KDF: зачем хэшировать пароли сложно?

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём довольно важную, но часто недооценённую тему: функции derivation ключей, или KDF (Key Derivation Function)

⏺Что это и зачем: KDF - целый подход, как сделать так, чтобы украденный хэш не превратился в пароль. Даже если база данных попала в руки хакера.

Вот в чём фишка:

1️⃣Удорожание атаки
KDF тратит на каждый пароль больше времени/памяти. Это специально, чтобы брутфорс занял не минуты, а годы.
2️⃣Соль (salt)
Каждому паролю добавляется уникальное значение. И теперь даже два одинаковых пароля → два разных хэша.
3️⃣Итерации и память
KDF гоняет пароль через себя сотни тысяч раз. Условный SHA256 — почти бесплатен. KDF — нет.
4️⃣Никаких rainbow-таблиц
Соль полностью ломает предрасчитанные таблицы. Даже у 123456 и admin теперь разный выход.

⏺Почему это критично: Потому что даже «хешированная» база легко вскрывается, если вы использовали обычный MD5 или SHA1. GPU и специализированные ASIC-фермы проверяют миллионы хэшей в секунду. А вот хороший KDF останавливает даже их.

⏺Примеры KDF, которые реально защищают:

• PBKDF2 — стабильный ветеран, до сих пор в протоколах TLS, Wi-Fi и enterprise-приложениях.
• scrypt — заточен под борьбу с GPU. Требует много памяти.
• Argon2 — современный стандарт, победитель Password Hashing Competition. Супер выбор на 2025 год.

ZeroDay | #кэширование

KDF: как правильно хэшировать пароли

👋 Приветствую в мире цифровой безопасности!

В прошлый раз мы обсудили, зачем нужны KDF. Теперь посмотрим, как их применяют на практике.

⏺Сценарий: допустим, вы разрабатываете веб-приложение и хотите хранить пароли пользователей безопасно. Обычный SHA256 - это не всегда лучшая защита. Вот как надо:

1️⃣PBKDF2 (подходит даже в legacy-проектах):

import hashlib
import os

salt = os.urandom(16)
hash = hashlib.pbkdf2_hmac('sha256', b'password123', salt, 100_000)

2️⃣scrypt (хорош против атак с видеокартами):

import hashlib

hash = hashlib.scrypt(
    b'password123',
    salt=os.urandom(16),
    n=2**14, r=8, p=1
)

3️⃣Argon2 (современный стандарт):

from argon2 import PasswordHasher

ph = PasswordHasher()
hash = ph.hash("password123")

ZeroDay | #кэширование

🌟NFT-подарки в Telegram: что это и как работает рынок?

👋 Приветствую в мире цифровой безопасности!

Расскажу, как телега превратила анимированные подарки в NFT и запустила целую экономику внутри мессенджера.

⏺Что вообще тут происходит: Telegram выпускает ограниченные серии NFT-подарков - это анимированные стикеры или гифки, привязанные к TON-блокчейну. После завершения эмиссии их можно перепродавать на маркетплейсах.

⏺Механика монетизации:

1️⃣После покупки подарок попадает в кошелёк TON.
2️⃣На маркетах вроде Tonnel и Portals его можно выставить на продажу.
3️⃣Благодаря ажиотажу на старте цена часто растёт в 3–10 раз.
4️⃣Некоторые маркетплейсы возвращают часть комиссии или дают бонусы в TON за участие.

⏺Что это значит для безопасников: по сути подарки - это новый класс цифровых активов, вокруг которых уже формируется криминальный интерес: появляются фишинговые сайты, поддельные боты, схемы обмана с перепродажами и попытки атак на TON-кошельки пользователей - особенно тех, кто не в теме.

⏺Где можно покупать/продавать безопасно:
Tonnel — популярный маркет с высокой активностью, но иногда демпинг.
Portals — выгодные комиссии, спокойнее рынок.
Купить звезды

ZeroDay | #подарки #ИБ

Дыра в щите Cloudflare: как одна атака вскрыла проблему, о которой молчат c 2023

Jabber.ru атаковали без взлома серверов: просто перехватили трафик и получили настоящий TLS-сертификат. Всё по правилам, с помощью Let’s Encrypt. И Cloudflare в этом невольно помог.

