Карманный хакер

💻 Всё для старта в ИБ — в одной Notion-заметке. Курсы, CTF, карьерные треки, документация, ресурсы — собрано в одном месте. Без воды, без рекламы, только полезные ссылки. Полезно и новичкам, и тем, кто уже в деле — всегда найдётся то, что пропустил. В закладки обязательно. ➡️ Notion-заметка Карманный хакер

⚙ Пароль в аргументах CLI — подарок для атакующего. Классика: сетевики передают пароль в аргументах SSH. В открытом виде. Быстро, удобно, работает. И дыра размером с ворота. Почему это проблема: 🟢 Аргументы команд видны через ps, /proc/[PID]/cmdline, Task Manager 🟢 Они утекают в логи CI/CD 🟢 Мониторинг и аудит их подхватывают 🟢 sshpass, plink, WinSCP CLI, rsync, mysql, curl, mRemoteNG — все позволяют передать пароль аргументом. Соблазн «костыля» огромный. Итог: пароль можно перехватить, даже не прикасаясь к SSH. Просто прочитать из процессов или логов. Не нужен MITM, не нужен эксплойт — достаточно доступа к машине. ➡️ Читать статью Карманный хакер

⚙️ 70 задач на работу в терминале. Прямо в TUI, без отмазок. Тренажёр для тех, кто хочет уверенно чувствовать себя в CLI. Около 70 заданий — от базы до вещей, которые реально пригодятся в работе. Никаких видосов и теории — только практика в терминале. ➡️ CLI Exercises У автора есть ещё TUI-тренажёры для awk, grep, sed и регулярок. Если с этим у тебя слабо — самое время закрыть пробелы. Карманный хакер

🛡 Win+L на аппаратном уровне. В 80-х компьютеры запирали на ключ. Буквально. Начало 80-х. IBM PC расползаются по офисам. Никаких паролей, никаких учёток, никакого шифрования. Кто сел за машину — тот и владеет данными. Физический доступ = полный контроль. Проблема была реальной. Инженер оставляет на ночь расчёт сложной модели. Программист ставит компиляцию на часы. Утром — всё прервано, потому что любопытный коллега «просто нажал кнопочку». Решение — замок на системном блоке. Настоящий, металлический, с ключом. Поворот ключа физически разрывал цепь клавиатурного контроллера. Любой ввод игнорировался на уровне железа. Никакой софт это не обойдёт — цепь разорвана. В некоторых моделях замок блокировал и загрузку. Пытаешься включить запертый ПК — получаешь «302-System Unit Keylock is Locked». А в IBM PC AT ключом запирался ещё и корпус — чтобы не лезли внутрь. Первая аппаратная защита от несанкционированного доступа. Грубая, простая, эффективная. Никаких CVE, никаких эксплойтов — просто замок и ключ. Карманный хакер

💻 Почему BSOD синий? Потому что одному чуваку так было удобно. Джон Верт — создатель «синего экрана смерти» — выбрал белый текст на синем фоне не из-за психологии цвета и не по гайдлайнам. Его машина на MIPS RISC работала в этой палитре. Его любимый редактор SlickEdit — тоже белый на синем. Загрузка, код, крэш ОС — всё в одной цветовой гамме. Удобно же. Но BSOD не всегда был синим. В первой Windows при фатальном сбое на экран вываливался хаотичный мусор из ОЗУ — никаких сообщений, просто каша из символов и намертво зависшая система. В Windows 3.0 появились ошибки на синем фоне, но это были скорее предупреждения — можно было продолжить работу. А вот настоящий фатальный сбой показывал чёрный экран смерти: «Не удается продолжить работу Windows из-за…». Black Screen of Death — да, он был первым. Термин «Black Screen of Death» всплыл в журнале Computerworld в 1993 году. «Blue Screen of Death» — только в 1995-м. К концу 90-х BSOD стал мемом, легендой и ночным кошмаром каждого пользователя Windows. Один человек выбрал цвет «потому что привык» — и создал самый узнаваемый экран ошибки в истории компьютеров. Карманный хакер

