Карманный хакер

🖥Факт, от которого фанаты “самой удобной ОС” обычно нервно кашляют: все 500 суперкомпьютеров из Top500 работают на Linux. Не 90%, не “почти все”. 100%. Ноль других ОС. Почему так? Потому что суперкомп — это не “красивый интерфейс”, а тысячи узлов, параллельщина на стероидах, адский I/O и железо, которое надо гнуть под задачу, а не под маркетинг. Linux здесь не “выбор по любви”, а инструмент: кастомится, режется, оптимизируется под архитектуру и реально живёт в кластере, а не в презентации. Summit (США), Sunway TaihuLight (Китай), Fugaku (Япония) — все сидят на специализированных Linux-сборках. Не потому что “так исторически”, а потому что иначе оно просто не взлетит по управляемости и эффективности. И да, тот же принцип внизу пирамиды: облака, ЦОДы, прод-инфра — везде, где важны мощность и надёжность, чаще всего стоит Linux. Потому что когда цена ошибки — миллионы, “удобненько” резко перестаёт быть аргументом. По странам в Top500: Россия — 20 место, 5 систем. В топе США — 171, дальше Япония — 43, Германия — 40, Китай — 40. Полный список Карманный хакер

🖥 Docker внезапно решил сделать добро и открыл бесплатный доступ к Docker Hardened Images (DHI). Это больше 1000 “похудевших” образов на Alpine/Debian — под разные runtime, тулзы и платформы. Лицензия Apache 2.0, поддержка — на стороне Docker. Не “какой-то образ из подвала”, а официальная витрина. Зачем это вообще нужно? Потому что большинство контейнерных “инцидентов” начинаются не с гениального взлома, а с вашего любимого развлечения: тянуть в прод образ, который последний раз обновляли при динозаврах, и потом удивляться CVE-шкам. DHI пытается закрыть самую тупую часть боли: патчи и обновления базового слоя делают ребята из Docker, а вы уже отвечаете за своё приложение и те зависимости, которые сами притащили. То есть меньше “зоопарка” внизу — меньше шансов словить дыру просто потому что лень. Плюс они давят supply chain: заявляют сборку из исходников, контролируемые namespaces, ревью и “cooling-off period” перед тем, как новая версия доедет до людей. Это не броня от всего, но это лучше, чем “поставил latest и помолился”. Но не расслабляйтесь: hardened image не лечит кривые Dockerfile’ы, root в контейнере, секреты в ENV и открытый kube-api. Это просто меньше мусора в базе. Первоисточник Новость Карманный хакер

😂Teleport словил remote auth bypass на максималках: CVE-2025-49825, CVSS 10.0. PoC уже в открытом доступе — и это тот момент, когда “да у нас доступ через гейтвей” превращается в “у нас проходной двор”. Суть в старом добром классе косяков Teleport — логика выдачи сертификатов и проверки identity. Такое у них уже всплывало: 🟢CVE-2022-36633 🟢CVE-2022-38599 Для access-gateway это не “уязвимость”, это “моментальный ключ от всей хаты”. Баг живёт в /v1/webapi/sessions/web: Teleport Proxy криво переваривает JWT-подобные пейлоады и способен принять user: admin без нормальной валидации сертификата и cert_authority. Дальше атакующий подсовывает крафтовый X-Teleport-Cluster, инициирует выпуск легитимной сессии — и получает полный доступ без кредов и без аутентификации. Как это обычно крутят: находят публичный Teleport Proxy на 443 с уязвимой версией → шлют запрос на /v1/webapi/sessions/web с подделанным X-Teleport-Cluster → получают session token → логинятся через tsh как админ, а RBAC-роли подтягиваются без доппроверок → дальше открывается весь шведский стол: SSH к внутренним серверам, RDP, Kubernetes API, базы через Teleport Proxy, добавление своих SSH-ключей, персист, вынос данных — и всё это можно замаскировать под “легитимный” audit-трафик. Массовых подтверждённых эксплуатаций “в поле” пока не видно. Патч доступен с июня 2025 — так что если у вас это торчит наружу и не обновлено, вы не “рискуете”, вы уже участвуете. Источник Карманный хакер

😎Сегодня, оказывается, “Всемирный день безопасного интернета”. Никогда не слышали? Я тоже. Но он существует — как та бабка: мертва, а по документам жива. Эту дату придумала Европейская комиссия ещё в 2004 году. То есть празднику больше 20 лет, а большинство вспоминает о нём ровно один раз в год — случайно. В русскоязычной Википедии про него вообще четыре строчки, зато у инициативы есть свой сайт и бодрый брендинг, как у любого “добра с презентацией”. Двигают историю две структуры: Insafe и European SchoolNet (объединение европейских министерств образования). Их трактовка “безопасного интернета” на удивление адекватная: это не про тотальную цензуру и “запретить всё на всякий случай”, а про защиту людей от мошенников, скама и тупых ошибок. То есть про гигиену: не раздавать личные данные, не сливать пароли, не вестись на “подтвердите код”, не кормить фейковые “службы безопасности”. Подробнее: https://better-internet-for-kids.europa.eu/en/saferinternetday Карманный хакер

