poxek | Неотсортированное

Telegram-канал poxek - Похек

14582

All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp

Подписаться на канал

Похек

Old, but gold

Meme by @k0_oat

🌚 @poxek

Читать полностью…

Похек

Эти доклады отметил для себя как полезные и годные. Но другие доклады тоже хороши.

На самом деле давно не был на конфе, когда не понимаешь даже половину слов спикера и ... меня это радует, т.к. это значит есть развиваться)

Читать полностью…

Похек

Следующий спикер уже на сцене! Дмитрий Рыбалка, Lamoda Tech. "Talos Linux в production: без SSH и с удовольствием".

Читать полностью…

Похек

Дмитрий Евдокимов переходит к своему докладу: "Неочевидные и непонятные моменты безопасности Kubernetes".

Читать полностью…

Похек

Вайб кодинг на стероидах

🌚 @poxek_meme

Читать полностью…

Похек

Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API

Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.

➡️Основные моменты статьи:
➡️Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.

Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.

➡️Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.

Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.

🔗 Читать далее

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

🔎 Эксперты Curator обнаружили крупнейший DDoS-ботнет — 4,6 миллиона устройств

16 мая специалисты Curator зафиксировали и нейтрализовали масштабную DDoS-атаку, в которой использовался огромный ботнет — крупнейший за всю историю наблюдений. Он включал 4,6 млн устройств — это в разы превышает рекорды прошлых лет: для сравнения, в 2023 году — 136 тыс. устройств, а в 2024 — 227 тыс.

Атака проходила в несколько этапов:

⚡️ На первом этапе — чуть больше 2 млн устройств
⚡️ На втором — еще 1,5 млн
⚡️ На третьем — дополнительно 1 млн устройств, всего 4,6 млн

С данным ботнетом эксперты компании Curator уже сталкивались ранее в этом году — тогда его размер составлял 1,33 млн устройств. Сейчас он вырос более чем втрое, что свидетельствует о его активном развитии и повышении угрозы.

🌍 География ботнета:

🇧🇷 Бразилия — 1,37 млн устройств
🇺🇸 США — 555 тыс.
🇻🇳 Вьетнам — 362 тыс.
🇮🇳 Индия — 135 тыс.
🇦🇷 Аргентина — 127 тыс.

Такой ботнет обладает потенциалом генерировать десятки миллионов запросов в секунду. Подобная нагрузка может запросто вывести из строя любой онлайн-ресурс. Не каждый провайдер DDoS-защиты сможет с ней справиться.

👉 Оставайтесь на шаг впереди угроз — следите за новостями и аналитикой в канале Curator

Реклама: ООО "ЭЙЧ-ЭЛЬ-ЭЛЬ", ИНН 7704773923

Читать полностью…

Похек

ИИ обошел 90% команд на соревновании хакеров

Исследователи из Palisade Research (это те, у которых недавно выходило вот это громкое исследование про саботаж моделей) сделали специальный AI-трек на двух недавних соревнованиях Capture The Flag от крупнейшей платформы Hack The Box. Суммарно участие принимали почти 18 тысяч человек и 8 500 команд. Из них несколько полностью состояли из ИИ-агентов. Вот что вышло:

В первом небольшом соревновании (≈400 команд) четыре из семи агентов решили по 19 из 20 задач и вошли в топ 5 % участников
Во втором большом CTF (≈8 000 команд) лучшему ИИ-агенту удалось захватить 20 флагов из 62 и оказаться в топ-10%
При этом агенты справляются почти со всеми задачами, на которые человек тартит до часа времени, и делают это в разы быстрее

Одинаково неплохо моделям удавались и задачи на взлом шифра, и веб-взломы, и форензика, и эксплуатация уязвимостей 💀

Ну и экономический эффект тоже на месте. Если принять во внимание, что на одну команду из топ-5% обычно уходит не менее нескольких сотен человеко-часов на подготовку, анализ и написание эксплойтов, то даже самый дорогой агент, который работал 500ч, в итоге обошелся дешевле, чем 10 таких живых команд.

arxiv.org/pdf/2505.19915

Читать полностью…

Похек

Добавил ко всем выпускам подкаста таймкоды)

Читать полностью…

Похек

Основные этапы MLOps

Процесс разработки и внедрения моделей машинного обучения в промышленную среду состоит из нескольких ключевых этапов: постановка задачи, разработка модели и её последующее сопровождение. Каждый из этапов предполагает использование специфических подходов и инструментов.

