Карманный хакер
Ir al canal en Telegram
Канал по инфобезу и хакингу без ванили: жёстко, честно и с уличным стилем. 18+. Незаконку не продаём и «взлом за деньги» не делаем — учим думать как атакующий, чтобы защищаться как параноик.
Mostrar másEl país no está especificadoLa categoría no está especificada
1 731
Suscriptores
+324 horas
+1097 días
+37830 días
Archivo de publicaciones
1 731
💻 Баг, который чинится вызовом электрика.
Программист Алекс Йорк пишет распаковщик GZIP-файлов. Всё работает — и вдруг начинают сыпаться ошибки повреждения архива. Каждые несколько минут. Перезагрузка не помогает.
Начинает копать. Race condition? Нет, компрессор однопоточный. Ошибка кодирования? Исключено. Повреждение данных? Тоже мимо. Баги появляются и исчезают без логики — как призрак в коде.
Потом замечает паттерн: сбои начались с приходом жары. Грешит на кондиционер — может, влажность, может, сухость воздуха влияет на железо. Звучит безумно, но когда ты неделю дебажишь фантомный баг — поверишь во что угодно.
Финальная улика: приложения грузятся вечность, но только когда ноутбук подключён к сети. Не к интернету — к электросети. Алекс проверяет розетку — нет заземления. Вызывает электрика, ставят нормальную розетку. Баг исчезает. Программа работает идеально.
Мораль: иногда твой самый упоротый баг — это не код, не железо и не ОС. Это розетка без заземления. Проверяй инфраструктуру до уровня электричества.
➡️ https://alexyorke.github.io/2022/11/11/gzip-exceptions-but-only-on-hot-or-rainy-days/
Карманный хакер
1 731
💻 «Пуск» — маленькая кнопка, которая изменила всё.
До Windows 95 большинство людей общались с компьютером через командную строку MS-DOS. Чёрный экран, мигающий курсор, набор команд руками. Windows 3.11 давала графическую оболочку, но под капотом всё равно сидел DOS — сначала грузи его, потом запускай Windows.
Windows 95 всё перевернула. Первая ОС от Microsoft с полностью графическим интерфейсом. DOS и Windows слились в одно целое. А главным символом стала та самая кнопка «Пуск» — простая точка входа ко всем программам и задачам.
Панель задач внизу экрана — тоже детище Win95. Быстрое переключение между окнами, наглядный контроль над процессами. Ни Windows 3.x, ни Macintosh того времени ничего подобного не предлагали. Apple подтянулась только в 2000 году с OS X Beta — на пять лет позже.
Насколько «Пуск» въелся в привычку — показала Windows 8, где Microsoft решила его убрать. Пользователи устроили бунт, и в Windows 10 кнопку вернули. Иногда лучшее UX-решение — просто не трогать то, что работает.
Карманный хакер
1 731
📶 Почему
<img>, а не <image>? Потому что один студент всех продавил.
1993 год. В HTML всего 18 тегов. Картинки на веб-страницах можно смотреть только по ссылке — клик, новое окно, загрузка. Студент Марк Андриссен и сотрудник NCSA Эрик Бина пилят браузер Mosaic и хотят показывать картинки прямо в тексте. Без лишних кликов.
В феврале 1993 Андриссен кидает в рассылку www-talk сообщение:
«I'd like to propose a new, optional HTML tag: IMG. Required argument is SRC="url".»Сообщество в штыки. Мол, если для каждого медиа делать свой тег — будет хаос. Сам Тим Бернерс-Ли, создатель WWW, был против — предлагал обойтись тегом
<a> и дать пользователям самим настраивать отображение.
Но вот в чём панч: письмо Андриссена было не предложением, а уведомлением. Они с Биной уже всё решили. IMG летит в релиз, и никакие дискуссии это не изменят.
Mosaic вышел — и взорвал веб. Картинки прямо в тексте, без костылей. Пользователи и дизайнеры приняли это мгновенно. Стандарты подтянулись позже — IMG включили в спецификацию HTML 2.0.
Так родилась традиция, которая живёт до сих пор: сначала браузеры внедряют, потом стандарты догоняют. А мы пишем IMG и SRC вместо IMAGE и SOURCE — потому что один упёртый студент не стал ждать разрешения.
