Карманный хакер

👾 Самая дорогая малварь в истории человечества. 38 миллиардов долларов ущерба. Вдумайся в эту цифру. Это бюджет небольшого государства, который испарился из-за одного куска кода, написанного анонимом. Знакомься — MyDoom, червь, который в 2004 году поставил мир раком и до сих пор не сдаёт позиции. 26 января 2004-го в России зафиксировали первое заражение. Через неделю — полмиллиона машин по всему миру. MyDoom распространялся со скоростью лесного пожара через обычную электронную почту и установил рекорд, который не побит до сих пор. На пике активности этот зверь генерировал от 16 до 25% всего мирового почтового трафика. Каждое четвёртое письмо в интернете — это был MyDoom. Google, Yahoo!, AltaVista, Lycos легли частично, а общий интернет-трафик просел на 10%. В 2011 году McAfee официально признали его самой дорогой малварью в истории. Схема работы — позорно примитивна. Письмо с вложением. Жертва открывает. Червь шерстит файлы на машине, выгребает все email-адреса, которые найдёт, и рассылает себя дальше. Маскировка — детский сад: фейковые уведомления о недоставленном письме, темы вроде "hello", "hi" или просто рандомный набор символов. Казалось бы, кто на такое поведётся в 2024-м? А вот данные за 2015-2018 годы говорят, что 1,1% всех вредоносных писем по миру — это до сих пор MyDoom. В 2019-м он даже немного нарастил обороты. Основные источники рассылки сегодня — США, Китай и Великобритания. Жертвами становятся все подряд — техногиганты, ритейл, медицина, образование, производство. Никаких таргетов, никакой избирательности. Чистый ковровый бомбардировщик, который работает уже двадцать лет в полностью автоматическом режиме. И самое жуткое — он будет работать ровно столько, сколько люди продолжают тыкать на вложения в письмах. То есть вечно. А теперь вишенка. На старте MyDoom первым делом полез ддосить сайт Microsoft. Особо не преуспел — червя ещё было слишком мало. Но в Редмонде так напряглись, что назначили 250 000 баксов награды за голову автора. Прошло больше двадцати лет — деньги до сих пор лежат невостребованными. Никто. Не знает. Кто. Написал. MyDoom. Анонимный гений, который нанёс ущерб на 38 миллиардов и растворился в воздухе. Идеальное преступление, версия 2.0. ➡️ https://yourstory.com/MyDoom Карманный хакер

1999 год. Эпоха диалапа, ICQ и святой веры в то, что вордовский документ — это просто текст с картинками. И тут на сцену выходит парень под ником Kwyjibo, вПредставь: 1999 год, ты открываешь письмо от знакомого с темой "Important Message From..." и невинным вложением. Через секунду твой Outlook уже рассылает то же самое полусотне людей из твоей адресной книги. А через пару часов в таком же положении оказывается миллион машин по всему миру. Знакомься — Melissa, первый в истории макро-вирус для MS Word, который распространялся по почте. И назвал его автор, некий Kwyjibo (он же Дэвид Смит), в честь стриптизёрши. Романтика девяностых во всей красе. Технически всё было гениально просто. Вирус юзал возможности Visual Basic, который позволял дёргать другие приложения Windows и пользоваться их API. Melissa вызывала Outlook, выгребала адреса из адресной книги и рассылала по первым 50 контактам письмо с темой "Important Message From [UserName]" и текстом "Here is that document you asked for ... don't show anyone else ;-)". К письму крепился файлик LIST.DOC, который якобы содержал пароли от 80 платных порносайтов. Кто бы устоял в 1999-м? Вот именно. Никто и не устоял. Внутри документа сидел макрос, который при открытии запускал всю эту карусель заново. Чтобы не рассылать спам по кругу, вирус оставлял в реестре метку: HKEY_CURRENT_USER\Software\Microsoft\Office "Melissa?" = "... by Kwyjibo". Нашёл метку — значит уже отработал, идём дальше. Не нашёл — погнали бомбить контакты. Простая и до боли эффективная логика, которая на тот момент снесла мировую почтовую инфраструктуру и нанесла ущерб на 80 миллионов баксов (это около 155 миллионов на сегодняшние деньги). А теперь самое вкусное — про то, как Смита спалили. Парень был неплохим кодером, но забыл про базовый OPSEC. Оказалось, что MS Word сохраняет в метаданных документа инфу о пользователе, который его создавал. Об этой фиче тогда знали единицы. Смит залил первые копии червя в новостную группу — и во всех файлах болтались его персональные данные. ФБР даже не пришлось напрягаться. Итог — 10 лет тюрьмы и штраф 5000 долларов. Мораль простая и актуальная по сей день: каким бы крутым ни был твой код, тебя сольют метаданные, EXIF, левые комментарии в коммитах и прочая цифровая пыль, на которую все забивают. Запомни это, если когда-нибудь решишь, что ты умнее системы. Карманный хакер

