Zip-бомбы: как я защищаю сервер от ботов

👋 Приветствую в мире цифровой безопасности!

Сегодня делюсь нетипичным, но действенным способом защиты от ботов.

⏺Что происходит: Боты сканируют веб в поисках контента — или уязвимостей. Некоторые из них поисковики. Другие это скрейперы, спамеры и скрипты, которые лезут в дыры Wordpress или тестируют инъекции.

⏺Что делаю: Кормлю подозрительных ботов zip-бомбами. Это сжатые gzip-файлы, которые на выходе могут развернуться в десятки гигабайт. Их задача — перегрузить скрипт и оборвать сессию.

Пример простейшей zip-бомбы:

dd if=/dev/zero bs=1G count=10 | gzip -c > 10GB.gz

⏺Как это работает:
Бот делает запрос — сервер отдаёт 200 OK с gzip-заголовком и бомбой внутри. Он ждёт HTML, а получает тонны мусора. Память заканчивается, сессия падает, бот больше не возвращается.

⏺И напоследок пример на PHP:

if (ipIsBlackListed() || isMalicious()) {
    header("Content-Encoding: deflate, gzip");
    header("Content-Length: ".filesize("10GB.gz"));
    readfile("10GB.gz");
    exit;
}

ZeroDay | #безопасность

Почему в 2FA-кодах много повторов — и это ок

👋 Приветствую в мире цифровой безопасности!

Сегодня разберемся, почему одноразовые TOTP-коды часто выглядят подозрительно "простыми" — типо 112233, 1221 или 878878.

⏺Это не баг, а математика: TOTP-код — результат HMAC по времени и секрету. Алфавит ограничен (всего 10 цифр), а вариантов 6-значных кодов — 1 миллион. Кодов без повторов — ~150 000. То есть в 85% случаев в коде будет хотя бы одна одинаковая цифра.

⏺Почему это нормально: по эффекту Рамсея и законам теории информации, даже абсолютно случайная строка почти всегда содержит закономерные куски. Чем длиннее код, тем выше шанс увидеть симметрию, последовательности и дежавю.

⏺Для тех, кто любит тестить руками вот пример генерации TOTP на Python:

import time, hmac, base64, hashlib

def totp(secret, digits=6, interval=30):
    key = base64.b32decode(secret.upper())
    counter = int(time.time() / interval)
    msg = counter.to_bytes(8, 'big')
    h = hmac.new(key, msg, hashlib.sha1).digest()
    o = h[-1] & 0x0F
    code = (int.from_bytes(h[o:o+4], 'big') & 0x7fffffff) % (10**digits)
    return str(code).zfill(digits)

print(totp('JBSWY3DPEHPK3PXP'))

ZeroDay | #безопасность

Одна строка кода, чтобы «убить» iPhone: как работает эксплойт через легаси-уведомления Darwin

Вы могли даже не знать об этом API, но он есть в каждом iPhone. Он нужен системе, чтобы обмениваться служебными сигналами между процессами. Простой, старый, и до сих пор используется во многих компонентах iOS. А ещё - уязвим.

⏺В статье о том, как уведомления Darwin без проверки прав позволяют вызвать критические состояния iOS, включая фейковый restore mode, отключение Wi-Fi, блокировку экрана и даже имитацию потери устройства.

ZeroDay | #Статья

Proxmox Mail Gateway: защита почты для безопасников

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это такое: Proxmox Mail Gateway — это open-source решение, которое защищает почтовые серверы, фильтруя всю почту. Он разруливает спам, вирусы, фишинг и трояны, а настройка через удобный веб-интерфейс не заставит вас тратить кучу времени.

⏺Чем интересен: Интеграция за несколько минут, прокси-сервер между фаерволом и почтовым сервером. Он контролирует все входящие и исходящие письма, обеспечивая полный контроль над почтовыми потоками и защищая репутацию вашей компании.

ZeroDay | #Инструмент

📝 12 способов украсть ваш пароль - от подсматривания до взлома хеша.

ZeroDay | #полезное

Hidden Lake: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, как работает Hidden Lake - децентрализованная анонимная сеть нового поколения

⏺Что такое Hidden Lake: Это F2F (friend-to-friend) сеть, которая не зависит от количества узлов, их расположения или связей между ними.
Сеть построена по модели QB-задачи:

➡️Сообщения шифруются ключом получателя: c = Ek(m)
➡️Рассылаются всем участникам сети каждые T секунд
➡️Даже если нет данных — отправляется фейковое сообщение c = Er(v)
➡️Каждый пытается расшифровать всё. Получилось? Значит для вас. Нет? Игнорируем.

⏺Так и в чем особенность: Запуск узла стал реально нативным. Код на Go, сеть работает независимо от структуры, анонимность не требует доверия к третьим сторонам. Хотите сделать свой мессенджер, логгер или просто зашифрованный канал - Hidden Lake теперь позволяет это без боли.

