Хакеры платили за вход на форум, который, похоже, держали спецслужбы. Ханипот за $500. 🍯

На днях ФБР официально закрыло форум RAMP, повесив на домене свою любимую заглушку "This website has been seized". Для непосвященных это просто очередная победа над киберпреступностью. Но для тех, кто в теме, ситуация выглядит как финал грандиозной спецоперации, где главный злодей оказался двойным (или тройным) агентом.

Админ форума под ником Stallman (не путать с Ричардом😁) - личность легендарная и мутная. Сообщество давно подозревало неладное... чувак открыто скупал доступы к критической инфраструктуре США, но... ничего не происходило. Компании не шифровались, данные не утекали. Складывалось ощущение, что он выкупал уязвимости, чтобы их патчить, а не эксплуатировать. При этом на других форумах (типа XSS) его банили за нарушение правил, но потом таинственным образом разбанивали, словно кто-то сверху звонил админу и просил не трогать нашего человечка 👮‍♂️

Самое интересное всплыло сейчас. В официальных отчетах ФБР о закрытии форума нет ни слова про арест или розыск самого Сталлмана. Его имя просто исчезло из документов, будто форум управлял сам собой. Комьюнити уверено, что Сталлман это либо проект спецслужб, либо завербованный хакер Severa, который уже давно сотрудничает с федералами. Схема гениальная... создать ханипот для элиты рансомвари, собирать с них досье при регистрации (вход стоил $500 + деанон профилей), скупать опасные доступы, чтобы их не купили реальные хакеры-отморозки, а потом красиво закрыть лавочку, когда база данных наполнилась 😗

Получается, если в даркнете кто-то слишком громко кричит о своей крутости, нарушает понятия и при этом не садится годами, то скорее всего, он носит погоны под худи. А те, кто регистрировался на RAMP, думая, что попали в закрытый клуб, на самом деле добровольно заполнили анкету для майора. OpSec высшего уровня... вот вам и илита 🧠

☢️ @zeroday_log

Как потерять сервер, просто переподключив сессию. Гайд по потере связности от первого лица 🤙

На Хабре вышел лонгрид, который читается как сценарий ночного кошмара любого админа. Автор, находясь в Москве, полностью потерял управление над своим сервером в Казани, и виной тому стала фатальная цепочка событий... срабатывание фильтров по ключевым словам, собственное губительное любопытство и бюрократический ад регистратора.

Всё началось с того, что автоматика регулятора, судя по всему, начала отрабатывать блокировку по сигнатурам в доменных именах. Автор имел неосторожность держать сервисные поддомены вида vpn.domain.ru и vpn-kg.... Система фильтрации, увидев триггер (vpn) в SNI на 443 порту, начала дропать SSL-хендшейки. И здесь админ совершает ошибку, за которую в приличном обществе бьют патч-кордом 😬... имея активную, чудом выжившую сессию через Cisco SSL VPN, он решает проверить гипотезу и своими руками разрывает соединение. Обратно, разумеется, его уже не пустило. Классическая ошибка выжившего... никогда не рубите единственный линк, на котором сидите, даже ради диагностики, если у вас нет обходного пути для доступа.

Но дно было еще впереди. Пока Автор пытался пробить стену блокировок, удар в спину нанес регистратор REG.RU, внезапно сняв домен с делегирования 😭. Причина в несовпадение анкетных данных, которые криво передал партнер-реселлер (перепутанные поля ФИО и адреса). В одну секунду инфраструктура превратилась в ничто... легли NS-сервера, перестала ходить корпоративная почта, отвалились SSL-сертификаты. Процесс восстановления превратился в сюрреализм с требованием подписать кабальные бумаги о возмещении убытков регистратору и бесполезной верификацией через Госуслуги, пока техподдержка отвечала скриптами раз в восемь часов.

Спасло ситуацию только чудо в виде забытой тестовой виртуалки, которая торчала наружу через чистый SSH и не попала под раздачу. Через неё удалось прокинуть туннель с помощью sshuttle и вернуть управление 🥳

Итого... получается, использовать в 2026 году слова vpn, proxy или shadowsocks в именах хостов - это уже технический суицид. А критическую инфраструктуру (DNS, почта, шлюзы и тд.) неплохо бы разнести по разным доменам и регистраторам.

Типичный 🥸 Сисадмин

Визуализация того, почему uBlock Origin перестал работать в Chrome. Смотрите на колонку Search advertising ($224.5B). Они будут бороться за эти деньги до последнего блокировщика.

И еще... Traffic acquisition costs: $59.9B.
Это те деньги, которые Гугл платит Эплу и Мозиле, чтобы оставаться поиском по умолчанию. По сути, это налог на лень пользователей, которые не меняют дефольные настройки 👩‍🦰

Типичный 🥸 Сисадмин

В популярных шлюзах TP-Link ER605 (серия Omada, которую вендор позиционирует как серьезный SMB/Enterprise) нашли зияющую дыру 😬

Исследователи раскопали цепочку уязвимостей (CVE-2024-5242, 5243, 5244), позволяющую получить удалённое выполнение кода с правами root без какой-либо авторизации. Вся проблема кроется в демоне cmxddnsd, который отвечает за динамический DNS. Мало того, что этот процесс крутится с максимальными привилегиями (зачем?), так он еще и написан с пренебрежением ко всем правилам безопасной разработки.

