Очередная китай-камера с бэкдором

Китайская камера для микроскопа оказалась с сюрпризом — всего-то встроенным бэкдором, который дает удалённый доступ хакерам 😁

⏺Автор статьи, давний фанат реверс-инжиниринга, взял и решил разобраться в устройстве: для начала разобрал камеру, изучил прошивку и конечно нашёл уязвимости. Вместо того чтобы просто работать, камера становится инструментом для наблюдения — как за объектами под микроскопом, так и за своими владельцами…

ZeroDay | #Статья

📝 Как работает reverse shell?

1️⃣Сначала злоумышленник настраивает у себя на сервере «прослушиватель», который ждёт входящих подключений.

2️⃣Потом, через фишинг или уязвимость, он заставляет нашу жертву (например, сервер foo.com) выполнить специальную команду.

3️⃣После этого сервер жертвы сам подключается обратно к злоумышленнику, обходя фаерволы и вообще все средства защиты

4️⃣Теперь же наш хакер может отправлять любые команды на взломанный сервер и получать ответы.

ZeroDay | #атака

Maigret: OSINT инструмент для ресерча

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Maigret — сканер, который проверяет десятки известных сайтов, собирает всю доступную инфу и создает полное досье на человека, просто зная его никнейм. Профили, публикации, комментарии — всё это может быть собрано, буквально, за секунды.

⏺Зачем это нужно: если надо понять, какие цифровые следы оставил человек в сети или вдруг вам нужно проверить свою интернет-репутацию, Maigret поможет быстро собрать всю инфу.

ZeroDay | #Инструмент

Принцип наименьших привилегий (PoLP)

👋 Приветствую в мире цифровой безопасности!

Расскажу о принципе наименьших привилегий: что это и зачем он нужен.

⏺Что такое PoLP: принцип звучит просто — доступ только к тому, что действительно нужно. Представим, что вам дают ключ только от того кабинета, в котором вам нужно работать, и не дают доступа к другим частям здания. Это явно уменьшает риски, если кто-то вдруг попытается воспользоваться вашей позицией в системе.

⏺Зачем нужно: тот же хакер, каким-то образом проникший в систему - без лишних привилегий его возможности окажутся ограничены, как если бы он застрял в одной комнате и не мог пройти дальше. Короче говоря, проблем у вас будет сильно меньше.

⏺Где используем: PoLP используется везде — от офисных пользователей до серверов и облаков. Например, разработчику не нужно видеть финансовую базу данных, а системному администратору — исходный код приложения. Всё делаем строго по ролям.

ZeroDay | #безопасность

Три команды для защиты сети

👋 Приветствую в мире цифровой безопасности!

Поговорим о трех хороших командах для защиты сетей.

⏺auditctl — мониторим на глубоком уровне: если нужно отслеживать критические изменения в системе, auditctl — это буквально то, что нужно. К примеру, если хотите следить за изменениями в важном файле, выполните команду:

auditctl -w /etc/passwd -p wa -k passwd_changes  

Теперь каждая попытка изменить этот файл будет зафиксирована.

⏺bpftool — контроль трафика с eBPF: для анализа трафика на низком уровне используйте bpftool. Мастхэв-инструмент для работы с eBPF-программами. Хотите увидеть, какие фильтры настроены на вашем сервере? Просто вводите:

bpftool prog show  

⏺gpg — безопасно шифруем прямо из терминала: конечно, забываем про шифрование. Если нужно быстро зашифровать файл, используйте команду gpg:

gpg -c secret.txt  

Какая из команд заслуживает отдельного поста?

ZeroDay | #Network #безопасность

TLS: как работает зеленый замок в браузере

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о протоколе TLS для защиты данных в сети.

⏺Что такое TLS: Transport Layer Security — это протокол, который гарантирует, что ваша переписка, пароли или банковские операции останутся конфиденциальными. Даже если кто-то перехватит данные, без ключа шифрования он ничего не сможет с ними сделать.

