-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
Самый масштабный IT-забегRUNIT пройдет 7 июля в парке «Коломенское».
В этом году организаторы из AGIMA ждут 4000 бегунов и 2000 болельщиков.
Для бегунов будут дистанции от 3 до 25 километров, личный и командный зачет, эстафета и детский забег. Все участники получат стартовый пакет с фирменной футболкой, чипированный номер и медаль!
Для болельщиков: будут активности на все возраста. Например, антистресс-зона, 3D-теннис, фотозоны с быстрой печатью, смузи-бары и д.р.
На RUNIT 2024 точно будут Сибур Диджитал, Авито, Сбер, Тинькофф, Lamoda, РЖД, Wildberries, МТС и др. И это не только IT-спецы, но и владельцы бизнесов.
7 июля, Москва, парк «Коломенское».
Регистрация
Курс-бестселлер "Тестирование веб-приложений на проникновение (WAPT)" стартует 3 июня.
Это на 100% практический курс по пентесту, где вы руками попробуете изученные техники взлома. Лаборатория содержит 65 рабочих + 16 экзаменационных тасков.
ЧТО ВНУТРИ КУРСА:
- нахождение и эксплуатация всех актуальных типов уязвимостей, активный/пассивный фаззинг
- использование техник: SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- применение техник повышения привилегий
- разбор и практика выполнения Client-side атак (XSS, CSRF)
ВЫ ПОЛУЧИТЕ:
- практические навыки как в рабочих задачах, так и в Bug Bounty
- сертификат/удостоверение о повышении квалификации
- трудоустройство/стажировка для лучших выпускников
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
⚠️ Сбор информации с помощью Shodan Metasploit
Сбор информации – важный фактор в тестировании на проникновение.
Чем больше информации о цели вы получите, тем выше шансы проникнуть в систему
👨💻 Если в вас живет дух этичного хакера, вам интересна сфера ИБ, но вы не совсем понимаете, как и с чего начать путь в эту профессию – приходите на стартовую программу «Администратор Безопасности» CyberEd!
Ближайший поток стартует 10 июня.
Программа состоит из 5 курсов и рассматривает следующие темы:
✔️ настройка и администрирование операционных систем на базе Linux, доменной инфраструктуры Windows, сетевого оборудования Cisco;
✔️ развертывание и настройка окружения Active Directory и контроллера домена; настройки сервисов и политик DNS, File Shares, DHCP, GPO
✔️ развертывание инфраструктурных стендов с СЗИ
✔️ моделирование угроз ИТ-инфраструктуры, проектирование безопасной архитектуры сети
✔️ работа с виртуальной инфраструктурой и механизмами виртуализации (VirtualBox, VMWare).
🕑 140 ак. часов.
➡️ Узнать подробнее и оставить заявку
Курс подойдет для широкой аудитории начинающих специалистов в сферах ИБ и ИТ, более опытных специалистов в ИТ и системных администраторов.
Реклама. ОАНО ДПО «ВЫШТЕХ». ИНН: 7703434727. erid: 2VtzqvGBEUT
Заместитель главы Минцифры России Александр Шойтов и гендиректор ГК «Солар» Игорь Ляпунов в рамках ЦИПР объявили победителей третьего Международного киберчемпионата по информационной безопасности
Лидером соревнований стала команда NLMK_SOC (Россия🇷🇺), которая за время решающей битвы не потеряла ни одного балла из 2024.
2 место досталось команде Sink_Hole_Security (Россия🇷🇺). Она завершила соревнование с 2022 баллами.
3 место заняла команда ТуркменТелеком (Туркменистан🇹🇲), которая пришла к финишу с 2015 баллами.
Все три команды получили сертификаты и лицензии на ИБ-решения от организатора чемпионата, ГК «Солар», а также партнеров - «Лаборатории Касперского» и «Кода безопасности».
Команда, занявшая первая место, забирает кубок победителя и сможет бесплатно пройти учения на киберполигоне «Солара»🏆
Как проходил третий Международный киберчемпионат?
