CyberYozh

Здесь осталось всего 8 мест. Но советую взвесить свои силы. Тема — безусловно актуальна. А уж как компании целуют в очко охотятся за специалистами с такими навыками... Но в процессе вас ждёт хардкор. Просто посмотреть материалы не получится. Отчисления будут по дедлайнам за невыполнения практики.

Open Source по-северокорейски

Kim Lazarus Group (да, те самые из КНДР) полгода подливали вредоносные пакеты в PyPI и npm — прямо под носом у разработчиков.

Кажется, что если код открыт (Open Source), значит всё честно и безопасно. Но это не так 🖕 На самом деле это типичный пример угрозы в цепочке поставок ПО — той, которую разработчики любят игнорировать. Нам всем кажется, если использовать в проектах Open Source, то всем нам станет жить лучше, комфортнее и безопаснее. На самом деле эта комфортность очень быстро пройдет, когда в библиотеке окажется бекдор. Ну что, продолжаем доверять Open Source? 👍 — Лучше открытый код, чем корпоративные сюрприз-боксы 👎 — Главное, чтобы работало. А код — дело десятое.

Подстава подстав!

Российская APT-группа Secret Blizzard больше года вела атаку на иностранные посольства в Москве — и делала это через подделку антивируса Касперского.

Отчет Microsoft сложный, но суть простая: → Устанавливался липовый Kaspersky, внутри — малварь ApolloShadow → Добавлялся левый админ, сертификаты, правились фаерволы → Атака шла через провайдера — AiTM на уровне телекомов → Весь трафик ловили до шифрования 🤷‍♂️ Представьте, как это выглядело со стороны посольств: их трафик шёл через провайдера в России, где стоял «антивирус» местной разработки, который сам и был вирусом. Все умнее и умнее эти хакеры…

🤑Как заработать в кибербезе, если ты новичок без опыта? 📱 Лови видео [7:49] Хочешь ворваться в кибербезопасность, но в резюме пусто, а вакансии просят «2 года опыта»? В новом видео Давид разложил, как обойти этот замкнутый круг и начать зарабатывать, даже если ты только учишься. 💬 Пиши в комменты: Какие ещё способы заработка в ИБ знаешь?

Vibe Security [Осторожно: длинная подводка к сути] Знаете, что на самом деле двигатель прогресса? Правильно — желание бизнеса масштабироваться без увеличения штата. AI отлично решает эту задачу. А какие проблемы нужно решать в первую очередь? Естественно, самые дорогие. А вы в своём IT настолько охерели 😎, что вашу замену поставили как цель всего десятилетия. Последние LLM-модели круто бустят джунов. Но есть один мааааленький моментик 😑 — безопасность. 30 июля вышло исследование по 100+ AI-моделям на предмет безопасности генерируемого кода. И не всё так вайбово… В 45% случаев код сгенерирован с типовыми уязвимостями из OWASP Top 10, и не проходит базовых чеков безопасности. 📊 По языкам: • Java — самая небезопасная: 72% провалов • Python — 38% • JavaScript — 43% • C# — 45% Топ-1 косяк это XSS — 86% примеров от ИИ были уязвимы. Так что специалисты по безопасности могут пока что спать спокойно и не спешить записываться на курсы по столярному мастерству.

PhishBurger 🍔 В Румынии мошенники запустили сервис «McDelight» — копия доставки от McDonald’s. Комбо за $2, всего-то: платишь символическую сумму, проходишь опрос — и получаешь булочку с кунжутом, две котлеты, особый соус, сыр… ну вы поняли Но есть нюанс. $2 оказались подпиской, и через 14 дней у каждого «счастливчика» (а их было 10 000) — со счёта списалось 63 евро. Имя создателей пока неизвестно, но гениальность схемы сложно не признать. Соединить любовь к пожрать, игнор оферты и тягу к халяве 👏 Это вам не письма от нигерийского принца. Это уровень.

Неочевидный способ защиты от сбора биометрии Недавно британские учёные изобрели ограничение на доступ к взрослому контенту: теперь, чтобы посмотреть «hermione granger cosplay», нужно пройти биометрическую верификацию 🥸 Но есть нюанс. Система не может распознать самого татуированного человека Британии… как человека. Всё из-за технологии Liveness Detection — системы, которая определяет, живой перед камерой человек или это фото, маска, экран. Сейчас она почти везде: турникеты в метро, уличные камеры, и даже этот скам с «оплатой улыбкой», после которой деньги всё равно списываются — тоже с ней работает. Жаль, конечно, этого добряка. Но способ интересный.

😂Сколько платят в кибербезе в 2025 и что HR тебе не расскажут Хочешь знать, сколько реально капает спецам по кибербезопасности? Новая статья - это твой пропуск за кулисы. 🟪Москва vs Питер: 100к для пентесеров, 500к-1 млн для боссов. 🟪Сертификаты и навыки (Java, ISO 27000) - твой билет в топ. 🟪Сравнение с США: там Senior до $300k, а у нас до 700к! Читай, если хочешь понять, как не застрять на 100к и прыгнуть выше.