🖥 Хочешь нормально шарить за SQL-инъекции, но базовый SQL знаешь на уровне "SELECT * FROM users"? Тогда давай по-честному — пока ты не научишься писать запросы сам, никакого SQLi-маэстро из тебя не выйдет. Без фундамента вся эта пентест-магия превращается в тупой запуск sqlmap с дефолтными настройками. Поймал годный бесплатный квест для прокачки SQL — DBQuacks. Первая глава содержит 38 уровней с плавно нарастающей сложностью, от простых селектов до жёстких джойнов и подзапросов. Скоро обещают вторую главу, где зайдут уже в продвинутые возможности языка. Геймификация плюс реальное обучение — то, что нужно, когда сухая документация уже не лезет в голову. Интерфейс сделан с умом: окно с сюжетом и загадкой, редактор запросов, вывод результата и подсказка с эталонным ответом. Реф по дефолту скрыт, чтобы ты сам думал, а не подсматривал на каждом шагу. Застрял — есть текстовые подсказки со ссылками на доки, ну а если совсем туго, можно открыть полное решение и разобрать его. Заходит как с ПК, так и со смартфона, так что прокачиваться можно даже в метро. ➡️ https://dbquacks.com Карманный хакер

🤩 376 байт. Запомни эту цифру. Меньше, чем весит средняя иконка на твоём рабочем столе. Именно столько кода понадобилось, чтобы в январе 2003-го положить половину интернета и войти в историю как один из самых разрушительных червей всех времён. Знакомься — Slammer. За первые 10 минут жизни этот малыш заразил больше 75 тысяч машин. Не за день, не за час — за десять минут. Скорость распространения была такой, что исследователи потом ещё долго чесали затылок, пытаясь понять, как такое вообще возможно. Спойлер: возможно, когда админы по всему миру забивают на патчи. Технически всё было до смешного просто. Червь эксплуатировал дыру в Microsoft SQL Server и MSDE. За полгода до эпидемии Microsoft выкатила патч MS02-039, который закрывал уязвимость. Но кто из админов в 2002-м реально ставил патчи вовремя? Вот именно. Классическая история, которая повторяется до сих пор — от WannaCry до свежих CVE. Логика червя умещалась в пару строк кода: сгенерируй случайный IP, отправь себя туда, если на той стороне непропатченый SQL — заражай и повторяй. Никакого шифрования, никакой полезной нагрузки, никаких бэкдоров. Чистая, рафинированная репликация. И именно эта простота сделала его монстром. Дальше началась цепная реакция, которая навсегда вошла в учебники по сетям. Маршрутизаторы захлёбывались трафиком и падали. Соседние роутеры рассылали уведомления об обновлении таблиц маршрутизации. Эти уведомления добивали следующие узлы. Те при перезагрузке снова обновляли таблицы и снова падали. И всё потому, что весь червь умещался в один UDP-пакет на 376 байт. Один пакет — одно заражение. Никакого хендшейка, никаких подтверждений. Огнемёт в чистом виде. Итоги были эпичны. Глобальный трафик подскочил на 25%, Южную Корею фактически отрубило от мировой сети, банкоматы Bank of America встали колом, в Канаде едва не сорвали первое электронное голосование, а в штате Вашингтон легла служба 911. Да, экстренная служба. Люди реально не могли вызвать скорую из-за червя в 376 байт. И самая красивая вишенка на торте — автора так и не нашли. Есть теория, что писал не один человек: в коде прослеживаются разные стили. Но это всё домыслы. Кто бы ни стоял за Slammer — он создал самое элегантное оружие массового поражения в истории интернета и спокойно растворился в темноте. Идеальное преступление. Карманный хакер

