-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
📶 Useful Wireless Links.
• Объемная подборка с полезным материалом, которая предназначена для всех неравнодушных к беспроводным сетям: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое:
• Литература:
- Базовый уровень;
- Продвинутый уровень;
- Стандарты IEEE.
• Справочные материалы:
- Справочники;
- Руководства;
- Калькуляторы;
- Инфографика.
• Софт:
- Планирование и обследование;
- Анализ и диагностика;
- Для мобильных;
- Разное.
• Гаджеты:
- Site Survey;
- Packet Capture;
- Troubleshooting;
- SDR;
- Прочее.
• Медиа:
- Организации;
- Блоги;
- Каналы и подкасты;
- Социальные сети;
- События.
• Вендорские материалы:
- Best Practices;
- White Papers.
• Бонусы.
• P.S. Если хотите дополнить наш репо с подборкой материала по изучению компьютерных сетей, то пишите по контактам из описания: https://github.com/SE-adm/Awesome-network
#Сети
🔑 A Compendium of Access Control on Unix-Like OSes.
• Вероятно, что это самое объемное руководство о контроле доступов в разных ОС (оглавление на скриншотах выше): https://venam.net/blog/unix/2023/02/28/access_control.html
• PDF версия: https://venam.net/blog/pdf/access_control/access_control.pdf
#security
📶 ssh-audit.
SSH server & client security auditing (banner, key exchange, encryption, mac, compression, compatibility, security, etc).
📶 sshlog.
• Open source-инструмент для логирования и мониторинга всей активности юзера после установки им SSH подключения.
- Позволяет админам шарить сеанс другим доверенным юзерам;
- Использует eBPF, писан на С++ и Python;
- Записывает всё, что произошло через SSH;
- Умеет слать предупреждения в слак;
- Ну и еще многое другое...
➡️ https://github.com/sshlog/agent
#SSH
🗞 Paged Out!
• Очень ламповый журнал по информационной безопасности и этичному хакингу. Публикуется в формате: 1 страница - 1 статья. На данный момент опубликовано 3 выпуска, которые вы можете скачать тут: https://pagedout.institute
#ИБ
🛩 Шпионские страсти: приспособление ЦРУ 70-х годов, которое так и не взлетело.
• В 1970-е годы американская наука и техника, во многом стараниями технарей Кремниевой долины, совершила прорыв в миниатюризации электронных систем. Естественно, в ЦРУ этому очень обрадовались и попытались использовать это на практике. Именно тогда у одного из заместителей главы отдела исследований и разработок ЦРУ, возникла идея использовать робота-насекомое: вполне нормальная и реализуемая в наши дни, но амбициозная для 70-х.
• Почти получилось. Устройство поначалу хотели сделать в виде пчелы или шмеля, но не справились с их сложной аэродинамикой и придумали более подходящее устройство в виде стрекозы, которое могло преодолеть расстояние до 200 метров. Задачей устройства было доставить к точке подслушивания 0,2 грамма ретрорефлекторных шариков — служившими глазами стрекозы — для того, чтобы дальше работала группа прослушки с лазерной системой акустической разведки.
• Правда, заставить лететь стрекозу — оказалось нелёгкой задачей. Её решением было использование крошечного гидродинамического осциллятора, работающего на выделяемом кристаллами нитрата лития газе. Когда испытания показали, что прототип не может нести требуемую полезную нагрузку в 0,2 г, конструкторы добавили дополнительную тягу, отводя выхлопные газы назад: подобно реактивному двигателю.
• Попутно оказалось, что в первой половине 70-х всунуть хотя бы элементарную систему управления в эту штуку невозможно — но и эта проблема была решена. Специальный лазер, направленный на робострекозу, должен был нагревать металлическую полоску и «включать» тягу. Второй лазер по схожему принципу работал рулём направления.
• На программу потратили около порядка 2.4 миллионов по современному курсу и отчитались в 1974-м о её успешном завершении… только применять на практике устройство оказалось невозможно. Даже слабый ветер вне идеальных условий лаборатории или официальной приёмки в тщательно подобранный день приводил к неуправляемости полёта устройства. За что образец в конечном счёте оказался в музее...
