Опенсорсное приложение Nearby Glasses сканирует Bluetooth-идентификаторы окружающих устройств. Умные очки можно распознать по идентификаторам компаний в рекламном фрейме BTLE, ADV_INV, сверяя информацию с базой производителей.
Привет, Хабр. Я Александр, мне 33. Хакинг у меня хобби, а не работа: CTF, Hack The Box, иногда багбаунти по выходным. И каждый раз одно и то же.
Открываешь тулзу — первым делом —help. Флагов экран, все на английском. Сидишь, вычитываешь, что тебе сейчас нужно. Собрал один флаг, переключился на второй — а как пишется первый, уже забыл. Снова —help. И по новой. На сборку одной команды уходит больше времени, чем на саму работу.
Команду собрал. А дальше? nmap отработал, передо мной открытые порты — и я завис. За что хвататься? В каком порядке? Это знание у каждого где-то в голове, и достаёшь его каждый раз заново.
Словарь. И где он лежит-то. /usr/share/wordlists? seclists? А подкаталог? Опять ls, find, вспоминаешь путь, который вбивал сто раз.
Пейлоад. Лезешь в PayloadsAllTheThings — а там стена. Какой брать? На каком этапе? Что выстрелит, а что лежит для галочки? Непонятно.
И так весь тест размазан по тридцати вкладкам. HackTricks, PayloadsAllTheThings, GTFOBins, revshells, рядом гугл с переводчиком — половина же на английском. Плюс папка своих заметок.
Бесит. Особенно на вебе: нашёл точку, надо быстро прогнать пейлоады — а ты вместо дела вспоминаешь, где у тебя что лежит.
В какой-то вечер я психанул и начал сваливать всё нужное в одно место. Локально, на русском, поиск по одной кнопке. Оно разрослось, и я сам не заметил, как это стало отдельным проектом. Выложил в опенсорс. Назвал ARS3NAL — тут без фантазии, арсенал он и есть арсенал.
Статья для @MegaFon, в меньшей степени для Мах, но их тут и не призвать к ответу, тем более что они как-то и не совсем при делах, но в принципе тоже могли бы как-то поучаствовать. ( впрочем, поддержка Мах на удивление быстро отреагировала в субботу вечером)
История отчасти детективно-нердская, но во многом о том, как "информационная безопасность" и "бюрократия" могут дойти до тупика, да и по сути лишают доп.прибылей.
Ах да, Max все же в меньшей степени, а скорей про то, что если моему приложению/компании нужна служба поддержки, то её регистрировать можно только на реальную симку, а это очень неудобно.
Итак, предыстория: я как разработчик ПО имел и имею канал поддержки клиентов в телеграм канале, после усиления блокировок часть клиентов оттуда отвалилось (не хотят квн смотреть) и перешли в Мах, и соответственно клиентам нужно иногда выставлять счета, также оказывать поддержку, и для этого пришлось завести аккаунт МАХ отдельного для этого (не с личного же номера это делать, тем более если доступ надо давать кому-то ещё к этому каналу).
У Мегафона БЫЛА (и есть) удобная услуга, дополнительный номер, это когда есть основной номер по сим-карте, и можно еще приделать хоть три номера дополнительных виртуальных ( за 2р в сутки- 60р в месяц), при этом смс туда приходят и звонки, да и звонить можно с этого номера, удобно, и выгодней-удобней чем делать доп.сим-карту, и вот на такой номер были более двух лет назад созданы аккаунты поддержки в телеграме и не так давно в Махе ( причем доступ дан и некоторым другим со-админам- которые также отвечают в поддержке). Смс естественно при регистрации туда пришли.
Когда речь заходит о Flipper Zero, большинство вспоминает RFID, NFC, Sub-GHz и бесконечные ролики про открытие шлагбаумов. Но одна из самых интересных возможностей устройства — встроенный JavaScript-движок и модуль BadUSB, который позволяет превратить Flipper в программируемую USB-клавиатуру.
В этой статье разберём небольшой, но показательный скрипт, который автоматически устанавливает набор инструментов для пентеста на macOS через Homebrew. Заодно посмотрим, почему JavaScript на Flipper оказывается значительно интереснее классического DuckyScript.
Это продолжение поста о WardLink — P2P-синхронизации между своими устройствами по LAN без сервера в петле. Здесь про то, куда это может пойти, и про несколько вопросов, на которые у меня пока нет хорошего ответа.
Привет, Хабр! Бытует мнение, что блокчейн и криптовалюты — чуть ли не самый защищённый способ хранить активы, до которого хакеры если и доберутся, то только в формате физического завладения флешкой или социнженерии. А вот именно взломать такие протоколы очень и очень сложно.
