Пару лет назад мы с коллегами из CyberYozh решили создать курс по этичному хакингу. Все как положено: детальная программа, план, маркетинг, свет, аппаратура, даже футболки подготовили соответствующие! Однако на деле все оказалось намного сложнее, чем это кажется со стороны.

Первое и самое сложное — это съемки. Иногда, для того чтобы записать 5-тиминутное видео, у меня уходило по 4 часа. И я сейчас не говорю про человека‑соседа, решившего повесить полку именно в момент съемки. Это и забывчивость подготовленного текста, Эканья и Аканья, почесывания, сбой в ПО при презентации экрана и банальная усталость от сидения на табуретке (именно табуретке, так как спинка стула мешает в кадре). А так как режиссер требует все записывать «одним дублем», иногда приходилось раз 20 перезаписывать 10-ти минутное видео с самого начала.

Второе, бумажная бюрократия. Так как планировался большой проект, мы привлекли маркетологов и технологов. Но только те вместо того, чтобы помогать нам в работе, наоборот, делали жизнь тяжелее.

Технологи начали требовать от нас составления плана на каждое видео: какие цели мы ставим перед уроком, какими задачами мы их достигнем и чему в итоге научится студент, посмотрев видео‑урок (что делали сами технологи, кроме как указывать нам на это, мы так и не поняли). Более того, это нужно проговаривать в начале каждого видео, и в конце повторяться и подводить итог, чему же все‑таки научились студенты.

А маркетологи настаивали, чтобы я говорил, какая это актуальная профессия, что по ней много не закрытых вакансий и что такие специалисты зарабатывают неприлично МНОГО, поэтому они срочно должны записываться на наш курс.

Ну и меньшее из зол, это неудобство исполнения. С учетом того, что я записывался в квартире, это накладывало свои особенности взаимоотношений с родными. Одна из комнат была постоянно занята, так как был развернут хромакей 2×2 метра, дополнительный свет, камера, микрофон, а заниматься постоянной сборкой‑разборкой такой конструкции то еще занятие. Кроме того, семья и человек‑сосед должны находиться в тишине, чтобы не было шума на фоне, а с учетом наличия детей — это просто нереально.

В общем, с горем пополам мы записали пару пилотных уроков, но потом решили завершить начинание. Это очень большой и тяжелый труд, который требует много сил. И это я еще не говорю про само содержание курса, которое должно быть качественным, актуальным и конкурентноспособным. А с учетом планов маркетологов по выпуску 2–3 уроков в неделю, это было более чем призрачно.

Какие выводы я сделал для себя? Во‑первых, несмотря на такой опыт, я все еще люблю преподавать, только исключительно в оффлайн формате: при прямом взаимодействии и живым общением со студентами. Во‑вторых, вопреки популярному мнению, что блогеры ничего не делают и только снимают свои дурацкие видео, это очень большая и тяжелая работа: если делать качественно и вдумчиво, то, как я и сказал выше, процесс записи может занимать очень долгое время и требовать больших физических усилий.

Прилагаемое видео — один из демо видеоуроков, который мы записали и смонтировали. Понимаю, что не у всех есть возможность посмотреть в YouTube, поэтому я залил видео во 📺 ВКонтакте. Желаю приятного просмотра.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Всепомнят захватывающий монолог Вигго Тарасова из фильма «Джон Уик», когда он рассказывал легендарную историю про «Бабу ягу» и уби**тво им трех человек... карандашом? Я думаю, 9 из 10 человек ответят утвердительно. А слышал ли кто‑нибудь из вас не менее захватывающую историю про открытие металлического сейфа... деревянной палочкой для суши? Я думаю тут таких не будет, поэтому исправляем ситуацию.

В рамках аппаратных исследований к нам на реверс‑инжиниринг в этот раз попал сейф EASY SAFE от китайской компании JIANGSU SHUAIMA SECURITY TECHNOLOGY с электронным замком. В соответствии с инструкцией на сейф можно установить 2 кода: пользовательский и дополнительный, каждый длиной от 3 до 8 символов. Для этого необходимо открыть сейф и нажать красную кнопку на внутренней части двери.

Кажется, безопасно, если не несколько НО!

Во‑первых, вышеназванная красная кнопка просто огроменная, что делает ее достаточно легкой целью.

Во‑вторых, наличие технического отверстия aka дырки аккурат напротив кнопки.

Следовательно, если владелец сейфа не прикрутил его к бетонной стене или иному недвижимому объекту, он подвергает себя большому риску.

И это только начало и, по сути, вершина айсберга «безопасности». В общем, не буду больше спойлерить. Остальные файндинги и полный разбор‑исследование данного аппарата можно будет почитать у меня на Хабре в скором будущем ;) Stay tuned!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

С моей точки зрения, программно‑аппаратный хакинг — это понимание того, как устроен объект исследования на самом низком уровне. Плата, компоненты, соединения и защитные механизмы — это первое, что мы изучаем, получив в руки новую «игрушку» для исследований.

И одна из задач специалистов в этой области — реверс‑инжиниринг. Мы разбираем устройство не ради разборки, а для чтобы понять его архитектуру, логику работы и способы защиты. И одним из инструментов, который для этого используется, является рентгеновское просвечивание.

