CyberYozh

Он вам нечего вам не обещал Все уже миллион раз обсудили, насколько не анонимен Telegram. Но… почему вообще решили, что он должен быть анонимным? 🧊 Без нежных прелюдий — сразу ко дну айсберга: Павел Дуров ни разу не говорил «Telegram» и «анонимность» в одном предложении. Только «приватный» и «конфиденциальный». Приватность — это про то, что ваши переписки не будут кому-то переданы в незашифрованном виде. И всё. Если вы зарегистрировались по номеру телефона, заходите без VPN, пишете в публичные чаты — вы сами отказываетесь от этой самой приватности. И да: всё, что вы сами оставили в Telegram, будет передано по запросу правоохранителей. Это не нарушает политику приватности. Как и передача ключей. Конфиденциальность в Telegram ограниченная. Единственное, что Дуров пообещал за 12 лет — не выдавать личные переписки и не внедрять бэкдоры. Отсюда и начинается геноцид этнических осинтеров: если вы живёте на свободной территории и собираете досье на её жителей — это может закончиться депортацией. Пример: деанон владельцев стикерпаков. Территория дала человеку приватность, а вы рассказали, как её нарушить… Добро пожаловать в ДуровГулаг. 💀 А анонимность? Никто не мешает вести анонимную активность в Max или WeChat. Анонимность — это не про мессенджер. Это про ваши знания. И уж точно не про обещания тех, кто этот мессенджер делает.

😎Хакерское послание на любимой шаурмечной В мои школьные годы максимумом крутости была карточка «Сплава» из Человека-паука. А у нынешних школьников мода — взломанные LED-панели с бегущей строкой. Работают такие панели через открытую Wi-Fi-сеть, без шифрования. То есть буквально: достаточно поймать сеть, ввести дефолтный пароль — и бегущая строка уже твоя. Как правило, китайцы ставят пароль 12345678 или 88888888, а «ответственные» предприниматели забывают его поменять. Ну, как видите, у всех гендеров проблемы с паролями. А вы всё над Аэрофлотом смеётесь.

Знаю, как вы не любите, когда я тут курсы рекламирую. Но… потерпите разочек 🦔 1. В «ИнфоРазведчике» заканчиваются места. Поток один, повторов не будет. 2. Курс месяца со скидкой — Hacker Point. А месяц, между прочим, заканчивается… 3. Лютейший набор «CyberPack: Classic» завтра превратится в тыкву и вернется только в 2026 году. Вроде все товары по акции предложил… пакетик брать будуте?

Легендарный SpeedTest отРосКомНадзорили Ну… я не знаю, кто им пользовался. По мне он годился только для установщиков от провайдера, чтобы показывать:

«Вот смотри, мы обещали тебе 300 мбит, а у тебя их 700!!!»

Я всегда рекомендую Speed Test от cloudflare Потому что помимо ваших «скоростей» и «пингов» он показывает действительно важные метрики — latency (задержка) и jitter (дрожание). 🐒 Latency — более точная альтернатива ping, потому что учитывает: • маршрутизаторы • DNS-запросы • интерфейсные задержки и т.д. Например, если вы играете через VPN, то обычный ping — это фейк. Latency покажет реальную задержку до сервера, с учётом всего туннеля. 📉 Jitter — это нестабильность задержки. Насколько сильно колеблется время доставки пакетов. • Нормальный джиттер: <20 мс • Плохой: >30 мс 📹 При видеозвонках джиттер = заикание голоса, сбои и робовойсы. 🎰 В играх — телепорты, фризы, разбитые клавиатуры и прогоревшее очко. Теперь можете предъявлять провайдеру по фактам, а не по их любимому «у вас же скорость нормальная…»

Ты спрашивал - мы отвечаем! Новый формат на канале Q&A 📱 Смотреть видео [13:16] 🟪Какой VPN лучше для пентеста? 🟪Почему не получается bug bounty? 🟪Как отвечать на собеседовании? 🟪Как работать с SQL-инъекциями? Мы собрали ваши вопросы из Telegram и в новом видео разложили всё по полкам. 💬 Хочешь, чтобы твой вопрос попал в следующее видео? Пиши его в Telegram!

