Карманный хакер

😎 Windows 3.1 — 34 года. И эта штука до сих пор спасает бизнесы. 18 марта 1992 года вышла Windows 3.1 (кодовое имя Janus). И нет, это не ОС — это графическая оболочка поверх MS-DOS. Но именно она заложила фундамент того, чем ты пользуешься сейчас. Что появилось впервые: реестр Windows, поддержка TrueType-шрифтов (https://ru.wikipedia.org/wiki/TrueType), TCP/IP, новый файловый менеджер. А ещё — Солитёр и Сапёр, которые Microsoft придумала не для прокрастинации, а чтобы приучить людей к мышке. Перетаскивание карт — это буквально тренажёр drag-and-drop. Начиналась эра мультимедиа: разрешение выросло аж до 640x480, в комплекте появились Media Player, Sound Recorder и легендарные обои CHESS.BMP. Компьютер перестал быть просто печатной машинкой. А теперь главный панч. Помните глобальный CrowdStrike-сбой, когда Windows по всему миру ложилась штабелями? Четвёртая по величине авиакомпания США — Southwest Airlines — не пострадала вообще. Потому что их системы крутились на Windows 3.1. Тридцатилетняя "оболочка для DOS" оказалась надёжнее всего современного стека. Иногда лучшая защита — это просто не обновляться. Карманный хакер

👨‍💻 cURL — 28 лет. Инструмент, без которого не живёт ни один хакер, пентестер и девопс. Если ты хоть раз дёргал API, тестил эндпоинт или просто скачивал файл из консоли — ты юзал curl. HTTP, HTTPS, FTP, IMAP, SMTP — этот швейцарский нож жрёт всё. Создатель — Даниэль Стенберг, швед-самоучка без формального образования. Человек одной программы — и какой программы. В середине 80-х друг купил Commodore 64, пацаны вбивали код из журналов руками. В 1985 — свой комп, ассемблер, демосцена, программирование как одержимость. В 1991 вместо колледжа идёт в IBM крутить мейнфреймы. Там открывает для себя Unix и свободный код — копирует софт с магнитных лент, компилирует, ковыряет, меняет. Концепция опенсорса ещё без названия, но уже в крови. В 1996 находит утилиту HttpGet — 100 строк кода от бразильца Рафаэля Сагула — и прикручивает к IRC-боту для парсинга курсов валют. Потом берёт развитие на себя: HTTP-прокси, Gopher, FTP. В 1997 переименовывает в urlget, а 20 марта 1998 выходит первая версия под именем curl — client URL, 2200 строк. Сегодня Стенберг по-прежнему держит 56% всех коммитов. Сайт curl.se обслуживает 17 ТБ трафика в месяц и 470 млн запросов. Docker-образ запрашивали больше 4 миллиардов раз. Сам Даниэль говорит, что "выиграл в лотерею". Но 28 лет пилить один проект без перерыва — это не лотерея. Это другой уровень упоротости и преданности делу. Карманный хакер

📥 Первая open source ОС — не Linux. Это BSD. И она проиграла. Все привыкли: open source = Linux. Но BSD Net 2 вышла в июне 1991 — за несколько месяцев до первого ядра Торвальдса, которому потом ещё два года до юзабельности. У GNU Столлмана вообще не было рабочего ядра. BSD была единственным свободным Unix-клоном, который реально работал. Так почему BSD на задворках, а Linux — король? Три причины: Суды. USL (владельцы AT&T Unix) засудили BSDI за нарушение авторских прав. Разбирались до 1994 года. Пока BSD тонула в юристах — Linux спокойно набирал комьюнити. Лицензия. BSD-лицензия разрешает всё: бери код, закрывай, продавай, не отдавай ничего назад. Отлично для бизнеса, убийственно для open source экосистемы. GPL Линуса заставляет делиться — и это создало снежный ком контрибьюторов. Масштаб команды. BSD пилили в основном ребята из Беркли. Linux строил весь мир. BSD не умерла — FreeBSD, OpenBSD, NetBSD живы с преданным, пусть и небольшим комьюнити. А самый жирный plot twist: Apple взяла BSD-код и засунула в macOS и iOS. Миллиарды пользователей айфонов сидят на open source из Беркли — и понятия не имеют об этом. Карманный хакер

