Карманный хакер

😱 Многомиллионный стартап встретил “гендиректора-призрака” и дорого за это поплатился. Hayden AI — ИИ-стартап с оценкой в $350 млн — подал в суд на своего бывшего CEO, Криса Карсона. Расследование показало: вся биография Карсона — фейк от А до Я. Ни дипломов, ни боевого прошлого, ни опыта — просто пустышка. ➡️https://pitchbook.com/profiles/company/268302-52#funding ➡️https://www.documentcloud.org/documents/27758555-hayden-ai-v-carson/ И это не помешало ему залезть в кресло топа, продать акции на $1,2 млн и прокатиться на особняк с Bentley. Когда вопросы от совета директоров пошли, он не стал ждать “финала”. Перед уходом Карсон стянул 41 ГБ конфиденциальных данных — всё, от компьютерного зрения до систем контроля трафика. После запустил EchoTwin AI — проект, который, по словам бывших работодателей, скопирован с их технологий. Теперь Hayden AI не только хочет откусить бабок, но и пытается сбить с рынка своего вора. Вывод: в цифровом мире можно создать личность из воздуха и пробить себе дорогу к деньгам и технологиям. Но игра с “виртуальными масками” — это лотерея с высокими ставками. Чем больше у тебя доступа, тем тщательнее должна быть твоя “композиция”. Иначе с “успешного кейса” легко становится уголовным делом. Карманный хакер

🔐 Собственный WAF — для тех, кто не хочет плясать под дудку коммерческих решений. BunkerWeb — проект французов из Bunkerity, появился в 2021 и живёт, развивается. Это open source WAF, который легко втыкается в Linux, Docker, Kubernetes, Ansible, Vagrant и всякое прочее админское добро. В основе — ModSecurity с OWASP правилами. Можно выбрать режим “потихоньку посматриваем” или “блокируем всех подозреваемых и фиксируем по полной”. Автоблоки по HTTP-кодам, защита от ботов, лимиты на подключения и запросы — базовый набор ударной безопасности. Есть система плагинов — штатные и кастомные. Например, ClamAV встроенный проверит файлы на лету и заблокирует коварные загрузки. А автоматизация SSL от Let’s Encrypt теперь в стандартном комплекте. Прокачивайся через CLI или бери веб-интерфейс — там детальный мониторинг атак и настройка плагинов реализованы удобно. Рекомендуют ставить BunkerWeb как обратный прокси — с гайдом в документации. Если хочешь ходить в ногу со временем и не сливать трафик на сторонних, копай сюда: ➡️ https://github.com/bunkerity/bunkerweb Карманный хакер

🖥 “Мобильный компьютер” в 50-х — это не ноутбук. Это два трейлера и 20 тонн железа. Военные захотели таскать вычисления поближе к месту событий — и NIST собрал DYSEAC Что такое “мобильность” по-старому: — 2 трейлера — 20 тонн суммарно в первом — панель управления, I/O, хранилище и 12-тонное охлаждение во втором — питание, охлаждение и немного воздуха для самообмана, что “есть место” Его делали с оглядкой на SEAC — тогдашнего монстра по мощности Часть деталей и идей тянули оттуда, просто упаковывали плотнее, как могли. Фишка DYSEAC, которая реально важна: он умел работать с другими компьютерами в реальном времени — ранний привет будущим кластерам. В 1956-м SEAC и DYSEAC даже объединяли в экспериментальную систему. Потом военные сказали: “ок, а можно то же самое, но меньше?” Так появился MOBIDOC — уже в одном трейлере, и его катали до 60-х. А в 1958-м случился скачок: RECOMP II — “портативный” компьютер размером с духовку, вес 90 кг: Стоил $95 000 тогда (примерно $1 млн сегодня) и местами был бодрее той 20-тонной махины ➡️https://www.ed-thelen.org/comp-hist/BRL61-r.html Мораль: “портативность” всегда начинается с войны, бюджета и наглости инженеров. Карманный хакер