🌍Было получено более 180 заявок из 21 страны;
📌Из них в отборочном этапе приняли участие 40 команд из 19 стран;
🏅В финале соревновались 7 команд из России, Туркменистана и Мьянмы;
🛡Решающая битва проходила в формате Red vs Blue. Роль белых хакеров («красных» команд) выполняли специально подготовленные специалисты, а сами финалисты защищали критически важные объекты от их атак в составе «синих» команд.
Реклама. ООО "РТК ИБ" ИНН: 7704356648. erid: 2Vtzqxf5pjm
🤖 Kaspersky: атаки на промышленные системы становятся более сложными и таргетированными
Эксперты центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT сообщают, что общее количество атак на автоматизированные системы управления (АСУ) снизилось по сравнению с первым кварталом 2023 года (с 27,9% до 23,6%), но сами атаки становятся сложнее
Как отмечают специалисты, чем сложнее становятся атаки, тем выше вероятность того, что они смогут нанести более серьезный ущерб, даже если случаются реже.
Фишинг по-прежнему остается одним из самых распространенных способов первоначальной компрометации систем для злоумышленников, которые проводят атаки промышленных объектов
Как ускорить работу с базами данных и структурировать их? SQL! Обрабатывайте данные, анализируйте поведение пользователей, принимайте решения самостоятельно. Волшебство продуктивной работы с базами данных теперь доступно всем на бесплатном мини-курсе по программированию.
Зарегистрируйтесь прямо сейчас и сразу получите первый из 5 полезных материалов: https://epic.st/KEEfl?erid=2VtzqvhGGev
Что будем делать:
— Писать запросы на языке SQL
— Проводить аналитику для бизнеса
— Разрабатывать автоматизированную отчётность в Excel
— Обрабатывать данные в Power Query
— Визуализировать показатели в Excel: создавать красивые графики, диаграммы и отчёты
— Применять инструменты Excel для анализа данных
Спикер Мкртич Пудеян, специалист по анализу данных в «Газпромбанке». Сертифицированный SQL-разработчик от Microsoft.
🎉 Всех участников ждут подарки: персональная карьерная консультация, на которой мы определим ваши сильные стороны и поможем выбрать направление в разработке, 5 полезных статей по SQL и Excel, а также год бесплатного изучения английского языка.
🌟Учитесь с нами — откройте дверь в мир знаний!
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
Когда пентестер начинает тестировать веб-приложение, первый этап — это разведка. Специалисту важно уметь правильно собирать и категоризировать информацию, а также иногда выходить за пределы вводных, которые дал заказчик. Как не ошибиться на этом этапе — расскажут на воркшопе Яндекс Практикума.
→ Бесплатно, 23 мая в 19:00 Мск
Кто рассказывает:
◾️Иван Авраменко
Инженер по кибербезопасности, создатель телеграм-канала про информационную безопасность Kraken_sec и ведущий подкаста «Кверти», автор и преподаватель курса «Специалист по информационной безопасности: веб-пентест» в Практикуме
О чём поговорим:
— зачем вообще нужен первичный сбор информации;
— про инструменты, без которых не обходится ни одно тестирование: dig, whois, ffuf, shodan и другие;
— как провести активную и пассивную разведку.
→ Зарегистрируйтесь на воркшоп
👨🦳 Бывших студентов МТИ обвиняют в хищении 25 млн долларов в криптовалюте
Министерство юстиции США предъявило обвинения двум братьям, бывшим студентам Массачусетского технологического института, которые якобы манипулировали блокчейном Ethereum и украли криптовалюту на сумму 25 млн долларов с помощью «уникальной схемы». Причем сама атака заняла примерно 12 секунд
По мнению властей, хакерская схема братьев была настолько сложной, что «ставит под сомнение саму целостность блокчейна»
«Братья, изучавшие информатику и математику в одном из
самых престижных университетов мира
, предположительно использовали свои специальные навыки и опыт для
взлома и манипулирования протоколами, на которые полагаются миллионы пользователей Ethereum по всему миру
. И как только они привели свой план в действие, ограбление заняло всего 12 секунд», – рассказывает прокурор США Дэмиан Уильямс
🤖 Инструменты и техники пассивного сбора информации
Какими сервисами и программами пользуется жертва? На каких протоколах и портах у нее есть открытые подключения? С кем, как, и когда она общается? Почти все это можно получить из открытых источников
В статье мы рассмотрим популярные инструменты и техники пассивного сбора информации.
