, была разработана советскими учеными Александром Прохоровым и Николаем Басовым. За свое изобретение они были удостоены Нобелевской премии. В дальнейшем технология развивалась, и в 70-х годах Philips разработала способ записи компакт-дисков, который и положил начало CD. Сначала инженеры компании создали ALP (audio long play) в качестве альтернативы виниловым пластинкам.
• Диаметр ALP-дисков составлял примерно 30 сантиметров. Чуть позже инженеры уменьшили диаметр дисков, время проигрывания при этом снизилось до 1 часа. Лазерные диски и воспроизводящее устройство для них впервые были продемонстрированы Philips в 1979 году. После этого компания стала искать партнера для дальнейшей работы над проектом — технология виделась разработчикам как международная, а развить ее до необходимого уровня и популяризовать своими силами было сложно.
• Руководство приняло решение попробовать установить контакты с технологическими компаниями из Японии, в то время эта страна находилась на острие hi-end технологий. Для этого в страну отправились делегаты Philips, им удалось встретиться с президентом Sony, который заинтересовался технологией.
• Почти сразу была сформирована команда инженеров Philips-Sony, они и разработали первые спецификации технологии. Вице-президент Sony настоял на увеличении объема диска, ему хотелось, чтобы компакт мог вместить девятую симфонию Бетховена, для чего объем диска расшили с 1 часа до 74 минут (есть и мнение, что это просто красивая маркетинговая история). Объем данных, которые умещаются на такой диск, составил 640 Мбайт. Инженеры разработали и параметры качества звука. Например, частота выборки стереосигналов регламентировалась на уровне 44,1 кГц (для одного канала 22,05 кГц) c разрядностью каждого в 16 бит. Так появился стандарт Red Book.
• Название новой технологии появилось не случайно - его выбрали из нескольких вариантов, включая Minirack, Mini Disc, Compact Rack. В итоге разработчики совместили два названия, получив гибридное Compact Disc. Не в последнюю очередь это название было выбрано из-за растущей популярности аудиокассет (технология Compact Cassette).
• На момент появления технологии в 1982 году компакт-диск мог хранить гораздо больше данных, чем жесткий диск персонального компьютера, который в те времена имел объем 10 Мбайт. Это и предопределило судьбу формата, обеспечив ему популярность.
• Несмотря на преклонный возраст, компакт-диски и их наследники - DVD и Blu-ray активно используются до сих пор, в основном, для хранения и архивации данных. Возможно, что скоро мы отметим юбилей этой технологии.
#Разное
• Друзья, пришло время провести очередной конкурс. На этот раз мы разыгрываем бумажную версию книги "Linux для администраторов", которая поступила в продажу 2 недели назад. Помимо основных тем для изучения Linux в книге есть глава по написанию сценариев командной оболочки, содержащая структурированные рекомендации для базовой автоматизации задач.
• Итоги подведём 16 Мая в 10:00, при помощи бота, который рандомно выберет 8 победителей. Доставка для победителей бесплатная в зоне действия СДЭК. Удачи ❤
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
• Расскажу вам историю, которая произошла в 2008 году. Тогда интернет заполнила информация о кибератаке на Министерство обороны США.
• Началось все с обычной флешки, которая была заражена червем agent.btz и была вставлена в ноутбук на военной базе США в Среднем Востоке. Этот ноутбук был подключен к центральному командованию вооружённых сил США, из-за чего червь смог распространится по всем системам, включая секретные. Он делал это путем создания файла AUTORUN.INF в руте каждого из дисков. Также вирус мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.
• Еще в зараженной системе червь создавал файл с именем thumb.dd на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: winview.ocx, wmcache.nld и mswmpdat.tlb. В них содержалась информация о зараженной системе и логи активности червя. Если разобраться, то thumb.dd представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на командный сервер.
• Кроме того Agent.btz постоянно мутировал. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные.
• В общем и целом, Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации. А еще им пришлось переформатировать сотни машин и конфисковать тысячи зараженных флешек. Такие вот дела...
