Карманный хакер

🖥 Hermit — контейнер, где ничего не случайно. Тулза от Facebook. Запускаешь программу внутри — и получаешь полностью детерминированное окружение. Каждый запуск идентичен предыдущему. Даже /dev/urandom отдаёт одни и те же данные при воспроизведении. Зачем это нужно: — Дебаг. Плавающий баг? Теперь он воспроизводится 10 из 10 раз. — Анализ малвари. Запускаешь подозрительный бинарь в Hermit — его поведение полностью под твоим контролем. Никаких сюрпризов. Когда рандом перестаёт быть рандомом — баги и малварь больше не могут прятаться. ➡️ GitHub — Hermit Карманный хакер

💸 Карты, деньги, два бага. Банкомат — это компьютер. Часто старый, часто на древней винде, часто с дырами, о которых никто не говорит вслух. А зря. На Хабре вышли две статьи, где разобраны реальные уязвимости и атаки на банкоматы. Без физического вмешательства. Некоторые методы занимают меньше 10 минут — обнаружить взлом за это время нереально. Тему редко обсуждают в паблике. Тем ценнее материал: ➡️ Из чего состоят современные банкоматы и как их атакуют хакеры [Часть 1] ➡️ Погружаемся в программный взлом банкоматов [Часть 2] ‼️ Материал строго ознакомительный — для специалистов по безопасности. Карманный хакер

😊 Norton Commander написал не Нортон. Сюрприз. Все, кто застал эпоху до Windows, помнят синие панели Norton Commander. Многие думают, что его создал Питер Нортон. Нет. Его написал Джон Соча — аспирант-физик из Корнелла. Но обо всём по порядку. Нортон. 1981 год. IBM PC только вышел. Питер пишет код под MS-DOS на заказ. Случайно сносит собственную программу. Вместо того чтобы писать заново — пишет утилиту для восстановления. Так появился Norton Unerase, а за ним — Norton Utilities. Корзины в DOS не было, файлы удаляли все — спрос бешеный. В 1982-м он основал Peter Norton Computing. Стартовый капитал — 30 тысяч баксов и один IBM PC. Сотрудник один — он сам. Фактически, человек изобрёл целый класс ПО — восстановление данных на FAT. Соча. 1984 год. Пока Нортон пишет книгу для Microsoft Press, Джон Соча пилит файловый менеджер — Visual DOS (VDOS). Си + Ассемблер, две панели, горячие клавиши — всё, чего не хватало DOS. Они знакомятся в Microsoft Press. Нортон мгновенно оценивает потенциал. Соча становится директором по разработке, а VDOS выходит как Norton Commander 1.0. Итог. Тулза захватила мир. В СССР многие вообще думали, что это и есть DOS. К 1986-му компания приносила $5 млн — с командой меньше сотни человек. Сейчас Нортон на пенсии в Санта-Монике. Соча ушёл из компании, запустил несколько стартапов и в деле до сих пор. А бренд «Norton» живёт и продаётся по сей день. Классика: один написал код, другой поставил на него своё имя. Бизнес. Карманный хакер

👨‍💻 Баг, который вызывали ногой. Буквально. 1980-е. Компания Storage Technology — ленточные накопители, серьёзное железо. У клиента многочасовые сессии обработки данных стабильно крашатся. Техники меняют компоненты, гоняют тесты — всё работает. Ставят в прод — снова сбой. Классика. Вызывают Эксперта. Он не лезет в железо. Он сидит и наблюдает. Часами. И замечает: сбой происходит ровно тогда, когда сотрудник наступает на конкретную алюминиевую плитку фальшпола. Плитка была слегка деформирована. При нажатии тёрлась о соседние — и генерировала радиочастотные помехи. Этого хватало, чтобы уронить чувствительную оперативку. Заменили плитку — баг исчез навсегда. Лучшая история отладки, которую я слышал. Никакой софт, никакой код — просто кривая плитка на полу. ➡️ Оригинал истории Карманный хакер