🖥 Твой комп вдруг начал гудеть как взлётная полоса, кулеры воют, а температура CPU стабильно держится в районе адских температур даже на простое? Поздравляю, скорее всего кто-то решил намайнить себе крипты за твой счёт. Современные скрытые майнеры умеют прятаться так, что обычный антивирус разводит руками и делает вид, что всё чисто. Откопал годную тулзу под названием Miner Search. Заточена ровно под одну задачу — выкуривать скрытых майнеров из всех щелей системы. Сканит подозрительные файлы, каталоги, процессы, реестр — короче, лезет туда, куда обычный антивирус поленится заглянуть. Важный момент: это не замена антивирусу, а вспомогательный инструмент. Используется как скальпель, а не как швейцарский нож. Из плюсов — полностью открытый исходный код, автор активно пилит проект, есть документация на русском. Из требований — только NET Framework 4.7.1, который и так стоит у большинства. Накатил, прогнал, проверил — и спишь спокойно, зная что твоё железо работает на тебя, а не на чужой кошелёк. ➡️ https://github.com/BlendLog/MinerSearch Карманный хакер

Купил умный замок за полтиник, поставил, подключил к телефону и думаешь, что теперь твоя квартира — крепость? Спешу разочаровать. Красивая железка с приложухой и блютусом часто защищает хуже, чем китайский навесной с алика. И этому есть пруфы. Парни из "Бастиона" выкатили годный разбор пяти векторов атак на умные замки. Тема, которую в паблике почти не обсуждают, хотя физическая безопасность через IoT — это сейчас один из самых жирных и недооценённых аттак-сёрфейсов. Производители гонятся за фичами и красивым UX, а в это время базовые принципы безопасности летят в окно вместе с твоими ключами. Если интересно, как ломают эти "крепости" — от радиоканала до приложения — обязательно к прочтению. Полезно и тем, кто уже поставил такое чудо домой, и тем, кто только думает. ➡️ Читать статью Карманный хакер

🖥 Забудь про ELK, Grafana и прочих монстров, которые жрут ресурсы как не в себя. Иногда тебе просто нужно быстро посмотреть логи на удалённом хосте — без поднятия стека из десяти контейнеров и недели настройки. Встречай Nerdlog — суровый TUI-просмотрщик логов, который делает всё правильно. Никакого централизованного сервера, никаких агентов на хостах, никакой возни с инфраструктурой. Всё взаимодействие идёт по обычному SSH — подключился и работай. Идеально для тех, кто живёт в терминале и любит, когда инструмент не мешает, а помогает. Самая вкусная фишка — логи не тянутся целиком на твою машину. Обработка происходит прямо на удалённой тачке, а к тебе прилетает уже готовый результат. Это значит, что можно спокойно копаться в гигабайтах логов на серверах без риска забить канал и положить свой ноут. Сверху прикручен симпатичный таймлайн с гистограммой — сразу видно, где случился всплеск активности, где упало приложение, где кто-то ломился по SSH в три ночи. Никакого ковыряния в простыне текста вслепую — навигация по событиям визуальная и быстрая. Маст-хэв для любого DevOps, сисадмина или пентестера, которому нужно быстро разобраться в чужой инфре. ➡️ Подробная статья от автора ➡️ GitHub проекта Карманный хакер

💻 Миллионы долларов на разработку систем верификации возраста. Машинное обучение, нейросети, биометрия. И всё это убивается косметическим карандашом и нарисованными усами. Добро пожаловать в реальность 2026-го. Британская Internet Matters опросила больше тысячи детей — и почти половина призналась, что обходит проверки возраста буквально подручными средствами. Берёшь мамин карандаш для бровей, рисуешь себе щетину как у байкера — и вуаля, AI считает тебя сорокалетним мужиком. Социнженерия уровня детского сада, а ломает миллиардные системы. Зачем дети это делают? Доступ в соцсети — 34%, онлайн-игры — 30%, мессенджеры — 29%. Классика. А самое смачное — больше четверти родителей в курсе и не препятствуют, а 17% сами активно помогают чадам рисовать усы. Семейный pentest, не иначе. Тем временем правительства по всему миру упорно продолжают плодить законы о возрастной верификации, прикрываясь "безопасностью детей". Только вот критики давно бьют тревогу: эти системы создают огромные базы биометрии и документов, которые рано или поздно сольют. А британский Online Safety Act задал моду — теперь подобную дичь копируют страны по всему миру, медленно убивая открытый интернет. Но есть и светлая сторона этой истории. Целое поколение растёт с пониманием базовой истины: любую систему можно обойти. Дети, которые сегодня рисуют усы карандашом, завтра будут писать байпасы для куда более серьёзных штук. Запреты не воспитывают послушание — они воспитывают хакеров. Спасибо регуляторам за бесплатные кадры для индустрии. ➡️ https://www.theregister.com/ Карманный хакер