➡️ https://thehistoryoftheweb.com/the-origin-of-the-img-tag
Карманный хакер1 731
Mercedes — это не только машины. Это ещё и пишущие машинки.
В 1906 году Густав Мец основал в Берлине компанию Mercedes Büromaschinen GmbH и начал клепать печатные машинки. Первая Mercedes Typewriter вышла в 1907 — точная, надёжная, моментально стала хитом среди деловых людей и писателей.
Автогигант Daimler-Motoren-Gesellschaft тут же подал в суд — мол, имя наше. Бодались до 1913 года и договорились: Мец не лезет в автомобили, Daimler не лезет в офисную технику. Классический trademark beef начала XX века.
Машинки были реально топовые: безупречная сборка, автоматическая подача бумаги, смена шрифта, регулировка интервала. А само имя Mercedes уже тогда продавало — бренд ассоциировался с качеством, даже если речь про клавиши, а не про двигатели.
В 1930-х — прорыв: Mercedes Elektrik, первая электрическая пишущая машинка с мотором. Корпорации, госучреждения, армия — все на ней печатали. Популярность держалась до середины XX века.
Последняя машинка под брендом Mercedes сошла с конвейера в 1961 году. Сейчас это коллекционная редкость — напоминание о временах, когда офисная техника была произведением инженерного искусства.
➡️На eBay можно урвать в хорошем состоянии за 350 баксов: https://www.ebay.com/itm/186490909478
Карманный хакер
1 731
logmerger — когда нужно свести логи воедино и не сойти с ума.
Несколько лог-файлов, разные источники, нужно сопоставить по времени и понять что происходило. Руками — боль. logmerger делает это за тебя: сортирует, мёржит, сравнивает. Open source, никакой магии.
➡️ logmerger
➡️ Альтернатива — lnav. Фильтрация, подсветка синтаксиса, удобный интерфейс. Если работаешь с логами регулярно — держи оба в арсенале.
Карманный хакер
1 731
🤩 Supply chain атака через Trivy — DevOps-конвейеры превратились в бэкдор.
19 марта хакеры из TeamPCP провернули жёсткую атаку на цепочку поставок. Цель — Trivy, популярнейший open source сканер уязвимостей, который крутится в тысячах CI/CD пайплайнов. Вредонос внедрили прямо в официальные GitHub Actions и Docker-образы. Каждый автоматический скан запускал малварь, которая тащила SSH-ключи, облачные токены, крипто-кошельки. CVE-2026-33634, CVSS 9.4 — почти потолок.
В тот же день команда Trivy зафиксировала компрометацию и вычистила артефакты. Но было поздно — злоумышленники уже сидели в средах пользователей.
Дальше — каскад. 23 марта та же группа ломает Checkmarx KICS и Checkmarx AST, плюс расширения Open VSX: cx-dev-assist 1.7.0 и ast-results. Три часа до обнаружения — три часа раздачи малвари.
24 марта — удар по LiteLLM, универсальному шлюзу для вызова ИИ-систем, который используется в куче ИИ-агентов. В PyPI залили отравленные версии 1.82.7 и 1.82.8. Версия 1.82.8 — вообще красота: вредонос через .pth-файл запускался при каждом старте Python-интерпретатора. Чистая версия — 1.82.6, всё что выше — отрава.
Масштаб сбора данных пугает: локальная система, облачные runtime-секреты, Kubernetes-кластер, криптоключи. Один скомпрометированный пакет — и атакующий прыгает от Python-среды к захвату целых инфраструктур.
Карманный хакер
1 731
🛡 Networking Toolbox — весь сетевой арсенал в одном месте.
Сотни инструментов под рукой: DNS, TLS, DHCP, HTTP, почтовые серверы — проверяй что хочешь. Конвертеры CIDR, масок, IPv4/IPv6, MAC-адресов. Калькуляторы подсетей, генераторы конфигов, утилиты для тестирования производительности, шифрования и маршрутизации. Плюс справочники по IPv6 и сетевым протоколам.
Если ты работаешь с сетями и у тебя этого нет в закладках — ты делаешь что-то не так.