📥 USB “тележка смерти” — внутренний DoS-тест от Microsoft. Реймонд Чен рассказал: в Microsoft реально катали по офисам тележку с USB-девайсами, которая гарантированно роняла Windows в BSOD, чтобы разработчики перестали жить в розовом мире “у меня на ноуте работает”. ➡️ https://www.tomshardware.com/news/usb-cart-of-death-windows-development Что внутри: 60+ USB-устройств последовательно, весь зоопарк — мыши, клавиатуры, принтеры, диски, рандомная периферия. Подключаешь — и ПК либо сразу падает, либо ловит синий экран при “подёргать кабель” (подключение/отключение). Логика простая: USB и Plug&Play должны быть устойчивыми не “в лаборатории”, а когда пользователь втыкает в хаб половину магазина электроники. И да, есть ощущение, что эту штуку придумали после легендарного фейла на COMDEX, когда демка Windows 98 с Plug and Play красиво улетела в BSOD прямо на сцене у Билла Гейтса. Он тогда отшутился: “Наверное, поэтому мы её ещё не выпустили”. ➡️ https://www.reddit.com/r/PBSOD/comments/10mnokh/windows_98_crashes_and_displays_a_bsod_while/ Карманный хакер

🤩 smolBSD — когда тебе нужен не “сервер”, а микро-ОС под одну задачу. Проект собирает микросборки на NetBSD: только нужные компоненты, минимум мусора, загрузка < 1 секунды. База — около 10 МБ. Идеально, если хочешь изолировать сервисы в маленьких VM и самому решать, что вообще имеет право существовать в образе. Есть даже простая веб-панель для запуска. ➡️ Сайт ➡️ GitHub Карманный хакер

🤯 За 2025 из российских компаний утекло почти 1,8 ПБ данных. Да, петабайта. Это в 17 раз больше, чем в 2023-м, когда ещё жили в “терабайтах”. Внутри — минимум 337 млн телефонов и 208 млн email. И главное: в сеть улетают не “таблички с клиентами”, а дампы серверов, бэкапы, сетевые шары, куски внутренней инфраструктуры. Поэтому “инцидентов меньше” — а объём взрывается: один удачный заход = минус пол-ДЦ. Топ по числу сливов: 🟢Ритейл — 34% 🟢Сфера услуг — 12% 🟢Блоги/форумы/малый бизнес — 10% Почему они? Потому что “безопасность — потом”: нет нормального мониторинга, патчей, сегментации. А большие компании попадают реже, но если попали — сливают вагонами. Госсектор отдельно смешной и страшный: около 33% утечек — старьё (иногда многолетнее). Но публикация всё равно токсична: деанон, фишинг, склейка профилей — всё работает даже на “архивных” данных. Карманный хакер

🖥 Хочешь ломать/защищать — перестань “знать линукс на словах”. Тренируй базу каждый день. Нашёл Android-приложуху Linux Master — это викторина с уровнями/рангами, которая гоняет по темам Linux и быстро вскрывает, где у тебя пустота вместо знаний. У них же есть и другие “тренажёры”: 🟢 KubePrep (Kubernetes) 🟢 System Design Все приложения разработчика: ➡️ https://play.google.com/store/apps/developer?id=CodingShell Карманный хакер

👍 Поговорим о реально важном: почему весь мир жмёт WASD, как будто это закон физики. Спойлер: так было не всегда. В 90-х управления “по умолчанию” не существовало — каждый шутер городил своё: 🟢System Shock (1994) — ASDX 🟢Descent — вперёд/назад A/Z, выглянуть Q/E народ тестил ZXCV, ESDF и что угодно, лишь бы руки не ломались WASD взлетел не потому, что “так правильно”, а потому что пришла мышь в 3D — и держать правую руку на мыши, а левую на стрелках стало тупо неудобно. Слева — и Shift рядом, и Space, и куча кнопок под пальцами. Катализатор — Деннис “Thresh” Фонг, легенда Quake В 1997 он выиграл турнир по Quake и забрал Ferrari 328 Джона Кормака — и на демках у него левая рука была на WASD: Дальше индустрия просто закрепила привычку: 🟢Quake 2 — WASD ещё как “альтернатива” 🟢Half-Life (1998) — впервые делает WASD дефолтом 🟢Quake 3 (1999) — тоже подтягивается 🟢WoW (2004) — добивает контрольным Ирония: даже Гейб Ньюэлл WASD не любит — сидит на ESDF, потому что “руки должны быть как при печати”: Вывод: WASD — не стандарт. Это победившая привычка, размазанная по дефолтным настройкам. Карманный хакер