➡️ https://securelist.com/agent-btz
#Разное
• А вы знали, что компания Nokia была основана еще в 1865 году и в течение почти пятидесяти лет занималась различными сферами деятельности, начиная от производства бумаги и резины и заканчивая строительством электростанций? Все началось с Фредерика Идестама, который основал в городке Нокиа бумажную фабрику. Только шесть лет спустя, в 1871 году фабрика получила название Nokia Ab (произошло от названия реки Nokianvirta, протекающей поблизости), и узнаваемый «рыбный» логотип, размещаемый на всей её продукции (на фото выше).
• Только в 1963 году под руководством главы отдела электроники Nokia Курта Викстедта инженеры компании создали первый радиотелефон, а двумя годами позднее — радиомодем, служащий для передачи данных. Именно этот момент и определил тот факт, что основным направлением развития компании стал телекоммуникационный бизнес. В середине 1980-х годов Nokia совместно с другими европейскими компаниями начала работу над разработкой единого стандарта цифровой мобильной связи.
• Благодаря усилиям финских компаний Tampere Telephone Company и Helsinki Telephone был разработан стандарт GSM. Примерно в это же время, в 1987 году, Nokia выпустила «компактный» мобильный телефон Mobira Cityman, который стоил примерно как крыло от самолета (около 5000 евро в текущем эквиваленте) и весил 760 граммов.
• В 1991 году премьер-министр Финляндии впервые в истории позвонил через сеть GSM — это было сделано по телефону Nokia.
• В 1992 году Nokia обозначила следующую веху своей истории, выпустив первый цифровой мобильный телефон Nokia 1011, батарея которого выдерживала 90 минут разговора, а в телефонной книжке можно было хранить 90 номеров. Телефоны Nokia были самыми популярными в 1990-х и 2000-х и славились своей прочностью.
• Культовой моделью стал телефон Nokia 3310. Он не просто принимал звонки и сообщения, в аппарат были встроены будильник, таймер, калькулятор, игры. При этом он держал заряд батареи до 260 часов. Телефон стал хитом продаж и разошелся тиражом 126 млн. После этого было выпущено еще множество популярных моделей разных конфигураций, но именно 3310 будет у многих ассоциироваться с Nokia. А абсолютным лидером стала Nokia 1100, разработанная в 2002 году, — было продано 250 млн единиц.
• Nokia была лидером на рынке по производству мобильных телефонов с начала 2000-х. Но в конце 2000-х на смену кнопочным телефонам пришли сенсорные. Apple выпустили первую модель iPhone в 2007 году. С этого момента Nokia, специализировавшаяся на кнопочных моделях, начала терять лидерство на рынке. В 2007 году доля мобильных телефонов Nokia на рынке составляла 51%, и это число стало постепенно уменьшаться. Их сенсорные аппараты были не такими популярными, как телефоны конкурентов.
• В 2008 году на рынке появилась новинка — операционная система Android от Google, которая стремительно начала набирать популярность, но Nokia продолжила выпускать телефоны на собственной платформе Symbian. В 2011 году Nokia начала сотрудничать с Microsoft, чтобы сделать в своих аппаратах операционной системой последнюю Windows Phone.
• Но доля рынка уже сильно падала: для покупателей оказались более привлекательными телефоны от Apple и на платформе Android.
• В конце 2011 года на рынке появились смартфоны Lumia 800 и Lumia 710, но их продажи шли очень плохо и уже в 2012 году Nokia уступила первое место на рынке конкуренту Samsung.
• В 2013 году Microsoft выкупила бизнес у компании Nokia по очень низкой цене: производство вместе с патентами было продано всего за $7 млрд. Бренд Nokia включили в состав Microsoft и переименовали в Microsoft Mobile. Но в мае 2016 года в Microsoft продали сегмент бизнеса по производству кнопочных телефонов и бренда Nokia только что созданной финской компании HMD Global, которая сейчас продает телефоны под маркой Nokia.
• Сама компания Nokia не имеет отношения к мобильным телефонам, она выпускает телекоммуникационное оборудование и программное обеспечение для услуг связи...
#Разное
• Когда решился сделать правила на фаерволе более жесткими.