🖥 “rm -rf /” — не мем, а реальный некролог. Одна команда. Один “я сейчас быстренько почищу”. Один лишний пробел, слэш не там, переменная пустая — и сервер превращается в урок, за который платит бизнес. Не метафорически, а буквально: сервисы падают, конфиги исчезают, ключи улетают в небытие, логи — тоже, чтобы вам было веселее расследовать. Самое мерзкое: это не хакерская атака, не 0day и не “сложный инцидент”. Это самострел. И случается он чаще, чем принято признавать, потому что стыдно. А ещё потому что root-шелл у людей выдаётся как конфета, а прод “подправить” можно прямо руками, без ревью, без ограничений, без страховки. Если у вас на проде всё ещё нормально запускать destructive-команды от root, без бэкапов, без immutable/readonly, без минимальных прав и без банальной защиты от “пустых переменных” — вы не админите. Вы играете в русскую рулетку, только барабан полный. Вопрос в лоб: у вас rm на проде — это инструмент или оружие массового поражения? И когда последний раз вы проверяли, что восстановление реально работает, а не “где-то есть бэкап”? Карманный хакер

😱K8s: одна RoleBinding — и привет cluster-admin. Kubernetes обычно не “взламывают”. Его сдают по доброте душевной, когда RBAC пишут в стиле “да похер, лишь бы деплой прошёл”. И потом начинается любимый корпоративный жанр: “как так вышло, у нас же всё по неймспейсам”. Да очень просто: один кривой RoleBinding/ClusterRoleBinding — и у атакующего экскурсия по кластеру как по собственной кухне. Самая частая могила — это любые привязки к cluster-admin “временно” и “для удобства”. В Kubernetes нет ничего более вечного, чем временный cluster-admin, особенно если он прикручен к широким группам вроде system:authenticated или всем сервис-аккаунтам неймспейса. Это не доступ, это капитуляция с печатью. Следом идёт любимая песня “dev не жалко”. Когда в дев-неймспейсе вы делаете RoleBinding на жирный ClusterRole, вы сами строите мост из песочницы в прод. Потому что именно в dev обычно валяются токены CI, креды к registry, kubeconfig’и “для проверки”, секреты “на тест”, и живёт админ, который “на минутку зашёл”. Атакующему этого достаточно. Дальше — сервис-аккаунты, которым вы выдаёте права “на всякий случай”. Сервису нужно читать один ConfigMap, а ему разрешают смотреть Secrets, создавать Pods, патчить что-то “потому что иначе падает”. Это уже не сервис. Это стартовый набор для lateral movement. И да, автомонтирование токена ServiceAccount по умолчанию — отдельный цирк: вы буквально кладёте пропуск в каждый под, а потом удивляетесь, что кто-то этим пропуском воспользовался. Отдельная грязь — право impersonate. Если оно у кого-то есть, это значит “я могу надеть чужую форму и говорить, что я Вася/сервис-аккаунт/группа”. Потом вы будете смотреть логи и спорить, кто это был, вместо того чтобы признать: это был ваш RBAC. И вот жирная точка: если у кого-то есть право создавать или патчить roles/rolebindings (а тем более clusterrolebindings), то этот “кто-то” уже почти cluster-admin. Потому что возможность менять RBAC — это возможность назначить себе любые права. Тут не нужно быть гением, нужно просто не быть стеснительным. И вишенка на этой помойке — “удобный дебаг”: pods/exec, attach, portforward. Это не про удобство, это про доступ внутрь контейнеров, где обычно лежит всё, что “мы не храним в коде”: токены, конфиги, ключи к API и прочие радости. Дайте это не тому человеку — и он найдёт, где у вас настоящие секреты. Карманный хакер

🤯Похмелье после Sha1-Hulud и GlassWorm подъехало. И оно не ласковое. На этот раз зацепило Plone (Python CMS) — ту самую, что в начале года чудом ушла от supply-chain мясорубки. Чудо закончилось: в пять репозиториев организации пытались засунуть чужие руки. Но успели заметить и откатить до релиза — редкий случай, когда пожар потушили до того, как дом стал новостью. Фокус грязный и гениально тупой: сломали одного разработчика, утащили его личный GitHub-токен, дальше — force push и “магия пробелов”. В диффе у тебя “ну добавили whitespace”, а настоящая дрянь прячется за километром пробелов справа, за пределами видимости терминала. На GitHub это видно только если нажать “показать ещё”. По словам менеджера Plone Мауритса ван Рееса:

меняли JavaScript в Plone — потом код выпилили.

