-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
📚 Hacking of Computer Networks.
• Дата выхода: 2018 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• The objective of the book is to summarize to the user with main issues in certified ethical hacker course. The complete book consists of many parts:
- Part 1: Lab Setup;
- Part2: Foot printing and Reconnaissance;
- Part 3: Scanning Methodology;
- Part 4: Enumeration;
- Part 5:System Hacking;
- Part 6: Trojans and Backdoors and Viruses;
- Part 7: Sniffer and Phishing Hacking;
- Part 8: Hacking Web Servers;
- Part 9: Hacking Windows and Linux Systems;
- Part 10: Wireless Hacking;
- Part 11: Hacking Mobile Applications.
🧩 Софт для чтения.
#Eng #Networks #Hack
Пара полезных каналов для тех, кто увлекается кибербезом:
🧑💻 Этичный Хакер - Авторский канал c инструкциями по пентесту, деанону, СИ, защите устройств и бесплатными курсами по информационной безопасности.
🏳️ Mr. Robot - Реальные кейсы, OSINT, обзоры инструментов с github, гайды по анонимности.
💻 Osborne-1.
• В далеком 1981 году, в продажу поступил первый в мире "ноутбук" — Osborne-1, который был спроектированный таким образом, чтобы умещаться под пассажирским сиденьем в самолете, был выполнен из прочного пластика ABS и обладал двумя 5,25-дюймовыми дисководами и 5-дюймовым ЭЛТ-дисплеем на 52 символа и 24 строк. Все это умещалось под пластиковой крышкой, которая открывалась и имела защелки. Также под крышкой находилась клавиатура с 69 клавишами, подключавшаяся к основному устройству посредством вьющегося телефонного кабеля.
• Под дисководами и экраном у Osborne 1 располагались порты: параллельный порт IEEE 488, а также серийный коннектор RS-232. За ними находилась материнская плата, а также трансформатор питания. В связи с отсутствием встроенного аккумулятора портативность компьютера была очень ограниченной. Пользователь мог брать его с собой на работу, но не мог работать с ним везде, где ему захочется.
• Osborne 1 работал под управлением операционной системы CP/M 2.2 и имел 4-мегагерцовый процессор Zilog Z80. Что касается памяти, то ее объем составлял 64 килобайта, что больше, чем у многих компьютеров того времени.
• Цена такого чуда составляла 1795 баксов...
#Разное
🐥 Серия статей о ядре Linux и его внутреннем устройстве.
• Здесь вы увидите несколько статей, которые описывают полный цикл инициализации ядра с первого шага после того, как ядро распаковано и до запуска ядром первого процесса.
• Примечание: данные статьи не будут описанием всех шагов инициализации ядра. Здесь будет описана только общая часть ядра, без обработки прерываний, ACPI и многих других частей.
• Первые шаги после декомпрессии ядра — описывает первые шаги в ядре.
• Начальная обработка прерываний и исключений — описывает инициализацию начальных прерываний и начального обработчика ошибки страницы.
• Последние приготовления перед точкой входа в ядро — описывает последние приготовления перед вызовом start_kernel.
• Точка входа в ядро — описывает первые шаги в общем коде ядра.
• Продолжение архитектурно-зависимой инициализации — описывает архитектурно-зависимую инициализацию.
• Архитектурно-зависимая инициализация, снова... — описывает продолжение процесса архитектурно-зависимой инициализации.
• Конец архитектурно-зависимой инициализации, почти... — описывает конец setup_arch.
• Инициализация RCU — описывает инициализацию RCU.
• Конец инициализации — последняя часть об инициализации ядра Linux.
#Linux
👨💻 DevOps Exercises.
• Этот репозиторий содержит полезный теоретический материал и упражнения по различным техническим темам, связанным с DevOps и SRE:
• Linux, Jenkins, AWS, SRE, Prometheus, Docker, Python, Ansible, Git, Kubernetes, Terraform, OpenStack, SQL, NoSQL, Azure, GCP, DNS, Elastic, Network, Virtualization. DevOps Interview Questions.
• https://github.com/bregman-arie/devops-exercises
#DevOps #SRE
📚 Practical Network Scanning.