Главная задача рентгена — это помочь нам разобраться в том, как разведена плата, где расположены ключевые компоненты и как они соединены между собой.
Кроме того, с учетом развития этого направления и роста ИБ‑зрелости вендоров‑разработчиков IoT, многие устройства специально проектируются для того, чтобы затруднить исследование: с ловушками, скрытыми дорожками, экранами, защитными слоями и другими элементами, которые не видны снаружи. Особенно это актуально в случаях, когда устройство или его отдельные узлы намеренно залиты компаундом. В таких обстоятельствах обычный визуальный анализ почти бесполезен, и на помощь приходит рентген, который позволяет понять, что именно скрыто внутри, без разрушения объекта на первом этапе.

Для нашей команды это не экзотика и не разовая практика, а стандартный рабочий инструмент. Мы располагаем необходимым оборудованием для выполнения таких исследований и регулярно используем рентгеновское просвечивание как часть базового процесса анализа устройств. Это позволяет нам быстрее получать представление о внутренней архитектуре изделия, заранее выявлять потенциальные антитамперные механизмы и аккуратнее планировать дальнейшие этапы реверс‑инжиниринга.

Возвращаясь к фото на превью: сможете ли вы сказать, какие компоненты присутствуют на плате, их предназначение и, в принципе, что это за устройство?

🧠 Обязательно поделись с теми, кому это может быть полезно:
💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Попадая в подсеть контроллера домена, первое, что делает любой пентестер, это перебор учётных записей пользователей (Kerbrute атака). Существует много статей об этом типе эксплуатации, но в каждом источнике авторы используют заранее подготовленный словарь (Смиты, Джоны, Уайты...), который не слишком точно соответствует реальной жизни. Сегодня мы попытаемся заполнить этот пробел и создать универсальный рабочий словарь для атаки Kerbrute в российской среде AD.

Первое, что нам нужно сделать — понять, как администраторы создают учётные записи в домене, а точнее — каков шаблон имён пользователей. Лучшей практикой для корпоративных имён пользователей является сочетание фамилии человека и первой буквы его имени, например в моём случае — iglinkin@corporate.local или i.glinkin@corporate.local. Шаблон зависит от политики безопасности компании и может выглядеть так: ivanglinkin@corporate.local, glinkini@corporate.local, glinkin.i@corporate.local, glinkinivan@corporate.local, или даже просто фамилия — glinkin@corporate.local

Для более точного определения формата пентестеры изучают сайты организаций и посещаемых ими публичных мероприятий: там как раз и указан верный формат. Например, в Microsoft используют формат ИФамилия@microsoft.com: John Winn имеет почту jwinn@microsoft.com.

Как мы можем видеть, фамилия является основной частью корпоративного логина. Имя не так важно, так как используется только первая буква, поэтому нам даже не нужно знать настоящее имя — достаточно просто добавить букву перед или после фамилии. Следовательно, следующий самый сложный и одновременно важный этап — собрать данные о фамилиях.

Мониторя интернет, я нашёл интересный источник https://woords.su/full-name/russian-surnames: в нём содержится почти полный список русских фамилий, в том числе уже c окончаниями "а" для женской половины. Ну а дальше дело техники: создаем скрипт,
for p in {1..2234}; do curl -shttps://woords.su/surnames/russian/page-$p | grep "<tr><td>" | sed 's/<tr><td>/\n/g' | sed 's/<\/td><td>/\n/g' | cut -d "/" -f 5 | cut -d "\"" -f 1 | sed 's/surname-//g' >> surnames.txt; done
который парсит все фамилии и кладет в файлик surnames.txt.

Далее генерируем простой словарь с буквами. Его можно даже создать вручную, там всего-то будет 28 букв (минус Ë, Й, Ъ, Ы, Ь - так как с них имена не начинаются): a, b, v, g , d, e, zh, z, i, y, k, l, m, n, o, p, r, s, t, u, f, h, ts, ch, sh, shch, yu, ya.

Последний шаг — это добавить каждую букву перед каждой фамилией. Что может быть проще?
for name in $(cat one_letter.txt); do for surname in $(cat lastnames.txt); do echo $name$surname; done;done
Полный список username'ов будет состоять из чуть более 9 миллионов. Достаточно много, но, как показывает моя практика, они перебираются за 1.5 часа через kerberos_enumusers от метасплоита.

Используя этот универсальный метод, можно... в общем, можно сделать массу того, чего делать не стоит ибо большой брат придет за вами.
А для исследовательских целей велком ко мне на 📱 GitHub и скачивайте уже подготовленные словари для ваших текущих проектов.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Разговоры вокруг отечественного связного 💬 Макс не унимаются с момента его официального выхода. Блогеры по всему миру "изучают" безопасность приложения, выискивая, куда он "ходит" и какую "секретную" информацию передает. В основном, все инфоповоды крутятся вокруг изучения манифеста приложения и его разрешений в системе, не углубляясь в изучение сетевых пакетов, исходники и декомпилляцию. А я как раз тот ленивый инфобезник, который еще ни разу не высказался относительно данного вопроса, поэтому исправляюсь.

В прошлую пятницу на весь 🇷🇺 российский интернет прогремела новость: все фото из ваших чатов в Макс может увидеть любой человек по ссылке.

