Карманный хакер

🔐 Как атакуют контейнерные среды и как от этого защититься. Исследователи Kaspersky разобрали основные векторы атак на контейнерные среды: секреты в контейнерах, мисконфигурации привилегий, компрометация API, атаки на цепочку поставок. Важный момент, который стоит держать в голове: контейнеры чаще всего используются атакующими не как конечная цель, а как промежуточная точка закрепления. Дальше они либо пытаются выйти на уровень хостовой ОС, либо получить доступ к управлению всей инфраструктурой через API оркестрации. Противостоять этому можно только многоуровневой защитой: защита хоста, строгий контроль прав в оркестраторе, минимизация привилегий контейнеров и проверка компонентов на всех этапах цепочки поставок. Каждый вектор атаки с конкретными примерами и настройками подробно разобран в исследовании: 🟢 Принципы контейнеризации 🟢 Актуальные векторы атак 🟢 Использование уязвимостей хостовой системы 🟢 Вредоносные действия внутри контейнера 🟢 Побег из контейнера: 🟢 Атака на цепочку поставок #Docker #Pentest #Эксплойт #Инциденты #DevOps Карманный хакер

⚙️ Netwatch — мощный TUI-инструмент для диагностики сети прямо в терминале. Наткнулся на действительно крутой проект под названием Netwatch. Это TUI-инструмент для диагностики сетевой активности на сервере, и функционал у него внушительный: 🟢 Выводит детальную информацию о сетевых интерфейсах в системе; 🟢 Рисует информативные дашборды со сводной статистикой и данными о соединениях; 🟢 Умеет захватывать пакеты с разбором протоколов DNS, TLS, HTTP, ICMP, ARP, DHCP, NTP, mDNS и других; 🟢 Показывает по каждому соединению pid и имя процесса, протокол, статус, IP-адрес, геолокацию и т.д.; 🟢 Поддерживает фильтры и экспорт всего перехваченного в pcap; 🟢 Строит ASCII-карту сети; 🟢 Позволяет подключить локальную или удалённую модель Ollama (по умолчанию отключено, но при желании можно поэкспериментировать). ➡️ Более подробное описание и всю необходимую информацию ищите на GitHub или на сайте разработчика. #Инструменты #Сети #Linux #Pentest Карманный хакер

🕊 Free Software Foundation: 40 лет борьбы за свободное ПО. В 1985 году, спустя всего год после старта проекта GNU, Ричард Столлман основал Free Software Foundation. Цель — защитить разработчиков от компаний с сомнительной репутацией. В частности, от тех, кто уличался в присвоении чужого кода и пытался продавать первые инструменты проекта GNU, написанные Столлманом и его коллегами. Вся философия фонда стоит на четырёх свободах: 🟢 Свобода 0 — запускать программу в любых целях; 🟢 Свобода 1 — изучать, как программа работает, и адаптировать её под себя (нужен доступ к исходному коду); 🟢 Свобода 2 — распространять копии, чтобы помогать другим; 🟢 Свобода 3 — улучшать программу и публиковать свои изменения на благо всего сообщества (тоже невозможно без исходников). Программа считается свободной только тогда, когда у пользователя есть все четыре пункта. Звучит прозрачно и позитивно, но за этим стоит целый слой юридических и государственных нюансов. Важный момент: «свободная» — не равно «некоммерческая». Свободное ПО может спокойно использоваться и распространяться в коммерческих целях, и без этого правила вся идея просто не работала бы. Тут же кроется и классическая путаница в английском. Слово free означает не только «свободный», но и «бесплатный». Из-за этого его часто лепят на ПО, которое раздаётся даром, но при этом закрыто для изменений. Такое ПО, естественно, свободным не является. Именно чтобы устранить эту двусмысленность, со временем и появился термин open source. Через три года после создания фонда Столлман представил первую версию лицензии GPL, которая зафиксировала юридические рамки распространения свободного ПО и стала фундаментом для всей экосистемы. Дальше — смена эпох. В сентябре 2019 года Ричард Столлман покинул пост президента Free Software Foundation. В 2020 году его место занял Джеффри Кнаут, а в сентябре 2025 года на пост президента пришёл Ян Келлинг. На юбилейном мероприятии в честь 40-летия фонда анонсировали новый проект — LibrePhone. Цель — обеспечить полную свободу вычислений на мобильных устройствах. Подробности пока скупые, но идея в том, чтобы донести до пользователей смартфонов те же базовые свободы: право запускать, копировать, распространять, изучать, изменять и улучшать ПО, которым они пользуются каждый день. ➡️ https://www.fsf.org/events/fsf40 #GitHub Карманный хакер

