-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Как снизить риск ошибок ИБ при управлении IT-инфраструктурой?
Использовать все возможности IAM-системы провайдера:
- разные учетные записи для пользователей панели и сервисных пользователей для программного доступа к ресурсам.
- роли пользователей и их комбинации, предоставляя доступ пользователям только к необходимым проектам
- группы пользователей для объединения пользователей с одинаковыми привилегиями или предоставления ролей целым группам, а не отдельным пользователям.
- доступ к панели управления Selectel c корпоративного аккаунта через создание федераций удостоверений. Аутентификация и авторизация происходят по протоколу SAML 2.0.
Все это позволяет вам:
● гибко управлять идентификацией пользователей, а также их доступом к ресурсам и приложениям на выделенных серверах и в облаке Selectel
● ускорить и автоматизировать предоставление доступа пользователям
● снизить риск ИБ-ошибок при управлении IT-инфраструктурой
● Повысить прозрачность аудита доступов к инфраструктуре.
Сервис IAM бесплатный и доступен сразу после регистрации и создания учетной записи в панели управления Selectel. Узнайте больше по ссылке: https://slc.tl/jypr6
Реклама АО «Селектел». ИНН: 7810962785 Erid: 2Vtzqx9NkGf
👨💻 Хакеры взломали систему лицензирования Microsoft с возможностью получить долгосрочную активацию Windows и Office.
• Хакеры из MASSGRAVE опубликовали в Twitter (X) информацию о том, что им удалось взломать систему лицензирования Microsoft с возможностью получить активацию почти всех версий Windows и Office, включая корпоративные лицензии с возможностью активации расширенных обновлений безопасности!
• По словам хакеров, их способ может работать изначально без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост.
• Было заявлено, что хакеры успешно протестировали технику активации лицензий для Microsoft Office, Windows Vista/7, Windows 8/8.1, Windows 10, Windows 11, всех выпусков Windows Server до Windows Server 2025, а также для ESU и CSVLK. По словам хакеров, такие методы активации HWID (привязка лицензии к уникальному идентификатору оборудования компьютера) и KMS применялись годами: первый с 2018 года, второй — более 17 лет. Однако они не обеспечивали долгосрочную активацию всех версий, чего удалось добиться MASSGRAVE.
• В качестве доказательств хакеры из MASSGRAVE опубликовали скрины (на фото выше) активированных версий Windows с ESU, подтверждая все свои заявления. Хакеры намерены представить свой инструмент активации в открытом доступе в ближайшие месяцы...
#Новости
• Обещал вам более подробно расписать о нашем CTF с Кодебай: суть ивента заключается в прохождении заданий на разные темы, которые будут связаны с ИБ. Проходите задание - получаете ключик. Чем больше ключей, тем больше шанс выиграть ценные призы. Шанс на победу определяет бот-рандомайзер. Всё предельно просто.
• Теперь о заданиях! Все таски публикуются в боте @codeby_se_bot. Этот бот даст Вам всю необходимую информацию по данному ивенту (описание заданий, кол-во баллов за их выполнение, анонс новых заданий и т.д.). К слову, первое задание уже доступно для прохождения. Особое внимание обращаю на то, что задания являются временными, т.е. пройти самое первое задание уже через неделю будет нельзя.
Что по призам?
➡Курс «Специалист Security Operation Center»
➡Курс «Боевой OSINT»
➡Flipper Zero
➡x10 Telegram Premium
➡х10 подписок на Codeby Games
• Итоги подводим 30 декабря в группе @codeby_sec! Всем удачи ❤️
#Конкурс
🗞 Paged Out #5!
• Вышел 5-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute. Приятного чтения.
#Журнал #ИБ
• Компания WinRAR поделилась в Twitter (X) информацией, что продают каждый месяц по 10 000 лицензий. А Вы что думали?😁 Оказывается, это прибыльный продукт ))
#Разное
⚠️ ДТП с участием дата-центра.
• Большинство компаний понимают важность создания бэкапов. Но вот беда — представление о том, что должна собой представлять стратегия резервирования данных, имеет не так много компаний. В результате они теряют информацию, клиентов, а значит, и деньги.