#Юмор
• Подробное руководство по тестированию на проникновение одной из самых приоритетных целей в корпоративной сети — Outlook Web Access (OWA). Автор разобрал все основные атаки и уязвимости OWA, собрал и структурировал самое полезное в одном месте:
➡ Читать статью [58 min].
‼ Материал предназначен для специалистов ИБ и представлен в ознакомительных целях.
#Пентест
• Flipper One выглядит максимально красиво и эстетично, а его функционал кардинально отличается от Flipper Zero (по сути, это совершенно другой проект с другими задачами).
• Нам обещают, что новая версия будет представлять из себя открытую Linux-платформу, из которой можно слепить что угодно: от сканера IP-сетей с 5G-модемом до AI-анализатора радиосигналов на SDR. Разработчики уделили большое внимание системе хардварных расширений. Внутрь Flipper One можно устанавливать высокоскоростные модули с интерфейсами PCIe, USB 3.0, SATA. Можно добавить SDR, быстрый SSD диск, сотовый LTE/5G или спутниковый модем.
• В устройство встроены сетевые интерфейсы: 2x Gigabit Ethernet, USB Ethernet (5 Gbps), Wi-Fi 6E (2.4/5/6 GHz). Можно добавить поддержку 5G с помощью M.2-модема. Это позволяет использовать Flipper One как роутер, VPN-шлюз или мост между проводной и беспроводной сетью.
• К сожалению, о полноценном анонсе Flipper One говорить пока рано. По предварительной информации только в конце этого года устройство появится на Kickstarter, но посмотреть на эту красоту уже можно сейчас. В любом случае, когда Flipper будет официально анонсирован и поступит в продажу, то я обязательно разыграю несколько штук в этом канале.
➡️ https://blog.flipper.net/flipper-one-we-need-your-help/
#Разное
Недавно исправленная уязвимость повышения привилегий в Linux теперь имеет общедоступный PoC, позволяющий локальным злоумышленникам получить права root в системах Arch Linux.
Уязвимость, получившая название PinTheft от команды безопасности V12 и до сих пор ожидающая присвоения идентификатора CVE, затрагивает протокол RDS (Reliable Datagram Sockets) ядра Linux и была исправлена в начале этого месяца.
PinTheft - это эксплойт для повышения локальных привилегий в Linux, использующий механизм двойного освобождения памяти с нулевым копированием в RDS, который может быть преобразован в перезапись кэша страниц с помощью фиксированных буферов io_uring.
Ошибка заключалась в механизме отправки нулевого копирования RDS. Функция rds_message_zcopy_from_user() закрепляет страницы пользователя по одной.
Если последующая страница завершается с ошибкой, механизм обработки ошибок удаляет уже закрепленные страницы, и последующая очистка сообщений RDS снова удаляет их, поскольку записи в списке разброса и счетчик записей остаются активными после очистки уведомления о нулевом копировании. Каждая неудачная отправка нулевого копирования может украсть одну ссылку с первой страницы.
В версии V12 также был выпущен эксплойт PoC, который крадет ссылки на FOLL_PIN до тех пор, пока io_uring не останется с украденным указателем страницы, что позволяет ему получить корневую оболочку.
Однако, помимо загрузки модуля RDS в целевую систему, для успешной эксплуатации PinTheft также требуются определенные условия, включая включение API ввода-вывода Linux io_uring, читаемый исполняемый файл с правами SUID-root и поддержку x86_64 для включенной полезной нагрузки.
Это значительно ограничивает поверхность атаки, при этом в версии V12 указано, что модуль RDS включен по умолчанию только в Arch Linux из наиболее распространенных дистрибутивов Linux.
Пользователям Linux, использующим затронутые дистрибутивы, рекомендуется как можно скорее установить последние обновления ядра либо использовать меры для блокировки попыток эксплуатации уязвимости.
📰 Paged Out #7!
• 7-й номер журнала Paged Out - включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute. Приятного чтения.
#Журнал #ИБ
Исследователи Лаборатории Касперского продолжают отслеживать активность Leek Likho (также известной как SkyCloak или Vortex Werewolf).
Группировка впервые была описана исследователями в 2025 году, когда стало известно о серии целевых атак на организации из госсектора России и Беларуси в рамках кампании под названием Операция SkyCloak.