⏺В статье покажут, как устроена такая атака, почему даже правильные настройки безопасности не спасают, и как одна строка в DNS (по стандарту RFC 8657) могла всё предотвратить. Разбирается, почему Cloudflare до сих пор не даёт пользователям защититься и чем это грозит.

ZeroDay | #Статья

📝 Давай расскажу, как работают команды в кибербезе

В ИБ многое строится вокруг роли и взаимодействия команд. Каждая из них фокусируется на своём участке "цифрового фронта".

➡️Red Team — атакующие на стороне добра. Имитируют атаки, чтобы найти уязвимости до того, как это сделают злоумышленники.

➡️Blue Team — защитники. Следят за инфраструктурой, отбивают атаки и восстанавливаются после инцидентов.

➡️Purple Team — медиаторы. Помогают Red и Blue лучше понимать друг друга, чтобы вся система защиты становилась эффективнее.

➡️White Team — организаторы. Курируют учения, следят за соблюдением регламентов и стандартизируют процессы.

➡️Orange Team — просветители. Обучают персонал, повышают осведомлённость и борются с человеческим фактором.

➡️Yellow Team — безопасная разработка. Внедряют ИБ-практики в процесс написания и деплоя кода.

➡️Green Team — инфраструктура. Отвечают за то, чтобы окружение было безопасным уже на уровне железа и облаков.

ZeroDay | #ИБ

DDexec: запуск бинарей без файлов и следов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это такое: Скрипт ddexec.sh берёт бинарный файл и подменяет текущий процесс, записывая его содержимое напрямую в память через /proc/self/mem. В результате — никакого tmp, никакого chmod +x, никакого следа на диске.

⏺Почему это важно: На многих серверах запуск бинарей строго ограничен: нет прав на запись, идёт жёсткий аудит tmp и других путей. DDexec обходит это ограничение, позволяя выполнять код из памяти, не оставляя артефактов на файловой системе.

⏺Кроме того, DDexec поддерживает запуск shellcode напрямую через ddsc.sh. А так можно загружать и исполнять полезную нагрузку прямо из памяти, без ELF-файлов, и шансов быть замеченым сильно меньше.

ZeroDay | #Инструмент

Security Gate - что это?

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу про Security Gate, один из важных элементов безопасности в DevOps.

⏺В чём суть: Security Gate — это автоматический контроль безопасности, встроенный в CI/CD пайплайн. Он чекает код, зависимости, контейнеры и инфраструктуру на уязвимости и несоответствия ещё до деплоя.

⏺Как работает:

1️⃣Код отправлен в репозиторий — запускаются проверки статики и анализа.
2️⃣Проводится сканирование контейнеров и образов.
3️⃣Анализируются инфраструктурные конфигурации (IaC).
4️⃣Результаты оцениваются по критериям безопасности — если что-то серьёзное, сборка останавливается.

⏺Удобно? Да, вполне: Вся проверка происходит сама, без лишних телодвижений - экономит время и нервы, а главное, помогает спать спокойно.

ZeroDay | #securitygate

Тайное уравнение, позволявшее США следить за всеми

В 2006 году АНБ внедрило в стандарт генерации случайных чисел (Dual EC DRBG) скрытую лазейку. На бумаге - это эллиптическая криптография. А на деле уравнение, позволяющее читать трафик, считавшийся зашифрованным. Уязвимость отрицали до утечек Сноудена.

⏺В статье показывается, как именно работает этот бэкдор: от математической идеи до Python-реализации. Рассказывают, как через публичные параметры можно восстановить seed и предсказать весь вывод.

ZeroDay | #Статья

Favirecon: разведка через favicon

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: утилита для разведки целей по их favicon’ам. Она хеширует и сверяет иконки сайтов с базой известных значений, помогая определить используемые технологии, WAF, панели админки или публичные сервисы.