🔎 Первый в мире поисковый движок появился раньше, чем сам веб. В заре интернет-эпохи мир выглядел иначе. Никаких сайтов в привычном понимании, никакого Google, только тысячи анонимных FTP-серверов, на которых лежали миллионы файлов. Найти нужную программу в этом хаосе было настоящим квестом: структура хранилищ у каждого своя, никакой общей навигации, искать приходилось руками, заходя на каждый сервер по очереди. Именно из этой бытовой боли и родилась одна из самых влиятельных технологий современности — интернет-поиск. Создателем первого поискового движка считается Алан Эмтейдж. В 1989 году он работал администратором факультета информационных технологий в университете Макгилла в Монреале, и в его обязанности входил поиск программ для студентов и преподавателей. Бегать по FTP вручную ему быстро надоело, и Алан сделал то, что на его месте сделал бы любой нормальный инженер: написал код, который делает скучную работу за него. Скрипт автоматически заходил на FTP-серверы, копировал листинги файлов в локальные файлы, а затем искал по ним нужную информацию через стандартную grep-команду Unix. Так появилась первая в мире поисковая система — Archie, название которой сократили от слова Archive. Archie умел за несколько минут пройтись по 2,1 миллиона файлов на более чем тысяче серверов по всему миру. Пользователь вводил запрос, система возвращала список совпадений с указанием, где именно лежит файл. По меркам 1990 года — настоящая магия. Решение оказалось настолько удачным, что в 1990 году Эмтейдж вместе с партнёром Питером Дойчем основал компанию Bunyip, чтобы выпустить коммерческую версию Archie. По сути, это был первый интернет-стартап в истории: Bunyip продавала именно интернет-сервис, а не софт в коробке. Дальше пошла нормальная инженерная эволюция. Листинги привели к более эффективной структуре: данные разбили на несколько баз. В одной хранились текстовые названия файлов, во второй — записи со ссылками на иерархические директории хостов, третья связывала первые две между собой. Поиск шёл поэлементно по именам файлов. Со временем архитектуру переписали ещё раз. На смену пришла база данных на основе сжатых деревьев: вместо списка имён формировалась текстовая БД, и работало это заметно быстрее. Параллельно прикрутили второстепенные улучшения, которые позволили Archie индексировать уже не только FTP, но и веб-страницы. А потом всё закончилось. Эмтейдж и его партнёры разошлись во взглядах на дальнейшие инвестиции, и в 1996 году он ушёл из компании. Клиент Bunyip протянул ещё год, после чего был поглощён нью-йоркской веб-дизайн-студией Mediapolis. Патенты на ключевые технологии так никто и не оформил. Революцию в поиске пришлось отложить и переложить на чужие плечи. Archie породил всё то, что мы знаем сегодня под словом «поисковик», включая Google, так что его вполне можно считать прапрадедушкой жанра. Сам Алан Эмтейдж на вопросы об упущенных миллиардах отвечает спокойно:

«Разумеется, я бы хотел разбогатеть. Однако даже с оформленными патентами я мог бы и не стать миллиардером. Слишком легко допустить неточности в описании. Иногда выигрывает не тот, кто был первым, а тот, кто стал лучшим».