Apple официально впустила в себя Kali Linux На последнем своём спектакле под названием WWDC Apple представила Container — встроенную поддержку Linux-контейнеров напрямую, без Docker, Colima и прочей возни. 🚴‍♂️Обсуждать инновационность не будем (пост не про юмор), но вот ограничения… они занимают половина официальной документации. Если коротко: • Контейнер не видит приложения на Mac по localhost • Обход через socat — неудобный, небезопасный костыль • Контейнер занимает оперативку, но не отдает её при простое • Хочешь память — перезапускай контейнер • Контейнеры не могут общаться друг с другом по сети • Только одна общая сеть, без изолированных • Иногда контейнер вообще без интернета — подсети конфликтуют Что это значит? Правильно. Ждём Container Pro за $9.99 в месяц. Классика.

🤫Август — месяц скидок на анонимность До 31 августа можно получить скидку 25% на курс «Анонимность и Безопасность 2.0» и бандл CyberPack: Liberty. 🏷 Используйте промокод – FreeAugust 🟡Анонимность и Безопасность 2.0 Актуальный как никогда (особенно после последних новостей). Курс про технические детали приватности и защиты в сети. 28 750₽ 21 562₽ 🟡CyberPack: Liberty Набор знаний для тех, кто хочет искать, находить и хранить данные безопасно. Внутри: • Специалист по OSINT • Анонимность и Безопасность 2.0 • Андроид-паноптикум • Linux CyberPank 189 250₽ 99 356₽

В Киргизии ввели госмонополию на интернет С 15 августа на территории Киргизской Республики вводится временная 100-процентная государственная монополия на поставку и предоставление международного интернет-трафика. Но стоит волноваться о другом:

С августа в стране также начнут блокировать доступ к порносайтам.

Это уже 34-я страна в мире, которая официально запрещает доступ к порнухе. Такими темпами скоро не останется IP-адресов для Хоббисексинга 🫡 Некоторые внутренние меры пострашнее любых внешних санкций…

Правильное управление национальным мессенджером В этот раз речь пойдёт о кейсе Вьетнама 🇻🇳 и их мессенджере Zalo. А дальше — вы, ребята, взрослые, слушаете исторические подкасты и умеете проводить параллели. За последние 20 лет Вьетнам приучил своё население использовать всё отечественное: местные магазины, автомобили, IT-сервисы, платежи — даже Диснейленд у них свой. И вот, 1 августа 2012 года появился мессенджер Zalo. Его стратегия была простой: сделать максимально удобный сервис исключительно для граждан своей страны. Результат — Zalo установлен почти у каждого ❤️ Телегу никто не запрещал… до 2 июня 2025 года — тогда Telegram заблокивали за отказ выдать ключи шифрования (классика). Создавая Zalo в первую очередь как мессенджер для людей, государство незаметно провело цифровую сепарацию общества. Что это значит? 😉 Местные пользовались Telegram буквально для трех целей: 1. Продажа наркотиков 2. Вызов дрочильни на дом 3. Сбыт краденного Всё. Удобный мессенджер вытеснил всех, кому нужна анонимность, в отдельную и легко отслеживаемую группу. Да, есть VPN и прокси. Но если ты вьетнамец с Telegram — на тебе уже метка 🚫 Подписывайтесь на CyberYozh — здесь все логично.

Марк СуперЦукерберг Вчера в своей соцсети (не соответствующей нормам морали и покаяния) Цукерберг опубликовал видео под названием: «Мы создаем персональный суперинтеллект для каждого». Бестолковое красноречие льётся там как вода из крана, но я коротко переведу вам с английского:

Привет, ребята! В общем, теперь Llama — больше не open source, зато очень умная. Покупайте акции!

Для тех, кто не в курсе: суперинтеллект — это не просто ИИ, а ИИ, который выше по интеллекту, чем человек. Жаль только, что все тесты и сравнения — субъективны и зависимы от пиар-отдела. Сэм Альтман, порвёт задницу, но сделает всё, чтобы обогнать этого зазнайку!

Высококачественные datacenter proxy.

Идеальное решение для ваших парсеров, ботов, AI- агентов и другого ПО.

Удобное API, принимаем почти все виды оплат, кроме ракушек, но и это в процессе. Попробуйте, не пожалеете!

Киберпартизаны BY: что говорит группировка о взломе Аэрофлота ⚠️ Дисклеймер: CyberYozh не имеет отношения к описываемому инциденту, не подтверждает подлинность заявлений источника и публикует данный материал исключительно в образовательных целях — для повышения осведомлённости специалистов по информационной безопасности. 1. Всех интересует пароль найденный на рабочем столе. Это был сложный пароль?

Один из паролей, найденных на рабочем столе, выглядел так: lovozero######. Он представляет типичную конструкцию: название населённого пункта и возможная дата — комбинация, которую можно подобрать по открытым источникам.

# — секретный символ. 2. В течение всего года вы оставляли умышленно следы или «пасхалки» для Аэрофлота?

Без комментариев

3. Что помогло вам так долго оставаться в сети незамеченными?