👩‍💻 Немного хардкорного оффтопа для тех, кто любит копаться в кишках систем. Знаешь ли ты, что прямо сейчас, в твоей свежеустановленной Windows 11, лежит файл из начала 90-х? Реликт эпохи, когда модемы пищали, а компьютеры шумели как турбины. Зовут его moricons.dll. Весит всего 12 килобайт. Внутри — десятки пиксельных иконок для софта, который сегодня помнят разве что бородатые админы: Turbo Pascal, WordPerfect, Sidekick. Цифровая капсула времени, которую Microsoft за тридцать лет так и не удосужилась выкинуть. История появления, как рассказывает ветеран Microsoft Рэймонд Чен, такая. В Windows 3.0 DOS-программы можно было крутить в окне, а система сама сканировала диск, искала знакомые экзешники и лепила им Program Information File (PIF) с унылой серой иконкой "DOS". В Windows 3.1 решили — хватит этой серости, давайте красиво. Сначала иконки кинули в progman.exe, потом вынесли в отдельную либу. Назвали без затей — moricons.dll, "more icons". Гениально в своей простоте. А теперь самое сочное. В 64-битной Windows MS-DOS-приложения уже давно не поддерживаются — запускать эти иконки физически негде. Но файл всё равно тащат из версии в версию. Чен признался, что перенос системы на 64 бита был "механическим" — никто не захотел лезть в этот пыльный угол. А вдруг где-то у какого-то деда в бухгалтерии ещё крутится PIF-файл из 92-го? Мало ли. Вот так и живёт в современной Windows 11 артефакт времён, когда Билл Гейтс ещё лично писал код. Маленький, забытый, никому не нужный — но бессмертный. Иногда легаси — это не баг, а памятник. ➡️ https://devblogs.microsoft.com/ Карманный хакер

🔵 Полтора миллиона долларов за один баг. Вдумайся в эту цифру. Google официально пересматривает свою Bug Bounty программу — и теперь правила игры жёстче, чем когда-либо. За реально хардкорные эксплойты платят как никогда щедро, а за всё, что можно нагенерить нейросетью за вечер — урезают чек. Эпоха халявы закончилась, добро пожаловать в эру охотников. Главный приз — $1.5 млн. Чтобы его сорвать, надо выкатить zero-click эксплойт на чипе Pixel Titan M2 с закреплением в системе. Это самый сложный сценарий из возможных, и Google прямо намекает: "хочешь денег — покажи что-то такое, чего не сможет ни один AI". Без закрепления — потолок $750k. Тоже неплохо для тех, кто умеет кодить руками. Chrome тоже подтянули. До $250k за уязвимость плюс ещё $250k бонусом, если пробьёшь защиту MiraclePtr — механизм, который должен был сделать память Chrome неприступной. Сломаешь — заберёшь полмиллиона. Ещё одна интересная деталь: Google теперь хочет короткие отчёты. Только PoC и суть, без литературных эссе на двадцать страниц. Логика простая — длинные простыни сейчас за тебя напишет любая нейросеть, а вот реально найти баг машина пока не умеет. Ценится мозг, а не количество знаков. И немного цифр для масштаба. В 2025 году Google раскидал между 747 исследователями $17.1 млн — это на 40% больше прошлогоднего рекорда. Всего с 2010 года корпорация выплатила багхантерам уже более $81.6 млн. И в 2026-м обещают платить ещё больше, несмотря на урезание отдельных выплат. Вывод простой: если ты раньше думал начать в bug bounty — самое время. Только не неси Google то, что нашёл за тебя ChatGPT. Неси то, что ИИ ещё не умеет. ➡️ https://bughunters.google.com Карманный хакер