😀Кстати для свободного пользования интернетом, можете использовать наш сервис из 3-х букв: @PocketVPNtg_bot

😂Телеграм то блокируют, то нет: за***ли уже! Все вы уже слышали 100% слышали о том, что ТГ собираются заблокировать 1 апреля, но вот уже сегодня пошла новость, что наш любимый мессенджер не будет заблокирован. Вот в такое время неопределённости живём, где каждый день, что-то да блокируют, а что-то нет) Да и уже многие админы в ТГ начали создавать копии своих каналов в Мах (именно через букву "Х", не "экс"), я чуть тоже не поддался на эту авантюру, но быстро передумал из-за огромного спектра недостатков этого нового проекта, особенно раздражает, что одно из самых уязвимых мест — это именно информационная безопасность, то есть шифрование внутри приложения, незащищённость логов, а так же постоянная слежка и ряд лишних второстепенных операций, которые выполняются при рядовых действиях. И пока мы Мах вообще не рассматриваем, как жизнеспособную альтернативу ТГ. Да, и я думаю, что аудитория, собравшаяся здесь не глупа, чтобы найти тысячу и один способ обойти блокировку ТГ. Так же у нас есть планы пойти и на другие площадки, например, Дзен, ютуб и другие, кстати такой небольшой инсайдик, мы уже пишем статью для Дзен) Так что надеюсь, что вы и дальше продолжите читать меня! (Не теряйтесь)🥰

‼️ Фрилансерам/девам: вас будут ломать не “хакеры”, а “рекрутеры”. История Дэвида Додда: прилетает оффер от “блокчейн-компании” в соцсетях, договариваются о собесе — и ему кидают док с описанием проекта + “тестовое”: код, который нужно “пофиксить”. ➡️ https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview Обычно он делает правильно: загоняет чужой код в Docker/песочницу. Но тут классика: времени мало, лень большая — решил запустить как есть. Перед запуском попросил нейросеть глянуть код. И та нашла обфусцированный кусок: после декода — URL на малварь, которая даёт атакующему фактически всё: привилегии Node.js, доступ к env, файлам, базам, кошелькам — полный фарш. Мораль простая: срочность = оружие. Добавь лень — и ты уже донор. Минимум гигиены: 🟢чужой код — только VM/Docker/песочница 🟢ссылки/архивы — проверка, VT 🟢зависимости — отдельный контроль, не “npm install на веру” Карманный хакер

🎫 Самый скучный взлом подарочных сертификатов — и именно поэтому самый опасный. Никаких 0day. Никакой “хакерской магии”. Просто магазин одежды, который позволял перебирать номера подарочных карт и находить выпущенные, но не активированные. Автор накатал простой Python-скрипт, прогнал брут — и за 10 минут насобирал купонов на 177 000 ₽. Потому что “ну кто же будет проверять”. Дальше сделал по-взрослому: сообщил магазину, дыру закрыли, ему прилетело вознаграждение и спасибо. ➡️ Читать Карманный хакер

😎 Docker-образ без скана — это как бинарь с торрента “запустить от админа”. Потом не нойте, что в прод улетел майнер. Базовый набор опенсорс-ножей, чтобы резать контейнеры до того, как они порежут тебя: 🟢 Trivy — ищет CVE в пакетах ОС и зависимостях. Сканит локальные образы, registry и даже .tar. 🟢 Dockle — проверяет гигиену образа: слои, конфиги, пользователи, небезопасные настройки, странные инструкции, “пустые пароли” и прочий цирк. 🟢 Hadolint — лупит по Dockerfile: плохие практики, небезопасные паттерны, мусорные инструкции. Быстро и злобно. Это не “полная безопасность”, это минимум, чтобы не тащить в прод очевидную дрянь. Сканы — в CI, иначе смысла ноль.