И да, целились не в посетителей сайтов, а в других разработчиков Plone. То есть не “вирус на прод”, а “вирус в людей, которые делают прод”. Начинка: шелл-скрипты на персистентность, затем RCE, затем пылесос: креды, API-ключи, браузерные профили, файлы криптокошельков. Полный комплект “вынеси всё, что не прикручено”. Как токен утёк — неясно. Но владелец сказал, что злоумышленник держал доступ около двух месяцев. Пахнет тем самым октябрём, когда саморасплодившиеся черви Sha1-Hulud и GlassWorm гуляли по npm/VSCode-экосистемам. Plone теперь режет по живому: пересматривают безопасность, отключают рискованные Git-операции и права, включая принудительную отправку изменений. Вывод прост: supply-chain снова в моде. Скоро будут не только новые атаки — будут новые “ой, а мы не заметили”. Будем наблюдать. Карманный хакер

😱РКН вышел на сцену с бензопилой и отчётом: минус 4,7 млн сайтов. Не “почистили”, а именно — выжгли, закатали, закрыли крышкой. Цифры озвучили в Мосгордуме, работают сразу по 30 категориям “нельзя”. По раскладке — классика чёрного списка: 🟢858К — наркопропаганда 🟢641К — детская порнография 🟢538К — суицид-контент 🟢300К+ — экстремизм Отдельной строкой: 255К материалов “про ЛГБТ” — в РФ движение признано экстремистским и запрещено. И самое бодрое: РКН ускорился. За 2025 уже 1,289 млн ограничений — это +59% к прошлому году (810,5К). А запреты по VPN, говорят, вообще улетели в космос: +1235%. Интернет сжимают в кулак. Шумно. Быстро. По плану. Карманный хакер

👩‍💻 Introducing Oracle Linux Enhanced Diagnostics. Не совсем наша тема, но мимо пройти — значит потом снова нюхать дымящийся прод и делать вид, что “само рассосётся”. Oracle выкатили Oracle Linux Enhanced Diagnostics — набор железных тулз, скриптов и конфигов, которые лезут в кишки Linux и вытаскивают на свет то, что обычно прячется под “вроде работает”. Статья с вводной тут. Дальше — мясо. У каждой штуки есть свой мануал, без воды: 🟢memstate — рентген памяти. Выловит, где RAM утекает и кто жрёт, как будто последний день. 🟢kstack — когда процесс завис и делает вид, что его не существует. Достаёт стек и показывает, где он умер. 🟢scripts — набор “спецсредств” под редкие, мерзкие баги. В том числе по сети. 🟢syswatch — ловушка на CPU-истерики: достигли порога — выполняет ваши команды. Идеально, чтобы поймать момент, когда систему начинает трясти. 🟢scanfs — проверяет KVM-диск-образы на битые ФС без остановки VM. Да, без “давайте ночью перезапустим”. Код и инструменты здесь И общий блог по Oracle Linux И самое вкусное: это всё изначально было внутренним оружием Oracle, но они взяли и вывалили в паблик. Пользуйтесь — и пусть ваши инциденты умирают тихо и быстро. Карманный хакер

🤡PTT ≠ only Mimikatz. Если для тебя Pass‑the‑Ticket — это “достал mimikatz → kerberos::ptt → стал королём домена”, то поздравляю: ты воюешь с призраками из 2017-го. В реальности домен падает не от одной утилиты, а от того, что Kerberos-билет — это пропуск. Украл/подсунул пропуск — ходишь как свой. Тихо. Грязно. Легально выглядя. И билет добывают не “священным mimikatz’ом”. Его добывают потому что вы оставили щели: .kirbi валяется на шаре/в профиле/в таске “для удобства” TGT/TGS вытаскивают чем угодно: Rubeus, Kekeo, Impacket, банальный LSASS dump — выбирай оружие по вкусу delegation — отдельный аттракцион. Unconstrained? Это не “фича”, это раздатка билетов всем желающим S4U/служебки/кривые SPN’ы — билетики появляются там, где админ хотел “чтобы работало” а дальше — инжект и lateral по сервисам, пока ваш мониторинг курит в сторонке Самое смешное (и самое жалкое) — как это детектят. Защитники охотятся на “сигнатуру mimikatz”, будто это единственный нож в городе. Нож можно сменить. Руки — нет. Техника остаётся: злоупотребление Kerberos, а не конкретная exe-шка. Если у вас “защита от PTT” = “мы блокируем mimikatz”, то это не защита. Это самоуспокоение с запахом корпоративного отчёта. Вопрос в лоб: что у вас реально ловит PTT — аномалии по 4768/4769 (источник, сервисы, время жизни, нетипичные хосты), контроль delegation, EDR по LSASS/dump, или всё ещё надежда на чёрный список утилит? Карманный хакер