🖥 Полноценный Linux. Во вкладке браузера. Без установки, без сервера, без Docker-демона. Звучит как бред? А вот и нет — встречай LinuxOnTab. Реальное x86-ядро Linux 6.12.13 плюс пользовательское пространство Alpine, загруженные через WebAssembly прямо в твою вкладку. Внутри — рабочий стол, файловый менеджер, проброс портов и даже социалочка с публичными папками на базе Nostr. Запустил, загрузилось — и можешь работать оффлайн. Идеальная одноразовая песочница для тех, кому нужен Linux здесь и сейчас, без плясок с дистрибутивами и виртуалками. ➡️ https://linuxontab.com ➡️ https://github.com/kilian-ai/linuxontab А теперь держи бонусом мой личный набор ресурсов, чтобы поднимать любую ОС за минуту — для экспериментов, тестов пейлоадов и прочих хакерских утех. 1️⃣ Готовые образы для VirtualBox и VMware. Качай и разворачивай стенд за пару кликов: ➡️ Подборка образов для VirtualBox ➡️ Free VirtualBox Images от самих разработчиков ➡️ Готовые VM от Oracle ➡️ Любые конфигурации VM на Linux и Open Source ➡️ Подборка образов для VMware ➡️ VM на iOS и MacOS: getutm и mac.getutm ➡️ Образы для Mac: mac.getutm и utmapp 2️⃣ Целый зоопарк ОС прямо в браузере. Не хочешь возиться с загрузкой ISO и настройкой — вот лекарство: ➡️ WebVM — бессерверный Debian в браузере, открывается даже с телефона. ➡️ Instant Workstation — Linux, BSD, Haiku, Redox, TempleOS, Quantix. Экзотики выше крыши. ➡️ distrosea — бесплатный полигон, где можно перещупать больше 70 дистрибутивов с разными графическими оболочками. Идеально, когда не можешь определиться, на чём жить. ➡️ PCjs Machines — эмулятор машин 70-90х прямо в браузере. Создал в 2012 году программист из Сиэтла Джефф Парсонс, чтобы каждый мог потрогать историю руками. ➡️ redroid — Android в Docker-контейнере на Ubuntu, версии с 8.1 по 16. А ещё есть waydroid, Bliss-OS и Memuplay — выбирай оружие под задачу. Сохраняй пост в закладки — пригодится не раз, когда понадобится свежая система под эксперимент, а времени на возню нет. Карманный хакер

📥 732 байта. Десять строк на Python. И ты — root на любой Linux-машине, к которой имеешь локальный доступ. Звучит как сказка? Знакомься с реальностью — CVE-2026-31431, она же Copy Fail. Суть атаки — как пощёчина всему ядру. Из-за банальной логической ошибки непривилегированный юзер может записать четыре произвольных байта в кеш страниц любого читаемого файла. Казалось бы, мелочь? А вот и нет. Ядро тащит бинарники на запуск именно из этого кеша. То есть атакующий не правит файл на диске — он подменяет исполняемый код прямо в памяти. Чувствуешь масштаб? И вот тут начинается самое сладкое. Все эти модные тулзы аудита, EDR-ы и системы мониторинга ФС — слепнут. На диске не изменилось ни байта. После ребута или сброса кеша следов нет вообще. Идеальное преступление: вошёл, забрал root, исчез. Форензик потом будет чесать репу и винить себя. PoC-эксплоит — десять строк Python, 732 байта. Дёргает setuid-бинарник и выкидывает тебе root-шелл. Скриптуха уровня "написал за обедом". А теперь вишенка: дыра жила в ядре с 2017 года. Девять лет. Девять, Карл. Тысячи аудиторов, миллионы глаз — и ни один не заметил. Нашёл её AI-инструмент Xint Code от Theori примерно за час. Эпоха, в которой нейросети находят 0day быстрее, чем ты завариваешь кофе, уже наступила. Патчи уже раскатили Debian, Ubuntu, SUSE и остальные. Не тяни — обновляйся, пока тебя не обновили. ➡️ Демонстрация ➡️ GitHub Карманный хакер

