social_engineering | Unsorted

Telegram-канал social_engineering - Social Engineering

124528

Делаем уникальные знания доступными. Вакансии - @infosec_work Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot Сотрудничество — @SEAdm1n РКН: https://vk.cc/cN3VwI

Subscribe to a channel

Social Engineering

Устраняйте слабые места в инфраструктуре с новым решением «Лаборатории Касперского» Kaspersky Vulnerability Management - пока они не превратились в инциденты.

Число выявляемых уязвимостей растет с каждым днем, а развитие ИИ сокращает окно между раскрытием и эксплуатацией. При этом далеко не все компании имеют актуальный перечень собственных ИТ-активов, а большинство VM-решений умеют находить уязвимости, но не помогают управлять процессом устранения.

Kaspersky Vulnerability Management создан, чтобы закрывать риски, а не просто находить уязвимости. Он помогает командам ИБ выстраивать процесс приоритизации, исправления и контроля — от обнаружения актива до полного закрытия «бреши».

Как это работает? Узнайте 16 июля в 11:00 на стриме с экспертами «Лаборатории Касперского»!

В программе:

- Архитектура и функциональные возможности решения;
- Разбор карточек уязвимостей и анализ ПО;
- Управление обнаруженными активами и профили сканирования;
- Процесс настройки шаблонов и примеры готовых отчетов;
- Планы по развитию продукта.

Регистрация по ссылке

Читать полностью…

Social Engineering

AvitoTech устраивает онлайн CTF с призами до 300 000 рублей команду 📍

Что внутри турнира: таски на веб-уязвимости, инфраструктурные мисконфиги, анализ скомпилированного кода, расследование инцидентов, слабости шифров и всё, что требует хакерской смекалки. Если это ваш первый опыт, вписывайтесь в Honey-лигу — туда опытных игроков не пускают.

❗️Регистрация, кстати, уже открыта❗️

Кажется, это знак собрать свою команду и попробовать себя в роли того самого медоеда! Проверьте защиту пчелиного улья и помогите найти все скрытые уязвимости в сотах 🐝

Читать полностью…

Social Engineering

Большинство материалов про пентест в интернете — это отдельные техники: один ролик про SQLi, другой про Kerberos, третий про Burp. Смотреть интересно, но в итоге остаётся ощущение, что ты знаешь куски, а целой картины нет.

Как провести внешний и внутренний аудит, найти уязвимость, эксплуатировать её, закрепиться в инфраструктуре и оформить результат так, чтобы заказчик понял риск

Курс «Профессия Пентестер» от Codeby — это 10 месяцев практики с практической лабораторией: от основ до комплексных атак на сети, веб, ОС и Active Directory.

Что вы изучите:
⏺️полный цикл пентеста — разведка, эксплуатация, повышение привилегий, закрепление в сети
⏺️атаки на сети, веб-приложения, операционные системы и устройства
⏺️работу с Kali Linux, Metasploit, Burp Suite и инструментами эксплуатации
⏺️навыки написания эксплойтов, шелл-кода и обхода защитных решений
⏺️практику во внутреннем и внешнем пентесте — с отчётностью

Программа выстроена последовательно: от администрирования и сетевой разведки — к эксплуатации уязвимостей, атакам на AD и работе в реальных сценариях.

Если вы давно думаете про offensive security, но не понимаете, с чего собрать навыки в одну профессию, — посмотрите в сторону длинных практических курсов.

Ближайший старт — 24 августа

Посмотреть программу и записаться
По вопросам — @CodebyAcademyBot

Читать полностью…

Social Engineering

В одном из ТГ-каналов нашел интересный ресурс, который содержит множество полноценных веб-приложений с реальными уязвимостями. Все задания, которые вы будете проходить, основаны на реальных багрепортах.

Никакой настройки. Всё работает в браузере. Бесплатно. Что еще можно пожелать? Заходим и получаем отличную возможность прокачаться в поиске уязвимостей!

https://labs.hackadvisor.io/

• В качестве дополнения:

На GitHub есть преднамеренно уязвимое банковское веб-приложение, которое содержит множество дыр в безопасности. Такие проекты помогают получить бесценный опыт ИБ специалистам, пентестерам, DevSecOps и программистам, в части поиска уязвимостей и безопасной разработки. На текущий момент веб-приложение содержит более 40 уязвимостей (на скриншоте выше), которые вам придется найти. Если не справляетесь или недостаточно опыта, то у автора есть подробный гайд по прохождению:

GitHub;
cyberpreacher_/hacking-vulnerable-bank-api-extensive-d2a0d3bb209e">Руководство [VPN].