Атака по змеиному логову 🐍 В США стремительно набрало популярность приложение Tea. Коротко: доступ только для женщин, суть — обсуждать мужчин из их города (по фатку пробив). Регистрация простая: ты должна быть женщиной и загрузить фото водительских прав. Нет, проблема не в дипфейках и бесконечном количестве прав, которые валяются в открытом доступе. Сейчас не про шпионов с валынами 😇 Приложение разрабатывали преимущественно вайб-кодингом. Для тех, кто не в курсе: есть особый вид разработчиков, которые пытаются доказать, что можно писать код, используя только LLM. Если сравнивать с обычным миром — это что-то между радикальными феминистками и сектой. Какой итог? Пришёл 4chan, нашёл незащищённую базу Firebase и — здравствуй, утечка. Слито: — 1,1 млн личных сообщений — 72 000 фотографий — около 13 000 водительских удостоверений Вот и посекретничали.

Взлом французского ядерного оружия

По данным Clash Report, злоумышленники получили доступ к конфиденциальным данным, в которых содержатся исходный код боевых систем, программное обеспечение для ядерного оружия подводных лодок, документы на истребители Rafale-M, внутренние электронные письма, сетевые данные, системы моделирования.

Пока что основной комментарий «проверяем». Но! Даже если это просто форумный троль — то он очень хорош. А может фанаты XSS мстят?

🤔Кем стать в кибербезопасности, чтобы получать 400к и ломать системы - легально. Кибербез - это сфера, где ты можешь атаковать, защищать или расследовать, получая за это хорошие деньги. Новая статья поможет определиться и выбрать путь. 🦔В этой статье полезная информация для новичков: 🟪Кто такие атакующие, защитники и универсалы. 🟪Сколько платят: от новичков до  директоров. 🟪Как понять, что твоё: хакать, защищать или быть связующим звеном. 🟪Почему кибербез - твой билет в будущее, где ИИ не отнимут работу. 💬Читай статью и пиши в комменты: кем хочешь стать? Полный текст ▶️ тут

В сообщения канала некий аноним прислал вероятную схему работы «ГосVPN». Добавлено пару новых этапов, но вроде ничего страшного? Даже?

ГосVPN Не знаю, в последнее время — одна новость лучше другой… Принцип простой: всё, что было заблокировано не нами — должно быть разблокировано.

Инициативу озвучил Герман Клименко — глава совета Фонда развития цифровой экономики и бывший советник президента по интернету. По его словам, «ГосVPN» может работать в рамках закона и стать альтернативой зарубежным сервисам, которые либо недоступны, либо «нарушают законодательство».

Круто. Даже не знаю, что сказать. Накатал вам пока несколько инициатив для автоматизации кураторства: 1. Яндекс.Браузер со встроенным AI-куратором. Увидел на странице упоминание запрещённой организации — автоматически подставляет дисклеймер со звездочкой и кнопкой «покаяться». 2. Wi‑Fi «РодинаFree» (над названием стоит подумать). Обязываем бизнес ставить везде бесплатную точку доступа. Представьте… mitmproxy, клонирование куки и авторизация через услуги. 3. Правки BIOS по ГОСТу. Запрещается продавать собранные компьютеры без прошитой привязки MAC-адреса к аккаунту на Госуслугах. 4. Операционка «ГосУбунта». Каждую sudo-команду нужно подтверждать визитом в МФЦ. 5. Антивирус «Скрепы». Обнаруживает и удаляет файлы, содержащие либеральные мысли. При угрозе — блокирует Word. Следите за CyberYozh — здесь инициативы за которые платят премии!

✈️ Акция «Добро пожаловать на борт» С 28 июля по 3 августа по промокоду AERO, вы сможете получить скидку 15% на курс «Инженер по информационной безопасности». В курсе есть отличный бесплатный модуль, который наши студенты оценивают на 9.8 балла! Про пароли, обновления ПО и здравый смысл. Полезно, даже если ты — топ-менеджер. Особенно — если топ. Успевайте, на рынке ИБ ожидается много вакансий и специалисты будет «отлетать» мгновенно. Для юрлиц тоже предусмотрена скидка.

Глава «Аэрофлота» не менял пароль с 2022 года — об этом заявила хакерская группировка, взявшая на себя ответственность за взлом. По их словам, в сети авиакомпании до сих пор используются старые системы Windows XP и 2003, что и позволило взломать всю инфраструктуру. Операция длилась около года.

Источник я не проверял, так пишут на каналах. Верим?

Тут на одном из каналов выложили скриншот, что безопасникам в Аэрофлот платили как кладовщикам. Мудро. Так понимаю, теперь уже защищать уже нечего?