• Дата выхода: 2018 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.• Fundamental Security Concepts;• Secure Network Design;• Server level Security;• Cloud Security Design;• Application Security Design;• Threat Detection & Response;• Vulnerability Assessment;• Remote OS detection;• Public key infrastructure –SSL;• Firewall detection;• VPN & WAN Encryption;• Summary and Scope of Security technologies.
🧩 Софт для чтения.
#Network #Security #Eng
🛡 Безопасность компьютерных систем.
• Массачусетский Технологический институт. Курс лекций. Переведено на русский язык.• Вступление: модели угроз;• Контроль хакерских атак;• Переполнение буфера: эксплойты и защита;• Разделение привилегий;• Откуда берутся ошибки систем безопасности;• Возможности;• Песочница Native Client;• Модель сетевой безопасности;• Безопасность Web-приложений;• Символьное выполнение;• Язык программирования Ur/Web;• Сетевая безопасность;• Сетевые протоколы;• SSL и HTTPS;• Медицинское программное обеспечение;• Атаки через побочный канал;• Аутентификация пользователя;• Частный просмотр интернета;• Анонимные сети;• Безопасность мобильных телефонов;• Отслеживание данных;• Информационная безопасность MIT;• Экономика безопасности.
🧷 https://habr.com/ru/post/435948/
#ИБ
📚 Enterprise DevOps for Architects.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐(5 out of 5)
• VT.• Create DevOps architecture and integrate it with the enterprise architecture;• Discover how DevOps can add value to the quality of IT delivery;• Explore strategies to scale DevOps for an enterprise;• Architect SRE for an enterprise as next-level DevOps;• Understand AIOps and what value it can bring to an enterprise;• Create your AIOps architecture and integrate it into DevOps;• Create your DevSecOps architecture and integrate it with the existing DevOps setup;• Apply zero-trust principles and industry security frameworks to DevOps.
Приглашаем вас на «День образования от ГК «Астра»!
Когда: 15 августа, в 10:00 (МСК)
Где: Онлайн
На мероприятии:
💻Рассмотрим ключевые аспекты применения продуктов ГК «Астра» в образовательных и административных процессах учебных заведений
🎙Сможете задать интересующие вас вопросы специалистам ГК «Астра» и получить ответы в прямом эфире
Спикеры:
🧩 Артем Лопарев, эксперт по продуктам ГК «Астра»
🧩 Денис Давыдов, руководитель направления, департамент образования ГК «Астра»
Сформулировать и адресовать вопросы спикерам можно уже сейчас.
Регистрация на мероприятие доступна по ссылке.
До скорой встречи!
Немного истории.
В 1983 году Apple начала продажи ПК Lisa, которую Джобс назвал в честь дочери. Этот компьютер был гораздо более продвинут, нежели Macintosh. Он поддерживал до 2 Мб ОЗУ и обладал защищённым режимом памяти. Процессор — Motorola 68000, 5 МГц. В комплекте шёл внешний жёсткий диск на 5 Мб.
Цена в 1983 году составляла: 9995 $.
#Разное
📚 Очередное пополнение нашей библиотеки, которая является уникальной в сегменте Telegram. В этот раз, на форуме XSS.is опубликовали перевод книги по Graphql, атаки на API следующего поколения👍
• VT.
• https://xss.is/threads/86848 [зеркало]
🧩 Софт для чтения.
#GraphQL #RU
🔐 Безопасность в сети. Дешифраторы коротких ссылок.
• Ниже ты найдешь список полезных сервисов, которые помогут понять, куда именно приведет тебя сомнительная ссылка:
• https://scanurl.net/
• https://unshorten.me/
• https://vms.drweb.ru/online/
• https://redirectdetective.com/;
• https://opentip.kaspersky.com/
• https://iplogger.ru/url-checker/
• https://www.virustotal.com/gui/home/url
infosec ▪️ #infosec #ИБ
1980 год. Жесткий диск на 10 mb продавался за 3398 $.
А если требовалось больше памяти, то за 26 mb можно было заплатить около 5000 $.
#Разное
🐲 Приручение черного дракона. Этичный хакинг с Kali Linux.
• Часть 1. Вводная часть. Подготовка рабочего стенда.
