Оказалось, что даже 12-летний ASUS может стать полноценным Linux-сервером: хранить файлы, крутить Docker-контейнеры и разгружать основной ноут.
В карточках — зачем поднимать отдельный сервер, как его настроить и что на нём запустить (от JupyterLab до Home Assistant)
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥1
Системный интегратор ИБ «Бастион» разобрал более 20 инструментов.
• FileVault (macOS) — XTS-AES-128, шифрует весь диск, интеграция с T2.
• BitLocker (Windows) — AES-128/256 + TPM, можно шифровать диск целиком или разделы.
• LUKS (Linux) — стандарт де-факто, AES-256, гибкое управление ключами.
• Hat.sh / Cloaker — браузерное шифрование (XChaCha20-Poly1305, Argon2id).
• Picocrypt — XChaCha20 + Serpent, HMAC-SHA3, кроссплатформа.
• Dexios (Rust) — AES-256-GCM / ChaCha20-Poly1305, аудит NCC.
• Kryptor — CLI, XChaCha20-Poly1305 + Ed25519.
• Cryptomator — AES-256, шифрует каталог перед синком в Dropbox/Drive.
• Duplicati — бэкапы + AES-256 + дедупликация.
• RClone — NaCl SecretBox (XSalsa20-Poly1305), шифрованная синхронизация.
• VeraCrypt — AES, Serpent, Twofish, скрытые тома, каскады.
• Tomb — оболочка для LUKS + стеганография.
• zuluCrypt — GUI для cryptsetup.
• SiriKali — комбайн для CryFS, EncFS, gocryptfs и др.
• HSM — безопасное хранение ключей.
• SIEM — мониторинг аномалий.
• DLP — контроль утечек.
Шифрование без контроля доступа и мониторинга — половина защиты.
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2🥰2
08-26_СУБД_Шпаргалка.pdf
437.1 KB
В шпаргалке десятки систем: реляционные, NoSQL, аналитические платформы и специализированные решения.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3
Что такое Second-Order SQL Injection?
инъекция «срабатывает» не сразу, а позже — когда сохранённые данные попадают в динамический SQL.
Как это выглядит на практике:
1. Пользователь сохраняет имя: test'--
2. Приложение кладёт это в БД.
3. Позже это значение вставляется в SQL без параметризации → инъекция.
👍 — знал/а
🔥 — не знал/а
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍3
AI-агент — это дыра в периметре?
Дать LLM доступ к браузеру и базе данных — звучит как начало взлома. В обновлённом курсе «Разработка AI-агентов» мы уделили особое внимание безопасности и юридическим аспектам.
Sec & Legal модули:
🔹 Изоляция. Контроль доменов и действий при управлении браузером/legacy-интерфейсами.
🔹 Data Privacy. Как развернуть решение с соблюдением 152-ФЗ. Юридическая обвязка и защита персональных данных.
🔹 Контроль. Внедрение
🔹 Log & Trace. Полная прозрачность действий системы для аудита.
Стартуй сейчас! Материалы пре-подготовки доступны сразу.
🎟 ПромокодAgent — скидка 10 000 ₽ (до 28 февраля).
👉 Безопасная разработка агентов
Дать LLM доступ к браузеру и базе данных — звучит как начало взлома. В обновлённом курсе «Разработка AI-агентов» мы уделили особое внимание безопасности и юридическим аспектам.
Sec & Legal модули:
🔹 Изоляция. Контроль доменов и действий при управлении браузером/legacy-интерфейсами.
🔹 Data Privacy. Как развернуть решение с соблюдением 152-ФЗ. Юридическая обвязка и защита персональных данных.
🔹 Контроль. Внедрение
Human-in-the-loop для утверждения критичных операций агента.🔹 Log & Trace. Полная прозрачность действий системы для аудита.
Стартуй сейчас! Материалы пре-подготовки доступны сразу.
🎟 Промокод
👉 Безопасная разработка агентов
🥰3
Please open Telegram to view this post
VIEW IN TELEGRAM
👾4😢2🔥1
Лёгкий инструмент для поиска открытых портов на хостах. Подходит для быстрой разведки перед углублённым анализом.