Генпрокуратура подтвердила хакерскую атаку на «Аэрофлот» Ну, первое, что хочется сказать — дорогой Аэрофлот, нам птичка напела, где вы обучали своих сотрудников. Может, пора попробовать наш курс «Инженер по информационной безопасности» или «Пентест AD»? 😉 (Сорри, не смог удержался) Второе — ответственность на себя взяла группа Silent Crow. По их заявлению, они находились внутри корпоративной сети БОЛЬШЕ ГОДА. Если это правда, то это можно сравнить, с тем, что кто-то живет у вас дома, пользуется вашим Wi-Fi и кушает из вашего холодильника. А вы об этом не знаете… 🐌 Что успели за это время: — Уничтожили около 7000 физических и виртуальных серверов — Утащили 20+ ТБ данных, включая корпоративную почту и внутренние документы Если кто-то может оставаться в инфраструктуре больше года — это не про защиту от взлома. Это про отсутствие базового мониторинга, реагирования и много еще чего….

ChatGPT теперь официально крысятничает 🐀

Если вы делитесь с ИИ чем-то личным, эти данные при необходимости могут потребовать в суде.

И это не байка, а прямая цитата генерального директора OpenAI — Сэма Альтмана. Мы давно знаем, что Сэм — человек, который всегда держит «чёрный ход» открытым. И теперь он официально признал взаимодействие с правоохранительными органами. Как он прокомментировал причину? Мол, ChatGPT — не врач, не юрист и не священник. Поэтому никакой профессиональной тайны. Я немного подушнил и пересмотрел старые ролики на YouTube-канале OpenAI. Да, они позиционировали GPT как помощника — в учебе, кодинге, даже в Доте… Но никогда — как инструмент, где можно хранить личное или чувствительное. А при этом — всегда сохраняли и анализировали запросы. 👩‍🔬Так что если вы когда-то промптили GPT на тему химии, DIY-лабораторий или просто пытались достать запрещёнку… Поздравляю: где-то уже лежит ваша папочка. Ну что, пытались когда-то развести ChatGPT на запрещёнку? 👍 Да | 👎 Нет

🥸 Рубрика OSINT-инструменты Хочешь начать разбираться в OSINT, но кажется, что это слишком сложно? Это очередной инструмент, с которым даже новичок почувствует себя кибердетективом. 🔍 YaSeeker: вычисляем, что скрывает ник в Яндексе Представь: ты расследуешь инфу о человеке и знаешь его ник в Яндексе. YaSeeker за пару секунд вытащит, какими сервисами Яндекса он пользуется - от почты до облака. Это твой первый шаг, чтобы понять, где человек оставил следы, не ломая ничего и никого. 👨‍💻 Как запустить? 1. Клонируй репу (лучше на Kali Linux, но Debian/Ubuntu тоже подойдут): git clone https://github.com/HowToFind-bot/YaSeeker.git 2. Перейди в папку: cd YaSeeker 3. Установи зависимости: pip install -r requirements.txt 4. Зарегистрируй левый аккаунт Яндекса, установи расширение для экспорта cookies (например, Get Cookies.txt). Это необходимо, чтобы инструмент прит­ворил­ся реаль­ным поль­зовате­лем перед Яндексом. Перейди на Яндекс, сохрани cookies в файл cookies.txt в папке YaSeeker. Называть надо именно так, потому что путь к файлу нельзя настроить вручную. 5. Запусти: python3 yaseeker.py <ник_пользователя> Скрипт выдаст список сервисов Яндекса, связанных с ником. Для рунета - просто находка. Хочешь больше? Тогда надо комбинировать с другими OSINT-тулами в одном скрипте. ⚠️ Осторожно! Используй только на своих аккаунтах или с явного разрешения. Тестируй этично, будь умнее. 💡 Зачем тебе это? YaSeeker - научит видеть цифровые следы и даст практику для первых расследований.