Кстати, там еще есть уязвимое мобильное приложение. На сколько оно дырявое не указано, да и подробного гайда нет, но если вам интересно, то забирайте по этой ссылке.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

🛡 Как перенести инфраструктуру в облако и не создать себе проблем с безопасностью?

Миграция в облако дает бизнесу гибкость и масштабируемость. Но на старте многие забывают о безопасности, считая ее второстепенной задачей. Опыт показывает: большинство инцидентов при миграции в облако — это результат сочетания недооцененных рисков и размытого плана перехода.

Вместе с Анжеликой Захаровой, руководителем практик 1С и Кибербезопасности K2 Cloud, и Ариной Ашотян, руководителем направления консалтинга К2 Кибербезопасность, разберем реальные кейсы и обсудим:

Подходы к оценке рисков
План для контролируемой миграции данных и приложений
Как выстроить процесс миграции без ущерба для защищенности инфраструктуры

Дата: 16 июля
Время: 11.00
Онлайн

Не пропустите — регистрация по ссылке.

Читать полностью…

Social Engineering

А вы знали, что синий цвет "экрана смерти" был не единственным в палитре Windows? Еще на заре эпохи Windows 98 система могла сигнализировать о критических проблемах ACPI куда более грозным "Красным Экраном Смерти". Эта традиция не была забыта и в будущем - в бета-версиях Windows Vista (тогда носившей кодовое имя Longhorn) загрузчик также выводил сообщения о фатальных ошибках на пугающем красном фоне.

А смельчаки, тестирующие инсайдер-сборки, наверняка знакомы с его зеленым братом-близнецом — Green Screen of Death, сигнализирующем о сбое в непроверенной версии ОС. И если вам вдруг захочется почувствовать себя повелителем хаоса, вы вполне легально можете вызвать BSOD с помощью утилиты NotMyFault от Microsoft.

Кстати, как вы думаете, почему BSOD изначально был синим? На этот вопрос ранее отвечал Дэйв Пламмер, бывший инженер Microsoft. Как он объяснил в одном из роликов на своем YouTube-канале, Джон Верт, тот самый отец BSOD, выбрал комбинацию белого текста на синем фоне по одной простой причине - ему просто так было удобно.

В то время Джон использовал машину на базе MIPS RISC, где использовалась именно такая цветовая палитра - белый текст на синем фоне. Более того, его любимый редактор кода, SlickEdit, тоже по умолчанию отображал все белым на синем. Получилась идеальная, хоть и непреднамеренная, унификация. Можно было загружаться, писать код и наблюдать падение ОС в одной и той же привычной глазу цветовой гамме. Такие дела...

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

Собираем всех на первый летний open‑air по кибербезу 🥰

17 июля CyberCamp выходит из онлайна в парк: встречаемся в «Берёзы Парк Строгино» у воды.

Что вас ждёт:
🔹доклады и практические кейсы по ИИ, атакам, DFIR, Bug Bounty;
🔹киберучения и TableTop‑сценарии;
🔹турнир по настольному теннису, D&D, крафтовые деревянные игры и квест по социнженерии;
🔹пуфики, гамаки и чилл у воды вместо душного зала.

Отдельный кайф — научпоп от астронома Владимира Сурдина «Заблуждения и мифы о Вселенной» 🤩

Онлайн‑трансляции не будет, только живой офлайн.

📅 17 июля, Москва, Берёзы Парк Строгино
🚌 Бесплатный трансфер от м. «Щукинская»


🎟 Билеты доступны по ссылкам:
Стандартный
Студенческий

Читать полностью…

Social Engineering

• Немного истории из мира вирусологии: 25 лет назад, в феврале 2001 года, датский программист Ян де Вит создал червя, который назвал "Anna Kournikova". Название было выбрано не случайно: в то время Анна занимала восьмое место среди женщин, которых больше всего ищут в гугле. Обходили ее только певицы и актрисы – например, Бритни Спирс, Памела Андерсон, Дженнифер Лопес и Шакира. Огромная популярность повышала шанс того, что файлик с таким названием будут открывать чаще всего...