⏺Как это работает: Всё начинается с “рукопожатия”. Клиент (например, ваш браузер) и сервер договариваются, какой алгоритм шифрования использовать. После этого создаётся секретный ключ, который знают только они.

⏺Как настроить TLS: Добавьте в конфигурацию Apache:

<VirtualHost *:443>  
    SSLEngine on  
    SSLCertificateFile /path/to/certificate.crt  
    SSLCertificateKeyFile /path/to/private.key  
</VirtualHost>  

Перезагрузите сервер - и готово 😎

ZeroDay | #безопасность

Где-то тут подвох 🧐

ZeroDay | #мем

Исследуем «вредоносную» флешку RJ45

Когда в сети появилось сообщение о флешке Ethernet-to-USB, начиненной вирусом, который "ускользает" от виртуальных машин и перехватывает клавиатурный ввод, многие мягко говоря, перепугались… Но стоит ли паниковать?

⏺В статье анализируется, насколько реальна угроза, скрытая в этом устройстве. Автор исследует драйвер, странные чипы и описания устройства, чтобы понять, что вообще за ними стоит на самом деле. В итоге выясняется, что не все какие-то странности означают вредонос, но все равно всегда стоит быть настороже.

ZeroDay | #Статья

Исследуем «вредоносную» флешку RJ45

Когда в сети появилось сообщение о флешке Ethernet-to-USB, начиненной вирусом, который "ускользает" от виртуальных машин и перехватывает клавиатурный ввод, многие мягко говоря, перепугались… Но стоит ли паниковать?

⏺В статье анализируется, насколько реальна угроза, скрытая в этом устройстве. Автор исследует драйвер, странные чипы и описания устройства, чтобы понять, что вообще за ними стоит на самом деле. В итоге выясняется, что не все какие-то странности означают вредонос, но все равно всегда стоит быть настороже.

ZeroDay | #Статья

ThreatMapper: Open Source сканер уязвимостей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это такое: по сути как радар для вашей инфраструктуры. Этот open source сканер работает с Kubernetes, виртуальными машинами и serverless-средами, выявляя уязвимости вот прямо во время работы приложений.

⏺Почему он крут: инструмент не просто ищет проблемы — он сортирует их по важности. Теперь вместо длинного списка слабых мест вы получаете четкий план действий, начиная с самых критических уязвимостей.

⏺А интеграция с системами CI/CD и платформами мониторинга делает его еще круче!

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ Подборка уроков по ИБ
⏺ Социальная инженерия
⏺ ИБ для каждого
⏺ Профессиональный курс по ИБ
⏺ Информационная безопасность от Cisco

ZeroDay | #Подборка

Моноалфавитные криптосистемы

👋 Приветствую в мире цифровой безопасности!

Расскажу о моноалфавитной криптосистеме, которую использовал еще Цезарь для шифра данных.

⏺Моноалфавитный шифр — это когда каждую букву текста заменяют на другую, сдвинутую на фиксированное число позиций в алфавите. Впервые его применил Юлий Цезарь, чтобы скрыть свои военные приказы от врагов. Секрет в том, что сдвиг букв — это и есть ключ.

⏺Как работает: Предположим, у нас есть ключ “7”. Берем русский алфавит и сообщение, например, “ВЛАДИСЛАВ ЗЮЗИН”. Буква “В” (она под номером 3) сдвигается на 7 позиций вперед — получаем “И”. Продолжаем с остальными буквами и получаем зашифрованное сообщение: “ИТЖКПШТЖИ ОЕОПФ”.

⏺Как расшифровать: а вот чтобы расшифровать сообщение надо выполнить те же действия, но с вычитанием ключа. Например, “И” (позиция 10) минус 7, получаем “В”. И так с каждой буквой — и вот ваш оригинал снова перед вами.

Такая вот первая попытка в шифрование!

ZeroDay | #шифрование

Станьте частью главного события из мира информационной безопасности этого года!

