769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
Модель Cubesat это интересно, но можно собрать и настоящий. С одной стороны, вещь весьма специфичная, однако готовые проекты попадают и на сайтах вроде instructables (как вам Cubesat на HyperDuino?).
Немного истории
В далёком 2011 году члены Space Systems Design Studio основали проект Kicksat. Ребята собрали какое-то количество денег на Kickstaterer, успешно собрали и отправили свои кубсаты на орбиту, тем самым показав, что такое возможно не только для учёных или университетов, но и для небольших проектов.
Репозиторий проекта всё ещё доступен на Github.
Но потом появились Space-X, Arduino, Raspberry Pi, EPS всех цветов, 3D-печать, доступные фрезеры с ЧПУ и всё завертелось.
Space-X сделали отправку кубсатов доступнее (ценники от $50,000 до $500,000 это всё ещё много, но уже не напоминают номер телефона), а доступные SBC, микроконтроллеры и средства проектирования и изготовления сделали производство доступным не только на серьёзных фабриках, а в гараже.
Всё это вылилось в небольшие, но вполне доступные проекты.
Например:
- Build Your Own Arduino Satellite / CubeSat от MkmeOrg">MKme Lab
- $1K CubeSat от RG Sat
А так же в несколько небольших книг на тему Cubesat от астронома-любителя из Мэриленда — Александра «Сэнди» Антунеса:
- DIY Satellite Platforms
- Surviving Orbit the DIY Way
- DIY Instruments for Amateur Space
- DIY Comms and Control for Amateur Space
Но всё это подавало признаки жизни годы назад. Как же ситуация обстоит сейчас?
Текущее время.
Кубсаты вышли на новый уровень, есть коммерческие варианты за кучу денег (например от EnduroSat), так и варианты побюджетней:
- RASCube от Robinson Aerospace
- IOS CubeSat 3.0 от Interorbital Systems
- My Sat Space Fan Kit от MySatKit
А если вам кажется, что это всё не серьёзно, то оно вполне себе отправляется на орбиту. Да и опыт фанерного WISA Woodsat показывает, что кубсаты могут быть очень разными.
Есть и проекты на стыке кибер-безопасности и Сubesat, вроде Ethos Labs, но там можно только посмотреть, либо удачно попасть на конференцию, или быть гос. заказчиком (оба пункта применимы только для США).
Но есть и Open Source и Open Hardware проекты, например - Build a CubeSat, где весь софт и железо доступны в исходниках, а процесс разработки и сборки можно посмотреть на канале автора.
- buildacubesat">Youtube: Build a CubeSat
- codeberg: buildacubesat-project
Вообще, постройка Cubesat это не столько отправка готового изделия в космос (что довольно дорого), сколько наработка довольно важного навыка - проектирование и сборка энергоэффективного автономного устройства, которое может пригодится не где-то на орбите, но и в стратосфере или даже на земле.
—
Jeff Geerling: PIS IN SPACE!
Level 2 Jeff: How small can you make a satellite? Here are six in a box!
How to Build Your Own Satellite: CubeSats
Окинув грустным взглядом CISA KEV в голову приходит мысль: надо что-то менять. Нет, не отказываться от KEV вообще.
Я скорей о том, можно ли собрать что-то своё из текущих данных. И в теории да.
Да, есть платные сервисы, вроде VulnCheck, но и там не без проблем.
Немного порассуждаем без цифр, схем, формул и кода.
Помимо CISA KEV (выбрасывать который не обязательно) у нас есть:
- Metasploit и список эксплоитов в нём
- exploit-db (и его гитлаб)
- PoC-in-GitHub
- Nuclei и его шаблоны
- CISA KEV (если вы его не выбросили). В данном случае он скорей как индикатор "настолько плохо, что есть даже там"
В итоге мы получаем 4 источника информации о эксплоитах (где-то фактических, где-то просто отметку, что такой есть) и инструмент, который это просто и быстро может детектить. Набор источников и инструментов может быть больше, я беру то, что доступно.
Что можно сделать дальше?
- Просто складывать количество эксплоитов из разных источников: можно, но мы получим даже не количественную метрику, а просто количество вхождений.
- Назначение веса каждому индикатору: выглядит как направление к решению. Эксплоит из вашего любимого фреймворка (не обязательно msf) явно будет иметь вес значительно выше, чем китайский PoC на perl с Github.