🤩 Откуда взялся security.txt ? security.txt появился не потому, что “так надо по стандартам”, а потому что компании годами играли в прятки: ты находишь дыру, а куда писать — квест уровня “найди security@ в аду”. В лучшем случае есть форма “Свяжитесь с нами”, которая отправляет репорт в чёрную дыру саппорта. В худшем — тишина, и потом они удивляются, почему баг всплыл в паблике. Примерно 10 лет назад это предложил Эд Фодил (EdOverflow), бывший аналитик HackerOne. Идея родилась на фоне DEF CON/CTF-культуры и здравого смысла: если исследователи реально помогают, дайте им нормальный, стандартный “вход” для репортов. Так и появился security.txt — как robots.txt, только для безопасности. Механика до ужаса простая: кладёте файл сюда /.well-known/security.txt и пишете человеческим языком: вот Contact (куда стучать), вот Encryption (как шифровать), вот Policy (как вы хотите disclosure), вот Acknowledgements (кого вы благодарите). Всё. Один маленький файл — и внезапно у вас меньше хаоса, меньше токсичных переписок и больше шансов узнать о дыре до того, как её узнают все. Да, в ранних черновиках хотели запихнуть ещё жирные поля про bug bounty: in-scope/out-of-scope, rate-limit, reward, payment, donate и даже disallow. Но автор не стал — ему сказали “давай сначала посмотрим, как отреагируют владельцы сайтов”. В итоге стандарт дожали до RFC 9116 в 2022-м и докрутили: добавили Expires (чтобы контакт не протух), Preferred-Languages (чтобы не было “пишите только на эльфийском”), Hiring (вакансии, почему бы и нет). Важный момент для тех, кто любит умничать: security.txt не заменяет старую базу типа security@domain (RFC 2142). Он просто делает это не “где-то должно быть”, а “вот здесь лежит”. И теперь самое смешное: приживается он вяло. По оценкам на больших выборках — доли процента. То есть индустрия всё ещё предпочитает, чтобы о критической дыре ей писали… куда-нибудь. Зато отдельные страны начали давить законом: Нидерланды, США (через CISA) — потому что до рынка, видимо, не всегда доходит через голову. У нас примеры тоже есть: gosuslugi.ru/security.txt, mos.ru/security.txt. Вопрос к вам: вы хоть раз реально находили security.txt на сайтах, которыми пользуетесь каждый день? Или всё ещё “пишите на info@, мы вас обязательно проигнорируем”? Карманный хакер

🤟SMS-коды — картонная броня. Снаружи вроде защита, по факту — “ну хоть что-то”. Это не второй фактор, это второй шанс для атакующего. SMS можно: 🟢перехватить через SIM-swap, перевыпуск, “я потерял телефон” у оператора 🟢утащить на заражённом смартфоне уведомлением/трояном 🟢выманить фишингом за 15 секунд (“срочно продиктуйте код, иначе блокировка”) 🟢обойти через SS7/переадресации/дубликаты SIM — да, это всё до сих пор живо 🟢сломать твоей же ленью: “код пришёл? скинь, я проверю” И главное: SMS не привязан к сайту. Код не знает, куда ты его вводишь — в банк или в клон банка. Ему всё равно. Он просто бежит по сети, как открытка без конверта. Если у сервиса “2FA = SMS”, считай, что у него 1.2FA. Вроде крепче, чем ничего, но от реальной атаки спасает плохо. Нормальная броня — это то, что не отдаётся голосом и не пересылается: passkeys/WebAuthn, FIDO-ключи, хотя бы TOTP в приложении (и то с оговорками). Карманный хакер

Твой пароль — мусор. Не потому что ты “тупой” или “ленивый”, а потому что сам механизм умер морально. Пароль — это секрет, который должен помнить человек, вводить на чужом интерфейсе и никогда не палить. Уже звучит как анекдот. Ты придумываешь “сложный” пароль, а потом: — используешь его повторно, потому что иначе жить невозможно — сохраняешь в браузере, потому что иначе жить невозможно №2 — вводишь его на фейковой странице, потому что она “почти как настоящая” — отдаёшь его в утечку вместе с “уникальной солью” и “лучшими практиками” — сбрасываешь его через почту/SMS, потому что так “удобно” А атакующему вообще не надо быть гением. Ему нужен либо слив баз, либо фишинговая прокладка, либо твой “одноразовый код” (который одноразовый примерно как пакет в супермаркете). Самый токсичный миф: “главное — сложность”. Нет. Главное — что пароль можно украсть, подсмотреть, перехватить, выманить, повторить, переслать, сбросить. Он переносимый. А значит — продаваемый. А вы хоть сами для себя ответь на этот вопрос: "сколько аккаунтов у вас реально на уникальных паролях — без самообмана?" Карманный хакер