Х
Хакер {Hacker}
29.06.2026 06:37 · 👁 570
🔐 Quarkslab разобрали защищённый чип Xiaomi MJA1
Исследователи Quarkslab провели black-box анализ проприетарного secure chip MJA1, который используется в свежих камерах Xiaomi для защиты чувствительных данных и коммуникаций устройства.
Документации по чипу почти нет, поэтому исследователи пошли классическим путём железячного реверса:
• вскрыли устройства Xiaomi Outdoor Camera BW300 и Camera Base Station;
• нашли MJA1 на платах;
• сняли обмен между SoC и чипом через логический анализатор;
• выяснили, что связь идёт по I2C на адресе 0x2A;
• сдампили flash-память устройств;
• разобрали miio_client, который общается с secure chip;
• восстановили формат команд и CRC16;
• перебрали ID команд и нашли недокументированные возможности.
Удалось определить команды для чтения данных, генерации случайных чисел, работы с ECC-ключами, подписью, проверкой подписи и установлением общего секрета. Также нашли скрытую команду 0x06, которая умеет записывать данные, но только в пользовательскую зону. Сертификаты, product data и приватные ключи снаружи не читаются и не перезаписываются.
Главный вывод: на уровне протокола MJA1 выглядит довольно крепко. Приватные ключи не выходят наружу, важные зоны защищены от записи, некорректные аргументы отбрасываются.
Но это только «парадный вход». Дальше исследователи предлагают копать глубже: fault injection, voltage glitching, EM-атаки и side-channel анализ ECC-операций.
Хороший пример того, как исследовать закрытый secure element почти с нуля: от пинов на плате до карты команд и проверки границ безопасности.
https://blog.quarkslab.com/black-box-probing-a-security-analysis-of-xiaomis-mja1-secure-chip.html
📲 Мы в MAX
👉@thehaking
Х
Хакер {Hacker}
28.06.2026 11:19 · 👁 563
🚀 Подборка полезных IT каналов в Max
Системное администрирование, DevOps 📌
https://max.ru/i_odmin Все для системного администратора
https://max.ru/bash_srv Bash Советы
https://max.ru/sysadminof Книги для админов, полезные материалы
https://max.ru/i_odmin_book Библиотека Системного Администратора
https://max.ru/i_devops DevOps: Пишем о Docker, Kubernetes и др.
https://max.ru/tipsysdmin Типичный Сисадмин
Excel лайфхак 📌
https://t.me/Excel_lifehack Excel лайфхак
Английский с нуля 🇬🇧
https://max.ru/UchuEnglish
1C разработка 📌
https://max.ru/odin1c_rus Cтатьи, курсы, советы, шаблоны кода 1С
Программирование C++📌
https://max.ru/cpp_lib Библиотека C/C++ разработчика
Программирование Go📌
https://max.ru/golang_lib Библиотека Go (Golang) разработчика
Программирование React📌
https://max.ru/react_lib React
Программирование Python 📌
https://max.ru/python_of Python академия.
https://max.ru/BookPython Библиотека Python разработчика
Java разработка 📌
https://max.ru/bookjava Библиотека Java разработчика
GitHub Сообщество 📌
https://max.ru/githublib Интересное из GitHub
Базы данных (Data Base) 📌
https://max.ru/database_info Все про базы данных
Фронтенд разработка 📌
https://max.ru/frontend_1 Подборки для frontend разработчиков
Библиотеки 📌
https://max.ru/programmist_of Книги по программированию
https://max.ru/proglb Библиотека программиста
https://max.ru/bfbook Книги для программистов
Программирование 📌
https://max.ru/bookflow Лекции, видеоуроки, доклады с IT конференций
https://max.ru/itmozg Программисты, дизайнеры, новости из мира IT
https://max.ru/php_lib Библиотека PHP программиста 👨🏼💻👩💻
Шутки программистов 📌
https://max.ru/itumor Шутки программистов
Защита, взлом, безопасность 📌
https://max.ru/thehaking Канал о кибербезопасности
https://max.ru/xakkep_1 Хакер Free
Книги, статьи для дизайнеров 📌
https://max.ru/odesigners Статьи, книги для дизайнеров
Математика 📌
https://max.ru/Pomatematike Канал по математике
https://max.ru/phismat_1 Обучающие видео, книги по Физике и Математике
Вакансии 📌
https://max.ru/progjob Вакансии в IT
Мир технологий 📌
https://max.ru/mir_teh Канал для любознательных
Бонус 📌
https://max.ru/piterspb_78 Свежие новости Санкт-Петербурга
https://max.ru/mockva_life Свежие новости Москвы
https://max.ru/piterspb Питер Новости: Санкт-Петербург / СПБ / ДТП
Х
Хакер {Hacker}
26.06.2026 10:56 · 👁 888
📱 Приложение «Телега» перестанет работать с 1 июля.