Учитывать ли EPSS? Вопрос любопытный. Всегда казалось, что он должен был быть эдакой "серебрянной пулей" в VM, но фактически он отстаёт. Если только считать какой-то EPSS Base Score и ваш EPSS Custom Score.
Но это всё только часть мозаики, так как ещё надо учитывать CVSS Temporal Score, как-то считать CVSS Environmental Score.
А если у вас есть TI\TH или готовая коробка с этим всем, то можно ещё и Threat Factor учитывать.
Взлом века себе за щеку.
Anonymous France отчитались в Twitter (оно же X) о взломе ftp на сайте Кремля. Звучит внушающе, если не смотреть на скриншоты.
А там прекрасно всё:
- Имена пользователей в дореволюционном стиле
- Шизофренический контент документов
- user: root
- Бэкап базы в 24 килобайта.
Как-то обмельчал современный Anonymous.
Евстафий Гертдудович просил передать:
Носок дошлый самостоятельно природа мучительно собеседник.Читать полностью…
Would you like an IDOR with that? Leaking 64 million McDonald’s job applications
Breaking news: McDonald взломали.
Ладно, новость не вот чтобы Breaking, да взломали не сам McDonald. Исследователи взломали McHire, платформу для подбора персонала с чат-ботами. Наймом кожанных мешком занимается бот Оливия, работающий на технологиях Paradox.ai. Он собирает персональные данные соискателей, оценивает предпочтения, проводит личностные тесты и вызывает баттхёрт у пользователей.
В чём суть?
Интерфейс платформы McHire использовал логин\пароль 123456:123456 при логине через "Paradox team members", однако этим всё не ограничилось и был обнаружен IDOR, позволяющий получить персональные данные более 64 миллионов соискателей.
Всё исправили, вход для Paradox team спрятали, но ситуация забавная.
Threat Hunting Introduction: Cobalt Strike
Использование коммерческих security-фреймворков (или же threat simulation tool) даёт вполне позитивный опыт использования. Всё удобно, в одном месте, со всякими окошечками и прочим. Но удобства любят не только пентестеры и red-team, но и обычные злоумышленники. Но мало кто скрывает серверы таких инструментов, так что немного усилий и всё как на ладони.
Одним из популярных инструментов можно назвать Cobalt Strike, на примере которого и показывается процесс поиска. А заодно автор написал и инструмент - SigStrike.
Примерный порядок действий:
- Определяемся с IoC
- Ищем серверы через shodan (или аналогичный сервис) или можем посканировать руками
- Фильтруем, получая актуальное и активное
- Наслаждаемся нашим Threat Hunting процессом.
По схожему принципу можно искать не только Cobalt Strike, но и прочие C2. Какие-то инструменты придётся дописать самому, что-то тестово развернуть, посмотреть С2-фиды (вроде C2IntelFeeds), но задача вполне решаемая.
payloadartist запустил стильный-модный-молодёжный редактор шаблонов для nuclei - Nuclei Forge.
Что есть:
- YAML-редактор
- Валидатор
- Хэлпер по функциям
И можно сразу проверить написанный шаблон на необходимой целевом URL.
Так же можно за основу взять чужой шаблон (прямо из Gallery) или собрать шаблон сразу на основе CVE (через CVE Search).
А для тех, кто не хочет таких сложностей, но всё же хочет приобщится к hardware hacking есть вариант более доступный - Damn Vulnerable Raspberry Pi.
Что потребуется:
- Raspberry Pi 4B
- Прошивка
- USB-to-TTL адаптер
- Провода-перемычки
- Мультиметр
- Ubertooth One (опционально)
Всего доступно 11 заданий, сами задания не только с описанием и инструкцией, но и решением.
Если у вас есть Raspberry Pi 4B и желание стать хакером-железячником, то это отличный способ начать.
Юзернейм с ником Ephrimgnanam опубликовал три репозитория для реверсеров и исследователей:
- Для любителей поковырять разную малварь:
https://github.com/Ephrimgnanam/Worms
- Для любителей поковырять разные RAT:
https://github.com/Ephrimgnanam/Cute-RATs
- Для любителей поковырять стилеры:
https://github.com/Ephrimgnanam/Cute-Stealers
Да, чудесных чудес там нет, слитых приваток тоже. Всё взято из паблика, но собрано в одном месте.
Пока что нет толкового описания, IOC, референсных ссылок и прочего, но автор обещает сделать. Но это не точно.