• Часть 2. Фазы атаки.
• Часть 3. Footprinting. Разведка и сбор информации.
• Часть 4. Сканирование и типы сканирования. Погружение в nmap.
• Часть 5. Методы получения доступа к системе.
• Часть 6. Пост-эксплуатация. Способы повышения привилегий.
• Часть 7. Пост-эксплуатация. Закрепление в системе.
• Часть 8. Методы и средства внешней разведки.
infosec ▪️ #Kali #Linux
⌨️ Клавиатура Key Tronic FlexPro Syner серии G Ergo.
• Клавиатура из далёкого 1995 года, которая имеет 2 регулируемых подлокотника и возможность настройки уклона для более комфортной работы (как показано на видео). Хотя лично я в этом не совсем уверен ))
• К слову, такая клавиатура была продана неделею назад на ebay за 73 бакса.
#Разное
🔒 Защищенные сетевые протоколы:
• Протоколы TLS/SSL;
• Шифрование в TLS/SSL;
• Целостность данных в TLS/SSL;
• Инфраструктура открытых ключей в TLS/SSL;
• Протокол TLS;
• Установка соединения в TLS;
• Анализируем протокол TLS в Wireshark;
• Расшифровка TLS в WireShark;
• Протокол TLS 1.3;
• Протокол TLS 1.3 в WireShark;
• Протокол HTTPS;
• Протокол HTTPS в WireShark.
#RU #Курс #Сети
Наверняка многие помнят утечку 45 гигов сырцов Яндекса, которая случилась в январе текущего года. Бомбежка тогда случилась знатная, беглым поиском нашли много чего интересного, например наличие приоритетных групп пользователей. Яндекс даже был вынужден признать возможность скрытого удаленного включения микрофона Яндекс.Станции.
Ну было и было. Яндекс же. Ему можно.
А тут на прошлой неделе случился Black Hat USA 2023. А там Кейли МакКри из Confiant сделала доклад, в котором содержался разбор этой утечки с точки зрения конфиденциальности пользователей сервисов Яндекс.
В смысле с точки зрения отсутствия этой конфиденциальности. Конкретно смотрели на Яндекс Метрику и на Крипту, инструменты веб-аналитики Яндекса.
Там пиздец, конечно, хтонических масштабов. Собирают в принципе все подряд - высоту местоположения(?), направление и скорость движения, данные базовых станций, информацию по Wi-Fi (куда ж без этого), размер пинуса etc. Сортируют пользователей на "курильщиков", "видеоблогеров", "представителей индустрии" (!) и даже "искателей отелей Рэддисон на карте". По мнению Яндекса - все это "неперсонализированные и очень ограниченные" сведения.
И это, в приципе, понятно и все обо всем догадываются. Контекстная реклама сама себя не подберет.
Но как вам, например, то, что Яндекс выстраивает графы людей, проживающих рядом? А извлечение из почты данных о билетах, посадочных талонах и бронировании отеля? А сегментирование возраста детей по их голосу, полученному через Яндекс.Станцию?
Так, на минутку, в способности Яндекса проеживать пользовательские данные по-крупному мы уже убедились - Яндекс.Еда теперь во всех пробивных ботах красуется. Равно как помним и про то, что их с помощью Regin британцы с АНБшниками в 2018 году распотрошили.
Печально все это. Хоть в скит подавайся.
📚 Хакинг на примерах.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Будет рассказано: об основных принципах взлома сайтов; отдельная глава будет посвящена угону почтового ящика;
• Будут рассмотрены самые популярные инструменты хакеров - Kali Linux, которая содержит несколько сотен (более 600) инструментов, ориентированных на различные задачи информационной безопасности; и инструмент для поиска уязвимостей и взлома информационных систем – Metasploit.
• Отдельная глава посвящена взлому паролей. В основном мы будем взламывать пароль учетной записи Windows и рассмотрим, как можно взломать шифрование EFS и зашифрованный диск BitLocker. Также рассмотрим, как взламывается пароль WiFi.
🧩 Софт для чтения.
#Hack #RU #ИБ
📚 Linux на примерах.
