-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🤨 Киберугрозы 2024: кто атакует бизнес и как их остановить?
— Эксперты SOC «Лаборатории Касперского» проанализировали инциденты, выявленные Kaspersky MDR в 2024 году
⚠️ 3 апреля в 11:00 они в прямом эфире представят результаты анализа, которые легли в основу ежегодного аналитического отчета
Что в программе:
1. Разберем, кто стоит по ту сторону экрана и какие мотивы ими движут
2. Исследуем инструменты злоумышленников, чтобы научиться предугадывать их атаки
3. Познакомимся с практическими методами выявления угроз
После мероприятия всем зарегистрированным участникам станет доступен аналитический отчет на русском языке
📄 Шпаргалка по Crackmapexec
CrackMapExec (CME) – это мультитул для тестирования сетей под управлением Active Directory и Windows
Некоторые возможности CrackMapExec:
⏺перечисление пользователей
⏺индексирование общих папок SMB
⏺выполнение атак в стиле psexec
⏺автоматические инъекции в память с использованием Powershell
⏺дампинг NTDS.dit и другое
⏺незаметен для сканеров безопасности (для дампа учётных данных в простом тексте, инжекта шеллкода и т.д. не загружаются бинарные файлы)
🥷 Обзор защищенных и анонимных Linux-дистрибутивов
Содержание статьи:
⏺Анонимный Linux дистрибутив
⏺Защита
⏺Гибкость развертывания
⏺Простота в работе
— Linux Kodachi
— Subgraph OS
— Tails
— Whonix
— Trusted End Node Security
⏺Документация и поддержка
⏺Состояние разработки
⏺Приложения для защиты
⏺Вердикт
🛢 Инфраструктура «Лукойл» пострадала от атаки шифровальщика
⚠️ Вчера компания Лукойл подверглась хакерской атаке, из-за которой:
⏺пользователи сообщали о проблемах с безналичными расчетами за топливо
⏺сотрудники компании не могли воспользоваться электронными пропусками
⏺охрана запускала людей внутрь после сверки данных вручную
— Проблемы были вызваны атакой шифровальщика, восстановление систем может занять около суток
🗄 Источник – линк.
// Не хакинг, а ИБ
❗️ Вычисляем передвижение iOS устройств
iSniff-GPS – инструмент пассивного сниффинга (прослушивания) для захвата и визуализации данных о местоположении Wi-Fi, раскрытых устройствами iOS
— Утилита отслеживает SSID-зонды, широковещательные пакеты ARP и MDNS (Bonjour), передаваемые близлежащими iPhone, iPad и другими беспроводными устройствами
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
📄 Шпаргалка по Burp Extensions
Burp Extensions – это дополнения к инструменту Burp Suite, которые позволяют расширить его функционал
Некоторые примеры расширений:
⏺HUNT Proxy Extension. Предупреждает о уязвимых параметрах, чтобы пользователь мог проверить их вручную
⏺Burp-vulners-scanner. Определяет уязвимые компоненты веб-приложения и даёт ссылку на описание или эксплоит
⏺Burp Automator. Автоматизирует проверки, используя в качестве основы Burp Suite, slackclient и burp-rest-api
⏺Autorize. Автоматизирует проверки авторизации в веб-приложениях
⏺CO2. Предоставляет различные инструменты и сценарии тестирования для разных уязвимостей безопасности
⏺AuthMatrix. Управляет и визуализирует сложные тесты авторизации
⏺Burp Bounty. Позволяет создавать настраиваемые тесты безопасности и полезные нагрузки
⏺Upload Scanner. Тестирует функции загрузки файлов и выявляет потенциальные уязвимости безопасности в этих функциях
⏺Collaborator Everywhere. Автоматически использует сервис Burp Collaborator во время различных тестов и атак для выявления внешних взаимодействий и уязвимостей безопасности из внешних источников
👁🗨 ИИ открыл двери для массовой прослушки населения
⚠️ Массовое наблюдение открыло эру персонализированной рекламы, а массовый шпионаж сделает эту индустрию ещё популярнее
Информация, о чём говорят люди, об их настроении, секретах – всё это станет лакомым кусочком для маркетологов
— Технологические монополии, которые сейчас держат нас всех под постоянным наблюдением, не смогут удержаться от сбора и использования всех этих данных
🗄 Читать статью – линк.
