Ссылки на ресурсы по прошивке флиппера
1. https://github.com/justcallmekoko/ESP32Marauder/wiki/flipper-zero#firmware-install-options
2. https://flipperzero.one/update
3. https://momentum-fw.dev/
1. https://github.com/justcallmekoko/ESP32Marauder/wiki/flipper-zero#firmware-install-options
2. https://flipperzero.one/update
3. https://momentum-fw.dev/
GitHub
Flipper Zero
A suite of WiFi/Bluetooth offensive and defensive tools for the ESP32 - justcallmekoko/ESP32Marauder
Ну что, хотите классную историю? 😄
Дискрлеймер: не имею ничего против сотрудников таможенного поста, отработали все на отлично.
Если вы заказываете что то из китая, на вашу посылку могут наложить запрет на выпуск, и отправить ее с таможенным уведомлением. Я столкнулся с этим в первый раз, что делаем дальше? Сейчас скажу что будет.
Едем в наше почтовое отделение, посмотреть его можно по трек-номеру на сайте почты России, далее на почте нам говорят что не могут нам выдать посылку дают нам таможенное уведомление и отправляют разбираться на таможенный пост.
Что же, едем на таможенный пост и находим нужное место в самом здании, подходим к окошку и говорим что хотели бы получить наши документы на посылку, протягивая им таможенное уведомление.
Они конечно спросят вас, а что лежит в посылке? Насколько я понял, вся информация что у них есть это только то что посылка под названием Flipper Zero. По моему опыту лучше ответить что там лежит микроконтроллер, а зачем он вам нужен вы опишите им в письменном виде. Но я же не знал этих процедур, поэтому находясь в состоянии непонимания что им от меня нужно начал объяснять что это, женщина которая сидела в окошке естественно не поняла что это такое и отправила меня объясняться уже к главному таможенному инспектору, мило побеседовав он сказал что им нужно изучить информацию о этом устройстве.
Ждем дня 3-4, после чего вам позвонят и предложат проехать на почту с таможенным инспектором для составления акта досмотра. Соглашаемся, выбираем время и день. (Вот тут жирный алерт ребята: При досмотре вашей посылки акцентируйте внимания на полости которые закрывает допустим "двойное дно", обязательно показывайте все это на нагрудную камеру сотрудника, это для вашего блага, не поленитесь).
После досмотра вашей посылки вам скажут когда можно приехать ЕЩЕ РАЗ на таможенный пост.
Едем на таможенный пост прихватив с собой чек об оплате, технические характеристики устройства, и скриншот из магазина в котором вы заказывали ваш девайс, все это распечатайте в полиграфии. После чего вы в письменном виде описываете зачем вам это устройство, заполняете пару бумажек про вес посылки и ее стоимость, доплачиваете около 1000Р прям на посту.
Что я написал в документе про то как я буду его использовать (вкратце) : Данное устройство мне нужно для изучения технологий беспроводной передачи данный (Тут можно перечислить Wifi, RFID, NFC и тд), так же скорее всего пригодится для написание дипломной/курсовой работы.
Если у вас будет шанс пообщаться со старшим таможенным инспектором или начальником поста то рекомендую не упускать такую возможность.
Поздравляю, вам выдают документы на посылку и вы радостные едете на почту забирать своего дельфина) Конец.
С любовью к комьюнити NETRUNNER GROUP❤️
Дискрлеймер: не имею ничего против сотрудников таможенного поста, отработали все на отлично.
Если вы заказываете что то из китая, на вашу посылку могут наложить запрет на выпуск, и отправить ее с таможенным уведомлением. Я столкнулся с этим в первый раз, что делаем дальше? Сейчас скажу что будет.
Едем в наше почтовое отделение, посмотреть его можно по трек-номеру на сайте почты России, далее на почте нам говорят что не могут нам выдать посылку дают нам таможенное уведомление и отправляют разбираться на таможенный пост.
Что же, едем на таможенный пост и находим нужное место в самом здании, подходим к окошку и говорим что хотели бы получить наши документы на посылку, протягивая им таможенное уведомление.