➡️ Networking Toolbox
➡️ GitHub
Карманный хакер
1 731
👾 Tequila — первый полиморфный вирус, устроивший реальную эпидемию. 1991 год, Швейцария.
Кто автор — до сих пор загадка. По одной версии, учёный написал код как эксперимент, а его украли и выпустили в дикую природу. По другой — два 18-летних брата решили повеселиться. Правды не знает никто.
Вирус был полиморфный, резидентный и набитый защитой под завязку. McAfee VirusScan он буквально унижал — удалял контрольные суммы файлов, и антивирус зацикливался, проверяя одни и те же файлы бесконечно. Красиво, нечего сказать.
Как работал: заражал загрузочный сектор, поражал .exe и .com, раздувая их на 2468 байт. По загадочной причине не трогал файлы с «
v» и «sc» в имени — возможно, щадил антивирусы, чтобы дольше оставаться незамеченным.
Когда четверть программ на машине была заражена — на экране появлялся фрактал Мандельброта и надпись: «ПИВО и ТЕКИЛА навсегда! С любовью к вам, L.I.N.D.A.» Почтовый ящик в Швейцарии прилагался.
По сути — вирус-шутка. Но шутка злая: CHKDSK ловил фейковые ошибки, и попытка «починить» через CHKDSK /F убивала данные. Плюс случайные повреждения .exe и .com при перезаписи. Германия словила эпидемию — школы, крупный банк во Франкфурте. В 1993-м Tequila добралась до Южной Африки.
Первый полиморфник, который показал миру: антивирусы можно не просто обходить — над ними можно издеваться.
➡️ https://sciencestory.ru/dos-virus-tequila/
Карманный хакер1 731
🤯 IPv6 — 30 лет обещаний. А IPv4 всё ещё живее всех живых.
В 90-х стало ясно: 4,3 млрд адресов IPv4 — это потолок. IETF запилил IPv6 с адресами на 128 бит — это 340 ундециллионов адресов, хватит на каждый атом на Земле. Спецификация вышла ещё в 1995 году — RFC 1883, обновлена в 1998 — RFC 2460. Все ждали, что к середине нулевых IPv4 уйдёт на покой. Не ушёл.
Почему? Потому что инженеры накачали IPv4 стероидами. CIDR, VLSM и главный костыль — NAT. Десятки устройств за одним публичным IP, приватные подсети 10.0.0.0/8 и 192.168.0.0/16 для всех твоих умных чайников. Эти «эликсиры молодости» сработали настолько хорошо, что переход на IPv6 потерял смысл.
В 2011 году IANA раздала последние крупные блоки IPv4. К 2020-му региональные пулы тоже опустели. Интернет не рухнул — провайдеры просто врубили CGNAT и сжали адреса ещё сильнее.
IPv6 официально «запускали» несколько раз. World IPv6 Day в 2011, World IPv6 Launch в 2012 — торжественные речи, громкие заявления. Прошёл 2012-й, 2013-й, наступил 2026-й — а воз и ныне там.
Главная проблема — IPv6 несовместим с IPv4. Это не апгрейд, это отдельная сеть. Хочешь IPv6 — всё равно тащи рядом IPv4, удваивай инфраструктуру. Для бизнеса это боль без очевидной выгоды.
Google и Amazon давно на IPv6 — им масштаб позволяет. Мобильные операторы в Азии и Европе подтягиваются. Но массовое отключение IPv4 — точно не в этом десятилетии. Живём на двух протоколах, лавируем между костылями прошлого и будущим, которое никак не наступит.
Карманный хакер
1 731
🖥 1330+ команд Linux в одном справочнике. Если ты ещё не сохранил — пора.
Этот монстр на Хабре живёт с 2022 года и постоянно обновляется. Месяц назад автор докинул ещё 70 команд с описаниями. Сейчас там покрыто практически всё — от базовых вещей до того, о чём ты даже не слышал.
Не гугли каждый раз по одной команде — держи под рукой полный арсенал.
➡️ https://habr.com/ru/post/683638
Карманный хакер
1 731
😎 Windows 3.1 — 34 года. И эта штука до сих пор спасает бизнесы.