В статье будет рассмотрено:
⏺ Определение почтовых адресов
⏺ Поиск по метаданным
⏺ Получение данных о домене
⏺ Получение записи DNS
~ Поиск почтовых серверов
~ Получение адреса NS
~ Передача зоны DNS
⏺ Поиск поддоменов
~ Брутфорс субдоменов
~ DNSMap
⏺ Анализ информации
🗄 Читать статью – линк.
// Не хакинг, а ИБ
😂 Повышаем свою анонимность
Anonsurf – это инструмент, который поможет вам оставаться анонимным, маршрутизируя каждый пакет через ретранслятор TOR.
Когда вы используете Anonsurf для этического взлома, весь трафик вашей системы проходит через прокси-сервер TOR, из-за которого ваш IP-адрес изменяется.
Разработкой Anonsurf занималась команда Parrot Sec (разработчики Parrot OS), это дает ему определенный кредит доверия.
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
Курс для BlueTeam “Реагирование на компьютерные инциденты” стартует 3 июня.
🛡Куратор курса — специалист по РКИ с 5-летним стажем.
ЧТО ВНУТРИ:
- Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
- Анализ записей журналов безопасности и артефактов ВПО
- Реагирование на основе данных из SIEM
- Анализ вредоносных программ
- Оптимизация процесса реагирования на инциденты
- Написание правил для обнаружения ВПО
- Threat Intelligence & Threat Hunting
ВЫ ПОЛУЧИТЕ:
- практические навыки в рабочих задачах РКИ
- уверенность в штатном функционировании систем
- сопровождение и поддержку Академии Кодебай
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
Можно вечно смотреть, как горит огонь, как течет вода и как у кого-то в 487395 раз не получается взломать ваш сервер.
Skillfactory приглашает на бесплатный интенсив «Профессия пентестер. Как стать хакером и не попасть в розыск Интерпола» с 20 по 22 мая в 20:00 мск.
Три дня практики с погружением в профессию:
▪️установите и настроите виртуальный полигон
▪️познакомитесь с инструментами этичного хакера
▪️взломаете свой первый сервер
▪️поймете, как развиваться в этом направлении дальше
Зарегистрироваться бесплатно: https://go.skillfactory.ru/&erid=2VtzqxUx2NV
Реклама. ООО «Скилфэктори», ИНН: 9702009530
❗️ Поисковики по чатам и каналам Telegram
1. TGstat – позволяет искать по чатам и каналам, но для использования просит авторизацию на сайте. Кроме поиска по Telegram, предоставляет много интересной аналитической информации.
2. Telegago – не требует авторизации и выглядит для пользователей поиска Google очень понятно. Может находить картинки, голосовые сообщения, контакты и многое другое
3. Kribrum – бесплатный продукт от крупного сервиса для мониторинга СМИ и медиа. Может использоваться не только для поиска по Телеграм, но и для поиска по другим платформам и социальным сетям.
// Не хакинг, а ИБ
🙁 Взлом. Приемы, трюки и секреты хакеров. Версия 2.0
В сборнике избранных статей из журнала «Хакер» описана технология инжекта шелл-кода в память KeePass с обходом антивирусов, атака ShadowCoerce на Active Directory, разобраны проблемы heap allocation и эксплуатация хипа уязвимого SOAP-сервера на Linux.
Рассказывается о способах взлома протекторов Themida, Obsidium, .NET Reactor, Java-приложений с по-мощью dirtyJOE, программ fat binary для macOS с поддержкой нескольких архитектур.
Даны примеры обхода Raw Security и написания DDoS-утилиты для Windows, взлома компьютерной игры и написания для нее трейнера на языке C++.
Подробно рас-смотрена уязвимость Log4Shell и приведены примеры ее эксплуатации.
