-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
🕸 Google выплатили 10 млн долларов по программе Bug Bounty.
• Google подвела итоги программы по выплате вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах Google и различном открытом ПО. Общая сумма выплаченных в 2023 году вознаграждений составила 10 млн долларов, что на 2 млн меньше, чем в 2022 году и на 1.3 млн больше, чем в 2021. Вознаграждения получили 632 исследователя (в прошлом году - 703). С 2010 года суммарный размер выплат составил 59 млн долларов.
• Из потраченной в 2023 году суммы $3.4 млн (в прошлом году $4.8 млн) выплачено за уязвимости в Android. За информацию об уязвимостях в браузере Chrome было выплачено 359 премий на общую сумму $2.1 млн (в прошлом году $3.5 млн). $87 тысяч было выплачено за уязвимости в проектах, связанных с машинным обучением. Размер самой большой единичной выплаты составил 113 тысяч долларов.
• Отчет: https://security.googleblog.com/
• Источник: https://www.opennet.ru/
#Новости
😟 Шпаргалки цифрового детектива. Что и где искать.
• Краткий путеводитель по расположению цифровых артефактов в компьютерах и смартфонах.
• Автор: @forensictools
#CheatSheet #Форензика
🦮 Делегирование Kerberos.
• «Злоупотребление ограниченным делегированием Kerberos на основе ресурсов» — как много в этом звуке! Точнее уже не просто звуке и даже не словосочетании, а целом классе наступательных техник в доменной среде Active Directory. В этой статье описаны актуальные сценарии атак при помощи делегирования Kerberos, для последующего повышения привилегий в системе.
• What is Kerberos delegation?
• Unconstrained;
• Constrained;
• Scenario for Protocol Transition works;
• Steps to Perform RBCD Attack;
• Resources;
• Security Researchers.
#Kerberos #AD #Red_team
👩💻 Docker Security.
• Объемное руководство по безопасной настройке Docker. Материал является актуальным на 2024 год и содержит огромное кол-во информации. Будет полезно начинающим и опытным специалистам.
• Prerequisites;
• Secure configuration;
• Docker Host;
- Working Environment;
- Configuration audit;
- Lynis;
- Docker Bench for Security;
• Docker Daemon;
- Access control to Docker Daemon;
- Securing docker.sock;
- Granting and revoking permissions;
- Avoiding privileged mode;
- Access to devices;
- Blocking the ability to “granting” (acquiring) permissions;
- Privilege escalation and Linux namespaces;
- Rootless mode;
- Container communication (container isolation);
- Read-only mode;
- Resource utilization control;
- Connecting to a remote Docker Daemon;
- Event logging;
• Containers Security;
- Selecting the Right Image;
- Docker Content Trust (DCT);
- Using your own images;
- Docker build and URL;
- “latest” tag;
- USER command;
- Force UID;
- .dockerignore;
• Automatic images scanning;
- Trivy;
- Docker Scout;
• AppArmor;
• Seccomp;
• SELinux;
• The final piece of the puzzle – application security;
• Docker Desktop Security;
• Updating Software;
• Additional sources of knowledge – where to find information about; vulnerabilities;
• History of Changes.
#Docker #Security
📶 High Performance Browser Networking.
• Очень хорошая книга для изучения компьютерных сетей. Написана в 2013 году, но большинство разделов до сих пор являются актуальными и полезными для начинающих.
• В книге можно найти информацию по особенностям протоколов HTTP/1.1 и HTTP/2, оптимизации их производительности, информацию по базовому устройству компьютерных сетей, включая протоколы TCP, UDP, TLS, так и особенности производительности сетевого взаимодействия в зависимости от типа сети (Wi-Fi, мобильные сети).
➡️ Полная версия книги доступна бесплатно на сайте hpbn.co.
#Eng #Сети
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalfChannel и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
В итоге:
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
🔐 Awesome security hardening.
• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
• Security Hardening Guides and Best Practices;
— Hardening Guide Collections;
— GNU/Linux;
- Red Hat Enterprise Linux - RHEL;
- CentOS;
- SUSE;
- Ubuntu;
— Windows;
— macOS;
— Network Devices;
- Switches;
- Routers;
- IPv6;
- Firewalls;
— Virtualization - VMware;
— Containers - Docker - Kubernetes;
— Services;
- SSH;
- TLS/SSL;
- Web Servers;
- Mail Servers;
- FTP Servers;
- Database Servers;
- Active Directory;
- ADFS;
- Kerberos;
- LDAP;
- DNS;
- NTP;
- NFS;
- CUPS;
— Authentication - Passwords;
— Hardware - CPU - BIOS - UEFI;
— Cloud;
• Tools;
— Tools to check security hardening;
- GNU/Linux;
- Windows;
- Network Devices;
- TLS/SSL;
- SSH;
- Hardware - CPU - BIOS - UEFI;
- Docker;
- Cloud;
— Tools to apply security hardening;
- GNU/Linux;
- Windows;
- TLS/SSL;
- Cloud;
— Password Generators;
• Books;
• Other Awesome Lists;
— Other Awesome Security Lists.
#ИБ
🛡️🆚⚔️ Защитники vs Атакующие
Готов присоединиться к битве? Выбирай свою сторону!
Присоединяйся к Всероссийской студенческой кибербитве и сразись за ИТ-инфраструктуру виртуального города 😎
📆 23-25 мая
💰 Призовой фонд – 200 тыс. руб.
Финал битвы состоится в рамках киберфестиваля Positive Hack Days 2 в «Лужниках» 🔥
Мы ищем ребят, которые будут взламывать объекты инфраструктуры на базе виртуального киберполигона, и ребят, которые эти объекты будут защищать.
Если ты:
✔️ студент или аспирант российского вуза
✔️ имеешь опыт участия в CTF-соревнованиях/решения задач на киберполигоне Standoff 365
✔️ можешь собрать команду или уже в ней состоишь
✔️ хочешь попробовать свои силы в максимально приближенных к реальности условиях
тогда ты точно тот, кто нам нужен.
Готов принять вызов? Регистрируйся по ссылке (успей до 19 марта)
👍 Идентификации по отпечатку пальца Touch ID? А может лучше через Windows Media Player?
#Юмор
👨💻 Обучение системного инженера. Путеводитель по ключевым навыкам и знаниям.
• В этой статье описан небольшой roadmap развития системного инженера (DevOps‑инженера, SRE, системного администратора).
• Важно понимать, что подход к обучению у всех индивидуальный, поэтому эта статья может не соответствовать потребностям каждого из вас. Подходите к нему гибко, вносите изменения, подстраивая под себя и свои цели. Используйте его как отправную точку, на которой можно строить свой собственный уникальный путь обучения.
➡️ https://habr.com/ru/post/796929/
#DevOps #SRE
👾 Самые известные олдовые компьютерные вирусы. Creeper (1971 год).
• В начале 1970-х годов (предположительно в 1973 г.) в прототипе современного интернета — военной компьютерной сети APRANET — был обнаружен вирус Creeper, который перемещался по серверам под управлением операционной системы Tenex. Creeper был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: «I’M THE CREEPER : CATCH ME IF YOU CAN», которое выводилось на дисплей или на принтер.
• Для удаления вируса была написана первая антивирусная программа Reeper, которая аналогичным образом распространялась по сети, удаляла обнаруженные копии Creeper и затем (предположительно — через определённый промежуток времени) самоликвидировалась. Доступной и достоверной информации о данном инциденте не обнаружено, по этой причине приведённые выше факты могут не вполне соответствовать истине.
#Разное
💻 Postgres playground. Enhance your Postgres skills.
• Если Вы давно хотели прокачаться в PostgreSQL, то держите отличный ресурс для тренировок. Тут можно найти уроки, примеры команд и их описание, терминал, а так же куча другой полезной информации.
➡️ https://www.crunchydata.com/developers/tutorials
#PostgreSQL
Доброе утро...🫠 Начинаем #понедельник с правильных рекомендаций.
Читать полностью…
📶 Компьютерные сети 2024.
• После анонса по обновлению курса по компьютерным сетям от Андрея Созыкина, начали появляться первые выпуски по данной теме:
• Введение в курс;
• Организация компьютерных сетей;
• Терминология сетей;
• Модель ISO OSI;
• Модель и стек TCP/IP.
➡️ Ссылка на плейлист: https://www.youtube.com/
• Я буду дополнять данный пост по мере выхода нового материала, а Вы можете следить за обновлениями по ссылке выше.