🤬 КНДР ломится в твой DevTeam под видом “идеального удаленщика”. Представь: взял в команду супертопа на удалёнке, он прошёл собеседование по вебке без сучка и задоринки. Через месяц — бац, весь исходник сливает на сторону и начинает шантажировать. Не фантастика, а сценарий ФБР по методам северокорейских госхакеров. Цель — не просто зарплату получить, а захватить доступ к GitHub, внутренним репозиториям и секретам компании. Для маскировки хакеры используют фермы в США и Европе, чтобы IP не палился. Впариваются как “свои”, местные профи. Когда HR начинает шмонать — в ход идёт топовый ИИ, который генерит лицо и голос в реальном времени прямо на интервью. Классическая проверка бэкграунда уже бессильна — дипфейки настолько правдоподобны, что их не отличить без навороченного анализа. Выдают иногда тупые косяки — одинаковые телефоны в разных резюме, стандартные ошибки в текстах. Но эксперты Mandiant отмечают — с каждым годом шпионы становятся опытнее. Мораль: смотреть в камеру — уже не значит верить. Дипфейки — не только мемы, это оружие спецопераций уровнем выше. Хочешь не попасть на крючок — учись читать цифровые следы, распознавать фейки и понимать, как тупо не стать жертвой, когда за вебкой может сидеть хакер из Пхеньяна с лицом твоего соседа. В эпоху ИИ это — базовые навыки выживания. Карманный хакер

😱 Многомиллионный стартап встретил “гендиректора-призрака” и дорого за это поплатился. Hayden AI — ИИ-стартап с оценкой в $350 млн — подал в суд на своего бывшего CEO, Криса Карсона. Расследование показало: вся биография Карсона — фейк от А до Я. Ни дипломов, ни боевого прошлого, ни опыта — просто пустышка. ➡️https://pitchbook.com/profiles/company/268302-52#funding ➡️https://www.documentcloud.org/documents/27758555-hayden-ai-v-carson/ И это не помешало ему залезть в кресло топа, продать акции на $1,2 млн и прокатиться на особняк с Bentley. Когда вопросы от совета директоров пошли, он не стал ждать “финала”. Перед уходом Карсон стянул 41 ГБ конфиденциальных данных — всё, от компьютерного зрения до систем контроля трафика. После запустил EchoTwin AI — проект, который, по словам бывших работодателей, скопирован с их технологий. Теперь Hayden AI не только хочет откусить бабок, но и пытается сбить с рынка своего вора. Вывод: в цифровом мире можно создать личность из воздуха и пробить себе дорогу к деньгам и технологиям. Но игра с “виртуальными масками” — это лотерея с высокими ставками. Чем больше у тебя доступа, тем тщательнее должна быть твоя “композиция”. Иначе с “успешного кейса” легко становится уголовным делом. Карманный хакер

🔐 Собственный WAF — для тех, кто не хочет плясать под дудку коммерческих решений. BunkerWeb — проект французов из Bunkerity, появился в 2021 и живёт, развивается. Это open source WAF, который легко втыкается в Linux, Docker, Kubernetes, Ansible, Vagrant и всякое прочее админское добро. В основе — ModSecurity с OWASP правилами. Можно выбрать режим “потихоньку посматриваем” или “блокируем всех подозреваемых и фиксируем по полной”. Автоблоки по HTTP-кодам, защита от ботов, лимиты на подключения и запросы — базовый набор ударной безопасности. Есть система плагинов — штатные и кастомные. Например, ClamAV встроенный проверит файлы на лету и заблокирует коварные загрузки. А автоматизация SSL от Let’s Encrypt теперь в стандартном комплекте. Прокачивайся через CLI или бери веб-интерфейс — там детальный мониторинг атак и настройка плагинов реализованы удобно. Рекомендуют ставить BunkerWeb как обратный прокси — с гайдом в документации. Если хочешь ходить в ногу со временем и не сливать трафик на сторонних, копай сюда: ➡️ https://github.com/bunkerity/bunkerweb Карманный хакер

