-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
Говорят, за время работы у безопасников глаз становится намётан на различные уязвимости в системах. Что ж, проверим эту способность на деле!
Становитесь за конвейер безопасности в игре МТС RED и не дайте уязвимым устройствам проехать дальше. Удачи: https://tprg.ru/QwNE
Реклама, ПАО «МТС», erid: LjN8KYcHM
🤖 Платформы для проверки и улучшения навыков белого хакеринга
1. CTF365 - подойдёт профессионалам в области безопасности, которые хотят приобрести наступательные навыки, или системным администраторам, заинтересованным в улучшении своих защитных навыков.
2. OVERTHEWIRE - подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта.
3. HACKING-LAB - предоставляют задачи CTF для European Cyber Security Challenge, но они также проводят на своей платформе регулярные соревнования, в которых может участвовать каждый.
4. PWNABLE.KR - данная площадка фокусируется на pwn-задачах, подобных CTF, суть которых заключается в поиске, чтении и отправке файлов-флагов, которые есть в каждой задаче.
5. HACK THIS SITE - бесплатный сайт c варгеймами для проверки и улучшения ваших навыков белого хакинга. На нём можно найти множество хакерских задач в нескольких категориях, включая базовые задачи, фрикинг, JavaScript, форензику, стеганографию и т.д.
// Не хакинг, а ИБ
⚠️ Самые горячие новости инфобеза за февраль 2024 года
Последний зимний месяц отгремел, так что подводим его итоги. Главным событием, безусловно, стал масштабный перехват инфраструктуры LockBit, нанёсший группировке удар, от которого у неё немного шансов оправиться.
BlackCat также наделала шуму в США, положив платёжную систему в здравоохранении, что вылилось в экзит-скам и уход группировки с рансомварь-сцены в начале марта.
Помимо этого, февраль отметился редким зверем — масштабной утечкой внутренней кухни китайской ИБ-фирмы i-SOON, крупным взломом AnyDesk и парой громких киберпреступных имён в контексте их судебных дел.
Об этом и других горячих ИБ- событиях самого холодного месяца года читайте под катом!
🗄 Читать статью – линк.
// Не хакинг, а ИБ
ChatGPT 4 Turbo и Midjourney уже доступны в телеграм и могут помочь в:
✅Поиске и исправлении ошибок в коде
✅Объяснении сложной логики
✅Автоматизации задач
✅Работа в телеграм боте или на сайте
Подключись сегодня, чтобы получить скидку 70% на Premium тариф
Попробуй бесплатно t.me/RussiaChatGPTBot
Реклама. ИП Смирнов Герман Анатольевич. ИНН 702281658934. erid: LjN8JvPAW
📖 «Аудит безопасности информационных систем»
В этой книге рассматриваются методы обхода систем безопасности сетевых сервисов и проникновения в открытые информационные системы.
Информационная безопасность, как и многое в нашем мире, представляет собой медаль с двумя сторонами.
С одной стороны, мы проводим аудит, ищем
способы проникновения и даже применяем их на практике, а с другой — работаем над защитой.
Тесты на проникновение являются частью нормального жизненного цикла любой ИТ-инфраструктуры,
позволяя по-настоящему оценить возможные риски и выявить скрытые проблемы.
Автор: Никита Скабцов
Год выхода: 2018
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
📨 Сколько стоит взломать почту: небольшой анализ рынка хакеров по найму
Взлом почтового ящика в терминологии ИБ считается «таргетированной» или «целевой» атакой.
Такими вещами занимается государственная разведка вроде АНБ и ГРУ, но есть и черный рынок услуг для простых смертных, где можно заказать взлом любого ящика за скромную плату.
Это рынок «хакеров по найму» (hack-for-hire).
Он активно процветает в РФ, поскольку здесь, в отличие от западных стран, за такие мелкие преступления не грозит уголовная ответственность.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
💻 Burp Suite | Тестирование веб-приложений.
Burp Suite — это интегрированная платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах.
Содержит интуитивно понятный интерфейс со специально спроектированными табами, позволяющими улучшить и ускорить процесс атаки.
Сам инструмент представляет из себя проксирующий механизм, перехватывающий и обрабатывающий все поступающие от браузера запросы.
В видео будут показаны:
⏺ Краткое руководство Burp Suite
⏺ Основы языка SQL
⏺ Установка бэкдора на сервер
⏺ Программу SQLMap для более детального тестирования
// Не хакинг, а ИБ
🤖 Создаем Deepfake и подделываем голосовые сообщения
Если вы хотите создавать видео Deepfake, Voice.ai является одним из лучших бесплатных программных вариантов для смены голоса.
