Карманный хакер

🎂 MySQL закрыла баг, который старше половины своих пользователей. 20 лет и 9 месяцев в проде. Команда MySQL наконец прихлопнула легендарного бага-долгожителя под номером 11472. Тикет завели летом 2005 года, починили 20 марта 2026 года. Двадцать лет и девять месяцев непрерывной жизни в трекере, за это время пользователи успели сделать традицию поздравлять баг с днём рождения каждый год. Суть проблемы выглядела издевательски. При каскадных операциях через внешние ключи MySQL спокойно менял строки в дочерних таблицах, но триггеры на этих изменениях не срабатывали. Удалили запись в родительской таблице, отработал ON DELETE CASCADE или ON DELETE SET NULL, данные в дочерней изменились, а ожидаемый AFTER UPDATE или AFTER DELETE молча проигнорировали событие. Разработчики годами писали костыли, чтобы добиться от базы той логики, которую сами туда заложили. Причина задержки сидела в архитектуре. Каскадные операции внешних ключей выполнялись внутри InnoDB, а триггеры жили на SQL-уровне, и эти два мира друг друга не видели. Возможность починить появилась только в MySQL 9.6, когда обработку внешних ключей перенесли на SQL-уровень. Чинить молча и ломать всем прод команда не рискнула. Новое поведение по умолчанию выключено, включается переменной enable_cascade_triggers. Разработчики честно предупреждают: если ваше приложение годами жило с тем, что триггеры на каскадах не стреляют, включение опции может развернуть результаты операций и сломать бизнес-логику. Костыли, на которых всё держалось, тоже учитываются. Реакция на Reddit вышла душевной:

— Какого хрена? Я полагался на этот функционал. Верните всё обратно! — Если баг фиксили так долго, у многих накопилось бесчисленное количество костылей, и я не удивлюсь, если хотя бы один сломается из-за исправления. — Ребята, моя девушка обещала выйти за меня, как только этот баг закроют. Есть новости? P.S. Ждём с 2017 года. — [18 января 2021, 0:49] Зашёл проверить, пережил ли наш любимый баг ковид. Рад видеть, что всё хорошо. — Эта ошибка старше меня. — Никогда не думал, что доживу до этого дня.

➡️ bugs.mysql.com/bug.php?id=11472 Карманный хакер

🖥 7-Zip выделяет 1 байт под 256 МБ данных. Что может пойти не так? Ярослав Лабочевский из GitHub Security раскопал критическую дыру в 7-Zip версии 26.00, которой присвоили CVE-2026-48095. Архиватор, который стоит примерно у всех, кто хоть раз открывал .7z. Баг сидит в обработчике NTFS-архивов. Из-за ошибки в расчёте размера буфера 7-Zip может выделить под данные ровно 1 байт памяти, а потом радостно начать писать туда 256 МБ контента, который полностью контролирует атакующий. Heap overflow в максимально издевательской форме. Дальше работает арифметика катастрофы: уже на 304-м байте перезаписи в памяти ломается указатель vtable. После этого исполнение программы уезжает туда, куда укажет атакующий, и открывается путь к выполнению произвольного кода. Достаточно открыть подсунутый архив. Дыру закрыли в версии v26.01, так что обновляйтесь, пока вам не прислали «отчёт_квартал.7z» от незнакомого отправителя. ➡️ POC и технический разбор ➡️ Источники: [1], [2], [3] Карманный хакер

🛡 URLScan.io — открываем подозрительные ссылки чужими руками. Кидать сомнительный URL в свой браузер — затея так себе. URLScan.io прогоняет адрес через изолированный Chrome на своей стороне и отдаёт вам полный отчёт, не подставляя ваш реальный IP, куки и нервы. Что вытаскивает сервис из одной проверки: 🟢 скриншот итоговой страницы после всех редиректов; 🟢 список исходящих запросов и доменов, к которым ломится страница; 🟢 TLS-сертификаты и цепочку доверия; 🟢 HTTP-заголовки безопасности (CSP, HSTS, X-Frame-Options и прочее); 🟢 стек технологий и фреймворков; 🟢 куки, которые сайт пытается поставить; 🟢 все подгружаемые скрипты с их источниками. Удобно для разбора фишинга, проверки коротких ссылок, анализа подозрительных рассылок и охоты на malvertising. По истории сканов часто можно сразу зацепить связанные домены и инфраструктуру атакующего. ➡️ URLScan.io Карманный хакер