🤩 Ibex — MITM в IPv6 сетях на автомате. Автор книги «Сети глазами хакера» выкатил тулзу для атак на IPv6. Если ты думал, что IPv6 безопаснее — подумай ещё раз. Что умеет: 🟢 RA Spoofing и RDNSS-инъекции 🟢 Полная автоматизация NAT64 и DNS64 🟢 Анализ NDP-трафика для разведки сети 🟢 Обход RA Guard через Hop-by-Hop фрагментацию 🟢 Автотюнинг сетевых параметров и маршрутизации 🟢 Интерактивная CLI с автокомплитом 🟢 Killswitch для аварийной остановки и восстановления сети Не читал статью про актуальные методы атак на IPv6 и защиту от них? Исправляй: eng | ru ➡️ https://github.com/casterbyte/Ibex Карманный хакер

💻 Баг, который чинится вызовом электрика. Программист Алекс Йорк пишет распаковщик GZIP-файлов. Всё работает — и вдруг начинают сыпаться ошибки повреждения архива. Каждые несколько минут. Перезагрузка не помогает. Начинает копать. Race condition? Нет, компрессор однопоточный. Ошибка кодирования? Исключено. Повреждение данных? Тоже мимо. Баги появляются и исчезают без логики — как призрак в коде. Потом замечает паттерн: сбои начались с приходом жары. Грешит на кондиционер — может, влажность, может, сухость воздуха влияет на железо. Звучит безумно, но когда ты неделю дебажишь фантомный баг — поверишь во что угодно. Финальная улика: приложения грузятся вечность, но только когда ноутбук подключён к сети. Не к интернету — к электросети. Алекс проверяет розетку — нет заземления. Вызывает электрика, ставят нормальную розетку. Баг исчезает. Программа работает идеально. Мораль: иногда твой самый упоротый баг — это не код, не железо и не ОС. Это розетка без заземления. Проверяй инфраструктуру до уровня электричества. ➡️ https://alexyorke.github.io/2022/11/11/gzip-exceptions-but-only-on-hot-or-rainy-days/ Карманный хакер

💻 «Пуск» — маленькая кнопка, которая изменила всё. До Windows 95 большинство людей общались с компьютером через командную строку MS-DOS. Чёрный экран, мигающий курсор, набор команд руками. Windows 3.11 давала графическую оболочку, но под капотом всё равно сидел DOS — сначала грузи его, потом запускай Windows. Windows 95 всё перевернула. Первая ОС от Microsoft с полностью графическим интерфейсом. DOS и Windows слились в одно целое. А главным символом стала та самая кнопка «Пуск» — простая точка входа ко всем программам и задачам. Панель задач внизу экрана — тоже детище Win95. Быстрое переключение между окнами, наглядный контроль над процессами. Ни Windows 3.x, ни Macintosh того времени ничего подобного не предлагали. Apple подтянулась только в 2000 году с OS X Beta — на пять лет позже. Насколько «Пуск» въелся в привычку — показала Windows 8, где Microsoft решила его убрать. Пользователи устроили бунт, и в Windows 10 кнопку вернули. Иногда лучшее UX-решение — просто не трогать то, что работает. Карманный хакер

📶 Почему <img>, а не <image>? Потому что один студент всех продавил. 1993 год. В HTML всего 18 тегов. Картинки на веб-страницах можно смотреть только по ссылке — клик, новое окно, загрузка. Студент Марк Андриссен и сотрудник NCSA Эрик Бина пилят браузер Mosaic и хотят показывать картинки прямо в тексте. Без лишних кликов. В феврале 1993 Андриссен кидает в рассылку www-talk сообщение:

«I'd like to propose a new, optional HTML tag: IMG. Required argument is SRC="url".»

Сообщество в штыки. Мол, если для каждого медиа делать свой тег — будет хаос. Сам Тим Бернерс-Ли, создатель WWW, был против — предлагал обойтись тегом <a> и дать пользователям самим настраивать отображение. Но вот в чём панч: письмо Андриссена было не предложением, а уведомлением. Они с Биной уже всё решили. IMG летит в релиз, и никакие дискуссии это не изменят. Mosaic вышел — и взорвал веб. Картинки прямо в тексте, без костылей. Пользователи и дизайнеры приняли это мгновенно. Стандарты подтянулись позже — IMG включили в спецификацию HTML 2.0. Так родилась традиция, которая живёт до сих пор: сначала браузеры внедряют, потом стандарты догоняют. А мы пишем IMG и SRC вместо IMAGE и SOURCE — потому что один упёртый студент не стал ждать разрешения. ➡️ https://thehistoryoftheweb.com/the-origin-of-the-img-tag Карманный хакер