Google и его конкуренты не были первыми. Они просто оказались лучше — и на этом построили многомиллиардную индустрию. Карманный хакер

🖥 Docker с нуля до безопасной эксплуатации. Бесплатно, без регистрации, без воды. Если контейнеры для вас всё ещё магия из вакансий, держите два готовых маршрута. Никаких подписок, СМС и «оставьте email, мы вам перезвоним». Просто читайте и сразу пробуйте на своей машине. 1⃣ Docker с нуля: как работают контейнеры и зачем они нужны. Подборка из шести статей, которая закрывает базу за пару часов. На выходе понимаете, что такое контейнер, как собирать образы, как поднимать стеки через Compose и чем Docker отличается от Kubernetes. Всё с практическими примерами, без академического занудства. В программе: 🟢 Docker: что это такое и как работать с контейнерами; 🟢 Установка Docker Desktop на Windows, настройка WSL и Hyper-V; 🟢 Запуск контейнера Docker и команда docker run; 🟢 Docker Compose и основы работы с контейнерами; 🟢 Создание своего Docker-репозитория; 🟢 Kubernetes vs Docker: в чём различия. 2⃣ Основы безопасности в Docker-контейнерах. Прошли базу и уже мысленно катите образы в прод? Не торопитесь. Изоляция контейнеров создаёт обманчивое чувство защищённости, и об этом надо знать до того, как кто-то выйдет из контейнера в ваш хост. Здесь три плотных материала, чуть больше часа на чтение, эффект для инфраструктуры — бесценный. В программе: 🟢 Безопасность в Docker: от правильной настройки хоста до демона; 🟢 Исчерпывающее пособие по безопасной сборке Docker-образов; 🟢 Профилактика в работе с Docker-контейнерами. Карманный хакер

🎂 MySQL закрыла баг, который старше половины своих пользователей. 20 лет и 9 месяцев в проде. Команда MySQL наконец прихлопнула легендарного бага-долгожителя под номером 11472. Тикет завели летом 2005 года, починили 20 марта 2026 года. Двадцать лет и девять месяцев непрерывной жизни в трекере, за это время пользователи успели сделать традицию поздравлять баг с днём рождения каждый год. Суть проблемы выглядела издевательски. При каскадных операциях через внешние ключи MySQL спокойно менял строки в дочерних таблицах, но триггеры на этих изменениях не срабатывали. Удалили запись в родительской таблице, отработал ON DELETE CASCADE или ON DELETE SET NULL, данные в дочерней изменились, а ожидаемый AFTER UPDATE или AFTER DELETE молча проигнорировали событие. Разработчики годами писали костыли, чтобы добиться от базы той логики, которую сами туда заложили. Причина задержки сидела в архитектуре. Каскадные операции внешних ключей выполнялись внутри InnoDB, а триггеры жили на SQL-уровне, и эти два мира друг друга не видели. Возможность починить появилась только в MySQL 9.6, когда обработку внешних ключей перенесли на SQL-уровень. Чинить молча и ломать всем прод команда не рискнула. Новое поведение по умолчанию выключено, включается переменной enable_cascade_triggers. Разработчики честно предупреждают: если ваше приложение годами жило с тем, что триггеры на каскадах не стреляют, включение опции может развернуть результаты операций и сломать бизнес-логику. Костыли, на которых всё держалось, тоже учитываются. Реакция на Reddit вышла душевной:

— Какого хрена? Я полагался на этот функционал. Верните всё обратно! — Если баг фиксили так долго, у многих накопилось бесчисленное количество костылей, и я не удивлюсь, если хотя бы один сломается из-за исправления. — Ребята, моя девушка обещала выйти за меня, как только этот баг закроют. Есть новости? P.S. Ждём с 2017 года. — [18 января 2021, 0:49] Зашёл проверить, пережил ли наш любимый баг ковид. Рад видеть, что всё хорошо. — Эта ошибка старше меня. — Никогда не думал, что доживу до этого дня.

➡️ bugs.mysql.com/bug.php?id=11472 Карманный хакер

🖥 7-Zip выделяет 1 байт под 256 МБ данных. Что может пойти не так? Ярослав Лабочевский из GitHub Security раскопал критическую дыру в 7-Zip версии 26.00, которой присвоили CVE-2026-48095. Архиватор, который стоит примерно у всех, кто хоть раз открывал .7z. Баг сидит в обработчике NTFS-архивов. Из-за ошибки в расчёте размера буфера 7-Zip может выделить под данные ровно 1 байт памяти, а потом радостно начать писать туда 256 МБ контента, который полностью контролирует атакующий. Heap overflow в максимально издевательской форме. Дальше работает арифметика катастрофы: уже на 304-м байте перезаписи в памяти ломается указатель vtable. После этого исполнение программы уезжает туда, куда укажет атакующий, и открывается путь к выполнению произвольного кода. Достаточно открыть подсунутый архив. Дыру закрыли в версии v26.01, так что обновляйтесь, пока вам не прислали «отчёт_квартал.7z» от незнакомого отправителя. ➡️ POC и технический разбор ➡️ Источники: [1], [2], [3] Карманный хакер

