Наливайте себе чаю с попкорном
Реверс-инженеры расковыряли скомпилированный апкашник Nekogram и обнаружили там прекрасное... в обфусцированном коде (в файле
Extra.java) нашлась потрясающая функция logPhoneNumbers(). При каждом логине скрипт циклом пробегается по всем твоим подключенным аккаунтам (до 8 штук), выдергивает
currentUser.id и currentUser.phone, пакует их в массив и скрытно отправляет инлайн-запрос боту nekonotificationbot. Всё происходит абсолютно прозрачно для юзера, никаких следов в истории чатов. Твой номер улетает куда-то и зачем-то.Реверсеры оперативно набросали PoC в виде модуля для LSPosed. Модуль тупо перехватывал обращения к боту внутри клиента и перенаправлял их на подконтрольный стенд. Результат в терминале (смотри первый скрин) говорит сам за себя... клиент исправно стучит на базу, отправляя ID и номер телефона при каждом входе в аккаунт.
Далее происходит эпичный копиум от разрабов... когда им принесли декомпилированные исходники и и задали вопросы (Issue #336), они просто... закрыли обсуждение
Правда ли это?
Да, номера отправлялись боту. Некоторые просят объяснений, но какие вам нужны объяснения? Всё именно так, как выглядит. 🤷♂️
...ни один номер нигде не был сохранен и никому не передавался, хотя людям в это трудно поверить.
Охотно верим
Эта история как наглядное пособие того, почему опенсорс вообще ни хрена не гарантирует, если ты качаешь бинарник из стора. В репозитории Nekogram файл
Extra.java был чистым шаблоном, а вот при сборке релиза руками разраба туда аккуратно подкидывался вредоносный код.Лучше конечно компилить исходники у себя на локалхосте и побайтово сверить хэш с тем приложением, что собрал разраб
Кстати, яблочникам тоже не стоит расслабляться... популярный iOS-форк Swiftgram занимается тем же самым, только через WebApp и скрытого бота, связывая все ваши твинки в единую базу.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤72🎉34😁27😱10🫡8🔥3💯1
Forwarded from IT-Мемасы от Эникея
Please open Telegram to view this post
VIEW IN TELEGRAM
1💯217😁66🔥45❤11👍4🌚2🫡1
Некоторые из нас с теплотой вспоминают, как в лохматые годы жарили серверные парочкой заныканных ригов, а сейчас тихонько гоняют USDT чтобы оплатить VPS. Романтика...
Сегодня, 13 апреля 2026 года, Кабмин (с подачи Минфина) одобрил уголовку за крипту. В УК РФ влетает новая статья 171.7 (Организация незаконного обращения цифровой валюты). Если логично рассудить, то понять конечно же можно... если уже введены легальные (и подконтрольные) криптообменники с деаноном по ИНН, то всех остальных нужно объявить вне закона и отправить лес валить.
Порог входа на бутылку правосудия оказался на удивление низким, учитывая текущие курсы:
Ну, я же гоняю по 50 баксов на оплату VPN и пиво, до 3,5 мультов мне как до Луны.
Для любителей микротранзакций всегда есть старый добрый 115-ФЗ, по которому банк наглухо заблочит счета за подозрительные P2P-переводы, заставив доказывать происхождение средств. Плюс... а вдруг начнут суммировать эпизоды
ПРОФИТ? А какой тут профит... эпоха киберпанка с уютной криптой - выдавливается. Теперь вывод битка в обход легальных шлюзов с KYC по ИНН - это полноценная уголовка с подследственностью.
До сих пор искренне не понимаю, почему компания Ledger так и не сделала для ру-криптанов аппаратный кошелек в подходящем, гладком и обтекаемом форм-факторе. А то у моделей Nano S и прочих флешек углы слишком уж острые...😂
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
💊97😱28🎉7❤5🌚5🍌3😭3👍2🔥1🎃1🫡1
ЗОЖ олдскульного сисадмина начинается с кофе. Но сегодня не про бодрящий напиток, а про реальный электро-ЗОЖ — первые в мире ПП-ИБП Systeme Electric. ПП — в смысле Правильное (электро)Питание.