Итак, пользователь получал письмо с якобы фотографией известной теннисистки Курниковой. Фотки там естественно не было, но был червь, который заражал компьютер. Имя фала было таковым AnnaKournikova.jpg.vbs. Причина, по которой пользователь мог не задумываясь открыть файл в стандартных настройках Windows, которые скрывали расширение файла. Таким образом пользователь видел следующее - AnnaKournikova.jpg. Далее червь сканировал базу адресов почты в Microsoft Outlook и рассылал себя всем контактам. Во избежание повторной рассылки червь создает дополнительный ключ в реестре: HKEY_CURRENT_USER\Software\OnTheFly\mailed

Разработка червя заняла у де Вита пару часов. По данным следствия он использовал специальную программу на Visual Basic "Worm Generator". В полицию Ян де Вит пришел сам (но это не точно, есть и другая версия - что идентифицировать де Вита удалось благодаря усилиям другого создателя вирусов, работавшего под прикрытием для ФБР - Дэвида Смита, и полученные сведения были переданы полиции Нидерландов).

По итогу адвокаты настаивали на том, что де Вит не желал никому зла и создал червя без оглядки на последствия. Однако ФБР предоставили доказательства того, что вред все же был, и не маленький, больше 166 000 долларов. В итоге, Ян был осужден к 150 часам общественных работ или 75 дням лишения свободы.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

Нашел хорошую интерактивную платформу для обучения, помогающую приобрести практические навыки работы с SQL и базами данных. Тут вы найдете более 370 задач: от простых SELECT запросов до сложных аналитических задач, приближённых к реальным сценариям. Задания сгруппированы по сложности, теме и используемой базе данных.

Вам даже не нужна регистрация для обучения, не говоря уже о том, что платформа полностью бесплатная, а весь материал представлен на русском языке:

https://sqltest.online/ru

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

В начале 90-х Всемирная паутина (WWW) вовсе не была единоличным хозяином сети. У неё был серьёзный конкурент - протокол Gopher. Как думаете, каким образом изменилась бы наша цифровая реальность, если в конечном счёте этот протокол не утратил популярность?

Gopher появился в 1991 году в Университете Миннесоты. Там разработали простую систему для доступа к файлам и справочной информации через меню. Название протокола было придумано компанией Anklesaria как игра слов "gopher" (суслик роет землю, чтобы что-то найти) и "gofer" (подручный, который идёт за чем-то).

Новый инструмент быстро вышел за рамки кампуса. Настройка Gopher-сервера оказалась настолько простой, что его внедряли не только университеты и библиотеки, но и компании.

Любой пользователь, подключившись к Gopher-серверу через специальный клиент, видел не веб-страницу, а список пунктов-меню в интернет-системе Gopherspace. Каждый пункт представлял либо файл, либо ссылку на другое меню. Сама навигация напоминала путешествие по папкам.

Иерархическая система понравилась пользователям, потому что им нужно было только последовательно выбирать разделы, не запоминая имена файлов или команд. Так Gopher фактически превратил интернет в единый "каталог" знаний, по которому можно бродить стрелками клавиатуры.

Для поиска по этому каталогу существовали специальные сервисы. Например, поисковый сервис Veronica индексировал меню тысяч серверов по всему миру, позволяя находить нужные документы по названию. Другой инструмент - Jughead - мог обыскивать содержимое отдельного узла. Конечно, это были относительно простые поисковики (по именам файлов и заголовкам меню), но в начале 90-х и такого было достаточно.

На тот момент популярность Gopherspace росла взрывными темпами. По некоторым данным, в 1993-м объём трафика Gopher увеличился почти на 1000% за год, а к апрелю 1994-го уже насчитывалось около 7000 Gopher-серверов по всему миру.

Для сравнения, зарождающаяся Всемирная паутина в начале 1993 года генерировала ничтожную долю интернет-трафика (около 0,002% пакетов). Иными словами, в тот момент будущее интернета вполне могло остаться за Gopher.
Однако в 1994-м технологии индексирования и поисковики стали не только доступными, но и прогрессивными. Благодаря им веб-пространство стало гораздо более удобным для использования, а о Gopherspace начали забывать.

Одно из распространённых объяснений упадка Gopher заключается в том, что он не поддерживает гипертекст, который должен быть неотъемлемой частью интернета. Без гиперссылок Gopher - не более чем электронная система хранения данных.

Однако переломным моментом стало интересное решение Университета Миннесоты. В феврале 1993 года совет заведения постановил, что теперь за использование собственного Gopher-сервера будет взиматься плата. Реакция сообщества была предсказуема - многие сразу задумались о переходе к открытой альтернативе.

Кроме преимуществ гипертекста и ненависти к лицензиям, был и другой фактор - Gopher не предполагал полноценного поиска по содержимому. В то же время к 1994 году для веба начали появляться качественные поисковые системы.

Ну и, конечно же, безопасность. Историю просмотра страниц, переданную через формы информацию и данные можно было легко перехватить. Шифрования в Gopher не было.

