🐞VK запустила программу Bug Bounty для поиска уязвимостей в мессенджере Max. Эта программа доступна на всех платформах, где размещена общая программа VK Bug Bounty, включая BugBounty.ru, Standoff 365 и BI.ZONE Bug Bounty. Программа позволяет исследователям безопасности выявлять уязвимости в сервисах VK, включая мессенджер Max, и получать вознаграждения, размер которых зависит от критичности найденных проблем (к размеру выплате есть вопросы, но...).

- https://bugbounty.bi.zone/companies/max/main
- https://bugbounty.standoff365.com/programs/max

@showcofig #bugbounty #infosec #max #tamtam

🙈 Как я встретил вашу маму или thecheapskatemom.com

Я использую на своем ноуте LuLu, это аналог Little Snitch, только некрасивый. С помощью LuLu можно отслеживать какое приложение куда проситься в "мир". И ты можешь разрешать или запрещать прогулку в Интернет. Иногда это доставляет сложности и неудобства, но оно стоит того.

Я решил, что давно не открывал Network Monitor и хочу посмотреть, что нет "лишних" исходящих сетевых соединений. Но они были. Я смотрю на процесс клиента Mattermost и вижу, что есть попытки коннекта до адреса nice.thecheapskatemom.com. Так как домен оканчивается на mom, то ничего хорошего быть там точно не может.

Открыв две вкладки в браузере – Google и Shodan – смотрю, быть может я одна из жертв какого-нибудь ботнета. Google про этот домен ничего особо не знает и никакой около инфосек темы не затрагивает. Shodan тоже предательски молчит. Иду дальше и делают nslookup nice.thecheapskatemom.com, чтобы вычислить по IP и набить ебало лицо. Получаю IP-адрес и вижу, что он мне почему-то кажется знакомым, но снова иду в Shodan и делаю поиск по этому IP-адресу, потому что моя память, точной картины мира откуда мне знаком этот адрес, не дала.

Shodan мне показывает хостнейм, где фигурирует мой домен, и тут мне стало ясно, что ранее это был тестовый стенд для Mattemost. А в клиенте я просто забыл удалить настройки подключения для тестового стенда, хотя там указаны параметры подключения для моего домена, отличные от тех, что показывает Network Monitor. Да, по мониторингу было видно, что никаких данных на этот хост не передает, но было неприятно.

P.S. LuLu можно скачать тут https://github.com/objective-see/LuLu

@showconfig #LuLu #infosec #LittleSnitch #Shodan #macOS

🚨 В Chrome исправили очередную 0-day уязвимость

Google выпустила экстренные патчи для устранения уязвимости CVE-2025-6554, которую уже активно используют хакеры. Это ошибка типа type confusion в JavaScript-движке V8, которая позволяет злоумышленникам через специально созданную веб-страницу выполнять произвольный код на устройстве жертвы.

Эта уязвимость активно используется в реальных атаках, в том числе, предположительно, государственными или продвинутыми хакерскими группами, что подтверждается участием команды Google Threat Analysis Group (TAG) в её обнаружении. Эксплойт существует и применяется злоумышленниками, что делает обновление браузера критически важным для безопасности.

Это уже четвертая 0-day в Chrome за 2025 год.

https://xakep.ru/2025/07/02/cve-2025-6554/
https://habr.com/ru/companies/tomhunter/articles/922678/

@showconfig #google #chrome #0day #CVE

🕵️‍♂️ Сканирование Oops Commits на GitHub в поисках утёкших секретов — разбор кейса

🔍 Кратко:

- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.

⚡️ Что интересного:

- Удалить коммит на GitHub невозможно:
Даже после force push коммиты остаются доступны по хэшу — их можно найти и восстановить.

- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.

- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов: .env, application.properties, docker-compose.yml, main.py.

- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.

- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.

🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner

Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!

Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets

@showconfig #безопасность #github #secrets #tokens #devops #trufflehog

🥇Получите сертификат от Минцифры

Госуслуги предлагают пройти тестирования по различным направлениям айти и подтвердить свою ИТ-компетенцию на деле, путем получения электронного сертификата прям в Личный кабинет на Госуслугах и отображением его на hh.ru

Можно пройти тестирование по таким ИТ-компетенциям, как:

С#, Git, HTML, Java, JavaScript, PostgreSQL, Python, SQL, ООП, функциональное тестирование, алгоритмы и структуры данных, API, CSS, PHP и Docker. Перечень постоянно расширяется.