🖥 “Мобильный компьютер” в 50-х — это не ноутбук. Это два трейлера и 20 тонн железа. Военные захотели таскать вычисления поближе к месту событий — и NIST собрал DYSEAC Что такое “мобильность” по-старому: — 2 трейлера — 20 тонн суммарно в первом — панель управления, I/O, хранилище и 12-тонное охлаждение во втором — питание, охлаждение и немного воздуха для самообмана, что “есть место” Его делали с оглядкой на SEAC — тогдашнего монстра по мощности Часть деталей и идей тянули оттуда, просто упаковывали плотнее, как могли. Фишка DYSEAC, которая реально важна: он умел работать с другими компьютерами в реальном времени — ранний привет будущим кластерам. В 1956-м SEAC и DYSEAC даже объединяли в экспериментальную систему. Потом военные сказали: “ок, а можно то же самое, но меньше?” Так появился MOBIDOC — уже в одном трейлере, и его катали до 60-х. А в 1958-м случился скачок: RECOMP II — “портативный” компьютер размером с духовку, вес 90 кг: Стоил $95 000 тогда (примерно $1 млн сегодня) и местами был бодрее той 20-тонной махины ➡️https://www.ed-thelen.org/comp-hist/BRL61-r.html Мораль: “портативность” всегда начинается с войны, бюджета и наглости инженеров. Карманный хакер

📥 USB “тележка смерти” — внутренний DoS-тест от Microsoft. Реймонд Чен рассказал: в Microsoft реально катали по офисам тележку с USB-девайсами, которая гарантированно роняла Windows в BSOD, чтобы разработчики перестали жить в розовом мире “у меня на ноуте работает”. ➡️ https://www.tomshardware.com/news/usb-cart-of-death-windows-development Что внутри: 60+ USB-устройств последовательно, весь зоопарк — мыши, клавиатуры, принтеры, диски, рандомная периферия. Подключаешь — и ПК либо сразу падает, либо ловит синий экран при “подёргать кабель” (подключение/отключение). Логика простая: USB и Plug&Play должны быть устойчивыми не “в лаборатории”, а когда пользователь втыкает в хаб половину магазина электроники. И да, есть ощущение, что эту штуку придумали после легендарного фейла на COMDEX, когда демка Windows 98 с Plug and Play красиво улетела в BSOD прямо на сцене у Билла Гейтса. Он тогда отшутился: “Наверное, поэтому мы её ещё не выпустили”. ➡️ https://www.reddit.com/r/PBSOD/comments/10mnokh/windows_98_crashes_and_displays_a_bsod_while/ Карманный хакер

🤩 smolBSD — когда тебе нужен не “сервер”, а микро-ОС под одну задачу. Проект собирает микросборки на NetBSD: только нужные компоненты, минимум мусора, загрузка < 1 секунды. База — около 10 МБ. Идеально, если хочешь изолировать сервисы в маленьких VM и самому решать, что вообще имеет право существовать в образе. Есть даже простая веб-панель для запуска. ➡️ Сайт ➡️ GitHub Карманный хакер

🤯 За 2025 из российских компаний утекло почти 1,8 ПБ данных. Да, петабайта. Это в 17 раз больше, чем в 2023-м, когда ещё жили в “терабайтах”. Внутри — минимум 337 млн телефонов и 208 млн email. И главное: в сеть улетают не “таблички с клиентами”, а дампы серверов, бэкапы, сетевые шары, куски внутренней инфраструктуры. Поэтому “инцидентов меньше” — а объём взрывается: один удачный заход = минус пол-ДЦ. Топ по числу сливов: 🟢Ритейл — 34% 🟢Сфера услуг — 12% 🟢Блоги/форумы/малый бизнес — 10% Почему они? Потому что “безопасность — потом”: нет нормального мониторинга, патчей, сегментации. А большие компании попадают реже, но если попали — сливают вагонами. Госсектор отдельно смешной и страшный: около 33% утечек — старьё (иногда многолетнее). Но публикация всё равно токсична: деанон, фишинг, склейка профилей — всё работает даже на “архивных” данных. Карманный хакер

🖥 Хочешь ломать/защищать — перестань “знать линукс на словах”. Тренируй базу каждый день. Нашёл Android-приложуху Linux Master — это викторина с уровнями/рангами, которая гоняет по темам Linux и быстро вскрывает, где у тебя пустота вместо знаний. У них же есть и другие “тренажёры”: 🟢 KubePrep (Kubernetes) 🟢 System Design Все приложения разработчика: ➡️ https://play.google.com/store/apps/developer?id=CodingShell Карманный хакер