1. Постановка задачи

На этом этапе определяются:

Бизнес-требования и критерии успеха внедрения.
Метрики качества модели в зависимости от типа задачи:
Классификация: Accuracy, Precision, Recall, F1-score, AUC-ROC.
Регрессия: RMSE, MAE, R².
Рекомендательные системы: Hit Rate, NDCG.
Анализ доступных данных, включая их объём, качество и потенциальные ограничения (регуляторные требования или hardware-ограничения).

2. Разработка модели

Этап включает:

Предобработку данных: очистку, нормализацию, работу с пропусками и выбросами.
Feature Engineering: генерацию и отбор признаков (например, с помощью PCA, feature importance из деревьев или автоэнкодеров).
Обучение и валидацию моделей: подбор алгоритмов, кросс-валидацию, оптимизацию гиперпараметров (GridSearch, Optuna, HyperOpt).

Инструменты:

Классические ML: Scikit-learn, XGBoost, LightGBM, CatBoost.
Глубокое обучение: TensorFlow, PyTorch, Keras.
AutoML: H2O.ai, AutoGluon, TPOT.
Экспериментирование: MLflow, Weights & Biases (W&B), Neptune.ai.

3. MLOps: внедрение и эксплуатация моделей

После разработки модель необходимо развернуть в production-среде, обеспечить её мониторинг и поддержку. Ключевые задачи:

Деплой моделей:

REST API: FastAPI, Flask.
Сервисы для ML: TensorFlow Serving, TorchServe, ONNX Runtime.
Kubernetes-решения: Seldon Core, KServe, BentoML.
Демо-интерфейсы: Streamlit, Gradio.

Оркестрация и управление пайплайнами:

Airflow, Prefect, Argo Workflows, Metaflow.
Хранение данных и признаков:
Delta Lake, Hopsworks, Feast (Feature Store).

Мониторинг:

Метрик и логирования: Prometheus + Grafana, ELK Stack.
Дрейфа данных: Evidently AI, WhyLogs, Arize AI.
Трассировки: OpenTelemetry, DVC.

CI/CD для ML:

GitHub Actions, GitLab CI, Jenkins.

MLOps обеспечивает непрерывную интеграцию моделей в production, автоматизирует их обновление и гарантирует стабильность работы в реальных условиях. Это критически важный этап, связывающий Data Science и инженерные практики.

#MLOps

Читать полностью…

Похек

Думаю тоже сняться в подкасте Бастиона. Какую тему вам было бы интересно послушать?)

Мы набрейнштормили тему. Спасибо тем, кто включился в обсуждение!

Тема обещает быть интересной и такого раньше не видел, чтобы записывали 🌚

Читать полностью…

Похек

Антон (skavans) Субботин - из Web2 в Web3, 500.000$ на bug bounty, санкции и жизнь после них.

Антон (@skavans) Субботин — автор блога @BugBountyPLZ и один из успешных исследователей СНГ, сумевший заработать более 500. 000 $ на платформе HackerOne. Из-за санкций в отношении исследователей из санкционных регионов Антон был вынужден сменить фокус с классического поиска уязвимостей в Web2 на более сложный и не менее интересный Web3. Об этом и о многом другом мы постарались поговорить в этом выпуске.

Полезные ссылки:
1. Mastering Ethereum:
https://ethereumbook.ru/
2. How to Defi:
https://assets.coingecko.com/books/how-to-defi/How_to_DeFi_Russian.pdf (Beginner)
3. Zokyo Auditing Tutorials:
https://zokyo-auditing-tutorials.gitbook.io/zokyo-tutorials
4. Code4rena репорты:
https://code4rena.com/reports
5. AI-расширение от Сергея Боброва
/channel/Black4Fan/17

🔗 Смотреть подкаст

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)

Читать полностью…

Похек

Я если что сегодня не поехал, т.к. вчера раздал весь мерч и срубился без сил ночью)

Вчера кстати офигенно прошел Похек Chill. Поели хинкалей, хачапури и выпили на 100к ₽ 😏, да и все кайфанули, было вкусно и не было проблем с кухней как в прошлом году

Т.к. мерча я раздал много, то ловите тех кто в Poxek или Bughunter и тусите вместе, если вам скучно или одиноко)

Читать полностью…

Похек

HACKED A FLAG, FOUND A BUG | TBank x Standoff

Читать полностью…

Похек

Справа от киберхаба фудкорт, пока там

Читать полностью…

Похек

БЕКОН 2025

🌚 @poxek

Читать полностью…

Похек

Михаил Кожуховский, Flowmaster. "Чем собирать контейнеры если вы параноик?".

Читать полностью…

Похек

Продолжаем! Альмир Сарваров, Банк ДомРФ. "Тонкая настройка безопасности OS Linux для контейнеров: вредно и полезно"

Читать полностью…

Похек

БЕКОН 2025

Хорошая локация, даже тут знакомых встретил)

Что очень удобно, 1 трек и не надо никуда бегать за докладчиками.