Все мы знаем легендарные ИБП APC от Schneider Electric (кто не знает — вы точно не из нашей песочницы). Но «Шнайдер» помахал России ручкой, ибо санкции. При этом производство, технологии и лучшая команда инженеров российского подразделения Schneider Electric остались в РФ — и продолжают делать эталонные бесперебойники под локальным российским брендом Systeme Electric.
Ну-с, по порядку. ПП-ИБП Systeme Electric с онлайн-топологией это:
Тотальный онлайн-ЗОЖ — онлайн Защита от Отключений Железа. Не только от отключений, но еще и от скачков напряжения и помех.
Повышенная БЖУ — Бесперебойность Жизненно-важных Устройств. Тянут нагрузку в 150% от номинальной — даже кривыми руками перегрузить систему не получится.
Настоящий суперфуд для оборудования — высочайший КПД 95%. Чем выше КПД, тем меньше нагрев — серверная перестанет быть похожа на сауну.
Самое полное ПП-меню — поддерживают все возможные интерфейсы и протоколы (EPO, SNMP, RS-485, RS-232, USB, RJ45/RJ11, EMBS). Интегрировать новый бесперебойник в существующую систему можно без привычного геморроя.
Если что будет непонятно — то поддержка в мессенджерах 24/7 (днем и по телефону). После 6 — можно!
Гарантия 3 года, такую даже Schneider на APC не давал. Сейчас вообще с гарантией не очень — на «китайский электро-фастфуд» только год, а серозавезенные эйписишки и вовсе без оф. гарантии.
Возвращаясь к кофе — если на здоровье оборудования не экономить, то времени на всякие приятные кофе-брейки будет больше. Первые в мире ПП-бесперебойники Systeme Electric для правильных сисадминов — тут.
Все мы знаем легендарные ИБП APC от Schneider Electric (кто не знает — вы точно не из нашей песочницы). Но «Шнайдер» помахал России ручкой, ибо санкции. При этом производство, технологии и лучшая команда инженеров российского подразделения Schneider Electric остались в РФ — и продолжают делать эталонные бесперебойники под локальным российским брендом Systeme Electric.
Ну-с, по порядку. ПП-ИБП Systeme Electric с онлайн-топологией это:
Тотальный онлайн-ЗОЖ — онлайн Защита от Отключений Железа. Не только от отключений, но еще и от скачков напряжения и помех.
Повышенная БЖУ — Бесперебойность Жизненно-важных Устройств. Тянут нагрузку в 150% от номинальной — даже кривыми руками перегрузить систему не получится.
Настоящий суперфуд для оборудования — высочайший КПД 95%. Чем выше КПД, тем меньше нагрев — серверная перестанет быть похожа на сауну.
Самое полное ПП-меню — поддерживают все возможные интерфейсы и протоколы (EPO, SNMP, RS-485, RS-232, USB, RJ45/RJ11, EMBS). Интегрировать новый бесперебойник в существующую систему можно без привычного геморроя.
Если что будет непонятно — то поддержка в мессенджерах 24/7 (днем и по телефону). После 6 — можно!
Гарантия 3 года, такую даже Schneider на APC не давал. Сейчас вообще с гарантией не очень — на «китайский электро-фастфуд» только год, а серозавезенные эйписишки и вовсе без оф. гарантии.
Возвращаясь к кофе — если на здоровье оборудования не экономить, то времени на всякие приятные кофе-брейки будет больше. Первые в мире ПП-бесперебойники Systeme Electric для правильных сисадминов — тут.
😁45👍8💊6❤3🌚3👀1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁169❤11✍8🌚4💯3
Торвальдс принял больше 11 тысяч коммитов. Начнемс с фундаментального. Во-первых, поддержка Rust в ядре лишилась статуса экспериментальной. Язык закрепился в мейнлайне окончательно.