// Не хакинг, а ИБ
🖥 Обфускация и деобфускация JavaScript
JSFuck – инструмент для обфускации и деобфускации JavaScript
Суть JSFuck – исполнение JavaScript-кода с использованием только шести символов: [, ], (, ), !, и + (другими словами, с помощью JSFuck можно написать JavaScript-код без букв или цифр)
— JSFuck может использоваться для обхода обнаружения вредоносного кода, размещённого на веб-сайтах, например, при атаках с использованием межсайтового скриптинга (XSS)
🗄 Репозиторий на GitHub – линк.
🗄 Официальный сайт – линк.
🗄 Статья на Habr – линк.
// Не хакинг, а ИБ
🪟 Взлом сетевой аутентификации Windows
— В этой статье с помощью программы Responder мы будем перехватывать хеши, используемые при аутентификации в Windows
Мы начнём с практики – с перехвата хеша аутентификации и его расшифровки, благодаря чему получим имя пользователя и пароль в операционных системах Windows
В конце статьи будет дана характеристика способов аутентификации и сетевых служб
🗄 Читать статью – линк.
// Не хакинг, а ИБ
ИБ без фильтров. Полезная конференция для настоящих практиков
Решаете реальные задачи в сфере ИБ? Регистрируйтесь на онлайн-конференцию «ИБ без фильтров».
✅Что будет полезного?
Эксперты обсудят кейсы из собственного опыта и поделятся работающими инструментами:
— чек-листами по правовому регулированию ИБ-инициатив,
— методами планирования и бюджетирования ИБ-инициатив,
— техниками для поиска, найма и развития ИБ-специалистов.
💼 Кому стоит сходить?
Онлайн-конференция будет полезна специалистам по ИБ, руководителям ИБ-отделов, IT-менеджерам, HR-специалистам и владельцам бизнеса.
📝 Какие темы затронем?
1. Как вовлечь в инфобез рядовых сотрудников компании,
2. Как правильно считать и закладывать деньги на ИБ-инициативы
3. Как сочетать многообразие ИБ-решений в одной компании
4. Как обезопасить бизнес по юридическим нормативам,
5. Как сделать так, чтобы ИБ-инициативы не мешали, а помогали бизнесу.
🕑 Когда:
26 марта в 11.00 (МСК)
Кто в спикерах:
— Харитон Никишкин, генеральный директор Secure-T
— Максим Горшенин, блогер, эксперт по импортозамещению в IT
— Ольга Попова, ведущий юрист Staffcop
— Даниил Бориславский, заместитель генерального директора по развитию продукта Staffcop
Не пропустите важное ИБ-событие этой весны, регистрируйтесь на сайте!
Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjdbTAcc
😈Positive Technologies анонсировала продукт для проверки защищенности инфраструктуры в автоматическом режиме — PT Dephaze. Эксперты компании не только рассказали, как работает, зачем придумали и как можно испытать продукт, но и показали его в действии. Опытный пентестер запустил PT Dephaze в прямом эфире и продемонстрировал, как тот находит уязвимые места в тестовой инфраструктуре.
Хотите увидеть, как это было? Запись уже доступна.
🇷🇺«Сталинские Соколы» объявляют первый крупнейший в России турнир «Drone-Con» в номинациях:
- Настройка WiFi
- Пилотирование FPV дронов
- Онлайн стратегия «Битва Дронов»
🕙Когда? 11-13 апреля 2025 года
Заезд участников с 10.04.2025
Приз за выход в 1/8 финала в каждой номинации – 300 000 рублей
За победу в номинации:
🥇I место – 3 000 000 рублей
🥈II место – 2 000 000 рублей
🥉III место – 1 000 000 рублей
Пройди заочный онлайн этап до 1 апреля, и получи возможность попасть на очный этап «Drone-Con»!
Подать заявку и узнать подробности – @dronecon
⚡️ В сети начали массово сливать курсы и книги известных онлайн школ по айти
Вот отсортированная база с тонной материала (постепенно пополняется):
(363 видео, 87 книги) — Python
(415 видео, 68 книги) — Frontend
(143 видео, 33 книги) — ИБ/Хакинг
(352 видео, 89 книги) — С/С++/C#
(343 видео, 87 книги) — Java/QA
(176 видео, 32 книги) — Git/Linux
(174 видео, 91 книги) — DevOps
(167 видео, 53 книги) — PHP/1С
(227 видео, 83 книги) — SQL/БД
(114 видео, 77 книги) — Сисадмин
(107 видео, 43 книги) — BA/SA
(181 видео, 32 книги) — Go/Rust
(167 видео, 43 книги) — Kotlin/Swift
(112 видео, 24 книги) — Flutter
(137 видео, 93 книги) — DS/ML
(113 видео, 82 книги) — GameDev
(183 видео, 37 книги) — Дизайн
(136 видео, 33 книги) — PM/HR
Скачивать ничего не нужно — все выложили в Telegram
🌐 Основные и расширенные сочетания клавиш в Onion Tor Browser
Помимо функций по умолчанию, в Tor есть несколько сочетаний клавиш, которые пользователи могут использовать для улучшения работы и навигации
— В этой статье мы рассмотрим простые и сложные сочетания клавиш для Tor для упрощения и автоматизации работы
🗄 Читать статью – линк.
