infosec

• При переходе в сервисы Яндекса с включенным VPN пользователи видят страницу-заглушку, которая не позволяет перейти в сервис. Если посмотреть код данной страницы, то можно найти отсылку к роману-антиутопии Д. Оруэлла "1984". Такие вот забавные пасхалки...

• Кстати, хочу напомнить, что книгу Оруэлла "1984" можно бесплатно скачать в нашей группе, ну или читать онлайн.

#Оруэлл

Как найти слабые места в веб-приложении до того, как их найдут хакеры?

Расскажем на курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!

🔴 Каждую неделю — вебинары с куратором! Успейте записаться до 26 апреля. Регистрация здесь.

Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)

Получите практические навыки как в рабочих задачах, так и в Bug Bounty.

🚀 По всем вопросам пишите @CodebyAcademyBot

• Один из ключевых протоколов интернета FTP (file transfer protocol) сегодня отмечает свой 55-й день рождения. Студент Массачусетского технологического института Абхай Бушан опубликовал первые спецификации RFC 114 16 апреля 1971 года, задолго до появления HTTP и даже за три года до TCP (RFC 793)! Простой стандарт для копирования файлов с годами начал поддерживать более сложные модели контроля, совместимости и безопасности. Cпустя 55 лет FTP нельзя назвать устаревшим и миллионы FTP-серверов все еще доступны в Интернете.

• К слову, автор данного протокола был не единственным, кто принял участие в разработке FTP, ведь после выпуска из вуза он получил должность в Xerox, а протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.

• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.

#Разное

• Анекдот дня: на официальном сайте Samsung есть пошаговый гайд, в котором описан процесс изоляции приложений в папку Knox. В качестве примера показали изоляцию мессенджера Max 🐶

➡️ https://www.samsung.com/ru/knox

#Разное

• Криптобиржа Grinex, которая пришла на смену Garantex, была взломана! В результате взлома были похищены средства на сумму более 1 млрд рублей.

• В компании сообщили, что они подверглись масштабной кибератаке с признаками участия "зарубежных спецслужб". Все украденные активы конвертировали в TRX и вывели на один кошелёк. Работа биржи приостановлена. На сайте висит плашка о проведении технических работ.

• Теперь пользователи задаются вопросом, как им вернуть свои деньги...

#Новости

• Посмотрите, как прекрасен мир без интернета...

#Разное

• Интересно, конечно: злоумышленники отправляли своим жертвам шпионское ПО вместе с мобильным телефоном. Реализация такой схемы осуществлялась в феврале и марте текущего года и была ориентирована на клиентов банковского сектора России. Всего было зафиксировано около 300 подобных атак.

• Жертва получала смартфон с предустановленным трояном LunaSpy, которое умеет в перехват камеры, записывает звук с помощью микрофона смартфона, осуществлять запись экрана и собирать чувствительные данные.

• Кроме целого арсенала для слежки, на устройстве реализован функционал самозащиты, препятствующий удалению LunaSpy. При обнаружении окна для удаления приложения, под которым скрывается троян, LunaSpy выполняет нажатие системной кнопки "Назад" и отправляет сообщение на сервер злоумышленникам.

• А еще на зараженном устройстве есть средство связи злоумышленников с жертвой. В условиях проблем с работой ряда мессенджеров атакующие использовали малоизвестные приложения на базе протокола Matrix. При этом бэкенд приложения был развернут на серверах самих киберпреступников.

• Судя по всему, это новый потенциальный вектор мошеннических схем, основанный на доставке вредоносного ПО пользователю вместе с устройством.

• Подробности исследования Android-трояна LunaSpy с техническими деталями можно прочитать здесь.

#Исследование

👩‍💻 Bash Reference Manual.

• Нашел очень объемное и актуальное руководство от GNU, которое поможет новичкам освоить Bash или подтянуть свои знания, если вы ранее уже приступали к изучению:

➡ https://www.gnu.org/software/bash/manual/bash.pdf

• Дополнительно ⬇️

➡Command Challenge - очень крутая интерактивная игра, которая бросает вызов вашим навыкам Bash. Все задачи решаются через командную строку. Игра начинается с довольно простых задачек и постепенно становится сложной. Если возникают сложности с решением, то вы можете посмотреть подсказку. В общем и целом, это очередная годнота в нашу копилку. Забираем по ссылке ниже и практикуемся. Бонусом: две более сложные версии игры: oops и 12days.
➡Очень объемная коллекция однострочников bash, которые могут быть полезны в решении определенных задач или повседневной работе.
➡Бесплатный практический курс по Bash - благодаря этому курсу вы освоите написание bash-скриптов с нуля и получите представление, какую пользу можно из них извлечь;
➡Кручу-верчу, запутать хочу - короткая, но полезная статья, в которой собраны необычные и малоизвестные трюки с перенаправлениями в bash;
➡Bash Introduction for Hackers - полезные заметки от hakin9, которые описывают различные нюансы и основную информацию для изучения Bash. Материал ориентирован на специалистов ИБ и пентестеров.
➡Bash Prompt Generator - очень крутой ресурс, где можно сконфигурировать строку для ввода команд в bash. Выбираете параметры, расставляете их в нужной последовательности и копируете готовую конфигурацию.
➡Bash Tips and tricks - небольшой сборник советов и рекомендаций для изучения Bash.

#bash

• Microsoft выкатили обновление, в рамках которого реализовали функционал предупреждения пользователей при открытии файлов подключения к удаленному рабочему столу (.rdp).

• Файлы rdp широко используются в корпоративной среде для подключения к удалённым хостам. Атакующие активно используют этот функционал в фишинговых кампаниях. При открытии эти файлы могут подключаться к системам, контролируемым злоумышленниками, и перенаправлять локальные диски на подключённое устройство, позволяя красть файлы.

• В рамках апрельских накопительных обновлений 2026 года для Windows 10 (KB5082200) и Windows 11 (KB5083769 и KB5082052) Microsoft выпустила новые средства защиты, предотвращающие использование вредоносных файлов RDP-подключения на устройствах.

• При попытках открыть файл .rdp теперь будет отображаться диалоговое окно безопасности перед установлением любого соединения. Это диалоговое окно показывает, подписан ли файл RDP проверенным издателем, адрес удалённой системы, а также перечисляет все перенаправления локальных ресурсов, такие как диски, буфер обмена или устройства, при этом все параметры по умолчанию отключены.

• Если файл не имеет цифровой подписи, Windows отображает предупреждение "Внимание: Неизвестное удалённое соединение" и помечает издателя как неизвестного, указывая на отсутствие возможности проверить, кто создал файл.

➡️ https://learn.microsoft.com/rdp-security-warnings

#Новости #Разное

23 апреля в 18:30 (мск) пройдёт офлайн-митап MWS Cloud Platform «Под капотом: инфраструктура». Также будет онлайн-трансляция. В программе доклады инженеров, которые ежедневно решают нетривиальные задачи при работе над инфраструктурными сервисами облака.

Из докладов вы узнаете:

— какие возможности открывают быстрые объектные хранилища, в том числе для работы с большими языковыми моделями
— как упростить для пользователя работу с управляемыми сервисами в облаке
— как снизить риски ошибок конфигурации и улучшить наблюдаемость с помощью сервисных агентов

После основной части — нетворкинг и угощения. Регистрируйтесь на митап! Это возможность обсудить нюансы, которые всплывают только в продакшене, и будут полезны на практике.

🗓23 апреля, начало в 18:30
📍Москва, Дом Культур, ул. Сретенка, 25

Вход бесплатный, но требуется регистрация и её подтверждение — количество мест ограничено.

Зарегистрироваться