Giving an LLM command line access to Nmap
LLM уже давно выполняет разную полезную и не очень работу. Кто-то генерирует бесконечные тексты (коих навалом на развлекательных ресурсах), кто-то генерирует шаблоны для nuclei. А можно и использовать их для разведки и сканирования с использованием nmap.
И если в обычный промпт исполнение скрипта мы не добавим, через дополнительный инструмент llm это можно сделать без проблем.
Что нам потребуется:
- LLM: Github: llm / LLM Quick Start
- Cкрипт: llm-tools-nmap
Настраиваем всё и пробуем примеры из документации:
# Информация о сети
llm --functions llm-tools-nmap.py "What's my local network information?"
# Обнаружение хостов в сети
llm --functions llm-tools-nmap.py "Scan my local network to find live hosts"
# Информация о сервисах на портах 22, 80, 443
llm --functions llm-tools-nmap.py "Scan 192.168.1.1 for services on ports 80,443,22"
Warning:
Стоит учитывать, что вся эта чудо-автоматика работает не совсем предсказуемо, и стоит тестировать её работу в изолированной среде.
Доступ в дикий интернет или прод несёт свои риски.
dnsimg - storing images in txt records.
В DNS-записях можно хранить текст. Но можно ли хранить что-то ещё? Например, картинку?
Можно, и если вы сразу подумали о TXT-записях, то направление мысли верное. Но не всё так очевидно.
TXT-запись (как и SPF) лимитирована RFC 4408, длина данных в записи TXT или SPF может превышать 255 символов, но не более 255 символов в одной строке.
А Cloudflare имеет следующие ограничения:
The Content for each TXT record must be 2,048 characters or less.
If you have multiple TXT records with the same Name, there is also a limit for the sum of their Content characters, which must be 8,192 or less.
Black Hat Python был, Black Hat Go был, теперь появился Black-Hat-Zig.
Не в формате книги, но формате репо с документацией.
Проект делают 1.5 человека, так всё развивается не очень быстро и с уклоном в maldev. Но будем смотреть.
Что уже есть:
- Payload Management
- Malware Techniques
- Malware Examples
—
Intro to Black-Hat-Zig
Github: Black-Hat-Zig
По Секрету Всему Свету Или Всё, Что Случается В Git Остаётся В Git (Не Совсем)
Git штука удобная, но не тогда, когда кто-то пушит туда какие-нибудь токены, пароли и прочие секреты. Конечно, можно удалить такой коммит, но это работает далеко не всегда.
Так как же искать и ловить эти секреты? И как их удалить?
Тезисно:
- Удаление коммита != удаление секрета, reflog всё покажет
- Pre-commit hook наш друг (но не серебряная пуля)
- Инструментов для поиска секретов в коде достаточно, но все далеки от идеала
- TruffleHog ещё хорош, но уже не торт
- Удалять секреты можно, но осторожно
А взять шаблоны секретов для своих сканеров можно тут.
Attacking My Landlord's Boiler
HackRF и Replay Attack на страже английского уюта. Жил был англичанин, и был у него в арендуемой квартире котёл отопления. И не абы какой, а управляемый с термостата EHE0200322 на 868Mhz.
Не смотря на то, что в документации было указано Protocol: Encrypted, от Replay Attack это никак не защищает.
Остался лишь вопрос железа.
Не сыскав успехов с Challenger RP2040 LoRa, автор перешёл на более топорный, но более действенный инструмент: HackRF.
А дальше всё просто:
# Записываем сигналы включения и выключения на частоте 868.3Mhz с sample rate 2000000
hackrf_transfer -r turn_off.raw -f 868300000 -s 2000000
hackrf_transfer -r turn_on.raw -f 868300000 -s 2000000
# Отправляем сигнал на включение и выключение
# Флаг -a включает усилитель (1=Enable, 0=Disable)
# Флаг -x увеличивает gain (0-47dB, 1dB steps)
hackrf_transfer -t turn_off.raw -f 868300000 -s 2000000 -a 1 -x 23
hackrf_transfer -t turn_on.raw -f 868300000 -s 2000000 -a 1 -x 23
One Dashboard to view them all (или нет).
Одинокий сумрачный гений собрал дашборд - cybermonit, агрегирующий информацию из разных источников, включая:
- Информацию по последним СVE
- Данные по утечкам данных
- Репорты о ransomware жертвах/атаках
- EOL tracker
- Агрегацию новостей с разных источников.
Cybermonit консолидирует эти данные в виде дашборда и списков с возможностью поиска.