📱 Думал, что для серьёзных дел на Android нужен root, костыли и пляски с бубном? Расслабься. Теперь твой смартфон превращается в полноценную хакерскую станцию без единого касания системных потрохов. Знакомься — Podroid. Проект, который пинком выбивает дверь в мир Linux-контейнеров прямо с твоего телефона. Никакого root, никаких прошивок, никакой нервотрёпки. Просто бери Android 9+ на arm64 — и поехали. Под капотом всё по-взрослому: облегчённая виртуалка Alpine Linux крутится через QEMU, а сверху — полноценная среда выполнения контейнеров Podman со встроенным терминалом. Хочешь поднять сервис, погонять пейлоад в изолированной песочнице или потестить эксплойт в дороге — теперь это вопрос пары тапов по экрану. Связка простая и злая: Termux как терминал, Limbo Emulator как QEMU-движок и Podman как сердце всей конструкции. Бонусом — проброс портов из контейнера в саму Android-систему через SSH. То есть твой телефон может стать полноценной нодой, сервером или плацдармом — без рута, без жертв. Код на Kotlin, лицензия GPLv2, исходники открыты. Никаких "доверьтесь нам" — всё прозрачно. ➡️ Тащи и ломай Карманный хакер

😊 С чего, по-твоему, началась эпоха IoT? С умных колонок, что палят твои разговоры? С камер, которые ломаются школьником за пять минут? А вот и нет. Всё началось с банальной банки газировки. 1982 год. Студенты одного из американских универов задолбались таскаться на третий этаж к автомату Coca-Cola, который вечно стоял пустой. И вместо того чтобы смириться, как нормальные люди, они сделали то, что сделал бы любой уважающий себя нерд — нахакали. Натыкали в автомат датчиков, проверяющих наличие бутылок и их температуру, и подцепили всё это добро к университетскому PDP-10. Теперь перед походом за газировкой можно было пингануть автомат. Так родился первый в мире IoT-девайс — и да, его придумали ленивые студенты ради холодной колы. Дальше — больше. 1990 год, выставка Interop. Один из отцов TCP/IP Джон Ромки притаскивает на сцену свой домашний тостер и поджаривает хлеб удалённо, без единого касания. Публика в шоке. По факту это был первый публичный взлом бытовой техники во благо — только тогда ещё никто не понимал, во что это выльется через 30 лет. Хотя цели "соединить всё со всем" у разработчиков и в помине не было. Тостер был лишь рекламой новой на тот момент технологии — RFID. Радиометки пихали везде, куда дотягивались руки: коробки на складах, товары в магазинах, одежда. Первыми "вещами" в интернете вещей стали не холодильники и не лампочки, а обычные палеты с грузом. А первой отраслью — ритейл. Самого термина "Internet of Things" тогда ещё не существовало. Его родил только в 1999 году исследователь Кевин Эштон, плотно сидевший на RFID. И понеслось. Мораль простая: вся индустрия, которую сегодня ломают ради ботнетов и шпионажа, начиналась с лени студентов и одного пиар-тостера. Думай об этом, когда в следующий раз будешь покупать "умную" розетку. Карманный хакер

• Логи — это кровь системы. Кто умеет их читать — видит всё: атаки, утечки, косяки админа, следы непрошеных гостей. Но поднимать ради домашней лабы жирный ELK, GrayLog — это как стрелять из танка по комарам. Нужен инструмент полегче, но позубастее. • Встречай — Lazyjournal. Терминальный комбайн для поиска и анализа логов из journald, #Docker и #Kubernetes. Минимум веса, максимум профита. Идеален для домашней среды и быстрого ковыряния в чужих кишках. • Установка — анекдот. Один бинарник, ноль зависимостей. Кинул в систему — и погнали потрошить. • Внутри — встроенная подсветка по ключевым словам: ошибки, успехи, варнинги, действия. Плюс автоматическое выделение UNIX-процессов, путей в ФС, URL, IP-адресов и прочих числовых маркеров. Глаз цепляется за нужное мгновенно — никакого визуального шума. • Есть поддержка auditd — того самого демона аудита от Red Hat, что вшит в ядро Linux и палит каждое движение в системе. Хочешь знать, кто и когда лез туда, куда не следует — вот он, твой стукач. • Бонусом — просмотр всех логов из /var/log с сортировкой по дате изменения (Apache, Nginx, СУБД и прочая живность), включая архивные. Ничего не ускользнёт. ➡️ Забирай и ставь Карманный хакер

🎖 С Днём Победы, уважаемые коллеги!