🛡 URLScan.io — открываем подозрительные ссылки чужими руками. Кидать сомнительный URL в свой браузер — затея так себе. URLScan.io прогоняет адрес через изолированный Chrome на своей стороне и отдаёт вам полный отчёт, не подставляя ваш реальный IP, куки и нервы. Что вытаскивает сервис из одной проверки: 🟢 скриншот итоговой страницы после всех редиректов; 🟢 список исходящих запросов и доменов, к которым ломится страница; 🟢 TLS-сертификаты и цепочку доверия; 🟢 HTTP-заголовки безопасности (CSP, HSTS, X-Frame-Options и прочее); 🟢 стек технологий и фреймворков; 🟢 куки, которые сайт пытается поставить; 🟢 все подгружаемые скрипты с их источниками. Удобно для разбора фишинга, проверки коротких ссылок, анализа подозрительных рассылок и охоты на malvertising. По истории сканов часто можно сразу зацепить связанные домены и инфраструктуру атакующего. ➡️ URLScan.io Карманный хакер

🤦 Подрядчик CISA слил ведомство через GitHub. Публично. С паролями. Угадайте, где хранил архив со всеми ключами от инфраструктуры подрядчик Агентства по кибербезопасности США? В публичном репозитории GitHub. Назвал его, разумеется, Private-CISA, видимо, рассчитывая, что хакеры читают только название и дальше не лезут. 844 МБ откровенного компромата: код инфраструктуры Terraform, журналы сборки CI/CD, документация по развёртыванию, манифесты Kubernetes, файлы ArgoCD и YAML, AWS-ключи, логины и пароли к десяткам внутренних систем CISA. Любой школьник с интернетом мог собрать по этим файлам подробную карту внутренней инфраструктуры главного киберведомства страны вместе со схемой её эксплуатации. Утечку откопали ребята из GitGuardian и поначалу решили, что их разыгрывают: слишком уж издевательские имена папок попадались, вроде Backup-April-2026, Important-AWS-Tokens и легендарного AWS-Workspace-Firefox-Passwords. Запах honeypot за версту. Проверили содержимое и поняли: всё боевое. Дальше пошёл цирк с реагированием. 14 мая сообщили через CERT/CC, параллельно пытались достучаться до ответственных лично. CISA ожила только 15 мая, к вечеру того же дня репозиторий наконец прикрыли. Итого 26 часов на реакцию у агентства, которое учит остальную страну кибергигиене. ➡️ Источники: [1], [2] Карманный хакер

Сделал подборку хороших книг для изучения Linux (все названия кликабельны для скачивания). "Командная строка Linux" Уильяма Шоттса "Linux. Карманный справочник" Дэниела Баррета "Внутреннее устройство Linux" Брайана Уорда Приятного чтения!

💻 Маленькие хитрости SSH Попалась хорошая статья — хоть и не новая (2023 год), но полезные примеры работы с SSH в ней не устарели. Автор собрал это руководство, чтобы оптимизировать собственную работу — наверняка и вы найдёте что-то для себя. Внутри разобраны: 🟢 Проброс локального порта (-L) 🟢 Проброс удалённого порта (-R) 🟢 Динамический проброс порта (-D) 🟢 Jump-серверы (-J) 🟢 Агентская переадресация (-A) 🟢 Выделение TTY (-t) 🟢 Глобальный порт (-g) 🟢 SSH-консоль (~?) 🟢 Конфигурационный файл SSH 🟢 Ключевые слова для конфигурирования SSH 🟢 ssh-copy-id 🟢 ssh-keygen ➡️ Читать: Eng — источник / RU — перевод В качестве дополнения 🟢 Какие меры безопасности реализованы в SSH для защищённого подключения и работы — интересный и актуальный разбор. 🟢 Практические примеры SSH, которые выведут навыки удалённого администрирования на новый уровень — команды и советы помогут грамотнее перемещаться по сети. 🟢 Наглядный разбор SSH-туннелей. Про них написано уже много, но настолько красиво оформленного материала ещё поискать. 🟢 Полное руководство по SSH в Linux и Windows. 🟢 Наглядные примеры организации SSH-туннелей под разные задачи. 🟢 Маленькие хитрости SSH — подборка полезных приёмов для более эффективного использования. Карманный хакер

