ZeroDay | Кибербезопасность

Иллюзия безопасности: как я научился обходить виртуальные очереди (и почему клиентская защита - это театр) Разбор того, как устроены системы очередей в e-commerce, и почему они регулярно дают сбои. Снаружи это выглядит как строгий контроль доступа, но внутри часто остаётся набор правил, которые легко расходятся с реальной архитектурой приложения. ⏺В статье - типовые точки отказа: зависимость от клиентского JavaScript, выборочная защита только отдельных URL и API, устаревшие эндпоинты без ограничений, слабая логика токенов и рассинхрон между сервисами. Хорошо показано, что очередь - это не «барьер», а слой логики, который нужно правильно интегрировать на сервере. Если проверка остаётся на клиенте или покрывает не все пути - защита превращается в декорацию. ZeroDay | Белый Хакер | #Статья

Как работают кодеры… ZeroDay | #мем

Почему мы до сих пор используем пароли, хотя все их ненавидят 👋 Приветствую в мире цифровой безопасности! Расскажу, почему несмотря на токены, биометрию и SSO, пароли никуда не делись. ⏺История началась в 1961 году: Фернандо Корбато из MIT создал первую многопользовательскую ОС и придумал связку логин/пароль чтобы инженеры не видели данные друг друга. Никакой глобальной безопасности не планировалось. В 2014 году он сам назвал пароли «кошмаром». ⏺Технический долг Unix живёт до сих пор: /etc/passwd изначально хранил хэши паролей в открытом доступе, потому что утилитам вроде ls нужен был доступ к нему. Когда железо стало быстрее брутить хэши, пришлось срочно создавать /etc/shadow. Старый файл остался ради совместимости. ⏺Беспарольный доступ - это иллюзия: токены ломаются, телефоны теряются, сканеры загрязняются. Любая инфраструктура обязана иметь резервный канал восстановления доступа. Почти всегда им становится классический пароль. ⏺MFA тоже обходят: MFA Bombing - атака, при которой пользователя заваливают push-уведомлениями пока он не нажмёт «подтвердить» из усталости. Социальная инженерия работает поверх любого второго фактора. ⏺Инструменты аутентификации стоит использовать вместе с паролями, а не вместо. FIDO2 и WebAuthn требуют поддержки со стороны браузера и приложения. SSH-ключи хороши, но кто отзывает ключи уволившихся? Passkey от Apple и Google удобны, но замыкают в экосистему. ⏺Для хранения секретов: личное использование - KeePassXC, Proton Pass. Для инфраструктуры - HashiCorp Vault, FreeIPA, Bitwarden с самохостингом. ZeroDay | Серверная Админа | #cybersecurity

Lateral Movement: как атакующий ходит по сети 👋 Приветствую в мире цифровой безопасности! Расскажу, как атакующий перемещается по сети после того, как попал на первый хост. ⏺Lateral movement - перемещение внутри сети после первоначального проникновения. Взломали один хост, дальше ищут, куда можно добраться оттуда. Цель: добраться до чего-то ценного — контроллера домена, базы данных, резервных копий. ⏺Первый шаг после компрометации: разведка. Что видно из этого хоста, какие соседи отвечают, какие учётки доступны в памяти.

    
        net view /all
arp -a
Get-NetTcpConnection | Where-Object State -eq Listen{}
    

⏺Самый распространённый вектор в Windows-сетях: Pass-the-Hash. Из памяти процесса lsass извлекается NTLM-хэш учётки, и с ним аутентифицируются на других хостах без знания пароля:

    
        impacket-psexec -hashes :aad3b435b51404eeaad3b435b51404ee Administrator@10.0.0.5{}
    

⏺Второй классический вектор: Kerberoasting. Запрашиваем TGS-тикет для сервисной учётки, забираем его и брутим оффлайн:

    
        impacket-GetUserSPNs domain/user:pass -dc-ip 10.0.0.1 -request
hashcat -m 13100 ticket.txt wordlist.txt{}
    

⏺WMI и PSRemoting позволяют выполнять команды на удалённых хостах легитимными средствами Windows - именно поэтому их сложно отличить от нормальной активности администратора:

    
        Invoke-Command -ComputerName 10.0.0.5 -ScriptBlock { whoami }{}
    

⏺Детектировать lateral movement сложнее всего: используются штатные инструменты, легитимные протоколы, реальные учётки. ➡️Признаки: аутентификация с нетипичных хостов, необычное время, цепочки логинов между машинами за короткий промежуток времени. ZeroDay | Серверная Админа | #lateralmovement

Подборка каналов IT от наших друзей: 🦥 Lazy_Programmer – Для ленивых 📲 Lazy_Programmer – В MAXе тоже есть место для лени 🤩 iwannabeprogrammer  — IT-мемы 📲 iwannabeprogrammer – Мы в MAX 🎬 videos_it  — База видеоуроков по IT 🐧 Linux_Club — Для Linuxоидов 📔 BOOKS — Читать не перечитать 🇷🇺 our_computer — У нас как в СССР 🔐 LazySecurity — Канал по ИБ 🔥 floppydisky — ITUMOR 📱 codebase_frontend — Красим кнопки ➡️ LazyDevOps —  Канал для дев и псов 🐈‍⬛️ LazyTester — Протестируй канал!