👍 Поговорим о реально важном: почему весь мир жмёт WASD, как будто это закон физики. Спойлер: так было не всегда. В 90-х управления “по умолчанию” не существовало — каждый шутер городил своё: 🟢System Shock (1994) — ASDX 🟢Descent — вперёд/назад A/Z, выглянуть Q/E народ тестил ZXCV, ESDF и что угодно, лишь бы руки не ломались WASD взлетел не потому, что “так правильно”, а потому что пришла мышь в 3D — и держать правую руку на мыши, а левую на стрелках стало тупо неудобно. Слева — и Shift рядом, и Space, и куча кнопок под пальцами. Катализатор — Деннис “Thresh” Фонг, легенда Quake В 1997 он выиграл турнир по Quake и забрал Ferrari 328 Джона Кормака — и на демках у него левая рука была на WASD: Дальше индустрия просто закрепила привычку: 🟢Quake 2 — WASD ещё как “альтернатива” 🟢Half-Life (1998) — впервые делает WASD дефолтом 🟢Quake 3 (1999) — тоже подтягивается 🟢WoW (2004) — добивает контрольным Ирония: даже Гейб Ньюэлл WASD не любит — сидит на ESDF, потому что “руки должны быть как при печати”: Вывод: WASD — не стандарт. Это победившая привычка, размазанная по дефолтным настройкам. Карманный хакер

😀Кстати для свободного пользования интернетом, можете использовать наш сервис из 3-х букв: @PocketVPNtg_bot

😂Телеграм то блокируют, то нет: за***ли уже! Все вы уже слышали 100% слышали о том, что ТГ собираются заблокировать 1 апреля, но вот уже сегодня пошла новость, что наш любимый мессенджер не будет заблокирован. Вот в такое время неопределённости живём, где каждый день, что-то да блокируют, а что-то нет) Да и уже многие админы в ТГ начали создавать копии своих каналов в Мах (именно через букву "Х", не "экс"), я чуть тоже не поддался на эту авантюру, но быстро передумал из-за огромного спектра недостатков этого нового проекта, особенно раздражает, что одно из самых уязвимых мест — это именно информационная безопасность, то есть шифрование внутри приложения, незащищённость логов, а так же постоянная слежка и ряд лишних второстепенных операций, которые выполняются при рядовых действиях. И пока мы Мах вообще не рассматриваем, как жизнеспособную альтернативу ТГ. Да, и я думаю, что аудитория, собравшаяся здесь не глупа, чтобы найти тысячу и один способ обойти блокировку ТГ. Так же у нас есть планы пойти и на другие площадки, например, Дзен, ютуб и другие, кстати такой небольшой инсайдик, мы уже пишем статью для Дзен) Так что надеюсь, что вы и дальше продолжите читать меня! (Не теряйтесь)🥰

‼️ Фрилансерам/девам: вас будут ломать не “хакеры”, а “рекрутеры”. История Дэвида Додда: прилетает оффер от “блокчейн-компании” в соцсетях, договариваются о собесе — и ему кидают док с описанием проекта + “тестовое”: код, который нужно “пофиксить”. ➡️ https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview Обычно он делает правильно: загоняет чужой код в Docker/песочницу. Но тут классика: времени мало, лень большая — решил запустить как есть. Перед запуском попросил нейросеть глянуть код. И та нашла обфусцированный кусок: после декода — URL на малварь, которая даёт атакующему фактически всё: привилегии Node.js, доступ к env, файлам, базам, кошелькам — полный фарш. Мораль простая: срочность = оружие. Добавь лень — и ты уже донор. Минимум гигиены: 🟢чужой код — только VM/Docker/песочница 🟢ссылки/архивы — проверка, VT 🟢зависимости — отдельный контроль, не “npm install на веру” Карманный хакер

🎫 Самый скучный взлом подарочных сертификатов — и именно поэтому самый опасный. Никаких 0day. Никакой “хакерской магии”. Просто магазин одежды, который позволял перебирать номера подарочных карт и находить выпущенные, но не активированные. Автор накатал простой Python-скрипт, прогнал брут — и за 10 минут насобирал купонов на 177 000 ₽. Потому что “ну кто же будет проверять”. Дальше сделал по-взрослому: сообщил магазину, дыру закрыли, ему прилетело вознаграждение и спасибо. ➡️ Читать Карманный хакер