Наш экспертно-аналитический центр InfoWatch (ЭАЦ) выпустил большой отчёт о киберпреступности в области децентрализованных финансов. В этой статье мы поделимся некоторыми данными из него. Для затравки — лишь за неполные пять месяцев 2026 финансовые потери DeFi-протоколов превысили 770 миллионов долларов. Худший месяц для индустрии в этом плане — апрель, на который пришлось 606 похищенных миллионов.
Впрочем, обо всём по порядку.
Основные подходы к рендерингу в современных React‑приложениях, о рисках безопасности при переносе логики на сервер, а также о критической уязвимости react2shell, затронувшей экосистему React Server Components.
В этой статье риски и угрозы будут рассмотрены на примере next.js — ведущим фреймворком в области ssr и в особенности инструментом, который позволяет использовать rsс.
После пяти месяцев отсутствия на этой блог площадке по личным причинам мы возвращаемся с заметкой, которая была написана еще в конце февраля, но оказалось, что все еще не устарела.
Девять лет мы в IDX работали за кадром. Буквально. Наши сервисы верификации персональных данных существовали в пространстве между двумя защищёнными периметрами — клиентским бизнесом, которому нужно убедиться в подлинности данных своего пользователя, и государственными реестрами, которые эти данные хранят. Мы обеспечивали своего рода «гальваническую развязку»: два контура работают, обмениваются сигналом, но никогда не соприкасаются напрямую.
Это была надёжная, понятная и хорошо зарекомендовавшая себя архитектура. Была — до недавнего времени.
Сегодня на рынке произошло сразу несколько событий, которые в совокупности меняют саму логику того, как устроена верификация. И этот текст — попытка осмыслить, к чему именно мы движемся и что это означает для нас как для индустрии.
Периметр умер. Давно, просто не все заметили
Традиционная архитектура информационной безопасности строилась на простой идее: есть доверенная зона внутри периметра и ненадёжный мир снаружи. Попал внутрь — считаешься своим. Именно на этой логике строилась и большая часть корпоративных систем, и первые поколения сервисов верификации: достаточно один раз проверить пользователя «на входе», и дальше ему доверяют автоматически.
Эта модель разрушалась постепенно. Утечки данных, облачные инфраструктуры, удалённая работа — всё это размыло понятие «периметра» задолго до того, как появился термин Zero Trust. Но именно в 2020–2025 годах концепция нулевого доверия оформилась в конкретные стандарты и начала реально влиять на то, как строятся системы.
Разбор интересной уязвимости pac4j-jwt на примере решения машины HackTheBox Principal. Средний уровень сложности, но концептуально очень интересная. Оба этапа атаки (первоначальный доступ и повышение привилегий) построены на одной и той же фундаментальной ошибке: проверка криптографической оболочки без валидации содержимого внутри нее. Это не просто цепочка уязвимостей, а демонстрация того, как один принцип проявляется в двух совершенно разных технологиях – JWT/JWE и SSH Certificate Authority.
На связи Андрей, руководитель направления безопасности облака в Selectel. Под катом расскажу, как настроить автоматический сбор данных о работающих Docker-контейнерах — образах, привилегиях и capabilities — и передать их в Wazuh для мониторинга и алертинга.
Сертификат скомпрометирован, а срок действия ещё не вышел — как сказать клиентам «больше ему не верьте»? Разбираем оба механизма отзыва, CRL и OCSP: отзыв, генерация и публикация списков, responder, stapling в nginx/apache. С полным справочником всех параметров.
В 2026 году злоумышленники проводили рассылки, ориентированные на бухгалтеров, в адрес более 3000 компаний из разных отраслей в России, Беларуси, Казахстане и Узбекистане. По нашим оценкам, с начала 2026 года группировка Hive0117 совершила около 400 успешных атак. Средняя сумма ущерба от этих атак составила 10 млн рублей. Специалисты F6 Fraud Proteсtion изучили весенние атаки Hive0117 и разобрали инструменты, которые используют злоумышленники.
24 февраля 2026 года в 16 часов по Хабаровскому времени в мессенджере MAX от аккаунты папы приходит сообщения вида "Посмотри, это ты на фото" и следующим сообщением приложен файл "Фото(3).apk". Я сразу же позвонил отцу - интернет отключили, симку вытащили, а на следующий день он сходил в МФЦ и поменял пароль. Файл с вирусом скачать я не смог - через полчаса после этого аккаунт отца удалили за спам, плюс само сообщение я удалил. Но пока файл ещё был я попросил брата переслать его мне, но скачать я его уже не мог - из-за удаления аккаунта.
Работу пояснительную хоть и проводили, но "был без очков, что-то тыкнул" и установил - когда у тебя телефон от Huawei без гугл сервисов, то все приложения плюс минус так и ставились. Прошло время - аккаунт через месяц папе дали вновь зарегистрировать, телефон тот мы отложили от греха подальше, выдал свой старый Samsung A50 и про случай забыли. Но одним вечером, когда я лежал в кровати я подумал - "Стоп, если аккаунт восстановили, то и файл я могу скачать?" Зашел в чат с братом, долистал до пересланного сообщения и решил скачать файл вновь. И что вы думаете - я его скачал! Б - Безопасность. А раз файл скачан, то надо его проанализировать - о чём и будет статья.