• Среди причин утери данных — неподготовленность компаний к критическим событиям (сбои в подаче электроэнергии, физический ущерб оборудованию, взлом и кража данных, природные катаклизмы и т.д.). Если не позаботиться о резервных копиях заранее — потом будет мучительно больно!
• Если говорить о внезапных событиях, которые приводили к потерям и убыткам данных, то здесь нельзя не вспомнить случай из 2007 года. Тогда компания Rackspace столкнулась с неожиданностью. В ее дата-центр врезался внедорожник. Водитель этого автомобиля страдал диабетом и во время поездки он потерял сознание, нога нажала на педаль газа, и машина, вылетев за пределы дорожного полотна, на всей скорости врезалась в объект, в котором располагался центр энергетической инфраструктуры дата-центра компании.
• Сразу заработала вспомогательная система энергоснабжения, но возникла проблема — не запустилась основная система охлаждения. Из-за этого оборудование быстро перегрелось, так что сотрудники компании приняли решение выключить все, чтобы сервера и другое оборудование не вышли из строя.
• В итоге дата-центр простоял без дела около пяти часов, в течение которого ничего не работало. Эти пять часов обошлись компании в $3,5 млн... и это в 2007 году...
➡️ https://tempesto.ru/
#Разное
⌛ Курс для BlueTeam “Реагирование на компьютерные инциденты”!
🗓 Старт: 2 декабря
Старая цена: 49.990 руб. — успейте записаться на курс по старой цене до конца ноября!Новая цена: 57.499 руб.
Программа курса:
⏺ Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
⏺ Анализ журналов безопасности и артефактов ВПО, написание правил для его обнаружения
⏺ Реагирование на основе данных из SIEM
⏺ Анализ вредоносных программ и оптимизация процесса реагирования на инциденты
⏺ Threat Intelligence & Threat Hunting
🥇 Сертификат / удостоверение о повышении квалификации
⭐️ Возможности трудоустройства / стажировки
🚀 @Codeby_Academy
➡️ Узнать подробнее о курсе
• Кстати о CTF! Мы с Кодебай готовим новогодний ивент, где участники смогут выиграть flipper zero и бесплатное обучение по некоторым популярным ИБ курсам.
• Принять участие сможет абсолютно каждый, а задания будут на самые разные темы. Решая задания Вы будете получать определенное кол-во баллов, которые приблизят вас к победе. Совсем скоро сделаю анонс, дам ссылочки для участия и распишу всё более подробно, поэтому следите за информацией, декабрь будет жарким 🔥
• Awesome Cloud Security Labs - объемный набор бесплатных лаб для самостоятельного изучения безопасности облачных сред и технологий:
➡AWS;
➡Azure;
➡GCP;
➡Kubernetes;
➡Container;
➡Terraform;
➡Research Labs;
➡CI/CD.
➡ https://github.com/iknowjason/Awesome-CloudSec-Labs
#Cloud #ИБ
🤖 Тамагочи для хакера.
• Bjorn - инструмент, предназначенный для проведения комплексного сканирования сетей и оценки их уязвимости. Проект имеет модульную конструкцию и его функционал может быть расширен за счет скриптов на Python.
• Самое забавное, что инструмент реализован в виде игры по типу Тамагочи с виртуальным персонажем - викингом, где за каждые успешные сканирования или взломы вы будете получать игровые монеты, и прокачивать вашего виртуального «друга».
• Для изготовления такого устройства вам понадобится Raspberry PI Zero W или Zero 2 W и 2.13 дюймовый e-ink экран с драйвером, подключаемый к GPIO. Устройством можно управлять как с экрана, так и через веб-интерфейс.
• Основные особенности устройства в текущей реализации:
➡Идентификация активных хостов и открытых портов в сети;
➡Сканирование сетей на наличие уязвимостей с использованием #Nmap и других инструментов;
➡Brute-force атаки на различные сервисы (FTP, SSH, SMB, RDP, Telnet, SQL).