Когда в личный чат или в папку «Избранное» в мессенджере загружается изображение, для него генерируется статичная гиперссылка. Ее можно найти в коде страницы в веб-версии Max. Эта ссылка открывается с других браузеров и устройств без авторизации в мессенджере - обнаружили пользователи. Более того, фото по ссылке останется в открытом доступе, даже если его удалить из переписки в Max.

На лицо классический IDOR. Но если мы проанализируем ссылки на фотографии, которые генерирует Макс, мы обнаружим, что изображения по ним действительно доступны без авторизации. Часть адреса у разных изображений совпадает, однако они содержат различающиеся подстроки длиной не менее 21 символа (минимум 16^21 комбинаций), а значит получить доступ к таким изображениям простым перебором адресов невозможно. Более того, EDR и WAF вас уже на 1000 запросе за несколько секунд обнаружат и отправят отдыхать минут на 5.
Ну а про хранение файлов "закон Яровой" никто не отменял.

А знаете, где еще применяется такая технология? В недавно (октябрь 2024 года) заблокированном мессенджере Discord. Все медиа файлы из приложения можно открыть в исходном качестве по прямой ссылке без регистрации и смс (именно поэтому его многие использовали как файлообменник, а платформа ограничивала размер передаваемого файла 8 мегабайтами). И, о новость, если потом данный файл удалить, он все равно остается доступным по прямой ссылке (см. прилагаемое видео).

Возвращаясь к Максу, не могу не обратить внимание, что его разработчиком является крупнейший IT-гигант Mail.ru. Я лично принимал участие в тестировании его на безопасность в период 2020-2021 годах и могу с уверенностью сказать, что там более чем секьюрно. Кроме того, опыт в обеспечении безопасности ВК, ОК и других массовых продуктов у них уже в генах.

Более того, у Макса есть Bug Bounty программа от Bi.Zone и за некоторые уязвимости там выплачивают до 10 миллионов рублей:

Получение доступа к приватной переписке определенных пользователей - 10 000 000 ₽
Получение доступа к местоположению определенных пользователей в реальном времени - 4 000 000 ₽
Получение доступа к телефонной книге определенных пользователей - 2 000 000 ₽

За год существования программы, было реально найдено 13 багов, за которые суммарно выплатили 873 тысячи. При указанной выборке я могу сделать вывод, что Макс достаточно безопасен, раз никто пока не смог сорвать джек-пот.

Поэтому, не верьте всему тому, что пишут в интернете: делите все минимум на 10. Ну и конечно, что попадает в интернет - остается в интернете, поэтому не забывайте про цифровую гигиену.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

В октябре 2025 года в сети распространился ролик,в котором девушка расплачивается улыбкой, используя ... фотографию своего знакомого. Комментаторы, как обычно, разделились на 2 лагеря: на обывателей, которые чихвостят "систему", и технических специалистов, утверждающих, что это фейк. Ну а мы давайте теоретически разберемся, что это и как такое в принципе возможно.

«Оплата улыбкой» — это сервис Сбербанка, который позволяет оплачивать покупки на кассах в магазинах с помощью биометрии. Проект был запущен летом 2023 года как альтернатива ушедшим с рынка платежным сервисам... Для оплаты нужно посмотреть в камеру, которая распознает изображение лица и сопоставляет его с уникальным номером, привязанным к биометрическим данным. Этот номер также привязан к счету карты. Если данные совпадают, оплата проходит. (с) РБК

Вообще, распознавание лиц в биометрических системах обычно работает как конвейер из нескольких шагов. Верхнеуровнево порядок следующий:

1. Набор камер получает кадр лица

2. Алгоритм находит лицо на изображении (рамку вокруг лица)

3. Система ищет ключевые точки (глаза, нос, уголки рта) и “выравнивает” лицо

4. Нейросеть преобразует лицо в вектор признаков (эмбеддинг) — набор чисел, который компактно описывает уникальные черты

5. Дальше считается “близость” двух векторов, например, косинусное сходство или евклидова дистанция: если сходство выше порога, то доступ/оплата разрешена.

Системы безопасности в таких устройствах настроены на защиту от подстановки фотографий, масок, а также добавляют проверки на "человечность". Так, системы анализируют блики и глубину, микродвижения, отражения от ИК-камера (кожа и материалы отражают по-разному); определяют объемность и т.д.
Поэтому, в профессиональных системах биометрии обычно используется нескольких камер:
• обычная RGB: получение изображения лица
• ИК: даёт надёжную проверку "человечности"
• глубина (3D/ToF): уверенное отделение “лица” от плоской подделки.

Возвращаясь к видео: если мы внимательно изучим аппаратную часть представленного PoS-терминала (можем даже сходить в ближайший магазин и физически его потрогать), то обнаружим только 1 обычную RGB камеру для селфи. В таких обстоятельствах программно-аппаратный комплекс не может провести дополнительные вышеуказанные проверки и надеется только на изображение. В таких обстоятельствах, как показывает международная практика, система может верифицировать злоумышленника по чужой фотографии, видео или даже маске.

