DNS Spoofing: защита на прикладном уровне (Layer 7)

👋 Приветствую в мире цифровой безопасности!

В одном из прошлых постов разбирали типы спуфинг атак по уровням. Сейчас посмотрим, как защититься от одной из них.

⏺Смысл атаки: хакер подменяет DNS-ответ, чтобы направить жертву на левый сервер.

1️⃣DNSSEC (DNS Security Extensions): Подписываем DNS-записи цифровой подписью. Если ответ изменён, клиент видит, что подпись не совпадает и игнорирует подмену.

BIND:

dnssec-enable yes
dnssec-validation auto

2️⃣Использование доверенных резолверов: Cloudflare (1.1.1.1), Google (8.8.8.8) или внутренний корпоративный DNS с фильтрацией трафика.

3️⃣Мониторим аномалии: чекаем неожиданные изменениями IP для известных доменов. Можно через Suricata или Zeek:

alert dns any any -> any 53 (msg:"Potential DNS Spoofing"; sid:100002;)

4️⃣Шифрование запросов: DoH (DNS over HTTPS) или DoT (DNS over TLS) защищают от MITM на уровне сети.

ZeroDay | #dnsspoofing

Сканируем Docker-образы на уязвимости

👋 Приветствую в мире цифровой безопасности!

Вот скачали мы свежий образ с Docker Hub, запустили контейнер - и через час сервер в ботнете… расскажу, как не попасть в такую историю.

⏺Trivy - сканер для ленивых и умных: Работает из коробки, проверяет пакеты, конфиги и даже утечки паролей.

curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh
trivy image python:3.9

Результат покажет:

Total: 42 (CRITICAL: 5, HIGH: 12)
libssl1.1 — CVE-2022-4304

⏺Docker Scout - встроенный контроль качества: Включается прямо в Docker Desktop:

docker scout quickview python:3.9

Покажет рейтинг «здоровья» и подскажет, чем заменить уязвимые пакеты.

⏺GitHub Dependabot - автосканер: Добавьте .github/dependabot.yml, и GitHub сам создаст PR, если найдёт CVE в Dockerfile.

⏺Для параноиков (в хорошем смысле): Подписывайте образы через cosign, чтобы никто не подменил их по пути:

cosign sign --key cosign.key myimage:1.0
cosign verify --key cosign.pub myimage:1.0

ZeroDay | #docker

Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?

Весной 2024-го бэкдор в XZ Utils потряс open source-мир и поставил под сомнение безопасность цепочек поставок. Автор статьи, разработчик Debian, разбирается, можно ли было обнаружить проблему на этапе упаковки - если бы процессы аудита и проверки пакетов работали чуть внимательнее.

⏺В статье - гайд на практике по аудиту пакетов в Debian: верификация исходников, проверка подписей, сравнение контрольных сумм и поиск несостыковок между апстримом и пакетами.

ZeroDay | #Статья

📝 Держите дорожную карту для этичных хакеров

ZeroDay | #этичныйхакинг

📝Как работает HMAC

HMAC (Hash-based Message Authentication Code) - по сути механизм, который позволяет проверить, что сообщение не изменялось и действительно пришло от доверенного отправителя.

Вот как по этапам 👇

1️⃣Алиса хочет отправить документ Дэну. Они оба заранее знают один и тот же секретный ключ (secret key).

2️⃣Алиса применяет хэширование к документу, добавив этот секретный ключ.
Результат — это MAC (Message Authentication Code), уникальный код, зависящий и от документа, и от ключа.

3️⃣Алиса прикрепляет MAC к документу

4️⃣Документ отправляется Дэну

5️⃣Дэн делает то же самое: берёт полученный документ, использует свой (тот же) секретный ключ и вычисляет собственный MAC.

6️⃣Сравнение: если MAC, полученный от Алисы, совпадает с вычисленным у Дэна - значит, документ аутентичен и не был изменён при передаче.

ZeroDay | #атака

Гомоморфное шифрование: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое гомоморфное шифрование и как его используют.

⏺В обычной криптографии, чтобы что-то посчитать, данные нужно сначала расшифровать. А гомоморфное шифрование делает возможным вычисления прямо «внутри шифра».

Например:

Enc(5) + Enc(3) = Enc(8)

Никто не знает, что там было 5 и 3, но результат всё равно корректен. Расшифровка даст тот же результат, будто бы всё считали с открытыми числами.

⏺Типы гомоморфных схем

1️⃣PHE (Partially Homomorphic) — поддерживает одну операцию, например сложение (Paillier) или умножение (RSA).
2️⃣SHE (Somewhat Homomorphic) — поддерживает несколько операций, но ограниченное количество.
3️⃣FHE (Fully Homomorphic) — полная версия, где можно делать любые вычисления, сколько угодно раз.

Главная проблема — «шум» в зашифрованных данных, который растёт при каждом вычислении.