Они конечно спросят вас, а что лежит в посылке? Насколько я понял, вся информация что у них есть это только то что посылка под названием Flipper Zero. По моему опыту лучше ответить что там лежит микроконтроллер, а зачем он вам нужен вы опишите им в письменном виде. Но я же не знал этих процедур, поэтому находясь в состоянии непонимания что им от меня нужно начал объяснять что это, женщина которая сидела в окошке естественно не поняла что это такое и отправила меня объясняться уже к главному таможенному инспектору, мило побеседовав он сказал что им нужно изучить информацию о этом устройстве.
Ждем дня 3-4, после чего вам позвонят и предложат проехать на почту с таможенным инспектором для составления акта досмотра. Соглашаемся, выбираем время и день. (Вот тут жирный алерт ребята: При досмотре вашей посылки акцентируйте внимания на полости которые закрывает допустим "двойное дно", обязательно показывайте все это на нагрудную камеру сотрудника, это для вашего блага, не поленитесь).
После досмотра вашей посылки вам скажут когда можно приехать ЕЩЕ РАЗ на таможенный пост.
Едем на таможенный пост прихватив с собой чек об оплате, технические характеристики устройства, и скриншот из магазина в котором вы заказывали ваш девайс, все это распечатайте в полиграфии. После чего вы в письменном виде описываете зачем вам это устройство, заполняете пару бумажек про вес посылки и ее стоимость, доплачиваете около 1000Р прям на посту.
Что я написал в документе про то как я буду его использовать (вкратце) : Данное устройство мне нужно для изучения технологий беспроводной передачи данный (Тут можно перечислить Wifi, RFID, NFC и тд), так же скорее всего пригодится для написание дипломной/курсовой работы.
Если у вас будет шанс пообщаться со старшим таможенным инспектором или начальником поста то рекомендую не упускать такую возможность.
Поздравляю, вам выдают документы на посылку и вы радостные едете на почту забирать своего дельфина) Конец.
С любовью к комьюнити NETRUNNER GROUP
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍7
Всем доброго утра 🥱
Как то очень очень давно мы писали в одном из постов что если один раз вы купили у нас курс, то к последующим итерациям мы даем бесплатный доступ, то бишь если у вас был приобретён наш прошлый продукт FFPRTT, напишите @netrunner_1G, он проверит подлинность ваших слов, если нужно будет то поднимем платежи и все проверим, не волнуйтесь☺️
Далее, как и писал про возможные задержки связанные с разработкой, релиз платформы у нас отложится, вся информация для вас уже естественно готова, если нужно будет кому то выдать эту инфу до релиза, сделаем.
И последнее о чем хотелось бы предупредить, цена в 16999 будет и после релиза, но таковой она будет неделю - две. Почему было принято такое решение?
Хотим что бы вы потыкали платформу, посмотрели бесплатный WTTS START с самописными тачками, только потом приняли решение о том нравится вам все это или нет, и купили по вкусной цене.
Хотим сказать что не ставим большие ценники потому что нам важно развить комьюнити, и получить хорошие отзывы, негативные тоже важно получить, что бы доделать продукт до идеала, а там видно будет)
С любовью к комьюнити NETRUNNER GROUP❤️
Как то очень очень давно мы писали в одном из постов что если один раз вы купили у нас курс, то к последующим итерациям мы даем бесплатный доступ, то бишь если у вас был приобретён наш прошлый продукт FFPRTT, напишите @netrunner_1G, он проверит подлинность ваших слов, если нужно будет то поднимем платежи и все проверим, не волнуйтесь
Далее, как и писал про возможные задержки связанные с разработкой, релиз платформы у нас отложится, вся информация для вас уже естественно готова, если нужно будет кому то выдать эту инфу до релиза, сделаем.
И последнее о чем хотелось бы предупредить, цена в 16999 будет и после релиза, но таковой она будет неделю - две. Почему было принято такое решение?
Хотим что бы вы потыкали платформу, посмотрели бесплатный WTTS START с самописными тачками, только потом приняли решение о том нравится вам все это или нет, и купили по вкусной цене.
