А теперь к серьезным темам.
Подавляющее большинство клиентов VLESS поднимают неавторизованную локальную проксю, через которую неназванные, но всем широко известные спайвар приложения могут получить выходной IP туннеля и SNI.
https://habr.com/ru/articles/1020080/
Подавляющее большинство клиентов VLESS поднимают неавторизованную локальную проксю, через которую неназванные, но всем широко известные спайвар приложения могут получить выходной IP туннеля и SNI.
https://habr.com/ru/articles/1020080/
Хабр
Из-за критической уязвимости VLESS клиентов скоро все ваши VPN будут заблокированы
Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах. Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства...
😢12❤2
Forwarded from Positive Technologies
Что это был за 😄 😄 😄 и как он стал рекламой онлайн-казино
В пятницу тысячи (не преувеличиваем) каналов поделились сообщением, которое начиналось с красной надписи
На первый взгляд — безобидный флешмоб. На деле — тысячи каналов бесплатно прорекламировали онлайн-казино, сами того не подозревая. Рассказываем, как это получилось.
1️⃣ Когда вы создаете пак эмодзи в Telegram, его можно назвать как угодно. Предположим, «Котики». Вы добавляете туда прикольные картинки с котятами, делитесь с друзьями, потом это подхватывают каналы — и вот ваши котики везде.
Но у владельца эмодзи-пака есть возможность переименовать его в любой момент. То есть, например, когда он уже установлен у тысяч пользователей и им продолжают делиться, название может внезапно измениться на «Котики — не очень, песики — огонь». При этом короткое имя (ссылка на добавление пака) остается тем же.
2️⃣ В пятницу так и произошло. Пак из трех эмодзи изначально назывался просто «ЧЕРНОВИК», его начали активно распространять по каналам — копировать и вставлять, не подозревая о планируемом скаме.
Спустя время он был переименован в «ЧЕРНОВИК [упоминание канала] (ПОДПИШИСЬ)». Упоминаемый канал принадлежит некому «социальному казино» (как они сами себя называют), которое якобы бесплатно раздет деньги, но на самом деле через различные шаги уводит на платформу стандартного онлайн-казино. За несколько дней этот канал собрал несколько тысяч подписчиков. Всего за счет трех эмодзи.
3️⃣ Некоторые каналы (и мы, спасибо читателям) обратили на это внимание и заменили паки на собственные. Наш мы так и назвали — «безопасный» (кстати, его установили себе около 20 пользователей, а сколько установили оригинальный — загадка). Другие каналы, узнав об этом, удалили публикации или эмодзи в них.
4️⃣ Чего не произошло, а могло бы. Помимо того, что у паков можно обновлять названия — в них можно менять и сами эмодзи, а также добавлять новые. На примере котиков из начала объяснения — заменить их всех на песиков 🐈 —> 🐕 (сильно не переживайте, в уже размещенных эмодзи котики останутся, изменения будут только в новых публикациях). А дальше у кого на что хватит фантазии — вплоть до размещения фишингового QR-кода, состоящего из эмодзи.
💡 Такие механики — наглядный пример того, как даже без взлома можно использовать доверие аудитории в своих целях. Поэтому перед публикацией любого хайпового контента стоит оценивать риски, даже если на первый взгляд все выглядит безобидно(для себя тоже выводы сделали) .
@Positive_Technologies
В пятницу тысячи (не преувеличиваем) каналов поделились сообщением, которое начиналось с красной надписи
черновик: — а точнее, с трех эмодзи, которые ее и составляли. После нее каналы, в том числе крупных и известных брендов, соревновались в юморе: кто интереснее подаст свой черновик. Мы — в том числе. На первый взгляд — безобидный флешмоб. На деле — тысячи каналов бесплатно прорекламировали онлайн-казино, сами того не подозревая. Рассказываем, как это получилось.
