Offensive/Deffensive лаборатория, для тренировки навыков Red/Blue team, проверки работы утилит и навыков пентеста Win/Linux систем. Лаба развертывается в виде Proxmox гипервизора с возможностью добавления тимплейтов. https://ludus.cloud/
👍4
https://paragraph.xyz/@cybred/supply-chain-bug-bounty
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Cybred
Как мы заработали $50 000 на взломе цепочки поставок
В 2021 году я всё ещё был в начале своего пути в наступательной безопасности. Я уже взломал несколько компаний и стабильно зарабатывал на Bug Bounty — этичной практике поиска уязвимостей, за которые исследователи получают денежные вознаграждения. Однако я…
👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Эти уязвимости подпадают под две модели угроз:
1. Уязвимости, которые могут быть использованы любым неаутентифицированным мобильным устройством. Мобильному устройству не нужна SIM-карта, нужно иметь возможность отправлять правильную последовательность модифицированных пакетов в начале сотового соединения (например, с помощью SDR). Традиционно эти атаки были ограничены по области действия устройствами, которые находятся в пределах радиодиапазона атакуемого ядра LTE/5G. Однако с широким распространением услуг Wi-Fi Calling эти же атаки может использовать любой субъект в Интернете, просто отправив несколько пакетов — SIM-карта или оборудование SDR не требуются.
2. Уязвимости, которые может использовать атакующий, имеющий доступ к базовой станции/ядру сотовой связи. Это либо скомпрометированная базовая станция/фемтосота, либо доступ к сети IPsec, используемой базовыми станциями для связи с ядром сотовой связи через неправильную конфигурацию или утечку ключей.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
- Понимание текущих AI-моделей
- Использование и управление
- Сценарии атак
https://josephthacker.com/hacking/2025/02/25/how-to-hack-ai-apps.html
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Содержит фишлеты для:
- MS365 Business
- Outlook Mail
- Okta
- возможность кастомных тимплейтов
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Киберкомандованию США поручено приостановить планирование всех операций, в т.ч. наступательных против России.
Источники сообщили, что приказ не распространяется на Агентство национальной безопасности и его работу по радиотехнической разведке, направленную против России.
https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning
Источники сообщили, что приказ не распространяется на Агентство национальной безопасности и его работу по радиотехнической разведке, направленную против России.
https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning
1👍5
Forwarded from Кибервойна
Военные учёные предлагают создать российские кибервойска
В мартовском номере журнала Минобороны «Военная мысль» вышла статья «Предложения по обоснованию создания кибервойск как нового вида Вооруженных Сил Российской Федерации». Авторы: полковник запаса, доктор военных наук Юрий Стародубцев (Военная академия связи), полковник, доктор военных наук Василий Иванов (Военно-научный комитет Главного управления связи ВС РФ), подполковник, кандидат технических наук Павел Закалкин (Академия ФСО).
Авторы обосновывают необходимость создания кибервойск тем, что другие государства признаю киберпространство пространством ведения военных действий и уже создали аналогичные структуры (прежде всего авторы ориентируются на опыт США):
«Осуществляется милитаризация киберпространства, создаются элементы кибероружия, а в значительном числе технологически развитых государств для действий в киберпространстве на государственном уровне созданы новые структуры, предназначенные для ведения военных действий в киберпространстве и обладающие признаками нового вида вооруженных сил».
Рассуждая о необходимости создать кибервойска, авторы предлагают учитывать такие соображения, как возможный урон от кибератак как военной технике, так и гражданским системам; отсутствие в международном праве понятия «боевые действия в киберпространстве»; отсутствие развитых методов мониторинга фактов воздействия и оценки ущерба в киберпространстве; неприменимость категорий мирного и военного времени к процессу борьбы в киберпространстве.
В статье рассматривается три варианта создания кибервойск:
1) распределение задач, связанных с киберпространством, по существующим видам, родам и специальным войскам (путь, по которому изначально пошли США, где первые структуры появились в ВВС);
2) «слепое копирование чужого опыта» (прежде всего речь о модели Киберкомандования США);
3) по сути, осознанное (не слепое) копирование опыта США с учётом существующей структуры видов ВС РФ.
Начать авторы предлагают со следующих мероприятий:
«В рамках стратегического планирования разработать поэтапный план создания нового вида ВС РФ. На первоначальном этапе определить его цели и задачи, приступить к разработке организационно-штатной структуры. Это позволит подойти к военным конфликтам (войнам) в киберпространстве с более высокой степенью готовности. [...] Оценить возможности перераспределения сил и средств традиционных видов, родов и особенно специальных войск для создания первоначального ядра нового вида ВС с уточнением ранее стоящих задач. Определить высшие учебные заведения, осуществляющие подготовку специалистов для нового вида ВС РФ. Разработать учебные программы и квалификационные требования к ним».
Это уже не первая статья за последние годы, в которых российские военные и внешнеполитические эксперты предлагают более активно действовать в киберпространстве, что свидетельствует о возросшем интересе к проблемам противоборства в этой сфере.
При этом, все эти обсуждения ведутся в довольно абстрактном ключе без учёта существующего российского опыта. Не анализируются не только приписываемые России действия в киберпространстве, но и вполне официальная история создания в войск информационных операций, которая освещалась в 2012-2017 годах (вплоть до сообщений о создании отдельной части в Крыму, задачами которой были названы «нарушение работы информационных сетей вероятного противника и в результате нарушение функционирования его системы управления войсками» и «обеспечение кибербезопасности своих информационных сетей»).
