🎉 Результаты розыгрыша:

🏆 Победители:
1. Lars (@BARM4L3Y)
2. Serge (@Serge_59)
3. D.K (@moono_neko)
4. Anton (@netskg)
5. Мmm (@Mmm5768)
6. Макс (@hewipa)
7. Padoru (@PadoruPy)
8. 朴贊郁 (@flokiauther)
9. Андрей (@AnKirzhach)

✔️Проверить результаты

Новичок, опоздавший на 5 минут на созвон и CISO, который вообще на него не пришел 😅

ZeroDay | #мем

Пограничные случаи HTTP, которые ломают безопасность API

Часто люди думают, что HTTP - это просто «запрос и ответ». Но именно на его границах чаще всего случаются баги, которые превращаются в уязвимости: от DoS через Range-заголовки до утечек и повреждения данных из-за кодировок и неправильного Content-Type.

⏺В статье рассказывают, как реальные баги (вроде CVE-2024-26141 в Rack) выросли из мелочей, которые никто не проверял. Подробно разбираются Range-атаки, обход путей, согласование Accept/Content-Type, ошибки кодировок и неправильные 405-ответы с конкретными примерами для Spring, Express и Django.

ZeroDay | #Статья

Nuclei: топовый сканер уязвимостей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Nuclei - это ультрабыстрый и настраиваемый сканер уязвимостей, построенный на простых YAML-шаблонах. Может создавать сценарии поиска проблем так, как их увидел бы реальный атакующий, снижая ложные срабатывания.

⏺Фишка тут - огромное сообщество: тысячи специалистов создают шаблоны под новые CVE, веб-приложения, API, сети и облачные конфиги. Поддержка HTTP, DNS, TCP, SSL, WHOIS, JavaScript и многого другого по сути делает его универсальным.

⏺Быстрый скан одного сайта:

nuclei -target https://example.com

Массовый скан:

nuclei -list urls.txt

Скан подсети:

nuclei -target 192.168.1.0/24

Используем свои шаблоны:

nuclei -u https://example.com -t /path/to/your-template.yaml

⏺Что плюсом классного: интеграция в CI/CD, возможность подключать Jira, Slack, Elastic, GitHub; быстрая параллельная обработка запросов и минимизация ложных тревог.

ZeroDay | #Инструмент

DNS Spoofing: защита на прикладном уровне (Layer 7)

👋 Приветствую в мире цифровой безопасности!

В одном из прошлых постов разбирали типы спуфинг атак по уровням. Сейчас посмотрим, как защититься от одной из них.

⏺Смысл атаки: хакер подменяет DNS-ответ, чтобы направить жертву на левый сервер.

1️⃣DNSSEC (DNS Security Extensions): Подписываем DNS-записи цифровой подписью. Если ответ изменён, клиент видит, что подпись не совпадает и игнорирует подмену.

BIND:

dnssec-enable yes
dnssec-validation auto

2️⃣Использование доверенных резолверов: Cloudflare (1.1.1.1), Google (8.8.8.8) или внутренний корпоративный DNS с фильтрацией трафика.

3️⃣Мониторим аномалии: чекаем неожиданные изменениями IP для известных доменов. Можно через Suricata или Zeek:

alert dns any any -> any 53 (msg:"Potential DNS Spoofing"; sid:100002;)

4️⃣Шифрование запросов: DoH (DNS over HTTPS) или DoT (DNS over TLS) защищают от MITM на уровне сети.

ZeroDay | #dnsspoofing

Сканируем Docker-образы на уязвимости

👋 Приветствую в мире цифровой безопасности!

Вот скачали мы свежий образ с Docker Hub, запустили контейнер - и через час сервер в ботнете… расскажу, как не попасть в такую историю.

⏺Trivy - сканер для ленивых и умных: Работает из коробки, проверяет пакеты, конфиги и даже утечки паролей.

curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh
trivy image python:3.9

Результат покажет:

Total: 42 (CRITICAL: 5, HIGH: 12)
libssl1.1 — CVE-2022-4304

⏺Docker Scout - встроенный контроль качества: Включается прямо в Docker Desktop:

docker scout quickview python:3.9

Покажет рейтинг «здоровья» и подскажет, чем заменить уязвимые пакеты.

⏺GitHub Dependabot - автосканер: Добавьте .github/dependabot.yml, и GitHub сам создаст PR, если найдёт CVE в Dockerfile.