Во-вторых, разрабы провели рефакторинг работы с памятью. Классическое выделение через
kmalloc(sizeof(*ptr)) массово заменяют на макросы семейства kmalloc_obj(), которые работают на основе типа данных, а не их байтового размера. Это на корню рубит целый класс багов с переполнением буфера из-за неверного подсчета памяти В-третьих, из ядра выкинули старый код загрузки
initrd на базе linuxrc. Теперь единственным верным способом загрузки остается initramfs.По файловым системам и хранилищам завезли отличные фичи для прода:
init-процессов. Теперь юзерспейс может монтировать поверх нее нужные ФС и делать pivot_root(), не заморачиваясь с очисткой содержимого старого initramfs.NFSD обзавелся динамическим пулом потоков, который сам масштабируется под нагрузкой. Плюс закрыта старая логическая дыра... NFS больше не будет экспортировать служебные псевдо-ФС ядра (типа pidfs и nsfs), так как они требуют специфичной обработки прав доступа.writeback) приходилось сначала распаковывать. Теперь механизм умеет писать на диск сжатые данные напрямую, минуя декомпрессию.Контейнерные рантаймы (Docker, Podman) смогут использовать новый флаг
OPEN_TREE_NAMESPACE. Он позволяет открыть новое пространство имен монтирования без полного клонирования существующего. Старт новых контейнеров на серверах с тысячами маунт-поинтов станет ощутимо быстрее Также ядро начало готовиться к квантовому будущему... добавлена поддержка пост-квантовых цифровых подписей ML-DSA для аутентификации модулей ядра. А в подсистему SELinux завезли контроль доступа для BPF-токенов.
Никаких революций в 7.0 не произошло, просто ядро становится безопаснее, контейнеры грузятся быстрее, а легаси-код скидывают в
/dev/null. Финальный стейбл ожидается в середине апреля Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤74🍾31👍22😁1💯1💊1
50 миллионов Android-устройств светили данными через один кривой SDK ⌨️
Microsoft нашла уязвимость в EngageLab SDK - сверхпопулярный костыль для разрабов, который массово встраивают в приложения для рассылки пуш-уведомлений и in-app сообщений. Индусы-аутсорсеры, писавшие этот код, оставили там уязвимость перенаправления интентов.
Для тех, кто не курил мануалы ведроида:
Получив привилегии уязвимого аппа, атакующий мог незаметно парсить локальные файлы, дергать сессионные токены, воровать учетки и вычищать финансы.
Из 50 миллионов установок дырявого SDK, как минимум 30 миллионов пришлось на различные криптовалютные приложения и кошельки... сколько же могло быть слито приватных ключей и сид-фраз😮
Баг поселился в коде еще в версии 4.5.4 (апрель 2025 года), а пропатчили его только в версии 5.2.1 (ноябрь 2025). То есть больше полугода огромный пласт хомяков ходил с распахнутым бэкдором, даже не подозревая об этом.
А, куда смотрел Google Play Protect? А никуда🙂 . Только после публичного пинка Гугл зашевелился и начал удалять из Play Store все приложения, которые не обновили зависимость EngageLab до безопасной версии.
Не ставьте левые крипто-помойки... и помните, любая секурная песочница защищает вас ровно до тех пор, пока очередной пуш-провайдер не пустит ее по звизде одним кривым интентом🎩
Типичный🥸 Сисадмин
Microsoft нашла уязвимость в EngageLab SDK - сверхпопулярный костыль для разрабов, который массово встраивают в приложения для рассылки пуш-уведомлений и in-app сообщений. Индусы-аутсорсеры, писавшие этот код, оставили там уязвимость перенаправления интентов.
Для тех, кто не курил мануалы ведроида:
Intent (интент) - это базовый механизм обмена сообщениями и командами между компонентами внутри ОС. Из-за дырявой логики валидации в EngageLab SDK, любая сторонняя малварь, живущая на том же телефоне, могла скрафтить хитрый пейлоад, пробросить его через уязвимое доверенное приложение и тупо обойти изоляцию песочницы.
Получив привилегии уязвимого аппа, атакующий мог незаметно парсить локальные файлы, дергать сессионные токены, воровать учетки и вычищать финансы.
Из 50 миллионов установок дырявого SDK, как минимум 30 миллионов пришлось на различные криптовалютные приложения и кошельки... сколько же могло быть слито приватных ключей и сид-фраз
Баг поселился в коде еще в версии 4.5.4 (апрель 2025 года), а пропатчили его только в версии 5.2.1 (ноябрь 2025). То есть больше полугода огромный пласт хомяков ходил с распахнутым бэкдором, даже не подозревая об этом.