18 марта 1992 года вышла Windows 3.1 (кодовое имя Janus). И нет, это не ОС — это графическая оболочка поверх MS-DOS. Но именно она заложила фундамент того, чем ты пользуешься сейчас.
Что появилось впервые: реестр Windows, поддержка TrueType-шрифтов (https://ru.wikipedia.org/wiki/TrueType), TCP/IP, новый файловый менеджер. А ещё — Солитёр и Сапёр, которые Microsoft придумала не для прокрастинации, а чтобы приучить людей к мышке. Перетаскивание карт — это буквально тренажёр drag-and-drop.
Начиналась эра мультимедиа: разрешение выросло аж до 640x480, в комплекте появились Media Player, Sound Recorder и легендарные обои CHESS.BMP. Компьютер перестал быть просто печатной машинкой.
А теперь главный панч. Помните глобальный CrowdStrike-сбой, когда Windows по всему миру ложилась штабелями? Четвёртая по величине авиакомпания США — Southwest Airlines — не пострадала вообще. Потому что их системы крутились на Windows 3.1. Тридцатилетняя "оболочка для DOS" оказалась надёжнее всего современного стека. Иногда лучшая защита — это просто не обновляться.
Карманный хакер
1 731
👨💻 cURL — 28 лет. Инструмент, без которого не живёт ни один хакер, пентестер и девопс.
Если ты хоть раз дёргал API, тестил эндпоинт или просто скачивал файл из консоли — ты юзал curl. HTTP, HTTPS, FTP, IMAP, SMTP — этот швейцарский нож жрёт всё.
Создатель — Даниэль Стенберг, швед-самоучка без формального образования. Человек одной программы — и какой программы. В середине 80-х друг купил Commodore 64, пацаны вбивали код из журналов руками. В 1985 — свой комп, ассемблер, демосцена, программирование как одержимость.
В 1991 вместо колледжа идёт в IBM крутить мейнфреймы. Там открывает для себя Unix и свободный код — копирует софт с магнитных лент, компилирует, ковыряет, меняет. Концепция опенсорса ещё без названия, но уже в крови.
В 1996 находит утилиту HttpGet — 100 строк кода от бразильца Рафаэля Сагула — и прикручивает к IRC-боту для парсинга курсов валют. Потом берёт развитие на себя: HTTP-прокси, Gopher, FTP. В 1997 переименовывает в urlget, а 20 марта 1998 выходит первая версия под именем curl — client URL, 2200 строк.
Сегодня Стенберг по-прежнему держит 56% всех коммитов. Сайт curl.se обслуживает 17 ТБ трафика в месяц и 470 млн запросов. Docker-образ запрашивали больше 4 миллиардов раз.
Сам Даниэль говорит, что "выиграл в лотерею". Но 28 лет пилить один проект без перерыва — это не лотерея. Это другой уровень упоротости и преданности делу.
Карманный хакер
1 731
📥 Первая open source ОС — не Linux. Это BSD. И она проиграла.
Все привыкли: open source = Linux. Но BSD Net 2 вышла в июне 1991 — за несколько месяцев до первого ядра Торвальдса, которому потом ещё два года до юзабельности. У GNU Столлмана вообще не было рабочего ядра. BSD была единственным свободным Unix-клоном, который реально работал.
Так почему BSD на задворках, а Linux — король?
Три причины:
Суды. USL (владельцы AT&T Unix) засудили BSDI за нарушение авторских прав. Разбирались до 1994 года. Пока BSD тонула в юристах — Linux спокойно набирал комьюнити.
Лицензия. BSD-лицензия разрешает всё: бери код, закрывай, продавай, не отдавай ничего назад. Отлично для бизнеса, убийственно для open source экосистемы. GPL Линуса заставляет делиться — и это создало снежный ком контрибьюторов.
Масштаб команды. BSD пилили в основном ребята из Беркли. Linux строил весь мир.
BSD не умерла — FreeBSD, OpenBSD, NetBSD живы с преданным, пусть и небольшим комьюнити. А самый жирный plot twist: Apple взяла BSD-код и засунула в macOS и iOS. Миллиарды пользователей айфонов сидят на open source из Беркли — и понятия не имеют об этом.