😎 Docker-образ без скана — это как бинарь с торрента “запустить от админа”. Потом не нойте, что в прод улетел майнер. Базовый набор опенсорс-ножей, чтобы резать контейнеры до того, как они порежут тебя: 🟢 Trivy — ищет CVE в пакетах ОС и зависимостях. Сканит локальные образы, registry и даже .tar. 🟢 Dockle — проверяет гигиену образа: слои, конфиги, пользователи, небезопасные настройки, странные инструкции, “пустые пароли” и прочий цирк. 🟢 Hadolint — лупит по Dockerfile: плохие практики, небезопасные паттерны, мусорные инструкции. Быстро и злобно. Это не “полная безопасность”, это минимум, чтобы не тащить в прод очевидную дрянь. Сканы — в CI, иначе смысла ноль.

🤯 PAM в PostgreSQL — это не “усиление безопасности”. Это усложнение, которое тебя же и добьёт, если конфиг писал “кто-то когда-то”. Внутри компаний Postgres часто прикручивают к PAM (внешняя аутентификация), чтобы тащить роли/пароли из LDAP/AD, делать ротацию и выглядеть взросло. И да — при прямых руках это ок. ➡️PAM ➡️LDAP/AD Но авторы статьи поймали классическую историю: не учли векторы, оставили дыры в настройках — и в итоге получили доступ к PostgreSQL с высокими привилегиями. В материале разжёвано: какие именно косяки в конфиге привели к компрометации и как это эксплуатируется по шагам. ➡️ https://blog.deteact.ru/kak-pam-modul-pozvolil-poluchit-dostup-k-bd/ Карманный хакер

👩‍💻 Хочешь Linux — учи Linux, а не “как нажимать кнопки в панели”. Есть бесплатная книжка Linux Notes for Professionals. Коротко, по делу, без воды: команды, основы, практические куски — нормально зайдёт и новичкам, и тем, кто “вроде давно в линуксе”, но периодически гуглит базу. ➡️ https://books.goalkicker.com/LinuxBook/ Карманный хакер

👾 Sony DRM-rootkit — когда “защита от копирования” превращается в малварь от корпорации. 20 лет назад Sony BMG решила: “а давайте продавать CD не только с музыкой, но и с софтом, который лезет в систему”. В итоге они продали 22+ млн дисков с двумя “защитами”: XCP и MediaMax. И устроили эталонный PR-суицид. ➡️ https://ru.wikipedia.org/wiki/Sony_BMG XCP (Extended Copy Protection) — тот самый руткит. В 2005 Марк Руссинович раскопал: вставляешь диск — и тебе тихо ставится скрытный компонент, о котором в EULA толком не сказано. Прячется, маскируется — классика руткитов. ➡️ https://en.wikipedia.org/wiki/Extended_Copy_Protection ➡️ https://ru.wikipedia.org/wiki/Руссинович,_Марк Что “защита” делала на практике: — открывала дыры, которыми потом пользовались другие вредоносы — постоянно висела в фоне и жрала ресурсы — включалась/отключалась криво, вплоть до падений — нормального деинсталлятора не было, удаление ломало систему/драйвера После публикации — ожидаемо: злоумышленники начали эксплуатировать эти дырки для вирусов и червей. MediaMax CD-3 — отдельный цирк: даже если ты не согласен с лицензией, закрываешь окно или убиваешь процесс — оно всё равно ставится. Согласие пользователя? Не, не слышали. ➡️ https://en.wikipedia.org/wiki/MediaMax Шум разлетелся мгновенно, диски начали отзывать, но часть продолжали продавать. Дальше пошли иски. Техас в 2005-м вкатил первым: Sony проиграла, заплатила издержки, компенсации за “убитые” ПК и обязалась публично признать, что ставила эту дрянь (вплоть до объявлений в поисковиках). Мораль: если вы встраиваете руткит ради “защиты бизнеса” — вы не защищаете бизнес. Вы просто выпускаете малварь под своим брендом. Карманный хакер