🦔ИнфоРазведчик: операция «Инсайд 08-25» Старт 21 августа Это не курс. Это экспериментальная подготовка киберразведчиков. Ты не будешь «учиться» — ты будешь выполнять реальную разведоперацию: → Выйти на сотрудника конкурента → Установить контакт → Вытащить инсайдерскую информацию → Собрать и оформить досье Стоимость обучения 15 000₽ 👈 Длительность 4 месяца, но не стоит ждать халявы. Есть практические занятия, проверка и дедлайны, за несоблюдение которые — отчисление. 🟡Если за первые 30 дней ты поймёшь, что не тянешь — мы вернём деньги. 🟡Если тебя отчислят в первые 30 дней — тоже вернём деньги. 🚨Места строго ограничены 30 участниками! Это не коммерческий продукт. Это эксперимент, который должен показать, как на самом деле должна выглядеть подготовка в интернет-разведке. Подробности — в канале Академии: • Программа курса и преподаватели • Почему так дешево • Условия обучения, отчисления и возврата По всем вопросам: @cyberhackGL

✉️Разоблачаем мифы: Telegram не такой анонимный, как ты думал. 📱 Лови видео [10:49] Считаешь Telegram самым безопасным месенджом? Пора снять розовые очки. Новое видео - про уязвимостям Telegram и способам защитить себя. Это реальность, которую нужно знать. 🔍 Что не так с Telegram? 🟪Telegram хранит ключи от твоих чатов 🟪собирает метаданные (IP, устройство, страна) 🟪может передать их властям. Номер телефона? Прощай, анонимность. Давид разбирает в видео: 🟡Почему обычные чаты - это мина замедленного действия. 🟡Как секретные чаты спасают (и где их подвох). 🟡Почему боты и группы - ловушка для твоих данных. 🟡Как виртуальные номера помогут. Ну что, голосуем? 👎 - Переходим в Маx 👍 - Остаемся в телеге

Вдохновленные Оруэллом Пару занятных цифр для затравки: 1. Один человек делает около 950 поисковых запросов в год 2. В списке экстремистских запросов — 5500+ наименований Но мы же тут не простые смертные, а технари. Давайте по фактам: как именно может отслеживаться, что ты ищешь? 📡 DPI — сердце СОРМ-3 и «пакета Яровой» Операторы обязаны ставить DPI-системы на сетевых шлюзах. Это штуки, которые смотрят на уровне приложений (L7): URL, параметры запроса, User-Agent, Host, Cookies. DPI всегда может видеть домен (через SNI) и поведение клиента, но не текст запроса напрямую — если, конечно, не задействовано MITM-подключение, как в VK Protect Простыми словами:

Ищешь «скачать книгу [вписать фамилию австрийского художника]» → DPI видит, сохраняет IP и параметры запроса → формируется инцидент или алерт

🧾 Логирование по ФЗ-187 Народные поисковики, соцсети, мессенджеры — обязаны: • Логировать запросы, IP и ID устройства • Хранить это добро до 6 месяцев • Отдавать силовикам — либо через СОРМ, либо по бумажке 💬 Корреляция с федеральным списком экстремистских материалов (ФСЭМ) DPI или, скажем, Яндекс фиксирует твой запрос → сверяет его с ФСЭМ → при совпадении создаётся инцидент. Но не думай, что можно обойти это намёками. Существуют технологии fuzzy matching и AI-модели, которые прекрасно понимают, что ты имел в виду, набирая «скачать настольную книгу австрийского художника» (распознание паттернов ИИ-хит 2025). Какой вывод? Остаётся надежда, что одного запроса недостаточно, чтобы прилетел штраф. Нужно будет доказать, что пользователь действовал осознанно. Для этого, скорее всего, будет отслеживать: • Повторные запросы • Время на странице • Попытка распространения (репост, пересылка, чат) • Использование VPN или TOR • Загрузка контента с источника Хотя… может это будет что-то типо автомобильных штраф — присылаем, если не согласен, то сам придет. Уже знаешь, как будешь обходить? 👍 — Да, это слишком просто. 👎 — Нет, я буду ждать экспертов в комментариях.

Комиссар Жибер поймал администратора XSS

Европейские правоохранители задержали в Украине предполагаемого администратора русскоязычного хакерского форума XSS.is, который считается одной из главных площадок для мировой киберпреступности.

Ну окей, XSS либо закроют, либо активность сильно спадет… Но при любом исходе, это минус ещё одна точка наблюдения за теневым рынком. Парадокс в том, что новыми схемами и сливами следят именно на таких форумах. Получается, выстрелили себе в ногу. Второе о чем можно задуматься — почти все громкие задержания администраторов последних лет касаются именно финансовых преступлений. И как будто «команда Жибера» не особо горит желанием трогать форумы, где открыто торгуют оружием, запрещенной порнухой, наркотиками, бананами и людьми. Похоже на допинывание форумной культуры, которая и так доживает своё. Да, кардерские и хакерские площадки — токсичная штука, никто не спорит. Но, может, стоит пересмотреть приоритетные цели?