🧠 Подтвердить свои ИТ-компетенции:
https://www.gosuslugi.ru/itskills

Законодательная база:
• https://ivo.garant.ru/#/document/411477805/paragraph/1:0
• https://digital.gov.ru/documents/prikaz-minczifry-rossii-%E2%84%96-505-ob-utverzhdenii-metodicheskih-rekomendaczij-po-voprosam-organizaczii-proczedury-podtverzhdeniya-it-kompetenczij-v-ramkah-provedeniya-eksperimenta-po-predost

@showconfig #Госуслуги #БесплатноеОбучение #ИТ #Git #Docker #SQL

🛠 Тулинг для специалистов по реагированию на инциденты

Kanvas - это open-source инструмент управления расследованиями кибербезопасности от компании WithSecure Labs, который предоставляет гибкий подход к работе с инцидентами безопасности. Написан на Python, предоставляет рабочее пространство для исследователей, работающих с SOD (Spreadsheet of Doom) или аналогичными таблицами.

🎯 Основные возможности

- Управление расследованиями
Построен на базе SOD

- Визуализация данных
Визуализация цепочки атак для анализа латерального движения
Временная шкала инцидентов в хронологическом порядке

- Маппинг фреймворков безопасности
Актуальные тактики и техники MITRE ATT&CK
Интерфейс для отчетности VERIS
Информация о CVE и уязвимостях

- Разведка угроз
Анализ доменов/URL с данными WHOIS и DNS
Проверка репутации IP-адресов, геолокация, открытые порты

- Управление знаниями
Справочник Windows Event ID
Справочник Entra ID AppIDs

🔗 Откуда брать:
Репозиторий: https://github.com/WithSecureLabs/Kanvas
Лицензия: GPL-3.0
Требования: Python 3, виртуальная среда, API-ключи для внешних сервисов (VirusTotal, Shodan)
Последняя версия: 0.4.3
Дополнительная информация: findevil.io/Kanvas-page/

@showconfig #infosec #безопаснось #opensource #Python #SOC

💬 Мессенджер через Bluetooth Mesh

bitchat — мессенджер, работающий через Bluetooth mesh-сети, без интернета, серверов и даже номеров телефонов. Это инструмент для общения в условиях отсутствия связи (Привет, Воронеж и Санкт-Петербур!)

Что может:
- Децентрализованная mesh-сеть
- Сквозное шифрование
- IRC-стиль (Олды тут?)
- Групповые комнаты

И, да, это для яблочников.

Репозиторий на Github: https://github.com/jackjackbits/bitchat
@shoconfig #iOS #IRC #bluetooth #LTE #bye-bye-LTE

💸 Meta* переманила инженера Apple Пэна с зарплатой более чем в $200 млн
Оригинал: https://www.bloomberg.com/news/articles/2025-07-09/meta-poached-apple-s-pang-with-pay-package-over-200-million

Такой айтишный трансфер догоняет переход Неймара из испанской «Барселоны» во французский «ПСЖ».

Марк и Meta* продолжают агрессивно собирать таланты из числа ведущих специалистов по искусственному интеллекту, чтобы удерживать лидерство в быстро меняющейся технологической среде. На прошлой неделе стало известно, что компания переманила одного из ключевых разработчиков Apple — Янгуна Пэна (Yangeun Paeng), который отвечал за создание чипов для iPhone.

💡 Почему это важно:
— Meta* активно развивает собственные технологии вместо закупки у NVIDIA.
— Это серьезный удар для Apple, теряющей ключевых специалистов. Для Apple потеря такого специалиста может ослабить позиции в разработке новых поколений чипов.
— Марк лично участвовал в найме.

P. S. Интересно, а АО «НИИЭТ» https://niiet.ru будет кого-то хантить из Гигачата?

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

@showconfig #apple #технологии #AI #ИИ

🖥️ Silicon Valley, 1991: как начиналось будущее

Пользователь с Reddit r/wallstreetbets поделился воспоминаниями о жизни в Кремниевой Долине в начале 90-х — времени, когда не было ни Google, ни соцсетей, зато были гаражи, терминалы и идеи, способные перевернуть мир.

Техника той эпохи:
— Серверы собирались вручную, часто прямо в гаражах.
— Память считалась по мегабайтам, а дисковые массивы занимали полкомнаты.
— Программирование шло на C++, без IDE, с кучей бумажных блокнотов и кофе.
— Интернет? Ну, был dial-up...

Стартапы в те годы:
— Инвесторы приезжали с чековой книжкой и без презентаций.
— Венчурщики верили в людей, а не в метрики.
— Команды росли от 2–3 человек до сотен за пару лет.

