👩💻 Бесплатная книга Pro Git.
• Git — это одна из систем контроля версий проекта. Она позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.
• Сегодня поделюсь бесплатной книгой на русском языке, которая содержит в себе 10 глав и несколько приложений:
- Введение;
- Основы Git;
- Ветвление в Git;
- Git на сервере;
- Распределённый Git;
- GitHub;
- Инструменты Git;
- Настройка Git;
- Git и другие системы контроля версий;
- Git изнутри.
- Приложение A: Git в других окружениях;
- Приложение B: Встраивание Git в ваши приложения;
- Приложение C: Команды Git.
➡️ Скачать в удобном формате или читать онлайн: https://git-scm.com/book/ru/v2
#Git
🤩 Мечтаете выступить на киберфестивале Positive Hack Days 2, но не успеваете подать заявку? Тогда у нас хорошая новость: мы продлеваем прием тем ваших докладов до 1 апреля (и это не шутка).
Читайте описания треков, определяйтесь с тематикой и готовьтесь заявить о себе на спортивной киберарене стадиона «Лужники».
Неважно, профи вы или делаете первые шаги в мире кибербезопасности, главное — актуальность темы и ваш свежий взгляд.
👉 Ждем ваших заявок на сайте PHDays 2 (и это правда последний шанс, больше продлевать их прием не будем!).
@Positive_Technologies
#PHD2
👨💻 На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox.
• Подведены итоги двух дней соревнований Pwn2Own 2024, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были разработаны для Ubuntu Desktop, Windows 11, #Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge и автомобиля Tesla. Всего были продемонстрированы 23 успешные атаки, эксплуатирующие 29 ранее неизвестных уязвимостей.
• При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,132,500 долларов США. За взлом Tesla дополнительно вручён автомобиль Tesla Model 3. Размер выплаченных вознаграждений за три последние соревнования Pwn2Own составил 3,494,750 долларов. Команда, набравшая наибольшее число очков, получила 202 тысячи долларов.
➡️ Более полная информация и описание атак доступно тут: https://www.opennet.ru/
#ИБ #Новости
Для обмана жителей Кировской области преступники с помощью нейросетей и технологии «дипфейк» используют образы сотрудников силовых структур и известных личностей.
Жительница Зуевки лишилась 300 тысяч рублей: мошенники убедили ее в необходимости перевести сбережения на «безопасный счет». Инструкции потерпевшая получала в ходе общения в WhatsApp, преступники представлялись сотрудниками сервиса «Госуслуги», Центрального банка. Один из собеседников позвонил по видео: символы государственной власти в его кабинете, висящие на стене портреты не оставили женщине сомнений, что она общается с настоящим «сотрудником ФСБ».
В ряде случаев мошенники могут издеваться над своими жертвами. Кировчанин поделился с полицейскими скриншотом такого видеообщения – преступник под видом сотрудника силового ведомства для видеозвонка использовал лицо актера Роберта Дауни-младшего.
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalfChannel и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
В итоге:
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
• 30 января Илон Маск сообщил о первом вживлении чипа Neuralink в мозг человека. Сегодня появилась информация о том, что испытуемый может играть в шахматы силой мысли. Достаточно только подумать о перемещении курсора и тот начинает перемещаться.
• В дальнейшем компания Маска планирует дать возможность таким людям управлять своими конечностями.
#Новости
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalfChannel и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
В итоге:
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
🤖 GPTs (Agents) for Cybersecurity.
• Поделюсь с Вами очень объемным списком GPT-агентов, которые ориентированы на информационную безопасность. Список очень большой, поэтому я выделю только некоторые проекты и дам ссылку на полноценный список:
• MagicUnprotect — позволяет взаимодействовать с базой знаний Unprotect о методах обхода защиты, которые используют вредоносные программы.
• Threat Intel Bot — GPT-агент для получения последних данных об APT-группировках.
• Hacker News GPT — обобщает самые актуальные и обсуждаемые новости Hacker News.
• ATT&CK Mate — получите любой ответ о базе знаний ATT&CK.
• Smart Contract Audit Assistant — высокоточный инструмент аудита смарт-контрактов.
• AlphaHoundAI — эксперт по BloodHound CE, Cypher, SharpHound и смежным инструментам.
• zkGPT — если хотите освоить криптографию, то воспользуйтесь этим агентом.
• OSISTent — поможет Вам в решении различных задач и исследований OSINT.
• Bug Bounty Assistant — руководство по безопасности веб-приложений.
➡ Полный список: https://github.com/Awesome-GPT-Agents
#ИИ #GPT #ИБ
🤖 Новые сборки дистрибутива Raspberry Pi OS. Разгон плат Raspberry Pi 5 до 3.14 GHz.