В ЛК заметили продолжение ее активности на протяжении февраля–апреля 2026 года, а также обнаружили новую технику, которую злоумышленники используют для эксфильтрации файлов.
Основная схема заражения осталась прежней: злоумышленники распространяют через социнженерию с использованием Telegram вредоносные архивы с файлами-приманками, внутри которых находятся LNK с двойным расширением и еще один архив, содержащий набор инструментов.
Злоумышленники маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие Telegram-файлы или страницы загрузки.
В некоторых случаях атакующие используют сервис Dropbox. Переход по таким ссылкам приводит к скачиванию специально подготовленного архива с файлами.
Запуск LNK-файла инициирует цепочку выполнения PowerShell-скриптов, выступающих в роли загрузчиков и устанавливающих задачи по расписанию.
В частности, после того как пользователь запускает ярлык, начинается выполнение содержащейся в нем командной строки. Это инструмент для запуска вредоносной нагрузки второго этапа - LeekSower.
В свою очередь, он запускает новый скрытый процесс PowerShell, в котором выполняется команда gc, которая читает содержимое файла action и передает его на исполнение как PowerShell-код.
Затем происходит запуск следующего этапа вредоносной нагрузки, которая была скрыта в одном из файлов вложенного архива. Этот код является инструментом LeekGerminator, который производит установку и настройку всех распакованных инструментов.
Таким образом в системе будут запускаться инструменты удаленного доступа через Tor и ssh, через которые происходит соединение с управляющим сервером.
После этого в зараженную систему загружается инструмент для эксфильтрации rclone, который собирает файлы с хоста жертвы и выгружает их по установленному соединению с командным центром.
Собранные данные выгружаются с хоста по протоколу S3 в удаленный репозиторий aunion через установленный туннель на 12191 порту. При этом атакующий создает задачу по расписанию, которая выполняет закодированный PowerShell-скрипт - это инструмент LeekYield.
Для маскировки сетевого взаимодействия применяется транспорт obfs4, позволяющий затруднить выявление Tor-трафика средствами сетевого мониторинга.
Причем в ЛК заметили возможное использование LLM для генерации как самих скриптов, так и их имен под каждую цель.
Принцип работы вредоносных инструментов при этом остается одинаковым. Таким подходом Leek Likho пытается снизить эффективность детектирования.
Все технические подробности и IOCs - в отчете.
• Пост выходного дня: подробные руководства по Cron и Systemd в Linux.
• Cron - классический планировщик задач в Unix-подобных операционных системах, позволяющий автоматизировать выполнение команд и скриптов по расписанию. Позволяет запускать команды/скрипты в определенное время или с определенной периодичностью, но при не самом аккуратном использовании может "подкинуть" проблем: от падения сервера из-за перегрузки до "тихих" ошибок, о которых можно долго не знать.
• В этом руководстве описаны не только основы работы с cron, но и типичные подводные камни, альтернативы для сложных сценариев, а также продвинутые форматы расписания. Информация будет полезна всем, кто хочет более подробно разобраться в автоматизации задач в Linux.
➡ Читать статью [8 min].
• Systemd - комплексная, глубоко интегрированная система инициализации и управления, которая стала неотъемлемым скелетом современных дистрибутивов Linux. Её архитектура, построенная вокруг концепции юнитов, cgroups и централизованного журналирования, кардинально меняет подход к администрированию системы.
• В данном руководстве автор рассказал про все основные и ключевые технические аспекты: архитектура, юниты, cgroups, работа с журналами. Только команды и конфиги. Данная статья является продолжением статьи по cron, так как systemd был затронут, но не раскрыт.
➡ Читать статью [16 min].
#Linux #Cron #Systemd
⚠ Роутер с "вечным" VPN: удобство, которое стоит слишком дорого.
• Весьма интересный и содержательный материал, где проанализировали роутеры с предустановленным «пожизненным» VPN, которые продаются на различных маркетплейсах.
• Автор купил три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000, и в процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще автор выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.
• В этой статье поговорим об угрозах, которые скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.