⏺Для параноиков (в хорошем смысле): Подписывайте образы через cosign, чтобы никто не подменил их по пути:

cosign sign --key cosign.key myimage:1.0
cosign verify --key cosign.pub myimage:1.0

ZeroDay | #docker

Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?

Весной 2024-го бэкдор в XZ Utils потряс open source-мир и поставил под сомнение безопасность цепочек поставок. Автор статьи, разработчик Debian, разбирается, можно ли было обнаружить проблему на этапе упаковки - если бы процессы аудита и проверки пакетов работали чуть внимательнее.

⏺В статье - гайд на практике по аудиту пакетов в Debian: верификация исходников, проверка подписей, сравнение контрольных сумм и поиск несостыковок между апстримом и пакетами.

ZeroDay | #Статья

📝 Держите дорожную карту для этичных хакеров

ZeroDay | #этичныйхакинг

📝Как работает HMAC

HMAC (Hash-based Message Authentication Code) - по сути механизм, который позволяет проверить, что сообщение не изменялось и действительно пришло от доверенного отправителя.

Вот как по этапам 👇

1️⃣Алиса хочет отправить документ Дэну. Они оба заранее знают один и тот же секретный ключ (secret key).

2️⃣Алиса применяет хэширование к документу, добавив этот секретный ключ.
Результат — это MAC (Message Authentication Code), уникальный код, зависящий и от документа, и от ключа.

3️⃣Алиса прикрепляет MAC к документу

4️⃣Документ отправляется Дэну

5️⃣Дэн делает то же самое: берёт полученный документ, использует свой (тот же) секретный ключ и вычисляет собственный MAC.

6️⃣Сравнение: если MAC, полученный от Алисы, совпадает с вычисленным у Дэна - значит, документ аутентичен и не был изменён при передаче.

ZeroDay | #атака

Гомоморфное шифрование: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое гомоморфное шифрование и как его используют.

⏺В обычной криптографии, чтобы что-то посчитать, данные нужно сначала расшифровать. А гомоморфное шифрование делает возможным вычисления прямо «внутри шифра».

Например:

Enc(5) + Enc(3) = Enc(8)

Никто не знает, что там было 5 и 3, но результат всё равно корректен. Расшифровка даст тот же результат, будто бы всё считали с открытыми числами.

⏺Типы гомоморфных схем

1️⃣PHE (Partially Homomorphic) — поддерживает одну операцию, например сложение (Paillier) или умножение (RSA).
2️⃣SHE (Somewhat Homomorphic) — поддерживает несколько операций, но ограниченное количество.
3️⃣FHE (Fully Homomorphic) — полная версия, где можно делать любые вычисления, сколько угодно раз.

Главная проблема — «шум» в зашифрованных данных, который растёт при каждом вычислении.

⏺Bootstrapping - магия самоочистки: Каждая операция добавляет помехи, и через десятки вычислений сообщение становится нечитаемым.
Bootstrapping решает это: он как бы «гомоморфно расшифровывает» зашифрованный текст,
очищая его от шума, не зная исходного ключа.

⏺Популярные схемы:

• BFV (Brakerski–Fan–Vercauteren) — точная арифметика над целыми числами, база Microsoft SEAL.
• BGV — снижает шум за счёт модульных сокращений.
• CKKS — работает с приближенными числами, подходит для ML и аналитики.
• TFHE — булева логика, очень быстрый bootstrapping.

⏺В чем главная фишка: FHE решает главную дилемму приватности: данные остаются зашифрованы на всём пути - от клиента до сервера и обратно. Облако может вычислить сумму зарплат, медиану возраста или результат модели,
но не узнает ничего о самих данных.

⏺Но есть и проблемка - скорость. Обычное вычисление, которое занимает миллисекунду, в FHE может длиться вообще минуты.

Как решить:

➡️BASALISC и REED — аппаратные ускорители для FHE, дают до 100× ускорения.
➡️FPGA и GPU-реализации делают технологию ближе к практике.
➡️Microsoft, IBM, Google уже тестируют прототипы FHE-облаков.

ZeroDay | #шифрование

Как использовать гомоморфное шифрование?

👋 Приветствую в мире цифровой безопасности!

Сегодня попробуем выполнить вычисления над зашифрованными данными с помощью Python и библиотеки TenSEAL.