А, куда смотрел Google Play Protect? А никуда
Не ставьте левые крипто-помойки... и помните, любая секурная песочница защищает вас ровно до тех пор, пока очередной пуш-провайдер не пустит ее по звизде одним кривым интентом
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍66😁14❤12🔥6🤔3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁59😭27🌚8
Использование BGP для маршрутизации IPv6. Бесплатный урок курса «Сетевой инженер. Продвинутый уровень»
IPv6 уже давно перестал быть «технологией на потом», но на практике у многих инженеров остаются вопросы не по самому адресу, а по маршрутизации. Особенно там, где в игру входит BGP и нужно понимать, как меняется обработка маршрутов в новой адресации и что именно делает многопротокольное расширение BGP.
📅 На открытом уроке 21 апреля в 20:00:
— Разберём, как BGP работает с IPv6 и зачем нужны многопротокольные расширения.
— Посмотрим, как происходит обмен маршрутной информацией IPv6, чем обработка маршрутов отличается от IPv4 и какие нюансы нужно учитывать при проектировании и эксплуатации современной сети.
— Отдельно обсудим практические сценарии применения BGP для IPv6 в реальной инфраструктуре.
👉 Записаться: https://otus.ru/lessons/setevoy-inzhener
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
IPv6 уже давно перестал быть «технологией на потом», но на практике у многих инженеров остаются вопросы не по самому адресу, а по маршрутизации. Особенно там, где в игру входит BGP и нужно понимать, как меняется обработка маршрутов в новой адресации и что именно делает многопротокольное расширение BGP.
📅 На открытом уроке 21 апреля в 20:00:
— Разберём, как BGP работает с IPv6 и зачем нужны многопротокольные расширения.
— Посмотрим, как происходит обмен маршрутной информацией IPv6, чем обработка маршрутов отличается от IPv4 и какие нюансы нужно учитывать при проектировании и эксплуатации современной сети.
— Отдельно обсудим практические сценарии применения BGP для IPv6 в реальной инфраструктуре.
Урок не для тех, кто хочет «просто включить IPv6», не понимая логики маршрутизации, или рассчитывает, что BGP для IPv6 работает ровно так же, как для IPv4, без важных отличий.
👉 Записаться: https://otus.ru/lessons/setevoy-inzhener
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👍6🗿3❤2🌚1
🚧 Банки и маркетплейсы начали отстрел VPN-юзеров
Помните недавний пост о том, как Минцифры рекомендовало IT-крупняку к 15 апреля внедрить у себя блокировку юзеров, которые заходят на их платформы через VPN? Так вот, час икс (15 апреля) наступит только завтра, а эффективные менеджеры уже выкатили патчи на прод. СМИ и рядовые юзеры пишут... Сбер, Т-Банк, Яндекс, Wildberries и даже Госуслуги начали дропать сессии, если ты сидишь под VPN.
В приложении при этом просто вылезает заглушка (Нет интернетов) или крутится бесконечный лоадер. Причем отлетают даже белые корпоративные туннели удаленщиков (тот же Cisco AnyConnect), потому что антифроду глубоко нет дела на нюансы - он бьет по площадям и аномалиям (нестыковка таймзоны, странный TTL, заморская ASN)😶
Пока юзерам перекрывают кислород за включенный туннель, на другом конце Рунета творится эталонный киберпанк... госзакупки прямо сейчас завалены свежими тендерами... администрации 20 регионов РФ закупают себе коммерческие VPN-сервисы на 300 лямов деревянных (официально "для оповещения населения").
Эпоха одной кнопки завершена.
Типичный🥸 Сисадмин
Помните недавний пост о том, как Минцифры рекомендовало IT-крупняку к 15 апреля внедрить у себя блокировку юзеров, которые заходят на их платформы через VPN? Так вот, час икс (15 апреля) наступит только завтра, а эффективные менеджеры уже выкатили патчи на прод. СМИ и рядовые юзеры пишут... Сбер, Т-Банк, Яндекс, Wildberries и даже Госуслуги начали дропать сессии, если ты сидишь под VPN.
В приложении при этом просто вылезает заглушка (Нет интернетов) или крутится бесконечный лоадер. Причем отлетают даже белые корпоративные туннели удаленщиков (тот же Cisco AnyConnect), потому что антифроду глубоко нет дела на нюансы - он бьет по площадям и аномалиям (нестыковка таймзоны, странный TTL, заморская ASN)
Пока юзерам перекрывают кислород за включенный туннель, на другом конце Рунета творится эталонный киберпанк... госзакупки прямо сейчас завалены свежими тендерами... администрации 20 регионов РФ закупают себе коммерческие VPN-сервисы на 300 лямов деревянных (официально "для оповещения населения").