Карманный хакер
1 731
🤬 КНДР ломится в твой DevTeam под видом “идеального удаленщика”.
Представь: взял в команду супертопа на удалёнке, он прошёл собеседование по вебке без сучка и задоринки. Через месяц — бац, весь исходник сливает на сторону и начинает шантажировать. Не фантастика, а сценарий ФБР по методам северокорейских госхакеров.
Цель — не просто зарплату получить, а захватить доступ к GitHub, внутренним репозиториям и секретам компании. Для маскировки хакеры используют фермы в США и Европе, чтобы IP не палился. Впариваются как “свои”, местные профи.
Когда HR начинает шмонать — в ход идёт топовый ИИ, который генерит лицо и голос в реальном времени прямо на интервью. Классическая проверка бэкграунда уже бессильна — дипфейки настолько правдоподобны, что их не отличить без навороченного анализа.
Выдают иногда тупые косяки — одинаковые телефоны в разных резюме, стандартные ошибки в текстах. Но эксперты Mandiant отмечают — с каждым годом шпионы становятся опытнее.
Мораль: смотреть в камеру — уже не значит верить. Дипфейки — не только мемы, это оружие спецопераций уровнем выше. Хочешь не попасть на крючок — учись читать цифровые следы, распознавать фейки и понимать, как тупо не стать жертвой, когда за вебкой может сидеть хакер из Пхеньяна с лицом твоего соседа. В эпоху ИИ это — базовые навыки выживания.
Карманный хакер
1 731
😱 Многомиллионный стартап встретил “гендиректора-призрака” и дорого за это поплатился.
Hayden AI — ИИ-стартап с оценкой в $350 млн — подал в суд на своего бывшего CEO, Криса Карсона. Расследование показало: вся биография Карсона — фейк от А до Я. Ни дипломов, ни боевого прошлого, ни опыта — просто пустышка.
➡️https://pitchbook.com/profiles/company/268302-52#funding
➡️https://www.documentcloud.org/documents/27758555-hayden-ai-v-carson/
И это не помешало ему залезть в кресло топа, продать акции на $1,2 млн и прокатиться на особняк с Bentley. Когда вопросы от совета директоров пошли, он не стал ждать “финала”.
Перед уходом Карсон стянул 41 ГБ конфиденциальных данных — всё, от компьютерного зрения до систем контроля трафика. После запустил EchoTwin AI — проект, который, по словам бывших работодателей, скопирован с их технологий.
Теперь Hayden AI не только хочет откусить бабок, но и пытается сбить с рынка своего вора.
Вывод: в цифровом мире можно создать личность из воздуха и пробить себе дорогу к деньгам и технологиям. Но игра с “виртуальными масками” — это лотерея с высокими ставками. Чем больше у тебя доступа, тем тщательнее должна быть твоя “композиция”. Иначе с “успешного кейса” легко становится уголовным делом.
Карманный хакер
1 731
🔐 Собственный WAF — для тех, кто не хочет плясать под дудку коммерческих решений.
BunkerWeb — проект французов из Bunkerity, появился в 2021 и живёт, развивается. Это open source WAF, который легко втыкается в Linux, Docker, Kubernetes, Ansible, Vagrant и всякое прочее админское добро.
В основе — ModSecurity с OWASP правилами. Можно выбрать режим “потихоньку посматриваем” или “блокируем всех подозреваемых и фиксируем по полной”. Автоблоки по HTTP-кодам, защита от ботов, лимиты на подключения и запросы — базовый набор ударной безопасности.
Есть система плагинов — штатные и кастомные. Например, ClamAV встроенный проверит файлы на лету и заблокирует коварные загрузки. А автоматизация SSL от Let’s Encrypt теперь в стандартном комплекте.
Прокачивайся через CLI или бери веб-интерфейс — там детальный мониторинг атак и настройка плагинов реализованы удобно. Рекомендуют ставить BunkerWeb как обратный прокси — с гайдом в документации.
Если хочешь ходить в ногу со временем и не сливать трафик на сторонних, копай сюда:
➡️ https://github.com/bunkerity/bunkerweb
Карманный хакер
1 731
🖥 “Мобильный компьютер” в 50-х — это не ноутбук. Это два трейлера и 20 тонн железа.