По заявлением автора под капотом Python для бэкенда, React/Vue для фронтенда и supabase для базы данных.
Но API нет, исходников нет (но доступны RSS-фиды, используемые в Cybermonit), но UI/UX неплохой.
Package hallucination: LLMs may deliver malicious code to careless devs
Не секрет, что нейронки при генерации кода (да и не только) могут "галлюцинировать", и выдавать произвольный результат. Однако, эта проблема касается не только самого кода, но и зависимостей, что может привести не просто к сломанному коду, а атаке на цепочку поставок.
Используя 16 популярных LLM для генерации кода и два уникальных набора данных подсказок, мы генерируем 576 000 примеров кода на двух языках программирования, которые мы анализируем на предмет галлюцинаций пакетов. Наши результаты показывают, что средний процент галлюцинированных пакетов составляет не менее 5,2% для коммерческих моделей и 21,7% для моделей с открытым исходным кодом, включая 205 474 уникальных примера галлюцинированных имен пакетов, что еще больше подчеркивает серьезность и распространенность этой угрозы.
Предлагаю сегодня поговорить об оборудовании, которым я, а также мои коллеги по аппаратному цеху, используют в своей повседневной работе. Сразу скажу, что не все из представленного списка является must-have’ным, так что можно сохранить небольшую (большую) копеечку при входе в программно-аппаратный хакинг.
1. USB-COM порт - брал на АлиЭкспрессе за 119 рублей, сейчас стоит 115 с бесплатной доставкой, что очень достойно. Нужен для подключения и управления умным оборудованием, включая промышленные маршрутизаторы, терминалы, АСУТП и т.д.
2. Программатор CH341 - в базовой комплектации можно взять за 270 рублей, но я бы предложил добавить еще 80 и укоплектоваться прищепкой (не лучший подход, но точно самый оперативный). Необходим для снятия прошивок с IoT и других умный устройств (включая BIOS твоей материнки).
3. USB-TTL aka UART адаптер - 124 рубля с доставкой. Нужен для подключения и управления IoT-устройствами, включая роутеры, домофоны, телевизоры, умные колонки, пылесосы и другие современные умные вещи. Незаменимая вещь в арсенале аппаратчика. Советую взять сразу несколько, так как легко спалить (у каждого хардвер хакера есть свое кладбище микросхем :).
4. Логический анализатор - всего 397 рублей, зато удовольствия почти на 2 тысячи долларов. Позволяет захватывать, отображать и анализировать цифровые сигналы (UART, I2C, SPI, JTAG и др., но для USB и Ethernet скорость маловата), предоставляя подробную информацию о передаваемых пакетах данных.
5. RS485 адаптер - еще одно устройство для управления умными устройствами, в основном технологическими, построенными по принципу общей шины. 130 рублей на АлиЭкспрессе + 42 рубля доставка.
6. Многофункциональный Tigard - 49 американских рублей + 8 за доставку. При покупке я еще анкету заполнял, с какой целью он мне нужен и уведомлял, что буду использовать его только в законных целях 💁… в общем в течении месяца мне с горем пополам доставили. Есть SPI/JTAG, UART, I2C и SWD подключения, а также ручная смена напряжения - 0, 1.8, 3.3 и 5 вольт. Как по мне, так это совершенно бесполезная вещь, хоть и красивая. Пользовался 2 раза: когда купил и когда использовал как замену после спаленного UART’а.
7. XGecu T48 программатор - потрясающая вещь, которая должна быть обязательно у каждого. В настоящий момент поддерживает 35696 микросхем для снятия и презаписи прошивки. Просто наземенимая вещь, хотя и стоит порядка 6 тысяч рублей. Я бы советовал брать сразу с набором переходников, чтобы покрыть больший пласт форм-факторов, но если что, можно и попозже докупить.
Итого: 1158 рублей на необходимый минимум. Провода и джамперы не беру в расчет, так так стоят “копейки” и обычно поставляются с адаптерами в комплекте.
6 тысяч для апгрейда программатора (потом, когда поймете, что CH341 становится недостаточно)
Ну и не совершайте моих ошибок и не тратьтесь на Тигард.