1️⃣ Когда вы создаете пак эмодзи в Telegram, его можно назвать как угодно. Предположим, «Котики». Вы добавляете туда прикольные картинки с котятами, делитесь с друзьями, потом это подхватывают каналы — и вот ваши котики везде.
Но у владельца эмодзи-пака есть возможность переименовать его в любой момент. То есть, например, когда он уже установлен у тысяч пользователей и им продолжают делиться, название может внезапно измениться на «Котики — не очень, песики — огонь». При этом короткое имя (ссылка на добавление пака) остается тем же.
2️⃣ В пятницу так и произошло. Пак из трех эмодзи изначально назывался просто «ЧЕРНОВИК», его начали активно распространять по каналам — копировать и вставлять, не подозревая о планируемом скаме.
Спустя время он был переименован в «ЧЕРНОВИК [упоминание канала] (ПОДПИШИСЬ)». Упоминаемый канал принадлежит некому «социальному казино» (как они сами себя называют), которое якобы бесплатно раздет деньги, но на самом деле через различные шаги уводит на платформу стандартного онлайн-казино. За несколько дней этот канал собрал несколько тысяч подписчиков. Всего за счет трех эмодзи.
3️⃣ Некоторые каналы (и мы, спасибо читателям) обратили на это внимание и заменили паки на собственные. Наш мы так и назвали — «безопасный» (кстати, его установили себе около 20 пользователей, а сколько установили оригинальный — загадка). Другие каналы, узнав об этом, удалили публикации или эмодзи в них.
4️⃣ Чего не произошло, а могло бы. Помимо того, что у паков можно обновлять названия — в них можно менять и сами эмодзи, а также добавлять новые. На примере котиков из начала объяснения — заменить их всех на песиков 🐈 —> 🐕 (сильно не переживайте, в уже размещенных эмодзи котики останутся, изменения будут только в новых публикациях). А дальше у кого на что хватит фантазии — вплоть до размещения фишингового QR-кода, состоящего из эмодзи.
💡 Такие механики — наглядный пример того, как даже без взлома можно использовать доверие аудитории в своих целях. Поэтому перед публикацией любого хайпового контента стоит оценивать риски, даже если на первый взгляд все выглядит безобидно
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤19
Ровно 65 лет назад Юрий Гагарин, гражданин Советского Союза, совершил первый полет в космос
Это был огромный подвиг космонавта, исследователей и конструкторов, которые проделали невероятное количество работы и выполнили поставленную задачу.
Оттого не менее грустно смотреть на то, насколько сейчас российская космонавтика отстает от NASA. Много неудачных запусков на фоне идеально работающих ракетных «ловушек» Маска и недавнего полета к Луне. Это грустно, но я уверен, что наступит день и наших побед.
А вам мы предлагаем посмотреть это видео с монтажом взлета Arthemis 2 под Free Bird. Песня была написана через год после полета Apollo и ждала своего часа 50 лет.
Юра, у нас все впереди.
Это был огромный подвиг космонавта, исследователей и конструкторов, которые проделали невероятное количество работы и выполнили поставленную задачу.
Оттого не менее грустно смотреть на то, насколько сейчас российская космонавтика отстает от NASA. Много неудачных запусков на фоне идеально работающих ракетных «ловушек» Маска и недавнего полета к Луне. Это грустно, но я уверен, что наступит день и наших побед.
А вам мы предлагаем посмотреть это видео с монтажом взлета Arthemis 2 под Free Bird. Песня была написана через год после полета Apollo и ждала своего часа 50 лет.
Юра, у нас все впереди.
YouTube
Artemis II Launch Recap + Free Bird | CINEMATIC HD
Check out this Artemis 2 launch video full of HD onboard and ground camera footage from NASA, plus who can resist playing free bird while traveling faster than the speed of sound!
