🤠 Этичный хакинг: как взламывать системы и при этом зарабатывать легально

Пентестер — это хакер, который работает полностью легально и в рамках закона.

Суть его работы — поиск уязвимостей в системах безопасности.

👀 В статье вас ждет:

⏺Что грозит хакеру по закону РФ
⏺Пентестер: отличия от хакера
⏺Bug Bounty: как участвовать правильно
⏺Что должен уметь пентестер
⏺Где учиться на пентестера
⏺Рекомендуемые статьи

Пентестер — это одновременно «универсальный солдат» и узконаправленный специалист.

Ему нужно обладать широкими знаниями во многих отраслях программирования и при этом глубокими навыками в одной или нескольких сферах.

🗣 Ссылка на статью

#Tool / Белый хакер

🤖 Практический план обучения

План, чтобы стать успешным инженером по кибербезопасности на основе таких ролей, как Pentest, AppSec, Cloud Security, DevSecOps и так далее, с бесплатными/платными ресурсами, инструментами и концепциями для достижения успеха.

💻 Он будет охватывать, но не ограничиваясь:

⏺ Общий план обучения навыкам безопасности
⏺ План исследования безопасности AWS
⏺ План изучения безопасности GCP
⏺ План обучения по тестированию на проникновение в Интернете
⏺ План тестирования безопасности приложений
⏺ План изучения безопасности API

🗣 Подробнее на GitHub

#Tool / Белый хакер

🚠 Без про-v-ода. Поднимаем точку доступа ловушку, тестируем сети на проникновение

Fluxion - это эффективный инструмент для взлома безопасности Wi-Fi сетей, который позволяет провести атаку и получить доступ к паролю защищенной беспроводной сети.

Этот инструмент предоставляет разнообразные методы взлома Wi-Fi, включая фишинговые атаки, перехват рукопожатия WPA/WPA2, обнаружение уязвимостей в процессе аутентификации и другие способы взлома безопасности Wi-Fi.

🗣 Ссылка на статью

#Tool / Белый хакер

😒 В Госдуме одобрили проект о легализации деятельности белых хакеров

Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.

Сегодня для проведения тестирования защищенности систем российских компаний "белым" хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы.

— поясняли авторы проекта.

Согласно законопроекту, "белые" хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.

🖥 Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей.

#News / Белый хакер

🗺 MindMap бесплатная онлайн-карта разума по пентесту с обучающим материалом на русском 

Mindmap включает в себя инструменты, курсы, дистрибутивы, полезный видеоматериал и многое другое. 

🗣 Ссылка на ресурс

#Tool / Белый хакер

🍏Россиян предупредили об атаках мошенников на пользователей iPhone и Mac

Российских пользователей продукции американской корпорации Apple, в том числе iPhone и Mac, предупредили о серьёзном росте количества фишинговых кибератак, в процессе которых злоумышленники пытаются эксплуатировать уязвимость процедуры сброса учётных данных к Apple ID.

👩‍💻 Об этом накануне рассказало профильное иностранное издание MacRumors, ссылаясь на отчёт компании по кибербезопасности KrebsOnSecurity.

В том случае, если человек случайно нажмёт на кнопку «Разрешить», то злоумышленники будут иметь возможность получить прямой доступ к изменению учётных данных пользователя в Apple ID и последующей блокировки учётной записи.

 #News / Белый хакер

👺 Как стать этичным хакером

В статье предлагается большое количество материала, а также курсов для изучения этичного хакинга.

Хакинг делится на следующие области:

⏺Web-Hacking
⏺Network Hacking
⏺OSINT
⏺Forensic
⏺Anonimity
⏺Reverse Engineering
⏺Социальная инженерия
⏺Application Security
⏺App pentest
⏺Wi-FI Hacking взлом беспроводных сетей
⏺Coding

✒️ В статье будут обозначены:

⏺Linux. Базовое знание системы
⏺Знание сетей, TCP/IP и модели OSI
⏺Английский Язык
⏺Языки программирования
⏺Этичный Хакинг
⏺Книги

↘️ habr.com

#Tool / Белый хакер

🔠 Искусство подбирать чужие пароли

Факторы влияют на наш выбор паролей:

⏺легкость запоминания;
⏺ограничения на выбор пароля, накладываемые системой;
⏺количество людей, использующих данный пароль в своей деятельности.

✒️ Типовые ограничения парольной политики:

⏺длина пароля (обычно не менее 8);
⏺использование символов в различных регистрах;
⏺использование комбинаций букв и цифр;
⏺использование спецсимволов;
⏺запрет на использование предыдущего пароля.

Чтобы придумать эффективную стратегию подбора паролей, этичному хакеру надо постараться залезть в головы пользователей и администраторов.