При изложенных обстоятельствах, я бы предположил, что видео более похоже на правду, чем на фейк и не рекомендовал бы пользоваться функцией "Оплатить улыбкой" пока все терминалы оплаты не будут оснащены современным техническим оборудованием.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

В минувшею пятницу, 26 февраля, на площадке Кибердома прошла премьера фильма «Как получить доступ ко всему: реверс-инжиниринг».

Исходя из описания под трейлером, этот

Документальный фильм расскажет, как люди учатся вскрывать сущность комплексных технологических систем. Разбирая устройство или технологию по частям, мы получаем доступ к их структуре и замыслу создателей. Эксперты в области обсудят реверс-инжиниринг в СССР и России – от промышленности после Первой мировой до искусственного интеллекта и «киберпанка», который ждет нас в ближайшем будущем.

Я, к сожалению, на премьеру попасть не смог по причине конфликта в графике. Поэтому, чтобы "изучить материалы по теме" мне пришлось посмотреть фильм в четверг, то есть за день до его официальной премьеры!
Enumeration is the key (c) OffSec, и если хорошенько прошерстить интернет, то можно найти и посмотреть документалку без регистрации и СМС на официальном портале PREMIER: Как получить доступ ко всему: реверс-инжиниринг.

Естественно, не буду спойлерить детали, однако скажу, что фильм снят очень качественно, а в создании участвовали эксперты из Positive Technologies, «Лаборатории Касперского», Т-Банка, «Иви», SR Space, Музея криптографии, «Росатома», Elverils, интернет-проекта «Я помню» и другие неравнодушные люди и организации.
Как посмотрите, приглашаю вас в комментарии, чтобы обсудить увиденное и высказать свои мысли по поводу фильма!

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Среди пентестеров в настоящее время сложилась такая тенденция, что "внутреннее тестирование" подразумевает под собой исключительно взятие домена: ребята идут на проект с одной целью - взять AD и стать доменными администраторами. Однако, в сети живут не только рабочие станции и ноутбуки пользователей под управлением 💻 Windows. Мало того, что сеть полна зоопарком IoT устройств: принтеры, камеры наблюдения, роутеры, IP-телефония; так еще и внутренние веб-порталы, различные ERP-системы и среды разработки часто преобладают в общей "сетевой" массе.

И, как вы понимаете, во втором случае в дело вступают Веб- и 🐧 Linux пентестеры, так как все вышеперечисленное работает на базе детища Линуса Торвальдса.
В идеале, конечно, чтобы знания и навыки обоих направлений уместились в голове одного специалиста, так как после пробития "вебчика" желательно знать, куда копать дальше, а не передавать находки коллегам.

Вообще, в тестировании линукса также имеется своя методология с горизонтальными и вертикальными эскалациями. Получая первоначальный доступ с минимальными или ограниченными привилегиями, специалист начинает разведку с изучения системы, версии ядра, поиска зашитых логинов/паролей, дополнительных пользователей и т.д. Для автоматизации рутинных действий по энумерации всей системы имеются скрипты, которые проходят по основным моментам - LinEnum и linPEAS.

Среди основных выводов, данные программы показывают такие важные вещи, как SUID и GUID/SGID. SUID (Set User ID) заставляет программу при запуске временно работать с правами владельца файла (часто root), а GUID/SGID (Set Group ID) — с правами группы файла. То есть, если у исполняемого файла стоит бит SUID и его владелец — root, а программу запускает обычный пользователь, то программа запускается от имени рута.

Для помощи в эскалации привилегий группа исследователей разработали GTFOBins — онлайн-каталог встроенных в Unix/Linux утилит (bin’ов), которые при неправильной настройке, в том числе SUID/SGID, можно использовать, чтобы обойти локальные ограничения. Однако ручная проверка 40-50+ сервисов - не самая лучшая идея.

Поэтому, для помощи в "моментальном" получении суперпользователя при неправильной настройке SUID/GUID я разработал оффлайн утилиту AutoSUID. Она построена на базе проекта GTFOBins, имеет предзагруженную библиотеку мисконфигов (работает на системах без интернета) и, самое главное, работает с использованием штатных средств Linux (так как у простого пользователя нет прав на установку дополнительного ПО).
То есть просто закидываете .sh файл на тестируемый сервер и запускаете. Если есть уязвимые приложения, сразу получаете терминал рута (см. картинку). Вобщем, рекомендую!

Однако, если вы начинающий Linux пентестер, я не советую слепо исполнять мой скрипт равно как и LinEnum с LinPeas. Компания Splunk еще в 2021 году указала, что наши утилиты являются прекрасными инструментами для системных администраторов и ИБ при обнаружения потенциальных ошибок в системе. Вместе с тем они также могут быть использованы злоумышленниками для повышения привилегий и иных подозрительных действий.

Поэтому, перво-наперво, я бы рекомендовал изучить "матчасть" и понять, как работают скрипты под "капотом", а уже потом использовать средства автоматизации!

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Одной из важнейших задач реверс-инжиниринга является восстановление электрической схемы. Для того чтобы полностью и на низком уровне понять, как работает устройство, необходимо не только его разобрать, но и часами "прозванивать" дорожки: берем мультиметр, включаем диодную прозвонку и начинаем устанавливать связь между элементами.