🤦 Подрядчик CISA слил ведомство через GitHub. Публично. С паролями. Угадайте, где хранил архив со всеми ключами от инфраструктуры подрядчик Агентства по кибербезопасности США? В публичном репозитории GitHub. Назвал его, разумеется, Private-CISA, видимо, рассчитывая, что хакеры читают только название и дальше не лезут. 844 МБ откровенного компромата: код инфраструктуры Terraform, журналы сборки CI/CD, документация по развёртыванию, манифесты Kubernetes, файлы ArgoCD и YAML, AWS-ключи, логины и пароли к десяткам внутренних систем CISA. Любой школьник с интернетом мог собрать по этим файлам подробную карту внутренней инфраструктуры главного киберведомства страны вместе со схемой её эксплуатации. Утечку откопали ребята из GitGuardian и поначалу решили, что их разыгрывают: слишком уж издевательские имена папок попадались, вроде Backup-April-2026, Important-AWS-Tokens и легендарного AWS-Workspace-Firefox-Passwords. Запах honeypot за версту. Проверили содержимое и поняли: всё боевое. Дальше пошёл цирк с реагированием. 14 мая сообщили через CERT/CC, параллельно пытались достучаться до ответственных лично. CISA ожила только 15 мая, к вечеру того же дня репозиторий наконец прикрыли. Итого 26 часов на реакцию у агентства, которое учит остальную страну кибергигиене. ➡️ Источники: [1], [2] Карманный хакер

Сделал подборку хороших книг для изучения Linux (все названия кликабельны для скачивания). "Командная строка Linux" Уильяма Шоттса "Linux. Карманный справочник" Дэниела Баррета "Внутреннее устройство Linux" Брайана Уорда Приятного чтения!

💻 Маленькие хитрости SSH Попалась хорошая статья — хоть и не новая (2023 год), но полезные примеры работы с SSH в ней не устарели. Автор собрал это руководство, чтобы оптимизировать собственную работу — наверняка и вы найдёте что-то для себя. Внутри разобраны: 🟢 Проброс локального порта (-L) 🟢 Проброс удалённого порта (-R) 🟢 Динамический проброс порта (-D) 🟢 Jump-серверы (-J) 🟢 Агентская переадресация (-A) 🟢 Выделение TTY (-t) 🟢 Глобальный порт (-g) 🟢 SSH-консоль (~?) 🟢 Конфигурационный файл SSH 🟢 Ключевые слова для конфигурирования SSH 🟢 ssh-copy-id 🟢 ssh-keygen ➡️ Читать: Eng — источник / RU — перевод В качестве дополнения 🟢 Какие меры безопасности реализованы в SSH для защищённого подключения и работы — интересный и актуальный разбор. 🟢 Практические примеры SSH, которые выведут навыки удалённого администрирования на новый уровень — команды и советы помогут грамотнее перемещаться по сети. 🟢 Наглядный разбор SSH-туннелей. Про них написано уже много, но настолько красиво оформленного материала ещё поискать. 🟢 Полное руководство по SSH в Linux и Windows. 🟢 Наглядные примеры организации SSH-туннелей под разные задачи. 🟢 Маленькие хитрости SSH — подборка полезных приёмов для более эффективного использования. Карманный хакер