⏺Bootstrapping - магия самоочистки: Каждая операция добавляет помехи, и через десятки вычислений сообщение становится нечитаемым.
Bootstrapping решает это: он как бы «гомоморфно расшифровывает» зашифрованный текст,
очищая его от шума, не зная исходного ключа.

⏺Популярные схемы:

• BFV (Brakerski–Fan–Vercauteren) — точная арифметика над целыми числами, база Microsoft SEAL.
• BGV — снижает шум за счёт модульных сокращений.
• CKKS — работает с приближенными числами, подходит для ML и аналитики.
• TFHE — булева логика, очень быстрый bootstrapping.

⏺В чем главная фишка: FHE решает главную дилемму приватности: данные остаются зашифрованы на всём пути - от клиента до сервера и обратно. Облако может вычислить сумму зарплат, медиану возраста или результат модели,
но не узнает ничего о самих данных.

⏺Но есть и проблемка - скорость. Обычное вычисление, которое занимает миллисекунду, в FHE может длиться вообще минуты.

Как решить:

➡️BASALISC и REED — аппаратные ускорители для FHE, дают до 100× ускорения.
➡️FPGA и GPU-реализации делают технологию ближе к практике.
➡️Microsoft, IBM, Google уже тестируют прототипы FHE-облаков.

ZeroDay | #шифрование

Как использовать гомоморфное шифрование?

👋 Приветствую в мире цифровой безопасности!

Сегодня попробуем выполнить вычисления над зашифрованными данными с помощью Python и библиотеки TenSEAL.

⏺Как установить: TenSEAL основан на Microsoft SEAL и поддерживает схемы CKKS (плавающая арифметика) и BFV (целые числа).

Установим библиотеку:

pip install tenseal

Импортируем:

import tenseal as ts

Создаём контекст шифрования (здесь используется схема CKKS):

context = ts.context(
    ts.SCHEME_TYPE.CKKS,
    poly_modulus_degree=8192,
    coeff_mod_bit_sizes=[60, 40, 40, 60]
)
context.generate_galois_keys()
context.global_scale = 2**40

⏺Шифруем данные: Предположим, у нас есть массив с приватными значениями:

data = [5.0, 3.0, 2.0]
enc_data = ts.ckks_vector(context, data)

И вот теперь enc_data - это зашифрованный вектор. Мы не можем прочитать его содержимое, но можем с ним считать.

⏺Выполним арифметические операции прямо над зашифрованными данными:

enc_result = enc_data + 10
enc_result = enc_result * 2

И даже можем делать сложение векторов:

enc_sum = enc_data + enc_data

⏺Расшифровка результата

На стороне клиента (у кого есть ключ):

result = enc_result.decrypt()
print(result)

Результат будет:

[30.0, 26.0, 24.0]

Хотя сервер выполнял операции, он не видел исходных чисел.

ZeroDay | #шифрование

Отец Интернета: 50 лет путешествия Винта Серфа по бескрайнему миру веба

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о «отце Интернета», Винте Сёрфе, и его 50-летнем пути.

⏺От юности к науке: 15-летний Винт впервые попал в вычислительный центр SAGE и был очарован масштабом компьютеров. В 17 лет он уже писал программы для НАСА для анализа двигателей F-1 миссии «Аполлон». Позже он поступил в Стэнфорд, где увлёкся программированием и не смог стать профессиональным математиком, но зато нашёл свой путь в вычислительных сетях.

⏺Рождение TCP/IP: В 1973 году вместе с Робертом Каном Сёрф придумал протокол, который позволял соединять любые сети без единого центра, повторно отправлять потерянные пакеты и масштабировать Интернет. Идея была проста: данные путешествуют как письма в конвертах через шлюзы, пока не достигнут получателя. Первая коммерческая сеть Telenet появилась уже в 1974 году.

⏺MCI Mail и глобальная почта: Сёрф сделал электронную почту доступной между разными провайдерами. Письма распечатывались локально и доставлялись адресату.

⏺Межпланетный интернет: В 1998 году Сёрф задумался о связи с МКС и дальнейших миссиях: пакеты данных могут «ждать» на ретрансляторах, пока путь не станет доступным. Сегодня его идеи уже применяются для передачи информации между Землёй и космическими станциями.

⏺Современность: В Google он стал главным интернет-евангелистом и соосновал People-Centered Internet, продвигая доступность сети, сокращение цифрового разрыва и использование ИИ для перевода. Главная цель - сделать Интернет полезным и безопасным для всех.

ZeroDay | #история

👋 Приветствую в мире цифровой безопасности! Сегодня расскажу о новой фиче российской нейронки.

Теперь с нейросетью можно говорить, как с живым человеком — задавать вопросы, перебивать в процессе и получать транскрипцию разговора. Функция уже работает в вэбе и на Android в бета-версии.

⏺Мы проверили, как ИИ справляется с реальными вопросами. На запрос «Какие профессии будут востребованы в ближайшие 5–10 лет?» ГигаЧат ответил: «Самые перспективные направления — экология и устойчивое развитие, биотехнологии и здравоохранение, а также сервисы, связанные с комфортом жизни».