Mercedes — это не только машины. Это ещё и пишущие машинки. В 1906 году Густав Мец основал в Берлине компанию Mercedes Büromaschinen GmbH и начал клепать печатные машинки. Первая Mercedes Typewriter вышла в 1907 — точная, надёжная, моментально стала хитом среди деловых людей и писателей. Автогигант Daimler-Motoren-Gesellschaft тут же подал в суд — мол, имя наше. Бодались до 1913 года и договорились: Мец не лезет в автомобили, Daimler не лезет в офисную технику. Классический trademark beef начала XX века. Машинки были реально топовые: безупречная сборка, автоматическая подача бумаги, смена шрифта, регулировка интервала. А само имя Mercedes уже тогда продавало — бренд ассоциировался с качеством, даже если речь про клавиши, а не про двигатели. В 1930-х — прорыв: Mercedes Elektrik, первая электрическая пишущая машинка с мотором. Корпорации, госучреждения, армия — все на ней печатали. Популярность держалась до середины XX века. Последняя машинка под брендом Mercedes сошла с конвейера в 1961 году. Сейчас это коллекционная редкость — напоминание о временах, когда офисная техника была произведением инженерного искусства. ➡️На eBay можно урвать в хорошем состоянии за 350 баксов: https://www.ebay.com/itm/186490909478 Карманный хакер

logmerger — когда нужно свести логи воедино и не сойти с ума. Несколько лог-файлов, разные источники, нужно сопоставить по времени и понять что происходило. Руками — боль. logmerger делает это за тебя: сортирует, мёржит, сравнивает. Open source, никакой магии. ➡️ logmerger ➡️ Альтернатива — lnav. Фильтрация, подсветка синтаксиса, удобный интерфейс. Если работаешь с логами регулярно — держи оба в арсенале. Карманный хакер

🤩 Supply chain атака через Trivy — DevOps-конвейеры превратились в бэкдор. 19 марта хакеры из TeamPCP провернули жёсткую атаку на цепочку поставок. Цель — Trivy, популярнейший open source сканер уязвимостей, который крутится в тысячах CI/CD пайплайнов. Вредонос внедрили прямо в официальные GitHub Actions и Docker-образы. Каждый автоматический скан запускал малварь, которая тащила SSH-ключи, облачные токены, крипто-кошельки. CVE-2026-33634, CVSS 9.4 — почти потолок. В тот же день команда Trivy зафиксировала компрометацию и вычистила артефакты. Но было поздно — злоумышленники уже сидели в средах пользователей. Дальше — каскад. 23 марта та же группа ломает Checkmarx KICS и Checkmarx AST, плюс расширения Open VSX: cx-dev-assist 1.7.0 и ast-results. Три часа до обнаружения — три часа раздачи малвари. 24 марта — удар по LiteLLM, универсальному шлюзу для вызова ИИ-систем, который используется в куче ИИ-агентов. В PyPI залили отравленные версии 1.82.7 и 1.82.8. Версия 1.82.8 — вообще красота: вредонос через .pth-файл запускался при каждом старте Python-интерпретатора. Чистая версия — 1.82.6, всё что выше — отрава. Масштаб сбора данных пугает: локальная система, облачные runtime-секреты, Kubernetes-кластер, криптоключи. Один скомпрометированный пакет — и атакующий прыгает от Python-среды к захвату целых инфраструктур. Карманный хакер

🛡 Networking Toolbox — весь сетевой арсенал в одном месте. Сотни инструментов под рукой: DNS, TLS, DHCP, HTTP, почтовые серверы — проверяй что хочешь. Конвертеры CIDR, масок, IPv4/IPv6, MAC-адресов. Калькуляторы подсетей, генераторы конфигов, утилиты для тестирования производительности, шифрования и маршрутизации. Плюс справочники по IPv6 и сетевым протоколам. Если ты работаешь с сетями и у тебя этого нет в закладках — ты делаешь что-то не так. ➡️ Networking Toolbox ➡️ GitHub Карманный хакер