Совет на 2026 год — переходите в ML. Пока обычные разрабы конкурируют с ИИ-копилотами, ML-инженеры эти самые нейронки создают. В эпоху нейростей это самые востребованые люди в мире программирования. Зарплаты мидлов начинаются от 250 000 ₽, а у сеньоров в BigTech доходят до 700 000 ₽. А чтобы освоить его всего за 4 месяца без лишней суеты — изучите канал Артема Алехина. Его бэкграунд: Руководитель команды в Сбере, валютная удаленка. К 22 годам вышел на доход 1 000 000+ ₽ в месяц. На канале вы найдёте: — Всё про самые востребованные стеки(Python, ИИ-агенты, NLP) и почему математика — это не страшно, если учить только нужное. — Как оформить резюме, чтобы оно пролетало через любые LLM-фильтры и ATS-системы прямо к тимлидам. — Скрипты переговоров, которые помогли его ученикам прыгнуть с 0 до 360к всего за 8 месяцев. Во времена острой нехватки ML-разработчиков, это лучшее время, чтобы перекатиться. Переходи и изучай: https://t.me/+UoZATNDBrYs3NDcy

Как приложения определяют ваши средства обхода блокировок? 👋 Приветствую в мире цифровой безопасности! Расскажу, как операторы и приложения детектят ваши туннели. ⏺Раньше весь контроль был на стороне оператора: DPI анализирует трафик, блокирует протоколы, приложения ничего не знают. Теперь появился второй эшелон, само приложение на устройстве проверяет, как именно установлено соединение. Даже если трафик прошёл через оператора - приложение может поймать самостоятельно. ⏺Самый легкий метод на Android: проверка сетевых интерфейсов. Любое приложение без root и специальных разрешений может увидеть активный туннельный интерфейс:

    
        val caps = cm.getNetworkCapabilities(activeNetwork)
val isTunnel = caps?.hasTransport(
    NetworkCapabilities.TRANSPORT_VPN
) == true{}
    

Или просто проверить наличие интерфейса tun0 через NetworkInterface. Десять строк кода. ⏺Серверная сторона работает параллельно: каждый запрос приходит с IP-адресом клиента, бэкенд прогоняет его через базы вроде MaxMind или IP2Proxy и сравнивает с известными диапазонами туннельных серверов. Код приложения менять не нужно, потому что проверка на бэкенде. ⏺Третий метод сложнее и точнее. Приложение сравнивает несколько сигналов одновременно: IP-адрес, GPS, данные SIM-карты, язык системы, часовой пояс. Если IP говорит Амстердам, а SIM и GPS - Москва, ну вывод понятный. Каждый сигнал по отдельности можно обмануть, а в совокупности уже намного сложнее. ⏺На iOS всё труднее: Apple ограничивает доступ приложений к сетевым интерфейсам напрямую. Остаются обходные пути - getifaddrs() из C, анализ задержек, проверка DNS-резолвинга. Менее надёжно, но работает. ⏺Механизм стимулирования простой: попадаешь в белый список - твой трафик не трогают. Если выпадаешь, то попадаешь под общую фильтрацию. Условие попадания в список - самостоятельно ограничивать пользователей с туннелями. Экономический стимул работает лучше любого требования. ZeroDay | Бункер Хакера | #cybersecurity

Cameradar: как за минуту находят открытые камеры в сети 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺Cameradar - это инструмент, который проходит по сети и ищет камеры с RTSP, а потом сразу пытается к ним подключиться. Не только выдает «нашёл порт», а реально проверяет, можно ли открыть стрим. ⏺Сначала он ищет, где вообще есть RTSP. Берёт диапазон IP, проверяет стандартные порты и собирает всё, что отвечает. Дальше пытается понять, что это за устройство и как у него устроен доступ к видео. ⏺Потом идёт перебор маршрутов. У камер часто стандартные пути вроде /live.sdp или /h264, и если попасть в правильный — стрим открывается сразу. Эти пути он берёт из словаря и прогоняет по каждому найденному хосту. ⏺Следующий шаг - это уже креды. Подставляются дефолтные логины и пароли, типичные для камер. И вот здесь чаще всего всё и ломается, потому что «admin/admin» до сих пор живее всех живых. ⏺В итоге получается не тупо список открытых портов, а рабочие стримы с доступом. Если видео открылось - это уже готовый результат, а не гипотеза. ⏺Быстрый запуск:

    
        docker run --rm -t --net=host ullaakut/cameradar --targets 192.168.1.0/24{}
    

Он сам пройдёт весь диапазон и попробует зайти на каждую камеру. ⏺Можно усилить перебор своими словарями:

    
        docker run --rm -t --net=host \
  -v /path/to/dicts:/tmp/dicts \
  ullaakut/cameradar \
  --custom-routes /tmp/dicts/routes \
  --custom-credentials /tmp/dicts/creds.json \
  --targets 192.168.1.0/24{}
    

Полезно, если знаешь вендора или типовые конфиги. ⏺Если цель уже известна, можно не сканировать сеть, а сразу идти в атаку

    
        docker run --rm -t --net=host \
  ullaakut/cameradar \
  --skip-scan \
  --ports "554,8554" \
  --targets 192.168.1.10{}
    

Быстро проверяет конкретное устройство. ⏺Под капотом используется nmap или masscan. Первый аккуратнее и точнее, второй быстрее, когда диапазон большой. ZeroDay | Белый Хакер | #Инструмент

Обфускация e-mail: что работает в 2026-м? Пока все вечно спорят про архитектуры и модели, проблемы лежат ниже - в данных. Они накапливаются, расползаются по системам, обрастают костылями и в какой-то момент их уже нельзя ни нормально собрать, ни проверить. И вот уже тихо теряется контроль… ⏺ В статье разбирают, как Data Gravity превращает инфраструктуру в заложника собственных данных: десятки источников, копии без версий, ETL который давно живёт своей жизнью. На этом фоне отравление выборки проходит незаметно - подмешал шум, сдвинул разметку, встроил триггер, и модель это выучит. ZeroDay | Белый Хакер | #Статья