Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Сетевые технологии
Беспроводные сети, которые изначально создавались для работы в Интернете с мобильных устройств, сейчас используются повсеместно, в том числе для создания внутренних сетей компаний. Неудивительно, что их безопасность выходит на первый план. При взломе Wi-Fi учитывают особенности, характерные для проводных сетей, и свойства среды, в которой передаётся сигнал. В Wi-Fi проще получить доступ к передаваемым данным или повлиять на сам канал. И первой преградой на пути взломщика становится пароль. Безопасность беспроводных сетей обеспечивают по-разному. Существуют открытые системы, которые работают по тем же принципам, что проводные: подключиться к каналу и получать данные может кто угодно. WEP – первое поколение и стандарт защиты Wi-Fi, разработанный в 1990 году, сейчас почти не используется. WPA и WPA2 – второе поколение защиты. Стандарт поддерживает разные алгоритмы шифрования и шифрует данные каждого клиента по отдельности. В разделе собраны статьи и рекомендации по поиску уязвимостей Wi-Fi, а также выстраиванию защиты сети.
UDP flood на 180 Гбит/с — и NOC-инженер вручную набирает команду активации scrubbing-центра. BGP-конвергенция 4 мин + GRE-туннель 2 мин = платёжный шлюз лежит, четверть месячного SLA-бюджета (99.95% uptime) сгорела.
Anycast-сеть из 20 PoP распределила бы атаку автоматически — по 9 Гбит/с на точку, inline scrubbing за 3 мс, без единого BGP-изменения. Многовекторные атаки (T1498.001 + T1499.002) в 2025 году составляют 52% инцидентов — TCP carpet-bombing сменяется DNS amplification за три минуты, пока NOC разгребает первый вектор.
On-demand scrubbing с GRE-туннелем даёт 10–20 Тбит/с ёмкости, но скрытая цена — время диверсии.
Anycast слеп к L7: sub-Gbps HTTP flood проходит 60–120 сек до порога NetFlow-детекции.
Evil twin проработал три недели в переговорной зоне: BSSID отличался на один октет, сигнал был на 8 dBm мощнее корпоративной AP — WIDS молчал, потому что whitelist BSSID никто не настроил. Утекли учётки 14 сотрудников.
Цепочка атаки: airodump-ng собирает BSSID и каналы, hostapd-wpe разворачивает evil twin и перехватывает EAP-хэши через PEAP/MSCHAPv2 на поддельном RADIUS. Классика MITRE T1557 — без физического доступа, из парковки или кафе через стену.
Hardening: whitelist BSSID с порогом RSSI выше -65 dBm = Critical, dedicated sensor mode вместо background scanning (MTTD 30–90 сек против 20+ мин), валидация сертификата RADIUS на клиентах.
WIDS включён — но без whitelist BSSID это генератор тишины, а не алертов.
Mirai-ботнет уложил Dyn в 2016-м через water torture: IoT-устройства долбили рекурсоры случайными поддоменами вида a1b2c3.target.com — кэш бесполезен, каждый запрос уходит к авторитативнику. Twitter, Reddit, GitHub — оффлайн.
Water torture эксплуатирует T1499.002/T1499.003: объём трафика скромный, но CPU рекурсора уходит в потолок от cache miss storm. NXDOMAIN flood бьёт по рекурсору любыми несуществующими доменами, water torture целится через него в конкретный авторитативный сервер. DNSSEC иронично усиливает amplification до 54x (T1498.002, US-CERT TA13-088A).
SOC видит volume spike — water torture его не даёт. Атака прячется за легитимным трафиком, пока CPU уже в 100%.
Оператор водоочистной станции в Олдсмаре увидел, как курсор двигается сам. Кто-то через legacy-инструмент удалённого доступа пытался поднять концентрацию гидроксида натрия до уровня яда. Не было сегментации, не было мониторинга, не было MFA. Между 15 000 жителей и катастрофой — один внимательный сотрудник.
Навигационный хаб по 9 материалам кластера: атаки на SCADA, сегментация OT по Purdue Model и Zero Trust, пентест Modbus, lateral movement из IT в OT, kill chain до ПЛК, иранские APT, ransomware в OT, VNC без аутентификации.
7 принципиальных отличий OT от IT: приоритет доступности, протоколы без аутентификации, цикл патчинга 29 месяцев, сканирование = риск аварии, жизненный цикл 25 лет, слепота стандартных EDR. IEC 62443, NERC CIP, NIST CSF 2.0 с адаптацией под промышленные среды. Чеклист 12 мер защиты критической инфраструктуры.
Air gap — миф. На каждом объекте найдётся Historian, dual-homed инженерная станция или забытый VPN-туннель вендора.
В 3 из 5 аудитов Zero Trust внутри «защищённых» сегментов стояло правило permit any any — lateral movement шёл беспрепятственно. CISA 2025 прямо фиксирует: ошибки проектирования политик обнуляют все инвестиции в микросегментацию.
Атакующий после T1078 (Valid Accounts) запускает T1046/T1018/T1049, затем движется через T1021 Remote Services — и классический VLAN с ACL не останавливает ни один шаг. East-west трафик периметровые средства не видят, всё внутри считается доверенным.