👾 Tequila — первый полиморфный вирус, устроивший реальную эпидемию. 1991 год, Швейцария. Кто автор — до сих пор загадка. По одной версии, учёный написал код как эксперимент, а его украли и выпустили в дикую природу. По другой — два 18-летних брата решили повеселиться. Правды не знает никто. Вирус был полиморфный, резидентный и набитый защитой под завязку. McAfee VirusScan он буквально унижал — удалял контрольные суммы файлов, и антивирус зацикливался, проверяя одни и те же файлы бесконечно. Красиво, нечего сказать. Как работал: заражал загрузочный сектор, поражал .exe и .com, раздувая их на 2468 байт. По загадочной причине не трогал файлы с «v» и «sc» в имени — возможно, щадил антивирусы, чтобы дольше оставаться незамеченным. Когда четверть программ на машине была заражена — на экране появлялся фрактал Мандельброта и надпись: «ПИВО и ТЕКИЛА навсегда! С любовью к вам, L.I.N.D.A.» Почтовый ящик в Швейцарии прилагался. По сути — вирус-шутка. Но шутка злая: CHKDSK ловил фейковые ошибки, и попытка «починить» через CHKDSK /F убивала данные. Плюс случайные повреждения .exe и .com при перезаписи. Германия словила эпидемию — школы, крупный банк во Франкфурте. В 1993-м Tequila добралась до Южной Африки. Первый полиморфник, который показал миру: антивирусы можно не просто обходить — над ними можно издеваться. ➡️ https://sciencestory.ru/dos-virus-tequila/ Карманный хакер

🤯 IPv6 — 30 лет обещаний. А IPv4 всё ещё живее всех живых. В 90-х стало ясно: 4,3 млрд адресов IPv4 — это потолок. IETF запилил IPv6 с адресами на 128 бит — это 340 ундециллионов адресов, хватит на каждый атом на Земле. Спецификация вышла ещё в 1995 году — RFC 1883, обновлена в 1998 — RFC 2460. Все ждали, что к середине нулевых IPv4 уйдёт на покой. Не ушёл. Почему? Потому что инженеры накачали IPv4 стероидами. CIDR, VLSM и главный костыль — NAT. Десятки устройств за одним публичным IP, приватные подсети 10.0.0.0/8 и 192.168.0.0/16 для всех твоих умных чайников. Эти «эликсиры молодости» сработали настолько хорошо, что переход на IPv6 потерял смысл. В 2011 году IANA раздала последние крупные блоки IPv4. К 2020-му региональные пулы тоже опустели. Интернет не рухнул — провайдеры просто врубили CGNAT и сжали адреса ещё сильнее. IPv6 официально «запускали» несколько раз. World IPv6 Day в 2011, World IPv6 Launch в 2012 — торжественные речи, громкие заявления. Прошёл 2012-й, 2013-й, наступил 2026-й — а воз и ныне там. Главная проблема — IPv6 несовместим с IPv4. Это не апгрейд, это отдельная сеть. Хочешь IPv6 — всё равно тащи рядом IPv4, удваивай инфраструктуру. Для бизнеса это боль без очевидной выгоды. Google и Amazon давно на IPv6 — им масштаб позволяет. Мобильные операторы в Азии и Европе подтягиваются. Но массовое отключение IPv4 — точно не в этом десятилетии. Живём на двух протоколах, лавируем между костылями прошлого и будущим, которое никак не наступит. Карманный хакер

🖥 1330+ команд Linux в одном справочнике. Если ты ещё не сохранил — пора. Этот монстр на Хабре живёт с 2022 года и постоянно обновляется. Месяц назад автор докинул ещё 70 команд с описаниями. Сейчас там покрыто практически всё — от базовых вещей до того, о чём ты даже не слышал. Не гугли каждый раз по одной команде — держи под рукой полный арсенал. ➡️ https://habr.com/ru/post/683638 Карманный хакер

😎 Windows 3.1 — 34 года. И эта штука до сих пор спасает бизнесы. 18 марта 1992 года вышла Windows 3.1 (кодовое имя Janus). И нет, это не ОС — это графическая оболочка поверх MS-DOS. Но именно она заложила фундамент того, чем ты пользуешься сейчас. Что появилось впервые: реестр Windows, поддержка TrueType-шрифтов (https://ru.wikipedia.org/wiki/TrueType), TCP/IP, новый файловый менеджер. А ещё — Солитёр и Сапёр, которые Microsoft придумала не для прокрастинации, а чтобы приучить людей к мышке. Перетаскивание карт — это буквально тренажёр drag-and-drop. Начиналась эра мультимедиа: разрешение выросло аж до 640x480, в комплекте появились Media Player, Sound Recorder и легендарные обои CHESS.BMP. Компьютер перестал быть просто печатной машинкой. А теперь главный панч. Помните глобальный CrowdStrike-сбой, когда Windows по всему миру ложилась штабелями? Четвёртая по величине авиакомпания США — Southwest Airlines — не пострадала вообще. Потому что их системы крутились на Windows 3.1. Тридцатилетняя "оболочка для DOS" оказалась надёжнее всего современного стека. Иногда лучшая защита — это просто не обновляться. Карманный хакер