Do you want to watch more Artemis related footage (Engineering cameras / tracking…
Do you want to watch more Artemis related footage (Engineering cameras / tracking…
🔥12❤6🎉5🤩1
Сегодня подошел к концу третий Learning Bear — образовательная смена для российских студентов по практической информационной безопасности.
Преподавателями смены были мы, команда SPRUSH.
В этот раз к нам приехали особенно умные и талантливые студенты. Часто мы удивлялись как быстро они обучаются, моментально впитывают материал и задают правильные, интересные вопросы.
Хочется сказать спасибо нашим партнерам и особенно МИФИ и Сириусу, без них это мероприятие было бы невозможно.
Но отдельно хочется сказать спасибо двум девушкам: Кате @schnapsrauch и Насте @AnDmVar, создательнице Learning Bear. Они делают реально огромную работу на своем энтузиазме и вкладывают большие усилия в развитие российских студентов-безопасников. LB сейчас — это площадка, на которой талантливым студентам за 0 рублей по-взрослому рассказывают серьезный материал без каких либо скидок на «да они не поймут». И за возможность проведения такого мероприятия надо благодарить именно Настю.
See ya в следующем году!
Преподавателями смены были мы, команда SPRUSH.
В этот раз к нам приехали особенно умные и талантливые студенты. Часто мы удивлялись как быстро они обучаются, моментально впитывают материал и задают правильные, интересные вопросы.
Хочется сказать спасибо нашим партнерам и особенно МИФИ и Сириусу, без них это мероприятие было бы невозможно.
Но отдельно хочется сказать спасибо двум девушкам: Кате @schnapsrauch и Насте @AnDmVar, создательнице Learning Bear. Они делают реально огромную работу на своем энтузиазме и вкладывают большие усилия в развитие российских студентов-безопасников. LB сейчас — это площадка, на которой талантливым студентам за 0 рублей по-взрослому рассказывают серьезный материал без каких либо скидок на «да они не поймут». И за возможность проведения такого мероприятия надо благодарить именно Настю.
See ya в следующем году!
❤30
25 октября в Казани состоится III Всероссийский турнир по защите информации «GO CTF TATARSTAN»
Заявки принимаются до 22 мая 12:00 в двух зачетах:
— Школьный, обучающиеся 7-11 классов
— Академический, студенты СПО до 23 лет
Основные этапы турнира:
— Регистрация команд — до 22 мая 12:00 по московскому времени
— Отборочный этап в формате онлайн - 23 мая с 10:00 до 18:00
— Финальный этап в Казани — 25 октября
Призовой фонд турнира составит 700 000 рублей. Регистрация уже открыта, а информацию организаторы будут постить в своем канале @goctfofficial
Заявки принимаются до 22 мая 12:00 в двух зачетах:
— Школьный, обучающиеся 7-11 классов
— Академический, студенты СПО до 23 лет
Основные этапы турнира:
— Регистрация команд — до 22 мая 12:00 по московскому времени
— Отборочный этап в формате онлайн - 23 мая с 10:00 до 18:00
— Финальный этап в Казани — 25 октября
Призовой фонд турнира составит 700 000 рублей. Регистрация уже открыта, а информацию организаторы будут постить в своем канале @goctfofficial
😍3👎2❤1👍1
Forwarded from Наталья Касперская
МВ_Мишустину_и_АЭ_Вайно_О_блокировках_VPN_21042026.pdf
693.2 KB
Блокировать блокировки блокирования блокировок!
Вот уже третью неделю российский интернет колбасит.
Сбои Интернета наблюдались 1, 3, 6, 7, 8, 9, 11, 13, 14, 16, 17, 19, 20 и 21 апреля в разных регионах России. То есть почти каждый день. Раньше сбои связи объяснялись борьбой с БПЛА противника, которые используют сим-карты и трафик наших мобильных операторов для навигации при ударах вглубь России.
Но такое резкое увеличение количества сбоев интернета не может быть связано только борьбой с БПЛА: резкого роста беспилотных атак по внутренней территории РФ не наблюдается.