В зависимости от сложности схемы, печатная плата может быть выполнена в 1-2 слоя: тогда дорожки можно визуально "проследить", просветив их фонариком. К слову сказать, лет 20-30 назад инженеры вообще не испытывали таких проблем, так как печатные платы были формата сквозного монтажа и все дорожки были снаружи и, как правило, контрастные.

К современным сложностям восстановления схемы я бы еще отнес SMD компоненты, которые отличаются между собой разве что только цветом: черный - резисторы, коричневый - конденсаторы, синий - индукция и т.д. И так как размеры элементов достаточно малые, производители не маркируют их характеристики: соротивление резисторов, емкость конденсаторов... Для того чтобы установить характеристики, необходимо выпаять каждый SMD элемент и измерить его мультиметром, после чего запаять на схему обратно.

Ну и вишенка на торте - использование чипов, даташиты на которые отсутствуют "в природе": сколько не гугли маркировку, ничего не найдешь. В узких кругах и для избранных производитель чипов, конечно же, предоставляет документацию. Но нам, как аппаратным хакерам, такая роскошь не всегда доступна )
В общем, производители все делают для того, чтобы производимое ими устройство сложно было скопировать, зареверсить или ... отремонтировать.

В данном случае, у меня на исследовании ключ автомобильной сигнализации. Как можно видеть по схеме, вся электроника крутится вокруг чипа A3XA5 QFN, работающего на частоте 27.6 МГц. С учетом того, что данное устройство является элементом безопасности, в интернете ноль информации по плате, чипу, алгоритму и т.д. Но это ненадолго: я провел собственное исследование и в скором времени опубликую свои находки! Поэтому, не переключайтесь ;)

п.с. Кстати, навык восстановления схемы нередко является одним из требований к вакансии, когда вы ищите работу по +- смежному направлению. Поэтому, если вы нацелены на данную профессию, советую потренироваться на несложных устройствах.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Когда работаешь с оборудованием, вне зависимости от должности и профессии, то телефон просто набит всевозможными рабочими фотографиями. Если говорим про инженера или архитектора, то скорее всего у них запечатлены план-схемы инфраструктуры, СКС разводки, серийный и MAC-адреса устройств, ...; робототехники обычно снимают своих "подопечных" и эксперименты с различной периферией; ну а у аппаратчиков - каждый шаг разбора, теста и реверса.

И все бы ничего, но иногда в галерею попадают изображения инсайдерского характера, разглашение которых может быть очень "больно" и "дорого". Поэтому требования к телефону, его настройке и разрешениям носят критический характер.
Представьте ситуацию, что сотрудник банка фотографирует вас с паспортом в качестве подтверждения личности для последующей выдачи карты. А вместе с тем, на телефоне установлена автозагрузка фотографий в облачный Google Images, с привязкой к геолокации и автоматическим размещением на Google Maps.

Скажете бред? А я отвечу, что я лично был в ситуации, когда наша команда готовились к Red Teaming'у одного градообразующего мобильного оператора и мы изучали местность по вышеуказанным картам. На наше везение, на здании ЦОДа, в которое нам необходимо было проникнуть, были фотографии серверной, разводки СКС, логины и пароли и еще много чего интересного.
В ходе разбирательства сотрудник пояснил, что злого умысла выгружать внутренние фото у него не было. Просто он озаботился бэкапами своей семейной галереи... в которую попали рабочие фотографии.

Сейчас, да что уж греха таить - уже как пару лет ваш телефон уже не ваш телефон (как и в Windows "Мой компьютер" плавно переименован в "Этот компьютер"). Все, что храните на телефоне, сразу становится достоянием общественности: разрешение на просмотр фото всеми приложениями, доступ к геолокации, камере и микрофону в фоновом режиме, доступ к контактам и самая прикольная тема, когда приложение запрашивает доступ на просмотр активности другого приложения...😂
Да и если почитать лицензионное соглашение, то и само устройство вам не принадлежит: ПО за компанией-разработчиком, а его реверс-инжиниринг и модификация запрещены уголовным законом. Что же касается железа, то эти кирпичи настроены на работу только со штатным кастомным ПО и драйверами, а всевозможные дебаг порты и флэш карты заблокированы.

В чем смысл моего повествования? Удобство использования всегда идет в разрез безопасности. Короткий и легкий пароль - удобно, но не безопасно; длинный и тяжелый - не удобно, но вряд ли вас взломают. Использовать все фичи телефона, включая камеру - удобно, но может все-таки рабочие и очень личные вещи оставить на "откуп" хотя бы оффлайн мыльницам?

В общем, есть над чем подумать на длинных выходных! А пока делитесь скриншотами своей телефонной галереи - давайте вместе оценим вашу работу)

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Что делает дальнобойщик, когда отдыхает? Правильно - играет в EuroTrack 😁 А что делать хакеру в свободное время? Ну, например, можно поиграть в Ultimate Hacker Simulator!

Пару недель назад, 26 января 2026 года, в раннем доступе Steam вышел симулятор хакера, который погружает в мир взлома, обхода блокировок и кодинга. По заверениям разработчиков, вы

окунётесь в темные уголки мира кибербезопасности и хакинга. Hackhub предлагает игрокам реалистичный и захватывающий виртуальный опыт. Исследуйте сети, проникайте в таинственные базы данных и проверьте свои навыки, выполняя высокоуровневые кибер-миссии.

