ZeroDay | Кибербезопасность (@cybersec_academy) — Telegram-канал | Telegram Dialogs
Все каналы
ZeroDay | Кибербезопасность

ZeroDay | Кибербезопасность

@cybersec_academy

42.9K подписчиков технологии 💬 Комментарии открыты

Ваш учебник по кибербезопасности Реклама - @bashmak_media https://telega.in/c/cybersec_academy РКН: https://vk.cc/cHYqeq

Последние публикации

ZeroDay | Кибербезопасность
17.07.2026 18:05 · 👁 791
Почему Diffie-Hellman без сертификатов не спасает, и как браузер защищается на самом деле 👋 Приветствую в мире цифровой безопасности! В прошлый раз мы разобрались, как две стороны получают общий секрет, не передавая его по сети. Но есть проблема: сам по себе Diffie-Hellman вообще не умеет проверять, с кем именно ты договорился. ⏺Представьте, что между Алисой и Колей встаёт Маша. Алиса отправляет своё число, Маша его перехватывает и вместо него отправляет Коле уже своё. Ответ Коли она тоже не пересылает, а подменяет своим. В итоге Алиса получает общий ключ с Машей, Коля тоже получает общий ключ с Машей. Оба уверены, что говорят друг с другом, хотя на самом деле весь трафик проходит через атакующего. ⏺Это классическая атака Man-in-the-Middle. Сам алгоритм Диффи-Хеллмана при этом не сломан. Никто не решал дискретный логарифм и не взламывал криптографию. Просто стороны не удостоверились, кто находится по другую сторону соединения. ⏺Именно поэтому в HTTPS поверх Diffie-Hellman работают цифровые сертификаты. Сервер подписывает параметры обмена своим приватным ключом, браузер проверяет подпись по цепочке доверенных центров сертификации. Если подпись не проходит - соединение считается недоверенным, а MITM-атака срывается. ⏺В 2015 году исследователи показали атаку Logjam. Многие серверы использовали одинаковые стандартные параметры Diffie-Hellman, а часть ещё и с длиной всего 512 бит. Для таких групп самую тяжёлую часть вычислений можно было выполнить заранее один раз, после чего отдельные соединения взламывались значительно быстрее. После этого слабые группы практически исчезли из интернета. ⏺Сегодня классический Diffie-Hellman почти не используется. В TLS 1.3 основным вариантом стал ECDHE - обмен ключами на эллиптических кривых, чаще всего X25519. Принцип тот же, но вместо огромных простых чисел используются точки на эллиптической кривой. Это быстрее, требует меньших ключей и обеспечивает ту же идею безопасного обмена. ⏺Самое важное преимущество современного TLS - Forward Secrecy. Для каждого нового соединения генерируется новая временная пара ключей. Даже если через год злоумышленник украдёт приватный ключ сервера, старые записанные соединения расшифровать уже не получится - одноразовые секреты давно уничтожены. ⏺Следующий этап уже начинается. Крупные браузеры постепенно внедряют гибридные схемы обмена ключами, где X25519 работает вместе с постквантовыми алгоритмами вроде ML-KEM (Kyber). Это защита от сценария «записать сейчас - расшифровать позже», если когда-нибудь появятся достаточно мощные квантовые компьютеры. ZeroDay | Белый Хакер | #криптография
ZeroDay | Кибербезопасность
17.07.2026 13:00 · 👁 1.4K
Практический курс по цифровой криминалистике и реагированию на инциденты ⚡️Разберешь атаки и расследование на реальных кейсах; ⚡️Научишься работать с артефактами Windows, Linux и MacOS; ⚡️Сможешь создавать дампы оперативной памяти и исследовать их при помощи Volatility; ⚡️Отработаешь навыки реагирования на инциденты. Эксперты курса: • Мирослава Ульянова - Incident response Team Lead, инженер по информационной безопасности. • Олег Скулкин - руководитель BI.ZONE Threat Intelligence. • Лада Антипова - Incident Response Team Lead, руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз. • Даниил Григорян - старший специалист по реагированию на киберугрозы. 📅 Старт: 21 августа ⏳Длительность: 8 недель Удостоверение о повышении квалификации с внесением в федеральный реестр. 👉🏼 Получить демодоступ #реклама О рекламодателе
