-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
👁 Nmap Cheat Sheet 2024: All the Commands & Flags.
• Полезная шпаргалка по #nmap, которая поможет автоматизировать свою работу и сократить время на выполнение определенных задач: https://www.stationx.net/nmap-cheat-sheet/
• В качестве дополнения предлагаю ознакомиться с материалом по ссылкам ниже, где Вы найдете необходимую информацию для изучения этого инструмента:
• Host Discovery;
• Output Format Scan;
• Understanding Nmap Packet Trace;
• Nmap Scan with Timing Parameters;
• Nmap Scans using Hex Value of Flags;
• Forensic Investigation of Nmap Scan using Wireshark;
• Understanding Guide for Nmap Timing Scan (Firewall Bypass);
• Understanding Guide for Nmap Ping Scan (Firewall Bypass);
• Comprehensive Guide on Nmap Port Status;
• How to Detect NMAP Scan Using Snort;
• Understanding Guide to Nmap Firewall Scan (Part 2);
• Understanding Guide to Nmap Firewall Scan (Part 1);
• Understanding Nmap Scan with Wireshark;
• Password Cracking using Nmap;
• Vulnerability Scan;
• Network Scanning using NMAP (Beginner Guide);
• MSSQL Penetration Testing using Nmap;
• MySQL Penetration Testing with Nmap.
#ИБ #Eng #Nmap
💻 Ищешь виртуальный сервер с лучшей DDoS защитой — выбирай Aéзa!
– Виртуальные сервера до 6.0 ГГц на флагманских процессорах;
- Множество услуг, включая аренду готового прокси в личном кабинете;
– Профессиональная DDoS защита;
– Бесплатная Anycast DDoS защита для сайтов;
– Низкие цены от 4,94 евро за Ryzen 7950x3D;
– Круглосуточная премиум поддержка;
- Анонимный ВПН от 1.9 евро
– 15% кешбэка по ссылке
На этом приятности не заканчиваются!
🖥Бесплатные сервера!
Возьми сервер от Aéзa на 1 час или воспользуйся
сервисом бесплатной аренды от Aéзa - Терминатор.
Без регистрации, СМС и платежей 🖥
aeza.net
И гифкикод на 10 евро, число использований ограничено: seadmin
ООО «АЕЗА ГРУПП» ИНН: 7813654490 erid: LjN8KMCDR
👨💻 DevOps and IT Cheat-Sheet Collection.
• Коллекция полезных шпаргалок для DevOps и IT специалистов. Содержание следующее:
- #Nginx;
- #Docker;
- #Ansible;
- #Python;
- Go (Golang);
- #Git;
- Regular Expression (Regex);
- #PowerShell;
- #VIM;
- #Jenkins;
- Continuous Integration and Continuous Delivery (CI/CD);
- #Kubernetes;
- #Linux;
- Redis;
- Slack;
- Puppet;
- Google Cloud Developer;
- PostgreSQL;
- Ajax;
- Amazon Web Services (AWS).
➡️ https://github.com/sk3pp3r/cheat-sheet-pdf
#CheatSheet #DevOps
Вебинар «Момент истины: как победить ложные срабатывания при анализе open source»
Всем, кто использует сторонние компоненты в своих разработках, важно проверять их безопасность. С этим хорошо справляется анализ состава ПО (SCA). Но при этом не избежать ложных срабатываний, которые могут вас запутать и потратить впустую ваше время.
На онлайн-практикуме 28 марта в 12:00 мск технический эксперт ГК «Солар» поделится проверенными методами из первых рук – расскажет, как верифицировать результаты SCA и отфильтровать только истинные уязвимости.
Зарегистрироваться →
Реклама. ООО "РТК ИБ". ИНН 7704356648.
👩💻 Бесплатная книга Pro Git.
• Git — это одна из систем контроля версий проекта. Она позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.
• Сегодня поделюсь бесплатной книгой на русском языке, которая содержит в себе 10 глав и несколько приложений:
- Введение;
- Основы Git;
- Ветвление в Git;
- Git на сервере;
- Распределённый Git;
- GitHub;
- Инструменты Git;
- Настройка Git;
- Git и другие системы контроля версий;
- Git изнутри.
- Приложение A: Git в других окружениях;
- Приложение B: Встраивание Git в ваши приложения;
- Приложение C: Команды Git.