Хотите получить лучшие практики по управлению киберрисками, интеграции ИБ в бизнес-процессы и встретить CISO крупнейших компаний рынка на одной площадке?

Приходите на CISO FORUM 2025 — это ключевое мероприятие для топ-менеджеров и руководителей по информационной безопасности. Новые знакомства и качественные инсайты гарантируем 💯

🗓 10 апреля
📍 Москва, Loft Hall

Зарегистрироваться БЕСПЛАТНО

На форуме вас ждет
• на 30% больше CISO из реального бизнеса — без лишней теории, только обмен опытом, разбор кейсов и рабочие инструменты.
• 8 часов избранного контента без воды и рекламы в 3 параллельных потоках.
• Проактивные подходы и реальные кейсы, которые можно применить сразу.
• Пропуск на after-party для общения с коллегами по рынку в расслабленной обстановке 🪩

Среди спикеров
• Кирилл Мякишев, Озон Технологии
• Дмитрий Тараненко, СберЗдоровье
• Антон Кокин, Трубная металлургическая компания
• Алексей Мартынцев, Норникель


Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.

Количество мест ограничено!

🚀Не упусти возможность стать частью главной тусовки для лидеров информационной безопасности!

Реклама. ООО «Р-Конф», ИНН: 9701165423, erid: 2Vtzqwzqwnk

Утилита audit2allow для SELinux

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим об audit2allow

⏺Что это: audit2allow — утилита, с которой сможем на основе логов SELinux создавать точечные правила для разрешения заблокированных действий.

Всего 5 шагов для настройки

1️⃣Понять проблему: Когда приложение сталкивается с ошибкой в SELinux, в логах появятся сообщения типа:

type=AVC msg=audit(1632217634.863:472): avc:  denied  { read } for  pid=7890 comm="my_app" name="important_file.txt" dev="sda1" ino=1010103

Строки говорят о том, что приложение не может получить доступ к ресурсу из-за ограничений SELinux.

2️⃣Сгенерировать разрешения: Используем audit2allow, чтобы понять, какие разрешения нужно добавить. Команда:

sudo grep "denied" /var/log/audit/audit.log | audit2allow -M myapp_policy

Создаст файл с разрешениями myapp_policy.pp, который будет разрешать доступ только для тех действий, которые были заблокированы.

3️⃣Применим политику: Теперь применяем полученную политику с помощью:

sudo semodule -i myapp_policy.pp

4️⃣Проверим: После применения политики важно проверить логи:

sudo cat /var/log/audit/audit.log | grep denied

5️⃣Откат изменений: Если что-то пошло не так или вам нужно откатить изменения, просто выполните:

sudo semodule -d myapp_policy

ZeroDay | #Selinux

Маскирование данных от А до Я

Когда мы говорим о защите данных, в голову приходят хакеры, утечки в даркнете, но на самом то деле угрозы скрываются гораздо ближе — внутри самой компании. Данные часто теряются на тестовых серверах или попадают в руки не тех сотрудников.

⏺В статье изучают маскирование данных — один из самых популярных методов защиты. Как это работает, какие алгоритмы применяются и с чем сталкиваются компании на практике? Маскирование, конечно же, не решает вообще все проблемы, но при адекватном подходе это очень классный инструмент, который реально помогает защитить конфиденциальную информацию.

ZeroDay | #Статья

FIR: реагируем на инциденты без задержек

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺FIR (Fast Incident Response) — супер быстрая платформа для управления инцидентами, с которой можно легко фиксировать угрозы, следить за их развитием и мгновенно принимать меры.

⏺Как это работает: Представьте, что у вас есть база данных о всех угрозах и инцидентах в одной панели. Платформа дает не только фиксировать какие-то инциденты, но и управлять вообще всеми этапами расследования: от уведомлений до создания отчетов. И да, FIR подходит как CSIRT, так и CERT или SOC.