Исходя из трейлера, в "игре" вы сможете поломать беспроводные сети (через стандартную атаку deauthentication), обойти защиту файерволов, осуществить телефонный фишинг (поработаете СБэшником банка), определить местоположение людей по IP-адресу (через GeoIP😂), общаться в секретном анонимном хакерском мессенджере, а также писать свои эксплоиты.

Кроме того, в "игре" реализована сеть интернет, в которую включен поисковик Goagle, социальные сети HuckHyb (по внешнему виду - LinkedIn) и Twotter, github, новостной агрегатор BBC и другие.
Также обращают на себя внимание такие приложения, как Kisscord, Skypersky и code++ (ага, текстовый редактор из Винды и Линуксе)), а вся игра построена вокруг рабочего окружения на базе BearOS (видимо отсылка к ParrotOS).

Исходя из системных требований, а это всего лишь i3 с 1 гигом оперативы (даже видеокарта не нужна), смею предположить, что "игра" представляет собой обычную виртуальную машину на базе Kali или того же ParrotOS, со скриптами, имитирующими действия пользователей.
Стоимость игры составляет всего ~531 рубль (3 400₸) и я надеюсь она сделана исключительно для веселья 😂
В ином случае, есть бесплатные аналоги в лице HackTheBox, VulnHub или его веб-версию от OffSec'ов, Root Me и др. В общем, выбор за вами и Happy Hunting!

П.С. интересно, а кто там финальный босс? 😉

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

-Почему друзья не смеются над вами, когда вы говорите про теорию заговора?
-Потому что все оказалось правдой!

После изобретения электрической лампы (опустим споры кто был первым) производители "светильников" старались делать свою продукцию наиболее качественной, долговечной и надежной. При таких показателях лояльность клиентов и, как следствие, продажи росли с геометрической прогрессией. Но после насыщения рынка качественным и не ломающимся продуктом, реализация приостанавилась и компании начали терять прибыль, а топ-менеджеры – премии.
Именно в таких условиях оказались 🇩🇪 немецкая Osram, 🇬🇧 британская Associated Electrical Industries и 🇺🇸 американская General Electric в 20-х годах 20-го века, когда они организовали картель "Фебус" (англ. Phoebus), направленный на искусственное сокращение срока службы ламп накаливания до 1000 часов (вместо прежних 1500–2500), чтобы стимулировать продажи.

Можно сказать, что отсюда начинает свою историю глобальный заговор под названием "Запланированное старение". Кстати нередко под громкими эгидами по типу "глобальное потепление", "сокращение выброса СО2", "солнечная энергия" и т.д. компании и продвигают свою продукцию, которая в итоге прослужит не более пары лет.

И, как говорится,
никогда такого не было и вот опять
запланированное старение добралось и до святая святых всех айтишников - компьютерного железа.

В одном из последних видео 📺 Владислав проводит ремонт внезапо вышедшего из строя без видимых причин 🇨🇳 китайского ноутбука Maibenben X568, проработавшего +- около года. Вскрытие показало, что специалисты из поднебесной начали использовать в качестве припоя бессвинцовый Sn42Bi58.

Что же в этом необычного? Проблема в том, что это эвтектический низкотемпературный бессвинцовый припой, состоящий из 42% олова и 58% висмута, который плавится все-лишь при температуре 138С (против 218С свинцового).
То есть, любой перегрев даже на коротокое время (забитый пылью вентилятор охлаждения, закрытая перфорация охлаждения от работы с ноутбуком на коленях) превратит компьютерное оборудование в озеро сплава. В большинсте случаев, дешевле будет купить новую комплектующую, чем платить мастеру за длительную работу по распайке-пайке SMD-элементов по всей плате.

Тенденция не здоровая и, я думаю, она скоро доберется до крупных корпораций: какой смысл продавать качественное железо за х2 цену, которое прослужит 5 лет, когда можно реализовать дешевое сроком жизни 1 год (долгосрочная выгода в 2.5 раза...)
Мораль? Берегите своих железных помощников, ведь старый друг лучше новых двух (и экономней)!

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Русский хакер взломал почту президента Соединенных Штатов Америки Дональда Трампа!

Так могла бы быть озаглавлена статья в каком-нибудь новостном агрегаторе, но, конечно же, это далеко от истины, хотя письма от его имени (с домена POTUS*) я все же могу отправлять. Как такое могло произойти давайте разберем под катом.

Одним из самых распространенных методов обмана людей была и остается рассылка по электронной почте. Еще до индусских колл-центров и служб безопасности банков, в начале нулевых главным средством выманивания денег были африканские e-mail'ы, которые с сожалением сообщали о кончине вашего родственника, но завещавшего вам пару десятков миллионов долларов 🇷🇺.

Со временем, специалисты по ИБ разработали антифишинговые механизмы и ПО, которые блокировали входящую почту по распространенным паттернам, включая подозрительные слова. Именно поэтому, если вы вдруг не знали, фишинговые письма содержат грамматические ошибки - банально чтобы обойти защитные механизмы. Однако сейчас не об этом.