💻 Всё для старта в ИБ — в одной Notion-заметке. Курсы, CTF, карьерные треки, документация, ресурсы — собрано в одном месте. Без воды, без рекламы, только полезные ссылки. Полезно и новичкам, и тем, кто уже в деле — всегда найдётся то, что пропустил. В закладки обязательно. ➡️ Notion-заметка Карманный хакер

⚙ Пароль в аргументах CLI — подарок для атакующего. Классика: сетевики передают пароль в аргументах SSH. В открытом виде. Быстро, удобно, работает. И дыра размером с ворота. Почему это проблема: 🟢 Аргументы команд видны через ps, /proc/[PID]/cmdline, Task Manager 🟢 Они утекают в логи CI/CD 🟢 Мониторинг и аудит их подхватывают 🟢 sshpass, plink, WinSCP CLI, rsync, mysql, curl, mRemoteNG — все позволяют передать пароль аргументом. Соблазн «костыля» огромный. Итог: пароль можно перехватить, даже не прикасаясь к SSH. Просто прочитать из процессов или логов. Не нужен MITM, не нужен эксплойт — достаточно доступа к машине. ➡️ Читать статью Карманный хакер

⚙️ 70 задач на работу в терминале. Прямо в TUI, без отмазок. Тренажёр для тех, кто хочет уверенно чувствовать себя в CLI. Около 70 заданий — от базы до вещей, которые реально пригодятся в работе. Никаких видосов и теории — только практика в терминале. ➡️ CLI Exercises У автора есть ещё TUI-тренажёры для awk, grep, sed и регулярок. Если с этим у тебя слабо — самое время закрыть пробелы. Карманный хакер

🛡 Win+L на аппаратном уровне. В 80-х компьютеры запирали на ключ. Буквально. Начало 80-х. IBM PC расползаются по офисам. Никаких паролей, никаких учёток, никакого шифрования. Кто сел за машину — тот и владеет данными. Физический доступ = полный контроль. Проблема была реальной. Инженер оставляет на ночь расчёт сложной модели. Программист ставит компиляцию на часы. Утром — всё прервано, потому что любопытный коллега «просто нажал кнопочку». Решение — замок на системном блоке. Настоящий, металлический, с ключом. Поворот ключа физически разрывал цепь клавиатурного контроллера. Любой ввод игнорировался на уровне железа. Никакой софт это не обойдёт — цепь разорвана. В некоторых моделях замок блокировал и загрузку. Пытаешься включить запертый ПК — получаешь «302-System Unit Keylock is Locked». А в IBM PC AT ключом запирался ещё и корпус — чтобы не лезли внутрь. Первая аппаратная защита от несанкционированного доступа. Грубая, простая, эффективная. Никаких CVE, никаких эксплойтов — просто замок и ключ. Карманный хакер

💻 Почему BSOD синий? Потому что одному чуваку так было удобно. Джон Верт — создатель «синего экрана смерти» — выбрал белый текст на синем фоне не из-за психологии цвета и не по гайдлайнам. Его машина на MIPS RISC работала в этой палитре. Его любимый редактор SlickEdit — тоже белый на синем. Загрузка, код, крэш ОС — всё в одной цветовой гамме. Удобно же. Но BSOD не всегда был синим. В первой Windows при фатальном сбое на экран вываливался хаотичный мусор из ОЗУ — никаких сообщений, просто каша из символов и намертво зависшая система. В Windows 3.0 появились ошибки на синем фоне, но это были скорее предупреждения — можно было продолжить работу. А вот настоящий фатальный сбой показывал чёрный экран смерти: «Не удается продолжить работу Windows из-за…». Black Screen of Death — да, он был первым. Термин «Black Screen of Death» всплыл в журнале Computerworld в 1993 году. «Blue Screen of Death» — только в 1995-м. К концу 90-х BSOD стал мемом, легендой и ночным кошмаром каждого пользователя Windows. Один человек выбрал цвет «потому что привык» — и создал самый узнаваемый экран ошибки в истории компьютеров. Карманный хакер