С каждым годом интернет становился всё более удобным и насыщенным, и это привлекало новых пользователей и создателей сайтов - работал классический эффект сети. Gopher же оставался относительно узкой экосистемой, развитие которой фактически замерло после 1994 года.

В результате уже к концу 90-х Gopher из передового явления превратился в технологический реликт. Многие Gopher-серверы либо закрылись, либо повесили объявления вида: "Наши материалы теперь на веб-сайте по такому-то адресу". Да и сами разработчики переключились на веб, дорабатывать протокол было некому. Так альтернативный путь эволюции интернета был почти забыт...

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

• Интересный факт: абсолютно все суперкомпьютеры из топ-500 самых мощных систем мира работают под управлением Linux! Ни одной другой ОС в этом списке нет. Linux безраздельно господствует в мире высокопроизводительных вычислений.

Суперкомпьютеры используются для решения самых сложных научных и инженерных задач – от моделирования климата и биологических процессов до проектирования новых материалов и лекарств. Эти системы состоят из тысяч серверов, объединенных высокоскоростными сетями, и способны выполнять квадриллионы операций в секунду. Linux легко адаптируется под конкретные вычислительные задачи, поддерживает параллельные вычисления на тысячах узлов и эффективно управляет огромными объемами данных.

Самые известные суперкомпьютеры мира (до бума ИИ), такие как Summit в национальной лаборатории Ок-Ридж (США), Sunway TaihuLight в Национальном суперкомпьютерном центре в Уси (Китай), Fugaku в Научно-техническом компьютерном центре RIKEN (Япония) используют специализированные дистрибутивы Linux, оптимизированные под конкретную аппаратную архитектуру и вычислительные задачи.

Многие коммерческие ЦОДы, облачные платформы и дата-центры также строятся преимущественно на базе Linux. Где нужна предельная вычислительная мощность и надежность – там Linux чувствует себя как дома. Такой вот интересный факт.

Кстати, если смотреть на распределение суперкомпьютеров из списка Top500 по странам мира, то Россия занимает 20 место и насчитывает 5 суперкомпьютеров. А вот на первом месте США (171 суперкомпьютер), далее идет Япония (43), Германия (40) и Китай (40). Полный список можно глянуть вот тут.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

• Нашел хорошую шпаргалку по основным командам Linux. У каждой команды есть детальное описание и примеры использования. Добавляйте в закладки:

https://linux-commands.labex.io/

• Ну и не забывайте про нашу подборку бесплатного материала для изучения Linux, которая будет полезна не только новичкам, но и опытным специалистам!

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

• Вышел 8-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute.

• К слову, весь материал собран энтузиастами со всего мира. Вы также можете принять участие и поделиться знаниями, которые могут опубликовать в следующем номере. Приятного чтения!

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

Blue и Red Team сверяют компасы 🧭

К2 Кибербезопасность объединит команды на офлайн-митапе для тех, кто хочет выйти за рамки привычных задач и взглянуть на защиту с противоположной стороны.

Обменяемся опытом в кругу своих, обсудим факапы и разберем:

Как подготовиться к инциденту так, чтобы во время атаки не пришлось действовать вслепую

Что на самом деле происходит «в полях» пентеста: где ожидания расходятся с реальностью, почему это не «скрытный обход SOC» и к чему приводит внедрение ИИ


Кому будет интересно?

SOC-специалистам, пентестерам и ИБ-практикам

🗓 25 июня, 19:00
📍 Москва, офлайн

Участие бесплатное. Количество мест ограничено.

Зарегистрироваться

Читать полностью…

Social Engineering

• Руководитель управления кибербезопасности Т-Банка Игорь Кубышко объявил, что компания заплатит 12 миллионов рублей за поиск и реализацию недопустимого события в системе безопасности банка.

• Речь идет о воспроизведении именно цепочки действий, которые могут привести к критическому сценарию. Нахождения отдельных уязвимостей – недостаточно.