Хотим сказать что не ставим большие ценники потому что нам важно развить комьюнити, и получить хорошие отзывы, негативные тоже важно получить, что бы доделать продукт до идеала, а там видно будет)
С любовью к комьюнити NETRUNNER GROUP
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤5👍5
Написали коллеги, сказали делают платформу для менторов и учеников, попросили закинуть опросник вам, давайте посодействуем 😊
https://docs.google.com/forms/d/e/1FAIpQLSfcHktExj_yai_SgUspk3Hp-Uv7TthDdLT9VF2GFzCLu2wrNg/viewform?usp=sharing
https://docs.google.com/forms/d/e/1FAIpQLSfcHktExj_yai_SgUspk3Hp-Uv7TthDdLT9VF2GFzCLu2wrNg/viewform?usp=sharing
Google Docs
Meerkat code
Добрый день, уважаемые профессионалы в области IT! Наша команда проводит опрос наставников и менторов, чтобы создать удобный, полезный и красивый продукт для поиска и взаимодействия всех специалистов на одной платформе. Опрос займет не более 5 минут.
🤔1
🚨 Опасность SQL-инъекции уже в действии!
🔒 В статье вы узнаете:
- Как работают SQL-инъекции
- Какие символы используются для атак
- Методы защиты от SQL-инъекций
Не дайте хакерам возможности подобраться к вам и вашим данным.
👀 Советуем прочитать нашу статью чтобы узнать больше об этой опасности и методах защиты!
👉 Читать статью
(время прочтения 5 мин)
Вы знаете, что SQL-инъекции могут разрушить всю вашу базу данных за считанные секунды? И как же хакеры используют этот метод чтобы украсть ваши данные? Это уязвимость серьёзная угроза для вашей системы и личных данных.
🔒 В статье вы узнаете:
- Как работают SQL-инъекции
- Какие символы используются для атак
- Методы защиты от SQL-инъекций
Не дайте хакерам возможности подобраться к вам и вашим данным.
👀 Советуем прочитать нашу статью чтобы узнать больше об этой опасности и методах защиты!
👉 Читать статью
(время прочтения 5 мин)
🔥10👍4❤1
🔒 Защити свои данные в интернете!
📱 В новом посте мы поделимся с вами простыми шагами по удалению и защите ваших данных в интернете. 🔐 Узнайте, как закрыть старые аккаунты, настроить конфиденциальность, использовать VPN и многое другое. 🌐
Подробнее в статье по ссылке 📖
(время прочтения 7 мин)
Интернет хранит множество информации о нас, но не всегда мы хотим, чтобы она оставалась доступной.
📱 В новом посте мы поделимся с вами простыми шагами по удалению и защите ваших данных в интернете. 🔐 Узнайте, как закрыть старые аккаунты, настроить конфиденциальность, использовать VPN и многое другое. 🌐
Подробнее в статье по ссылке 📖
(время прочтения 7 мин)
👍10❤🔥4❤4
✨ 2FA: Панацея или Ложное Спасение?
Двухфакторная аутентификация (2FA) — это важный дополнительный уровень защиты для ваших онлайн-аккаунтов.
❗️Некоторые злоумышленники всё же могут обойти 2FA с помощью фишинга, социальной инженерии, или даже простого подбора кода.
Поэтому 2FA — не абсолютное решение всех проблем, но оно всё же значительно повышает уровень вашей защиты. 🔐
⚡️Хотите узнать, как максимально эффективно использовать 2FA и какие дополнительные меры стоит принять для укрепления безопасности ваших данных? 🚀
👉 Читайте нашу статью и узнайте больше! 📖
(время прочтения 4 мин)
Двухфакторная аутентификация (2FA) — это важный дополнительный уровень защиты для ваших онлайн-аккаунтов.
Она требует не только ввода пароля, но и второго фактора, такого как код из SMS или приложение. Да, это значительно усложняет задачу хакерам, но является ли 2FA настоящей панацеей? 🤔
❗️Некоторые злоумышленники всё же могут обойти 2FA с помощью фишинга, социальной инженерии, или даже простого подбора кода.
Поэтому 2FA — не абсолютное решение всех проблем, но оно всё же значительно повышает уровень вашей защиты. 🔐
⚡️Хотите узнать, как максимально эффективно использовать 2FA и какие дополнительные меры стоит принять для укрепления безопасности ваших данных? 🚀
👉 Читайте нашу статью и узнайте больше! 📖
(время прочтения 4 мин)
👍6❤3
🔗 Погружаемся в мир сетей: Что такое модель OSI? 🌐
Как ваш компьютер понимает другие устройства в сети? 💻🧐 Ответ на этот вопрос кроется в модели OSI — важнейшей структуре, которая делит процесс передачи данных на 7 уровней.