Жду в комментариях ваши адаптеры и используемое оборудование ;)
🔁 Поделись с теми, кому это может быть полезно 💬@glinkinivan
Пропустил новость от марта, но теперь навёрстываю: OWASP Top 10 for LLMs and Generative AI обновился (да, если кто не знал, есть и такое, я писал об этом около года назад) и теперь есть на русском языке: OWASP Top 10 для LLM и генеративного ИИ (2025)
Так же появились:
- Securing Agentic Applications Guide 1.0
- GenAI Incident Response Guide 1.0
Сам LLM Top 10 претерпел некоторые изменения и сейчас выглядит так:
- LLM01:2025 Prompt Injection
- LLM02:2025 Sensitive Information Disclosure
- LLM03:2025 Supply Chain
- LLM04:2025 Data and Model Poisoning
- LLM05:2025 Improper Output Handling
- LLM06:2025 Excessive Agency
- LLM07:2025 System Prompt Leakage
- LLM08:2025 Vector and Embedding Weaknesses
- LLM09:2025 Misinformation
- LLM10:2025 Unbounded Consumption
Сравнить с прошлым годом можно тут.
Наткнулся тут на статью со "срывом покровов" - Вся правда про мессенджер Max!
Страшно, очень страшно, если бы мы знали что это такое, мы не знаем что это такое.
ACCESS_COARSE_LOCATION и ACCESS_FINE_LOCATION: геопозиция. Не знаю, можно ли в Max скинуть гео, но в целом функционал стандартный.BLUETOOTH_CONNECT: мы же хотим использовать свои колонки (будь они неладны) и наушники с гарнитурами, верно?WRITE_EXTERNAL_STORAGE, READ_MEDIA_VISUAL_USER_SELECTED, READ_MEDIA_IMAGES, READ_MEDIA_VIDEO, CAMERA: мы что-то фотографируем, отправляем мемы с котами, сохраняем и отправляем фотографии и документы.READ_CONTACTS: всё просто - доступ к контактам.POST_NOTIFICATIONS: оповещения о сообщениях.REQUEST_INSTALL_PACKAGES: вот тут не уверен. Возможно, реализовано обновление как у Telegram, установленного не из сторы.Плюс ко всему, я был шокирован, что Max отказался запускаться на Android 9. Почему современный мессенджер не поддерживает не такую уж старую систему? Это, честно говоря, настораживает.
Копнув ещё глубже, я обнаружил, что Max использует jar-файлы для внедрения в систему вашего устройства.
А теперь самое тревожное: все данные, которые собирает Max — от ваших чатов до информации об устройстве, — отправляются прямиком на сервера VK.
Scanning Beyond the Patch: A Public-Interest Hunt for Hidden Shells
Патчи это хорошо, но они не гарантируют устранение уязвимости — после фикса уязвимости на разных устройствах (как сетевых, так и серверов и разных эндпоинтах) могут сохраняться перманентные бэкдоры, предоставляющие злоумышленнику долгосрочный доступ.
Примеры из реальных инцидентов:
1. Citrix ADC / NetScaler (CVE‑2023‑3519)
- Были обнаружены web‑шеллы, скрытые в /var/vpn/themes и /logon/LogonPoint/uiareas.
- Первый вариант шелла отвечал HTTP 201, а второй — "пустым" 404, что нестандартно для системы.
2. Cisco IOS‑XE (CVE‑2023‑20198)
- Внедрялись фальшивые страницы 404 или короткие строки версий shell.
- Использовались нестандартные HTTP-заголовки и параметры типа %25 или logon_hash=1, чтобы обнаружить заражённые устройства.
3. Ivanti Connect Secure (CVE‑2024‑21893)
- Бэкдор отвечал HTTP 200 на то, что должен был отдавать 404, или возвращал uname -a.
- Также внедрялись скрытые файлы index.txt(1,2), которые можно было обнаружить при сканировании.
Каждый случай показывает, что компрометация может пережить исправление, и фикс не гарантирует устранение уязвимости полностью.
Хотя бывают и более сложные случаи, вроде CVE-2025-20309 с замечательным моментом в описании:
attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.
А вы ещё помните Hak5 и их SharkJack?
Если оба названия для вас в новинку, то ничего страшного, но кратко напомню: Hak5 это авторы WiFi Pineapple (свои версии которого не так давно все активно пытались собрать, например тут), а SharkJack аналог Rubber Ducky, но с Ethernet.
И продолжая старую традицию энтузиасты продолжают делать свои альтернативы.
Есть и альтернатива для SharkJack - Raspyjack.
Дешевле, открытей, громозче. Но от автора Evil-M5.