9 мая — день, который мы не имеем права забывать. Спасибо ветеранам за мир, свободу и возможность жить, работать и создавать. Низкий поклон. Вечная память.

🖥 Легендарному пиратскому флагману The Pirate Bay стукнуло 22 года. И он всё ещё на плаву, несмотря на армию правообладателей, мечтающих утопить его к чертям. Когда TPB запускался, в интернете сидело всего 10% планеты, а в США большинство юзеров пердело модемом на 56k. Стриминга не было, контент жрали офлайн, а торренты были единственным способом гонять тяжёлые файлы по сети. Сегодня большая часть тех древних раздач — мертвы. BitTorrent безжалостен: нет ни одного сидера с полной копией — файл уходит в небытие. Но есть исключение — некроторрент. Эпизод "The High Chaparral" с Ури Геллером, залитый 25 марта 2004 года — самый старый живой торрент на TPB. Его до сих пор раздают. Не потому что он кому-то нужен, а потому что это символ. Цифровая реликвия, которую пираты держат в живых из чистого принципа. Ирония в том, что культовым его сделали те самые пираты, а правообладатели за 22 года так и не смогли его прихлопнуть. Сеть помнит. Сеть не сдаёт своих. ➡️ https://torrentfreak.com/the-pirate-bays-oldest-torrent-turned-22/ Карманный хакер

Нас уже больше тысячи! И это на самом деле п**дец, как много. Рад, что вам нравится читать наш контент. Я даже задумываюсь над тем, чтобы сделать какой-то розыгрыш в честь этого, но вот не знаю, разыграть может пару премиумов или какую-то прикольную книгу по ИБ, но есть проблема, как тогда её нормально доставить)

🤩 Любопытство — главное оружие хакера. Без него ты — просто оператор кнопок. С ним — охотник. Хакерские квесты — это пересечение ARG и CTF, только вместо лута ты получаешь реальные навыки, которые работают в бою. Не теория из книжек, а руки в крови от практики. Знакомься — 0xdf, главный архитектор Hack The Box. У него на сайте собрана монструозная коллекция райтапов: фильтруй по сложности, ОС, тэгам, именам — что душе угодно. Цифры? Более 500 машин и прохождений, от 2018-го до апреля 2026-го. Это не подборка — это целая энциклопедия пробива. Хочешь расти — закладку в браузер, и вперёд ломать. ➡️ https://0xdf.gitlab.io/cheatsheets/htb-interactive Карманный хакер

🍏 App Store — стерильный сад Apple? Как бы не так. В китайском сторе нашли десятки фишинговых криптокошельков, нагло косящих под MetaMask, Coinbase и Trust Wallet. Цель проста и грязна — сид-фразы и приватные ключи. Один тап — и кошелёк жертвы вычищен под ноль. Самый смак: из-за региональных ограничений оригиналов в китайском App Store нет. Зато фейки — пожалуйста, в топе выдачи. Юзеры скачивают пачками. Знакомо? У нас с банками та же история — официалок нет, а фишинговые клоны лезут изо всех щелей. Итог разведки — 26 заражённых приложений. Часть пока без вредоносной начинки, но со всеми маркерами связи со злоумышленниками. Перевод: ждут апдейта, чтобы выстрелить. Некоторые маскируются под игры, калькуляторы, планировщики — пустышки для маскировки. Технология заражения — отдельный разговор. Запустил приложение — оно открывает ссылку в браузере, и через provisioning-профили на устройство ставится заражённая версия кошелька. Та же схема, что у SparkKitty. А Enterprise-профили — вообще золотая жила для тёмной стороны: придуманы для корпоративных приложений в обход App Store, а юзают их разработчики кряков, читов, казино и зловредов. Мораль? Apple-эко — это миф. Один кривой профиль — и твой iPhone превращается в дырявое решето. ➡️ Технические детали и список приложений тут Карманный хакер