💡 Мораль от старших товарищей:
Если ты сейчас сидишь с ноутбуком, пишешь код и думаешь, что «никто не оценит», помни — так начинали те, кто сегодня в книгах по истории IT. Главное — не бросать.

🔗 Оригинал поста: https://old.reddit.com/r/wallstreetbets/comments/1lwy2nq/silicon_valley_1991/

@showconfig #SiliconValley #Reddit #Google #coding #startup

🔒 Приватные мобильные браузеры

Вам нечего скрывать и вы не ходите на сайты запрещенные Минюстом, но всё же:

- Firefox Focus:
https://www.firefox.com/ru/browsers/mobile/focus/
https://play.google.com/store/apps/details?id=org.mozilla.focus
https://apps.apple.com/ru/app/apple-store/id1055677337

- DuckDuckGo Mobile Browser:
https://duckduckgo.com/app
https://apps.apple.com/app/duckduckgo-privacy-browser/id663592361
https://play.google.com/store/apps/details?id=com.duckduckgo.mobile.android

🎯 Какой выбрать?

Выбирайте DuckDuckGo, если:
- Нужен полноценный браузер для повседневного использования
- Важны дополнительные функции приватности
- Требуется работа с множеством вкладок и закладок

Выбирайте Firefox Focus, если:
- Нужен браузер для быстрых поисковых запросов
- Предпочитаете максимальную простоту
- Хотите полностью очищать историю одним тапом

Оба браузера отлично защищают вашу конфиденциальность 🔐

@showconfig #Firefox #DuckDuckGo #Privacy #browser

🔐 Mullvad Browser - зачем нужен?

Mullvad Browser — это браузер, разработанный для обеспечения повышенной конфиденциальности пользователей в интернете. Он основан на движке Firefox ESR и предлагает функции, которые помогают защитить данные от слежки и идентификации.

Основные характеристики
- Защита конфиденциальности: Mullvad Browser предназначен для работы в сочетании с Mullvad VPN(в РФ заблокирован), что обеспечивает дополнительный уровень анонимности. Он блокирует сторонние файлы cookie и использует шифрование трафика с помощью режима HTTPS Only для всех сайтов.

- Режимы безопасности: Браузер предлагает три уровня защиты — Standard, Safer и Safest. Эти режимы позволяют настраивать уровень безопасности в зависимости от их потребностей.

- Удаление данных: При использовании режима приватного просмотра все cookies и история посещений удаляются после закрытия браузера, что минимизирует риск утечки личной информации.

- Блокировка отслеживания: Встроенные расширения, такие как NoScript и Ublock Origin, помогают блокировать скрипты отслеживания и рекламу, что дополнительно защищает пользователей от нежелательной слежки.

- Поиск: По умолчанию браузер использует DuckDuckGo для конфиденциального поиска, что исключает сбор данных о поисковых запросах.

🔗 Применение
Mullvad Browser не является классическим антидетект-браузером, но предоставляет пользователям инструменты для повышения конфиденциальности при серфинге в интернете. Он подходит для тех, кто ищет надежное решение для защиты своих данных и желает избежать слежки со стороны сайтов и других третьих лиц - отличное решение для использования GPT всех видов, и не только.

Скачать: https://github.com/mullvad/mullvad-browser/releases

@showconfig #Mullvad #browser #DuckDuckGo #Privacy

Да, нагнули 😑

Только ленивый, вот уже второй день, не предложил свои советы по информационной безопасности или не потроллил Аэрофлот. Многие на фоне этой ситуации активно продвигают свои услуги, кто-то просто ловит хайп. Но есть ли среди ИТ-специалистов те, кто действительно поддержал Аэрофлот? Нашлись ли люди, которые просто отправили слова поддержки тем, кто, скорее всего, уже сутки сидит за ноутбуком и восстанавливает инфраструктуру? Кто-нибудь предложил конкретную помощь? Зато мы с большим энтузиазмом обсуждаем неподтверждённую никем и ничем новость про пароль.

Порой кажется, что в трудные моменты проще бросить камень, чем протянуть руку помощи.

@showconfig #Аэрофлот #ИТ #взлом #hackers

😑 Да зачем нужен этот ваш Касперский?!

@showconfig #sec #антивирус #mac

Как объединить два офиса в одну сеть с помощью ocserv?

В работе часто возникает задача соединить разные офисы в единую корпоративную сеть. Для этого отлично подходит VPN-сервер на базе ocserv — современного и безопасного решения с поддержкой протокола AnyConnect.