Необходимое железо:
- Raspberry Pi Zero 2 W (or Pi Zero, Pi 4)
- Waveshare 1.44" SPI TFT LCD HAT w/ joystick + 3 buttons
- Waveshare USB-Ethernet HUB HAT
Функционал:
- Recon: сканирование nmap c профилями
- Shells: reverse-shell launcher (использование Raspyjack в роли импланта)
- Credentials capture: Responder, ARP MITM + packet sniffing, DNS-spoof phishing
А ещё файловый браузер, Loot viewer, редактор тем, бэкап-рестор конфигов и вот это всё.
С документацией беда, конфиги не вынесены из скрипта, так что лёгкой прогулки не ждите.
dnsimple (dns-хостер такой) выпустили комикс по работе DNSSEC - How DNSSEC works.
А для тех, кто всё понял - есть небольшая игра.
Всё на английском, но вы можете помочь с переводом.
Пятничный хакинг железочек.
На этот раз не просто сухая теория, а целая hands-on платформа-лаборатория - PwnPad, для которой сначала надо бы собрать необходимую железку.
Да, заказываем плату (герберы, бомы и прочее тут), берём Arduino UNO (потребуется для прошивки), паяльник, рассыпуху и вперёд.
Что потребуется для сборки:
- Arduino UNO на ATmega328P с DIP-панелью
- Паяльник, провода, флюс
- Компоненты из BOM
- Arduino IDE
- Сама плата PwnPad
Рекомендуемое оборудование для решения задач
- Мультиметр
- Arduino UNO
- Логический Анализатор
- Провода-перемычки
- Raspberry Pi Pico и MOSFET для решения задач по Fault Injection
Всего доступно 12 задач, в ходе которых можно получить навыки использования основных протоколов (UART , SPI и I2С), навыки дампа прошивки, а так же пощупать продвинутые техники, вроде Fault Injection и Side-channel attack.
Полная инструкция по сборке и прошивке доступна в PDF, а так же есть видео сборки.
Про Vibe coding сейчас только ленивый не говорит. И клоны сайтов делают (нередко для фишинга, как в случае с same.dev) и SaaS целый (не без нюансов) и вообще кучу всего (и я даже не про AI/ML стартапы, где AI = An Indian, а LLM = Low-cost Labor in Mumbai).
Пока одни ломают копья в баталиях Vibe Coding: Pros and Cons, вторые используют сгенерированный код везде, где только можно, третьи пытаются понять, как это секурить.
Что мы имеем:
- Vibe coding позволяет быстро создавать прототипы, но создает уязвимости.
- В коде, сгенерированном искусственным интеллектом, часто отсутствуют security features, если они не указаны явно.
- Security-by-design в vibe coding сущность незнакомая, что приводит к появлению реальных уязвимостей в развернутых приложениях.
Reflectiz выпустили целый Whitepaper: Secure Vibe Coding: The Complete New Guide.
Получился OWASP Top 10 для бедных, без особых откровений.
Но иногда ИИ ведёт себя как разработчик:
- ИИ фокусируется на функциональности, а не на безопасности
- Непроверенный код может привести к скрытым проблемам.
- Код от ИИ бывает неэффективным и трудно поддерживаемым.
Что делать:
- Явно указывать требования безопасности (например, "Используй параметризованные запросы").
- Применять многоэтапные промпты (сначала код, потом проверка на уязвимости).
- Запрещать опасные практики (например, "Не храни секреты в коде").
В остальном всё то же, что и обычно
- Code Review
- SCA/OSA
- SAST/DAST
- прочие проверки, которые вы используете.
Краткий вариант на Hacker News:
The Hacker News: Secure Vibe Coding: The Complete New Guide
Полный Whitepaper:
reflectiz.com: Secure Vibe Coding: The Complete New Guide.pdf
И разумеется, это не первый случай альтернативного использования TXT-записи. Можно их использовать и как менеджер паролей. И не plaintext, а с ипользованием OpenSSL.
Немного неправильной магии :
1. Шифруем секрет
echo -n 'mySuperSecretPassword1!!1!!' | openssl enc -e -aes-256-cbc -a -salt -pbkdf2
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:
U2FsdGVkX1/6QtzsEgPSLYdsSmIeVdH/0t7Tcwfr7ixWyDGzHu/Saz8YrKQ84kGd
hackermandig pass.theden.sh TXT +short | sed 's/^"\(.*\)"$/\1/' | openssl aes-256-cbc -a -d -salt -pbkdf2
enter aes-256-cbc decryption password:
mySuperSecretPassword1!!1!!