На удивление довольно много людей, но в целом какой-то толпучки нет, стенды удобно расставлены.

Классный мерч в большинстве, возьму себе пару идей на вооружение)
А еще стащил кучу стикеров, которые буду вам раздавать на мероприятиях, которую буду посещать))

Читать полностью…

Похек

Всем привет! Долго думал над этой темой. Мой канал - это сообщество, что я смог объединить вокруг одной идеи, а это было нелегко подружить множество маленьких интровертиков в большую кампанию людей, которая будет каждый день заходить на канал и читать посты, а более смелые еще и общаются в чате.

Канал веду в соло 4 года, от чего начал уставать последнее время. Скорее не так... У меня банально закончились идеи о чем еще написать, поэтому я прошу помощи у вас.

Если у вас есть какие-то классные темы, но вам не хватает мотивации их дописать или внешней критики, вы не знаете куда выложить, думаете что её не заметят и любые другие отмазки, чтобы не поделиться своими знаниями, то я предлагаю свой канал в качестве площадки для публикации контента. Я знаю, что у меня есть множество талантливых и трудолюбивых подписчиков, которые имеют идеи для контента, но сами его не пишут по различным причинам. Собственно это тот самый шанс, чтобы круто самореализоваться)

Win2Win:
1. Вы получаете огласку, как специалиста. Вы можете поделиться своим мнением, ресерчем, может какой-то интересной идеей. Это отличная возможность засветится. В мое время такого не было)
2. Я получаю помощь в развитии и поддержке канала.

Первоначально я ищу людей, которые также горят схожими идеями в прокачке ИБ сообщества в России. Мне не интересно работать с айтишными контент менеджерами, SMM или людьми, которые нагенерят мне идей или контента через нейросети (я это и без вас могу сделать). Если мы с вами сработаемся в перспективе, то я с радостью буду вам платить.

Канал развивался всегда с ходом моих интересов. Думаю пришло время попробовать для себя что-то новое - делегирование) и посмотреть, что из этого выйдет.

Банальные правила по идеям для статей: никаких гайдов, как за 5 минут взломать ватсап/вк, гайд как взламывать wifi со смартфона и т.д. Если это очевидный материал, который уже лет 20 есть в интернете, то такое не интересует. За спам или какие-то блечерские истории, буду выдавать бан. Уважайте свое и мое время)

Писать @szybnev

Читать полностью…

Похек

Всех с первым днем лета!

Читать полностью…

Похек

Стажировка в InfoJet
#стажировка

https://jet.su/securitystart/


26 мая – 16 июня Регистрация


————————
Я не знаю почему ко мне не пришли их SMM, хотя я специально попросил их об этом. Это не реклама, мне не платили, я просто хочу поддержать коллег и чтобы мои подписчики, кто еще не работают, а хотят - наконец нашли своё месте в какой-нибудь компании)

P.s. на будущее для всех компаний, кто делает стажировки по кибербезу, приходите ко мне в ЛС @szybnev и обсудим как можно пропиарить вашу стажировку

Читать полностью…

Похек

Пентест провайдера. Как цепочка классических багов привела к полной компрометации
#RCE #pathtraversal #killchain

В этой статье автор поделится исто­рией одно­го из выпол­ненных мной про­ектов, который показал, что даже в наше вре­мя встре­чают­ся прос­тые и базовые уяз­вимос­ти, гра­мот­ное сочета­ние которых может при­вес­ти к RCE.


Суть про­екта зак­лючалась в тес­тирова­нии срав­нитель­но скром­ного сег­мента внеш­ней инфраструк­туры заказ­чика — на стар­те было пре­дос­тавле­но все­го девять IP-адре­сов. Ско­уп, конеч­но, неболь­шой, но, как показы­вает прак­тика, даже это­го быва­ет дос­таточ­но для весь­ма инте­рес­ных находок. Так про­изош­ло и здесь!

В область тес­тирова­ния вхо­дила кор­поратив­ная ERP-сис­тема, при­чем это был даже не вен­дор­ский про­дукт, а внут­ренняя раз­работ­ка. Самопис­ные решения (еще и для внут­ренне­го исполь­зования) осо­бен­но инте­рес­ны тем, что к ним могут предъ­являть­ся гораз­до менее стро­гие тре­бова­ния по безопас­ности. Веро­ятность того, что такие сис­темы про­ходят регуляр­ный пен­тест, тем более мала. Собс­твен­но, о зах­вате этой сис­темы я сегод­ня и рас­ска­жу.

