-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Сперва подумал, что новость от ИА "Панорама", но нет, ошибся.
• Зачем? Для чего? И кто этот гений, который придумал собирать пароли....
• https://cisoclub.ru/v-rossii-budut-sobirat-loginy-i-paroli-dannye-ob-ip-adresah-bankovskih-kartah-passazhirov/
#Новости
🖥 В подсобке университета Великобритании нашли два хорошо сохранившихся персональных компьютера Q1 1972 года.
• В подсобке Кингстонского университета в Лондоне нашли два хорошо сохранившихся микропроцессорных компьютера Q1, которые выпустили в 1972 году. Q1 — достаточно малоизвестный ПК, сохранившихся экземпляров очень мало. Кроме того, компьютер редко экспортировался из США, поэтому обнаружение двух Q1 в столице Великобритании вызвало удивление.
• Созданный Q1 Corporation компьютер имеет встроенные оранжевый экран и клавиатуру, как и более поздняя модель — Q1 Lite. ПК способен взаимодействовать с принтерами и жёстким диском, а также обрабатывать текст и управлять вводом данных.
• Память устройства составляет 16 КБ, а максимальная тактовая частота — 800 кГц. Однако процессор позволяет Q1 претендовать на звание первого в мире настоящего микрокомпьютера — его выпустили на два года раньше более известного MITS Altair 8800.
➡️ https://youtu.be/dB3V_Q9wQ-M
#Разное
🚀 Академия Codeby запускает новый поток курса WAPT: "Тестирование WEB-приложений на проникновение"
📚 На курсе WAPT изучаются методы сбора информации, активный фаззинг, эксплуатация уязвимостей, повышение привилегий и социальная инженерия.
📅 Старт: 1 марта
🌐 Кому полезен курс:
- Специалистам в сфере информационной безопасности
- Пентестерам с опытом и без
- Разработчикам веб-приложений
- Аудитории CTF-соревнований
👨💻 За 4 месяца вы:
- Научитесь анализировать защиту веб-сервисов от популярных видов атак и находить уязвимости в веб-приложениях
- Получите навыки в таких атаках как SQL-injection и CMD injection
- Освоите Cross Site Scripting, PHP injection, Server Side Template injection
🚀 Готовы взламывать и защищать веб-приложения? Присоединяйтесь к курсу от Codeby – одной из сильнейших команд по пентесту!
📌 Узнать подробнее о курсе
👨💻 Attacking APIs \ Атаки на API.
• Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов.
• По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки.
➡️ https://blog.devsecopsguides.com/attacking-apis
#devsecops
• Кто-то слил на GitHub кучу внутренних правительственных документов Китая. Тут можно найти описание различного программного обеспечения и устройств, начиная от троянов под Win, Mac, iOS и Android с возможность удаленного доступа, записью звука в режиме реального времени и полноценным управлением тачки, заканчивая описанием шпионских устройств, к примеру повербанк от Xiaomi с возможностью перехвата трафика в сетях Wi-Fi.
• В общем, источник будет читать очень тяжело, так как он на китайском языке: https://github.com/I-S00N/I-S00N/blob/main/0/15.md
• Но вот тут есть информация на английском: https://news.ycombinator.com/item?id=39426379 и https://news.ycombinator.com/item?id=39426379
• Еще больше информации есть в этом твите: https://twitter.com/
#Разное
Чтобы эффективно противостоять кибератакам, нужно быть в курсе основных тенденций киберугроз. В собственном центре исследования киберугроз «Солар» изучает актуальные тактики злоумышленников, а о последних событиях и новых решениях в сфере кибербезопасности рассказывает в своем канале.
Подписывайтесь, и вы узнаете:
- Как (Ex)Cobalt заразило госучреждение вредоносным модулем CobInt
- Какие уязвимости скрывают популярные CMS-системы
- Как будут действовать хакеры в 2024 году
«Солару» есть что рассказать о кибербезопасности, ведь под его защитой данные более 850 компаний и миллионов пользователей.
erid: LjN8KDrfL
💸 Фейковые приложения «Тинькофф Банка».
• Будьте внимательны, в App Store есть несколько фейковых приложений "Тинькофф" банка. Не устанавливайте и не вводите свои данные. Официальное приложение удалено и недоступно в App Store.
👨💻 Instant Workstation.