• Банк первым в российском финтехе запустил кибериспытания, к тому же – в открытом формате. Это значит, что любой пентестер может принять участие в программе: предварительная регистрация на нее уже открыта, испытания начнутся 22 июня.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

На хабре есть отличная статья, автор которой во всех подробностях рассказал о том, как работает NTLM протокол! Мы рассмотрим как в теории и на практике работает NTLM и какие в него включены меры безопасности.

https://habr.com/ru/articles/993934

Если данная тема для вас является интересной, то обратите внимание на дополнительный материал. По ссылке ниже вы найдете замечательную статью на английском, которая хорошо дополняет официальную документацию от Microsoft:

https://davenport.sourceforge.net/ntlm.html

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

• 15 декабря 1978 года в Атланте стартовали продажи первого лазерного диска - MCA DiscoVision с фильмом "Челюсти". Это был громкий дебют: 12-дюймовые диски, лазерная точность считывания, аналоговое видео без сжатия. Формат обещал революцию - стоп-кадр, стереозвук, отсутствие помех при перемотке. Но технологии 1970-х не поспевали за амбициями. Первые проигрыватели грешили сбоями: половина дисков страдала от "лазерной дрожи", а плееры зависали на динамичных сценах. В 1981 году MCA и Philips разорвали партнерство, а формат перешел к Pioneer, который переименовал его в LaserDisc и начал долгую борьбу за выживание....

• Хитрые японцы бились над главной проблемой - емкостью. Без цифрового сжатия видео требовало сложных решений. Режим CAV, появившийся в 1978-м, работал как грампластинка: один оборот - один кадр. Это давало всего 30 минут записи на сторону, но позволяло ставить паузы, перескакивать к нужному кадру и замедлять воспроизведение.

• В 1980 году появился CLV - аналог компакт-дисков. Здесь скорость вращения плавно снижалась, упаковывая 60 минут на сторону. Теперь на диске умещалось два часа видео, что снизило цены. Позже Pioneer доработала CLV, внедрив режим CAA с резкими перепадами скорости. Это устранило помехи, но поддерживали его только топовые плееры.

• Диски стоили по 30–50 баксов (как два билета в кино), а проигрыватели - до 1000 баксов. Даже двухчасовой фильм требовал переворачивать диск или менять его каждые 30-60 минут. Запись была невозможна - только воспроизведение. В СССР попытки локализовать формат в 1990-х провалились из-за отсутствия поликарбоната и инфраструктуры. LaserDisc оставался экзотикой, доступной лишь энтузиастам.

• Но те, кто приобщился, ценили преимущества: 440 ТВ-линий, стереозвук, уникальные издания. "Звездные войны" с комментариями Джорджа Лукаса, "Криминальное чтиво" с альтернативными сценами - каждый релиз становился событием. Последними стали "Сонная лощина" от Paramount (2000) и японский "Tokyo Raiders" (2001). Производство плееров завершилось в 2009 году - Pioneer выпустил прощальный LD-909. К 2000 году DVD окончательно вытеснил LaserDisc. Такое вот было время... Сегодня LaserDisc пользуется успехом лишь у любителей, собирающих лазердиски с различными записями - фильмы, музыка, шоу.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

«Все в городе выглядело бесцветным — кроме расклеенных повсюду плакатов. С каждого заметного угла смотрело лицо черноусого. С дома напротив тоже. СТАРШИЙ БРАТ СМОТРИТ НА ТЕБЯ, — говорила подпись, и темные глаза глядели в глаза Уинстону»...


• В 1949 году вышел роман Джорджа Оруэлла «1984», ставший одним из образцовых в жанре антиутопии. В нём описано будущее, в котором людей контролируют с помощью слежки и пропаганды, а технологии существуют только как инструмент этого контроля.

• Роман имел огромную популярность в Англии и США, был переведен более чем на шестьдесят языков и неоднократно экранизировался.

• К слову, в СССР книги Оруэла были под запретом более сорока лет. Отечественные политики называли Оруэлла троцкистом. Лишь в 1988 году советский литературовед Виктория Чаликова осмелилась назвать Оруэлла не "политическим памфлетистом", а классиком английской литературы, имя которого стоит в ряду с Джонатаном Свифтом и Чарлзом Диккенсом. Тогда же и вышел первый официальный тираж романа.

☁️ Скачать книгу можно в нашем облаке.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

💻 LeetСode Study Plan SQL 50 - интересный ресурс, который содержит коллекцию задачек для изучения SQL. Удобно, что вся информация тут сгруппирована по темам и уровням.

В плане SQL 50, как можно понять из названия, 50 задач по SQL. Что важно, все задачи бесплатные. По уровню задачи рассчитаны от начинающего до продвинутого (basic to intermediate). Темы следующие:

SELECT;
Базовые JOIN'ы;
Базовые функции агрегации;
Сортировка и группировка;
Продвинутые SELECT'ы и JOIN'ы;
Подзапросы;
Продвинутые функции для обработки срок и регулярные выражения.