VLAN есть, отчёт красивый — а permit any any внутри сегмента даёт атакующему полный east-west.
99% облачных инцидентов — вина клиента, не провайдера. Облачные вторжения выросли на 37% в 2025 году. Атаки с использованием валидных credentials — плюс 71%. Мисконфигурация облака — самый дешёвый вектор: не нужны эксплойты, хватает curl.
Навигационный хаб по 9 материалам: открытые S3/Azure Blob/GCP Storage, SSRF к metadata endpoint (169.254.169.254), эскалация привилегий AWS IAM, credential theft и account takeover, CVE-2026-40175 в Axios, безопасность Terraform/CloudFormation, мисконфигурации Salesforce, атаки на serverless Lambda.
Kill chain из 6 этапов с маппингом MITRE ATT&CK: T1619 → T1078.004 → T1552.005 → T1530 → T1098.003. Чеклист 12 действий для немедленного аудита: Block Public Access, IMDSv2, Object Lock, аудит EBS-снапшотов. Таблица инструментов: Prowler, ScoutSuite, Trivy, Pacu — с реальными ограничениями каждого.
Оставил SSH-дверь приоткрытой на дешёвом VPS с Cowrie-ловушкой и просто смотрел. Через несколько минут постучались. За четыре часа — почти 7 000 атак, 75 уникальных IP из 30 стран. И семь адресов из разных стран с одним и тем же бэкдор-ключом.
SHA256 всех семи закачек совпал до байта. Ключ с подписью mdrfckr, команда rm -rf .ssh && echo "ssh-rsa..." >> authorized_keys — это Outlaw/Shellbot, ботнет с 2018 года. Семь IP сами жертвы: их когда-то взломали тем же приёмом, теперь они сканируют интернет за своих хозяев.
Топ паролей: 123456, 123, 1234 — и объяснение, почему Passw0rd с заглавной буквой ломается за секунды, а случайные 16 символов — дольше жизни Солнца. Как поднять такую же ловушку самому: VPS, Cowrie через Docker, переброс портов.
Противник — не хакер в худи, а конвейер автоматики, который круглосуточно долбит 123456 по всем адресам подряд.
На аудите нефтехимического завода Modbus/TCP от Siemens S7-1200 жил в одном VLAN с корпоративным файловым сервером. От ноутбука подрядчика до записи в holding-регистры ПЛК — 47 минут, два дырявых ACE-правила и ноль алертов в SIEM.
Purdue Model уровни 2 и 3 на реальных объектах сливаются в плоскую подсеть — historian рядом с HMI без файрвола, «временно» уже три года. VPN подрядчика приземляется прямо на Level 2, минуя DMZ: MITRE ATT&CK T1199 Trusted Relationship даёт прямой маршрут в OT. Modbus/TCP FC6/FC16 выполняет запись в регистры без аутентификации от любого IP.
EDR молчит — в OT нет эндпоинтов под агентом. Атака на ПЛК невидима для SIEM до физических последствий.
Шесть недель C2-канал Cobalt Strike через два Nginx-redirector'а — ноль алертов. Трафик маскировался под API-запросы к SaaS-порталу. На postmortem'е выяснилось: команда защиты не знала, какие артефакты оставляет Nginx в роли C2 redirector без расшифровки TLS.
Механика: location с proxy_pass направляет URI из Malleable C2 Profile на team server, всё остальное — 302 redirect на microsoft.com. try_files как двойное дно: существующий файл отдаётся клиенту, несуществующий URI проксируется на C2. Аналитик проверил домен руками, увидел redirect на легитимный ресурс — закрыл тикет.
Detection без расшифровки TLS: JA3-хеши C2-фреймворков в базах, σ интервалов < 5 сек при среднем > 30 сек — beaconing, один хост на «News»-домен — аномалия, crafted URI возвращает не 404 — try_files с fallback на C2. Мониторинг новых location-блоков в /etc/nginx/ через auditd.
IP из алерта — расходный узел. За redirector'ом скрывается инфраструктура, которую вы ещё не видите.
Из 200 000 инфузионных насосов, проанализированных Unit 42, 75% содержали хотя бы одну известную уязвимость. 52% уязвимы к двум CVE с CVSS 9.8 — раскрытым в 2019 году. Шесть лет назад. На стенде картина та же: открытый текст, дефолтные пароли, прошивки без обновлений.
Медицинская сеть — другая реальность: DICOM не требует аутентификации по дизайну, HL7 v2 передаёт клинические данные открытым текстом, плоские сети без сегментации, VxWorks вместо Windows. CVE-2019-12255 в TCP/IP стеке VxWorks (CVSS 9.8, EPSS Top 1%, EDB-47233) затрагивает МРТ, инфузионные насосы, мониторы пациентов — всё что работает на этой RTOS.
EDR не ставится на насосы и МРТ — несовместимая ОС. SIEM не парсит DICOM/HL7. Трафик на порту 104 воспринимается как нормальный. Чеклист пентеста из девяти шагов.
Вопрос не в том, обнаружит ли кто-то слабости — они давно каталогизированы. Вопрос — кто окажется в сети первым.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.