В нашей статье мы простыми словами рассказываем, как устроена модель OSI и почему она так важна для всех нас.
👉 Читайте статью для лучшего ознакомления
Как ваш компьютер понимает другие устройства в сети? 💻🧐 Ответ на этот вопрос кроется в модели OSI — важнейшей структуре, которая делит процесс передачи данных на 7 уровней.
🎯 Как эти уровни взаимодействуют между собой? Как они помогают вам оставаться на связи и защищают ваши данные? 🔐
В нашей статье мы простыми словами рассказываем, как устроена модель OSI и почему она так важна для всех нас.
👉 Читайте статью для лучшего ознакомления
🔥7❤2
🖥 Что за зверь такой Docker и зачем он нужен? 🐳
Когда приложение отлично работает на вашем компьютере, но не хочет запускаться на других устройствах — это может раздражать, верно? 😅 Тут на помощь приходит Docker!
🎯 Если хотите узнать как работает Docker, и чем контейнеры отличаются от виртуальных машин, советуем прочитать нашу статью по ссылке снизу 👇
*тык*тык*тык*
(время прочтения 4 мин)
Когда приложение отлично работает на вашем компьютере, но не хочет запускаться на других устройствах — это может раздражать, верно? 😅 Тут на помощь приходит Docker!
Он позволяет упаковать приложение в контейнер, который будет одинаково работать где угодно.
🎯 Если хотите узнать как работает Docker, и чем контейнеры отличаются от виртуальных машин, советуем прочитать нашу статью по ссылке снизу 👇
*тык*тык*тык*
(время прочтения 4 мин)
👍9❤5🔥2
🌐 Сети могут казаться сложными и запутанными, особенно если не знаешь, как применять знания на практике. Но даже простой вопрос, например, «Что происходит, когда мы вводим в браузере google.com?» может раскрыть всю магию сетевых взаимодействий!
Разбираясь в этом процессе шаг за шагом, вы увидите, как работают ключевые элементы сети, от DNS до протоколов передачи данных. 🚀
Ссылка на статью 👈
Разбираясь в этом процессе шаг за шагом, вы увидите, как работают ключевые элементы сети, от DNS до протоколов передачи данных. 🚀
Ссылка на статью 👈
👍9❤🔥1🔥1
Все уже задают вопросы про платформу🤔 .
Платформа вышла но не без проблем, сейчас мы заняты фиксом критических багов без исправления которых полноценный выход платформы невозможен. В скором времени, на протяжении недели, вы сможете пройти демо версию нашего курса она полностью бесплатная👌 . Так же вы сможете оценить платформу и дать честный отзыв, будем крайне благодарны.
Во время этого будет проходить “Багхантинг” Система. За каждый найденный баг мы будем награждать вас бонусом в виде скидки на наши продукты🤑 .
Так же будем принимать предложения и пожелания, будем рады вас видеть на нашей платформе❤️ !