➡️ Скачать в удобном формате или читать онлайн: https://git-scm.com/book/ru/v2
#Git
🤩 Мечтаете выступить на киберфестивале Positive Hack Days 2, но не успеваете подать заявку? Тогда у нас хорошая новость: мы продлеваем прием тем ваших докладов до 1 апреля (и это не шутка).
Читайте описания треков, определяйтесь с тематикой и готовьтесь заявить о себе на спортивной киберарене стадиона «Лужники».
Неважно, профи вы или делаете первые шаги в мире кибербезопасности, главное — актуальность темы и ваш свежий взгляд.
👉 Ждем ваших заявок на сайте PHDays 2 (и это правда последний шанс, больше продлевать их прием не будем!).
@Positive_Technologies
#PHD2
👨💻 На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox.
• Подведены итоги двух дней соревнований Pwn2Own 2024, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были разработаны для Ubuntu Desktop, Windows 11, #Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge и автомобиля Tesla. Всего были продемонстрированы 23 успешные атаки, эксплуатирующие 29 ранее неизвестных уязвимостей.
• При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,132,500 долларов США. За взлом Tesla дополнительно вручён автомобиль Tesla Model 3. Размер выплаченных вознаграждений за три последние соревнования Pwn2Own составил 3,494,750 долларов. Команда, набравшая наибольшее число очков, получила 202 тысячи долларов.
➡️ Более полная информация и описание атак доступно тут: https://www.opennet.ru/
#ИБ #Новости
Для обмана жителей Кировской области преступники с помощью нейросетей и технологии «дипфейк» используют образы сотрудников силовых структур и известных личностей.
Жительница Зуевки лишилась 300 тысяч рублей: мошенники убедили ее в необходимости перевести сбережения на «безопасный счет». Инструкции потерпевшая получала в ходе общения в WhatsApp, преступники представлялись сотрудниками сервиса «Госуслуги», Центрального банка. Один из собеседников позвонил по видео: символы государственной власти в его кабинете, висящие на стене портреты не оставили женщине сомнений, что она общается с настоящим «сотрудником ФСБ».
В ряде случаев мошенники могут издеваться над своими жертвами. Кировчанин поделился с полицейскими скриншотом такого видеообщения – преступник под видом сотрудника силового ведомства для видеозвонка использовал лицо актера Роберта Дауни-младшего.
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalfChannel и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
В итоге:
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
• 30 января Илон Маск сообщил о первом вживлении чипа Neuralink в мозг человека. Сегодня появилась информация о том, что испытуемый может играть в шахматы силой мысли. Достаточно только подумать о перемещении курсора и тот начинает перемещаться.
• В дальнейшем компания Маска планирует дать возможность таким людям управлять своими конечностями.
#Новости
Друзья! Начинается курс “Active Directory: пентест инфраструктуры - 2024"
Курс подготовлен командой Codeby, топ-1 по этичному хакингу и 5-кратными победителями the Standoff
Авторы: HackerRalfChannel и Павел Никитин BlackRabbit
Старт: 25 марта
Что внутри курса?
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри?
- Техники и эксплоиты
На 100% прикладной курс:
в лаборатории 10 ТБ можно попробовать руками все актуальные атаки на Active Directory
В итоге:
Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
📑 Сертификат/удостоверение о повышении квалификации
Offensively Yours,
Академия Кодебай
образовательный центр по ИБ
для профессионалов
@Codeby_Academy
+74994441750
🤖 GPTs (Agents) for Cybersecurity.
• Поделюсь с Вами очень объемным списком GPT-агентов, которые ориентированы на информационную безопасность. Список очень большой, поэтому я выделю только некоторые проекты и дам ссылку на полноценный список:
• MagicUnprotect — позволяет взаимодействовать с базой знаний Unprotect о методах обхода защиты, которые используют вредоносные программы.
• Threat Intel Bot — GPT-агент для получения последних данных об APT-группировках.
• Hacker News GPT — обобщает самые актуальные и обсуждаемые новости Hacker News.
• ATT&CK Mate — получите любой ответ о базе знаний ATT&CK.
• Smart Contract Audit Assistant — высокоточный инструмент аудита смарт-контрактов.
• AlphaHoundAI — эксперт по BloodHound CE, Cypher, SharpHound и смежным инструментам.