➡️ https://github.com/infinition/Bjorn
#ИБ #Пентест
• Мошенники развели начальника отдела экономической безопасности онкоцентра Блохина на 85 миллионов рублей — скамеры даже купили ему сумки, чтобы уместить все деньги.
• Схема оказалась классической: все началось с телефонных звонков от якобы сотрудников ФСБ и Центробанка, которые убедили жертву в том, что все накопления под угрозой, и их надо положить на безопасный счёт.
• Следуя инструкциям через «Телеграм», наш герой снял 29 миллионов рублей и передал их курьеру, который назвал пароль «Облепиха». В следующие дни он снял ещё 50 миллионов и также передал их, упомянув тот же пароль.
• За пару дней начальник по экономической безопасности отнес скамерам три сумки, в которых лежали 29, 20 и 30 миллионов рублей, но этого оказалось мало — мошенники напугали мужика кредитами и убедили взять в долг еще 5 600 000 рублей...
➡️ Источник.
#Новости
📱 Подборка материалов по мобильной безопасности.
• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:
• iOS Security Awesome:
➡Инструменты анализа;
➡Инструменты защиты;
➡Уязвимые приложения;
➡Видео;
➡Статьи.
• Android Security Awesome:
➡Инструменты анализа;
➡Общие;
➡Динамический анализ;
➡Онлайн анализаторы;
➡Инструменты защиты;
➡Уязвимые приложения;
➡CTF;
➡Прохождение CTF;
➡Видео;
➡Подкасты;
➡Статьи.
#ИБ
• В Таиланде задержали гражданина Китая, который катался по городу на фургоне оснащенном устройством для рассылки фишинговых SMS-сообщений. По итогу нашему герою удалось разослать более 1 000 000 сообщений, которые содержали ложную информацию и ссылку на фишинговый ресурс:
«Срок действия ваших 9268 баллов истекает! Поспешите воспользоваться подарком прямо сейчас».
💬 Первое SMS-сообщение.
• 32 года назад, 3 декабря 1992 года, Нил Папворт, молодой инженер, отправил своему коллеге Ричарду Джарвису поздравление с рождеством (на фото). И это было бы не так важно, если бы это сообщение не было первой в мире SMSкой. Но в то время никто не мог предположить, насколько важную часть займут короткие сообщения в мире коммуникаций.
• В 92 году первое сообщение стало результатом семи лет разработки стандарта для передачи сообщений. В 1985 году немецкому инженеру Фридхельму Хиллебранду, который был председателем комитета разработки не-голосовых услуг для Глобальной системы мобильных коммуникаций (GSM), было получено разработать систему передачи текстовых сообщений по сотовым сетям. В то время сотовые телефоны были лишь в автомобилях.
• Хиллебранд с командой инженеров придумали использовать для передачи сообщений уже существующий радиоканал, который использовался только для передачи телефонам информации о силе сигнала, и большую часть времени простаивал. В интервью от 2009 года газете LA Times он рассказал:
«Нам нужна была дешёвая реализация. На этом канале большую часть времени ничего не происходит – это просто была свободная ёмкость системы».
«Мы протестировали систему со 160 символами, но кому понадобится больше символов, чтобы отправить сообщение вроде “Если через 20 минут ты не дома, твой ужин в собаке”? Тем более, что T9 тогда не существовало».
📶 How SSH secures your connection.
• Весьма интересный и актуальный материал о том, какие меры безопасности реализованы в SSH для организации защищённого доступа в процессе подключения и работы:
➡️ https://noratrieb.dev/blog/posts/ssh-security/
• Дополнительный материал:
➡Практические советы, примеры и туннели SSH;
➡Полное руководство по SSH в Linux и Windows;
➡Наглядные примеры организации SSH туннелей для решения различных задач;
➡Объемная шпаргалка по SSH, которая пригодиться в работе;
➡Маленькие хитрости SSH;
➡Практические примеры SSH.
#SSH
• В сети распространяется вредоносное ПО Scareware, которое имитирует повреждённый экран смартфона. Основная цель Scareware — заставить пользователей загрузить ненужное ПО или заплатить за поддельный антивирус. Логика, конечно, на высоте! Ведь то, что уведомление появляется поверх "разбитого" экрана должно насторожить пользователя... но жертвы всё равно есть...