🖥 В сети есть настоящий музей операционных систем — и это просто кладезь для гиков. На сайте virtualosmuseum.org собрана коллекция из 570 ОС, которую автор пополняет с 2003 года. Сам музей оформлен как образ виртуальной машины с Linux, подборкой эмуляторов и графическим интерфейсом для навигации по коллекции. Каждую ОС можно не просто посмотреть на скриншотах, а запустить вживую в эмуляторе и потыкать. Всё это добро можно скачать одним архивом (зачем — каждый решает сам). Доступны две версии: полная на 121 ГБ с примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная на 14 ГБ — только Linux-система, инсталлятор, набор эмуляторов и графическое приложение для динамической подгрузки выбранных образов. Поддерживается запуск в QEMU, VirtualBox и UTM. Самый ранний экземпляр коллекции датирован 1948 годом — это компьютер Manchester Baby. По сути, перед вами вся история вычислительной техники, упакованная в одну виртуалку. ➡️ virtualosmuseum.org Карманный хакер

Мы тут начали эксперементировать с форматом карусели в тик ток, но вышло, что последние 3 наших ролика набрали по 0 просмотров. Нам показалось это странным, поэтому поддержите нас лайком и подпиской, чтобы продвинуть ролики https://vm.tiktok.com/ZGdHvfSfT/ Да и хотелось бы услышать обратную связь, так что ждëм комментариев под этим постом и под видосами) Спасибо за внимание!!!! 😍

🖥 Бэкапы без боли, подписок и танцев с бубном. На Хабре вышел крутой лонгрид про простой способ резервного копирования серверов и домашних ПК — связка файловой системы Btrfs и утилиты btrbk. Настройка занимает минут десять, ежедневный бэкап — считанные минуты. Никаких лицензий, подписок и платных коробочных решений: всё бесплатно и уже встроено в ядро Linux. Если давно откладывали тему резервного копирования «на потом» — отличный повод наконец разобраться. ➡️ habr.com/ru/post/1035534 Карманный хакер

☁️ Тяжёлая промышленность официально подружилась с облаками. На ЦИПР-2026 «Норникель» и Yandex B2B Tech подписали соглашение по информационной безопасности. Норникель строит единую систему защиты гибридной IT-инфраструктуры на сервисах Yandex Cloud. Это не «купили пару ИБ-тулзов», а полноценная сквозная архитектура работы с данными. Чувствительное остаётся в закрытом контуре компании, а то, что можно — уходит в облако через выделенное соединение и технологию Private Endpoint. Модель гибридная: внутренние мощности плюс облако, но с прозрачностью и контролем над каждым ИБ-процессом. Не «отдали всё облаку и молимся», а «используем там, где выгодно, контролируем там, где критично». Отдельно в релизе подсвечивают защиту ИИ-систем — и это уже заметный тренд. Промышленные гиганты начинают воспринимать ИИ как самостоятельный контур риска, который надо защищать наравне с АСУ ТП и корпоративной инфраструктурой. Не как «ещё одну прогу», а как отдельную поверхность атаки. История в целом показательная. Ещё пару лет назад фраза «Норникель в облаке» вызвала бы инфаркт у любого безопасника, а сегодня крупный бизнес спокойно ищет баланс между закрытым контуром, требованиями регуляторов и реальной потребностью пользоваться облачными сервисами. Вопрос сместился: уже не «идти ли в облако», а «как идти так, чтобы не потерять контроль над данными». Карманный хакер