Threat Modeling Solar Infrastructure
Чего во взломе IoT только не случалось. Бесконечные камеры, звонки, розетки, лампочки и даже игрушки для взрослых. И не миновала чаша сия и зеленую энергетику в виде солнечных энергосистем.
Недавнее исследование Forescout показало, что около 35 000 солнечных энергетических систем подвержены воздействию Интернета, а исследователи обнаружили 46 новых уязвимостей у трех основных производителей.
Казалось бы, класс устройств несколько отличный от заурядного IoT, но вендоры настойчиво пытаются собрать OWASP IoT Top 10:
- Weak Guessable, or Hardcoded Passwords: стандартные и\или захардкоженные пароли
- Insecure Network Services: доступные из дикого интернета сервисы, которые этого не требуют и софт с уявзимостями
- Lack of Physical Hardening: стандартная проблема с наличием физического доступа
- Supply Chain Vulnerabilities: одна из самых сложных проблем, прошивки могут собираться из старого софта, а поддержка может закончиться уже до выхода устройства.
В 2024 уязвимости уже активно эксплуатировались:
- IoT M2M COUNCIL: Attackers hijack solar panel monitoring devices in Japan
- Retail & Hospitality ISAC: Four Chinese APT Groups Target Critical Infrastructure Disruption
За два года количество доступных из интернета уязвимых устройств выросло на 350% (по данным Forescout), и сейчас Shodan по запросу product:"SolarView Compact" показывает 2,831 устройств (в том числе с CVE-2023-23333), что довольно много.
—
- Security Week: 35,000 Solar Power Systems Exposed to Internet
- Industrial Cyber: Forescout finds Europe leading in exposed solar power equipment, raising alarms on infrastructure security
Минутка малополезной статистики и размышлений:
Все привычно ругают Wordpress за его дырявость и в общих чертах это не на пустом месте.
По данным CVEDetails с 2015 года всего было 360 уязвимостей. Но часто дыры не в самом WordPress, а в его плагинах.
В прошлом году мы получили кучку уязвимостей (вероятно связанно с тем, что Wordfence запустили баг-баунти программу:
- CVE-2024-4619 - Elementor - NIST: CVE-2024-4619
- CVE-2023-6701 - ACF - NIST: CVE-2023-6701
- CVE-2023-47777 - WooCommerce - NIST: CVE-2023-47777
- CVE-2024-5932 - GiveWP – Donation Plugin - NIST: CVE-2024-5932
- Yoast SEO <= 20.2 - Wordfence
И в этом году относительно свежие:
CVE-2025-2005 - Front End Users - NIST: CVE-2025-2005 / VulnForge: CVE-2025-2005
CVE-2025-2563 - User Registration & Membership - NIST: CVE-2025-2563 / VulnForge: CVE-2025-2563
CVE-2025-5287 - Likes and Dislikes - NIST: CVE-2025-5287 / VulnForge: CVE-2025-5287
Вдобавок к этому странная политика раскрытия уязвимостей и назначения CVE.
Но есть и хорошие новости. По крайней мере для атакующих. В таком разрезе Wordpress неплохо подходит для тех, кто учится писать эксплоиты. Можно как ресёрчить с нуля, так и делать что-то на основе PoC, которые появляются довольно быстро.
Правда в замен вы получаете ковыряние в Wordpress и кучу сомнительного кода на php, но что и делать.
🖼️ Redis снова стал open source
#redis #opensource #OSS
После прошлогоднего перехода на проприетарные лицензии, который вызвал массовое недовольство и появление форков (Valkey, Redict, Garnet, KeyDB), Redis 8.0 теперь распространяется под свободной лицензией AGPLv3. Это стало возможным благодаря возвращению создателя проекта Сальвадора Санфилиппо, который настоял на открытости кода.
Ключевые изменения в новой версии:
➡️Redis снова официально open source - теперь под AGPLv3, а не под ограничительными SSPL/RSAL.
➡️В состав Redis 8.0 вошли новые векторные расширения (Vector Sets), важные для AI-задач.
➡️Новый лицензионный подход должен восстановить доверие и активность сообщества, ведь AGPLv3 требует раскрытия исходников при сетевом использовании и совместима с GPLv3.
Почему это важно:
➡️Возвращение к open source ускорит развитие, повысит доверие и вовлечённость комьюнити.
➡️AGPLv3 защищает проект от эксплуатации крупными облачными провайдерами без вклада в разработку.