Автор: П. Шалин
Год выхода: 2022
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
🤨 Хакер взломал мошеннический колл-центр и предупредил пострадавших об обмане
Хакер под ником NanoBaiter утверждает, что взломал колл-центр мошенников, похитил исходный код их инструментов, а также разослал письма пострадавшим, предупреждая, что они платят большие деньги за фальшивый и бесполезный «антивирус»
Издание 404 Media рассказывает, что такой «самосуд» – это весьма популярный жанр на YouTube, и видео, в которых хакеры взламывают или иным образом нарушают работу мошеннических колл-центров, появляются регулярно и набирают миллионы просмотров
«Всем привет! Если вы видите это письмо, значит, вы стали жертвой поддельной антивирусной компании, известной как Waredot», – гласит письмо, которое NanoBaiter в итоге разослал клиентам компании
🤖 Обнаружение и перечисление поддоменов
Subfinder – этот пакет содержит инструмент обнаружения поддоменов, который обнаруживает действительные поддомены для веб-сайтов с помощью пассивных онлайн-источников.
Он имеет простую модульную архитектуру и оптимизирован для скорости.
Subfinder создан только для одного – пассивного перечисления поддоменов, и он делает это очень хорошо
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
🥷 Физические атаки с использованием хакерских устройств
Книга посвящена физическим атакам на беспроводные сети и компьютеры с использованием самодельных хакерских устройств и защите от них.
Показан способ дампа памяти компьютера при помощи обычной флешки, метод перехвата сетевого трафика посредством зажимов-«крокодилов».
Подробно освещены различные атаки BadUSB, продемонстрирован метод организации несанкционированного доступа к компьютеру при помощи 4G-модема и подключения к локальной сети через хакерское устройство на базе одноплатного компьютера.
Описаны атаки на беспроводные сети и уличные IP-камеры с помощью самодельного устройства Wi-Fi Pineapple.
Продемонстрирован способ атаки на сеть и устройства с использованием дрона, оборудованного одноплатным компьютером.
Описана конструкция защищенного от помех квадрокоптера с управлением по мобильной сотовой сети.
Рассказано о том, как превратить обычный мобильный телефон в «трекер» или хакерское устройство, позволяющее управлять гаражными воротами или шлагбаумами
Автор: А. Жуков
Год выхода: 2023
// Не хакинг, а ИБ
🐈⬛ Использование Netcat в пентесте на Kali Linux
Содержание статьи:
1. Что такое Netcat
2. Сканирование портов с помощью Netcat
2.1 Сканирование TCP с помощью Netcat на Kali Linux
2.2 UDP-сканирование с помощью Netcat на Kali Linux
3. Создание чата в Netcat
4. Сбор информации о хосте
5. Передача файлов с помощью Netcat
6. Обратный шелл с использованием Netcat
6.1 Обратный шелл Linux
6.2 Обратный шелл Windows
Netcat называют «швейцарским ножом хакера», который часто используется в пентестах на Kali Linux.
В этой статье познакомимся ближе с этим полезным инструментом и научимся использовать Netcat на Kali Linux, для сканирования портов, передачи файлов, получения информации о хосте и т.д.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
😈 Атаки на шифрование | WEP/WPA/WPA2
1. Aircrack-ng – Набор инструментов для аудита безопасности Wi-Fi;
2. asleap – Восстановление слабых паролей LEAP (сокращение от "asleep");
3. Fern-wifi-cracker – Инструмент для взлома и восстановления ключей WEP/WPA/WPS и проведения других сетевых атак на беспроводные или проводные сети;
4. hcxtools – Решение для захвата сетевого трафика WLAN и преобразования в форматы hashcat и John the Ripper;
5. kismet-deauth-wpa2-handshake-plugin – Плагин Python для Kismet, выполняющий деаутентификацию для сбора рукопожатий WPA2.
6. pyrcrack – Python-реализация Aircrack-ng.
7. pyrit – Известный крекер WPA, перенесенный из Google.
// Не хакинг, а ИБ
📖 Bash и кибербезопасность: атака, защита и анализ из командной строки Linux
Командная строка может стать идеальным инструментом для обеспечения кибербезопасности.