➡ Наглядно: https://youtu.be/wAHw9Oonr84
#Разное
👩💻 Базовый курс по Git.
• Git: Урок 0. Подготовка и Введение;
• Git: Урок 1. Первый коммит;
• Git: Урок 2. Проверка состояния;
• Git: Урок 3. Индексация файлов;
• Git: Урок 4. История коммитов;
• Git: Урок 5. Git checkout - Назад в будущее;
• Git: Урок 6. Отмена индексированных файлов;
• Git: Урок 7. Revert - Отмена коммита;
• Git: Урок 8. Решение простого конфликта;
• Git: Урок 9. Ветки и их применение;
• Git: Урок 10. Слияние веток и решение конфликтов слияния;
• Git: Урок 11. Rebase vs. Merge - Что такое git rebase?
• Git: Урок 12. Удаленный репозиторий и git clone;
• Git: Урок 13. Загружаем изменения на удаленный репозиторий;
• Git: Урок 14. Обновляем код манерой merge и rebase;
• Git: Урок 15. Что такое Origin и для чего нужен stash?
#Git
👩💻 Attacking Docker.
• Статья включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и другую полезную информацию:
- Privileged Container;
- Exposed Container APIs;
- Container Escape;
- Container Image Tampering;
- Insecure Container Configuration;
- Denial-of-Service (DoS);
- Kernel Vulnerabilities;
- Shared Kernel Exploitation;
- Insecure Container Orchestration;
- Insecure Container Images;
- References.
#Docker
⚔️ Apple против Microsoft.
• В 1975 и 1976 годах были созданы Microsoft и Apple. Сейчас они занимают первые места по рыночной капитализации во всем мире. Два техногиганта долгое время как сотрудничали, так и конкурировали друг с другом, порой принимая неожиданные стратегические решения. Долгое время в этой гонке побеждала Apple, но в последнем десятилетии прошлого века всем казалось, что в этой гонке победа осталась за Microsoft.
• На ранних этапах компании сотрудничали между собой — Apple занимались техникой, а Microsoft — операционной системой. Конфликты начались, когда стали запускать достаточно удачную линейку персональных компьютеров Macintosh. Билл Гейтс рассказывал, что во времена кооперации сотрудники его фирмы работали над Mac чуть ли не больше, чем Стив Джобс со своей компанией. Он также нахваливал совместный проект, заявляя, что эта техника задает новый стандарт качества.
• В определенный момент выяснилось, что обе компании разрабатывают похожие операционные системы с графическими интерфейсами. Впервые с обвинениями выступил Стив Джобс по поводу разрабатываемой Windows, однако фактически обе компании позаимствовали технологию у Xerox, что Гейтс в открытую признал.
• В 1985 году выпустили первую версию Windows, а Стива Джобса со скандалом выгнали из собственной компании. Microsoft все увереннее завоевывает рынок. Джобс создал фирму под названием NeXT — в ней он будет работать последующие 12 лет. Компания занималась созданием на тот момент сложных компьютеров для сложных проектов, включая 3D-графику, бизнес-задачи и т. д.
• На протяжении всего времени работы в NeXT Джобс нелестно отзывался о продукции Microsoft — отсутствии у них вкуса и оригинальности, низкой культурной ценности и «третьесортности».
• О тех событиях написаны десятки книг, сняты художественные и документальные фильмы и сериалы. Самый известный из которых — «Пираты Силиконовой долины» (экранизация книги «Пожар в долине: Создание Персонального компьютера» (Fire in the Valley: The Making of the Personal Computer).
#Разное
🔝 От юзера до Бога. Методы повышения привилегий в Windows.
• Поделюсь с Вами полезными ресурсами, где можно найти очень много полезной информации и прокачать свои знания по данной теме:
- adsecurity — отличный ресурс с полезной информацией. Можно найти много материала по повышению привилегий.
- book.hacktricks — чеклист по повышению привилегий. Тонна уникальной информации.
- Windows - Privilege Escalation.md — шпаргалка по сегодняшней теме.