🤖 Пентестеры, кажется, вас скоро заменят. И это не шутка. Пока вы спорите в твиттере, отнимет ли ИИ работу у программистов, в кибербезе всё уже произошло. В мире растёт число полностью автономных кибератак — нейросети сами находят дыры, сами их эксплуатируют, сами координируются. Без человека. За минуты. И тут логичный ответ: если атакуют ИИ — защищаться надо тоже ИИ. Кто первый в России это понял? Т-Банк. Презентовали на ЦИПР свою штуку под названием Nulla — группу атакующих ИИ-агентов. Что она делает: 🟢 Проверяет устойчивость одного сервиса за 45 минут. Ручной аудит того же объёма — 2-3 дня. Считайте сами, во сколько раз быстрее. 🟢 Это не тупой сканер по чек-листу. Nulla анализирует защиту, адаптирует стратегию под конкретную систему, комбинирует найденные слабости и воспроизводит атаку. Находит то, что обычные сканеры в упор не видят: нарушения логики доступа, обходы бизнес-процессов, кривые взаимодействия между сервисами. 🟢 Параллельно гоняет десятки сервисов без потери глубины. Уже прокатились по 1300 сервисам экосистемы — Т-Бизнес, Т-Путешествия, Т-Авто и так далее. А теперь самое интересное для тех, кто умеет: 🟢 В июне банк запускает открытые кибериспытания. Задача — найти и реализовать недопустимые события в экосистеме. Не просто XSS на форме обратной связи, а то, что реально кладёт сервисы. 🟢 Максимальная выплата — 12 млн рублей. Двенадцать. Миллионов. За одну находку. Мораль: эпоха «принеси PoC за бутылку колы» официально закончилась. ИИ-агенты теперь ищут баги пачками за 45 минут, а живые исследователи получают за серьёзные находки суммы, на которые можно купить квартиру. Кибербез из ремесла превращается в гонку вооружений. И судя по всему — гонку ИИ против ИИ, где человек постепенно становится арбитром, а не игроком. Карманный хакер

💀 Самое тупое увольнение в истории IT. Серьёзно. В США два брата-близнеца снесли 96 правительственных баз данных за час после того, как их уволили. Через Teams. Знакомьтесь: Муниб и Сохайб Ахтер. Хронология идиотизма: ⏰ 16:50 — HR по Teams: «Ребят, вы уволены». Машут ручкой, выходят. ⏰ 16:55 — Сохайб лезет в сеть. Доступ зарублен. Молодцы. ⏰ 16:56 — а вот учётка Муниба всё ещё активна. Кто-то в IT пошёл за кофе. ⏰ 16:58 — летит DROP DATABASE dhsproddb. Это, на минуточку, боевая база Министерства внутренней безопасности США. Нет базы. ⏰ 16:59 — Муниб спрашивает у ИИ: «как затереть логи SQL-сервера?». Я не шучу. А теперь вишенка. Один из братьев включил запись встречи до разговора. HR ушли — запись продолжалась. Час. Teams детально записал, как они дропают федеральные базы и обсуждают, как замести следы. Режиссёрская версия преступления с таймкодами. Бонусом — Муниб слил файл на 1,2 млн человек: имена, адреса, телефоны, хеши паролей. А теперь главное. Оба брата уже сидели. За взлом Госдепа США. Муниб — 39 месяцев, Сохайб — 24. Рецидивисты с профильным опытом пробива государственных систем. И их взяли в IT-подрядчика, обслуживающего 45+ федеральных ведомств (Opexus). Дали доступ к продакшену DHS. Судимости никто не проверил. Узнали случайно. Запаниковали. Уволили через Teams. Доступы вырубить забыли. Итог: арест в декабре 2025. Сохайбу светит до 21 года, Мунибу — до 45. ➡️ arstechnica.com Карманный хакер