• Помимо анимаций, оповещения распространяются также через события в календаре. Например, фишинговый сайт может запросить разрешение на добавление в календарь целого перечня событий, которые каждый час уведомляют пользователя о заражении вирусом, вынуждая жертву как можно быстрее решить проблему.
➡️ Более наглядно: https://youtu.be/tHLVwGfULMs
• В свою очередь напоминаю, что наш полностью бесплатный бот S.E. Virus Detect может осуществить проверку файла \ ссылки на предмет угроз и выдаст подробный отчет по итогу анализа. Всегда старайтесь проверять то, что скачиваете и по каким ссылкам переходите.
• P.S. Совсем скоро добавим новый функционал - дешифратор коротких ссылок. Если скормить такую ссылку боту, то вы узнаете, куда она приведёт в конечном счете. Всем безопасности!
#Новости
Участвуй в «Совкомбанк SecureHack» с призовым фондом 300 000 рублей и внеси свой вклад в разработку решения для защиты информационных систем Совкомбанка!
Регистрация на хакатон открыта до 4 декабря включительно: ссылка на регистрацию
Мы приглашаем специалистов в области информационной безопасности, системных аналитиков, разработчиков и архитекторов ПО. Участвовать можно индивидуально или в командах до 3 человек.
Основная задача — разработать инструмент для оценки безопасности информационных систем банка, который будет полезен как для разработчиков и аналитиков ИБ, так и для проектных менеджеров. Основные требования:
🔹 Принимать на вход различные данные, такие как опросники и карты сетевых доступов.
🔹 Проводить анализ введенных данных для выявления уязвимостей и рисков информационной безопасности.
🔹 Формировать отчет с заключением об уровне безопасности, описанием существующих рисков и рекомендациями по его улучшению.
Вы сможете:
▪️ Побороться за призовой фонд в 300 000 рублей.
▪️ Решить практическую задачу с использованием современных инструментов и подходов к безопасности.
▪️ Расширить свои компетенции и поработать с командой над междисциплинарным проектом.
▪️Показать свои навыки ведущим ИБ-специалистам и получить шанс присоединится к команде Совкомбанк Технологии
Таймлайн хакатона:
🔸 до 4 декабря — регистрация участников
🔸 6 декабря — старт работы над задачей
🔸 15 декабря — завершение загрузки решений
🔸 19 декабря — награждение победителей
Стань автором решения, которое повысит безопасность цифровых сервисов Совкомбанка, и покажи свои способности на практике! Успей зарегистрироваться до 4 декабря: https://cnrlink.com/securehackinfosec
Реклама. ПАО "Совкомбанк". ИНН: 4401116480. erid: LjN8KKsJ9
👩💻 Secret Docker Commands.
• Небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации. Держу пари, что Вы точно откроете для себя что-то новое и полезное.
➡02:23 - Manage Docker Resources;
➡05:11 - Remote Docker Servers;
➡07:05 - Copy Files;
➡08:03 - Troubleshoot Logs;
➡10:36 - Troubleshoot Network.
➡️ https://youtu.be/tNBwddCczK8
• Кстати, у автора этого видео есть очень крутой репо (4к🌟), который содержит огромное кол-во полезных команд: https://github.com/ChristianLempa/cheat-sheets/blob/main/tools/docker.md
• Дополнительно:
➡Шпаргалка с командами Docker;
➡Play with Docker - онлайн-сервис для практического знакомства с Docker;
➡Docker для начинающих + практический опыт - бесплатный курс, который состоит из 44 уроков, 76 тестов и 3,5 часа видео;
➡Docker Security - объемное руководство по безопасной настройке Docker.
#Docker #DevOps
🔐 День информационной безопасности!
• В 1988 году некоммерческая организация ISSA (Information Systems Security Association) объявила 30 ноября Международным днем информационной безопасности. Его основная идея — напомнить о важности кибергигиены.