Об этом сообщили разработчики неофициального клиента Telegram. Пользователям, которые оформили подписку «Телега Плюс», пообещали вернуть деньги.
В команде заявили, что пытались сохранить привычный и безопасный доступ к связи и аккаунтам, но в формате Telegram-клиента не могут обеспечить полную локализацию и соответствие всем действующим требованиям.
Ранее приложение удалили из App Store, а аккаунт разработчиков заблокировали в программе Apple Developer. После этого компания подала жалобу на Apple в ФАС, посчитав удаление незаконным.
📲 Мы в MAX
👉@thehaking
Х
Хакер {Hacker}
23.06.2026 10:03 · 👁 1.3K
📱 В России могут запретить регистрацию eSIM из-за рубежа.
По данным «Ъ», такие меры обсуждаются в рамках борьбы с мошенничеством и спамом. Речь также идёт о том, чтобы выделить M2M-сим-карты для «интернета вещей» в отдельную категорию и ввести для их пользователей дополнительную идентификацию.
M2M-карты используются для обмена данными между устройствами — например, в датчиках, банкоматах, автомобилях и другой технике. Сейчас на рынке около 60 млн таких сим-карт, чаще всего они оформлены на юрлица.
Среди возможных мер — запрет передачи голоса и СМС для таких карт, усиление контроля за их регистрацией и ограничение возможности россиянам оформлять eSIM из-за границы.
По словам источников издания, часть инициатив может войти в третий пакет «антифрод»-поправок. При этом окончательное решение пока не принято.
📲 Мы в MAX
👉@thehaking
Х
Хакер {Hacker}
22.06.2026 18:08 · 👁 1K
Malwoverview - это инструмент для первичного реагирования, используемый для охоты на угрозы. Он предоставляет разведывательную информацию из таких источников, как VirusTotal, Hybrid Analysis, URLHaus, Polyswarm, Malshare, AlienVault, Malpedia, MalwareBazaar, ThreatFox, Triage, InQuest, VxExchange и IPInfo, а также может сканировать устройства Android с проверкой через VirusTotal.
https://github.com/alexandreborges/malwoverview
📲 Мы в MAX
👉@thehaking
Х
Хакер {Hacker}
22.06.2026 08:03 · 👁 1.2K
IDS/IPS в действии: защищаем сервер от атак. Бесплатный урок курса «IDS/IPS. Инфраструктурные компоненты защиты»
IDS/IPS становятся по-настоящему понятными не в теории, а в момент, когда система видит атаку на сервер, фиксирует подозрительную активность и помогает понять, что происходит в сети. Просто установить средство обнаружения недостаточно. Важно правильно разместить его в инфраструктуре, настроить правила, читать события безопасности и понимать, когда нужно только зафиксировать инцидент, а когда — блокировать вредоносную активность.
На открытом уроке 25 июня в 20:00 перейдём от теории к практике и покажем, как IDS/IPS-система помогает обнаруживать и предотвращать атаки на сервер. Разберём, где размещать IDS/IPS в инфраструктуре, как настраивать правила обнаружения атак, как отслеживать сетевой трафик и выявлять подозрительную активность. Отдельно посмотрим, как анализировать события безопасности и как работает блокирование атак средствами IPS.
Урок не для тех, кто хочет «поставить защиту и забыть». Он будет полезен системным администраторам, инженерам сетевой инфраструктуры, специалистам по информационной безопасности, начинающим SOC-аналитикам и всем, кто хочет увидеть IDS/IPS в практическом сценарии защиты сервера.
Записаться: https://vk.cc/cYX3fU
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Х
Хакер {Hacker}
21.06.2026 20:02 · 👁 1.1K
🩸 FortiBleed: утечка раскрыла VPN-учётки Fortinet почти для 74 тысяч устройств
Исследователи обнаружили крупную базу с данными Fortinet/FortiGate VPN: в ней оказались URL файрволов, логины, email-адреса и пароли в открытом виде.
По данным BleepingComputer, утечка затрагивает 73 932 уникальных firewall URL в 194 странах и более 21 тысячи доменов. В списках фигурируют крупные компании, госструктуры, телеком, финансы, образование, медицина и промышленность.