У нас уже многолетний опыт в проведении скрытных операций, поэтому в этом смысле для нас не было ничего нового. Старались работать LOTL и использовать внешнюю связь сотрудников в своих целях. Кроме того мониторинг у аэрофлота был очень минимальным поэтому у них не было реальных шансов нас обнаружить. Дежурных нет, безопасники у них по факту отсутствуют.

4. Что за «инновационный алгоритм» для уничтожения данных?

На скрине видно, что все данные аэрофлота затерты циклично фразой. Алгоритм "инновационный" это было шуткой).  Но если серьезно то данные перезаписывались и на уровне виртуальных машин и на уровне выше - Hyper-V, поэтому данные были во многих случаях затерты дважды параллельными процессами. Аналог на linux выглядел бы примерно так while true; do echo -n ‘вставьте свой текст.’ >> /dev/sdX; done

5. Аэрофлот очень быстро восстановил клиентскую часть (расписание, билеты и так далее). Это вы оставили такую возможность или это заслуга их IT-команды?

На самом деле для оформления рейсов необходимы только 2-3 системы. Центровка самолета, план полета и регистрация пассажиров. Эти системы он "восстановили" первыми за 2 суток, что вполне не удивительно. На самом деле мы уверены они подняли эти системы на чистых серверах так как оригинальные были затерты. Остальные системы сломаны до сих пор или в процессе восстановления. Напрямую на рейсах это восстановление может не скажется больше но пока все системы не будут функционировать как раньше им придется большую часть работы делать вручную или даже на бумажках. Это повысит оперативные расходы и сделает рейсы не рентабельными на какое-то время или заставит аэрофлот поднять цены на билеты.

6. Что в инфраструктуре Аэрофлота было сделано хорошо? Может быть, остались сегменты, к которым так и не удалось получить доступ?

Мы очень довольны результатами вайпа. Мы наблюдали в реальном времени как Windows машины в сети падают одна за другой. Когда админы нарисовались уже было поздно и даже без связи из вне процесс уже самостоятельно продолжался и без нас.

7. Что бы вы посоветовали молодым ИБ-специалистам, которым в будущем предстоит отражать атаки вроде вашей?

Ох.. Я не думаю вам и вашим читателям понравится мой ответ ). Если вы работаете в компаниях, которые сотрудничают с госами РФ/РБ я вам не завидую.. Я бы искал новую работу. Как вы видите когда нас обнаружают обычно это уже поздно. Доступные вам "отечественные" инструменты недостаточно чтобы обнаружить таких как мы вовремя. Я считаю, что для противодействия хакерам вы должны думать как хакер, а не как потенциальная жертва. У вас должен быть опыт проведения реальных комплексных атак. Только тогда у вас есть шанс как следует обороняться. Если у вас все еще есть желание заниматься кибербезпасностью вы можете формировать группы и таким путем набрать необходимый опыт.

Сегодня выйдет материал по инциденту с Аэрофлотом. Есть тот самый пароль из файла пароли.txt и дополнительные детали. Но давайте договоримся сразу — CyberYozh вне политики и корпоративных разборок. Мы — за простых людей. За их право иметь собственные идеи, и за то, чтобы изучать даже самые «пугающие» концепции. Потому что только поняв, как именно рушится безопасность, можно сделать цифровой мир безопаснее.

Сначала подумал, что это шутка или чья-то PR-кампания. Но нет… Одновременно с блокировкой Speedtest от Ookla, Роскомнадзор официально порекомендовал использовать проверенный аналог — ПроСеть, разработанную унитарным предприятием «Главный радиочастотный центр». P.S. Отзывы под приложением — отдельный вид искусства 👨‍🎨

Даю вам время до 1 августа.

Он вам нечего вам не обещал Все уже миллион раз обсудили, насколько не анонимен Telegram. Но… почему вообще решили, что он должен быть анонимным? 🧊 Без нежных прелюдий — сразу ко дну айсберга: Павел Дуров ни разу не говорил «Telegram» и «анонимность» в одном предложении. Только «приватный» и «конфиденциальный». Приватность — это про то, что ваши переписки не будут кому-то переданы в незашифрованном виде. И всё. Если вы зарегистрировались по номеру телефона, заходите без VPN, пишете в публичные чаты — вы сами отказываетесь от этой самой приватности. И да: всё, что вы сами оставили в Telegram, будет передано по запросу правоохранителей. Это не нарушает политику приватности. Как и передача ключей. Конфиденциальность в Telegram ограниченная. Единственное, что Дуров пообещал за 12 лет — не выдавать личные переписки и не внедрять бэкдоры. Отсюда и начинается геноцид этнических осинтеров: если вы живёте на свободной территории и собираете досье на её жителей — это может закончиться депортацией. Пример: деанон владельцев стикерпаков. Территория дала человеку приватность, а вы рассказали, как её нарушить… Добро пожаловать в ДуровГулаг. 💀 А анонимность? Никто не мешает вести анонимную активность в Max или WeChat. Анонимность — это не про мессенджер. Это про ваши знания. И уж точно не про обещания тех, кто этот мессенджер делает.