• Праздник зародился в 1988 году не случайно — тогда произошло первое массовое распространение вируса-червя. 36 лет назад пользователи APRANET — сети, которая была прообразом современного интернета — обнаружили, что программы на их компьютерах стали грузиться медленно, при этом машины не отвечали даже на простейшие команды. Виновником коллапса, который «парализовал» 6 тыс. компьютеров (10% всей сети), стал сетевой червь Морриса. Это была первая успешная массовая кибератака.
• Атака не была преднамеренной, она стала результатом эксперимента, вышедшего из-под контроля. Создатель зловреда — аспирант Корнеллского университета Роберт Моррис. Он работал над программой, эксплуатирующей ряд известных уязвимостей того времени.
• Вирус Морриса атаковал учетные записи электронной почты пользователей сети ARPANET, подбирая пароли по словарю. Словарь был небольшой — порядка четырёхсот слов — но его хватало. В то время мало кто думал о компьютерной безопасности, и у многих логин часто совпадал с паролем.
• Получив доступ к аккаунту, червь использовал уязвимость в почтовом сервере Sendmail для самокопирования по сети. Однако в коде была допущена логическая ошибка, которая приводила к тому, что компьютеры заражались червем многократно. Все это замедляло их работу, истощая и без того небольшие ресурсы вычислительных систем того времени.
• Решать проблему начали в институте Беркли. Туда съехались лучшие специалисты по защите данных в Америке. Они занялись разбором кода червя и нейтрализацией последствий. Сегодня дискета с вредоносом находится в музее науки в Бостоне, а код можно найти и в открытом доступе.
• Суммарный ущерб, который нанес червь Морриса, приблизился к ста миллионам долларов. Помимо финансового ущерба, ноябрьский инцидент имел и другие последствия:
➡Роберт Моррис стал первым обвиняемым по новому закону «О компьютерном мошенничестве и злоупотреблении», принятом всего за четыре года до инцидента с червем. Моррис получил три года условно.
➡Атака червя впервые привлекла внимание передовых американских СМИ к сетевым угрозам.
➡Была создана организация CERT (Computer Emergency Responce Team). Она работает и по сей день, принимая сведения о возможных дырах и взломах в системе и публикуя рекомендации по их профилактике.
• При этом атака червя Морриса выявила главную проблему (которая не потеряла актуальность до сегодняшнего дня) — люди используют простые пароли. Стало ясно, что уровень осведомленности по вопросам информационной безопасности нужно поднимать. Потому и был предложен новый международный праздник по теме ИБ.
S.E. ▪️ infosec.work ▪️ VT
👣 Форензика: Ваш цифровой след
• В этой статье мы поговорим о методах поиска информации в операционной системе #Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода:
➡ Читать статью [17 min].
#Форензика
💡 Появление оптоволокна.
• Сотни лет назад моряки определяли свое местоположение в море по частоте вспышек на маяках. Каждый маяк имел свою «зарезервированную» частоту, примерно как сейчас в телевидением или радио. Даже ночью в тяжелых погодных условиях можно было точно понять, к какому конкретно порту приближается корабль.
• Важной вехой, которая приближает нас к теме статьи, стало изобретение в 1880 году Александром Беллом фотофона как альтернативы его телефону. Суть была такой: свет попадал на гибкое зеркало, которое перенаправляло луч к приемнику. Когда человек говорил, форма зеркала изменялась, периодически фокусируя или рассеивая свет. В свою очередь, в приемник были встроены селеновые ячейки — они изменяли свою проводимость в зависимости от интенсивности света. Появлялась последовательность электрических импульсов, поступающих на выводное устройство — точно как в телефоне.
• Однако такой принцип передачи был очень нестабилен: любые препятствия на пути света делали передачу невозможной. Нужно было защитить световой поток, поместив его в какую-то защитную оболочку и передавать. Но все-таки свет имеет свойство рассеиваться и преломляться — поэтому все намного сложнее, чем с потерями на кабеле при передаче электрического сигнала. В идеале нужно было получить «концентрированный» световой поток со строго определенной длиной волны, которая была бы наиболее эффективна в конкретных условиях применения. Ну и найти материал, в котором все это будет передаваться.