↘️ habr.com

#Tool / Белый хакер

🪟 Исправлена проблема падения производительности после обновления Windows 11 на ноутбуках с AMD и в Asus Rog Ally

Microsoft исправила проблему с падением производительности после установки обновления Windows 11 на ноутбуках с процессорами AMD и в Asus Rog Ally.

Компания выпустила дополнительное накопительное обновление KB5035942.

🌐 KB5035942 (сборка 22631.3374) — это большой выпуск, поэтому его загрузка, установка и перезагрузка устройства могут занять больше времени, чем обычно.

Несколько пользователей сообщили Windows Latest, что обновление устраняет проблемы с производительностью, вызванные Windows 11 March 2024 Update на системах AMD, включая Asus Rog Ally.

Ранее пользователи жаловались, что после обновления скорость игр не превышает 60 кадров в секунду, и даже старые игры, такие как Doom 2, тормозят.

 #News / Белый хакер

😒 Массовые кибератаки на инфраструктуру РФ активизировали работу над легализацией белых хакеров

Соответствующий законопроект поступил в Госдуму.

В статье представлено мнение Виталия Вехова – эксперт в области информационной безопасности, профессор кафедры "Безопасность в цифровом мире" МГТУ им. Баумана.

↘️ https://smotrim.ru/audio

#News / Белый хакер

🔺 Awesome-cybersecurity-blueteam

Кураторованная коллекция потрясающих ресурсов, инструментов и других блестящих вещей для синих команд по кибербезопасности.

💸 Синие команды по кибербезопасности - это группы людей, которые выявляют недостатки безопасности в системах информационных технологий, проверяют эффективность мер безопасности и контролируют системы, чтобы обеспечить эффективность реализованных защитных мер в будущем.

🗣 GitHub

#Tool / Белый хакер

👩‍💻 Вредоносный код в дистрибутивах Linux

В набор утилит XZ Utils был добавлен бэкдор, который попал в популярные сборки Linux.

Неизвестные злоумышленники встроили вредоносный код в набор утилит для компрессии с открытым исходным кодом XZ Utils версий 5.6.0 и 5.6.1.

Что еще хуже, утилиты с бэкдором успели попасть в несколько популярных мартовских сборок Linux, так что данную закладку можно расценивать как атаку на цепочку поставок.

Уявзимости был присвоен номер CVE-2024-3094.

❗️ Точно известно, что XZ Utils версий 5.6.0 и 5.6.1 попали в мартовские сборки следующих дистрибутивов Linux:

⏺Kali Linux;
⏺openSUSE Tumbleweed и openSUSE MicroOS;
⏺Fedora 41, Fedora Rawhide и Fedora Linux 40 beta;
⏺Debian;
⏺Arch Linux – образы контейнеров.

↘️ Kaspersky.ru

#News / Белый хакер

🪦 «Белым хакерам» откроют доступ к критической инфраструктуре РФ

Комитет Госдумы по информполитике, IT и связи разрабатывает еще один законопроект, направленный на легализацию работы «белых хакеров», сообщает издание Коммерсант.

🔎 В новом законопроекте предлагается внести поправки в ст. 16 ФЗ №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Эти изменения должны разъяснить, на каких условиях компании, включая те, что имеют статус критической информационной инфраструктуры, а также различные государственные органы, могут привлекать к сотрудничеству «белых хакеров» и использовать платформы для тестирования на проникновение, такие как Bug Bounty.

#News / Белый хакер

🧑‍🎓 Книга: Занимайся хакингом как невидимка (2022)

Автор: Спарк Флоу

Эта книга позволит вам примерить на себя роль хакера и атаковать вымышленную консалтинговую фирму Gretsch Politico, чтобы на ее примере изучить стратегии и методы опытных взломщиков.

🤔 Вы узнаете о том, как построить надежную хакерскую инфраструктуру, гарантирующую анонимность в интернете, рассмотрите эффективные приемы разведки, разработаете инструменты взлома с нуля и освоите низкоуровневые функции обычных систем.

Независимо от того, являетесь ли вы профессионалом в области безопасности или просто энтузиастом, это практическое руководство поможет вам научиться проводить реальные хакерские атаки и распознавать скрытые уязвимости облачных технологий.

📔 Книга

#Tool / Белый хакер

🟢 BunkerWeb - это брандмауэр веб-приложений (WAF) следующего поколения с открытым исходным кодом.

Будучи полнофункциональным веб-сервером основанным на NGIX, он защитит ваши веб-сервисы, чтобы сделать их "безопасными по умолчанию".