#Пентест #ИБ
📚 Руководство по приватности и защите своих данных в сети.
• Разберём простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями.
➡️ https://github.com/soxoj/counter-osint-guide-ru
#Приватность
💻 90+ советов по работе с PostgreSQL.
• Список практических советов по работе с PostgreSQL от специалиста с 20-летним стажем. Ну и не забывайте про дополнительный материал по хэштегам, если Вам интересна какая-либо из тем.
➡️ https://gitlab.com/postgres-ai/postgresql-consulting/postgres-howtos/
#PostgreSQL
👨💻 Инфраструктурный пентест по шагам: сканирование и получение доступа.
• Эта статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.
➡️ https://habr.com/ru/post/799529/
#Пентест
⚙️ Awesome PCAP tools.
• Объемный репозиторий, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика:
• Linux commands;
• Traffic Capture;
• Traffic Analysis/Inspection;
• DNS Utilities;
• File Extraction;
• Related Projects.
➡️ https://github.com/caesar0301/awesome-pcaptools
#tools
🍎 С днем рождения, Apple.
• 48 лет назад, 1 апреля 1976 года, Стив Джобс, Стив Возняк и Рональд Джеральд Уэйн зарегистрировали «Apple Computer Inc.» и заключили соглашение, в котором четко расписывались проценты: 45% – 45% – 10%. Трата более чем в сто долларов должна обговариваться – необходимо согласие хотя бы двух партнеров. Однако уже через одиннадцать дней Уэйн вышел из товарищества, побоявшись прогореть.
• Когда Стив Джобс и Стив Возняк выбирали название компании, они перебрали множество «скучных и напыщенных» вариантов, прежде чем Джобс предложил что-то из раннего периода своей жизни. Когда Стив бросил колледж в 1974 году, он отправился в Орегон. Там он устроился работать на яблочную ферму. Стив Возняк писал об этом в мемуарах:
Я помню, как вез Стива Джобса из аэропорта по Хайвею 85. Стив возвращался из Орегона в место, которое он называл «яблоневым садом». На самом деле это была какая-то община. Стив предложил название — Apple Computer (прим. «Яблочный компьютер»). Первым моим комментарием было: «А как насчет Apple Records?» Это было (и остается) название звукозаписывающего лейбла, принадлежащего Битлз. Мы оба пытались придумать что-то более техническое, но Apple звучало намного лучше любого другого названия, которое мы придумали.
Слово apple смягчало серьезное „компьютер“. К тому же в телефонном справочнике мы бы оказались перед Atari», – объяснял Джобс. Они решили, что если до утра ничего лучше не смогут придумать, то оставят это название, и… именно так и произошло.
🏁 Открыт набор команд на крупнейшую кибербитву страны — Standoff 13!
Она пройдет с 22 по 25 мая в московских «Лужниках» на киберфестивале Positive Hack Days 2. В этом году следить за ходом кибербитвы смогут все гости фестиваля бесплатно.
Что ждет участников Standoff 13
🌇 Впервые будет сразу два виртуальных государства: уже известное ветеранам Государство F и абсолютно новое Государство S со своей инфраструктурой и отраслями.
Набор команд уже открыт!
❤️ Если вы хотите крушить и ломать участвовать на стороне атакующих, соберите команду из 10 человек, подайте заявку на сайте, соревнуйтесь в отборочных — и welcome на самую масштабную кибербитву страны.
Зачем участвовать, кроме фана? Команды атакующих поборются за рекордный куш — 7,5 млн рублей.
💙 А если вы хотите защищать сегменты виртуальных государств и проверить навыки вашей службы кибербезопасности — собирайте blue team, подавайте заявку на сайте, и мы свяжемся с вами, чтобы обсудить условия участия.
Все подробности ищите на сайте Standoff 13.
@Positive_Technologies
🔐 Shufflecake. Создание скрытых разделов на диске.
• Shufflecake: plausible deniability for multiple hidden filesystems on Linux — инструмент для создания скрытых и зашифрованных разделов на диске, которые остаются не заметны даже при соответствующей экспертизе.