🖥 В сети есть настоящий музей операционных систем — и это просто кладезь для гиков. На сайте virtualosmuseum.org собрана коллекция из 570 ОС, которую автор пополняет с 2003 года. Сам музей оформлен как образ виртуальной машины с Linux, подборкой эмуляторов и графическим интерфейсом для навигации по коллекции. Каждую ОС можно не просто посмотреть на скриншотах, а запустить вживую в эмуляторе и потыкать. Всё это добро можно скачать одним архивом (зачем — каждый решает сам). Доступны две версии: полная на 121 ГБ с примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная на 14 ГБ — только Linux-система, инсталлятор, набор эмуляторов и графическое приложение для динамической подгрузки выбранных образов. Поддерживается запуск в QEMU, VirtualBox и UTM. Самый ранний экземпляр коллекции датирован 1948 годом — это компьютер Manchester Baby. По сути, перед вами вся история вычислительной техники, упакованная в одну виртуалку. ➡️ virtualosmuseum.org Карманный хакер

Мы тут начали эксперементировать с форматом карусели в тик ток, но вышло, что последние 3 наших ролика набрали по 0 просмотров. Нам показалось это странным, поэтому поддержите нас лайком и подпиской, чтобы продвинуть ролики https://vm.tiktok.com/ZGdHvfSfT/ Да и хотелось бы услышать обратную связь, так что ждëм комментариев под этим постом и под видосами) Спасибо за внимание!!!! 😍

🖥 Бэкапы без боли, подписок и танцев с бубном. На Хабре вышел крутой лонгрид про простой способ резервного копирования серверов и домашних ПК — связка файловой системы Btrfs и утилиты btrbk. Настройка занимает минут десять, ежедневный бэкап — считанные минуты. Никаких лицензий, подписок и платных коробочных решений: всё бесплатно и уже встроено в ядро Linux. Если давно откладывали тему резервного копирования «на потом» — отличный повод наконец разобраться. ➡️ habr.com/ru/post/1035534 Карманный хакер

☁️ Тяжёлая промышленность официально подружилась с облаками. На ЦИПР-2026 «Норникель» и Yandex B2B Tech подписали соглашение по информационной безопасности. Норникель строит единую систему защиты гибридной IT-инфраструктуры на сервисах Yandex Cloud. Это не «купили пару ИБ-тулзов», а полноценная сквозная архитектура работы с данными. Чувствительное остаётся в закрытом контуре компании, а то, что можно — уходит в облако через выделенное соединение и технологию Private Endpoint. Модель гибридная: внутренние мощности плюс облако, но с прозрачностью и контролем над каждым ИБ-процессом. Не «отдали всё облаку и молимся», а «используем там, где выгодно, контролируем там, где критично». Отдельно в релизе подсвечивают защиту ИИ-систем — и это уже заметный тренд. Промышленные гиганты начинают воспринимать ИИ как самостоятельный контур риска, который надо защищать наравне с АСУ ТП и корпоративной инфраструктурой. Не как «ещё одну прогу», а как отдельную поверхность атаки. История в целом показательная. Ещё пару лет назад фраза «Норникель в облаке» вызвала бы инфаркт у любого безопасника, а сегодня крупный бизнес спокойно ищет баланс между закрытым контуром, требованиями регуляторов и реальной потребностью пользоваться облачными сервисами. Вопрос сместился: уже не «идти ли в облако», а «как идти так, чтобы не потерять контроль над данными». Карманный хакер