🔐 Никто об этом нормально не говорит, а зря. Ты когда-нибудь хотел залить что-то «личное» в интернет так, чтобы ни хостер, ни провайдер, ни какой-нибудь любопытный админ не смогли это прочитать? Без серверов, без бэкенда, без танцев с бубном вокруг авторизации? Знакомься — StatiCrypt. Маленькая, наглая и до неприличия полезная штука. Что она делает? Берёт твою HTML-страницу и превращает её в зашифрованный кусок мусора, который расшифровывается прямо в браузере — после ввода пароля. Всё. Никакого сервера, никакой логики на бэке, никаких «проверим пароль на нашей стороне, доверьтесь нам, мы хорошие». Зачем это вообще? Обычная парольная защита — это театр. Сервер проверяет пароль, сервер же и хранит контент в открытом виде. То есть кто угодно с доступом к серверу — читает всё. Хостер? Читает. Взломали хостинг? Читают все. А тут — контент физически зашифрован. Хоть на GitHub Pages выкладывай, хоть на бесплатный хостинг времён динозавров — пофиг. Без пароля это просто шум. Под капотом: — AES-256 в режиме CBC (и нет, известные болячки CBC тут закрыли) — Пароль прогоняется через PBKDF2: 599 000 итераций SHA-256 + 1000 SHA-1 для легаси — Расшифровка — чистый JS в браузере. Никаких плагинов, никаких «скачайте наш клиент» Юзкейсы, которые сразу приходят в голову: Личные заметки в облаке, к которым никто кроме тебя не подберётся • Передать чувствительный файл — кидаешь ссылку с уже захешированным паролем, и человек открывает без танцев • Закрытая страница для своих на бесплатном GitHub Pages — есть даже готовый шаблон Минус один, но честный: если пароль у тебя «123456» — никакие 599 тысяч итераций тебя не спасут. Брутфорс по словарю съест это за обедом. Так что не позорься. 🔗 GitHub: https://github.com/robinmoisson/staticrypt 📦 NPM: https://npmjs.com/package/staticrypt P.S. В мире, где каждый второй сервис «бережно хранит ваши данные» (читай: сливает на третьей неделе), уметь шифровать самому — это уже не паранойя. Это гигиена. Карманный хакер

👾 Самая дорогая малварь в истории человечества. 38 миллиардов долларов ущерба. Вдумайся в эту цифру. Это бюджет небольшого государства, который испарился из-за одного куска кода, написанного анонимом. Знакомься — MyDoom, червь, который в 2004 году поставил мир раком и до сих пор не сдаёт позиции. 26 января 2004-го в России зафиксировали первое заражение. Через неделю — полмиллиона машин по всему миру. MyDoom распространялся со скоростью лесного пожара через обычную электронную почту и установил рекорд, который не побит до сих пор. На пике активности этот зверь генерировал от 16 до 25% всего мирового почтового трафика. Каждое четвёртое письмо в интернете — это был MyDoom. Google, Yahoo!, AltaVista, Lycos легли частично, а общий интернет-трафик просел на 10%. В 2011 году McAfee официально признали его самой дорогой малварью в истории. Схема работы — позорно примитивна. Письмо с вложением. Жертва открывает. Червь шерстит файлы на машине, выгребает все email-адреса, которые найдёт, и рассылает себя дальше. Маскировка — детский сад: фейковые уведомления о недоставленном письме, темы вроде "hello", "hi" или просто рандомный набор символов. Казалось бы, кто на такое поведётся в 2024-м? А вот данные за 2015-2018 годы говорят, что 1,1% всех вредоносных писем по миру — это до сих пор MyDoom. В 2019-м он даже немного нарастил обороты. Основные источники рассылки сегодня — США, Китай и Великобритания. Жертвами становятся все подряд — техногиганты, ритейл, медицина, образование, производство. Никаких таргетов, никакой избирательности. Чистый ковровый бомбардировщик, который работает уже двадцать лет в полностью автоматическом режиме. И самое жуткое — он будет работать ровно столько, сколько люди продолжают тыкать на вложения в письмах. То есть вечно. А теперь вишенка. На старте MyDoom первым делом полез ддосить сайт Microsoft. Особо не преуспел — червя ещё было слишком мало. Но в Редмонде так напряглись, что назначили 250 000 баксов награды за голову автора. Прошло больше двадцати лет — деньги до сих пор лежат невостребованными. Никто. Не знает. Кто. Написал. MyDoom. Анонимный гений, который нанёс ущерб на 38 миллиардов и растворился в воздухе. Идеальное преступление, версия 2.0. ➡️ https://yourstory.com/MyDoom Карманный хакер