Эпоха одной кнопки завершена.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
💊171😱16😁8💔7🌚6🗿4⚡3❤1🙏1
По инсайдам Коммерсанта, в мае 2026 года на стол депутатам ляжет законопроект о создании Национальной информационной платформы. Базой для этого назначили... барабанная дробь... VK-шный Дзен
Абсолютно все российские сервисы с аудиторией свыше 5 миллионов юзеров (маркетплейсы, поисковики, соцсети, видеохостинги) законодательно обяжут жестко вшить на свои главные страницы новостной виджет Дзена. Зашел на ВБ - вот тебе блок из топ-5 правильных новостей. Открыл онлайн-кинотеатр - вот тебе кнопка с переходом на топ-15 инфоповодов. Грамотно
Тут надо остановиться и поаплодировать выбору платформы. Дзен исторически славится своей уникальной алгоритмической лентой, которая генерирует эталонный, кристально чистый инфомусор. Статьи в духе (ШОК! Чтобы суставы не болели, нужно на ночь прикладывать простой советский...), обзоры тещиных блинов, кликбейт, теории заговора и копипаста отовсюду.
И вот этот генератор кринжа теперь станет официальным главным рупором. Вместо рецепта кабачков будут прямо в корзине Яндекс.Еды транслировать главное
Можно задаться вопросом... а зачем понадобилось применять такое грубое проникновение в чужие сервисы и проекты? Авторы презентации даже не скрывают причину, сообщая, что официальные медиа стремительно мрут
С 2022 года аудитория традиционных СМИ рухнула на 30–70%. Телевизор зумер не смотрит, на сайты официальных газет не заходит. Пользователь окончательно разбежался по нишевым ТГ-каналам, и теперь решается вопрос а том, как грамотно кормить его правильными новостями. Не хочешь читать газету Жизнь? Мы покажем ее заголовки на экране твоего банковского приложения
А теперь рубрика "в чем ПРОФИТ"... схема монетизации - мое увожение
Идёт подготовка нанесения коврового удар по остаткам твоего информационного пузыря
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱79💊72😁28🌚7🍌5🤯4😭4🫡3⚡1👍1👏1
Если кто когда-нибудь мечтал поднять свою выходную ноду для сети Tor, чтобы нести в мир свободный интернет
Разрабы Tor Project (в коллабе с параноиками из Osservatorio Nessuno) решили, что раз физический взлом серверов неизбежен, значит, нужно сделать его абсолютно бессмысленным. Они планируют пилить тотальный переход на бездисковые узлы, которые живут исключительно в оперативной памяти и забывают всё при первой же перезагрузке или выдергивании питания. Epic Win!
Но архитектура Tor построена на системе репутации (это важно для статуса, альтруизма и в исследовательских целях... иного профита нет
Разрабы предлагают юзать модуль (Trusted Platform Module). Ключ намертво запечатывается внутри крипточипа на материнке и привязывается к эталонному состоянию загрузчика и ОС. Если кто ВНЕЗАПНО изымает сервер и пытается загрузиться с левой флешки, подкидывая свой патченный образ ядра или просто выпаяет чип... то хэши не совпадут, и TPM откажет в доступе, наглухо заблокировав отдачу ключа
Но проблема в том, что TPM-чипы в массе своей не умеют аппаратно работать с ключами
ed25519 (которые юзает Tor). Поэтому ключ всё равно приходится хранить в энергонезависимой памяти (NVRAM) самого TPM в зашифрованном виде. Теоретически, при наличии бюджета на электронные микроскопы и заряженную лабу, его всё еще можно оттуда выковырять Вторая боль - обновления. Как только владелец ноды накатываешь патч на ядро, хэш системы меняется. TPM видит изменения, ПАНИКУЕТ и блокирует ключ. Поэтому придется перед каждым апдейтом пересчитывать и переподписывать доверенные состояния загрузки. Сплошной гемор для тех, кто привык к
apt-get upgrade.Самая безопасная информация - это та, которой физически не существует
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥110❤17👍7😁6👏2🏆1