Задачи в основном уровня Easy (32 штуки) и Medium (17 штук), уровня Hard всего одна задача. Причем Hard не очень сложная, в ней нужно применить много различных особенностей SQL одновременно, но особых хитростей нет. В общем и целом, ресурс будет полезен начинающим специалистам, которые хотят освоить SQL.

https://leetcode.com/studyplan/top-sql-50/

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

Sophia Script for Windows - самый мощный PowerShell-модуль, который содержит более 150 уникальных функций для тонкой настройки Windows с использованием официально задокументированных методов Microsoft без вреда системе. Каждая настройка имеет соответствующую функцию для восстановления значений по умолчанию.

Проект с полностью открытым исходным кодом. Более 1.1 млн. скачиваний и 9000 звёзд на GitHub.

Подробное описание и вся необходимая документация написаны на русском языке.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

Если вам интересна тема анализа трафика и выявление вредоносных активностей, то обратите внимание на этот ресурс: https://www.malware-traffic-analysis.net. Тут очень много ценной информации, включая образцы трафика реальных вредоносных программ. Еще там есть инструкции с разбором дампов трафика и необходимые пояснения для изучения.

Также посмотреть дампы трафика можно на https://github.com/thongsia/Public-Pcaps и https://github.com/tatsuiman/malware-traffic-analysis.net. Здесь образцы будут не такие свежие, но зато их довольно много для различных видов вредоносов.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

Нашел очень крутую консольную игру - GameShell, которая предназначена для изучения консольных команд Linux. Сразу отмечу, что игра будет полезна только начинающим и создана для студентов.

В игре можно найти кучу разных заданий, в которых нужно использовать всевозможные консольные утилиты. А еще есть уровни сложности: сперва вы будете изучать все возможные команды, начиная с cd, rm, mkdir и т.д., потом разберете права доступа, поиск и многое другое.

Играть можно в любом терминале ОС на базе Linux. Забираем отсюда: https://github.com/phyver/GameShell

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

«Следствие вели...» в Авито! И это не заголовок пугающей новости, а совсем наоборот ⚡️

Авито пригласил легенду тру-крайма Леонида Каневского, чтобы он разгадал таинственное и запутанное дело о внезапном росте ошибок 404 на endpoint аватарок и нашёл виновных. Звучит как план для просмотра на вечер!

Кстати, кейс в основе сюжета довольно реальный... Но это уже совсем другая история 👀

📱 YouTube
📱 Rutube
📱 VK Видео

Читать полностью…

Social Engineering

Отменить потерю данных?
Подключите резервную площадку для быстрого восстановления ИТ-инфраструктуры


Ваши сервисы будут работать без простоя и потерь даже при сбоях основной инфраструктуры, если подключить аварийное восстановление в облако Selectel. Решение поддерживает актуальную копию системы и по клику переключается на резервный контур при неисправности.

Самостоятельно настраивать инфраструктуру не нужно. Выделенная под вас команда инженеров Selectel проведет аудит, составит план работ, настроит репликацию данных и сценарий восстановления. А после — проводит тестовое восстановление системы, чтобы в нужный момент все работало без ошибок. Вы получаете не просто сервис, а готовую резервную площадку для вашей инфраструктуры.

В Selectel бесплатно проведет пилотный проект для восстановления до 10 виртуальных машин при оплате лицензии «Хайстекс Акура». Оставляйте заявку здесь: https://slc.tl/u3du2

Реклама. АО "Селектел". erid:2W5zFHXE729

Читать полностью…

Social Engineering

Киберкультура в твоей ленте.

Канал про кибербезопасность, людей и культуру онлайн-жизни: от мошеннических схем и цифровых привычек до приватности, доверия и новых правил сети.

Понимать цифровую среду, а не просто жить в ней.

Подпишись. Киберкультурный.
#реклама
О рекламодателе

Читать полностью…

Social Engineering

IDS/IPS в действии: защищаем сервер от атак. Бесплатный урок курса «IDS/IPS. Инфраструктурные компоненты защиты»

IDS/IPS становятся по-настоящему понятными не в теории, а в момент, когда система видит атаку на сервер, фиксирует подозрительную активность и помогает понять, что происходит в сети. Просто установить средство обнаружения недостаточно. Важно правильно разместить его в инфраструктуре, настроить правила, читать события безопасности и понимать, когда нужно только зафиксировать инцидент, а когда — блокировать вредоносную активность.

На открытом уроке 25 июня в 20:00 перейдём от теории к практике и покажем, как IDS/IPS-система помогает обнаруживать и предотвращать атаки на сервер. Разберём, где размещать IDS/IPS в инфраструктуре, как настраивать правила обнаружения атак, как отслеживать сетевой трафик и выявлять подозрительную активность. Отдельно посмотрим, как анализировать события безопасности и как работает блокирование атак средствами IPS.