Невероятная гибкость и абсолютная доступность превращают стандартный интерфейс командной строки (CLI) в фундаментальное решение, если у вас есть соответствующий опыт.
Авторы Пол Тронкон и Карл Олбинг рассказывают об инструментах и хитростях командной строки, помогающих собирать данные при упреждающей защите, анализировать логи и отслеживать состояние сетей.
Пентестеры узнают, как проводить атаки, используя колоссальный функционал, встроенный практически в любую версию Linux.
Авторы: Пол Тронкон, Карл Олбинг
Год выхода: 2020
// Не хакинг, а ИБ
❓ CyberINS — Авторский канал кибер-пентестера, рассказывает как тестировать на проникновение в доступной форме.
— OSINT, СИ, netstalking
— Инструкции по Nessus, Nmap, Metasploit
— Внешнее тестирование // Внутреннее тестирование
— Практика
/channel/cybersec_ins
Специалисты по информационной безопасности тут? Вас уже ждут в Тинькофф!
Безопасность — часть нашего бизнеса, поэтому мы создаем продукты, следуя принципу Security by Design. Мы открыты и защищаем не только себя, но и партнеров. Наша команда болеет за безопасность, использует смелые решения и применяет нестандартные подходы. Если вы готовы добиваться результата с нами, ждем вас в команде!
Откликайтесь на вакансию, а компания не только обеспечит комфортные условия для работы, но и даст возможность воплотить свои идеи в больших ИТ-проектах
Реклама. АО «Тинькофф Банк», ИНН 7710140679
Ежегодная всероссийская независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз нас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB
— Пробив инфраструктуры
— Девайс
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умный колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
Реклама. ООО «Авилликс». erid: 2Vtzqv2Eg5G
📖 Безопасность веб-приложений ASP.Net Core
Приложения ASP.NET Core подвержены риску атак. Существуют конкретные меры, которые помогут избежать взлома.
В книге показаны такие методы защиты веб-приложений ASP.NET Core, как безопасное взаимодействие с браузером, распознавание и предотвращение распространенных угроз, развертывание уникальных API безопасности этого фреймворка.
Приводятся способы написания безопасного кода и примеры с аннотациями, а также полное описание встроенных инструментов безопасности ASP.NET Core.
Рассматриваются реальные нарушения в системе безопасности, включая мошеннические расширения Firefox и кражу паролей в Adobe.
Вы научитесь:
- использовать инструменты и библиотеки для тестирования и сканирования;
- активировать встроенные механизмы безопасности браузеров из ASP.NET;
- пользоваться преимуществами API безопасности .NET и ASP.NET Core;
- управлять паролями, чтобы свести к минимуму ущерб от утечки данных;
- надежно хранить секретные данные приложения.
Автор: Кристиан Венц
Год выхода: 2023
// Не хакинг, а ИБ
😂 Хакер похитил данные 49 млн клиентов Dell
На прошлой неделе компания начала рассылать пользователям сообщения, в которых предупреждала, что портал Dell, содержащий информацию о покупках клиентов, был взломан.
«В настоящее время мы расследуем инцидент, связанный с порталом Dell, который содержит БД с ограниченными типами данных, связанных с покупками клиентов в Dell, – говорится в уведомлении. – Мы полагаем, что, учитывая тип информации, значительного риска для наших клиентов нет».
В компании подчеркнули, что похищенная информация
не содержит финансовых и платежных данных, адресов электронной почты или номеров телефонов
❗️ Сколько стоит пробить человека
В статье речь пойдет о том, как киберпреступники, за которыми закрепилось название «пробивщики» могут пробить человека по номеру телефона, банковским реквизитам, ФИО и даже по фотографии
«Пробив» – это противоправная услуга, с помощью которой злоумышленники получают из закрытых баз данных информацию о конкретном человеке или организации.
Существование такого предложения было бы невозможно без инсайдеров – сотрудников, у которых есть доступ к нужной информации для выполнения служебных обязанностей.
Всем привет! На связи админ.
Открываю свой блог на день, для всех желающих. Рассказываю про бизнес в телеграм, делюсь инсайдами, показываю цифры и статистику.
/channel/+0kUt3eLhENo1YThi