➡ Читать статью [12 min].
#ИБ
DevSecMLOps: как безопасно внедрять ИИ в процессы разработки и эксплуатации. Открытый урок курса «Внедрение и работа в DevSecOps»
ИИ уже вошёл в рабочие процессы команд разработки, эксплуатации и информационной безопасности. Но вместе с ускорением работы он приносит и новые риски: утечки данных, небезопасное обращение с моделями и зависимостями, ошибки при встраивании инструментов ИИ в конвейеры и внутренние сервисы. Поэтому вопрос уже не в том, использовать ИИ или нет, а в том, как делать это управляемо и безопасно.
📅 На открытом уроке 18.05.2026 в 20:00 разберём, как смотреть на ИИ не только как на полезный инструмент, но и как на новый элемент ландшафта угроз. Поговорим о том, какие риски возникают при встраивании ИИ в продукты, внутренние сервисы и процессы разработки, как принципы DevSecOps применяются к таким сценариям и какие меры стоит предусмотреть ещё до внедрения. Обсудим моделирование угроз, контроль доступа, работу с данными, безопасные проверки в процессе разработки и подходы, которые помогают использовать ИИ без роста уязвимости системы.
Урок не для тех, кто считает ИИ «просто ещё одной утилитой», не думает о рисках данных и зависимостей или хочет встроить ИИ в процессы без пересмотра модели угроз и защитных мер.
Банда вымогателей Nitrogen заявила о взломе Foxconn. В начале этого месяца атака программы-вымогателя привела к сбоям в работе североамериканских заводов Foxconn.
Компания подтвердила инцидент после того, как на прошлой неделе сотрудники опубликовали в социальных сетях некоторые внутренние сообщения.
Nitrogen объявила о взломе в своем блоге во вторник. Группа утверждает, что украла 8 ТБ данных, включая конфиденциальные проекты и чертежи микросхем для заказов Apple, Google и NVIDIA.
В минувшие выходные Checkmarx предупредила, что на Jenkins Marketplace была опубликована вредоносная версия ее плагина для тестирования безопасности приложений (AST).
Взлом был осуществлен TeamPCP, которая инициировала серию атак на цепочку поставок, включая кампании Shai-Hulud в npm и взлом сканера уязвимостей Trivy, что привело к распространению стилеров.
Jenkins - одно из наиболее широко используемых решений для автоматизации непрерывной интеграции/непрерывного развертывания (CI/CD) ПО, предназначенное для сборки, тестирования, сканирования кода, упаковки приложений и развертывания обновлений на серверах.
Плагин Checkmarx AST на Jenkins Marketplace как раз интегрирует сканирование безопасности в автоматизированные конвейеры. В настоящее время в компании работают над выпуском новой версии этого плагина.
Это уже третий инцидент в серии атак на цепочку поставок, от которых пострадала компания, занимающаяся тестированием безопасности приложений, с конца марта.
По мнению исследователя Аднанда Хана, TeamPCP получила доступ к репозиториям Checkmarx на GitHub и внедрила бэкдор в плагин Jenkins AST для распространения вредоносного ПО, крадущего учетные данные.
Представитель компании подтвердил, что злоумышленник получил учетные данные для доступа к хранилищам данных в результате атаки на цепочку поставок Trivy в марте.
Хакеры смогли взаимодействовать со средой GitHub Checkmarx и впоследствии опубликовать вредоносный код в определенных репозиториях.
Причем в разделе «О программе» они оставили сообщение: «Checkmarx снова не удаётся обновить секретные ключи. С любовью, команда TeamPCP».
Используя учетные данные, украденные во время атаки Trivy, хакеры опубликовали модифицированные версии нескольких инструментов для разработчиков на GitHub, Docker и VSCode, которые содержали код, позволяющий красть информацию.
Злоумышленник сохранял доступ как минимум в течение месяца, а затем опубликовал вредоносную версию инструмента анализа KICS компании в Docker, OpenVSX и VSCode, которая собирала данные из сред разработки.
В конце апреля компания подтвердила, что группа злоумышленников LAPSUS$ допустила утечку данных, украденных из её закрытого репозитория на GitHub.