// Не хакинг, а ИБ
💻 Расширение для эксплуатации уязвимостей WordPress
WPSploit – это дополнительные модули для эксплуатации уязвимостей WordPress с помощью Metasploit
Основная идея – создание и/или портирование эксплойтов под WordPress, в качестве инструмента эксплуатации используется привычный многим Metasploit
— На данный момент имеется 39 модулей: 14 эксплойтов и 25 вспомогательных, которые, как правило, проводят разнообразные сканирования/анализ имеющихся уязвимостей
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
⚡️ Linux теперь в Telegram!
Ребята сделали крутейший канал про Linux, где на простых картинках и понятном языке обучают работе с этой ОС, делятся полезными фишками и инструментами
Подписывайтесь: @linuxos_tg
Как найти слабые места в веб-приложении до того, как их найдут хакеры?
Расскажем на курсе WAPT от Академии Кодебай! Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!
✔️ Каждую неделю — вебинары с куратором! Стартуем 3 апреля. Регистрация здесь.
Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)
Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 🚀 По всем вопросам пишите @Codeby_Academy
🦔 CyberYozh проводит набор на обучение по кибербезопасности
— В условиях растущего дефицита специалистов по ИБ, CyberYozh предлагает комплексную программу обучения для начинающих
Цель курса — подготовить специалистов по трём ключевым направлениям кибербезопасности:
1. Пентестинг (Этичный хакинг): исследование систем на наличие уязвимостей и их эксплуатация
2. SOC-анализ: мониторинг и реагирование на инциденты безопасности в режиме реального времени
3. Инженерия инфраструктуры: проектирование и защита IT-инфраструктуры
🚩Ищите красные флаги — и это не про отношения
Selectel подготовил CTF-задачи для специалистов по кибербезопасности и предлагает вам решить их. Вы потренируете не только навыки криптографии и разработки, но и почувствуете себя настоящим детективом, ведь некоторые задачи закручены хитроумнее, чем преступления в книгах Агаты Кристи.
🔎 Шпионские штучки
Наконец, вам удалось перехватить трафик, в котором должен быть ключ к адресу одной секретной службы. Вы почти у цели, осталось разобрать дамп и следовать верным маршрутом.
🔎 Приглашение на ИБ-вечеринку
Специалисты по ИБ закатили праздник, но без специального ключа на него не попасть. Отыщите этот ключ, пока веселье еще в разгаре!
🔎 Тир на открытом воздухе
Звучит заманчиво, но только не в ветреную погоду. Попробуйте выстрелить точно в яблочко, чтобы получить награду.
Для каждой задачи уже готово решение, так что можно сразу проверить себя.
Реклама. АО “Селектел”, ИНН: 7810962785. ERID: 2VtzquyjGhE
Защищать данные — важный навык! Пройдите бесплатный курс Нетологии, чтобы изучить основы информационной безопасности, найти уязвимости в веб-сервисах и создать свой план развития.
Бесплатный курс Нетологии: информационная безопасность на практике. Найдите уязвимости веб-сервисов, настройте ОС для защиты данных и создайте план развития карьеры.
Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5xR44w2
Bad USB: когда флешка — это оружие
Обычная на вид флешка может оказаться инструментом хакера. Bad USB — это целый класс атак, при котором устройство незаметно эмулирует клавиатуру, вводит команды, перехватывает трафик или устанавливает бэкдоры. Подробнее о том, как это работает, рассказали в карточках.
А если хотите увидеть Bad USB в действии — приходите на наш бесплатный вебинар «Профессия пентестер».
Егор Зайцев разберет эту технику на практике и расскажет, как с помощью флешки можно получить контроль над системой. А также ответит на вопросы, которые волнуют тех, кто хочет зайти в ИБ через пентест:
🔤С чего начать путь в пентест, если у тебя нет опыта?
🔤Можно ли освоить пентест с нуля и сразу найти работу?
🔤Как на самом деле выглядит работа пентестера — мифы vs реальность?