• Один из многочисленных сервисов для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
➡️ https://instantworkstation.com/virtual-machines
#Разное
Открыт новый набор на практические курсы по информационной безопасности INSECA.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно. Наставники из Касперского, Сбера, Альфа-Банка, Норникеля, Бизона и др.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Threat Intelligence. Практический курс по киберразведке. В этом курсе собрано все, что нужно знать о проактивном анализе для защиты организации от киберугроз. Начните бесплатно.
🔹Vulnerability management. Практический курс по управлению уязвимостями. На курсе вас ждут 11 практических работ, каждая из которых симулирует рабочие обязанности специалиста по управлению уязвимостями. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
🔹Open CTI. Практический курс по работе с платформой анализа киберугроз. Единственный русскоязычный курс, который научит пользоваться платформой OpenCTI.
👩💻 Kubernetes security fundamentals: Authentication.
• Kubernetes authentication principles;
• Internal Kubernetes authentication methods;
- Static token authentication;
- Bootstrap tokens;
- X.509 client certificates;
- Service account tokens;
• External authentication methods;
- OpenID Connect (OIDC);
- Webhook token authentication;
- Authenticating proxy;
- Impersonating proxy;
• Authentication for other Kubernetes components;
- Kubelet;
- Controller manager and scheduler;
- Kube-proxy;
- Etcd;
• Conclusion.
#Kubernetes
🔒 Стартует курс "Введение в информационную безопасность" от Академии Кодебай!
Начало обучения: 4 марта
🔍 Кому полезен курс:
- участникам CTF, IT-специалистам
- web-разработчикам
- студентам направления "Информационная безопасность"
🕵️ За 4 месяца вы попробуете:
- Искать, исследовать и эксплуатировать следующие виды уязвимостей: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
- Решать CTF-задания
- Организовывать защиту от перебора паролей
💡 На курсе вы научитесь:
- Работе с инструментами Kali Linux
- Консольным командам ОС Windows и Linux, написанию скриптов
- Использованию базового инструментария пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan, Fail2ban
🎓 После сдачи экзамена вы получите сертификат от Академии Кодебай
💻 Узнайте больше об информационной безопасности!
🧠 Sega AI: крайне редкий девайс от Sega из 80-х. Что это за устройство и причём тут искусственный интеллект?
• Недавно стало известно об интереснейшем артефакте технологий прошлого века. Любители ретродевайсов каким-то образом смогли найти и восстановить необычный компьютер от Sega, выпущенный в 1986 году. Это была не игровая консоль, а устройство, которое предназначалось для обучения компьютерной грамотности детей и подростков. Более того, девайс имел отношение к отрасли искусственного интеллекта.
• 8-битный компьютер анонсировали как первый домашний ПК с искусственным интеллектом (AI — Artificial Intelligence). К сожалению, нет данных о цене или количестве выпущенных экземпляров. Известно только то, что компания выпускала ПО с 1986 по 1988 год.
• У системы был и сенсорный ввод. Правда, это был не экран, а, скорее, наложение сенсорного интерфейса на определённые программы и игры. Но девайс был настолько продвинутым, что с его помощью можно было и рисовать.
• Насколько удалось узнать, устройство поставлялось в основном в школы. Оно либо вовсе не было предназначено для индивидуального использования, либо просто не успело попасть к большому количеству владельцев. Кстати, есть реклама того времени, в которой упоминается и США, а не только Япония.
• А именно — были планы по выпуску системы в США в 1987 году под названием SEGA DI 8300, но этого не произошло. Да и тот девайс, который сейчас описывается, собирался помодульно, отдельные компоненты, мануалы и коробки покупались на eBay и других онлайн-площадках.
• Что там с ИИ? Тут, конечно, всё скромно, но для своего времени компьютер обладал необычными возможностями. Так, он поставлялся с языком Prolog, который, как обещали разработчики, «приведёт вас в мир искусственного интеллекта». Как сообщает «Википедия», язык Prolog в 1980-х годах был включён в ряд советских вузовских и школьных учебников информатики для изучения элементов математической логики, принципов логического программирования и проектирования баз знаний и моделей экспертных систем. С этой целью на IBM PC и ряде советских школьных компьютеров были реализованы учебные русскоязычные интерпретаторы Prolog.
• Система могла общаться с владельцем (конечно, не так, как современные цифровые помощники). Так, девайс спрашивал ребёнка о его ежедневных делах и на базе ответов составлял режим дня. Кроме того, были и более продвинутые приложения, которые способны анализировать ответы пользователя на различные вопросы и оценивать способности респондента. Если это был развивающий софт, то пользователю сразу давали уровень, которому соответствовали его ответы.