В мире открытого кода термин protestware стал новым классом риска в цепочке поставки ПО: мейнтейнеры намеренно вносят изменения, чтобы выразить личную позицию или отношение к происходящим событиям, что иногда может нарушить работу критически важных приложений или стать юридическим риском для разработчика или компании.
Опираясь на международные исследования и собственный анализ базы протестных пакетов, мы в CodeScoring попытались понять – остаётся ли protestware временной реакцией на кризисы или превращается в устойчивый элемент экосистем.
В прошивках редко есть удобные символы и понятная точка входа, зато почти всегда остаются следы: строки, таблицы адресов, магические значения, обработчики прерываний и вызовы RTOS. Разбираем, как использовать эти зацепки в Ghidra, чтобы постепенно превратить сырой бинарник в осмысленную карту функций, данных и связей между ними.
Выбираете алгоритм хеширования паролей — берёте bcrypt, потому что все берут bcrypt, ставите rounds=10, потому что так в туториале, и идёте дальше. Разбираем, почему это может быть ошибкой, чем отличаются Argon2, scrypt и PBKDF2, и как правильно настроить каждый из них.
Группа киберразведки Positive Technologies зафиксировала новую фишинговую кампанию хакерской группировки NetMedved, нацеленную на российские организации. Как и в описанных нами ранее атаках, операторы используют деловую тематику, документы-приманки и легитимный инструмент удаленного администрирования NetSupport Manager, развернутый в системе жертвы.
В предыдущих кампаниях NetMedved уже применялись архивы с документами-приманками, вредоносные LNK-файлы, PowerShell-загрузчики, сценарии с использованием finger, а также HTA-варианты с декодированием приманки и NetSupportRAT из тела файла. В новой кампании операторы сохранили основную модель атаки, но расширили набор начальных стадий и инфраструктурных приемов.
За шесть предыдущих выпусков мы собрали собственный конвейер безопасной разработки: развернули виртуальные машины, подняли инфраструктуру из GitLab, Vault, Nexus, DefectDojo и Dependency-Track, написали CI/CD-пайплайн, подключили сканеры безопасности и настроили резервное копирование.
Остается главный вопрос: сможет ли наш конвейер находить реальные уязвимости, а не просто радовать разработчиков зелеными галочками в интерфейсе GitLab?
Как говорили старые DevSecOps-бояре, «в нашем деле на слово не верят — безопасность нужно проверять».
Поэтому сегодня устроим нашему конвейеру проверку боем. Возьмем уязвимое приложение Reactvulna, загрузим его в GitLab и прогоним через собранный нами пайплайн. После этого разберем результаты сканирования и посмотрим, насколько хорошо собранная нами инфраструктура справляется с обнаружением проблем безопасности.
Привет, Хабр!
Меня зовут Максим Мотиков, я аналитик киберугроз в «Гарде». Недавно на анализ мне пришел странный экзешник весом 81,54 МБ. Коллега выцепила его из сетевого трафика, но что внутри было, непонятно. Стиллер? Загрузчик? Что-то новое?
Оказалось, что передо мной вредоносная утилита на Python. Хотя эти зловреды давно существуют и регулярно эксплуатируются, мне задача отреверсить подобную штуку досталась впервые. До «Гарды» я занимался реверсом firmware — встроенного ПО инициализации ПК (BIOS, UEFI) и прошивок микроконтроллеров. Там всё написано на ассемблере и C/C++, ведь код должен напрямую работать с железом, поэтому никакой Python там не встречается.
Готового пошагового гайда по реверсу Python‑вирусов и вредоносных утилит я не нашел. Попадались, конечно, разборы конкретных кейсов, но какой-то универсальной инструкции, не было. Когда я разобрал по косточкам свой зловред, взял еще несколько образцов, прогнал их по тому же сценарию, получился вполне рабочий пайплайн для начинающих аналитиков угроз. Делюсь им под катом.
Представьте себе площадь: людную, шумную, и на ней стоят двое, назовем их Алиса и Коля. Им нужно договориться о пароле, но шептаться друг с другом нельзя. А еще вокруг толпа, и в толпе стоит Ева, которая записывает каждое слово. Никаких записок, никаких встреч за кулисами, только крик через всю площадь.
Звучит как безнадежная задача. Все, что Алиса крикнет Коле, услышит и Ева. Любая информация, которая дойдет до Коли, дойдет и до нее. Кажется, что общий секрет в таких условиях невозможен в принципе.
А теперь плохая новость для нашей интуиции: именно это сейчас происходит на вашем устройстве.