• Дата выхода: 2022 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Данная книга является практическим руководством по работе в Linux и ее администрированию. Книга содержит в себе как теоретические, так и практические материалы, т. е. теория и практика объединены в одно целое. Изложение ведется с учетом самых разных дистрибутивов Linux.
🧩 Софт для чтения.
#RU #Linux
Самое время познакомиться с концепцией операторов и контроллеров в Kubernetes вместе с Отус!
Приглашаем 17 августа в 20:00 по Москве, на открытый вебинар “Custom Resource Definitions в Kubernetes. Операторы”.
Вебинар приурочен к старту онлайн-курса «Инфраструктурная платформа на основе Kubernetes». Записывайтесь на вебинар и приходите учиться на курс. Обучение проходит на Kubernetes v1.24.
✅ В рамках вебинара вы поймете:
– Различия между операторами и контролерами;
– Как разрабатывать контроллеры на Bash;
– Особенности работы контролеров.
✅ Вы изучите следующие темы:
– Определение контроллеров в Kubernetes;
– Обзор событийной модели, используемой в Kubernetes;
– Разработка Custom Resource Definitions и их работа;
– Практика создания контроллеров на Bash;
– Примеры контроллеров и их логика работы.
👉 Регистрация на вебинар: https://otus.pw/6RaIS/
По окончании вебинара вы получите необходимые знания и навыки для разработки контроллеров в Kubernetes.
Реклама. Информация о рекламодателе на сайте www.otus.ru
📘 Полезные шпаргалки для пентестеров и ИБ специалистов.
• Шпаргалки являются отличным помощником при работе с определенным софтом или системой. С их помощью, ты сможешь прокачай свои навыки в определенной сфере и сократить время на выполнение задач для получения нужного результата.
• MITM cheatsheet.
• Active Directory Attack.md
• Active Directory penetration testing cheatsheet.
• Cloud - AWS Pentest.md
• Cloud - Azure Pentest.md
• Cobalt Strike - Cheatsheet.md
• Linux - Persistence.md
• Linux - Privilege Escalation.md
• Metasploit - Cheatsheet.md
• Methodology and enumeration.md
• Network Pivoting Techniques.md
• Network Discovery.md
• Reverse Shell Cheatsheet.md
• Subdomains Enumeration.md
• Windows - Download and Execute.md
• Windows - Mimikatz.md
• Windows - Persistence.md
• Windows - Post Exploitation Koadic.md
• Windows - Privilege Escalation.md
• Windows - Using credentials.md
• Best of Python Pentest Cheatsheet.
• Msfvenom Cheatsheet: Windows Exploitation.
• Best of OSCP Cheatsheet.
• Red Teaming and Social-Engineering CheatSheet.
• OSI Model Cheatsheet.
• Best of Red Teaming and Blue Teaming Cheatsheet.
• Best of iOS Forensics Cheatsheet.
• Best of Android Forensics Cheatsheet.
• Best of Digital Forensics Cheatsheet.
• Port Forwarding & Tunnelling Cheatsheet.
#ИБ #Пентест
🐈⬛ Netcat для пентестера.
• Для чего Netcat;
• Версии Netcat;
• Ncat: ваш универсальный сетевой коннектор;
• Принципы работы Ncat;
• Подключение к HTTP в Ncat;
• Подключение через SSL (HTTPS) в Ncat;
• Режим прослушивания Ncat;
• Запуск команд через ncat;
• Подключение к Ncat если удалённая машина находиться за NAT;
• Как сделать так, чтобы при закрытии клиента Ncat, не отключался сервер Ncat;
• Как передать файлы на удалённый компьютер;
• Как загрузить файл с удалённого компьютера;
• Как сделать веб-сервер с Ncat;
• Как с помощью Ncat получить доступ к службам, доступным только в локальной сети;
• Использование SSH через туннель Ncat;
• Как Ncat превратить в прокси;
• Как разрешить подключение к Ncat с определённых IP;
• Отправка почты;
• Создание цепей последовательной передачи трафика между нескольких Ncat;
• Очистка от SSL;
• Ncat как SSL сервер;
• Сканирование портов;
• Закрепление на удалённой машине;
• Эмуляция диагностических служб.