⏺Как это работает: Каждый сайт почти всегда отдает favicon.ico, и его содержимое уникально для CMS, панелей или сервисов. Favirecon берет этот файл, считает хеш (обычно mmh3), и сравнивает с уже известными.

⏺Примеры использования

Проверка одного домена:

favirecon -u https://example.com

Анализ списка целей:

favirecon -l targets.txt

Сканирование по сети (CIDR):

favirecon -u 10.10.0.0/24 -cidr

Поиск конкретного favicon-хеша (например, Kibana):

favirecon -hash 116323821

Запуск через прокси:

favirecon -u https://target.com -px https://127.0.0.1:8080

ZeroDay | #Инструмент

Разведка с Nmap

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, как эффективно юзать Nmap

⏺Nmap не равно просто “посканить порты”: Правильная разведка - это полдела. А если вы умеете читать между строк (точнее, между флагами TCP/IP) - флаг почти у вас в кармане.

1️⃣Определение ОС по TTL: ICMP-запрос возвращает TTL=128 - с вероятностью Windows. Убирает догадки ещё на этапе разведки.

2️⃣Сканирование портов и сбор данных: Простая команда:

sudo nmap -sS -n -Pn target

вернёт список открытых TCP-портов — тут их было 7

3️⃣Выявление hostname через SMB:

sudo nmap -sV -n -Pn -p445 target

SMB-баннер дал имя хоста (например, NIX-NMAP-DEFAULT)

4️⃣Генерация отчёта в HTML:

sudo nmap -sS -n -Pn -oX scan.xml target
xsltproc scan.xml -o scan.html

И последнее порт-число = 31337

5️⃣NSE: скрипты для discovery flag:

sudo nmap -p80 --script discovery target

помогли найти /robots.txt с флагом

ZeroDay | #Nmap

Zeroization: как правильно уничтожать секреты

👋 Приветствую в мире цифровой безопасности!

Расскажу про обнуление чувствительных данных, или zeroization.

⏺Что это: Zeroization - такая практика явного стирания из памяти ключей, токенов, паролей и других секретов сразу после использования. Чтобы никакая часть программы, отладчик или хакер не могли их потом восстановить.

⏺Зачем это важно: Когда секрет больше не нужен - это не значит, что он исчез. Он может оставаться в оперативной памяти, в swap-файле, или даже в дампе после аварии. Zeroization по факту уменьшает поверхность утечки, особенно в случаях компрометации устройства.

⏺Где используется:
➡️В криптографических библиотеках (OpenSSL, libsodium)
➡️В аппаратных токенах (HSM, TPM)
➡️В протоколах военного уровня (например, при «самоуничтожении» ключей)

⏺Но есть нюанс: Компилятор может оптимизировать «ненужное» зануление. Поэтому используются разные специальные функции, вроде explicit_bzero() (Linux/BSD) или SecureZeroMemory() (Windows), которые гарантируют сохранение инструкции.

ZeroDay | #zeroization

📝 AppArmor vs. SELinux: в чём разница?

Оба - системы мандатного контроля доступа (MAC), которые защищают Linux от непрошенных действий даже суперпользователя. Но работают они по-разному.

Давайте разберёмся по шагам 👇

AppArmor

1️⃣Использует пути к файлам для определения доступа.
2️⃣Политики проще — как список разрешённых маршрутов.
3️⃣Легче настроить, особенно для новичков.
4️⃣Позволяет делать отдельные локальные правила для каждого приложения.
5️⃣Чаще всего используется в Ubuntu и openSUSE

SELinux

1️⃣Основан на метках (labels) — каждому объекту и процессу присваивается контекст.
2️⃣Позволяет тонкую настройку по пользователям, ролям, типам.
3️⃣Защищает всю систему целиком, не только приложения.
4️⃣Многоуровневая политика безопасности.
5️⃣По умолчанию стоит в Red Hat, CentOS, Fedora.

ZeroDay | #ИБ