Главными критериями определения легальности письма являются 2 доменные записи: SPF и DMARС (есть еще DKIM, который отвечает за цифровую подпись писем, но о нем как-нибудь в другой раз).
Sender Policy Framework aka SPF — это запись со списком серверов и IP-адресов, с которых разрешается рассылать письма от имени домена. Если письмо пришло с отличного от записанного в SPF айпишника или домена - письмо помечается как подозрительное.
Domain-based Message Authentication, Reporting and Conformance aka DMARC — это политика, которая задаёт сценарий действий с письмами, которые признаны через SPF подозрительными: none - ничего не делать, quarantin - пропускать, но поместить в папку спам, и reject - отклонять.

Соответственно, если у домена в DNS не прописаны SPF и DMARС, то принимаемый mail-сервер не может проверить легальность отправления и не понимает, что с ним делать дальше кроме как пропустить.
Так и случилось в текущем примере: коммерческий домен POTUS.com не имеет соответствующей записи DMARC и любой желающий может отправлять письма от его имени, включая якобы действующего президента 🇺🇸 США.

К счастью, большие почтовые корпорации типа 📧 Google и ❤️ Яндекс, даже при отсутствии или неправильной конфигурации SPF и DMARC, научились отличать фишинг от реального письма. Однако ряд других почтовиков (не будем показывать пальцем) не только пропускают такие письма, но еще и подставляют аватарки (на основе фавиконки с домена), а под письмом пишут, что оно проверено "докторским" антивирусом.

Как же установить, что проверяемый домен подвержен такой атаке? Ранее я пользовался встроенной в Kali утилитой под названием spoofcheck (проверка на спуффинг), но она просто проверяет DNS записи и говорит возможно ли заспуфить проверяемый домен или нет.
Поэтому около года назад я сделал свою утилиту 🧠 HydrAttack PoC eMailSpoofer Module, которая проверяет домен на уязвимость (чекает DNS записи), и если так оно и есть - поднимается майл сервер со всеми необходимыми настройками и отправляется спуффинговое письмо. Особенностью моего ПО является то, что в письмо вложен Excel файл с макросом, который открывает калькулятор.

В общем, за год эксплуатации моя утилита показала свою работоспособность в боевых условиях: и на реальных проектах дала жару, и в рамках Баг Баунти программ от Bi.Zone я также заработал пару тысяч. Поэтому пользуйтесь, но помните, что с большой силой приходит и большая ответственность (с).

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Телеграм | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

*President of the United States - Президент Соединенных Штатов

Пару дней назад мы подняли с вами тему мештастика и, исходя из комментариев, обнаружили, что мы не одиноки в оценке его малой эффективности. В добавок к этому, как я упоминал в прошлый раз, он не является безопасным и любой желающий, при соблюдении определенных условий, может совершенного легально подключиться и управлять вашим устройством.
А это доступ к паролю вашего домашнего Wi-Fi, внутренней конфигурации сети, перепискам и ключам шифрования приватных чатов. Как это возможно?

1. Стандартные настройки прошивки мештастика указывают, что PIN-кодом / паролем сопряжения для bluetooth является 123456. Его можно сменить, но … только на другие 6 цифр. Буквенно-цифровой или цифровой на иное количество символов вы поменять не можете: только цифровой пароль от 100000 до 999999, то есть всего 899999 комбинаций, что в современных реалиях подберется достаточно быстро. А если принять во внимание, что простые обыватели его практически никогда не меняют (чтобы не забыть), то дальнейшие действия, я думаю, описывать нет смысла.

2. Часть владельцев используют мештастик не как передвижную точку доступа (например, LILYGO T-Deck), а как стационарное домашнее решение: ставят оборудование не подоконник и “раздают хопы”. В данном случае связь по синему зубу не всегда подходящая, так как если вы уйдете в другую комнату, соединение разорвется.
   И тут на помощь приходит Wi-Fi: быстрый, надежный, стабильный. Кроме того, установив где-нибудь на локальном сервере/компьютере веб-клиент
   docker run -d -p 8080:8080 --restart always --name Meshtastic-Web ghcr.io/meshtastic/web
   вы сможете подключаться к нему не только с телефона, но и с любого устройства, где есть браузер, в том числе с вашего старичка QTEC 9100, например.

Но тут-то и кроется дьявол: подключение к мештастику !НЕ ТРЕБУЕТ! аутентификации. Вы просто вводите в качестве адреса подключения IP-адрес или просто meshtastic.local, и соединение с устройством устанавливается: читаем чаты, меняем настройки и т.д.
Продолжая тему безрассудности, представьте владельца устройства, который перенаправил порты на своем роутере напрямую в мештастик, чтобы находясь на работе он мог почитать “домашнюю” переписку. То что при указанных выше обстоятельствах это не самая лучшая идея я думаю объяснять не приходится.

Что в таком случае можно сделать далее? Правильно: идем на поисковики по IoT, такие как shodan или censys. Я предпочитаю последний и, в качестве поиска, указываю следующее:

host.services.endpoints.http.body:"Web server is running. The content you are looking for can't be found. Please see: FAQ"

Почему именно эта строка? Просто если вы попытаетесь подключиться по сети к мештастику напрямую из браузера, то вас встретит веб-стриница с ошибкой именно этого содержания.