Что же происходит?
Власти объясняют проблемы с Интернетом «необходимостью борьбы с угрозами». Что это за угрозы, не уточняется. Но похоже, что одна из ключевых причин сбоев — всё та же, блокировки. После блокировок самих цифровых платформ (которые давали, скажем так, «амбивалентный результат»), началась эскалация: блокировки средств обхода блокировок — сервисов VPN.
С начала апреля сообщества разработчиков отечественных программных продуктов бурлят. Программисты обсуждают начатые Министерством цифрового развития и его исполнительным органом — Роскомнадзором — действия по блокировкам VPN.
Сначала программисты призывали писать петиции, прошения, жалобы, а потом все обсуждения свелись к техническим — как обойти эти меры, к обмену техническими советами и ссылками на существующие программные средства. Российские программисты поняли, что блокировки — это зло, обход их — однозначное добро. А программистов в России больше миллиона.
В среду 22 апреля ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» написала письмо с изложением нашей общей позиции по проблеме блокировок, с аргументами, почему бессмысленно и вредно блокировать VPN.
Отправили письмо с этой позицией Председателю Правительства и руководителю Администрации Президента.
Будем надеяться, что это сработает. Кто-то же должен сказать.
А сказать тут следует вот что:
VPN (virtual private network) или виртуальная частная сеть — это шифрованный туннель, устанавливаемый между удалёнными компьютерами (или устройствами). Он может работать явно, как легитимное средство организации удалённой работы и связи с филиалами компании, может прятаться для обхода блокировок, мимикрировать под обычный интернет-трафик.
Тенденция последних лет заключается как раз в том, что все VPN, даже легитимные, всё больше старались прятать свои протоколы. А прятаться нетрудно. Большинство сайтов в интернете сейчас используют защищённый (зашифрованный) протокол HTTPS, где -S означает шифрование. Работает этот протокол так — устанавливает шифрованный туннель соединения, а в нем уже передает данные по протоколу HTTP. Отличить этот трафик от трафика VPN технически очень сложно.
Ещё нужно понимать, что VPN сейчас — «наколеночная», кухонная технология. Собственный сервис VPN может сейчас создать практически любой человек, имеющий самые базовые представления о системе Linux. В конце марта я интересовалась — в России было около 4000 различных VPN, доступных для использования, в середине апреля их было более 6000.
Того, кого интересуют технические подробности, отсылаю к письму АРПП. Это документ на 10 страниц, подробно описывающий технические особенности.
Общий вывод нашего письма: нельзя эффективно заблокировать VPN, не обрушив работу Рунета.
Но помимо технической невозможности реализации полноценной блокировки есть ещё кое-что.
Блокировки VPN уже сейчас мешают программистам работать по следующим причинам:
✔️ Большинство разрабатываемого программного обеспечения использует готовые библиотеки, которые разрабатываются так называемыми open-source сообществами и размещаются на иностранных репозиториях открытого кода. Иностранные государства и сообщества зачастую блокируют доступ нашим разработчикам.
✔️ Многие разработчики сейчас используют специальные ИИ-модели для разработки ПО, а все они исключительно иностранные, преимущественно американские.
✔️ Языки программирования, программистские библиотеки — только иностранные.
Вот уже третью неделю российский интернет колбасит.
Сбои Интернета наблюдались 1, 3, 6, 7, 8, 9, 11, 13, 14, 16, 17, 19, 20 и 21 апреля в разных регионах России. То есть почти каждый день. Раньше сбои связи объяснялись борьбой с БПЛА противника, которые используют сим-карты и трафик наших мобильных операторов для навигации при ударах вглубь России.
Но такое резкое увеличение количества сбоев интернета не может быть связано только борьбой с БПЛА: резкого роста беспилотных атак по внутренней территории РФ не наблюдается.
Что же происходит?