🤯 PAM в PostgreSQL — это не “усиление безопасности”. Это усложнение, которое тебя же и добьёт, если конфиг писал “кто-то когда-то”. Внутри компаний Postgres часто прикручивают к PAM (внешняя аутентификация), чтобы тащить роли/пароли из LDAP/AD, делать ротацию и выглядеть взросло. И да — при прямых руках это ок. ➡️PAM ➡️LDAP/AD Но авторы статьи поймали классическую историю: не учли векторы, оставили дыры в настройках — и в итоге получили доступ к PostgreSQL с высокими привилегиями. В материале разжёвано: какие именно косяки в конфиге привели к компрометации и как это эксплуатируется по шагам. ➡️ https://blog.deteact.ru/kak-pam-modul-pozvolil-poluchit-dostup-k-bd/ Карманный хакер

👩‍💻 Хочешь Linux — учи Linux, а не “как нажимать кнопки в панели”. Есть бесплатная книжка Linux Notes for Professionals. Коротко, по делу, без воды: команды, основы, практические куски — нормально зайдёт и новичкам, и тем, кто “вроде давно в линуксе”, но периодически гуглит базу. ➡️ https://books.goalkicker.com/LinuxBook/ Карманный хакер

👾 Sony DRM-rootkit — когда “защита от копирования” превращается в малварь от корпорации. 20 лет назад Sony BMG решила: “а давайте продавать CD не только с музыкой, но и с софтом, который лезет в систему”. В итоге они продали 22+ млн дисков с двумя “защитами”: XCP и MediaMax. И устроили эталонный PR-суицид. ➡️ https://ru.wikipedia.org/wiki/Sony_BMG XCP (Extended Copy Protection) — тот самый руткит. В 2005 Марк Руссинович раскопал: вставляешь диск — и тебе тихо ставится скрытный компонент, о котором в EULA толком не сказано. Прячется, маскируется — классика руткитов. ➡️ https://en.wikipedia.org/wiki/Extended_Copy_Protection ➡️ https://ru.wikipedia.org/wiki/Руссинович,_Марк Что “защита” делала на практике: — открывала дыры, которыми потом пользовались другие вредоносы — постоянно висела в фоне и жрала ресурсы — включалась/отключалась криво, вплоть до падений — нормального деинсталлятора не было, удаление ломало систему/драйвера После публикации — ожидаемо: злоумышленники начали эксплуатировать эти дырки для вирусов и червей. MediaMax CD-3 — отдельный цирк: даже если ты не согласен с лицензией, закрываешь окно или убиваешь процесс — оно всё равно ставится. Согласие пользователя? Не, не слышали. ➡️ https://en.wikipedia.org/wiki/MediaMax Шум разлетелся мгновенно, диски начали отзывать, но часть продолжали продавать. Дальше пошли иски. Техас в 2005-м вкатил первым: Sony проиграла, заплатила издержки, компенсации за “убитые” ПК и обязалась публично признать, что ставила эту дрянь (вплоть до объявлений в поисковиках). Мораль: если вы встраиваете руткит ради “защиты бизнеса” — вы не защищаете бизнес. Вы просто выпускаете малварь под своим брендом. Карманный хакер

😵 Zip-бомбы против ИИ-краулеров — когда “не скрапь мой сайт” превращается в “на, подавись”. Факт: веб сейчас грузят не люди, а боты. RSS, поисковики, скраперы, а теперь ещё и ИИ-краулеры, которые тащат всё в LLM. Fastly в своём отчёте пишет, что такие ребята могут устраивать до 39 000 запросов в минуту. ➡️ https://learn.fastly.com/rs/025-XKO-469/images/Fastly-Threat-Insights-Report.pdf Классическая оборона: rate limit, капчи, фильтры по UA/ASN/IP. Работает, пока бот не становится “умнее” и наглее. А вот дальше — креатив с привкусом войны: в статье описывают идею кормить агрессивных краулеров zip-бомбами. С виду нормальный архив на ~10 МБ, а при распаковке — 10 ГБ мусора, который выжирает память/ресурсы на стороне краулера (в их дата-центре, да). ➡️ Читать P.S. Это не “защита по стандартам”, это ответка. Если решишь играть в такое — думай головой про collateral damage и про то, кого именно ты бьёшь (не всех подряд). Карманный хакер