🤩 Ibex — MITM в IPv6 сетях на автомате. Автор книги «Сети глазами хакера» выкатил тулзу для атак на IPv6. Если ты думал, что IPv6 безопаснее — подумай ещё раз. Что умеет: 🟢 RA Spoofing и RDNSS-инъекции 🟢 Полная автоматизация NAT64 и DNS64 🟢 Анализ NDP-трафика для разведки сети 🟢 Обход RA Guard через Hop-by-Hop фрагментацию 🟢 Автотюнинг сетевых параметров и маршрутизации 🟢 Интерактивная CLI с автокомплитом 🟢 Killswitch для аварийной остановки и восстановления сети Не читал статью про актуальные методы атак на IPv6 и защиту от них? Исправляй: eng | ru ➡️ https://github.com/casterbyte/Ibex Карманный хакер

💻 Баг, который чинится вызовом электрика. Программист Алекс Йорк пишет распаковщик GZIP-файлов. Всё работает — и вдруг начинают сыпаться ошибки повреждения архива. Каждые несколько минут. Перезагрузка не помогает. Начинает копать. Race condition? Нет, компрессор однопоточный. Ошибка кодирования? Исключено. Повреждение данных? Тоже мимо. Баги появляются и исчезают без логики — как призрак в коде. Потом замечает паттерн: сбои начались с приходом жары. Грешит на кондиционер — может, влажность, может, сухость воздуха влияет на железо. Звучит безумно, но когда ты неделю дебажишь фантомный баг — поверишь во что угодно. Финальная улика: приложения грузятся вечность, но только когда ноутбук подключён к сети. Не к интернету — к электросети. Алекс проверяет розетку — нет заземления. Вызывает электрика, ставят нормальную розетку. Баг исчезает. Программа работает идеально. Мораль: иногда твой самый упоротый баг — это не код, не железо и не ОС. Это розетка без заземления. Проверяй инфраструктуру до уровня электричества. ➡️ https://alexyorke.github.io/2022/11/11/gzip-exceptions-but-only-on-hot-or-rainy-days/ Карманный хакер

💻 «Пуск» — маленькая кнопка, которая изменила всё. До Windows 95 большинство людей общались с компьютером через командную строку MS-DOS. Чёрный экран, мигающий курсор, набор команд руками. Windows 3.11 давала графическую оболочку, но под капотом всё равно сидел DOS — сначала грузи его, потом запускай Windows. Windows 95 всё перевернула. Первая ОС от Microsoft с полностью графическим интерфейсом. DOS и Windows слились в одно целое. А главным символом стала та самая кнопка «Пуск» — простая точка входа ко всем программам и задачам. Панель задач внизу экрана — тоже детище Win95. Быстрое переключение между окнами, наглядный контроль над процессами. Ни Windows 3.x, ни Macintosh того времени ничего подобного не предлагали. Apple подтянулась только в 2000 году с OS X Beta — на пять лет позже. Насколько «Пуск» въелся в привычку — показала Windows 8, где Microsoft решила его убрать. Пользователи устроили бунт, и в Windows 10 кнопку вернули. Иногда лучшее UX-решение — просто не трогать то, что работает. Карманный хакер

📶 Почему <img>, а не <image>? Потому что один студент всех продавил. 1993 год. В HTML всего 18 тегов. Картинки на веб-страницах можно смотреть только по ссылке — клик, новое окно, загрузка. Студент Марк Андриссен и сотрудник NCSA Эрик Бина пилят браузер Mosaic и хотят показывать картинки прямо в тексте. Без лишних кликов. В феврале 1993 Андриссен кидает в рассылку www-talk сообщение:

«I'd like to propose a new, optional HTML tag: IMG. Required argument is SRC="url".»

Сообщество в штыки. Мол, если для каждого медиа делать свой тег — будет хаос. Сам Тим Бернерс-Ли, создатель WWW, был против — предлагал обойтись тегом <a> и дать пользователям самим настраивать отображение. Но вот в чём панч: письмо Андриссена было не предложением, а уведомлением. Они с Биной уже всё решили. IMG летит в релиз, и никакие дискуссии это не изменят. Mosaic вышел — и взорвал веб. Картинки прямо в тексте, без костылей. Пользователи и дизайнеры приняли это мгновенно. Стандарты подтянулись позже — IMG включили в спецификацию HTML 2.0. Так родилась традиция, которая живёт до сих пор: сначала браузеры внедряют, потом стандарты догоняют. А мы пишем IMG и SRC вместо IMAGE и SOURCE — потому что один упёртый студент не стал ждать разрешения. ➡️ https://thehistoryoftheweb.com/the-origin-of-the-img-tag Карманный хакер