#Сети #Курс
Научись управлять уязвимостями с Positive Technologies
Уязвимости, эксплойты, патчи… Разобраться с ними станет проще после окончания практического онлайн-курса от Positive Technologies.
За 4 недели вы научитесь:
📌Обнаруживать самые опасные уязвимости
📌Выстраивать процесс патч-менеджмента
📌Работать со стандартами безопасности
А после обучения сможете с нуля выстроить процесс управления уязвимостями в любой компании.
Новый поток стартует 24 марта — успейте забронировать место. Доступна оплата для юрлиц.
Узнать больше
🌍 ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах.
• Эксперты Лаборатории Касперского составили рейтинг уязвимостей в веб-приложениях, отражающий взгляд на этот вопрос через призму многолетнего опыта в деле анализа защищенности веб-приложений.
• Недостатки контроля доступа;
• Раскрытие чувствительной информации;
• Подделка межсерверных запросов (SSRF);
• Внедрение операторов SQL;
• Межсайтовое выполнение сценариев (XSS);
• Недостатки аутентификации;
• Небезопасная конфигурация;
• Недостаточная защита от перебора пароля;
• Слабый пароль пользователя;
• Использование компонентов с известными уязвимостями.
#Отчет #Web
👩💻 Attacking Android.
🟢Объемное руководство, которое описывает различные методы компрометации Android устройств.
🟢ContentProvider Management in Android Applications;
🟢Protecting Exported Services with Strong Permissions in Android;
🟢Protecting Against Directory Traversal Vulnerabilities in Android;
🟢Preventing Unauthorized Access to Sensitive Activities in Android;
🟢Avoid Storing Sensitive Information on External Storage (SD Card) Without Encryption;
🟢Logging Sensitive Information in Android;
🟢Securing Sensitive Data in Android;
🟢Cache;
🟢Do not use world readable or writeable to share files between apps;
🟢Do not broadcast sensitive information using an implicit intent;
🟢Do not allow WebView to access sensitive local resource through file scheme
🟢WebView Security Concerns;
🟢Do not provide addJavascriptInterface method access in a WebView which could contain untrusted content. (API level JELLY_BEAN or below)Noncompliant Code Example;
🟢Enable serialization compatibility during class evolution;
🟢Do not deviate from the proper signatures of serialization methods;
🟢Exclude unsanitized user input from format strings;
🟢Sanitize untrusted data included in a regular expression;
🟢Define wrappers around native methods;
🟢Do not allow exceptions to expose sensitive information;
🟢Do not encode noncharacter data as a string;
🟢Do not release apps that are debuggable;
🟢Consider privacy concerns when using Geolocation API;
🟢Properly verify server certificate on SSL/TLS;
🟢Specify permissions when creating files via the NDK.
#Android #DevSecOps
⚙️ Топ 100 опенсорс проектов в сфере кибербезопасности.
• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
#ИБ #Пентест #Tools
Охота пушистых в эпоху киберпанка ))
Доброе утро...🫠
#Понедельник
😈 Князь Тьмы (Научно-фантастическая дилогия).
• На днях вспомнил про весьма интересный рассказ, который показался мне очень увлекательным и отпечатался в моей памяти настолько, что спустя 20 лет я вспомнил автора и название дилогии.
• Основная оригинальная идея рассказа — искусственный интеллект не будет создан искусственно, а появится в ходе естественного отбора компьютерных программ по принципу дарвиновской эволюции.
• http://www.kulichki.com/moshkow/LAZAREWICH/worm.txt
#Разное
📶 Подборка материала для изучения компьютерных сетей.
• Решил собрать весь материал по сетям, который публиковался в этом канале, в один репозиторий. Вся информация и источники являются бесплатными и доступны каждому для изучения (кроме книг, их можно найти в свободном доступе или купить, если хотите поддержать авторов).
• Этот репозиторий будет всегда поддерживаться в актуальном состоянии и если у Вас есть желание дополнить список, то пишите по контактам в описании на github.
➡ https://github.com/SE-adm/Awesome-network/
• На данный момент содержание следующее:
- Литература;
- Курсы;
- Шпаргалки;
- Шпаргалки по протоколам;
- Статьи;
- Теоретический материал для изучения различных инструментов;
- Telegram каналы;
- Telegram чаты;
- Telegram комьюнити разных вендоров;
- Telegram боты;
- Подкасты.