Вы можете использовать его, чтобы изменить свой голос или создать видео Deepfake с голосами любых людей, к примеру знаменитости или даже вымышленные персонажи из мультсериалов.
😂 Его можно использовать для создания видео людей, которые говорят то, что они никогда не говорили.
С нашим бесплатным глубоким поддельным голосом вы сможете изменить свой голос в любом видео или аудиоклипе.
🔒 Vimana | Платформа безопасности
Vimana – это модульная система безопасности, предназначенная для аудита веб-приложений Python с использованием различных, а иногда и необычных подходов.
Vimana состоит из сканеров, ориентированных на фреймворки (в дополнение к универсальным для Web), трекеров, discovery, fuzzer, parser и других типов модулей.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
🐱 Как начать работать с GitHub
Сайт github.com позиционируется как веб-сервис хостинга проектов с использованием системы контроля версий git, а также как социальная сеть для разработчиков.
В статье постараемся показать, как можно быстро начать экспериментировать с git, используя сайт github.com.
В статье не будут рассмотрены различия между разными DVCS. Также не будет детально рассматриваться работа с git, по этой теме есть множество хороших источников, которые я приведу в конце статьи.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
Душа питона - узнавай новое о нейросетях первым.
Все трясешься в ожидании, когда нейронки тебя заменят?
👉🏻Вместо того, чтобы подписаться на Душа питона и узнать, как обернуть технологии в свою пользу?
Расскажем как другие решают с помощью ИИ свои рутинные задачи.
Можно смотреть и дальше, а можно взять и облегчить свою жизнь и работу с помощью нейросетей!
Присоединяйся, чтобы быть в курсе всех новостей в области искусственного интеллекта.
✋ Решаем задачи с DiceCTF 2024 Quals
DiceCTF – соревнование по кибербезопасности от DiceGang
В начале февраля команда DiceGang провела квалификацию DiceCTF 2024 Quals.
Это был Jeopardy-турнир длительностью 48 часов. Он состоял всего из пяти направлений: crypto, misc, pwn, rev и web.
Под катом расскажем, решение нескольких задач из последней категории.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
🐱 PNLS | Sniffer для разведки и захвата SSID
PNLS (Preferred Network List Sniffer) – это инструмент аудита Red Team Wi-Fi с простым веб-интерфейсом, который способен перехватывать SSIDs из списка предпочтительных сетей устройства (PNL).
Это достигается путем обнаружения зондирующих запросов в непосредственной близости, которые затем анализируются на наличие SSID и другой информации и, наконец, передаются в веб-интерфейс.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
Хочешь быть в центре ИТ-событий? Присоединяйся к нам!
Наша ИТ-компания ищет талантливых специалистов для работы в масштабных и интересных проектах. Будь в курсе новостей — подписывайся на наш Telegram-канал, где мы делимся инсайдерской информацией о вакансиях, трендах и возможностях карьерного роста в ИТ-индустрии. Присоединяйся к нам и стань частью динамичного мира технологий.
https://tglink.io/722faa6d0463
Реклама. ООО "ЭЙТИ КОНСАЛТИНГ". ИНН 7715744096. erid: LjN8KMZX8
📖 «Kali Linux. Библия пентестера»
В книге есть все об инструментах и способах, которыми пользуются хакеры при взломе систем.
Вы научитесь выстраивать надежную защиту от несанкционированного доступа к виртуальным
ресурсам.
Вне зависимости от уровня подготовки и начинающий, и практикующий пентестер
почерпнет важные для себя сведения.
Пентестеры должны в совершенстве знать Kali, чтобы эффективно выполнять свои обязанности.
🖥 Microsoft обвиняет российских хакеров в краже исходного кода
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации. Впервые об этой операции Midnight Blizzard заговорили в январе 2024 года. Тогда техногигант жаловался на APT-атаку, нацеленную на электронную почту как руководящего, так и обычного штата.
Теперь Microsoft разместила в блоге запись следующего содержания:
«За последние недели мы нашли доказательства использования информации, похищенной из наших систем, для получения несанкционированного доступа. Эту информацию используют члены группировки Midnight Blizzard».
«Есть свидетельства того, что злоумышленники получили доступ к нашим репозиториям с исходным кодом, а также некоторым внутренним системам. На сегодняшний день нет признаков компрометации систем взаимодействия с клиентами».