Mercedes — это не только машины. Это ещё и пишущие машинки. В 1906 году Густав Мец основал в Берлине компанию Mercedes Büromaschinen GmbH и начал клепать печатные машинки. Первая Mercedes Typewriter вышла в 1907 — точная, надёжная, моментально стала хитом среди деловых людей и писателей. Автогигант Daimler-Motoren-Gesellschaft тут же подал в суд — мол, имя наше. Бодались до 1913 года и договорились: Мец не лезет в автомобили, Daimler не лезет в офисную технику. Классический trademark beef начала XX века. Машинки были реально топовые: безупречная сборка, автоматическая подача бумаги, смена шрифта, регулировка интервала. А само имя Mercedes уже тогда продавало — бренд ассоциировался с качеством, даже если речь про клавиши, а не про двигатели. В 1930-х — прорыв: Mercedes Elektrik, первая электрическая пишущая машинка с мотором. Корпорации, госучреждения, армия — все на ней печатали. Популярность держалась до середины XX века. Последняя машинка под брендом Mercedes сошла с конвейера в 1961 году. Сейчас это коллекционная редкость — напоминание о временах, когда офисная техника была произведением инженерного искусства. ➡️На eBay можно урвать в хорошем состоянии за 350 баксов: https://www.ebay.com/itm/186490909478 Карманный хакер

logmerger — когда нужно свести логи воедино и не сойти с ума. Несколько лог-файлов, разные источники, нужно сопоставить по времени и понять что происходило. Руками — боль. logmerger делает это за тебя: сортирует, мёржит, сравнивает. Open source, никакой магии. ➡️ logmerger ➡️ Альтернатива — lnav. Фильтрация, подсветка синтаксиса, удобный интерфейс. Если работаешь с логами регулярно — держи оба в арсенале. Карманный хакер

🤩 Supply chain атака через Trivy — DevOps-конвейеры превратились в бэкдор. 19 марта хакеры из TeamPCP провернули жёсткую атаку на цепочку поставок. Цель — Trivy, популярнейший open source сканер уязвимостей, который крутится в тысячах CI/CD пайплайнов. Вредонос внедрили прямо в официальные GitHub Actions и Docker-образы. Каждый автоматический скан запускал малварь, которая тащила SSH-ключи, облачные токены, крипто-кошельки. CVE-2026-33634, CVSS 9.4 — почти потолок. В тот же день команда Trivy зафиксировала компрометацию и вычистила артефакты. Но было поздно — злоумышленники уже сидели в средах пользователей. Дальше — каскад. 23 марта та же группа ломает Checkmarx KICS и Checkmarx AST, плюс расширения Open VSX: cx-dev-assist 1.7.0 и ast-results. Три часа до обнаружения — три часа раздачи малвари. 24 марта — удар по LiteLLM, универсальному шлюзу для вызова ИИ-систем, который используется в куче ИИ-агентов. В PyPI залили отравленные версии 1.82.7 и 1.82.8. Версия 1.82.8 — вообще красота: вредонос через .pth-файл запускался при каждом старте Python-интерпретатора. Чистая версия — 1.82.6, всё что выше — отрава. Масштаб сбора данных пугает: локальная система, облачные runtime-секреты, Kubernetes-кластер, криптоключи. Один скомпрометированный пакет — и атакующий прыгает от Python-среды к захвату целых инфраструктур. Карманный хакер

🛡 Networking Toolbox — весь сетевой арсенал в одном месте. Сотни инструментов под рукой: DNS, TLS, DHCP, HTTP, почтовые серверы — проверяй что хочешь. Конвертеры CIDR, масок, IPv4/IPv6, MAC-адресов. Калькуляторы подсетей, генераторы конфигов, утилиты для тестирования производительности, шифрования и маршрутизации. Плюс справочники по IPv6 и сетевым протоколам. Если ты работаешь с сетями и у тебя этого нет в закладках — ты делаешь что-то не так. ➡️ Networking Toolbox ➡️ GitHub Карманный хакер