• Разработчики проекта Raspberry Pi опубликовали обновлённые сборки дистрибутива Raspberry Pi OS 2024-03-15 (Raspbian).
• Ключевые изменения:
- Выполнена синхронизация с актуальной пакетной базой Debian 12;
- Ядро Linux обновлено до версии 6.6.20;
- Обновлены файлы с прошивками для плат Raspberry Pi;
- Изменена логика обработки звуковых потоков - при подключении или отключении других звуковых устройств, текущее воспроизведение теперь не прерывается;
- Улучшена работа с экранным ридером Orca, который обновлён до версии 45;
- Удалён устаревший видеодрайвер fbturbo;
- В штатный конфигуратор добавлена возможность настройки разрешения экрана при работе в режиме без подключённых дисплеев (headless);
- Улучшена обработка нажатия кнопки питания на платах Raspberry Pi 5;
- Вызываемые из панели всплывающие окна заменены на обычные окна;
- В обработчике завершения сеанса обеспечено закрытие всех процессов пользователя при выходе;
- Обновлён и переведён под управление systemd VNC-сервер Wayvnc, в котором повышена совместимость с различными VNC-клиентами;
- Реализовано скрытие индикатора звука в системном лотке, в случае отсутствия звуковых устройств;
- При выполнении операций drag-and-drop обеспечено отображение иного курсора мыши;
- В raspi-config добавлена поддержка обновления EEPROM;
- Ускорено открытие меню для Bluetooth и управления сетью;
- Улучшено отображение виджетов при использовании тёмной темы оформления;
- Повышена совместимость с альтернативными оконными менеджерам;
- Обновлены браузеры Chromium 122.0.6261.89 и Firefox 123.
• Дополнительно можно отметить обеспечение возможности разгона плат Raspberry Pi 5 через повышение тактовой частоты с CPU с 2.4 GHz до 3.14 GHz. Изначально прошивка не позволяла повышать частоту выше 3 GHz, но в последнем обновлении прошивки данное ограничение убрано и на плате теперь можно выставлять значения выше 3 GHz. Судя по отзывам пользователей стабильная работа при стресс-тестировании обеспечивается при выставлении частоты 3.14 GHz и использовании активного охлаждения. При более высоких значениях начинают возникать сбои.
➡️ Источник: https://www.opennet.ru/
#Новости #Raspberry
Специалисты по кибербезопасности, отметьте в календаре 23 марта 📅
Всего за один день вы сможете пройти все этапы отбора, познакомиться с командой кибербезопасности Сбера и даже получить оффер.
О проекте: AI Red Team занимается оценкой и защищённостью моделей GenAI — генеративного искусственного интеллекта. В работе использует LLM, генеративные модели text2Image, Python, С++, SQL, TensorFlow, PyTorch, Keras и другие.
Чем предстоит заниматься?
👉 Анализировать мировые работы и инциденты в области безопасности генеративного ИИ.
👉 Разрабатывать и постоянно обновлять актуальный ландшафт угроз и современных средств защиты для ИИ.
👉 Тестировать и оценивать защищённость больших языковых моделей и других моделей генеративного ИИ.
👉 Разрабатывать и внедрять PoC для проверки защищённости моделей генеративного ИИ.
👉 Оценивать и готовить заключения о защищённости мультимодальных и мультиагентных систем ИИ.
Если вы знаете, что такое poison dataset, prompt injection, adversarial attack, data leakage, и понимаете, чем отличаются мультимодальные системы ИИ от мультиагентных систем ИИ, то ждём вас на One Day Offer!
Регистрируйтесь по ссылке!
🔐 Разбираем TLS по байтам.
• В этом материале описан протокол TLS и его роль в вебе. Статья состоит из двух частей. В первой поговорим о защите соединения: от чего и как защищаемся, почему именно так, а не иначе, сколько и каких ключей для этого нужно, и разберёмся с системой сертификатов; а в конце создадим свой сертификат и посмотрим, как его использовать для разработки. Во второй части обсудим, как это дело реализуется в протоколе TLS и разберём формат TLS-пакетов по байтам.
• Предполагается, что вы что-то знаете о симметричном, асимметричном шифровании и электронной подписи:
➡️ Читать статью [1], [2].
#web #tls
🖤 Множество YouTube-каналов, связанных с ИТ и около-ИТшной тематикой.
• Список полезных YouTube-каналов на русском языке, связанных с информационными технологиями (разработка, администрирование, митапы и конференции, интервью, новости ИТ и пр.).
- AI, ML и DataScience;
- AR, VR;
- BlockChain;
- Development;
- DevOps;
- Gamedev;
- IoT;
- IT;
- Management;
- Testing и QA;
- БД;
- Безопасность;
- Документация;
- Компании, Организации, Сообщества, Конференции;
- Образование.