📖 «Python для хакеров. Нетривиальные проекты и задачи»
Книга делает упор на реальные проекты, так что от экспериментирования с синтаксисом вы сразу перейдете к написанию полноценных программ.
Развивая свои навыки разработки на Python, вы будете проводить научные опыты, изучать статистику и решать задачи, которые не давали покоя гениям на протяжении многих лет, и даже займетесь обнаружением далеких экзопланет.
Каждая глава начинается с четко поставленной цели и обсуждения способов решения задачи. Далее следует собственно миссия и стратегия действий, построенная таким образом, чтобы вы научились мыслить как программист.
Вы будете руководить спасательной операцией береговой охраны, спланируете и осуществите
полет космического корабля на Луну, реализуете ограничение доступа в секретную лабораторию с помощью распознавания лиц и не только это.
• Читать книгу – линк.
// Не хакинг, а ИБ
🐱 SpiderFoot | Инструмент автоматизации OSINT
SpiderFoot - это инструмент автоматизации разведки с открытым исходным кодом (OSINT).
Он интегрируется практически со всеми доступными источниками данных и использует ряд методов анализа данных, что упрощает навигацию по этим данным.
Есть три главных сферы, где может быть полезен SpiderFoot:
1. Если вы тестер на проникновение, SpiderFoot автоматизирует стадию сбора информации по цели, даст вам богатый набор данных чтобы помочь вам определить направления деятельности для теста.
2. Для понимания, что ваша сеть/организация открыта на показ для внешнего мира. Эта информация в плохих руках может представлять значительный риск.
3. SpiderFoot также может быть использована для сбора информации о подозрительных вредоносных IP, которые вы могли видеть в ваших логах или получили через каналы разведки угроз.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
😂 Хакеры из Mogilevich, заявили о взломе Epic Games, но всё не так просто
На прошлой неделе Mogilevich сообщили, что хакнули компанию Epic Games, похитив 189 ГБ данных, включая email-адреса, пароли, полные имена, платежные данные, исходные коды и так далее.
Теперь Cyber Daily сообщает, что вся активность Mogilevich, похоже, была мошенничеством. Дело в том, что группировка сделала вид, будто публикует украденные у Epic Games данные, но вместо информации по ссылке было опубликовано следующее заявление:
«Возможно, вы задаетесь вопросом, зачем все это, и сейчас я все вам объясню. На самом деле мы не ransomware-as-a-service («вымогатель-как-услуга»), а профессиональные мошенники. Ни одна из баз данных, перечисленных в нашем блоге, не была взломана. Мы воспользовались громкими именами, чтобы как можно быстрее получить известность, но не для того, чтобы прославиться и добиться признания», — пишут стоящие за Mogilevich люди.
«Теперь главный вопрос: зачем? Зачем признаваться во всем, если можно просто сбежать? Это сделано для того, чтобы проиллюстрировать суть нашей аферы.
Мы считаем себя не хакерами, а скорее преступными гениями
, если нас можно так назвать», — заявили Mogilevich.
⚡️ Отус приглашает 7 марта в 20:00 по мск на бесплатный вебинар "Важность защиты информации от утечки в современных реалиях"
Вебинар является частью полноценного онлайн-курса «Защита данных от утечек. DLP-системы» от Отус.
➡️ Регистрация на вебинар: https://otus.pw/nLwmL/?erid=LjN8KYaJa
На вебинаре мы разберем:
✅ как происходит утечка информации
✅ кто больше всего подвержен утечке
✅ какие бывают внутренние и внешние угрозы
✅ какие могут быть последствия
✅ как защититься
Записывайтесь на вебинар сейчас, а мы потом напомним. Участие бесплатно.
Начинается курс “Реагирование на компьютерные инциденты”
0% воды / 100% практический опыт реагирования на компьютерные инциденты:
- методика обнаружения вредоносного ПО
- защита от фишинговых атак
- реагирование на сетевые вторжения
- построение централизованных систем реагирования (SIEM, IDS, IPS, NGFW)
📈 Преимущества для бизнеса:
- уверенность руководителей направлений в спокойном и защищенном функционировании систем
- обучение IT-сотрудников предотвращает эксплуатацию разного рода уязвимостей, формирует понимание векторов угроз организации и снижает вероятность финансовых потерь от взлома
📑 Сертификация:
- После успешной защиты практической работы вы получите Сертификат/удостоверение о повышении квалификации
Пишите нам @Codeby_Academy
или звоните +74994441750
Академия Кодебай - лидирующий образовательный центр по ИБ для профессионалов
📖 «Социальная инженерия и этичный хакинг на практике»
Даже самые продвинутые специалисты по безопасности не смогут предотвратить взлом корпоративных систем, если сотрудники компании разглашают секретные данные или посещают вредоносные сайты.