Военные захотели таскать вычисления поближе к месту событий — и NIST собрал DYSEAC
Что такое “мобильность” по-старому:
— 2 трейлера
— 20 тонн суммарно
в первом — панель управления, I/O, хранилище и 12-тонное охлаждение
во втором — питание, охлаждение и немного воздуха для самообмана, что “есть место”
Его делали с оглядкой на SEAC — тогдашнего монстра по мощности
Часть деталей и идей тянули оттуда, просто упаковывали плотнее, как могли.
Фишка DYSEAC, которая реально важна: он умел работать с другими компьютерами в реальном времени — ранний привет будущим кластерам. В 1956-м SEAC и DYSEAC даже объединяли в экспериментальную систему.
Потом военные сказали: “ок, а можно то же самое, но меньше?”
Так появился MOBIDOC — уже в одном трейлере, и его катали до 60-х.
А в 1958-м случился скачок: RECOMP II — “портативный” компьютер размером с духовку, вес 90 кг:
Стоил $95 000 тогда (примерно $1 млн сегодня) и местами был бодрее той 20-тонной махины
➡️https://www.ed-thelen.org/comp-hist/BRL61-r.html
Мораль: “портативность” всегда начинается с войны, бюджета и наглости инженеров.
Карманный хакер
1 731
📥 USB “тележка смерти” — внутренний DoS-тест от Microsoft.
Реймонд Чен рассказал: в Microsoft реально катали по офисам тележку с USB-девайсами, которая гарантированно роняла Windows в BSOD, чтобы разработчики перестали жить в розовом мире “у меня на ноуте работает”.
➡️ https://www.tomshardware.com/news/usb-cart-of-death-windows-development
Что внутри: 60+ USB-устройств последовательно, весь зоопарк — мыши, клавиатуры, принтеры, диски, рандомная периферия. Подключаешь — и ПК либо сразу падает, либо ловит синий экран при “подёргать кабель” (подключение/отключение).
Логика простая: USB и Plug&Play должны быть устойчивыми не “в лаборатории”, а когда пользователь втыкает в хаб половину магазина электроники.
И да, есть ощущение, что эту штуку придумали после легендарного фейла на COMDEX, когда демка Windows 98 с Plug and Play красиво улетела в BSOD прямо на сцене у Билла Гейтса. Он тогда отшутился: “Наверное, поэтому мы её ещё не выпустили”.
➡️ https://www.reddit.com/r/PBSOD/comments/10mnokh/windows_98_crashes_and_displays_a_bsod_while/
Карманный хакер
1 731
🤩 smolBSD — когда тебе нужен не “сервер”, а микро-ОС под одну задачу.
Проект собирает микросборки на NetBSD: только нужные компоненты, минимум мусора, загрузка < 1 секунды. База — около 10 МБ. Идеально, если хочешь изолировать сервисы в маленьких VM и самому решать, что вообще имеет право существовать в образе. Есть даже простая веб-панель для запуска.
➡️ Сайт
➡️ GitHub
Карманный хакер
1 731
🤯 За 2025 из российских компаний утекло почти 1,8 ПБ данных.
Да, петабайта. Это в 17 раз больше, чем в 2023-м, когда ещё жили в “терабайтах”.
Внутри — минимум 337 млн телефонов и 208 млн email. И главное: в сеть улетают не “таблички с клиентами”, а дампы серверов, бэкапы, сетевые шары, куски внутренней инфраструктуры. Поэтому “инцидентов меньше” — а объём взрывается: один удачный заход = минус пол-ДЦ.
Топ по числу сливов:
🟢Ритейл — 34%
🟢Сфера услуг — 12%
🟢Блоги/форумы/малый бизнес — 10%
Почему они? Потому что “безопасность — потом”: нет нормального мониторинга, патчей, сегментации.
А большие компании попадают реже, но если попали — сливают вагонами.
Госсектор отдельно смешной и страшный: около 33% утечек — старьё (иногда многолетнее). Но публикация всё равно токсична: деанон, фишинг, склейка профилей — всё работает даже на “архивных” данных.
Карманный хакер