#Разное #Видео
KUMA - аббревиатура вашего спокойствия 🧘♀️
Отечественное решение класса SIEM - единая система ИБ, объединяет продукты Лаборатории Касперского и сторонних поставщиков, чтобы защитить ваш бизнес от сложных угроз и целевых атак.
👉 Жмите сюда 👈 и получите бесплатную консультацию и узнайте, как обеспечить единую концепцию кибербезопасности.
ООО "КРАЙОН" ИНН 9717087315 erid: LjN8K6gPz
• Вот как выглядел первый жесткий диск размером 5 мегабайт 68 лет тому назад. Без автопогрузчика его было не поднять:
• Диск выпустила компания IBM в сентябре 1956-го года. Железо предназначалось для первого «SUPER» компьютера с жестким диском 305 RAMAC.
• Весила система около тонны, — получается по 0,2 грамма за байт (или 5 килобайт в 1 кг) и состояла из 50-ти дисков диаметром в 24 дюйма (610 мм). Каждый диск соответственно 100 килобайт. А частота вращения барабана — 1200 оборотов в минуту.
#Разное
⚔️ Apple против Microsoft.
• В 1975 и 1976 годах были созданы Microsoft и Apple. Сейчас они занимают первые места по рыночной капитализации во всем мире. Два техногиганта долгое время как сотрудничали, так и конкурировали друг с другом, порой принимая неожиданные стратегические решения. Долгое время в этой гонке побеждала Apple, но в последнем десятилетии прошлого века всем казалось, что в этой гонке победа осталась за Microsoft.
• На ранних этапах компании сотрудничали между собой — Apple занимались техникой, а Microsoft — операционной системой. Конфликты начались, когда стали запускать достаточно удачную линейку персональных компьютеров Macintosh. Билл Гейтс рассказывал, что во времена кооперации сотрудники его фирмы работали над Mac чуть ли не больше, чем Стив Джобс со своей компанией. Он также нахваливал совместный проект, заявляя, что эта техника задает новый стандарт качества.
• В определенный момент выяснилось, что обе компании разрабатывают похожие операционные системы с графическими интерфейсами. Впервые с обвинениями выступил Стив Джобс по поводу разрабатываемой Windows, однако фактически обе компании позаимствовали технологию у Xerox, что Гейтс в открытую признал.
• В 1985 году выпустили первую версию Windows, а Стива Джобса со скандалом выгнали из собственной компании. Microsoft все увереннее завоевывает рынок. Джобс создал фирму под названием NeXT — в ней он будет работать последующие 12 лет. Компания занималась созданием на тот момент сложных компьютеров для сложных проектов, включая 3D-графику, бизнес-задачи и т. д.
• На протяжении всего времени работы в NeXT Джобс нелестно отзывался о продукции Microsoft — отсутствии у них вкуса и оригинальности, низкой культурной ценности и «третьесортности».
• О тех событиях написаны десятки книг, сняты художественные и документальные фильмы и сериалы. Самый известный из которых — «Пираты Силиконовой долины» (экранизация книги «Пожар в долине: Создание Персонального компьютера» (Fire in the Valley: The Making of the Personal Computer).
#Разное
🔝 От юзера до Бога. Методы повышения привилегий в Windows.
• Тема повышения привилегий далеко не нова, но тем не менее всегда актуальна. Стоит понимать, что универсального рецепта в этой теме не существует, однако есть множество вариантов которые следует применять в зависимости от ситуации.
• Поделюсь с Вами полезными ресурсами, где можно найти очень много полезной информации и прокачать свои знания по данной теме:
- adsecurity — отличный ресурс с полезной информацией. Можно найти много материала по повышению привилегий.
- book.hacktricks — чеклист по повышению привилегий. Тонна уникальной информации.
- Windows - Privilege Escalation.md — шпаргалка по сегодняшней теме.
#Пентест #ИБ
📚 Руководство по приватности и защите своих данных в сети.
• Разберём простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями.
➡️ https://github.com/soxoj/counter-osint-guide-ru
#Приватность
💻 90+ советов по работе с PostgreSQL.
• Список практических советов по работе с PostgreSQL от специалиста с 20-летним стажем. Ну и не забывайте про дополнительный материал по хэштегам, если Вам интересна какая-либо из тем.
➡️ https://gitlab.com/postgres-ai/postgresql-consulting/postgres-howtos/
#PostgreSQL
👨💻 Инфраструктурный пентест по шагам: сканирование и получение доступа.
• Эта статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.
➡️ https://habr.com/ru/post/799529/
#Пентест
⚙️ Awesome PCAP tools.
• Объемный репозиторий, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика:
• Linux commands;
• Traffic Capture;
• Traffic Analysis/Inspection;
• DNS Utilities;
• File Extraction;
• Related Projects.