Что особенно тревожно: часть паролей выглядела сложной, а значит проблема могла быть не просто в «123456», а в краже/извлечении конфигураций или другой компрометации. Точный источник данных пока не установлен.
🔐 Что стоит сделать администраторам:
• срочно сменить пароли Fortinet VPN и админ-интерфейсов
• включить MFA, если ещё не включена
• проверить, не торчит ли management-интерфейс FortiGate в интернет
• изучить VPN/gateway-логи на подозрительные входы
• проверить учётки сотрудников на утечки
• обновить FortiOS и закрыть лишний внешний доступ
https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
📲 Мы в MAX
👉@thehaking
Х
Хакер {Hacker}
20.06.2026 11:27 · 👁 911
🚀 Подборка полезных IT каналов в Max
Системное администрирование, DevOps 📌
https://max.ru/i_odmin Все для системного администратора
https://max.ru/bash_srv Bash Советы
https://max.ru/sysadminof Книги для админов, полезные материалы
https://max.ru/i_odmin_book Библиотека Системного Администратора
https://max.ru/i_devops DevOps: Пишем о Docker, Kubernetes и др.
https://max.ru/tipsysdmin Типичный Сисадмин
Excel лайфхак 📌
https://t.me/Excel_lifehack Excel лайфхак
Английский с нуля 🇬🇧
https://max.ru/UchuEnglish
1C разработка 📌
https://max.ru/odin1c_rus Cтатьи, курсы, советы, шаблоны кода 1С
Программирование C++📌
https://max.ru/cpp_lib Библиотека C/C++ разработчика
Программирование Go📌
https://max.ru/golang_lib Библиотека Go (Golang) разработчика
Программирование React📌
https://max.ru/react_lib React
Программирование Python 📌
https://max.ru/python_of Python академия.
https://max.ru/BookPython Библиотека Python разработчика
Java разработка 📌
https://max.ru/bookjava Библиотека Java разработчика
GitHub Сообщество 📌
https://max.ru/githublib Интересное из GitHub
Базы данных (Data Base) 📌
https://max.ru/database_info Все про базы данных
Фронтенд разработка 📌
https://max.ru/frontend_1 Подборки для frontend разработчиков
Библиотеки 📌
https://max.ru/programmist_of Книги по программированию
https://max.ru/proglb Библиотека программиста
https://max.ru/bfbook Книги для программистов
Программирование 📌
https://max.ru/bookflow Лекции, видеоуроки, доклады с IT конференций
https://max.ru/itmozg Программисты, дизайнеры, новости из мира IT
https://max.ru/php_lib Библиотека PHP программиста 👨🏼💻👩💻
Шутки программистов 📌
https://max.ru/itumor Шутки программистов
Защита, взлом, безопасность 📌
https://max.ru/thehaking Канал о кибербезопасности
https://max.ru/xakkep_1 Хакер Free
Книги, статьи для дизайнеров 📌
https://max.ru/odesigners Статьи, книги для дизайнеров
Математика 📌
https://max.ru/Pomatematike Канал по математике
https://max.ru/phismat_1 Обучающие видео, книги по Физике и Математике
Вакансии 📌
https://max.ru/progjob Вакансии в IT
Мир технологий 📌
https://max.ru/mir_teh Канал для любознательных
Бонус 📌
https://max.ru/piterspb_78 Свежие новости Санкт-Петербурга
https://max.ru/mockva_life Свежие новости Москвы
https://max.ru/piterspb Питер Новости: Санкт-Петербург / СПБ / ДТП
Х
Хакер {Hacker}
20.06.2026 06:02 · 👁 1K
Вот nginx-quicburst (CVE-2026-42530) — новая уязвимость RCE в Nginx, обнаруженная нашим агентом безопасности VEGA и продемонстрированная Nebula Security.
Это всего третья уязвимость NGINX с 2014 года, получившая рейтинг серьезности «major» от NGINX. Если вы используете Nginx 1.31 с включенным QUIC, мы рекомендуем обновиться до последней версии.
Эта ошибка исправлена в последнем релизе Nginx. Мы опубликуем технический разбор, включая обход ASLR, 18 июля вместе с предыдущим разбором nginx-poolslip.
📲 Мы в MAX
👉@thehaking
Х
Хакер {Hacker}
19.06.2026 15:03 · 👁 1.1K
Ещё одна уязвимость в iOS 26.5 с явным и воспроизводимым сбоем, контролем регистров, примитивом и подтверждённым PoC, и, возможно, рабочим эксплойтом... кто знает... ;)
📲 Мы в MAX
👉@thehaking