Делаем вторую часть с настройкой?

ZeroDay | #безопасность

Три способа запустить Hidden Lake-узел на Go

👋 Приветствую в мире цифровой безопасности!

Вернемся к запуску узла Hidden Lake.

⏺Всего у нас есть три способа, которыми мы это можем сделать (спойлер: последний самый крутой)

⏺Низкоуровневый путь - go-peer: Самостоятельный запуск узла через go-peer - это вроде и работает неплохо, но настраивать это совсем неприятно... Вам придётся руками инициализировать: хранилище, логгер, сетевой стек, шифрование и кучу всего еще.

node := anonymity.NewNode(
    anonymity.NewSettings(...),
    logger.NewLogger(...),
    func() database.IKVDatabase { ... }(),
    network.NewNode(...),
    queue.NewQBProblemProcessor(...),
    asymmetric.NewMapPubKeys(),
).HandleFunc(...)

connKeeper := connkeeper.NewConnKeeper(...)

⏺Высокоуровневый путь - HLS: Если задача просто юзать сеть, этот способ подойдёт суперски:

$ go install github.com/number571/hidden-lake/cmd/hls@latest
$ hls -network=oi4r9NW9Le7fKF9d

Из коробки HLS подтянет нужные подключения и стартует как полноценный узел. Но встроенные микросервисы и архитектура усложняют кастомизацию.

⏺Средний путь - network.NewHiddenLakeNode: Вот теперь по-настоящему удобно. Новый API позволяет запустить полноценный узел буквально в пару строчек:

node := network.NewHiddenLakeNode(
    network.NewSettingsByNetworkKey(networkKey, nil),
    asymmetric.NewPrivKey(),
    initKV(dbPath),
    getConnections(networkKey),
    echoHandler,
)
go func() { _ = node.Run(ctx) }()

Без кастомного логгера, без QB-конструктора, без лишней боли. Просто:
➡️передаём ключ,
➡️задаём список соединений,
➡️указываем базу и обработчик.

⏺И вот условно вы решили проверить, как два узла работают друг с другом. Запускаем runNode для каждого и реализуем простейшую обработку запроса:

func echoHandler(_ context.Context, _ asymmetric.IPubKey, r request.IRequest) (response.IResponse, error) {
 body := fmt.Sprintf("echo: %s", string(r.GetBody()))
 return response.NewResponse().WithBody([]byte(body)), nil
}

Они обмениваются публичными ключами и шлют друг другу сообщения:

rsp, err := node1.FetchRequest(
 ctx,
 pubKey,
 request.NewRequest().WithBody([]byte("hello, world!")),
)
fmt.Println(string(rsp.GetBody()))

И в результате:

$ go run .
> response:(echo: hello, world!)
> response:(echo: hello, world!)
> response:(echo: hello, world!)

ZeroDay | #hiddenlake

E2E-шифрование

👋 Приветствую в мире цифровой безопасности!

Давай расскажу про end-to-end (E2E) шифрование.

⏺В чем суть: E2E - это когда только отправитель и получатель могут читать сообщение. Даже сервер, через который проходит трафик, видит только шифртекст. Это достигается за счёт криптографии с открытым ключом.

⏺Весь процесс:

1️⃣Обмен ключами: чаще всего через X3DH или похожий протокол. Клиенты обмениваются публичными ключами, не раскрывая приватные.
2️⃣Создание общего секрета: используя Diffie–Hellman, клиенты независимо вычисляют один и тот же ключ шифрования. Он нигде не передаётся.
3️⃣Шифрование: сессионные ключи применяются для симметричного шифрования сообщений. Обычно используется AES-GCM.
4️⃣Forward secrecy: на каждый сеанс генерируется новый ключ. Старая переписка останется в секрете даже при компрометации ключа.

⏺Зачем это всё?
Даже если злоумышленник:
• перехватит трафик,
• получит доступ к серверам,
• подделает сообщения в канале,
он не сможет прочитать содержимое, пока не взломает ключи на клиенте. А это уже история не про перехват, а про доступ к устройству.

⏺Мессенджеры вроде Signal и Session - эталон реализации E2E. В то время как в WhatsApp или Telegram оно работает не везде и не всегда.

ZeroDay | #шифрование

Как найти и потерять бэкдор в ESP32

В марте скромная плата ESP32 внезапно оказалась в центре целого скандала. СМИ писали о «бэкдоре в миллиарде устройств», а юзеры обсуждали захват умных ламп и чайников. Но уже через неделю была тишина. Что же на самом деле нашли испанские исследователи, и был ли это бэкдор?

⏺В статье вся история: от зала конференции в Мадриде до CVE-записи и официального опровержения. Простым языком о низкоуровневом Bluetooth, «золотом бинарнике» и том, как PR в ИБ порой громче самой уязвимости.

ZeroDay | #Статья

Искусственный интеллект — главный защитник против кибермошенников.