#Netcat #Пентест
📚 Искусство тестирования на проникновение в сеть.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Руководство по моделированию недостатков внутренней безопасности компании. В роли злоумышленника вы пройдете все этапы профессионального пентеста, от сбора информации до захвата полного контроля над сетью. Подбирая пароли, обнаруживая открытые порты и повышая права доступа до уровня администратора, вы на практике усвоите, в чем заключаются сетевые уязвимости и как ими воспользоваться.
🧩 Софт для чтения.
#Пентест #RU #ИБ
🗺 Security Certification Roadmap.
• Онлайн-карта, которая охватывает всевозможные сертификации в ИБ и на текущий момент включает в себя 473 сертификата с указанием ссылок и стоимости: https://pauljerimy.com/security-certification-roadmap/
#infosec #ИБ
Так выглядела первая серверная стойка Google в 1999 г. На данный момент стойка расположена в музее. Подробности — тут.
#Разное
🔍 Как мигрировать в облако по-человечески: новый выпуск подкаста «Безопасно говоря»
Во втором эпизоде подкаста «Безопасно говоря» от Yandex Cloud обсудили, какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трех-пяти лет — облако или on-premise — и что из этого в реальности безопаснее.
А еще поговорили с гостями из СДЭК и «Азбуки вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников, и о многом другом.
🎧 Слушайте на Яндекс Музыке
💻 Смотрите на YouTube
📚 Mastering Active Directory.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.• Install, protect, and manage Active Directory Domain Services (Windows Server 2022).• Design your hybrid identity by evaluating business and technology requirements.• Automate administrative tasks in Active Directory using Windows PowerShell 7.x.• Protect sensitive data in a hybrid environment using Azure Information Protection.• Learn about Flexible Single Master Operation (FSMO) roles and their placement.• Manage directory objects effectively using administrative tools and PowerShell.• Centrally maintain the state of user and computer configuration by using Group Policies.• Harden your Active Directory using security best practices.
🧩 Софт для чтения.
#AD #Windows #Eng
📚 Nmap 7: From Beginner to Pro.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.• NMAP Fundamentals;• Port Scanning Techniques;• Host Scanning;• Scan Time Reduction Techniques;• Scanning Firewalls;• OS Fingerprinting;• Subverting Intrusion Detection Systems;• Nmap Scripting Engine;• Mail Server Auditing;• Scanning for HeartBleed Bug;• Scanning for SMB Vulnerabilities;• ZeNmap GUI Guide;• Server Penetration. 🧩 Софт для чтения.
#Nmap #Eng
🦈 Полный курс по Wireshark.
Часть первая: https://youtu.be/qvj7Uzj8QPY
• Введение;
• Что такое WireShark;
• Немного о протоколоах, айпи и OSI;
• Установка и настройка WireShark;
• Разбор интерфейса;
• Фильтры протоколов, ip, портов;
• Анализ HTTP Пакетов;
• Демонстрация кражи учетных данных;
• WireShark и Linux фаерволл;
• Обнаружение неавторизованного трафика.
Часть вторая: https://youtu.be/j2C0k4DetoY
• Обзор командной строки;
• Аргументы командной строки;
• Захват трафика в файл и его дальнейший анализ;
• Ограничения захвата файлов;
• Фильтры захвата и отображения;
• Обзор режимов сетевых карт;
• Режим мониторинга;
• Расшифровка захваченного трафика;
• Форматирование вывода в файл cls.
Часть третья: https://youtu.be/nkojpdZj4tE
• Извлечение реальной информации (Видео, фото и тд);
• WireShark и Nmap, виды сканирования и количество трафика;
• Стелс-сканирование;
• SSH туннелирование. Захват трафика через интернет. Введение;
• Настройка удаленной машины. Настройка SSH;
• TCPdum установка и настройка захвата;
• Захват трафика с удаленного хоста;
• Установка сервера, админки и клиента;
• Необходимый софт и ОС;
• Установка операционных систем;
• Установка гостевых дополнений, установление SSH соединения с сервером;
• Настройка фаервола на пропуск трафика;
• Захват трафика с машины клиента;
• Запрещаем доступ к определенным ресурсам.
infosec ▪️ #RU #Wireshark