В субботу, 9 мая, в репозиторий repo.jenkins-ci.org была загружена вредоносная версия (2026.5.09) плагина Checkmarx Jenkins AST. Обновление выходило за рамки стандартного процесса выпуска плагина и содержало вредоносный код.
Помимо несоответствия официальной схеме форматирования дат, вредоносному плагину не хватало тега Git и релиза на GitHub.
Checkmarx рекомендует пользователям убедиться, что они используют версию плагина 2.0.13-829.vc72453fa_1c16, опубликованную 17 декабря 2025 года, или более старую версию.
Пока нет никаких подробностей о том, что делает вредоносный плагин Jenkins в системах, однако всем загрузившим вредоносную версию, следует полагать, что их учетные данные скомпрометированы, сменить все секретные данные и проверить возможность их перемещения внутри системы или закрепления в ней.
Checkmarx заявляет, что ее репозитории на GitHub изолированы от производственной среды клиентов, и никакие данные клиентов не хранятся в репозитории GitHub. Компания намерена продолжать предоставлять актуальную информацию по мере ее поступления.
Кроме того, опубликовала набор вредоносных артефактов, которые специалисты могут использовать в качестве IOCs в своих средах.
• Нашел очень крутой ресурс, который содержит огромное кол-во инструментов для ИТ специалистов, начиная от калькулятора ip адресов и оценки надежности паролей, заканчивая конвертерами и линтерами для JSON, YAML, XML и т.д. Так сказать, универсальный набор тулз, который пригодится для выполнения повседневных задач.
• А еще вы можете развернуть всё локально, если потребуется. Инструкция есть на github. Пользуйтесь:
➡️ https://it-tools.tech
#Tools
• Андрей Созыкин завершил основной раздел своего курса по компьютерным сетям и приступил к следующей части, которая будет посвящена теме защищенных сетевых протоколов. В новом разделе будут рассмотрены следующие протоколы:
➡TLS – Transport Layer Security;
➡HTTPS – HTTP Secure;
➡DNS-over-TLS, DNS-over-HTTPS;
➡DNSSEC – DNS Security Extensions.
• Отмечу, что лично я считаю данный курс одним из лучших и понятных в части изучения сетей. А еще курс полностью бесплатный и опубликован на YouTube, что делает его доступным для всех желающих! Напомню, что Андрей начал актуализировать свой курс еще год назад и сейчас можно посмотреть более 38 уроков:
➡Введение в курс;
➡Организация компьютерных сетей;
➡Терминология сетей;
➡Модель ISO OSI;
➡Модель и стек TCP/IP;
➡Стандартизация сетей;
➡Организация сетей TCP/IP;
➡Анализатор сети Wireshark;
➡Прикладной уровень;
➡Протокол HTTP;
➡HTTP в текстовом режиме;
➡Кэширование в HTTP;
➡HTTP в Wireshark;
➡HTTP API;
➡Практика по HTTP API;
➡HTTP API в Postman;
➡HTTP API в curl;
➡Система доменных имен DNS;
➡Протокол DNS;
➡Протокол DNS в Wireshark;
➡Типы записей DNS;
➡Типы записей DNS в Wireshark;
➡Утилиты DNS host и dig;
➡Итеративный и рекурсивный режимы DNS;
➡Транспортный уровень;
➡Протокол UDP;
➡Протокол UDP в Wireshark;
➡Протокол TCP;
➡Протокол TCP: скользящее окно;
➡Протокол TCP: установка соединения;
➡Утилиты TCPView, netstat и ss;
➡Протокол TCP: формат заголовка;
➡Протокол TCP в Wireshark;
➡Протокол TCP: управление потоком;
➡Протокол TCP: управление перегрузкой;
➡Интерфейс сокетов;
➡Практика по сокетам;
➡Протоколы, интерфейсы и сервисы.
• Когда будет завершен раздел с описанием защищенных сетевых протоколов, то я обязательно опубликую эту информацию в канале. Либо можете самостоятельно отслеживать выход нового материала в этом плейлисте: https://www.youtube.com/playlist/seti
• P.S. Не забывайте про мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network
#Сети