⏺Как установить: TenSEAL основан на Microsoft SEAL и поддерживает схемы CKKS (плавающая арифметика) и BFV (целые числа).

Установим библиотеку:

pip install tenseal

Импортируем:

import tenseal as ts

Создаём контекст шифрования (здесь используется схема CKKS):

context = ts.context(
    ts.SCHEME_TYPE.CKKS,
    poly_modulus_degree=8192,
    coeff_mod_bit_sizes=[60, 40, 40, 60]
)
context.generate_galois_keys()
context.global_scale = 2**40

⏺Шифруем данные: Предположим, у нас есть массив с приватными значениями:

data = [5.0, 3.0, 2.0]
enc_data = ts.ckks_vector(context, data)

И вот теперь enc_data - это зашифрованный вектор. Мы не можем прочитать его содержимое, но можем с ним считать.

⏺Выполним арифметические операции прямо над зашифрованными данными:

enc_result = enc_data + 10
enc_result = enc_result * 2

И даже можем делать сложение векторов:

enc_sum = enc_data + enc_data

⏺Расшифровка результата

На стороне клиента (у кого есть ключ):

result = enc_result.decrypt()
print(result)

Результат будет:

[30.0, 26.0, 24.0]

Хотя сервер выполнял операции, он не видел исходных чисел.

ZeroDay | #шифрование

Отец Интернета: 50 лет путешествия Винта Серфа по бескрайнему миру веба

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о «отце Интернета», Винте Сёрфе, и его 50-летнем пути.

⏺От юности к науке: 15-летний Винт впервые попал в вычислительный центр SAGE и был очарован масштабом компьютеров. В 17 лет он уже писал программы для НАСА для анализа двигателей F-1 миссии «Аполлон». Позже он поступил в Стэнфорд, где увлёкся программированием и не смог стать профессиональным математиком, но зато нашёл свой путь в вычислительных сетях.

⏺Рождение TCP/IP: В 1973 году вместе с Робертом Каном Сёрф придумал протокол, который позволял соединять любые сети без единого центра, повторно отправлять потерянные пакеты и масштабировать Интернет. Идея была проста: данные путешествуют как письма в конвертах через шлюзы, пока не достигнут получателя. Первая коммерческая сеть Telenet появилась уже в 1974 году.

⏺MCI Mail и глобальная почта: Сёрф сделал электронную почту доступной между разными провайдерами. Письма распечатывались локально и доставлялись адресату.

⏺Межпланетный интернет: В 1998 году Сёрф задумался о связи с МКС и дальнейших миссиях: пакеты данных могут «ждать» на ретрансляторах, пока путь не станет доступным. Сегодня его идеи уже применяются для передачи информации между Землёй и космическими станциями.

⏺Современность: В Google он стал главным интернет-евангелистом и соосновал People-Centered Internet, продвигая доступность сети, сокращение цифрового разрыва и использование ИИ для перевода. Главная цель - сделать Интернет полезным и безопасным для всех.

ZeroDay | #история

👋 Приветствую в мире цифровой безопасности! Сегодня расскажу о новой фиче российской нейронки.

Теперь с нейросетью можно говорить, как с живым человеком — задавать вопросы, перебивать в процессе и получать транскрипцию разговора. Функция уже работает в вэбе и на Android в бета-версии.

⏺Мы проверили, как ИИ справляется с реальными вопросами. На запрос «Какие профессии будут востребованы в ближайшие 5–10 лет?» ГигаЧат ответил: «Самые перспективные направления — экология и устойчивое развитие, биотехнологии и здравоохранение, а также сервисы, связанные с комфортом жизни».

⏺Общение получается очень естественным — можно уточнять детали, спорить и развивать тему, как в разговоре с экспертом.
Теперь ГигаЧат не просто отвечает на запросы, а помогает осмысленно смотреть в будущее профессий.

ZeroDay | #ИИ

Жизнь как коробка с печеньками: что скрывают cookie-баннеры

Каждый день вы кликаете «Принять всё» - но что на самом деле принимаете? Cookie-баннеры давно превратились из заботы о приватности в инструмент манипуляции: UX-дизайн, закон и аналитика переплелись в одной кнопке.

⏺В статье расскажут, как появились cookie, зачем их заставили сопровождать баннером, почему от этого страдает статистика и что скрывается за “необходимыми” файлами. Плюс, как сайты отслеживают вас даже без cookies.

ZeroDay | #Статья