1999 год. Эпоха диалапа, ICQ и святой веры в то, что вордовский документ — это просто текст с картинками. И тут на сцену выходит парень под ником Kwyjibo, вПредставь: 1999 год, ты открываешь письмо от знакомого с темой "Important Message From..." и невинным вложением. Через секунду твой Outlook уже рассылает то же самое полусотне людей из твоей адресной книги. А через пару часов в таком же положении оказывается миллион машин по всему миру. Знакомься — Melissa, первый в истории макро-вирус для MS Word, который распространялся по почте. И назвал его автор, некий Kwyjibo (он же Дэвид Смит), в честь стриптизёрши. Романтика девяностых во всей красе. Технически всё было гениально просто. Вирус юзал возможности Visual Basic, который позволял дёргать другие приложения Windows и пользоваться их API. Melissa вызывала Outlook, выгребала адреса из адресной книги и рассылала по первым 50 контактам письмо с темой "Important Message From [UserName]" и текстом "Here is that document you asked for ... don't show anyone else ;-)". К письму крепился файлик LIST.DOC, который якобы содержал пароли от 80 платных порносайтов. Кто бы устоял в 1999-м? Вот именно. Никто и не устоял. Внутри документа сидел макрос, который при открытии запускал всю эту карусель заново. Чтобы не рассылать спам по кругу, вирус оставлял в реестре метку: HKEY_CURRENT_USER\Software\Microsoft\Office "Melissa?" = "... by Kwyjibo". Нашёл метку — значит уже отработал, идём дальше. Не нашёл — погнали бомбить контакты. Простая и до боли эффективная логика, которая на тот момент снесла мировую почтовую инфраструктуру и нанесла ущерб на 80 миллионов баксов (это около 155 миллионов на сегодняшние деньги). А теперь самое вкусное — про то, как Смита спалили. Парень был неплохим кодером, но забыл про базовый OPSEC. Оказалось, что MS Word сохраняет в метаданных документа инфу о пользователе, который его создавал. Об этой фиче тогда знали единицы. Смит залил первые копии червя в новостную группу — и во всех файлах болтались его персональные данные. ФБР даже не пришлось напрягаться. Итог — 10 лет тюрьмы и штраф 5000 долларов. Мораль простая и актуальная по сей день: каким бы крутым ни был твой код, тебя сольют метаданные, EXIF, левые комментарии в коммитах и прочая цифровая пыль, на которую все забивают. Запомни это, если когда-нибудь решишь, что ты умнее системы. Карманный хакер

🖥 Хочешь нормально шарить за SQL-инъекции, но базовый SQL знаешь на уровне "SELECT * FROM users"? Тогда давай по-честному — пока ты не научишься писать запросы сам, никакого SQLi-маэстро из тебя не выйдет. Без фундамента вся эта пентест-магия превращается в тупой запуск sqlmap с дефолтными настройками. Поймал годный бесплатный квест для прокачки SQL — DBQuacks. Первая глава содержит 38 уровней с плавно нарастающей сложностью, от простых селектов до жёстких джойнов и подзапросов. Скоро обещают вторую главу, где зайдут уже в продвинутые возможности языка. Геймификация плюс реальное обучение — то, что нужно, когда сухая документация уже не лезет в голову. Интерфейс сделан с умом: окно с сюжетом и загадкой, редактор запросов, вывод результата и подсказка с эталонным ответом. Реф по дефолту скрыт, чтобы ты сам думал, а не подсматривал на каждом шагу. Застрял — есть текстовые подсказки со ссылками на доки, ну а если совсем туго, можно открыть полное решение и разобрать его. Заходит как с ПК, так и со смартфона, так что прокачиваться можно даже в метро. ➡️ https://dbquacks.com Карманный хакер