TP-Link решила изобрести свой велосипед для шифрования трафика DDNS, используя модифицированный Base64 и... алгоритм DES. Да, в 2026 году они используют DES 🏥 Но самое волшебное - ключ шифрования был просто захардкожен в бинарнике демона. Это позволило исследователям среверсить протокол и научиться генерировать валидные ответы от имени сервера. Атака требует позиции человека посередине (например, через поддельный DHCP в локалке), чтобы перехватить запрос роутера к DDNS и подсунуть ему свой ответ.

Дальше начинается классика эксплуатации памяти. Поскольку разрабы забыли проверить длину полей, атакующий сначала отправляет раздутый пакет, чтобы вызвать переполнение глобальных структур и получить утечку адресов памяти - это элегантно обходит защиту ASLR. А вторым этапом в поле ErrorCode запихивается полезная нагрузка, которая переполняет стек, перезаписывает адрес возврата для последовательного вызова программных инструкций. В итоге демон, вместо обработки ошибки, исполняет шелл-код атакующего ⌨️

Если у вас в филиалах стоят эти ТП-линки с прошивкой ниже 2.2.4, то разумно накатить обновление, которое вышло еще некоторое время назад, но про которое, как обычно, забыли. Ну и изолировать Management VLAN, хотя в данном случае атака может прилететь и из LAN-сегмента.

Типичный 🥸 Сисадмин

Когда адаптер салазок стоит 500 рублей да еще и ждать 3 дня.
#предложка

Типичный 🥸 Сисадмин

Торвальдс выпустил ядро 6.19 и сразу же обнулил нумерацию. Следующая версия получит индекс 7.0, и причина этого решения чисто человеческая: Линус пошутил, что его сбивают с толку большие числа для которых не хватает пальцев на руках и ногах.

В новой версии 15657 исправлений от 2237 разработчиков, патч на 52 МБ. Старые видеокарты AMD GCN 1.0/1.1 переехали на драйвер AMDGPU, что означает нормальный Vulkan из коробки и прирост FPS. Также мониторинг температуры для Steam Deck, Intel LASS для защиты от Spectre, поддержка Rust на стабильных фичах языка. EXT4 научился работать с блоками больше размера страницы, сетевой стек ускорили в 4 раза. Valve продолжает финансировать HDR-поддержку, и DRM Color Pipeline наконец влили в основное ядро.

Также готовят почву для Intel Nova Lake (Xe3P графика), AMD Zen 6 RAS, начали поддержку LoongArch32. Драйвер Nouveau получил сжатие, а для будущих NVIDIA GPU стартовала работа над драйвером Nova. Тем временем Arm Ethos NPU добавили в подсистему ускорителей.

Linux / Линукс 🥸

👀 Вам нужно это увидеть

Вебинар «Unified SSO c технологией E-Passport: защита от перехвата сессий и обхода MFA»

SSO у вас есть? А уверенность, что хакер не воспользуется уязвимостями и не пролезет в вашу сеть – тоже есть? 🤔

📌 17 февраля в 13:00 команда Avanpost разберёт, почему классический единый вход часто оставляет лазейки для перехвата и обхода MFA – и как это закрыть.

А также покажет Unified SSO с технологией E-Passport – решение, где безопасность встроена в саму архитектуру. И смоделирует перехват сессии и как Unifed SSO блокирует нелегитимный доступ!

👉 [Ссылка на регистрацию]

Похоже, заглушку забыли поставить до установки материнки.

И вместо того, чтобы разобрать всё, человек решил установить её снаружи... по частям... методом вдавливания 🏥

Типичный 🥸 Сисадмин

😱 Официальное начало деградации Telegram в РФ. Принято решение начать работу по замедлению ТГ.

Если в далеком 2018 году попытка заблокировать Telegram напоминала стрельбу из пушки по воробьям, когда вместе с мессенджером ложились подсети Амазона, Гугла и половина умных чайников страны, то в 2026 году мы наблюдаем работу совсем другого уровня. РКН официально подтвердил курс на последовательные ограничения, перестав играть с IP-адресами и перейдя к стратегии QoS, только с обратным знаком 🤔. Пакеты не дропаются полностью, создавая разрыв соединения, а жестко шейпятся. Система научилась выделять медиа-потоки внутри MTProto и придушивать их до состояния диалап модема, оставляя текстовую часть относительно живой.

По тактике пользователь должен страдать не от отсутствия связи, а от её качества, и добровольно уйти туда, где картинки грузятся быстро 🚪

Философски мы наблюдаем окончательный слом парадигмы глобальной Сети. Интернет, который задумывался как децентрализованная система, устойчивая к ядерному удару, оказался бессилен перед централизацией, получившей контроль над физикой прохождения сигнала. Мы входим в эру Матрицы, где реальность пользователя определяется не его желанием, а политиками на пограничном шлюзе. Большинству, у кого нет навыков туннелирования, предложат синюю таблетку - комфортный, быстрый, но стерильный интранет с отечественными сервисами и веселыми картинками. А красная таблетка... 👾

Некоторым из Сисадминов стоит приготовиться к очередной перестройке инфры. Бизнес не откажется от Телеги... слишком глубоко она проникла в процессы, от алертов мониторинга до чатов продаж... получается, нагрузка на корпоративные шлюзы и каналы вырастет кратно.

Эпоха интернета заканчивается и судя по официальным заявлениям, отката к прежней скорости ждать не стоит 😭

Типичный 🥸 Сисадмин