— SYN / CONNECT / UDP-сканирование
— Работа с одним хостом или списком целей
— Вывод только откликающихся портов
— Удобен для автоматизации и CI
Используется для первичного профилирования поверхности атаки: быстро понять, какие сервисы доступны извне.
Docker-образ:
registry.cybercodereview.ru/cybercodereview/security-images/naabu:2.1.9
Результаты можно импортировать в Security Center через API (POST + JSON-отчёт).
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🥰2🔥1
🧱 Замедляли Telegram — лег git kernel org
Последнюю неделю разработчики жалуются:
Картина типичная: не падение сервера, а фильтрация трафика. Параллельно под ограничения попали Yocto, Zephyr, Buildroot и другие ресурсы, от которых зависят сборки Linux и embedded-проектов.
⚠️ Что здесь важно:
Фильтрация трафика затронула upstream-репозитории. Доступ к исходникам и обновлениям у части разработчиков работает только через VPN.
🔤 Linux — фундамент большинства отечественных ОС и серверных решений. Если upstream нестабилен, это бьёт по всей экосистеме.
Что меняется для инженеров:
Если внешний upstream недоступен или непредсказуем, инфраструктура перестаёт быть глобальной и становится изолированной по умолчанию.
Интересно ваше мнение:
❤️ — инфраструктура должна быть полностью автономной
🔥 — без глобального интернета разработка деградирует
🌚 — посмотрим, чем закончится
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#breach_breakdown
Последнюю неделю разработчики жалуются:
• git clone https://git.kernel.org/... зависает
• HTTPS-соединение рвётся по таймауту
• ping до сервера проходит
• главная kernel.org иногда открывается, а git.kernel.org — нет
Картина типичная: не падение сервера, а фильтрация трафика. Параллельно под ограничения попали Yocto, Zephyr, Buildroot и другие ресурсы, от которых зависят сборки Linux и embedded-проектов.
Фильтрация трафика затронула upstream-репозитории. Доступ к исходникам и обновлениям у части разработчиков работает только через VPN.
Что меняется для инженеров:
1. Компании поднимают собственные зеркала и кэш-репозитории
2. CI/CD переводят на внутренние источники зависимостей
3. Хранят офлайн-архивы пакетов и исходников
4. Закладывают автономность как требование архитектуры
Если внешний upstream недоступен или непредсказуем, инфраструктура перестаёт быть глобальной и становится изолированной по умолчанию.
Интересно ваше мнение:
❤️ — инфраструктура должна быть полностью автономной
🔥 — без глобального интернета разработка деградирует
🌚 — посмотрим, чем закончится
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤6🌚3😁1🤔1
Иногда уязвимость — это не баг в коде, а решение на уровне стандарта.
Dual_EC_DRBG — генератор, который выглядел корректно, но мог быть предсказуемым при знании скрытого параметра.
— краткий, но показательный разбор Shumow & Ferguson (2007), где впервые публично указали на возможность закладки
— расследование Reuters о связях NSA и индустрии
— официальное заявление National Institute of Standards and Technology о пересмотре стандарта
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚3🔥1
📚 Wordlists для практического пентеста
Подборки от Trickest — это не случайные списки из интернета, а словари, собранные на основе реальных данных: исходные коды популярных CMS и серверных решений, robots.txt крупных сайтов, публичные программы bug bounty и данные из облачных сертификатов.
Что внутри:
Подходит для:
🔴 брутфорса директорий
🔴 поиска скрытых эндпоинтов
🔴 расширения поверхности атаки при веб-пентесте
Это инструмент не для «галочки», а для реальной разведки и углублённого тестирования.
📎 Ссылка на GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
Подборки от Trickest — это не случайные списки из интернета, а словари, собранные на основе реальных данных: исходные коды популярных CMS и серверных решений, robots.txt крупных сайтов, публичные программы bug bounty и данные из облачных сертификатов.
Что внутри:
— директории и пути для WordPress, Joomla, Drupal, Magento, Tomcat и других технологий
— масштабные базы сабдоменов, включая находки из облачной инфраструктуры
— агрегированные данные из robots.txt топ-ресурсов
Подходит для:
Это инструмент не для «галочки», а для реальной разведки и углублённого тестирования.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2🔥1🌚1
Что такое SSRF через DNS Rebinding?