Урок не для тех, кто хочет «поставить защиту и забыть». Он будет полезен системным администраторам, инженерам сетевой инфраструктуры, специалистам по информационной безопасности, начинающим SOC-аналитикам и всем, кто хочет увидеть IDS/IPS в практическом сценарии защиты сервера.

Записаться: https://otus.pw/3o1M/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Читать полностью…

Social Engineering

• 8 июля стартует онлайн-конференция, где будут обсуждать одни из самых актуальных вопросов, которые затрагивают информационную безопасность. Ключевые темы:

Утечки: где один инцидент ломает бизнес-процессы.
117-й приказ ФСТЭК: как не утонуть в требованиях.
РКН уже рядом: готовы ли вы к цифровым проверкам.
Как уязвимости, подрядчики и ДЗО становятся входом в инцидент.

• Участие полностью бесплатное, а зарегистрироваться можно по ссылке.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

10 лет назад, ИБ-исследователь и бывший аналитик компании HackerOne Эд Фодил, предложил реализовать стандарт security.txt. Он описывает содержимое специального файла - того самого security.txt - который размещается в директории /.well-known и включает контактную информацию и инструкции для оповещения об уязвимостях. По сути, это - аналог robots.txt, только для специалистов по информационной безопасности.

Сама идея сформировалась после посещения конференции DEF CON и соревнований по кибербезопасности. Он размышлял о вкладе участников подобных мероприятий в развитие инфобеза. По его словам, источником вдохновения также послужили SECURITY.md и BUG-BOUNTY.md - файлы с политиками безопасности, которые разработчики добавляют в репозитории. В свою очередь, IETF-драфт нового стандарта был предназначен для более широких задач и включал следующие поля:

Contact - для указания email, номера телефона, URL специальной формы на сайте и других каналов коммуникации по теме уязвимостей.
Encryption - содержит ссылку на ключ шифрования, который ИБ-специалисты должны использовать для передачи сообщений.
Acknowledgements - компания может указать ссылку на веб-страницу, где она говорит спасибо исследователям, которые ей помогли.
Disclosure - формат предоставления информации об уязвимости.

При этом в репозитории, где автор делал заметки, изначально были отмечены и другие поля - например, In-scope, Out-of-scope-vuln, Rate-limit, Platform, Reward, Payment-method, Currency, Donate и Disallow. Они, помимо прочего, предоставляли больше информации о программах bug bounty, вознаграждении для этичных хакеров и декларировали, отчеты о каких уязвимостях не будут рассматриваться ИБ-специалистами компании, разместившей security.txt на своем сайте.

Разработчик решил не включать данные поля в драфт, потому что представители крупной технологической фирмы рекомендовали ему посмотреть, как владельцы сайтов отреагируют на новый стандарт. И уже потом корректировать его, анализируя обратную связь. В апреле 2022 года security.txt был опубликован как RFC 9116, и финальный список полей был действительно модернизирован. Например, было убрано поле Disclosure, вместо него появилось поле Policy со ссылкой на политики раскрытия информации - как стоит действовать ИБ-исследователям, желающим сообщить об уязвимости. Также появились поля:

Expires - дата, после которой файл считается устаревшим.
Hiring - информация о ИБ-вакансиях у компании-владельца сайта.
Preferred-Languages - языки, на которых стоит сообщать о найденных уязвимостях.

При этом стоит отметить, что стандарт security.txt должен был не заменить, но дополнить RFC 2142, который, помимо прочего, рекомендует владельцам сайтов завести почтовый ящик security@domain для приема сообщений о проблемах безопасности. Вот так и появился security.txt =)

К слову, приживается он не слишком активно. По некоторым оценкам - например, на основе анализа ресурсов из рейтинга Tranco, включающего миллион наиболее посещаемых веб-страниц - на 2022 год security.txt был представлен лишь на 3724 сайтах (0,37%). Более свежую оценку, пусть и на меньшей выборке, привел в своем блоге Себастьян Пиппинг. В 2025 году он проверил 50 компаний из своего списка пользователей libexpat (в него вошли такие организации, как Bosch, Ford, Yamaha и др.) и обнаружил security.txt на сайтах только 11 из них.