Сегодня сфера киберпреступлений является одной из самых опасных угроз, и без использования искусственного интеллекта победить его невозможно. Об этом рассказал зампред правления Сбера Станислав Кузнецов в рамках своего выступления на ПМЮФ.

⏺ Он заявил, что в ближайшие два года Ai-технологии помогут сократить убытки от мошенничества на 70%. Но главная цель — это 80% телефонных мошенников, которых ИИ будет выявлять до того, как пользователь ответит на звонок, к 2026 году.

ZeroDay | #Безопасность

APTRS: автоматизация отчётов пентестера без боли

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺APTRS — автоматизация, которая реально экономит время. Тут вместо ручной сборки отчётов: просто ведёте проект, отмечаете найденные уязвимости, а остальное делает система. Генерация отчётов, дашборд для клиента, шаблоны под ваш стиль - всё уже встроено.

⏺Чем цепляет: по сути, это пентест-CRM с кнопкой “Собрать отчёт”. Загружаете PoC, описания, рекомендации, отмечаете, что пофикшено — и готово. Не нужно копировать текст между документами, править вручную или держать десятки таблиц. Установка — через docker-compose, в демку можно зайти прямо сейчас.

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только. В этот раз они будут англоязычные.

⏺ The 443 – Security Simplified — хакеры и исследователи обсуждают главные новости недели.
⏺ 7 Minute Security — коротко, но по делу. Каждую неделю тут советы, лайфхаки и практики для синих команд и безопасников.
⏺ CISO Series Podcast — инсайды от топов. Как думают директора по безопасности, чем они живут, как выстраивают процессы и балансируют между рисками и бюджетами.
⏺ The Social-Engineer Podcast — глубже про социнженерию: от манипуляций в переговорах до защиты от фишинга. Ведущий - автор книг и практик, которые применяют даже в спецслужбах.
⏺ The NDS Show — OSINT и разведка на основе открытых данных: геолокации, спутниковые снимки, публичные источники.
⏺ Cyber CEOs Decoded — CEO Devo зовёт в гости других директоров из мира ИБ. Истории, провалы, рост — всё, что за кулисами больших компаний.

ZeroDay | #Подборка

Мониторим трафик в Linux с nfdump

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о легкой настройке мониторинга сетевых соединений в Linux с помощью nfdump и NetFlow

⏺Установка и сбор данных с nfdump: nfdump - удобный тул для сбора и анализа NetFlow/IPFIX данных. Сначала установим и запустим nfdump:

sudo apt install nfdump
sudo systemctl start nfacctd

Затем настроим nfacctd.conf для приёма NetFlow с вашего маршрутизатора или коммутатора. Например:

[collector1]
bind = 0.0.0.0
port = 2055

⏺Анализ и фильтрация потоков: а вот полученные данные можно смотреть через консоль:

nfdump -r /var/log/nfdump/currentfile

Для поиска трафика с подозрительных IP или портов:

nfdump -r /var/log/nfdump/currentfile "dst port 22 or src ip 192.168.1.5"

⏺Экспорт и интеграция с SIEM: nfdump умеет выгружать данные в CSV или JSON, которые уже потом легко можно отправить в вашу SIEM систему для анализа и корреляции:

nfdump -r /var/log/nfdump/currentfile -o csv > flows.csv

Или через cron запускать регулярный экспорт для автоматизации.

ZeroDay | #безопасность

Преступный ИИ уже существует, и он доступен любому

То, что раньше требовало опыта и кучи навыков, теперь умеет делать Xanthorox - это перый полноценный ИИ-преступник. Никаких даркнетов и сложных паролей - всё легко: YouTube, Telegram, Discord и интерфейс как у ChatGPT. Вводите запрос и получаете фишинг, дипфейки или вымогатель.

⏺В статье о том, как от джейлбрейков ChatGPT мы дошли до WormGPT и целой армии преступных ИИ. Расскажут, как школьники запускают тысячи атак, и почему самая большая угроза - это массовое мошенничество, а не ядерные бомбы.

Короче, ИБшникам напрячься 😬

ZeroDay | #Статья

HoaxShell: обратный шелл в маске веб-трафика

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что за инструмент: HoaxShell генерит PowerShell-пейлоады с подстроенными под реальные веб-запросы URL и хитрыми HTTP-заголовками, а шифрование и поддержка HTTPS делают их похожими на обычный браузерный трафик. Если связь прервётся - сессия легко восстановится

⏺Чем крут: не тупо обратный шелл - это такой виртуальный хамелеон в сети. Его сложно заметить и еще сложнее заблокировать, а настройка очень и очень легкая, а значит позволяет быстро адаптировать его под любую ситуацию.

⏺Как начать: Разворачиваете сервер, генерируете пейлоад с нужными параметрами и запускаете на целевой машине — и всё, связь установлена и маскирована под обычный веб-трафик.

ZeroDay | #Инструмент