Платформа вышла но не без проблем, сейчас мы заняты фиксом критических багов без исправления которых полноценный выход платформы невозможен. В скором времени, на протяжении недели, вы сможете пройти демо версию нашего курса она полностью бесплатная
Во время этого будет проходить “Багхантинг” Система. За каждый найденный баг мы будем награждать вас бонусом в виде скидки на наши продукты
Так же будем принимать предложения и пожелания, будем рады вас видеть на нашей платформе
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥13👍6🔥6
Наш внутренний отчет)
То что готово:
1) Тесты (Создание тестов, решение, проверка и включение в общий рейтинг)
2) Статьи (Создание, просмотр статей привязка к видео (пока на vkvideo))
3) Практики (Создание практик, решение, проверка ответов)
4) Курсы (создание курсов, добавление людей на курсы)
5) Модули (Создание, редактирование, добавление и редактирование статей, тестов, практик)
6) Рейтинг (Общий рейтинг, Рейтинг по курсу)
В работе:
1) Формы регистрации, авторизации (изначально планировалось использовать сторонний сервис для регистрации и авторизации клиентов но как оказалось он подводит)
Запланировано:
1) Загрузка с vkvideo rutube
То что готово:
1) Тесты (Создание тестов, решение, проверка и включение в общий рейтинг)
2) Статьи (Создание, просмотр статей привязка к видео (пока на vkvideo))
3) Практики (Создание практик, решение, проверка ответов)
4) Курсы (создание курсов, добавление людей на курсы)
5) Модули (Создание, редактирование, добавление и редактирование статей, тестов, практик)
6) Рейтинг (Общий рейтинг, Рейтинг по курсу)
В работе:
1) Формы регистрации, авторизации (изначально планировалось использовать сторонний сервис для регистрации и авторизации клиентов но как оказалось он подводит)
Запланировано:
1) Загрузка с vkvideo rutube
❤🔥16❤1
Forwarded from white2hack 📚
Это наша супер старая версия курса, берите изучайте пока мы платформу пинаем)
🔥13
Отчет v2
То что готово:
+ Тесты (Создание тестов, решение, проверка и включение в общий рейтинг)
+ Статьи (Создание, просмотр статей привязка к видео (пока на vkvideo))
+ Практики (Создание практик, решение, проверка ответов)
+ Курсы (создание курсов, добавление людей на курсы)
+ Модули (Создание, редактирование, добавление и редактирование статей, тестов, практик)
+ Рейтинг (Общий рейтинг, Рейтинг по курсу)
+ Загрузка с vkvideo rutube
Почти сделано:
+ Формы регистрации, авторизации (изначально планировалось использовать сторонний сервис для регистрации и авторизации клиентов но как оказалось он подводит)
Походу не долго осталось)
То что готово:
+ Тесты (Создание тестов, решение, проверка и включение в общий рейтинг)
+ Статьи (Создание, просмотр статей привязка к видео (пока на vkvideo))
+ Практики (Создание практик, решение, проверка ответов)
+ Курсы (создание курсов, добавление людей на курсы)
+ Модули (Создание, редактирование, добавление и редактирование статей, тестов, практик)
+ Рейтинг (Общий рейтинг, Рейтинг по курсу)
+ Загрузка с vkvideo rutube
Почти сделано:
+ Формы регистрации, авторизации (изначально планировалось использовать сторонний сервис для регистрации и авторизации клиентов но как оказалось он подводит)
Походу не долго осталось)
🔥17👍2🤔1
Вы сможете получить ранний доступ к бета версии курса и поучаствовать в развитии платформы и проекта NETRUNNER.
важен для нас, мы прислушаемся каждому
сможете поймать их
ВНИМАНИЕ ВЛАДЕЛЬЦАМ КУРСА (FFPRTT) Ныне WTTS участие в бета тесте не ограниченно. После запуска платформы доступ будет выдан к свежей итерации нашего курса по запросу.
Для участия в тестировании зарегистрироваться на платформе - https://nrgroup.pro/ и написать @netrunner_1g.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥11👍8🔥6❤1
Forwarded from Что-то на пентестерском
В 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели
Проблема связана с файлами в папке/ајах/, расположенной в корневой директории сайта:
Эти скрипты используют небезопасную функцию unserialize() в PHР, что позволяет злоумышленникам отправлять вредоносные POST-запросы.
В результате возможен удалённый запуск команд (RCE), а также создание скриптами вредоносных файлов .htaccess, php.ini и с произвольными названиями вида 5af47f5502b6.php
ЧТНП | #веб
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10
Информационная безопасность как рекет: Новый “бизнес” из 90-х 🚬💰
Взглянем в лицо неприятной правде. Сегодня ИБ‑компании всё чаще действуют не как партнеры, а как настоящие “крыши” из лихих 90-х. Вместо реальной защиты — страх, вместо value — зависимость. Не замечали за конкурентами такого поведения?
⛓️ Вот как работает схема:
1️⃣ Сначала “эксперты” выявляют реальную или надуманную угрозу. Демонстрируют бизнесу, насколько всё плохо: “Вы на грани взлома, каждый день без нас — милость судьбы!”
2️⃣ Следом — устрашающий отчёт на сотню страниц с кучей уязвимостей (многие из которых из пылиных учебников). Иногда добивают “спецпрогнозом” по трендам: мол, прямо сейчас вас взломают именно так.