⏺Общение получается очень естественным — можно уточнять детали, спорить и развивать тему, как в разговоре с экспертом.
Теперь ГигаЧат не просто отвечает на запросы, а помогает осмысленно смотреть в будущее профессий.

ZeroDay | #ИИ

Жизнь как коробка с печеньками: что скрывают cookie-баннеры

Каждый день вы кликаете «Принять всё» - но что на самом деле принимаете? Cookie-баннеры давно превратились из заботы о приватности в инструмент манипуляции: UX-дизайн, закон и аналитика переплелись в одной кнопке.

⏺В статье расскажут, как появились cookie, зачем их заставили сопровождать баннером, почему от этого страдает статистика и что скрывается за “необходимыми” файлами. Плюс, как сайты отслеживают вас даже без cookies.

ZeroDay | #Статья

Защита приватности: Encrypted DNS

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как конкретно зашифрованный DNS защищает нашу приватность и в целом делает интернет безопаснее.

⏺Когда вы вводите адрес сайта, ваше устройство ищет его IP через DNS - это как справочник адресов. Без него пришлось бы запоминать длинные числа вроде 192.0.2.1 для каждого ресурса. DNS работает миллионы раз в день, соединяя вас с сайтами, приложениями и сервисами.

⏺Открытый DNS - «письмо без конверта»: Традиционный DNS отправляет запросы в открытом виде. Провайдер видит, какие сайты вы посещаете, хакеры могут перехватывать и подменять ответы, а государство или цензоры — блокировать ресурсы.

⏺Зашифрованный DNS - буквально«конверт с секретом»: Здесь ваши запросы шифруются протоколами DoH, DoT, DNSCrypt или DoQ. Только ваш компьютер и сервер видят, куда вы заходите. Любые попытки подмены или перехвата данных становятся практически невозможными.

⏺Протоколы шифрования:

➡️DoH (DNS over HTTPS) - маскирует DNS-запросы среди обычного трафика.
➡️DoT (DNS over TLS) - защищает канал, предотвращает подмену.
➡️DNSCrypt - шифрует и подписывает запросы.
➡️DoQ (DNS over QUIC) - быстрый и стабильный вариант для сложных сетей.

⏺Популярные провайдеры: NextDNS, AdGuard DNS, Cloudflare 1.1.1.1 дают возможность легко включить зашифрованный DNS на всех устройствах.

ZeroDay | #DNS

Brakeman: статический сканер для Rails

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Brakeman - статический сканер уязвимостей для Ruby on Rails. Находит SQL‑инъекции, XSS, unsafe mass assignment, command injection и прочие привычные неприятности 😬Приложение запускать не нужно. Brakeman читает исходники и выдаёт готовые артефакты для ревью и CI.

⏺Brakeman парсит Rails‑код, сопоставляет потоки данных и сигнатуры уязвимостей и генерирует понятные отчёты. Самое то для локального скана, nightly‑job или как обязательная проверка в pre‑merge pipeline.

⏺И кстати работает с Rails от 2.3 до 8.x и легко встраивается в CI/CD, один запуск в pipeline и ты видишь все горящие проблемы ещё до мержа. HTML‑отчёт для дев‑ревью, JSON - для автоматизации и триажа.

⏺Ловите самые нужные команды:

# Установка через gem
gem install brakeman

# Быстрый запуск в корне Rails
brakeman

# Скан через Docker (цветной вывод)
docker run -v "$(pwd)":/code presidentbeef/brakeman --color

# HTML-отчёт
brakeman -o brakeman_results.html

# Только высокоуровневые (High) предупреждения
brakeman -w3

# Создать/редактировать список игнорируемых предупреждений
brakeman -I

ZeroDay | #Инструмент

Как быстро найти открытые S3‑бакеты

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим, как быстро найти открытые Amazon S3-бакеты и проверить их внутрянку.

⏺Открытые S3-бакеты - это частая проблема в облачных средах: иногда компании или команды случайно делают их публичными, и конфиденциальные данные становятся доступными вообще любому.

⏺Скан по URL и поддоменам: юзаем awscli или s3cmd, чтобы понять, доступен ли бакет без авторизации. Shadow-бакеты часто лежат на случайных поддоменах.

aws s3 ls s3://example-bucket --no-sign-request
s3cmd ls s3://example-bucket

⏺Проверяем на публичный доступ: Смотрим, кто может читать файлы. Иногда бакет открыт полностью, а иногда только для конкретных IP.

aws s3api get-bucket-acl --bucket example-bucket
aws s3api get-bucket-policy --bucket example-bucket

⏺Скачивание или выборочная проверка: Если бакет публичный, можно безопасно глянуть содержимое или скачать отдельные файлы для анализа.

aws s3 cp s3://example-bucket/test.txt ./ --no-sign-request
aws s3 sync s3://example-bucket ./local-folder --no-sign-request

ZeroDay | #безопасность