👾 Tequila — первый полиморфный вирус, устроивший реальную эпидемию. 1991 год, Швейцария. Кто автор — до сих пор загадка. По одной версии, учёный написал код как эксперимент, а его украли и выпустили в дикую природу. По другой — два 18-летних брата решили повеселиться. Правды не знает никто. Вирус был полиморфный, резидентный и набитый защитой под завязку. McAfee VirusScan он буквально унижал — удалял контрольные суммы файлов, и антивирус зацикливался, проверяя одни и те же файлы бесконечно. Красиво, нечего сказать. Как работал: заражал загрузочный сектор, поражал .exe и .com, раздувая их на 2468 байт. По загадочной причине не трогал файлы с «v» и «sc» в имени — возможно, щадил антивирусы, чтобы дольше оставаться незамеченным. Когда четверть программ на машине была заражена — на экране появлялся фрактал Мандельброта и надпись: «ПИВО и ТЕКИЛА навсегда! С любовью к вам, L.I.N.D.A.» Почтовый ящик в Швейцарии прилагался. По сути — вирус-шутка. Но шутка злая: CHKDSK ловил фейковые ошибки, и попытка «починить» через CHKDSK /F убивала данные. Плюс случайные повреждения .exe и .com при перезаписи. Германия словила эпидемию — школы, крупный банк во Франкфурте. В 1993-м Tequila добралась до Южной Африки. Первый полиморфник, который показал миру: антивирусы можно не просто обходить — над ними можно издеваться. ➡️ https://sciencestory.ru/dos-virus-tequila/ Карманный хакер

🤯 IPv6 — 30 лет обещаний. А IPv4 всё ещё живее всех живых. В 90-х стало ясно: 4,3 млрд адресов IPv4 — это потолок. IETF запилил IPv6 с адресами на 128 бит — это 340 ундециллионов адресов, хватит на каждый атом на Земле. Спецификация вышла ещё в 1995 году — RFC 1883, обновлена в 1998 — RFC 2460. Все ждали, что к середине нулевых IPv4 уйдёт на покой. Не ушёл. Почему? Потому что инженеры накачали IPv4 стероидами. CIDR, VLSM и главный костыль — NAT. Десятки устройств за одним публичным IP, приватные подсети 10.0.0.0/8 и 192.168.0.0/16 для всех твоих умных чайников. Эти «эликсиры молодости» сработали настолько хорошо, что переход на IPv6 потерял смысл. В 2011 году IANA раздала последние крупные блоки IPv4. К 2020-му региональные пулы тоже опустели. Интернет не рухнул — провайдеры просто врубили CGNAT и сжали адреса ещё сильнее. IPv6 официально «запускали» несколько раз. World IPv6 Day в 2011, World IPv6 Launch в 2012 — торжественные речи, громкие заявления. Прошёл 2012-й, 2013-й, наступил 2026-й — а воз и ныне там. Главная проблема — IPv6 несовместим с IPv4. Это не апгрейд, это отдельная сеть. Хочешь IPv6 — всё равно тащи рядом IPv4, удваивай инфраструктуру. Для бизнеса это боль без очевидной выгоды. Google и Amazon давно на IPv6 — им масштаб позволяет. Мобильные операторы в Азии и Европе подтягиваются. Но массовое отключение IPv4 — точно не в этом десятилетии. Живём на двух протоколах, лавируем между костылями прошлого и будущим, которое никак не наступит. Карманный хакер

🖥 1330+ команд Linux в одном справочнике. Если ты ещё не сохранил — пора. Этот монстр на Хабре живёт с 2022 года и постоянно обновляется. Месяц назад автор докинул ещё 70 команд с описаниями. Сейчас там покрыто практически всё — от базовых вещей до того, о чём ты даже не слышал. Не гугли каждый раз по одной команде — держи под рукой полный арсенал. ➡️ https://habr.com/ru/post/683638 Карманный хакер