Власти объясняют проблемы с Интернетом «необходимостью борьбы с угрозами». Что это за угрозы, не уточняется. Но похоже, что одна из ключевых причин сбоев — всё та же, блокировки. После блокировок самих цифровых платформ (которые давали, скажем так, «амбивалентный результат»), началась эскалация: блокировки средств обхода блокировок — сервисов VPN.
С начала апреля сообщества разработчиков отечественных программных продуктов бурлят. Программисты обсуждают начатые Министерством цифрового развития и его исполнительным органом — Роскомнадзором — действия по блокировкам VPN.
Сначала программисты призывали писать петиции, прошения, жалобы, а потом все обсуждения свелись к техническим — как обойти эти меры, к обмену техническими советами и ссылками на существующие программные средства. Российские программисты поняли, что блокировки — это зло, обход их — однозначное добро. А программистов в России больше миллиона.
В среду 22 апреля ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» написала письмо с изложением нашей общей позиции по проблеме блокировок, с аргументами, почему бессмысленно и вредно блокировать VPN.
Отправили письмо с этой позицией Председателю Правительства и руководителю Администрации Президента.
Будем надеяться, что это сработает. Кто-то же должен сказать.
А сказать тут следует вот что:
VPN (virtual private network) или виртуальная частная сеть — это шифрованный туннель, устанавливаемый между удалёнными компьютерами (или устройствами). Он может работать явно, как легитимное средство организации удалённой работы и связи с филиалами компании, может прятаться для обхода блокировок, мимикрировать под обычный интернет-трафик.
Тенденция последних лет заключается как раз в том, что все VPN, даже легитимные, всё больше старались прятать свои протоколы. А прятаться нетрудно. Большинство сайтов в интернете сейчас используют защищённый (зашифрованный) протокол HTTPS, где -S означает шифрование. Работает этот протокол так — устанавливает шифрованный туннель соединения, а в нем уже передает данные по протоколу HTTP. Отличить этот трафик от трафика VPN технически очень сложно.
Ещё нужно понимать, что VPN сейчас — «наколеночная», кухонная технология. Собственный сервис VPN может сейчас создать практически любой человек, имеющий самые базовые представления о системе Linux. В конце марта я интересовалась — в России было около 4000 различных VPN, доступных для использования, в середине апреля их было более 6000.
Того, кого интересуют технические подробности, отсылаю к письму АРПП. Это документ на 10 страниц, подробно описывающий технические особенности.
Общий вывод нашего письма: нельзя эффективно заблокировать VPN, не обрушив работу Рунета.
Но помимо технической невозможности реализации полноценной блокировки есть ещё кое-что.
Блокировки VPN уже сейчас мешают программистам работать по следующим причинам:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤30😁7🐳1
Думаю, вы заметили сильное падение количества постов в этом канале, да и всей общемировой CTF активности в целом.
Это не просто так: CTF умерли в том виде, в котором мы все их знали и любили. Скорборды больше не отражают скилл участников, а организаторы больше не видят смысла писать таск несколько недель, чтобы продемонстрировать красивую идею эксплойта. Виной этому, конечно же, агентные AI модели. Opus 4.7 и GPT 5.5 прекрасно решают CTF таски, намного лучше подавляющего большинство цтферов.
Кроме духа соревнований пропало большое количество возможностей, которые давали нам CTF. Возможность быстро и эффективно обучать новичков, повышать мотивированность участников соревнований заниматься глубоким анализом таргетов (ведь чем лучше разбираешься, тем ты выше в скорборде), регулярно общаться с разными людьми с общим увлечением на очных соревнованиях.
Буквально пару лет назад в разговоре с руководителем отдела образования одной российской компании я говорил "проводите CTF и всё у вас будет хорошо с security awareness у разработчиков". Сейчас уже я не могу так сказать, причем не исходя из того, что участники будут использовать AI, а из того, что все участники будут думать, что соперники используют AI, а это приведет к недобросовестной конкуренции в лучшем случае и конфликтам в худшем.