🤖 Пентестеры, кажется, вас скоро заменят. И это не шутка. Пока вы спорите в твиттере, отнимет ли ИИ работу у программистов, в кибербезе всё уже произошло. В мире растёт число полностью автономных кибератак — нейросети сами находят дыры, сами их эксплуатируют, сами координируются. Без человека. За минуты. И тут логичный ответ: если атакуют ИИ — защищаться надо тоже ИИ. Кто первый в России это понял? Т-Банк. Презентовали на ЦИПР свою штуку под названием Nulla — группу атакующих ИИ-агентов. Что она делает: 🟢 Проверяет устойчивость одного сервиса за 45 минут. Ручной аудит того же объёма — 2-3 дня. Считайте сами, во сколько раз быстрее. 🟢 Это не тупой сканер по чек-листу. Nulla анализирует защиту, адаптирует стратегию под конкретную систему, комбинирует найденные слабости и воспроизводит атаку. Находит то, что обычные сканеры в упор не видят: нарушения логики доступа, обходы бизнес-процессов, кривые взаимодействия между сервисами. 🟢 Параллельно гоняет десятки сервисов без потери глубины. Уже прокатились по 1300 сервисам экосистемы — Т-Бизнес, Т-Путешествия, Т-Авто и так далее. А теперь самое интересное для тех, кто умеет: 🟢 В июне банк запускает открытые кибериспытания. Задача — найти и реализовать недопустимые события в экосистеме. Не просто XSS на форме обратной связи, а то, что реально кладёт сервисы. 🟢 Максимальная выплата — 12 млн рублей. Двенадцать. Миллионов. За одну находку. Мораль: эпоха «принеси PoC за бутылку колы» официально закончилась. ИИ-агенты теперь ищут баги пачками за 45 минут, а живые исследователи получают за серьёзные находки суммы, на которые можно купить квартиру. Кибербез из ремесла превращается в гонку вооружений. И судя по всему — гонку ИИ против ИИ, где человек постепенно становится арбитром, а не игроком. Карманный хакер

💀 Самое тупое увольнение в истории IT. Серьёзно. В США два брата-близнеца снесли 96 правительственных баз данных за час после того, как их уволили. Через Teams. Знакомьтесь: Муниб и Сохайб Ахтер. Хронология идиотизма: ⏰ 16:50 — HR по Teams: «Ребят, вы уволены». Машут ручкой, выходят. ⏰ 16:55 — Сохайб лезет в сеть. Доступ зарублен. Молодцы. ⏰ 16:56 — а вот учётка Муниба всё ещё активна. Кто-то в IT пошёл за кофе. ⏰ 16:58 — летит DROP DATABASE dhsproddb. Это, на минуточку, боевая база Министерства внутренней безопасности США. Нет базы. ⏰ 16:59 — Муниб спрашивает у ИИ: «как затереть логи SQL-сервера?». Я не шучу. А теперь вишенка. Один из братьев включил запись встречи до разговора. HR ушли — запись продолжалась. Час. Teams детально записал, как они дропают федеральные базы и обсуждают, как замести следы. Режиссёрская версия преступления с таймкодами. Бонусом — Муниб слил файл на 1,2 млн человек: имена, адреса, телефоны, хеши паролей. А теперь главное. Оба брата уже сидели. За взлом Госдепа США. Муниб — 39 месяцев, Сохайб — 24. Рецидивисты с профильным опытом пробива государственных систем. И их взяли в IT-подрядчика, обслуживающего 45+ федеральных ведомств (Opexus). Дали доступ к продакшену DHS. Судимости никто не проверил. Узнали случайно. Запаниковали. Уволили через Teams. Доступы вырубить забыли. Итог: арест в декабре 2025. Сохайбу светит до 21 года, Мунибу — до 45. ➡️ arstechnica.com Карманный хакер