➡️ https://codeberg.org/shufflecake/shufflecake-c
#Linux #Security
Всё самое интересное опять случилось ночью, пока вы спали. Интернет штормит на 10 из 10 по CVE: скомпрометированы примерно все ssh-сервера на debian-like через подломленный репозиторий xz и библиотечку liblzma.
А как так, спросишь ты? openssh никак не используется liblzma. Но есть нюанс: шапка, федора и прочие дебианы патчат openssh для совместимости c нотификациями systemd, и вот такая вот петрушка.
Автор кода – молодец, каких поискать. Мало того, что придумал, как скомпрометировать проект через тест (то есть, код xz чистый и до компиляции всё чинно-благородно), так говорят, что он ещё и известный oss-fuzz отучил детектить своё нововведение.
Для любителей циферок гуглить CVE-2024-3094
CISA говорят алярм - https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
Репозиторий xz выключен наглухо, а каждый второй судорожно проверяет версию xz, ведь если там 5.6.0 и выше, то надо срочно откатываться.
Весёлое утро, да.
https://www.openwall.com/lists/oss-security/2024/03/29/4
👁 Nmap Cheat Sheet 2024: All the Commands & Flags.
• Полезная шпаргалка по #nmap, которая поможет автоматизировать свою работу и сократить время на выполнение определенных задач: https://www.stationx.net/nmap-cheat-sheet/
• В качестве дополнения предлагаю ознакомиться с материалом по ссылкам ниже, где Вы найдете необходимую информацию для изучения этого инструмента:
• Host Discovery;
• Output Format Scan;
• Understanding Nmap Packet Trace;
• Nmap Scan with Timing Parameters;
• Nmap Scans using Hex Value of Flags;
• Forensic Investigation of Nmap Scan using Wireshark;
• Understanding Guide for Nmap Timing Scan (Firewall Bypass);
• Understanding Guide for Nmap Ping Scan (Firewall Bypass);
• Comprehensive Guide on Nmap Port Status;
• How to Detect NMAP Scan Using Snort;
• Understanding Guide to Nmap Firewall Scan (Part 2);
• Understanding Guide to Nmap Firewall Scan (Part 1);
• Understanding Nmap Scan with Wireshark;
• Password Cracking using Nmap;
• Vulnerability Scan;
• Network Scanning using NMAP (Beginner Guide);
• MSSQL Penetration Testing using Nmap;
• MySQL Penetration Testing with Nmap.
#ИБ #Eng #Nmap
💻 Ищешь виртуальный сервер с лучшей DDoS защитой — выбирай Aéзa!
– Виртуальные сервера до 6.0 ГГц на флагманских процессорах;
- Множество услуг, включая аренду готового прокси в личном кабинете;
– Профессиональная DDoS защита;
– Бесплатная Anycast DDoS защита для сайтов;
– Низкие цены от 4,94 евро за Ryzen 7950x3D;
– Круглосуточная премиум поддержка;
- Анонимный ВПН от 1.9 евро
– 15% кешбэка по ссылке
На этом приятности не заканчиваются!
🖥Бесплатные сервера!
Возьми сервер от Aéзa на 1 час или воспользуйся
сервисом бесплатной аренды от Aéзa - Терминатор.
Без регистрации, СМС и платежей 🖥
aeza.net
И гифкикод на 10 евро, число использований ограничено: seadmin
ООО «АЕЗА ГРУПП» ИНН: 7813654490 erid: LjN8KMCDR
👨💻 DevOps and IT Cheat-Sheet Collection.
• Коллекция полезных шпаргалок для DevOps и IT специалистов. Содержание следующее:
- #Nginx;
- #Docker;
- #Ansible;
- #Python;
- Go (Golang);
- #Git;
- Regular Expression (Regex);
- #PowerShell;
- #VIM;
- #Jenkins;
- Continuous Integration and Continuous Delivery (CI/CD);
- #Kubernetes;
- #Linux;
- Redis;
- Slack;
- Puppet;
- Google Cloud Developer;
- PostgreSQL;
- Ajax;
- Amazon Web Services (AWS).
