Форум информационной безопасности - Codeby.net

Linux - это база, без которой сложно двигаться дальше.

Пентест, DevOps, backend, CTF - всё крутится вокруг Linux. Но большинство изучают его хаотично: случайные команды, копипаст и никакой системы.

Мы собрали курс, который даёт цельную базу с нуля - от командной строки до Docker и Ansible.

В программе:

• терминал и работа с файловой системой
• пользователи, права и процессы
• сеть и основы безопасности
• серверные сервисы: Apache и MySQL
• Docker, bash и автоматизация
• Ansible

После курса Linux перестаёт быть «чёрным ящиком»: команды становятся понятными, терминал - рабочим инструментом, а серверная часть больше не вызывает ступор.

5 модулей. 16 уроков. Последовательная программа.

Подробности и программа курса

Вендор формально закрыл CVE — а attack surface остался нетронутым. Backport-патчи ядра Linux — слепая зона, где changelog врёт, а grep по CVE-номеру не работает.

Upstream-фикс из трёх коммитов: в stable попали два. Третий «зависит от рефакторинга». Между фиксом CVE-2024-1086 и backport в 5.15 прошло несколько недель — рабочий эксплойт с 99.4% успешностью уже был публичен. Kernel CNA теперь выдаёт десятки CVE в день, а ваш RHEL 8 с ядром 4.18 ждёт.

Четыре метода автоматического обнаружения: git patch-id для точного сопоставления, kernel-backport-checker, coccinelle для семантического анализа AST и cve-bin-tool для бинарей без исходников. FixMorph (75.1%) и PortGPT (89.15%) — для генерации отсутствующих backport'ов.

Пятишаговый pipeline с Python-кодом для CI/CD и три типичные ловушки, которые автоматика регулярно пропускает.

«Независимый аудит пройден» — красивый фантик. Без конкретики: кто проводил, что нашли, что исправили — это пустые слова. Разбираем, что за ним стоит.

Обзоры сравнивают фичи и цены — но не отвечают на главное: где именно хранится ключ шифрования хранилища и что получит атакующий при полной компрометации облачного провайдера. 1Password добавляет 128-битный Secret Key как второй фактор деривации. Bitwarden защищён только мастер-паролем — KDF решает всё.

Три продукта через MITRE ATT&CK threat model: архитектурные отличия AES-256-GCM vs CBC+HMAC, результаты аудитов Cure53 и NCC Group, три сценария компрометации и self-hosted Vaultwarden с Docker Compose.

Hardening checklist, Bitwarden CLI для CI/CD и схема «какой менеджер для какого контекста» — с обоснованием через архитектуру, а не маркетинг.

Разработчик открыл GitHub Issue — и через восемь часов на каждой машине с npm update стоит AI-агент с полным доступом к файловой системе. Через заголовок тикета.

Clinejection (~700K установок Cline) показал: allowed_non_write_users: "*" + Bash-инструмент = компрометация CI/CD через cache poisoning и кража токенов публикации. IDE-расширения — слепая зона: npm audit их не видит, SBOM не покрывает, обновляются автоматически.

Три вектора с хронологией: Clinejection и cache poisoning в GitHub Actions, тайпсквоттинг-пакеты с postinstall-хуками, PoisonedSkills — атака на AI-агентов через «документацию» с bypass rate до 33.5%.

Чеклист защиты DevSecOps-пайплайна: lockfile enforcement, OIDC вместо static tokens, изоляция cache scope и KQL-правила для детекта вредоносных расширений.

CVSS 10.0 в Axios — и сам исследователь говорит «в реальном продакшене это не должно сработать». Для пентестера критично понять, где именно проходит эта граница.

Три CWE в одной цепочке: Prototype Pollution активирует гаджет в Axios, CRLF-инъекция формирует контрабандный PUT-запрос, request smuggling обходит IMDSv2 и крадёт IAM-credentials. Но Node.js блокирует CRLF на уровне рантайма — и стандартная цепочка не работает.

Разбираем каждое звено: где ломается эксплуатация, три сценария где она всё-таки работает (кастомный адаптер, raw sockets, proxy) и почему CVSS 10.0 при нерабочей цепочке — это не баг системы оценки.

Чеклист для пентестера и маппинг полной цепочки на MITRE ATT&CK.