• zkGPT — если хотите освоить криптографию, то воспользуйтесь этим агентом.
• OSISTent — поможет Вам в решении различных задач и исследований OSINT.
• Bug Bounty Assistant — руководство по безопасности веб-приложений.
➡ Полный список: https://github.com/Awesome-GPT-Agents
#ИИ #GPT #ИБ
🤖 Новые сборки дистрибутива Raspberry Pi OS. Разгон плат Raspberry Pi 5 до 3.14 GHz.
• Разработчики проекта Raspberry Pi опубликовали обновлённые сборки дистрибутива Raspberry Pi OS 2024-03-15 (Raspbian).
• Ключевые изменения:
- Выполнена синхронизация с актуальной пакетной базой Debian 12;
- Ядро Linux обновлено до версии 6.6.20;
- Обновлены файлы с прошивками для плат Raspberry Pi;
- Изменена логика обработки звуковых потоков - при подключении или отключении других звуковых устройств, текущее воспроизведение теперь не прерывается;
- Улучшена работа с экранным ридером Orca, который обновлён до версии 45;
- Удалён устаревший видеодрайвер fbturbo;
- В штатный конфигуратор добавлена возможность настройки разрешения экрана при работе в режиме без подключённых дисплеев (headless);
- Улучшена обработка нажатия кнопки питания на платах Raspberry Pi 5;
- Вызываемые из панели всплывающие окна заменены на обычные окна;
- В обработчике завершения сеанса обеспечено закрытие всех процессов пользователя при выходе;
- Обновлён и переведён под управление systemd VNC-сервер Wayvnc, в котором повышена совместимость с различными VNC-клиентами;
- Реализовано скрытие индикатора звука в системном лотке, в случае отсутствия звуковых устройств;
- При выполнении операций drag-and-drop обеспечено отображение иного курсора мыши;
- В raspi-config добавлена поддержка обновления EEPROM;
- Ускорено открытие меню для Bluetooth и управления сетью;
- Улучшено отображение виджетов при использовании тёмной темы оформления;
- Повышена совместимость с альтернативными оконными менеджерам;
- Обновлены браузеры Chromium 122.0.6261.89 и Firefox 123.
• Дополнительно можно отметить обеспечение возможности разгона плат Raspberry Pi 5 через повышение тактовой частоты с CPU с 2.4 GHz до 3.14 GHz. Изначально прошивка не позволяла повышать частоту выше 3 GHz, но в последнем обновлении прошивки данное ограничение убрано и на плате теперь можно выставлять значения выше 3 GHz. Судя по отзывам пользователей стабильная работа при стресс-тестировании обеспечивается при выставлении частоты 3.14 GHz и использовании активного охлаждения. При более высоких значениях начинают возникать сбои.
➡️ Источник: https://www.opennet.ru/
#Новости #Raspberry
Специалисты по кибербезопасности, отметьте в календаре 23 марта 📅
Всего за один день вы сможете пройти все этапы отбора, познакомиться с командой кибербезопасности Сбера и даже получить оффер.
О проекте: AI Red Team занимается оценкой и защищённостью моделей GenAI — генеративного искусственного интеллекта. В работе использует LLM, генеративные модели text2Image, Python, С++, SQL, TensorFlow, PyTorch, Keras и другие.
Чем предстоит заниматься?
👉 Анализировать мировые работы и инциденты в области безопасности генеративного ИИ.
👉 Разрабатывать и постоянно обновлять актуальный ландшафт угроз и современных средств защиты для ИИ.
👉 Тестировать и оценивать защищённость больших языковых моделей и других моделей генеративного ИИ.
👉 Разрабатывать и внедрять PoC для проверки защищённости моделей генеративного ИИ.
👉 Оценивать и готовить заключения о защищённости мультимодальных и мультиагентных систем ИИ.
Если вы знаете, что такое poison dataset, prompt injection, adversarial attack, data leakage, и понимаете, чем отличаются мультимодальные системы ИИ от мультиагентных систем ИИ, то ждём вас на One Day Offer!
Регистрируйтесь по ссылке!
🗞 Paged Out!
• Очень ламповый журнал по информационной безопасности и этичному хакингу. Публикуется в формате: 1 страница - 1 статья. На данный момент опубликовано 3 выпуска, которые вы можете скачать тут: https://pagedout.institute
#ИБ
🛩 Шпионские страсти: приспособление ЦРУ 70-х годов, которое так и не взлетело.