➡️Новые возможности Redis 8.0 делают его актуальным для современных задач.
🔗Подробнее
🌚 @poxek | 🌚 blog.poxek.cc | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Fifty Years of Open Source Software Supply Chain Security
TL;DR
Расс Кокс (экс-лидер проекта по разработке Go) рассматривает эволюцию угроз безопасности в цепочке поставок открытого программного обеспечения за последние 50 лет. Он сравнивает исторические и современные инциденты, чтобы подчеркнуть неизменность фундаментальных проблем в этой области.
В марте далёкого 1972 года, ВВС США начали проверку системы Honeywell Multics, чтобы понять, можно ли ее использовать в защищенных средах. Отчет был выпущен в середине 1974 года, где исследователи пришли к выводу, что Multics, хоть и не защищен лучше своих аналогов, но может быть разумной отправной точкой для создания защищенной системы. В отчете говорилось о возможности добавления бэкдора в невинный системный вызов. При передаче определенного, очень маловероятного входного сигнала системный вызов позволял читать или записывать произвольное слово из памяти ядра. Это крошечное изменение полностью подрывало безопасность системы, и в отчете исследовалась механика того, как такое изменение может быть сделано и скрыто.
И этот отчёт можно считать определённой отправной точкой в мире обеспечения безопасности цепочки поставок.
Так же не обошлось и без упоминания уязвимости в liblzma\xz (CVE-2024-3094), которая оказалась ярким примером атаки на цепочку поставок за последние годы.
Тезисно:
- За 50 лет проблема не решилась сама собой и стала только актуальней.
- Регулярное сканирование на наличие известных уязвимостей и поиск неизвестных уязвимостей нужны и важны.
- Предотвращение уязвимостей включает удаление ненужных зависимостей, использование безопасных языков программирования и финансирование проектов с открытым исходным кодом.
- Стоит автоматизировать процесс сборки и доставки ПО.
- Использование цифровых подписей для проверки целостности пакетов тоже хорошее решение.
Popular scanners miss 80%+ of vulnerabilities in real world software (17 independent studies synthesis)
Маркетологи народ неуёмный, в том числе и в SAST продуктах. Часто можно услышать заявления про "на 90% быстрее, на 80% меньше False Positive" и прочие продающие лозунги. Просто неси деньги и всё будет безопасно.
Но тут есть и подводные камни:
- Используются синтетические тесты, вроде представленных в OWASP Benchmark Project, не обладают реальной
сложностью
- Тесты производительности тоже могут быть далеки от реальности, так как не учитывают сложность архитектуры и сторонние зависимости
- Контрольные показатели неточно отражают реальное распределение уязвимостей.
Да и в конце концов, никто не мешает указывать нужные значения без учётов данных тестов.
И в итоге реальность отличается от буклетов.
- Статические анализаторы для C/C++ пропускают 47–80% реальных уязвимостей, 87% для Java
- Комбинированные инструменты оставляют от 30% до 70% уязвимостей необнаруженными
- Open Source SAST от проприетарного софта отличается преимущественно лишь ценой
Отличная цитата из отчета NIST SATE за 2018 год:
Некоторые производители инструментов выразили обеспокоенность по поводу публичного раскрытия подробного анализа своих отчетов. Мы решили учесть их беспокойство и сохранить конфиденциальность данных.
Почему это нас беспокоит? Ситуация с финансированием MITRE и NIST исключительно внутриамериканская. И она так или иначе разрешится. В этой сфере крутятся миллиарды долларов, работают сотни компаний и многие тысячи специалистов. Они без нас найдут тех, кто будет вести и обогащать базу CVE, и кто будет это финансировать (CISA уже отсыпали MITRE денежек на 11 месяцев 😏).
А нам следует задуматься, почему американские базы CVE-уязвимостей настолько важны для нас. Почему это нас беспокоит?
Ответ очевиден: в России всё ещё широко используется западный коммерческий софт, уязвимости которого собираются в эти базы. Как и уязвимости западного опенсурсного софта/библиотек, составляющих основу практически всего "отечественного ПО". Из технологической зависимости растёт и зависимость от американских баз уязвимостей. 🤷♂️
Поэтому следует:
🔹 усиливать настоящее импортозамещение
🔹 избавляться от западных продуктов
🔹 наращивать контроль над опенсурсными проектами
@avleonovrus #NIST #MITRE #NVD #CVE #OpenSource #CISA