• А ещё девайс оснащён встроенным синтезатором речи, который способен создавать основные фонемы японского языка, плюс чипом, предназначенным для воспроизведения аудиосемплов. На странице проекта, к слову, есть примеры восстановленных аудиосемплов из памяти компьютера.
➡ Источник.
#Разное
🌍 Top 10 web hacking techniques of 2023.
• В файле ниже собран весь материал, который был опубликован в этом посте.
➡️ Источник: @hadess_security
#web #hack
📦 Hack The Box. Учимся взлому.
➡️ https://0xdf.gitlab.io
• Напомню, что ранее я уже публиковал подборку материала с прохождением HTB на русском языке: /channel/it_secur/1109
#Пентест #CTF
Kubernetes Web View: «темная» сторона экзотической системы оркестрации
Kubernetes Web View призван облегчить жизнь DevOps-инженеров и разработчиков, предоставить удобный способ просмотра данных о кластере и его ресурсах.
Эксперты центра исследования киберугроз Solar 4RAYS проанализировали проблемы, которые все чаще встречаются в инфраструктуре, изучили новые подходы к реагированию на злоупотребление функциями таких систем и показали, как эксплуатируются системы оркестрации с недостатками конфигураций.
Читайте статью о Kubernetes Web View и другие материалы о недостатках популярных и не очень DevOps-инструментов:
GitLab: недостатки конфигурации систем CI/CD
Azure DevOps: ошибки в настройках и их последствия
Docker-репозитории: какие недостатки можно найти в обделенных вниманием системах
Реклама: ООО «Ф-Плюс Мобайл». ИНН: 9718106909. erid=LdtCKgson
🗺 DevOps Roadmap 2024.
• Держите крутой и актуальный roadmap для DevOps, который включает в себя необходимые ссылки на обучающие материалы для каждого шага на этом пути.
➡️ https://github.com/milanm/DevOps-Roadmap
- GIT;
- Learn one programming language;
- Learn Linux & Scripting;
- Learn Networking & Security;
- Learn Server Management;
- Learn Containers;
- Learn Container Orchestration;
- Learn Infrastructure as a code;
- Learn CI/CD;
- Learn Monitoring & Observability;
- Learn one Cloud provider;
- Learn Software Engineering Practices;
- Additional resources;
- Tools;
- Books.
#DevOps
💻 Практика SQL.
- Объединение двух таблиц;
- Удаление дубликатов email;
- SELF JOIN - объединение таблицы с самой собой;
- JOIN нескольких таблиц;
- Объединение таблиц и запроса с GROUP BY;
- Условный оператор CASE в SQL;
- HAVING и группировка в SQL;
- Группировка, сортировка и LIMIT.
#SQL #Курс
🌍 Top 10 web hacking techniques of 2023.
• Это уже 17 номинация по самым значимым исследованиям веб-безопасности. Вас ждут топ-10 техник веб-хакинга 2023 года, с которыми можно ознакомиться по ссылкам ниже:
- Smashing the state machine: the true potential of web race conditions
- Exploiting Hardened .NET Deserialization
- SMTP Smuggling - Spoofing E-Mails Worldwide
- PHP filter chains: file read from error-based oracle
- Exploiting HTTP Parsers Inconsistencies
- HTTP Request Splitting vulnerabilities exploitation
- How I Hacked Microsoft Teams and got $150,000 in Pwn2Ownjacopotediosi/worldwide-server-side-cache-poisoning-on-all-akamai-edge-nodes-50k-bounty-earned-f97d80f3922b">
- From Akamai to F5 to NTLM... with love
- Cookie Crumbles: Breaking and Fixing Web Session Integrity
- can I speak to your manager? hacking root EPP servers to take control of zones
• А вот по этим ссылкам можно ознакомиться с прошлогодним материалом:
- Top 10 Web Hacking Techniques of 2023;
- Top 10 Web Hacking Techniques of 2022;
- Top 10 Web Hacking Techniques of 2021;
- Top 10 Web Hacking Techniques of 2020;
- Top 10 Web Hacking Techniques of 2019;
- Top 10 Web Hacking Techniques of 2018;
- Top 10 Web Hacking Techniques of 2017.
#Web #Hack
💻 Основы SQL.