• В 1970-е годы американская наука и техника, во многом стараниями технарей Кремниевой долины, совершила прорыв в миниатюризации электронных систем. Естественно, в ЦРУ этому очень обрадовались и попытались использовать это на практике. Именно тогда у одного из заместителей главы отдела исследований и разработок ЦРУ, возникла идея использовать робота-насекомое: вполне нормальная и реализуемая в наши дни, но амбициозная для 70-х.
• Почти получилось. Устройство поначалу хотели сделать в виде пчелы или шмеля, но не справились с их сложной аэродинамикой и придумали более подходящее устройство в виде стрекозы, которое могло преодолеть расстояние до 200 метров. Задачей устройства было доставить к точке подслушивания 0,2 грамма ретрорефлекторных шариков — служившими глазами стрекозы — для того, чтобы дальше работала группа прослушки с лазерной системой акустической разведки.
• Правда, заставить лететь стрекозу — оказалось нелёгкой задачей. Её решением было использование крошечного гидродинамического осциллятора, работающего на выделяемом кристаллами нитрата лития газе. Когда испытания показали, что прототип не может нести требуемую полезную нагрузку в 0,2 г, конструкторы добавили дополнительную тягу, отводя выхлопные газы назад: подобно реактивному двигателю.
• Попутно оказалось, что в первой половине 70-х всунуть хотя бы элементарную систему управления в эту штуку невозможно — но и эта проблема была решена. Специальный лазер, направленный на робострекозу, должен был нагревать металлическую полоску и «включать» тягу. Второй лазер по схожему принципу работал рулём направления.
• На программу потратили около порядка 2.4 миллионов по современному курсу и отчитались в 1974-м о её успешном завершении… только применять на практике устройство оказалось невозможно. Даже слабый ветер вне идеальных условий лаборатории или официальной приёмки в тщательно подобранный день приводил к неуправляемости полёта устройства. За что образец в конечном счёте оказался в музее...
➡ Наглядно: https://youtu.be/wAHw9Oonr84
#Разное
👩💻 Базовый курс по Git.
• Git: Урок 0. Подготовка и Введение;
• Git: Урок 1. Первый коммит;
• Git: Урок 2. Проверка состояния;
• Git: Урок 3. Индексация файлов;
• Git: Урок 4. История коммитов;
• Git: Урок 5. Git checkout - Назад в будущее;
• Git: Урок 6. Отмена индексированных файлов;
• Git: Урок 7. Revert - Отмена коммита;
• Git: Урок 8. Решение простого конфликта;
• Git: Урок 9. Ветки и их применение;
• Git: Урок 10. Слияние веток и решение конфликтов слияния;
• Git: Урок 11. Rebase vs. Merge - Что такое git rebase?
• Git: Урок 12. Удаленный репозиторий и git clone;
• Git: Урок 13. Загружаем изменения на удаленный репозиторий;
• Git: Урок 14. Обновляем код манерой merge и rebase;
• Git: Урок 15. Что такое Origin и для чего нужен stash?
#Git
👩💻 Attacking Docker.
• Статья включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и другую полезную информацию:
- Privileged Container;
- Exposed Container APIs;
- Container Escape;
- Container Image Tampering;
- Insecure Container Configuration;
- Denial-of-Service (DoS);
- Kernel Vulnerabilities;
- Shared Kernel Exploitation;
- Insecure Container Orchestration;
- Insecure Container Images;
- References.
#Docker
⚔️ Apple против Microsoft.
• В 1975 и 1976 годах были созданы Microsoft и Apple. Сейчас они занимают первые места по рыночной капитализации во всем мире. Два техногиганта долгое время как сотрудничали, так и конкурировали друг с другом, порой принимая неожиданные стратегические решения. Долгое время в этой гонке побеждала Apple, но в последнем десятилетии прошлого века всем казалось, что в этой гонке победа осталась за Microsoft.
• На ранних этапах компании сотрудничали между собой — Apple занимались техникой, а Microsoft — операционной системой. Конфликты начались, когда стали запускать достаточно удачную линейку персональных компьютеров Macintosh. Билл Гейтс рассказывал, что во времена кооперации сотрудники его фирмы работали над Mac чуть ли не больше, чем Стив Джобс со своей компанией. Он также нахваливал совместный проект, заявляя, что эта техника задает новый стандарт качества.