🤯 Agent.btz — кейс, который навсегда объяснил Пентагону, что “флешка” = “оружие”. 2008-й. Шум на весь интернет: в сети Минобороны США залетает червь. Не через 0day, не через “APT в космосе”. Через обычную заражённую USB, воткнутую в ноут на военной базе на Ближнем Востоке. Дальше ноут был связан с инфраструктурой CENTCOM — и понеслось, включая сегменты с секреткой. Механика максимально приземлённая: — размножение через AUTORUN.INF в корне дисков (привет, Windows-эпоха “удобства”) — скан на наличие уже стоящих бэкдоров, чтобы использовать их для дальнейшего распространения — на каждую подключённую флешку — файл thumb.dd: контейнер, куда червь складывал логи/инфу о системе (внутри CAB с winview.ocx, wmcache.nld, mswmpdat.tlb). То есть если нет интернета до C2 — эксфиль через переносной носитель. И да, он ещё и мутировал, меняя сигнатуры: пока чистят одно — в сети всплывает новая версия. Итог для “самой защищённой” структуры мира: 14 месяцев зачистки, сотни переформатированных машин, тысячи изъятых флешек и запрет на использование съёмных носителей. ➡️ История тут Карманный хакер

😂 Фейковая компания. Фейковое собеседование. Настоящий троян. ReversingLabs раскопали кампанию “Veltrix Capital”: охота на разработчиков через “вакансии” и “тестовое задание”. Идея максимально грязная: ты сам запускаешь код у себя — под видом проверки навыков. ➡️ Отчёт Как это выглядело: — сайт “компании”, живые соцсети, GitHub-организация — всё как у нормальных — вакансии на LinkedIn + Reddit, местами — личные рассылки (похоже, даже через реальных рекрутеров) — зарплаты не космические, а “вкусные и правдоподобные”, чтобы не спугнуть Дальше тебе кидают GitHub с “тестовым” на Python/JS. В коде — ничего палевного. Палева в зависимости: npm/PyPI-пакет, который подтягивает нагрузку. Пример — graphnetworkx, мимикрия под популярные graphlib и networkx. Запустил “проект” — получил загрузчик → троян → связь с C2 → команды, слив инфы/файлов, аплоад/даунлоад, стандартный набор. ➡️ Ссылка Правило простое: любое тестовое, которое требует npm install / pip install на твоей основной машине — потенциально атака. Песочница/VM/изолированный контейнер — или не запускаешь вообще. Карманный хакер

😎 Парень, который “взломал национальную банковскую систему Франции” — и получил не багбаунти, а суд. 1997 год. Серж Хумпич находит способ платить картой без банковского счёта. Не шутка, не байка — реальная дыра в Carte Bleue, французской платёжной системе, которую считали “надёжной как швейцарские часы”. Ключевой момент: Carte Bleue тогда могла проводить транзакции без онлайн-авторизации у банка. В 1992 добавили чип + PIN — красиво, “современно”, но логика доверия осталась на терминале и карте. Хумпич покупает терминал, дампит и дизассемблирует прошивку, разбирает процесс оплаты и восстанавливает алгоритм генерации 96-значного секретного ключа для аутентификации. Итог: делает левую смарт-карту, которая принимается терминалами, хотя не привязана ни к какому счёту. И вот развилка: 🟢“чёрный” пошёл бы закупаться техникой, 🟢Хумпич пошёл по “белому”: оформил всё через юристов и отправил банкам описание + карту. Банки включили режим “мы вас не слышим”. Тогда он делает публичный PoC: 10 поддельных карт → 10 билетов в метро в автоматах Парижа. Результат — арест, обыск, вынос электроники. Финал: 25 февраля 2000 — суд. Обвинения в подделке карт и мошенническом доступе к процессингу. Приговор: 10 месяцев условно + 12 000 франков штрафа. Мораль для ресёчеров простая и злая: “responsible disclosure” работает только когда с другой стороны тоже взрослые. И да — вся индустрия bug bounty выросла в том числе на таких историях, где человек принёс дыру, а ему в ответ принесли наручники. Карманный хакер