Два часа ночи, 47 алертов в очереди — и ты не знаешь, это реальная атака или Qualys сканирует DMZ по расписанию. Вот с чего начинается карьера SOC-аналитика.

80% алертов — ложные срабатывания. Первые полгода — ощущение, что ничего не понимаешь. Зарплата junior от 60 до 120 тысяч с ночными надбавками. Никто об этом не предупреждает — зато на курсах обещают «войти в профессию за 3 месяца».

Честный разбор: что реально спрашивают на техническом интервью, какие навыки нужны на каждом уровне L1→L3, план обучения на 90 дней с конкретными командами и платформами.

Развилки карьеры после 3–5 лет (Threat Hunting, IR, Engineering), влияние AI на работу аналитика и 6 шагов, которые можно сделать прямо сегодня.

Domain Admin получен. Теперь вопрос в другом: как закрепиться так, чтобы смена скомпрометированного пароля ничего не изменила?

DCSync прикидывается вторым DC и забирает хэши через протокол репликации — без физического доступа к контроллеру. Из хэша krbtgt лепится Golden Ticket на 10 лет. Silver Ticket идёт к конкретному сервису без обращения к DC — в логах контроллера тишина.

Полная цепочка post-exploitation: DCSync через Impacket и Mimikatz, создание Golden и Silver Ticket с разбором параметров, сравнение техник — плюс почему пароль krbtgt нужно менять именно дважды.

Детектирование через Event ID 4662/4768/4769 и защитные меры: ротация krbtgt, gMSA, валидация PAC и SPN Honeypot.

Антивирус говорит «чисто», а трафик утекает на C2. Kernel-mode руткит работает на одном уровне привилегий с ОС — и видит всё, что видит система.

Руткиты — меньше 1% вредоносных программ, но каждый случай это серьёзный инцидент: APT-кампании, скрытый майнинг. DKOM удаляет процесс из ActiveProcessLinks — он живёт, но невидим. SSDT hooking перехватывает системные вызовы до антивируса. Callback-манипуляции выключают EDR, не трогая его процесс.

Разбираем каждую технику на уровне структур ядра: как руткит перелинковывает EPROCESS, подменяет записи в таблице системных вызовов, регистрирует minifilter с высоким altitude и зачищает callback-массивы защитных средств.

Пошаговый workflow обнаружения через WinDbg и Volatility — кросс-валидация pslist/psscan, проверка SSDT и анализ callbacks.

Запускаешь kube-bench - получаешь проблемы с control plane, kubelet и правами на системные файлы. Запускаешь Kubescape - видишь RBAC, securityContext, NetworkPolicy и манифесты. В статье разбираем, почему оба инструмента проверяют Kubernetes по CIS Benchmark, но смотрят на кластер с разных уровней и поэтому не дублируют друг друга.

Покажем, где kube-bench сильнее на уровне узла, процессов и флагов запуска, а где Kubescape удобнее для API, YAML, политик и ранней проверки до деплоя. Сравним покрытие, формат отчётов, интеграцию в CI/CD, типовые замечания и разберём, какие из них действительно встречаются почти в каждом кластере.

Это не обзор ради обзора, а практический разбор выбора инструмента под реальную задачу: периодический аудит самоуправляемого кластера, контроль безопасности в managed-среде, проверка манифестов в пайплайне и комбинированный подход, где kube-bench и Kubescape работают не вместо друг друга, а вместе.

120 закрытых вакансий ИБ — и одна закономерность: компании перестали набирать джунов пачками и перешли на точечный найм senior. Конкуренция за старт выросла.

Пентестер в Москве — 220 000 медиана, AppSec-инженер — 226 000, SOC-аналитик L1 — от 80 000. Но реальный рост покупательной способности за три года — минимален: номинальный рост съеден инфляцией. Зарплатные таблицы с разбивкой по грейдам для России и США — без маркетинговых округлений.

Пошаговое руководство по резюме от рекрутера, закрывшего 120 ИБ-вакансий: заголовок с ATS-ключами, блок «о себе» с доказательствами вместо «целеустремлённый и стрессоустойчивый», топ-5 антипаттернов и 6-месячный план входа в профессию.

Конкретные примеры — плохо vs хорошо — для каждого раздела резюме.