В данном случае агрегатор мне выдал 17 IP-адресов и соответствующие порты к ним, где встречается данная комбинация: США 🇺🇸 - 7, и по одному для Испании🇪🇸, Португании🇵🇹, Чехии🇨🇿, Румынии🇷🇴, Тайваня🇹🇼, Украины🇺🇦, Венгрии🇭🇺, Италии🇮🇹, Сербии🇷🇸 и Франции🇫🇷. Российских 🇷🇺 адресов среди этого списка утечек нет.
Ну а дальше идем в наш локальный веб-клиент и вводим понравившийся IP-адрес и порт.

Если честно, я немного замешательстве: как в 2026 году, при всех ИИ-помощниках и кучах библиотек, разработчики не внедрили простую форму логина и пароля с обязательной сменой последнего при первом запуске?
В общем, подводя итог, если вы “счастливый” обладатель мештастика, срочно меняйте на нем bluetooth пароль и не выпускайте его за пределы периметра.

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Телеграм | 📝 Хабр | 💙 ВКонтате

Мештастик! Наверно данное слово слышали все, кто хоть немного погружен в мир IT или радиосвязь. Для тех, кто слышит его впервые, процитирую официальный источник:

Децентрализованная сеть с открытым исходным кодом, работающая автономно на доступных устройствах с низким энергопотреблением. Никаких вышек сотовой связи. Никакого интернета. Только прямое соединение между устройствами.

Говоря своими словами, ребята на базе протокола LoRa и поддерживающего его устройств превратили их в узлы самоорганизующейся сети. Каждый узел может не только принимать и отправлять, но и ретранслировать сообщения соседей, поэтому связь работает “прыжками” (хопами, hops): чем больше узлов вокруг, тем дальше и устойчивее сеть. Фактически пользователи сами создают и расширяют сеть, приобретая и устанавливая устройства с прошивкой мештастика.

Я лично неделю тестировал данную технологию и вот какие особенности я бы выделил в ходе своего теста:

1. Многие энтузиасты в качестве мотивации приобретения устройства указывают, что в случае ЧП/ЧС, когда сотовая и интернет связь не будут работать, через мештастик вы сможете оставаться на связи. Отчасти правда … пока у вас не сядет батарейка в телефоне/компьютере или обособленном устройстве, то есть максимум 2 дня.

2. В рамках данной сети можно отправить только текст (никаких фото/видео/голосовух), да и тот ограничен 200 символами. Масла в огонь еще и подливает тот факт, что сообщение может отправляться до 20 секунд и … так и не отправиться. И тогда приходится отправлять сообщение еще раз. И еще раз. А иногда и еще раз.

3. Да, сеть работает без интернета. Но можно подключить MQTT (поговорим о нем в одной из следующих статье) и тогда ваши сообщения будут транслироваться на общий сайт, где их можно почитать не только по своему региону, но и в принципе по всей 🇷🇺 России.

4. Общение в сети происходит, в основном, через общий чат. К сожалению, он не дотягивает до чатов из начала 2000-х, так как всё общение сводится к “пинг, проверка связи, кто меня слышит” или “кто пингует, тот гей” (собственно, сами можете в этом убедиться до приобретения устройства, почитав чат своего города по ссылке из пункта 3).

5. Для тестов я себе приобрел самый бюджетный вариант в виде HELTEC V3. Данный аппарат, как и многие другие, не переваривает кириллицу на своем экране, ограничен памятью в 32 архивных сообщения и установлен лимит в 200 нод для передачи. Все что свыше - постобработка на стороне приложения, которое любит подвиснуть.

6. Если вы работаете на 🐧 линуксе - бубен для перепрошивки устройства все-таки достать придется, так как предлагаемые вендором методы не работают.

7. Отсутствие аутентификации в принципе, что серьезно вредит безопасности. Мне удалось найти и подключиться к чужой ноде (🇵🇱Польша), а также получить доступ к их сообщениям и настройкам (в том числе Wi-Fi пароля).

Говоря про расстояние, то оно может показаться внушительным. Я, находясь в Сколково, читал и отправлял сообщения в Апрелевку, Селятино, Подольск, Домодедово, Люберцы, ВДНХ, Черкизовская, Красногорск, Химки. Однако, хочется выделить ограничение на передачу в количестве 7 нод: ваше сообщение не увидят люди, находящиеся от вас более чем в 7 хопах (чтобы не захломлять эфир). А так иногда хочется поговорить с другими городами и странами.

К сожалению, количество знаков на пост ограничено. Поэтому, если есть желание более детально углубиться в технологию, могу порекомендовать выпуск 📺 Побединского, где он детально все разъясняет, а также 📺 MeshWorks.

Подводя итог, с моей точки зрения мештастик является хорошо распираеным хайпом: для энтузиастов и верующих в зомби-апокалипсис это хорошая игрушка. Однако, с практической точки зрения данная технология не несет никакой полезной нагрузки, по крайней мере в настоящее время.
Но если вам некуда потратить пару тысяч рублей, я бы предложил приобрести СиБи или иную КВ-радиостанцию, которая по всем показателям перекрывает мештастик: скорость, дальность, полезность (особенно 15 канал АМ ;)

🧠 Обязательно поделись с теми, кому это может быть полезно Телеграм