🔹 Что такое ocserv?
ocserv — это легковесный OpenConnect сервер с поддержкой TLS/DTLS, аутентификацией через PAM, LDAP, сертификаты, и возможностью интеграции с RADIUS. Поддерживается большинство платформ (Windows, Linux, macOS, iOS, Android) через стандартные клиенты AnyConnect/OpenConnect. Репозиторий: https://gitlab.com/openconnect/ocserv/

🔹 Сценарий: объединение двух офисов
Задача — два офиса должны видеть друг друга как одну локальную сеть. С помощью ocserv на базе Linux это можно реализовать, настроив сервер в одном из филиалов, а во втором — клиент, который создаёт постоянное VPN-соединение (site-to-site).

Примерный план действий:
1. Установка и настройка ocserv на сервере Linux
- Установить ocserv (через apt или yum).
- Сгенерировать и настроить сертификаты (Let's Encrypt).
- Отредактировать конфигфайл /etc/ocserv/ocserv.conf (прописать сеть офиса, маршруты).
- Открыть порт 443/UDP и 443/TCP (можно и другие)

2. Настроить авторизацию пользователей или аутентификацию средствами сертификатов.

3. В офисе-клиенте развернуть OpenConnect и сконфигурировать автоконнект к серверу.
- В конфиге клиента прописать постоянное соединение с сервером, указать маршруты сети второго офиса.

4. Настроить маршрутизацию:
- В обоих офисах добавить маршруты, чтобы пакеты шли через VPN-интерфейс.

5. Готово! Теперь оба офиса в одной виртуальной сети, работают общие сервисы, можно централизовать безопасность и управление.

💡 Совет: Для повышения отказоустойчивости используйте резервные каналы и мониторинг состояния соединения.

P. S. Если интересна детальная инструкция — пишите в личку!

@showconfig #VPN #openconnect #ocserv #office

🧠 Чтобы поймать преступника, нужно думать как преступник!

Но у специалистов ИБ этого может больше не получиться.

Минцифры РФ подготовило второй пакет мер по борьбе с кибермошенниками. Одна из мер предполагает внесение поправок в ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:

Одна из этих поправок предлагает наложить запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющая получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин», наравне с экстремистским контентом.

Чет как-то 😐

📖 Читать полностью: https://xakep.ru/2025/08/28/infosec-antifraud/
⚖️ Сам проект: https://regulation.gov.ru/projects/159652

🚫 Чем заменить Fail2Ban?

Fail2Ban годами считался "классикой жанра" для защиты серверов от перебора паролей и брутфорса по SSH. Но у этой утилиты есть минусы: она написана на Python, иногда потребляет слишком много ресурсов на системах с высокими логами и требует настройки фильтров вручную.

Есть альтернатива.

CrowdSec — это более современный, высокопроизводительный движок "поведенческой" защиты, который сочетает локальный анализ логов с глобальной репутацией IP-адресов и гибкой системой реакций через "баунсеры".

Написан на Go, парсит логи быстрее и выявляет сценарии злонамеренной активности, принимает решение и передаёт его исполнителям-блокировщикам (bouncers) на разных уровнях — от файрволла до реверс‑прокси и веб‑сервера . Ключевая фишка — общий пул репутаций IP-адресов, формируемый сообществом, что позволяет более точно блокировать IP-адреса краулеров или ботов брутфорсеров.

Если ваша VM с pet-проектом смотрит в мир, то точно будет полезно настроить CrowdSec.

Гитхаб: https://github.com/crowdsecurity/crowdsec

@showconfig #CrowdSec #Fail2ban #IDS #secutiy #waf

🔒Записки клуба любителей шапочек из фольги

Многие люди уверенны, что для сохранения конфиденциальности достаточно обмазаться випиЭном и всё будет хорошо. Не будет.

В статье на пальцах рассказывается, как ваш браузер вас "сдает".
https://www.rtings.com/vpn/learn/research/browser-fingerprinting

Что вообще такое Browser Fingerprinting?
Это технология, которая позволяет интернет-сервисам однозначно выделять и отслеживать пользователей по множеству технических признаков, даже если традиционные методы идентификации заблокированы или ограничены.

Процесс фингерпринтинга включает сбор множества характеристик: версия браузера (user-agent), операционная система, разрешение и параметры экрана, часовой пояс, языковые настройки, список установленных шрифтов, расширений, поддержка HTML5, поведение с Canvas/WebGL, аудиофункции и других свойств. Эти данные объединяются и проходят через функцию хеширования, в результате создаётся уникальный идентификатор — «отпечаток» браузера.

Абсолютная анонимность нереальна, но усложнить отслеживание и добиться чуть-чуть приватности пока еще можно.

@showconfig #VPN #Secutiy #Browser #Fingerprinting