Эта книга написана известным экспертом в области кибербезопасности и содержит подробное руководство по использованию этичных методов социальной инженерии для поиска слабых мест и уязвимостей в защите организации.
Вы на практических примерах изучите методы, лежащие в основе атак социальной инженерии, и узнаете, как помешать злоумышленникам, которые используют человеческие слабости в своих целях.
Книга адресована как специалистам в области пентестинга и оценки безопасности, так и широкому кругу читателей, желающих повысить уровень личной и корпоративной защиты от современных киберугроз.
Автор: Джо Грей
Год выхода: 2023
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
🖥 45+ IT-компаний ищут стажёров и джунов
Карьерные форумы "Найти IT" — это шанс пообщаться с топовыми компаниями и получить оффер. Среди работодателей будут Сбер, Яндекс, Kaspersky, Avito и многие другие.
Что вас ждёт:
🔹 Мастер-классы, кейсы и Q&A-сессии.
🔹 Розыгрыш призов среди участников.
🔹 Обширное пространство для общения и обмена опытом.
🔹 Карьерные консультации от HR-ов.
Участие бесплатное!
Выбирайте город и регистрируйтесь👇🏻
📍 Москва — 6 марта
📍 Санкт-Петербург — 6 апреля
📍 Новосибирск — 10 апреля
👺 Курс: Social Engineering From Scratch
Чему вы научитесь:
• Сможете взламывать все основные операционные системы.
• Обезопасите себя от хакеров.
• Научитесь делать шаги, что бы успешно взломать цель с помощью социальной инженерии и многое другое.
🗄 Читать курс – линк.
// Не хакинг, а ИБ
📖 «Практический хакинг интернета вещей»
Подробное руководство по атакам на устройства интернета вещей
🐱 Scanbox | Набор инструментов для белого хакинга
Scanners Box, также известный как Scanbox, является мощным набором инструментов автоматизации безопасности с открытым исходным кодом.
В Scanbox собрано более 10 категорий сканеров с открытым исходным кодом от Github, включая поддомен, базу данных, промежуточное программное обеспечение и другой модульный сканер и т. д.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
📖 «Яйцо кукушки. История разоблачения легендарного хакера»
В отличие от плохого танцора, хорошему сисадмину мешают только кукушкины яйца. Их откладывают в его компьютер злобные хакеры, чтобы из них вылупились программы, делающие своего папу-кукушку суперпользователем.
Автор подробно и честно рассказал о том, как смог разоблачить советских кибершпионов.
В отличие от посвященных этой же проблеме американских фильмов, изрядно нашпигованных техническими ляпами, этот документальный детектив без ошибок описывает работу охотников за хакерами.
Автор: Клиффорд Столл
Год выхода: 2022
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
🤖 Natch | Инструмент для анализа поверхности атаки
Natch — это инструмент, использующий динамический анализ, для определения поверхности атаки отдельных приложений и сложных систем.
Для этого исследуемое приложение помещается в виртуальную машину, которая запускается под контролем Natch.
Виртуальная машина немного усложняет работу, но зато так можно анализировать системы, где обычный отладчик не справится.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
📚 Книга: Аппаратный хакинг — взлом реальных вещей
Книга по аппаратному взлому поможет вам проникнуть внутрь устройств, чтобы показать, как работают различные виды атак, а затем проведет вас через каждый взлом на реальном оборудовании.
// Не хакинг, а ИБ
Чтобы эффективно противостоять кибератакам, нужно быть в курсе основных тенденций киберугроз. В собственном центре исследования киберугроз «Солар» изучает актуальные тактики злоумышленников, а о последних событиях и новых решениях в сфере кибербезопасности рассказывает в своем канале.
Подписывайтесь, и вы узнаете:
- Как (Ex)Cobalt заразило госучреждение вредоносным модулем CobInt
- Какие уязвимости скрывают популярные CMS-системы
- Как будут действовать хакеры в 2024 году
«Солару» есть что рассказать о кибербезопасности, ведь под его защитой данные более 850 компаний и миллионов пользователей.
erid: LjN8KDrfL