🤩 376 байт. Запомни эту цифру. Меньше, чем весит средняя иконка на твоём рабочем столе. Именно столько кода понадобилось, чтобы в январе 2003-го положить половину интернета и войти в историю как один из самых разрушительных червей всех времён. Знакомься — Slammer. За первые 10 минут жизни этот малыш заразил больше 75 тысяч машин. Не за день, не за час — за десять минут. Скорость распространения была такой, что исследователи потом ещё долго чесали затылок, пытаясь понять, как такое вообще возможно. Спойлер: возможно, когда админы по всему миру забивают на патчи. Технически всё было до смешного просто. Червь эксплуатировал дыру в Microsoft SQL Server и MSDE. За полгода до эпидемии Microsoft выкатила патч MS02-039, который закрывал уязвимость. Но кто из админов в 2002-м реально ставил патчи вовремя? Вот именно. Классическая история, которая повторяется до сих пор — от WannaCry до свежих CVE. Логика червя умещалась в пару строк кода: сгенерируй случайный IP, отправь себя туда, если на той стороне непропатченый SQL — заражай и повторяй. Никакого шифрования, никакой полезной нагрузки, никаких бэкдоров. Чистая, рафинированная репликация. И именно эта простота сделала его монстром. Дальше началась цепная реакция, которая навсегда вошла в учебники по сетям. Маршрутизаторы захлёбывались трафиком и падали. Соседние роутеры рассылали уведомления об обновлении таблиц маршрутизации. Эти уведомления добивали следующие узлы. Те при перезагрузке снова обновляли таблицы и снова падали. И всё потому, что весь червь умещался в один UDP-пакет на 376 байт. Один пакет — одно заражение. Никакого хендшейка, никаких подтверждений. Огнемёт в чистом виде. Итоги были эпичны. Глобальный трафик подскочил на 25%, Южную Корею фактически отрубило от мировой сети, банкоматы Bank of America встали колом, в Канаде едва не сорвали первое электронное голосование, а в штате Вашингтон легла служба 911. Да, экстренная служба. Люди реально не могли вызвать скорую из-за червя в 376 байт. И самая красивая вишенка на торте — автора так и не нашли. Есть теория, что писал не один человек: в коде прослеживаются разные стили. Но это всё домыслы. Кто бы ни стоял за Slammer — он создал самое элегантное оружие массового поражения в истории интернета и спокойно растворился в темноте. Идеальное преступление. Карманный хакер

🖥 Твой комп вдруг начал гудеть как взлётная полоса, кулеры воют, а температура CPU стабильно держится в районе адских температур даже на простое? Поздравляю, скорее всего кто-то решил намайнить себе крипты за твой счёт. Современные скрытые майнеры умеют прятаться так, что обычный антивирус разводит руками и делает вид, что всё чисто. Откопал годную тулзу под названием Miner Search. Заточена ровно под одну задачу — выкуривать скрытых майнеров из всех щелей системы. Сканит подозрительные файлы, каталоги, процессы, реестр — короче, лезет туда, куда обычный антивирус поленится заглянуть. Важный момент: это не замена антивирусу, а вспомогательный инструмент. Используется как скальпель, а не как швейцарский нож. Из плюсов — полностью открытый исходный код, автор активно пилит проект, есть документация на русском. Из требований — только NET Framework 4.7.1, который и так стоит у большинства. Накатил, прогнал, проверил — и спишь спокойно, зная что твоё железо работает на тебя, а не на чужой кошелёк. ➡️ https://github.com/BlendLog/MinerSearch Карманный хакер

Купил умный замок за полтиник, поставил, подключил к телефону и думаешь, что теперь твоя квартира — крепость? Спешу разочаровать. Красивая железка с приложухой и блютусом часто защищает хуже, чем китайский навесной с алика. И этому есть пруфы. Парни из "Бастиона" выкатили годный разбор пяти векторов атак на умные замки. Тема, которую в паблике почти не обсуждают, хотя физическая безопасность через IoT — это сейчас один из самых жирных и недооценённых аттак-сёрфейсов. Производители гонятся за фичами и красивым UX, а в это время базовые принципы безопасности летят в окно вместе с твоими ключами. Если интересно, как ломают эти "крепости" — от радиоканала до приложения — обязательно к прочтению. Полезно и тем, кто уже поставил такое чудо домой, и тем, кто только думает. ➡️ Читать статью Карманный хакер