В мартовском номере журнала Минобороны «Военная мысль» вышла статья «Предложения по обоснованию создания кибервойск как нового вида Вооруженных Сил Российской Федерации». Авторы: полковник запаса, доктор военных наук Юрий Стародубцев (Военная академия связи), полковник, доктор военных наук Василий Иванов (Военно-научный комитет Главного управления связи ВС РФ), подполковник, кандидат технических наук Павел Закалкин (Академия ФСО).
Авторы обосновывают необходимость создания кибервойск тем, что другие государства признаю киберпространство пространством ведения военных действий и уже создали аналогичные структуры (прежде всего авторы ориентируются на опыт США):
«Осуществляется милитаризация киберпространства, создаются элементы кибероружия, а в значительном числе технологически развитых государств для действий в киберпространстве на государственном уровне созданы новые структуры, предназначенные для ведения военных действий в киберпространстве и обладающие признаками нового вида вооруженных сил».
Рассуждая о необходимости создать кибервойска, авторы предлагают учитывать такие соображения, как возможный урон от кибератак как военной технике, так и гражданским системам; отсутствие в международном праве понятия «боевые действия в киберпространстве»; отсутствие развитых методов мониторинга фактов воздействия и оценки ущерба в киберпространстве; неприменимость категорий мирного и военного времени к процессу борьбы в киберпространстве.
В статье рассматривается три варианта создания кибервойск:
1) распределение задач, связанных с киберпространством, по существующим видам, родам и специальным войскам (путь, по которому изначально пошли США, где первые структуры появились в ВВС);
2) «слепое копирование чужого опыта» (прежде всего речь о модели Киберкомандования США);
3) по сути, осознанное (не слепое) копирование опыта США с учётом существующей структуры видов ВС РФ.
Начать авторы предлагают со следующих мероприятий:
«В рамках стратегического планирования разработать поэтапный план создания нового вида ВС РФ. На первоначальном этапе определить его цели и задачи, приступить к разработке организационно-штатной структуры. Это позволит подойти к военным конфликтам (войнам) в киберпространстве с более высокой степенью готовности. [...] Оценить возможности перераспределения сил и средств традиционных видов, родов и особенно специальных войск для создания первоначального ядра нового вида ВС с уточнением ранее стоящих задач. Определить высшие учебные заведения, осуществляющие подготовку специалистов для нового вида ВС РФ. Разработать учебные программы и квалификационные требования к ним».
Это уже не первая статья за последние годы, в которых российские военные и внешнеполитические эксперты предлагают более активно действовать в киберпространстве, что свидетельствует о возросшем интересе к проблемам противоборства в этой сфере.
При этом, все эти обсуждения ведутся в довольно абстрактном ключе без учёта существующего российского опыта. Не анализируются не только приписываемые России действия в киберпространстве, но и вполне официальная история создания в войск информационных операций, которая освещалась в 2012-2017 годах (вплоть до сообщений о создании отдельной части в Крыму, задачами которой были названы «нарушение работы информационных сетей вероятного противника и в результате нарушение функционирования его системы управления войсками» и «обеспечение кибербезопасности своих информационных сетей»).
👍4👎2
Последнее время замечен наплыв ботов в комментариях к публикациям в телеграм-каналах, раньше это называлось "первонахи", сейчас это автоматизированные скрипты с нейронкой (на скрине видны типовые паттерны ответов AI) типа этого или продвинутые скреперы/постеры (например с pipet под капотом) и парсингом tgstat по ключевикам.
Возможно, вы не заметили, но интернет "умер" пять лет назад.
👍3
Эксплоит (PoC) позволяет злоумышленникам маскировать вредоносные APK-файлы под видеофайлы, что потенциально приводит к несанкционированной установке вредоносного ПО на устройства пользователей.
EvilLoader манипулирует обработкой видеофайлов в Telegram, позволяя вредоносному приложению автоматически загружаться и выполняться под видом медиаконтента. Когда пользователь пытается воспроизвести одно из этих специально созданных «видео», Telegram предлагает ему открыть файл во внешнем приложении.
Уязвимость в данный момент остается неисправленной в последней версии Telegram для Android 11.7.4.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Бэкдор, который оставался незамеченным в течение нескольких лет, позволяет злоумышленникам получить несанкционированный доступ к устройствам, обходя стандартные механизмы защиты. Это может привести к утечке конфиденциальных данных, удаленному выполнению кода и другим серьезным последствиям.
Эксперты отмечают, что уязвимость связана с реализацией протокола Bluetooth в чипе. Злоумышленники могут использовать этот бэкдор для подключения к устройству без ведома пользователя, что делает атаку особенно опасной.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
С 2025 года Роскомнадзор начал активно направлять владельцам сайтов уведомления о необходимости информировать ведомство об использовании Google Analytics. Это связано с тем, что сервис передает персональные данные пользователей за рубеж, что регулируется законодательством о трансграничной передаче данных.
Чтобы соблюсти требования, необходимо удалить код Google Analytics с сайта и подать уведомление через сайт Роскомнадзора. В течение 10 рабочих дней ведомство рассмотрит заявку и либо разрешит использование сервиса, либо откажет в этом.
Чтобы соблюсти требования, необходимо удалить код Google Analytics с сайта и подать уведомление через сайт Роскомнадзора. В течение 10 рабочих дней ведомство рассмотрит заявку и либо разрешит использование сервиса, либо откажет в этом.
👍2