➡️ https://github.com/sk3pp3r/cheat-sheet-pdf
#CheatSheet #DevOps
Вебинар «Момент истины: как победить ложные срабатывания при анализе open source»
Всем, кто использует сторонние компоненты в своих разработках, важно проверять их безопасность. С этим хорошо справляется анализ состава ПО (SCA). Но при этом не избежать ложных срабатываний, которые могут вас запутать и потратить впустую ваше время.
На онлайн-практикуме 28 марта в 12:00 мск технический эксперт ГК «Солар» поделится проверенными методами из первых рук – расскажет, как верифицировать результаты SCA и отфильтровать только истинные уязвимости.
Зарегистрироваться →
Реклама. ООО "РТК ИБ". ИНН 7704356648.
👩💻 Бесплатная книга Pro Git.
• Git — это одна из систем контроля версий проекта. Она позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.
• Сегодня поделюсь бесплатной книгой на русском языке, которая содержит в себе 10 глав и несколько приложений:
- Введение;
- Основы Git;
- Ветвление в Git;
- Git на сервере;
- Распределённый Git;
- GitHub;
- Инструменты Git;
- Настройка Git;
- Git и другие системы контроля версий;
- Git изнутри.
- Приложение A: Git в других окружениях;
- Приложение B: Встраивание Git в ваши приложения;
- Приложение C: Команды Git.
➡️ Скачать в удобном формате или читать онлайн: https://git-scm.com/book/ru/v2
#Git
🤩 Мечтаете выступить на киберфестивале Positive Hack Days 2, но не успеваете подать заявку? Тогда у нас хорошая новость: мы продлеваем прием тем ваших докладов до 1 апреля (и это не шутка).
Читайте описания треков, определяйтесь с тематикой и готовьтесь заявить о себе на спортивной киберарене стадиона «Лужники».
Неважно, профи вы или делаете первые шаги в мире кибербезопасности, главное — актуальность темы и ваш свежий взгляд.
👉 Ждем ваших заявок на сайте PHDays 2 (и это правда последний шанс, больше продлевать их прием не будем!).
@Positive_Technologies
#PHD2
👨💻 На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox.
• Подведены итоги двух дней соревнований Pwn2Own 2024, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были разработаны для Ubuntu Desktop, Windows 11, #Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge и автомобиля Tesla. Всего были продемонстрированы 23 успешные атаки, эксплуатирующие 29 ранее неизвестных уязвимостей.
• При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,132,500 долларов США. За взлом Tesla дополнительно вручён автомобиль Tesla Model 3. Размер выплаченных вознаграждений за три последние соревнования Pwn2Own составил 3,494,750 долларов. Команда, набравшая наибольшее число очков, получила 202 тысячи долларов.
➡️ Более полная информация и описание атак доступно тут: https://www.opennet.ru/
#ИБ #Новости
Для обмана жителей Кировской области преступники с помощью нейросетей и технологии «дипфейк» используют образы сотрудников силовых структур и известных личностей.
Жительница Зуевки лишилась 300 тысяч рублей: мошенники убедили ее в необходимости перевести сбережения на «безопасный счет». Инструкции потерпевшая получала в ходе общения в WhatsApp, преступники представлялись сотрудниками сервиса «Госуслуги», Центрального банка. Один из собеседников позвонил по видео: символы государственной власти в его кабинете, висящие на стене портреты не оставили женщине сомнений, что она общается с настоящим «сотрудником ФСБ».
В ряде случаев мошенники могут издеваться над своими жертвами. Кировчанин поделился с полицейскими скриншотом такого видеообщения – преступник под видом сотрудника силового ведомства для видеозвонка использовал лицо актера Роберта Дауни-младшего.
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalfChannel и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
В итоге:
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
• 30 января Илон Маск сообщил о первом вживлении чипа Neuralink в мозг человека. Сегодня появилась информация о том, что испытуемый может играть в шахматы силой мысли. Достаточно только подумать о перемещении курсора и тот начинает перемещаться.
• В дальнейшем компания Маска планирует дать возможность таким людям управлять своими конечностями.
#Новости