#Сети
🎉 International Business Machines Corp.
• В феврале этого года компания IBM отпраздновала свой юбилей — 100 лет. На самом деле, предприятия, сформировавшие её, работали на рынке уже в конце 1800-х годов, но настоящее рождение произошло в 1924 году. Именно тогда компания Computing-Tabulous-Recording Co. была переименована в International Business Machines Corp. И это была не просто смена названия, поменялась вся идеология и стратегия ведения бизнеса.
• Да, цифра впечатляет, и это отличное напоминание о том, что мир компьютерных вычислений и информационных технологий гораздо старше, чем нам кажется. Термин «обработка данных» был придуман более века назад, а термин «офисная техника» использовался ещё в 1880-х годах.
• С 19-го по 20-й век, а также в 21-м веках в IT-мире царила IBM, так что такие корпорации, как HP, Microsoft и Apple выглядят скорее детьми или даже внуками, а запрещённая соцсеть на букву F, Google и маленькая синяя птичка и вовсе напоминают правнуков.
➡️ Если у Вас есть желание ознакомиться с историей, то тут описана вся необходимая информация: https://spectrum.ieee.org/ibm-history
#Разное
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalf и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
Что вы получите?
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
🍎 Attacking IOS.
• Небольшое руководство, которое описывает различные методы для компрометации iOS устройств.
- Launching the debugserver on the Device;
- Dumping Application Memory;
- Inspecting Binaries;
- Defeating Certificate Pinning;
- Basic Authentication;
- TLS Certificate Pinning;
- NSURLSession;
- Risks of Third-Party Networking APIs;
- URL Schemes and the openURL Method;
- Universal Links;
- Using (and Abusing) UIWebViews;
- WKWebView;
- NSLog Leakage;
- Keylogging and the Autocorrection Database;
- Dealing with Sensitive Data in Snapshots;
- Leaks Due to State Preservation;
- Format Strings;
- Buffer Overflows and the Stack;
- Integer Overflows and the Heap;
- Client-Side Cross-Site Scripting;
- SQL Injection;
- XML Injection;
- Keychain;
- Encryption with CommonCrypto;
- References.
#devsecopsguides #hack
👩💻 Docker guide.
• Ловите полезную и объемную (50 страниц) шпаргалку по Docker, которая содержит примеры различных команд и их пояснение.
• К слову, у авторов этого материала есть еще множество различных шпаргалок, в основном для разработчиков, но может быть кто-нибудь из Вас найдет для себя полезный материал: https://www.jsmastery.pro/resources?category=all
• Дополнительно:
- Основы Docker. Большой практический выпуск;
- Docker Tutorials;
- Docker от Ивана Глазкова;
- Docker for Pentesters;
- Программы для управления Docker контейнерами;
- Docker & GIT cheat sheet for DevOps engineers;
- Шпаргалка по командам Docker.
#Docker
Почему защита информации от утечки стала критически важной в современном мире?
✨ Отус приглашает 7 марта в 20:00 по мск на бесплатный вебинар "Важность защиты информации от утечки в современных реалиях"
Вебинар является частью полноценного онлайн-курса «Защита данных от утечек. DLP-системы».
➡️ Регистрация на вебинар: https://otus.pw/sMXI/?erid=LjN8KYtLd
На вебинаре мы разберем:
— Почему важно защитить информацию от утечки: обсудим главные угрозы безопасности данных, причины утечки и их возможное влияние на компанию.
— Крупнейшие утечки информации: разберем примеры крупных утечек из различных отраслей, чтобы осознать масштабы этой проблемы.
— Ответственность за утечку: поговорим про ответственность за утечку, включая юридическую и репутационную ответственность.
— Перспективы в области защиты информации: рассмотрим разные подходы к защите данных, их плюсы и минусы, и возможности для улучшения безопасности.
😈 Нестандартные методы проникновения в практике Red Team команд и в тактике злоумышленников.
➡️ https://ics-cert.kaspersky.ru/
#Red_team
💡 tailspin.
• Утилита, которая позволяет просматривать логи с подсветкой. Это удобно, красиво и сокращает много времени на анализ. Но есть один минус - если привыкните, то читать логи без этой тулзы будет очень сложно.
➡️ https://github.com/bensadeh/tailspin
#Разное