🔤Можно ли зарабатывать на пентесте, работая удаленно?
Встречаемся 26 марта в 20:00 (МСК)
➡️ Регистрируйтесь по ссылке
Реклама. ОАНО ДПО «ВЫШТЕХ» ИНН: 7703434727, erid: 2VtzqumNQ9v
🤨 Роскомнадзор потребовал удалить из Google Play 47 VPN-приложений
⚠️ За последнюю неделю Роскомнадзор направил компании Google запросы на удаление десятков VPN-сервисов из магазина Google Play
Данные о запросах ведомства содержатся в Lumen Database – открытой базе данных, куда Google и другие зарубежные сервисы передают информацию о поступающих к ним запросах на удаление материалов
📄 Шпаргалка по безопасности AJAX
AJAX (Asynchronous Javascript and XML: «асинхронный JavaScript и XML») – технология для веб-разработки, которая позволяет обновлять содержимое страницы без полной перезагрузки
Некоторые преимущества использования AJAX:
⏺снижение трафика (из-за уменьшения объёма передаваемых данных между клиентом и сервером);
⏺уменьшение нагрузки на сервер (не нужно генерировать всю страницу, а только ту часть, которую нужно обновить);
⏺увеличение быстродействия и отзывчивости (нет необходимости в полной перезагрузки страницы, достаточно обновить содержимое только отдельных блоков);
⏺повышение интерактивности (с помощью AJAX можно сразу отображать результаты и сделать ресурс более удобным для пользования).
🤨 Хакеры добрались до ИИ-трейдинга: взлом на $107000
⚠️ Хакеры получили доступ к защищённой панели управления автономной системы aixbt, что привело к краже 55 ETH (около $107000) из кошелька Simulacrum – инструмента для построения модельных портфелей
Aixbt – аналитический ИИ-инструмент для рыночных трендов, доступ к которому предоставляется через покупку токена AIXBT
👴 Взлом Wi-Fi с помощью уязвимостей WPS
Reaver – это утилита для эксплуатации уязвимостей WPS. Она была разработана для брутфорс-атаки на PIN-код WPS, что позволяет злоумышленникам получить доступ к паролю Wi-Fi
Reaver использует алгоритм, который помогает сократить количество комбинаций, необходимых для подбора PIN-кода, за счёт уязвимостей в WPS
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
👁🗨 История тотальной слежки АНБ
⚠️ О самом жарком и показательном примере противостояния властей и поборников приватности мало кто знает, поскольку дело было в США и относительно давно – в начале девяностых
В этой статье автор расскажет об истории конфликта и попытается выявить уроки, которые руководители спецслужб тогда усвоили, но успели позабыть
🗄 Читать статью – линк.
// Не хакинг, а ИБ
☁️ Полное руководство по SSH в Linux и Windows
SSH (Secure Shell) – это сетевой протокол связи, который обеспечивает безопасный метод взаимодействия компьютеров и обмена данными через незащищённую сеть
— Он позволяет авторизованным пользователям удалённо управлять серверами и устройствами, выполнять команды и передавать файлы, сохраняя при этом целостность и конфиденциальность данных
Руководство состоит из 6 разделов:
⏺Что такое SSH. Утилиты SSH
⏺Настройка сервера OpenSSH
⏺Как подключиться к SSH. Настройка клиента OpenSSH
⏺Создание и настройка ключей OpenSSH
⏺Копирование файлов с помощью scp и sftp
⏺Подсказки и сложные случаи использования OpenSSH
🎃 Одна строка кода разрушила работу Exchange Online по всему миру
Компания Microsoft сообщила о сбое в работе сервиса Exchange Online, который длился несколько дней и затронул пользователей по всему миру
⚠️ Инцидент, зарегистрированный под номером EX1027675 в центре администрирования Microsoft 365, был отмечен как критический
— Причиной сбоя стало обновление, которое должно было улучшить работу транспорта сообщений, но в результате была допущена ошибка в коде, приведшая к массовым отказам доставки сообщений
🗄 Источник – линк.
// Не хакинг, а ИБ
💻 Настоящие читы для программистов/разработчиков!
Hacking & InfoSec Base — Самая большая в телеграме библиотека книг по хакингу и ИБ;
Программистика — Лучший канал про Python;
Coding Base — огромное количество полезных ресурсов, репозиториев статей для разработчиков;
GameDev Base — Множество крутых приёмов и лайвхаков для геймдев разработчиков;
IT библиотека — самая крупная коллекция книг по программированию;
🫵 Подпишись и прокачивай свои навыки с невиданной скоростью!