ZeroDay | #Инструмент

История системы доменных имен: первые DNS-серверы

👋 Приветствую в мире цифровой безопасности!

Расскажу историю о том, как появился DNS.

⏺Что такое DNS: DNS — это как телефонная книга для интернета. Когда вы вводите адрес сайта, система берет и преобразует его в IP-адрес, который позволяет компьютерам «найти» друг друга и обмениваться данными.

⏺Как всё начиналось: В 1983 году Пол Мокапетрис и Джон Постел предложили заменить громоздкий файл HOSTS.TXT на новую систему. Идея понравилась ИТ-сообществу, и в 1984 году студенты Университета Беркли создали первый DNS-сервер — BIND.

⏺Почему BIND был важен: BIND стал первой программой, которая автоматически преобразовывала доменные имена в IP-адреса и обратно. Сначала он работал только в Беркли, но быстро стал стандартом для всего интернета.

⏺Как DNS вышел за пределы Беркли: В конце 80-х инженер Пол Викси доработал BIND и сделал его открытым стандартом. Уже потом DNS-сервер начали использовать интернет-провайдеры, корпорации и государственные учреждения.

⏺Позже DNS стал мишенью для атак. Мошенники научились подменять данные и перенаправлять пользователей на фальшивые сайты. В ответ в него внедрили DNSSEC, который защищает DNS-запросы криптографией.

Без DNS мир сейчас буквально был бы другим.

ZeroDay | #разное

Команда ip xfrm для работы с IPsec

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о команде ip xfrm и покажу, как с ней работать.

⏺ip xfrm создаёт защиту для IPsec. Вообще это команда для создания зашифрованных туннелей, защиты трафика и настройки строгих политик шифрования для разных устройств и подсетей.

⏺Если не хотите (а вы не хотите этого), чтобы данные "гуляли" по сети без охраны, ip xfrm — 100% вариант.

Почему бы теперь не настроить на практике?

⏺Создаём защищённый туннель: Итак, чтобы установить зашифрованный туннель между двумя устройствами, используем:

ip xfrm state add src 192.168.1.1 dst 192.168.2.1 proto esp spi 0x001 address 0x100

Этот командный "приём" создаёт ESP туннель, который шифрует данные на пути между двумя IP-адресами.

⏺Настроим политику шифрования: Дальше задаём, как должен обрабатываться трафик между двумя сетями. Например:

ip xfrm policy add src 192.168.1.0/24 dst 192.168.2.0/24 dir in tmpl src 192.168.1.1 dst 192.168.2.1

⏺Фильтрация трафика через туннели: Но на этом не останавливаемся. Сделаем трафик ещё более безопасным, добавляем фильтрацию:

ip xfrm policy add src 10.1.1.0/24 dst 10.2.2.0/24 dir out

ZeroDay | #безопасность

regreSSHion: возвращение вируса спустя 18 лет

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём regreSSHion (CVE-2024-6387) — уязвимость, которая вернулась спустя 18 лет.

⏺И такое бывает: В 2006 году баг в OpenSSH исправили, но в 2020 разработчики случайно удалили фикс. В результате ошибка регрессировала, и OpenSSH снова стал уязвимым к атаке через гонку данных в обработке сигнала SIGALRM.

⏺Кто в зоне риска: OpenSSH 8.5p1 – 9.7p1 на системах с glibc. Это Debian 12, Fedora 37, RHEL 9 и другие. По факту в зоне риска тысячи компаний, серверов и облачных сервисов.

⏺Как атакуют: Взломщик может искусственно вызвать race condition и повредить память, заставляя сервер выполнять его код. Но самое пугающее — успешную эксплуатацию уже подтвердили исследователи, а значит, PoC-эксплойт — лишь вопрос времени.

⏺Как защититься: Обновление до OpenSSH 9.8p1 — единственный надёжный способ. Временное решение — отключение LoginGraceTime, но оно все-таки создаёт риск DoS-атак.

ZeroDay | #атака #SSH