🔓 Читать далее

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

🎙🎙🎙🎙 Принято в работу! | Елизавета Дудко и Вячеслав Муравьев Т-Банк Bug-Bounty
#подкаст #tbank #тбанк #багбаунти #bugbounty

В этом выпуске Сергей Зыбнев (@poxek) беседует с экспертами триажа уязвимостей из Т-Банк:
➡️Елизавета Дудко — Руководитель Т-Банк Bug-Bounty
➡️Вячеслав Муравьев — Триажер Т-Банк Bug-Bounty

Подкаст будет интересен:
➡️Специалистам по кибербезопасности
➡️Компаниям, которые собираются выйти на багбаунти
➡️Всем, кто хочет узнать больше о bugbounty, за какие баги много платят
➡️Тем кто хочет получить промокод на выплаты в Т-Банке

В этом подкасте мы обсудили:

➡️Процесс триажа в Т-Банк
➡️Как формируются выплаты
➡️Почему команда триажа это не просто ИБ техподдержка со стороны вендора
➡️Что у триажеров тоже есть сердце и они любят понятные отчёты
➡️Пару слов о Т-Банк CTF
➡️О привлечении новых багхантеров
➡️Раскрытие отчётов

Ссылки:
💬 Слушать в Telegram
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
☕️ Mave

Обязательно смотрите до конца! Подписывайтесь и погружайтесь в мир триажа уязвимостей!

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)

Читать полностью…

Похек

Друзья, это свершилось! 😱✨

Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥

Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀

Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔

👀@ever_secure

Читать полностью…

Похек

ВСЕ ПО ИБ | Про стажировки, трудоустройство, обучение и карьеру в инфобезе
#стажировка #трудоустройство #обучение #карьера #кибербез #работа #hh #intern #junior #бастион

В новом выпуске подкаста гости обсудят старт карьеры начинающего специалиста информационной безопасности: как стажировки помогают набраться ценного опыта, дадут советы для успешного прохождения собеседования, расскажут о популярных и перспективных направлениях и к чему стоит готовиться после трудоустройства.

➡️Оля Борисова — рекрутер @ollya_bk
➡️Дима Власов — инженер-разработчик @Dmitriy_A_Vlasov
➡️Яна Ксендзовская — руководитель группы образовательных программ @yanchiklove
➡️Альбина Семушкина — руководитель рекрутинга @AlbinaSema

Основные темы выпуска:
➡️Стажировки
➡️Подготовка студентов
➡️ИИ
➡️Собеседования
➡️Зарплаты
➡️Непопулярные направления
➡️Советы для начинающих
➡️Рынок труда

Смотреть бесплатно без регистрации:
💙 ВК
📺 YouTube
📺 Rutube

Таймкоды есть в описании под видео.

Слушать:
🎵 Яндекс.Музыка
🎵 Звук
🎵 ВК
💬 Телеграм

🔗 Полезные ссылки и предыдущие выпуски

p.s. а ещё там очень прикольное интро)

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)

Читать полностью…

Похек

Расскажите о ваших впечатлениях о PHD и/или Standoff 15 без преукрас

Читать полностью…

Похек

Вести с PHDays: Контур запускает ИБ-бренд Контур.Эгида

На киберфестивале мы узнали о запуске Контур.Эгиды – нового бренда в области информационной безопасности СКБ Контур. Поспрашивали коллег, что это значит.

Подробность номер раз. Бренд сфокусирован на внутренней безопасности организаций. Все решения построены вокруг людей и для защиты от ежедневных рисков. 

Подробность номер два. Эгида это не один продукт, а целый комплекс. В него входят пять решений. ID защищает учетки сотрудников с помощью 2FA, PAM помогает контролировать привилегированных пользователей, Доступ нужен для настройки устройств и управления парком компьютеров компании, Staffcop подходит для расследования внутренних инцидентов и Безопасность – услуги по комплексной 
защите персональных данных и иной информации ограниченного доступа. 

Подробность номер три. Новый бренд Контура – это ответ на новые вызовы в сфере ИБ. Более 75% инцидентов происходят внутри компании из-за сотрудников, подрядчиков и ошибок в управлении доступами. Чтобы избежать ошибок и закрыть уязвимости, Эгида строит безопасность вокруг жизненного цикла сотрудника — от момента входа в компанию до закрытия всех прав. 

Читать полностью…

Похек

ДОЖДЬ НАЧИНАЕТСЯ
Напугал и не пошел

Читать полностью…

Похек

Знаете что?
А го флешмоб. Кидайте фотки в мерче Похек, включая тот что в коллабе с PT. Посмотрим как нас много)

Читать полностью…
Подписаться на канал