• В определенный момент выяснилось, что обе компании разрабатывают похожие операционные системы с графическими интерфейсами. Впервые с обвинениями выступил Стив Джобс по поводу разрабатываемой Windows, однако фактически обе компании позаимствовали технологию у Xerox, что Гейтс в открытую признал.
• В 1985 году выпустили первую версию Windows, а Стива Джобса со скандалом выгнали из собственной компании. Microsoft все увереннее завоевывает рынок. Джобс создал фирму под названием NeXT — в ней он будет работать последующие 12 лет. Компания занималась созданием на тот момент сложных компьютеров для сложных проектов, включая 3D-графику, бизнес-задачи и т. д.
• На протяжении всего времени работы в NeXT Джобс нелестно отзывался о продукции Microsoft — отсутствии у них вкуса и оригинальности, низкой культурной ценности и «третьесортности».
• О тех событиях написаны десятки книг, сняты художественные и документальные фильмы и сериалы. Самый известный из которых — «Пираты Силиконовой долины» (экранизация книги «Пожар в долине: Создание Персонального компьютера» (Fire in the Valley: The Making of the Personal Computer).
#Разное
🔝 От юзера до Бога. Методы повышения привилегий в Windows.
• Поделюсь с Вами полезными ресурсами, где можно найти очень много полезной информации и прокачать свои знания по данной теме:
- adsecurity — отличный ресурс с полезной информацией. Можно найти много материала по повышению привилегий.
- book.hacktricks — чеклист по повышению привилегий. Тонна уникальной информации.
- Windows - Privilege Escalation.md — шпаргалка по сегодняшней теме.
#Пентест #ИБ
📚 Руководство по приватности и защите своих данных в сети.
• Разберём простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями.
➡️ https://github.com/soxoj/counter-osint-guide-ru
#Приватность
💻 90+ советов по работе с PostgreSQL.
• Список практических советов по работе с PostgreSQL от специалиста с 20-летним стажем. Ну и не забывайте про дополнительный материал по хэштегам, если Вам интересна какая-либо из тем.
➡️ https://gitlab.com/postgres-ai/postgresql-consulting/postgres-howtos/
#PostgreSQL
👨💻 Инфраструктурный пентест по шагам: сканирование и получение доступа.
• Эта статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.
➡️ https://habr.com/ru/post/799529/
#Пентест
⚙️ Awesome PCAP tools.
• Объемный репозиторий, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика:
• Linux commands;
• Traffic Capture;
• Traffic Analysis/Inspection;
• DNS Utilities;
• File Extraction;
• Related Projects.
➡️ https://github.com/caesar0301/awesome-pcaptools
#tools
👩💻 Oracle Linux Monitoring and Logging.
• Оказывается, что у Oracle есть плейлист с короткими видео для начинающих, которые освещают различные утилиты для мониторинга информации о состоянии системы (vmstat, iostat, rsyslog ну и т.д.):
• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.
#Видео #Linux #Мониторинг
🌩 Attacking AWS.
• В этой статье описаны актуальные методы атак на AWS, которые используют злоумышленники.
• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.
#devsecops #aws
🗞 2024 Threat Detection Report.
• Тут Red Canary опубликовали ежегодный отчет, который основан на анализе данных почти 60 000 угроз, получаемых с инфраструктуры их клиентов. Отчет включает в себя информацию о существующих методах злоумышленников, их новые тенденции и другую полезную информацию.
➡️ Скачать можно отсюда: https://redcanary.com/
#Отчет #ИБ
🔒 Infosec Awesome.
• Репозиторий с различным материалом и инструментами по информационной безопасности. Можно найти полезную информацию на любой вкус и цвет:
• Adversary Simulation & Emulation;
• Application Security;
• Binary Analysis;
• Cloud Security;
• Courses;
• Cryptography;
• Data Sets;
• Digital Forensics and Incident Response;
• Exploits;
• Hardening;
• Hardware;
• Malware Analysis;
• Mobile Security;
• Network Security;
• Open-source Intelligence (OSINT);
• Password Cracking and Wordlists;
• Social Engineering;
• Smart Contract;
• Vulnerable.
#ИБ