• Бесплатный курс по основам SQL:
- Базы данных и SQL;
- Оператор SELECT;
- Фильтрация данных в SQL: WHERE;
- Сортировка в SQL: ORDER BY;
- Создание таблиц в SQL;
- Вставка и изменение данных в SQL;
- Агрегатные функции;
- Группировки и фильтрация в SQL: HAVING;
- Декомпозиция данных в базе;
- Запрос данных из нескольких таблиц: JOIN;
- Типы cоединений в SQL;
- Схема базы данных;
- Подзапросы;
- Транзакции;
- Индексы;
- Ограничения в базах данных;
- Представления в SQL;
- Заключение.
#SQL #Курс
📶 Введение в курс | Компьютерные сети 2024.
• Хорошие новости: Андрей Созыкин анонсировал обновление своих бесплатных курсов по компьютерным сетям, будет изменен подход к обучению и будем обсуждать много новых тем, которые актуальны в 2024 году. Ссылка на описание будущего курса: https://youtu.be/sOKljYVLD2Q.
• Считаю, что эти курсы являются лучшими по компьютерным сетям на данный момент, если брать в расчет курсы в открытом доступе. Всё доступно, понятно и бесплатно. Поделюсь с Вами ссылками на опубликованные ранее курсы и обязательно опубликую информацию когда они будут обновлены.
- Курс по компьютерным сетям начального уровня;
- Практики по компьютерным сетям;
- Компьютерные сети. Продвинутые темы;
- Защищенные сетевые протоколы.
#Сети
👩💻 Understanding process thread priorities in Linux.
• Интересная статья о приоритетах процессов в Linux, о работе ядра c приоритетами, и о том какие инструменты можно использовать для просмотра информации о приоритетах:
➡️ https://blogs.oracle.com/linux/post/task-priority
#Linux
👤 Можно ли оставаться анонимным внутри государства, которое закрыло весь внешний Интернет?
• Существующие популярные анонимные сети, подобия Tor или I2P, хороши своим прикладным использованием, а также относительно хорошей скоростью и лёгкостью настройки. Они также хороши и непосредственно в анонимизации трафика, когда нам необходимо скрыть истинную связь между отправителем и получателем, основываясь на принципе федеративности, то есть на свойстве, при котором узлы сети расположены в разных государствах, а сама цепочка маршрутизации проходит сквозь множество несвязанных между собой узлов.
• Но что делать, если государство единственно, как выстраивать маршруты в целях анонимизации, если нет никакого сетевого доступа в другие государства? Что делать, если все доступные государства находятся в своеобразном картеле, где сам принцип федеративности теряет свой основной замысел?
➡️ https://habr.com/post/753902/
#Анонимность
🤝 Переговоры с шифровальщиками. Реальные переписки.
• Автор этого репозитория собрал реальные переписки с вымогателями за последние годы и разделил материал по группировкам. Посмотрите, как общаются хакеры в чатах с жертвами:
➡ https://github.com/Casualtek/Ransomchats
• Дополнительный материал:
➡ https://habr.com/post/790526/
#Ransomware
🗺 Дорожная карта ИБ специалиста.
• https://dfedorov.spb.ru/edu/ — очень объемная "дорожная карта", которая поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#ИБ
🍎 Один из самых громких провалов Apple в истории. Часть 1.
• Первые персональные компьютеры производства Apple завоевали заслуженную популярность, прежде всего, потому, что отличались сравнительно невысокой стоимостью в сочетании с надежностью и широкими для своего времени возможностями. Так, семейство ПК Apple II захватило лидирующие позиции на рынке персоналок, поскольку в качестве конкурентов для них выступали разве что TRS-80 и Commodore PET, уступавшие продукции Джобса и Возняка по всем фронтам. Однако все изменилось с выходом на рынок Apple III.
• Эта машина, появившаяся в 1980 году в качестве наследника Apple II, обладала поистине уникальной характеристикой — стопроцентной ненадежностью. Ломались и требовали ремонта практически все поступившие в продажу компьютеры, из-за чего, по словам самого Джобса, «Apple потеряла бесконечные, неисчислимые суммы денег».
• Проблема скрывалась в системе охлаждения: микросхемы перегревались на плате, а на дисплее отображался искаженный и нечитаемый текст. Первопричиной же всего этого безобразия стало то, что архитектуру данной модели проектировщикам диктовали маркетологи — на Apple III отсутствовали шумные вентиляторы охлаждения, а очень плотная компоновка плат в компактном корпусе (очертания которого придумал сам Стив Джобс и категорически запретил инженерам что-либо менять) не способствовала теплоотводу.