ZeroDay | Кибербезопасность
16.07.2026 13:13 · 👁 2K
👋 Приветствую в мире цифровой безопасности! Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube. ⏺ Обзор DevSecOps инструментов ⏺ Свежий курс от Гарварда CS50 по кибербезу ⏺ Огромный плейлист по ИБ ⏺ Архитектура кибербеза ⏺ Курс по ИБ от Google ZeroDay | Серверная Админа | #ИБ
ZeroDay | Кибербезопасность
15.07.2026 10:48 · 👁 2.1K
Прокси-сервер: разбираем, что происходит с пакетом 👋 Приветствую в мире цифровой безопасности! В прошлый раз разобрали, что такое прокси. Теперь посмотрим, что реально происходит с запросом и почему один и тот же сайт может видеть вообще разные данные. ⏺Представим обычный HTTP-запрос: curl http://example.com Клиент сам открывает TCP-соединение с сервером, отправляет HTTP-запрос и получает ответ. Сервер видит твой IP, User-Agent, заголовки и всё содержимое запроса. ⏺Теперь добавим HTTP-прокси: curl -x http://proxy:8080 http://example.com Соединение устанавливается уже с прокси. Именно ему клиент отправляет команду: GET http://example.com/ HTTP/1.1 Host: example.com После этого прокси самостоятельно создаёт новое соединение с example.com и отправляет запрос уже от своего имени. Для сайта твоего IP больше не существует. ⏺С HTTPS всё работает иначе: curl -x http://proxy:8080 https://example.com Сначала клиент говорит прокси: CONNECT example.com:443 HTTP/1.1 Если прокси разрешает соединение, отвечает: HTTP/1.1 200 Connection established После этого внутри созданного TCP-туннеля начинается обычный TLS-обмен. Без MITM-прокси содержимое HTTPS уже никто по пути не увидит. ⏺Проверить, какой IP видит внешний сервис, можно буквально одной командой: curl https://ifconfig.me А затем повторить через прокси: curl -x socks5://127.0.0.1:9050 https://ifconfig.me Если всё настроено правильно, адрес изменится. ⏺Увидеть сам HTTP-запрос помогает tcpdump: sudo tcpdump -A -i any port 8080 Для HTTP будут видны заголовки и содержимое запроса. Для HTTPS после CONNECT - только зашифрованный TLS-трафик. ⏺Чтобы понять, используется ли прокси в системе, достаточно посмотреть переменные окружения: env | grep -i proxy Во многих корпоративных сетях именно так приложения автоматически начинают работать через прокси без дополнительных настроек. ⏺А если хочется быстро поднять собственный HTTP-прокси для тестов, достаточно Squid: sudo apt install squid sudo systemctl start squid После этого браузер или curl можно направить на порт 3128 и посмотреть, как меняется весь маршрут запросов. ZeroDay | Серверная Админа | #proxy
ZeroDay | Кибербезопасность
15.07.2026 07:48 · 👁 2.2K
V Всероссийская студенческая кибербитва 2026 ждёт тебя Инцидент обнаружен. Есть несколько минут, чтобы понять, что произошло, и остановить атаку. Именно с такими сценариями предстоит работать участникам ВСКБ-2026. Открыта бесплатная регистрация на ежегодное соревнование, где студенческие команды погружаются в практику кибербезопасности и действуют в условиях, максимально приближенных к реальным. Все действия разворачиваются на виртуальном полигоне с моделями реальных систем. В кибербитве можно участвовать в составе: 🔴Red team — моделируют атаки и ищут уязвимости; 🔵Blue team — анализируют происходящее и выстраивают защиту. Выбери направление, попробуй себя в реальных задачах и заяви о себе в профессиональном сообществе. Успей узнать подробности и зарегистрироваться ➡️ на кибербитва.рф Реклама. О рекламодателе.