Если сервер не кэширует DNS или повторно не проверяет IP — можно достучаться до внутренних сервисов.
— metadata cloud (AWS/GCP/Azure)
— Redis / Elasticsearch
— внутренние admin-панели
👍 — знал/а
🔥 — стало понятнее
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10🌚3🥰2👍1
На этой неделе Google выпустил экстренное обновление для Google Chrome, закрывающее Use-After-Free уязвимость в движке Chromium.
— Угроза: удалённое выполнение кода через специально сформированные страницы.
— Статус: эксплуатируется в природе.
— Рекомендация: обновить Chrome до последней версии на всех рабочих машинах и серверах, где используется.
Хотя CVE датируется 2021 годом, в феврале 2026 он был включён в список активно эксплуатируемых уязвимостей (KEV).
— Уязвимость позволяет злоумышленнику отправлять SSRF-запросы от имени сервера GitLab.
— Возможны доступ к внутренним сервисам и обход внутренних политик.
— Рекомендация: проверить и обновить GitLab, ограничить исходящие запросы с CI/CD runner’ов.
В опубликованном заявлении описана уязвимость, позволяющая:
— Неавторизованному локальному пользователю загрузить DLL и получить SYSTEM-привилегии.
— Статус: эксплуатация возможна, подтверждённых PoC на момент публикации уже публиковалось.
Рекомендации:
— проверить Windows-инсталляции Splunk на окружениях.
— внедрить ограничение использования локальных учётных записей с низкими правами.
Ещё один свежий инцидент: BeyondTrust Remote Support содержит OS-командную инъекцию без аутентификации.
— Статус: уже используется в атаках по сети.
— Рекомендация: срочно обновить до фикс-версии, где это закрыто, и ограничить интернет-доступ к сервису.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2🔥1
Prompt Injection, утечки и 152-ФЗ. Как безопасно деплоить ИИ?
Разработчики радостно пилят ИИ-агентов, дают им доступ к базам и пускают в прод. А потом агент сливает внутренние доки юзеру или грубо нарушает политику обработки персданных.
Мы полностью обновили курс по AI-агентам под стандарты 2026 года. Добавили хардкорный инжиниринг: изоляцию доменов, контроль действий, runbooks для отказов и мощный юридический блок по деплою.
Что внутри по безопасности и архитектуре:
— комплаенс и 152-ФЗ: как развернуть решение со всеми юридическими ограничениями и документами;
— контроль исполнения: лимиты на действия, защита от неконтролируемого роста нагрузки;
— продвинутый
— изоляция агентов: безопасное управление браузером и legacy-интерфейсами;
— RAG без утечек: методы безопасного извлечения данных из сырых корпоративных источников.
Используйте промокод
Применив акцию «3 курса по цене 1», забирайте два курса сверху бесплатно.
Научиться строить безопасные ИИ-системы
Разработчики радостно пилят ИИ-агентов, дают им доступ к базам и пускают в прод. А потом агент сливает внутренние доки юзеру или грубо нарушает политику обработки персданных.
Мы полностью обновили курс по AI-агентам под стандарты 2026 года. Добавили хардкорный инжиниринг: изоляцию доменов, контроль действий, runbooks для отказов и мощный юридический блок по деплою.
Что внутри по безопасности и архитектуре:
— комплаенс и 152-ФЗ: как развернуть решение со всеми юридическими ограничениями и документами;
— контроль исполнения: лимиты на действия, защита от неконтролируемого роста нагрузки;
— продвинутый
LangGraph: интеграция human-in-the-loop для аппрува критичных решений;— изоляция агентов: безопасное управление браузером и legacy-интерфейсами;
— RAG без утечек: методы безопасного извлечения данных из сырых корпоративных источников.
Используйте промокод
Agent, чтобы получить скидку 10 000 рублей (до 28 февраля).Применив акцию «3 курса по цене 1», забирайте два курса сверху бесплатно.
Научиться строить безопасные ИИ-системы
🥰1