➡️ https://github.com/caesar0301/awesome-pcaptools
#tools
👩💻 Oracle Linux Monitoring and Logging.
• Оказывается, что у Oracle есть плейлист с короткими видео для начинающих, которые освещают различные утилиты для мониторинга информации о состоянии системы (vmstat, iostat, rsyslog ну и т.д.):
• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.
#Видео #Linux #Мониторинг
🌩 Attacking AWS.
• В этой статье описаны актуальные методы атак на AWS, которые используют злоумышленники.
• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.
#devsecops #aws
🗞 2024 Threat Detection Report.
• Тут Red Canary опубликовали ежегодный отчет, который основан на анализе данных почти 60 000 угроз, получаемых с инфраструктуры их клиентов. Отчет включает в себя информацию о существующих методах злоумышленников, их новые тенденции и другую полезную информацию.
➡️ Скачать можно отсюда: https://redcanary.com/
#Отчет #ИБ
🔒 Infosec Awesome.
• Репозиторий с различным материалом и инструментами по информационной безопасности. Можно найти полезную информацию на любой вкус и цвет:
• Adversary Simulation & Emulation;
• Application Security;
• Binary Analysis;
• Cloud Security;
• Courses;
• Cryptography;
• Data Sets;
• Digital Forensics and Incident Response;
• Exploits;
• Hardening;
• Hardware;
• Malware Analysis;
• Mobile Security;
• Network Security;
• Open-source Intelligence (OSINT);
• Password Cracking and Wordlists;
• Social Engineering;
• Smart Contract;
• Vulnerable.
#ИБ
🎉 80 лет создателю MINIX Эндрю Таненбауму.
• Если вы изучали информатику, основы программирования или архитектуру операционных систем, это имя должно быть вам хорошо знакомо. Автор популярных учебников, ставших бестселлерами во многих странах мира, а также создатель операционной системы MINIX, которую многие считают прародительницей Linux — профессор Эндрю Стюарт Таненбаум празднует сегодня свое 80-летие.
• Его вклад в развитие операционных систем, компьютерных сетей и распределенных вычислительных систем оказал глубокое влияние на эволюцию компьютерных технологий во всем мире, а написанные Таненбаумом книги до сих пор переиздаются и считаются настольными уже для нескольких поколений айтишников.
➡️ Впечатляющий список книг Таненбаума можно найти тут: https://www.cs.vu.nl/~ast/book_covers/
#Разное
• Красивая и наглядная Модель OSI в качестве шпаргалки для начинающих.
• А я напоминаю, что собрал для Вас необходимый материал для изучения компьютерных сетей вот в этом репозитории: https://github.com/SE-adm/Awesome-network/
• Если есть желание дополнить список полезного материала, то пишите по контактам в описании репо.
#Сети
🌐 Новые WebTunnel мосты Tor имитируют HTTPS-трафик.
• Разработчики Tor Project объявили о запуске новой функции — мостов WebTunnel, которые работают на основе устойчивого к обнаружению HTTPT-прокси и позволяют трафику Tor лучше смешиваться с обычным HTTPS-трафиком.
• Напомним, что мосты Tor представляют собой ретрансляторы, не перечисленные в публичном каталоге Tor, которые позволяют маскировать соединения пользователей. Так как уже довольно давно найдены способы обнаружения и блокировки таких соединения (например, в Китае), Tor также использует мосты obfsproxy, которые добавляют дополнительный уровень обфускации.
• Как рассказывают разработчики, мосты WebTunnel предназначены для имитации зашифрованного трафика (HTTPS) и основаны на HTTPT. Они оборачивают полезную нагрузку соединения в WebSocket-подобное HTTPS-соединение, которое выглядит как обычный HTTPS (WebSocket).То есть для стороннего наблюдателя это обычное HTTP-соединение, в ходе которого пользователь просто просматривает веб-страницы.
• Отмечается, что тестирование WebTunnel началось еще в летом 2023 года. В настоящее время по всему миру работают около 60 мостов WebTunnel, и около 700 активных пользователей ежедневно используют новые мосты на разных платформах. Однако пока WebTunnel работает не во всех регионах, а адрес мостов нужно получать вручную, что планируют доработать в будущем.
➡️ Источник: https://xakep.ru/
#Новости #tor
👩💻 40 Linux Server Hardening Security Tips [2023 edition].
• Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества маленьких полезных трюков, накапливаемых за годы работы в системе. Ценность таких трюков многим выше, если они не только удобны в использовании, но и способны повысить информационную безопасность.
• Эта статья описывает полезные методы и рекомендации по усилению безопасности серверов linux: https://www.cyberciti.biz/tips/linux-security.html
• В дополнение: практические советы по усилению безопасности Linux.
#Linux #ИБ