👨‍💻 cURL — 28 лет. Инструмент, без которого не живёт ни один хакер, пентестер и девопс. Если ты хоть раз дёргал API, тестил эндпоинт или просто скачивал файл из консоли — ты юзал curl. HTTP, HTTPS, FTP, IMAP, SMTP — этот швейцарский нож жрёт всё. Создатель — Даниэль Стенберг, швед-самоучка без формального образования. Человек одной программы — и какой программы. В середине 80-х друг купил Commodore 64, пацаны вбивали код из журналов руками. В 1985 — свой комп, ассемблер, демосцена, программирование как одержимость. В 1991 вместо колледжа идёт в IBM крутить мейнфреймы. Там открывает для себя Unix и свободный код — копирует софт с магнитных лент, компилирует, ковыряет, меняет. Концепция опенсорса ещё без названия, но уже в крови. В 1996 находит утилиту HttpGet — 100 строк кода от бразильца Рафаэля Сагула — и прикручивает к IRC-боту для парсинга курсов валют. Потом берёт развитие на себя: HTTP-прокси, Gopher, FTP. В 1997 переименовывает в urlget, а 20 марта 1998 выходит первая версия под именем curl — client URL, 2200 строк. Сегодня Стенберг по-прежнему держит 56% всех коммитов. Сайт curl.se обслуживает 17 ТБ трафика в месяц и 470 млн запросов. Docker-образ запрашивали больше 4 миллиардов раз. Сам Даниэль говорит, что "выиграл в лотерею". Но 28 лет пилить один проект без перерыва — это не лотерея. Это другой уровень упоротости и преданности делу. Карманный хакер

📥 Первая open source ОС — не Linux. Это BSD. И она проиграла. Все привыкли: open source = Linux. Но BSD Net 2 вышла в июне 1991 — за несколько месяцев до первого ядра Торвальдса, которому потом ещё два года до юзабельности. У GNU Столлмана вообще не было рабочего ядра. BSD была единственным свободным Unix-клоном, который реально работал. Так почему BSD на задворках, а Linux — король? Три причины: Суды. USL (владельцы AT&T Unix) засудили BSDI за нарушение авторских прав. Разбирались до 1994 года. Пока BSD тонула в юристах — Linux спокойно набирал комьюнити. Лицензия. BSD-лицензия разрешает всё: бери код, закрывай, продавай, не отдавай ничего назад. Отлично для бизнеса, убийственно для open source экосистемы. GPL Линуса заставляет делиться — и это создало снежный ком контрибьюторов. Масштаб команды. BSD пилили в основном ребята из Беркли. Linux строил весь мир. BSD не умерла — FreeBSD, OpenBSD, NetBSD живы с преданным, пусть и небольшим комьюнити. А самый жирный plot twist: Apple взяла BSD-код и засунула в macOS и iOS. Миллиарды пользователей айфонов сидят на open source из Беркли — и понятия не имеют об этом. Карманный хакер

🤬 КНДР ломится в твой DevTeam под видом “идеального удаленщика”. Представь: взял в команду супертопа на удалёнке, он прошёл собеседование по вебке без сучка и задоринки. Через месяц — бац, весь исходник сливает на сторону и начинает шантажировать. Не фантастика, а сценарий ФБР по методам северокорейских госхакеров. Цель — не просто зарплату получить, а захватить доступ к GitHub, внутренним репозиториям и секретам компании. Для маскировки хакеры используют фермы в США и Европе, чтобы IP не палился. Впариваются как “свои”, местные профи. Когда HR начинает шмонать — в ход идёт топовый ИИ, который генерит лицо и голос в реальном времени прямо на интервью. Классическая проверка бэкграунда уже бессильна — дипфейки настолько правдоподобны, что их не отличить без навороченного анализа. Выдают иногда тупые косяки — одинаковые телефоны в разных резюме, стандартные ошибки в текстах. Но эксперты Mandiant отмечают — с каждым годом шпионы становятся опытнее. Мораль: смотреть в камеру — уже не значит верить. Дипфейки — не только мемы, это оружие спецопераций уровнем выше. Хочешь не попасть на крючок — учись читать цифровые следы, распознавать фейки и понимать, как тупо не стать жертвой, когда за вебкой может сидеть хакер из Пхеньяна с лицом твоего соседа. В эпоху ИИ это — базовые навыки выживания. Карманный хакер