ZeroDay | Кибербезопасность
14.07.2026 15:18 · 👁 2.2K
Pwneye: один инструмент для разведки и анализа IP-камер 👋 Приветствую в мире цифровой безопасности! Сегодня о туле, который делает работу с ONVIF и RTSP-камерами в единый рабочий процесс. Если раньше приходилось использовать несколько утилит, то здесь всё собрано в одном CLI. ⏺pwneye умеет искать IP-камеры через ONVIF WS-Discovery, определять производителя, проверять аутентификацию, получать RTSP-потоки, сохранять снимки и записи. После успешной авторизации показывает информацию об устройстве, сетевые настройки, профили потоков и другие доступные возможности. ⏺Самый быстрый старт: pwneye --discover За несколько секунд найдёт ONVIF-камеры в локальной сети, покажет IP, производителя, модель, поддерживаемые профили и возможности устройства. ⏺Если IP уже известен: pwneye -t 192.168.1.135 Инструмент сам проверит ONVIF и RTSP, попробует определить производителя, найдёт рабочие видеопотоки и сохранит успешные результаты в локальный кэш для следующих запусков. ⏺Для RTSP используется база из 450+ профилей производителей. Вместо перебора случайных URL pwneye знает типичные пути Hikvision, Dahua, Tenda, Reolink, Uniview и многих других, поэтому делает меньше запросов и быстрее находит поток. ⏺Полезные команды: # Определить производителя по RTSP Banner pwneye -t 192.168.1.135 --banner Иногда уже по одному баннеру можно понять семейство устройства и подобрать правильные RTSP-пути без лишнего шума. # Открыть интерактивную ONVIF-консоль pwneye -t 192.168.1.135 --shell Позволяет вручную исследовать сервисы камеры, выполнять ONVIF-запросы и изучать доступные возможности устройства. # Поиск многоканальных потоков DVR/NVR pwneye -t 192.168.1.135 --multi-channel Автоматически перебирает каналы регистратора и предлагает открыть найденные потоки в едином окне с быстрым переключением между ними. ⏺Есть поддержка многоканальных DVR/NVR. Если регистратор отдаёт несколько камер, pwneye автоматически перебирает каналы, строит список найденных потоков и позволяет открыть их одновременно в собственной мозаике с быстрым переключением между ними. ⏺После получения доступа можно сразу работать с видеопотоком: pwneye --snapshot pwneye --record Инструмент делает снимки через ffmpeg, записывает видео, открывает поток во встроенном просмотрщике и сохраняет все материалы по каталогам целей. ⏺Ещё одна полезная фишка - кэширование. Найденные учётные данные, рабочие RTSP URI и информация об устройстве сохраняются в ~/.pwneye, поэтому повторные проверки проходят практически мгновенно. ZeroDay | Белый Хакер | #Инструмент
ZeroDay | Кибербезопасность
13.07.2026 11:00 · 👁 3K
Чем реверсить вредонос: reverse engineering kit для аналитиков угроз Профессиональный анализ вредоносного ПО давно не ограничивается одной IDA. Сегодня большую часть задач можно закрыть бесплатными инструментами - от первого разбора бинарника до динамического анализа поведения программы. ⏺В статье автор показывает свой набор для реверс-инжиниринга: Ghidra, Detect It Easy, CAPA, CyberChef, x64dbg, Sysinternals и другие утилиты. Разбирает, зачем держать две отдельные виртуальные машины, чем отличаются статический и динамический анализ и какие инструменты помогают быстрее понять, что именно делает вредонос. ZeroDay | Белый Хакер | #Статья
ZeroDay | Кибербезопасность
11.07.2026 14:57 · 👁 3.6K
ZeroDay | #мем
ZeroDay | Кибербезопасность
10.07.2026 10:00 · 👁 3.6K
Шифруем скрипты. Часть 3 👋 Приветствую в мире цифровой безопасности! В прошлых постах разобрали как Obash шифрует скрипты и как их можно вскрыть через FIFO-перехват и подмену интерпретатора. Сегодня - как эти же дыры закрывают на практике. ⏺Первая проблема, которую мы использовали - временный FIFO-файл в /tmp с расшифрованным содержимым. Закрывается переносом передачи данных в анонимный pipe вместо именованного: int pipefd[2]; pipe(pipefd); write(pipefd[1], decrypted_script, len); // передаём pipefd[0] дочернему процессу через exec, а не через путь в файловой системе Анонимный pipe не имеет пути в /tmp который можно перехватить между записью и удалением - дескриптор существует только в рамках процессов которые его явно унаследовали. ⏺Вторая проблема - подмена интерпретатора через PATH. Закрывается жёстким указанием абсолютного пути вместо поиска через переменную окружения: execve("/bin/bash", argv, envp); // вместо execvp("bash", ...) execve с абсолютным путём игнорирует PATH полностью - атакующий может сколько угодно класть fake_interpreter в текущую директорию, бинарник его просто не увидит. ⏺Третья защита - очистка окружения перед запуском интерпретатора, чтобы LD_PRELOAD и другие механизмы инъекции не сработали: char *clean_env[] = { "PATH=/usr/bin:/bin", NULL }; execve("/bin/bash", argv, clean_env); Если LD_PRELOAD не передаётся в новое окружение - хук из предыдущей части просто не подгрузится, потому что сам механизм LD_PRELOAD работает через переменную окружения которой больше нет. ⏺Четвёртая мера - самопроверка процесса на предмет активного ptrace, потому что дамп памяти через gdb требует именно его: #include <sys/ptrace.h> if (ptrace(PTRACE_TRACEME, 0, NULL, NULL) == -1) { // процесс уже под трассировкой — кто-то пытается прицепиться отладчиком exit(1); } PTRACE_TRACEME успешно вызывается только один раз на процесс. Если к моменту вызова уже есть активный трейсер - вызов провалится, и это сигнал что дебаггер уже прицеплен снаружи. ⏺Почему это всё равно не решает проблему целиком: расшифрованный скрипт в какой-то момент обязан существовать в памяти процесса в читаемом виде, иначе интерпретатор не сможет его выполнить. Все перечисленные меры повышают порог входа и требуют больше усилий от аналитика, но фундаментальный принцип “если код должен выполниться - его можно достать” никуда не девается. ZeroDay | #скрипты
ZeroDay | Кибербезопасность
09.07.2026 07:33 · 👁 3.3K
Scattered Spider: как любовь к понтам и один Windows ID сдали хакера ФБР 👋 Приветствую в мире цифровой безопасности! Был май 2025 года. Крупный продавец элитных ювелирных изделий сталкивается с серьезной кибератакой. Хакеры скачивают 77 гигабайт данных и требуют 8 миллионов долларов в криптовалюте. Кажется, работает суровая и неуловимая кибергруппировка. А позже выяснилось, кто за этим стоял и как глупо он попался… ⏺Взлом через телефон: Никаких сложных эксплойтов и уязвимостей нулевого дня. Атакующие просто позвонили в IT-поддержку с номеров Google Voice, прикинулись заблокированными сотрудниками и убедили хелпдеск сбросить пароли и привязки MFA. Через пару часов они уже контролировали учетки двух сисадминов, установили туннели (ngrok и Teleport) и начали слив данных в облако Amazon. ⏺Роковая улика: ФБР начало распутывать клубок с устройства, открывшего аккаунт в ngrok. Компания Microsoft передала следователям уникальный идентификатор устройства (Windows Device ID). Эта метка привязана к конкретной установке Windows и переживает любые обновления системы. ⏺Гений маскировки: Атакующий прятал свой трафик за VPN и прокси, использовал псевдонимы, но забыл о самом «железе». Тот самый Windows ID регулярно светился на тех же IP-адресах, куда заходили аккаунты Snapchat, Apple и Facebook. Эти соцсети принадлежали 19-летнему Питеру Стоксу, известному в сети как «Bouquet». ⏺Понты дороже свободы: В своем Snapchat Стокс открыто сорил деньгами, хвастался дорогими часами, бриллиантовыми цепями с надписью «HACK THE PLANET» и фотографиями из путешествий - логи которых идеально совпадали с IP-адресами хакера. Он даже выложил фотографию эстонского полицейского участка с насмешками о том, что федералы понятия не имеют, кого они упускают. 🤷‍♂️ ⏺Арест и последствия: Финская полиция взяла Стокса в аэропорту Хельсинки, когда он пытался улететь в Японию. У него изъяли два жестких диска по 2 терабайта. Однако эксперты Group-IB предупреждают: Scattered Spider - это не единый картель с общим боссом, а рыхлая сеть из десятков мелких независимых ячеек в стиле Anonymous. Арест одного любителя соцсетей не остановит угрозу (на счету сети более $100 млн выкупов), но данные с его дисков могут стать ключом к поимке остальных. ZeroDay | Белый Хакер | #история
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.