• Прорыв случился, когда в 1958 году появился лазер: устройство, усиливающее свет посредством вынужденного излучения. Это означало, что теперь можно было получить свет в нужном диапазоне частот и с нужной мощностью, да еще и направить его в нужную точку. Оставалось найти канал, в котором будет происходить передача.
• В 1961 году Элиас Снитцер опубликовал теоретическое описание одномодового волокна (SMF). Он предположил, что можно:
➡Направить ИК лазер через очень тонкий прозрачный канал из стекловолокна, диаметр которого сопоставим с длиной волны.
➡Поместить все в «отражающую» оболочку из более толстого стекла с меньшим показателем преломления.
• В результате свет будет испытывать полное внутреннее отражение на границе раздела двух сред с разными показателями преломления — все как в классической оптике. Потери из-за рассеивания будут меньше, а значит, сигнал можно будет передать на большее расстояние.
• Идея была хорошей, однако проблема была в составе материала, при прохождении через который волна света сильно затухала — в первых опытах речь шла о 1000 дБ/км. Если очень примитивно, то некоторые фотоны как бы «рассеивались» при взаимодействии с атомной структурой, и поток света становился слабее. Нужно было найти способ, как уменьшить количество «лишних» элементов и, как следствие, число паразитных соударений фотонов. Проще говоря, сделать материал более прозрачным, уменьшив количество примесей.
• В 1964 году Чарльз Као и Джордж Хокхэм в своих исследованиях предположили, что теоретически потери можно снизить в 50 раз — до 20 дБ/км. Они обнаружили, что идеально на роль проводника света с точки зрения прозрачности и чистоты подходит плавленый кварц, он же — кварцевое стекло. За эту работу Као и Хокхэм были удостоены Нобелевской премии по физике в 2009 году.
• В 1970 году инженер Дональд Кек нашел способ сделать кварц еще прозрачнее — легировать его титаном. Спустя еще два года исследований Кек обнаружил, что легирование кварца оксидом германия снижает затухание до невероятных 4 дБ/км. В 1973 году в Bell Laboratories был открыт процесс химического осаждения из газовой фазы — теперь можно было производить химически чистое стекловолокно в промышленных масштабах.
• Начиная с того времени, оптоволоконная связь начала распространяться по миру: например, в 1980 году с ее помощью была передана первая картинка с Зимних Олимпийских игр в Лейк-Плэсиде. Кабели начали прокладывать под водой и поняли, что про старые-добрые медные кабели для телекоммуникации можно забыть...
#Разное
😟 Как спрятать любые данные в PNG.
• На хакерских конкурсах и играх CTF иногда попадаются задачки на стеганографию: вам дают картинку, в которой нужно найти скрытое сообщение. Наверное, самый простой способ спрятать текст в картинке PNG — прописать его в одном из цветовых каналов или в альфа-канале (канал прозрачности). Так вот, на хабре есть хорошая статья, где автор рассказывает о такой реализации:
➡️ https://habr.com/ru/articles/861932/
• По итогу мы сможем записать внутрь PNG другой файл или текст! Можем даже шифровать данные через AES!
• Код более развернутого решения можно найти на GitHub: https://github.com/in4in-dev/png-stenography (использование AES, сокрытие файлов в картинке).
#Стеганография
• Я уже около месяца жду новую литературу по ИБ для проведения розыгрыша в этой группе, и сегодня в одном из TG-каналов увидел анонс новой книги по анализу защищенности Active Directory. Книга готовится к релизу и будет доступна в продаже уже в начале декабря. Когда литература появится в продаже, то я обязательно разыграю около 10 копий среди подписчиков, поэтому ждем. Вероятно, что уже на этой неделе запущу конкурс (но это не точно).
• Что касается самой книги, то она написана в виде пошагового руководства с созданием собственной лаборатории и позволит расширить свои знания в применении инструмента BloodHound.
• Всего будет 4 части:
➡Знакомство с интерфейсом BloodHound;
➡Знакомство с интерфейсом браузера neo4j;
➡Язык запросов Cypher;
➡Демонстрация расширения функционала BloodHound путем добавления новых узлов и связей, и их свойств, а также изменения интерфейса.