Сложно сказать наверняка, что поможет повысить узнаваемость этого стандарта и сделать его более распространенным. Однако отдельные страны уже реализуют профильные инициативы. Например, в Нидерландах государственные сайты обязали работать с security.txt на законодательном уровне. А в США была предпринята похожая инициатива: в декабре 2019 года Агентство по безопасности и информации (CISA) обязало все федеральные агентства внедрить стандарт security.txt, чтобы третьи лица могли сообщать об ошибках и недостатках на веб-сайтах.

Кстати, у нас применяется данный стандарт, но не везде. Пример: gosuslugi.ru/security.txt или mos.ru/security.txt.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

50 лет назад молодой Билл Гейтс начал сражаться с первыми в мире пиратами софта. Он написал "Открытое письмо к энтузиастам", жалуясь на то, что его самая первая коммерческая программа подверглась пиратству.

Билл создал версию языка программирования BASIC для Altair 8800, работая с 22-летним Полом Алленом. Именно Altair 8800 стал первым в мире коммерчески успешным домашним компьютером. Глава компании-производителя Эд Робертс нанял Аллена и позволил Гейтсу работать удалённо для написания программного обеспечения.

• Дэн Сокол, системный тестировщик из Силиконовой долины, был первым, кто смог продублировать запись кода BASIC с бумажной ленты на магнитный носитель. После презентации софта уже на следующем собрании клуба любителей самодельных компьютеров он появился с коробкой копий, взяв то, что по меркам хакеров считалось правильной ценой за программное обеспечение: ничего. В итоге первая версия Altair BASIC свободно распространялась ещё до официального релиза.

Именно тогда Гейтс опубликовал своё письмо:

Большинство из вас воруют ваше программное обеспечение…Какая разница, получают ли деньги те, кто над ним работал? Кто может позволить себе делать профессиональную работу бесплатно? Я был бы признателен за письма от всех, кто хочет заплатить...


В итоге он получил от 300 до 400 писем — многие из них были "крайне негативными", и только 6 писем содержали запрошенную оплату. Нужно отметить, что цена за отдельную копию версии BASIC от MITS составляла $500. Но в 1976 году эта сумма была эквивалентна тысячам долларов сегодня.

Предположительно, в ответ на письмо Гейтса в одной из первых рекламных кампаний Apple 1 1976 года подчёркивалось: "Поскольку наша философия заключается в предоставлении программного обеспечения для наших машин бесплатно или за минимальную плату, вам не придётся постоянно платить за доступ к этой постоянно растущей библиотеке программного обеспечения".

Кстати, National Semiconductor позже лицензировала версию BASIC именно от Microsoft, потому что она была самой популярной - поскольку «все её скопировали и все её использовали». А в течение пяти лет Microsoft заключила ещё более важную сделку, предоставив IBM свою операционную систему MS-DOS.

Но Гейтс всего через три месяца опубликовал продолжение письма, выразив надежду на "серьёзное рассмотрение вопроса о будущем разработки и распространения программного обеспечения для любителей".

К началу эры Apple II было создано и продано тысячи программ. По мере роста рынка программного обеспечения крупные компании, такие как IBM и AT&T, начали менять лицензирование своего кода. В 1980 году даже был принят "Закон об авторском праве на компьютерное программное обеспечение". А в 1998 году Закон об авторском праве в цифровую эпоху (Digital Millennium Copyright Act) окончательно криминализировал технологии, обходящие авторские права.

В тот момент Ричард Столлман официально создал движение за свободное программное обеспечение в 1983 году, что совпало с запуском проекта GNU, призванного предоставить альтернативы проприетарным инструментам Unix. Открытое и свободное программное обеспечение набрало обороты с выпуском ядра Linux в 1991 году, а затем с публикацией официального определения открытого исходного кода в 1998 году.

Между тем сам Гейтс в 2025 году в честь 50-летия Microsoft представил исходный код Altair BASIC. Он назвал этот проект "самым крутым кодом", который он когда‑либо писал, и символом скромного начала компании. Такая вот история...

https://thenewstack.io/software-pirates/

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

Social Engineering

У компании WIZ недавно есть хороший мини-курс для начинающих багхантеров. Он включает в себя 4 модуля, которые содержат необходимый материал для последующего прохождения практических заданий.

Учитывайте, что курс на английском языке и ориентирован для начинающих специалистов.

К слову, курс содержит задания, которые принесли исследователям реальные вознаграждения (от 3 до 27 тыс. баксов) от очень крупных компаний.

https://www.wiz.io/bug-bounty-masterclass

P.S. У WIZ есть еще ряд полезных и бесплатных курсов. Вероятно вы найдете что-то полезное для себя.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…
Subscribe to a channel