BunkerWeb легко интегрируется в существующие среды и полностью настраивается, чтобы соответствовать вашим собственным сценариям использования.

👩‍💻 BunkerWeb содержит основные функции безопасности как часть ядра, но может быть легко расширен дополнительными благодаря системе плагинов.

🗣 GitHub

#Tool / Белый хакер

🥷 Курс хакинга – Hacking

Курс хакинга - Hacking - Взлом серверов и сетей - пентест - Международная сертификация OSCP

Очень полезный и простой курс для начинающих по этичному хакингу.

🔎 В данном курсе приведено 134 урока на различные темы этичного хакинга.

🗣 YouTube

#Tool / Белый хакер

😒 Площадки по пентесту в 2024 году.

Пентест — тестирование на проникновение, комплекс мер, которые имитируют реальную атаку на сеть или приложение.

Цель пентеста — понять, может ли гипотетический злоумышленник взломать систему.

🔎 Площадки:

⏺ Exploit Education - множество ресурсов, которые можно использовать для изучения анализа уязвимостей, разработки эксплойтов, отладки программного обеспечения, бинарного анализа и общих вопросов кибербезопасности;

⏺ Hack Me - большая коллекция уязвимых веб-приложений для применения навыков взлома на практике. Все приложения предоставляются сообществом и каждое из них можно запустить «на лету» в безопасной, изолированной песочнице;

⏺ Hacking-Lab - платформа для изучения сетевой безопасности и повышения навыков этичного хакинга. Содержит задания, приближенные к CTF: форензика, криптография, реверс-инжиниринг;

⏺ Enigma Group - содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP.

⏺ CTFlearn - платформа, которая позволяет десяткам тысяч людей учиться, практиковаться и соревноваться.

#Tool / Белый хакер

🌐 Взломать Wi-Fi за 10 часов

⏺WEP (Wired Equivalent Privacy) - Самая первая технология для защиты беспроводной сети оказалась крайне слабой.

Взломать ее можно буквально за несколько минут, используя слабости применяемого в ней шифра RC4.

Основными инструментами здесь служат снифер airodump-ng для сбора пакетов и утилита aircrack-ng, используемая непосредственно для взлома ключа.

Также существует специальная тулза wesside-ng, которая вообще взламывает все близлежащие точки с WEP в автоматическом режиме.

⏺WPA/WPA2 (Wireless Protected Access). Перебор — это единственный способ подобрать ключ для закрытой WPA/WPA2 сети.

Используемые инструменты — aircrack-ng, cowpatty, pyrit.

↘️ habr.com

#Tool / Белый хакер

Саратовский кинодел, 👮‍♀️ ФСБ и 🥷 хакеры: чем закончилась громкая история о торговле американскими картами

Офицер УФСБ «крышевал» пермских кардеров за взятки на 160 млн рублей.

🔨 В Савеловском суде Москвы вынесен приговор участникам преступной группы из Пермского края, которые были признаны виновными в незаконном обороте средств платежей.

Шестеро фигурантов предоставляли желающим данные кредитных карт Visa и MasterCard таких крупных американских банков, как Banc of America, Capital One Banc и Fidelity Information Services.

💳 Эти данные позволяли клиентам осуществлять покупки без ведома настоящих владельцев платежных карт.

#News / Белый хакер

🎩 NIST SP 800: библиотека по информационной безопасности

NIST – (National Institute of Standards and Technology) – американский национальный институт стандартизации, аналог отечественного ГосСтандарта.

В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США.

❗️ В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:

⏺управление информационной безопасностью;
⏺технические вопросы обеспечения информационной безопасности;
⏺криптографическая защита информации.

↘️ habr.com

#Tool / Белый хакер

💻 Поиск по интернету вещей, IP, доменам и поддоменам

⏺Онлайн-сервисы

Shodan — знаменитая поисковая система для сбора информации об устройствах, подключенных к интернету.

Censys Search, GreyNoise, ZoomEye, Netlas, CriminalIp — аналогичные Shodan поисковые системы, ориентированные на IoT.

Buckets by Grayhatwarfar — база данных с общедоступным поиском по открытым AWS Buckets, Azure Blobs, Digital Ocean Spaces.

⏺Утилиты

IVRE — фреймворк для сетевой разведки. Альтернатива Shodan, ZoomEye, Censys и GreyNoise.

OWASP Amass — сетевой сканер с функцией поиска информации в открытых источниках. Агрегирует информацию из десятков различных поисковых систем и баз данных.

Infoooze — инструмент OSINT на базе NodeJs. Объединяет в себе сканер портов и поддоменов, поиск DNS-поиск URL-сканер, поиск в Whois и еще ряд инструментов.

#Tool / Белый хакер