Тот самый feedback loop обучения (поучаствовал в CTF -> порешал таски -> почитал райтап на нерешенные -> понял свои ошибки), который помогал нам расти самим и обучать других больше не работает. Что сказать, очень жаль. Тут можно только поздравить людей, которые все-таки застали время CTF и успели научиться чему-то полезному.
Что делать сейчас? Кажется никто не знает. Остался фактически только один способ проведения таких соревнований: отбираем у людей любые электронные устройства и сажаем их решать задачи на компьютерах организаторов. Кажется, кроме школьных CTF больше никто не организует такой формат.
На написание этого поста меня вдохновила статья от Kabir Acharya. Согласен с каждым словом в этой статье :)
Это не просто так: CTF умерли в том виде, в котором мы все их знали и любили. Скорборды больше не отражают скилл участников, а организаторы больше не видят смысла писать таск несколько недель, чтобы продемонстрировать красивую идею эксплойта. Виной этому, конечно же, агентные AI модели. Opus 4.7 и GPT 5.5 прекрасно решают CTF таски, намного лучше подавляющего большинство цтферов.
Кроме духа соревнований пропало большое количество возможностей, которые давали нам CTF. Возможность быстро и эффективно обучать новичков, повышать мотивированность участников соревнований заниматься глубоким анализом таргетов (ведь чем лучше разбираешься, тем ты выше в скорборде), регулярно общаться с разными людьми с общим увлечением на очных соревнованиях.
Буквально пару лет назад в разговоре с руководителем отдела образования одной российской компании я говорил "проводите CTF и всё у вас будет хорошо с security awareness у разработчиков". Сейчас уже я не могу так сказать, причем не исходя из того, что участники будут использовать AI, а из того, что все участники будут думать, что соперники используют AI, а это приведет к недобросовестной конкуренции в лучшем случае и конфликтам в худшем.
Тот самый feedback loop обучения (поучаствовал в CTF -> порешал таски -> почитал райтап на нерешенные -> понял свои ошибки), который помогал нам расти самим и обучать других больше не работает. Что сказать, очень жаль. Тут можно только поздравить людей, которые все-таки застали время CTF и успели научиться чему-то полезному.
Что делать сейчас? Кажется никто не знает. Остался фактически только один способ проведения таких соревнований: отбираем у людей любые электронные устройства и сажаем их решать задачи на компьютерах организаторов. Кажется, кроме школьных CTF больше никто не организует такой формат.
На написание этого поста меня вдохновила статья от Kabir Acharya. Согласен с каждым словом в этой статье :)
❤35😢28👍7🤯5👎4💔4😐2👌1
Forwarded from Infosec Fortress
Hacefresko
From breaking into my ISP router to finding a MediaTek kernel 0day
From breaking into my ISP router to finding a MediaTek kernel 0day
🔗 Link
#exploitation
#kernel
#linux
#mediatek
#zyxel
———
🆔 @Infosec_Fortress
🔗 Link
#exploitation
#kernel
#linux
#mediatek
#zyxel
———
🆔 @Infosec_Fortress
❤5
Очень крутая статья про похек Minecraft и эксплуатацию кучи в приложениях Windows
https://osec.io/blog/2026-06-02-minecraft-heap-overflow-to-rce
https://osec.io/blog/2026-06-02-minecraft-heap-overflow-to-rce
❤6
Forwarded from OFFZONE
Заявку можно подать на сайте до 29 июня (включительно). Там же ищите подробности и требования к докладам.
Как проходит отбор и как лучше оформить заявку, читайте в статье на «Хабре».
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Павел Дуров
📱 А без такой системы все приложения на смартфонах — «национальные» или «иностранные» — остаются уязвимыми для точечной слежки и цензуры со стороны США через бэкдоры и магазины приложений iOS и Android.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤35👍4🥴2