Developers Are Users Too: Designing Crypto and Security APIs That Busy Engineers and Sysadmins Can Use Securely

Преза о проблемах в работе с современными криптографическими API. С интересной аналитикой.
Например,
0.8 % of Google Play Market apps exclusively use HTTPS URLs

GitHub Actions Pipeline Enumeration and Attack Tool

GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.

#security #github

HackTheBox Belgrade local group организует митап Attacking and Detecting AD Attacks в эту субботу 10 мая

Обещают показать возможности платформы HackTheBox и показать техники атаки и защиты Active Directory

Митап только онлайн
https://www.meetup.com/hack-the-box-meetup-belgrade-rs/events/307291415/

В прошлом году я выступал на конференции GetNet — это была чисто онлайн-конференция для админов и сетевиков.

В этом году GetNet уже скоро - 6 июня в 11:00, но теперь уже в гибридном формате — будет и онлайн, и впервые офлайн в Москве.

Темы: сети, инфраструктура, мониторинг, безопасность, эксплуатация — всё, что у нас болит каждый день. Часть программы уже на сайте, можно глянуть тут

Я в этот раз не смогу поучаствовать — как раз попадает на мой день рождения :)
Но если вы рядом и хотите не просто послушать доклады, а пообщаться с людьми, которые варятся в том же — очень советую. (Онлайн бесплатно, рега тут)

Кто пойдёт — потом расскажите, как всё прошло. Завидую вам

А ещё тут Technology Radar вышел
https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2025/04/tr_technology_radar_vol_32_en.pdf

Kaniko всё

https://github.com/GoogleContainerTools/kaniko/issues/3348

Прайваси шмайраси

Брендан Грегг написал о нелегкой жизни удаленщика в Австралии, работающего в часовом поясе Америки

https://www.brendangregg.com/blog/2025-05-22/3-years-of-extremely-remote-work.html

Полистал сегодня сайт конференции GetNet — доклады уже на сайте с описанием.
Темы для SMB и немного про ЦОДы и больших ребят - то что надо для развития админа: сети, эксплуатация, автоматизация, мониторинг, безопасность. Конференция уже в следующую пятницу — 6 июня.

Формат гибридный: онлайн (бесплатно по реге) и оффлайн в Москве.

Интересное расследование от команды безопасности Google:
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра

- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда. В реверсе я не силен, поэтому тут мог грубо напутать, если есть гуру - пишите в комментах что там было

#security #APT

Если ты знаешь, что “работает” и “работает нормально” — это две разные реальности, значит, ты среди своих.
6 июня на конференции GetNet собираются те, кто тоже переживал магию “я тут чуть поправил — а оно рухнуло”.

- Оффлайн в Москве или онлайн бесплатно по реге — чтобы послушать чужие страшилки про прод и сказать “у меня тоже так было”.

☝️ Роскомнадзор массово банит Cloudflare

🤡 OCSP/CRL у сертификатов Letsencrypt на домене, который терминируется в Cloudflare

🚬 Кто понял эти слова — напряглись :)

Простым русским языком СО СМЕШНЫМИ КАРТИНКАМИ!!! про шифрование

End-to-end Шифрование Как мы перестали доверять облакам и научились шифровать

Юзернейм с ником Ephrimgnanam опубликовал три репозитория для реверсеров и исследователей:

- Для любителей поковырять разную малварь:
https://github.com/Ephrimgnanam/Worms

- Для любителей поковырять разные RAT:
https://github.com/Ephrimgnanam/Cute-RATs

- Для любителей поковырять стилеры:
https://github.com/Ephrimgnanam/Cute-Stealers

Да, чудесных чудес там нет, слитых приваток тоже. Всё взято из паблика, но собрано в одном месте.

Пока что нет толкового описания, IOC, референсных ссылок и прочего, но автор обещает сделать. Но это не точно.

CWE TOP 25 Most Dangerous Software Errors

https://www.sans.org/top25-software-errors/

#security

Пятничный хакинг железочек.

На этот раз не просто сухая теория, а целая hands-on платформа-лаборатория - PwnPad, для которой сначала надо бы собрать необходимую железку.

Да, заказываем плату (геберы, бомы и прочее тут), берём Arduino UNO (потребуется для прошивки), паяльник, рассыпуху и вперёд.

Что потребуется для сборки:
- Arduino UNO на ATmega328P с DIP-панелью
- Паяльник, провода, флюс
- Компоненты из BOM
- Arduino IDE
- Сама плата PwnPad

Рекомендуемое оборудование для решения задач
- Мультиметр
- Arduino UNO
- Логический Анализатор
- Провода-перемычки
- Raspberry Pi Pico и MOSFET для решения задач по Fault Injection

Всего доступно 12 задач, в ходе которых можно получить навыки использования основных протоколов (UART , SPI и I2С), навыки дампа прошивки, а так же пощупать продвинутые техники, вроде Fault Injection и Side-channel attack.

Полная инструкция по сборке и прошивке доступна в PDF, а так же есть видео сборки.