• Фактически этот компьютер поставил производителя на грань разорения, и спустя три года персоналки от IBM основательно потеснили Apple на рынке «домашних» компьютеров. После провала Apple III многие инженеры, работавшие над этой машиной, покинули компанию, что сильно сказалось не только на ее репутации, но и на технологическом потенциале.
#Разное
🖥 Как создавалась USB технология.
• Сегодня каждый может без каких либо трудностей подключить к своему ПК фотоаппарат, принтер, сканер или любое другое устройство. Но в начале 1990-х годов законектить периферийное устройство к ПК была задачей не из лёгких.
• До появления USB подключение внешних устройств нередко было проблематично. Пользователям иногда приходилось вскрывать компьютер и добавлять аппаратное обеспечение, чтобы получить необходимый коммуникационный порт.
• Универсальная последовательная шина, выпущенная в 1996 году компанией Intel, упростила ситуацию. Теперь порты USB являются стандартными для персональных компьютеров и встроены во многие электронные устройства, такие как смартфоны, электронных книги и игровые приставки.
• Прежде чем приступить к разработке USB, группа разработчиков изучила то, что уже было разработано. Инженеры рассмотрела технологии, подобные Ethernet, аудиоинтерфейсы, GeoPort от Apple и IEEE 1394 — известный также как стандарт Firewire. Но ни одна с доступных технологий не обладала всеми характеристиками, которые искала команда. В частности, инженеры хотели получить что-то недорогое, удобное в использовании, способное заряжать периферийные устройства и обеспечивающее большую пропускную способность. Чтобы снизить производственные затраты, инженеры разработали USB с тонким четырехпроводным кабелем длиной до 5 метров. Один конец кабеля имел разъем A, который подключался к компьютеру; разъем B на другом конце подключался к внешнему устройству.
• В то время компьютеры, как правило, не обеспечивали питание таких внешних устройств. Большинство периферийного оборудования должно было быть одновременно подключено к розетке при подключении к ПК. Но USB позволил компьютеру обеспечить необходимый заряд.
• Для названия команда искала что-то такое, с чем люди могли бы ассоциировать себя, а также очень хотели, чтобы оно описывало технологию. Инженеры выбрали слово «автобус», потому что оно было одновременно техническим термином (шина используется для передачи данных в компьютере) и узнаваемым. В сознании большинства людей автобусы — это транспортные средства, доставляющие пассажиров из пункта А в пункт Б, сказал один из разработчиков USB.
• Команда объявила о своей первой разработке в 1995 году. При скорости 12 мегабит в секунду USB 1.0 был «быстрее, чем все, что обычно подключается к задней панели ПК. Однако команда столкнулась с проблемой: скорость 12 Мбит/с была слишком быстрой для компьютерных мышек, джойстиков, клавиатур и других аксессуаров с неэкранированными кабелями. Инженеры решили эту проблему, организовав для USB 1.0 поддержку связи на скорости 1,5 Мбит/с.
• Такой подход позволил USB работать на низкой скорости для недорогих периферийных устройств с неэкранированными кабелями и на высокой скорости для устройств с экранированными кабелями, таких как принтеры и дисководы для флоппи-дисков.
• USB 1.1, выпущенный в 1996 году, стал популярным только в 1998 году. Всеобщая известность настигла его после демонстрарации на выставке COMDEX в Лас-Вегасе. На пресс-конференции команда Intel подключила 127 периферийных устройств к одному компьютеру.
• Задержка между выпуском USB 1.1 в 1996 году и до момента настоящей популярности, вполне объяснима, поскольку Microsoft Windows 98, которая вышла в июне 1998 года, была первой операционной системой, поддерживающей USB. Двумя месяцами позже компания Apple выпустила свой iMac, в котором отсутствовал дисковод для дискет, но была пара портов USB. Хотя Apple не входила в число компаний, работавших над проектом USB, но компания помогла сделать эту технологию популярной.
• С тех пор появилось еще три поколения USB. Самое последнее, USB4, было выпущено в 2019 году.
#Разное
• Ущерб от вчерашнего массового сбоя в работе доменной зоны RU мог составить примерно 200 млн рублей, посчитали в Центре компетенций НТИ. /channel/it_secur/1448
• Как объясняют эксперты, речь идет о недополученной прибыли из-за невозможности осуществить покупки в онлайн-магазинах и сервисах.
#Разное
⚡️ ИА "Панорама" сообщили о реальной причине падения Рунета))
#Юмор