• Книга будет полезна пентестерам, специалистам SOC, специалистам по информационной безопасности и многим другим...
➡ https://alpinabook.ru/catalog/book-idyem-po-kibersledu
#Конкурс
Открытый практикум Linux by Rebrain: Btrfs — первое знакомство
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉Регистрация
Время проведения:
4 декабря (среда) в 20:00 по МСК
Программа практикума:
▫️Изучим общие сведения о файловой системе Btrfs
▪️Рассмотрим использование Btrfs на одном диске
▫️Настроим и изучим возможности RAID в Btrfs
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2VtzqvS4wkM
🪙 С чего всё началось: история Bug Bounty.
• Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала 200 золотых гиней (что-то около $30 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс принял вызов и справился с задачей за 25 минут, получив награду.
• Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.
• Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle. Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.
• К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер, обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.
• И 10 октября 1995 года Netscape запустили первую программу Bug Bounty (анонс на фото). Они платили пользователям бета-версии браузера Netscape Navigator 2.0, которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным, Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили не только деньги, но и товары из магазина Netscape.
• Что касается последователей Netscape, то первым в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500...
#bb #Разное
• Программа 90-дневного обучения по кибербезу, которая содержит ссылки на материалы, видео и онлайн-лабы.
➡Network+;
➡Security+;
➡Linux;
➡Python;
➡Traffic Analysis;
➡Git;
➡ELK;
➡AWS;
➡Azure;
➡Hacking.
➡️ https://github.com/farhanashrafdev/90DaysOfCyberSecurity
#ИБ
🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома
Старт: 2 декабря. Успейте приобрести курс по старой цене до конца ноября!📥
Содержание курса:
🔸 65 рабочих и 16 экзаменационных тасков в лаборатории ✔️
🔸 эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
🔸 SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
🔸 техники повышения привилегий, Client-side атаки (XSS, CSRF)
🔸 трудоустройство / стажировка для лучших выпускников 🥇
Получите практические навыки как в рабочих задачах, так и в Bug Bounty.
📥С декабря стоимость курсов увеличится на 15%
🚀 Пишите нам @Codeby_Academy
➡️ Подробнее о курсе
💸 Снятие денег из банкомата без списания их со счетов.
• В Индии мошенники некоторое время могли снимать деньги из банкоматов банка SBI с помощью бага при отработки ошибки Timeout Error (клиент не забрал деньги из выдачи спустя выделенное время, система забирает их обратно).
• Проще говоря, после снятия наличных мошенники обычно оставляли одну купюру в отсеке выдачи наличных в банкомате. Это действие заставило банкомат зарегистрировать транзакцию как незавершённую. Вот только из-за этой ситуации в алгоритме работы банкомата возникала ошибка Timeout Error, система забирала деньги обратно, но не проверяла, что там есть все купюры. Поскольку банкомат помечал транзакцию как незавёршенную, то деньги не списывались с балансов владельцев счетов. Этот трюк гарантировал отсутствие жалоб со стороны клиентов, и мошенничество оставалось скрытым в течение нескольких месяцев.
• Снятия денег проходило небольшими суммами и продолжались в период с июня 2022 года по июль 2023 года. Но афера раскрылась, когда в банке обнаружили незначительные расхождения между общей суммой наличных, внесённых в банкоматы, и снятыми суммами. Первоначально банковский комитет финансовой организации расследовал нарушения, но не смог выявить проблему. При отсутствии зацепок или доказательств даже сотрудники банка попали под подозрение.
• Прорыв в расследовании произошёл в тот момент, когда специалисты банка просматривали записи видеонаблюдения с банкоматов. Они обнаружили, что одни и те же лица часто посещали определённые банкоматы, используя различные украденные карты клиентов. На кадрах были запечатлены действия подозреваемых, включая оставление одной купюры в ячейке для приёма и выдачи денег.
• В SBI передали материалы по этому мошенничеству в полицию, где возбудили дела согласно Уголовного кодекса Индии. Полиция продолжает искать мошенников. Пока что никому обвинения по этому инциденту не предъявлены.
➡️ Источник.
#Новости