🔐 Никто об этом нормально не говорит, а зря. Ты когда-нибудь хотел залить что-то «личное» в интернет так, чтобы ни хостер, ни провайдер, ни какой-нибудь любопытный админ не смогли это прочитать? Без серверов, без бэкенда, без танцев с бубном вокруг авторизации? Знакомься — StatiCrypt. Маленькая, наглая и до неприличия полезная штука. Что она делает? Берёт твою HTML-страницу и превращает её в зашифрованный кусок мусора, который расшифровывается прямо в браузере — после ввода пароля. Всё. Никакого сервера, никакой логики на бэке, никаких «проверим пароль на нашей стороне, доверьтесь нам, мы хорошие». Зачем это вообще? Обычная парольная защита — это театр. Сервер проверяет пароль, сервер же и хранит контент в открытом виде. То есть кто угодно с доступом к серверу — читает всё. Хостер? Читает. Взломали хостинг? Читают все. А тут — контент физически зашифрован. Хоть на GitHub Pages выкладывай, хоть на бесплатный хостинг времён динозавров — пофиг. Без пароля это просто шум. Под капотом: — AES-256 в режиме CBC (и нет, известные болячки CBC тут закрыли) — Пароль прогоняется через PBKDF2: 599 000 итераций SHA-256 + 1000 SHA-1 для легаси — Расшифровка — чистый JS в браузере. Никаких плагинов, никаких «скачайте наш клиент» Юзкейсы, которые сразу приходят в голову: Личные заметки в облаке, к которым никто кроме тебя не подберётся • Передать чувствительный файл — кидаешь ссылку с уже захешированным паролем, и человек открывает без танцев • Закрытая страница для своих на бесплатном GitHub Pages — есть даже готовый шаблон Минус один, но честный: если пароль у тебя «123456» — никакие 599 тысяч итераций тебя не спасут. Брутфорс по словарю съест это за обедом. Так что не позорься. 🔗 GitHub: https://github.com/robinmoisson/staticrypt 📦 NPM: https://npmjs.com/package/staticrypt P.S. В мире, где каждый второй сервис «бережно хранит ваши данные» (читай: сливает на третьей неделе), уметь шифровать самому — это уже не паранойя. Это гигиена. Карманный хакер

👾 Самая дорогая малварь в истории человечества. 38 миллиардов долларов ущерба. Вдумайся в эту цифру. Это бюджет небольшого государства, который испарился из-за одного куска кода, написанного анонимом. Знакомься — MyDoom, червь, который в 2004 году поставил мир раком и до сих пор не сдаёт позиции. 26 января 2004-го в России зафиксировали первое заражение. Через неделю — полмиллиона машин по всему миру. MyDoom распространялся со скоростью лесного пожара через обычную электронную почту и установил рекорд, который не побит до сих пор. На пике активности этот зверь генерировал от 16 до 25% всего мирового почтового трафика. Каждое четвёртое письмо в интернете — это был MyDoom. Google, Yahoo!, AltaVista, Lycos легли частично, а общий интернет-трафик просел на 10%. В 2011 году McAfee официально признали его самой дорогой малварью в истории. Схема работы — позорно примитивна. Письмо с вложением. Жертва открывает. Червь шерстит файлы на машине, выгребает все email-адреса, которые найдёт, и рассылает себя дальше. Маскировка — детский сад: фейковые уведомления о недоставленном письме, темы вроде "hello", "hi" или просто рандомный набор символов. Казалось бы, кто на такое поведётся в 2024-м? А вот данные за 2015-2018 годы говорят, что 1,1% всех вредоносных писем по миру — это до сих пор MyDoom. В 2019-м он даже немного нарастил обороты. Основные источники рассылки сегодня — США, Китай и Великобритания. Жертвами становятся все подряд — техногиганты, ритейл, медицина, образование, производство. Никаких таргетов, никакой избирательности. Чистый ковровый бомбардировщик, который работает уже двадцать лет в полностью автоматическом режиме. И самое жуткое — он будет работать ровно столько, сколько люди продолжают тыкать на вложения в письмах. То есть вечно. А теперь вишенка. На старте MyDoom первым делом полез ддосить сайт Microsoft. Особо не преуспел — червя ещё было слишком мало. Но в Редмонде так напряглись, что назначили 250 000 баксов награды за голову автора. Прошло больше двадцати лет — деньги до сих пор лежат невостребованными. Никто. Не знает. Кто. Написал. MyDoom. Анонимный гений, который нанёс ущерб на 38 миллиардов и растворился в воздухе. Идеальное преступление, версия 2.0. ➡️ https://yourstory.com/MyDoom Карманный хакер