3️⃣ Потом — “волшебное” коммерческое предложение: ежемесячный аудит, подписка на MDR, внедрение своих агентов, обучение персонала и т.д. Всё по принципу “плати, или завтра беда”.
4️⃣ Конечно, клиенту объясняют: без таких мер защищён он только от сохранения денег… а с нами — в “безопасности”.
Почему это работает? 😏
— У владельца бизнеса нет ресурсов и компетенций отличить реальную угрозу от дешёвого шоу.
— CISО зачастую боится брать на себя ответственность за “риски” в бумажках конкурента — проще купить решение навязанное “чужими”.
— На руководителей давит страх: если к ним придёт регулятор/хакер — виноват не консультант, а он сам.
🔍 Пример из практики:
Недавно общался с СISO, которому “контора” навязала ежеквартальные пентесты и постоянный SOC “на аутсорсе”. За полгода отчётов — ни одной реальной доработанной критичной уязвимости. Зато чек “за спокойствие” вырос в два раза, а к безопасности ни у кого реальных претензий нет.
Что делать? 💡
— Трезво оценивайте риски: требуйте обоснование каждой угрозы, не покупайте “плацебо”.
— Проводите независимый аудит — внутренний, либо по методикам с открытым исходным кодом, а не подписывайтесь “на мнение”.
— Не ведитесь на драму: реальная ИБ должна решать проблемы бизнеса, а не создавать их.
Что думаете: приживётся ли “новый рекет” на ИБ‑рынке? Или клиенты начнут разбираться в сути, а не поддаваться страхам? Дайте знать в комментариях👇
#NRG
С любовью к комьюнити NETRUNNER GROUP ❤️
Взглянем в лицо неприятной правде. Сегодня ИБ‑компании всё чаще действуют не как партнеры, а как настоящие “крыши” из лихих 90-х. Вместо реальной защиты — страх, вместо value — зависимость. Не замечали за конкурентами такого поведения?
⛓️ Вот как работает схема:
1️⃣ Сначала “эксперты” выявляют реальную или надуманную угрозу. Демонстрируют бизнесу, насколько всё плохо: “Вы на грани взлома, каждый день без нас — милость судьбы!”
2️⃣ Следом — устрашающий отчёт на сотню страниц с кучей уязвимостей (многие из которых из пылиных учебников). Иногда добивают “спецпрогнозом” по трендам: мол, прямо сейчас вас взломают именно так.
3️⃣ Потом — “волшебное” коммерческое предложение: ежемесячный аудит, подписка на MDR, внедрение своих агентов, обучение персонала и т.д. Всё по принципу “плати, или завтра беда”.
4️⃣ Конечно, клиенту объясняют: без таких мер защищён он только от сохранения денег… а с нами — в “безопасности”.
Почему это работает? 😏
— У владельца бизнеса нет ресурсов и компетенций отличить реальную угрозу от дешёвого шоу.
— CISО зачастую боится брать на себя ответственность за “риски” в бумажках конкурента — проще купить решение навязанное “чужими”.
— На руководителей давит страх: если к ним придёт регулятор/хакер — виноват не консультант, а он сам.
🔍 Пример из практики:
Недавно общался с СISO, которому “контора” навязала ежеквартальные пентесты и постоянный SOC “на аутсорсе”. За полгода отчётов — ни одной реальной доработанной критичной уязвимости. Зато чек “за спокойствие” вырос в два раза, а к безопасности ни у кого реальных претензий нет.
Что делать? 💡
— Трезво оценивайте риски: требуйте обоснование каждой угрозы, не покупайте “плацебо”.
— Проводите независимый аудит — внутренний, либо по методикам с открытым исходным кодом, а не подписывайтесь “на мнение”.
— Не ведитесь на драму: реальная ИБ должна решать проблемы бизнеса, а не создавать их.
Что думаете: приживётся ли “новый рекет” на ИБ‑рынке? Или клиенты начнут разбираться в сути, а не поддаваться страхам? Дайте знать в комментариях👇
#NRG
С любовью к комьюнити NETRUNNER GROUP ❤️
🔥10
Где проходит грань: Red Team vs Криминал ⚖️
Сколько бы ни спорили этичные хакеры и эксперты по безопасности, факт очевиден: твой легальный red teaming заканчивается ровно там, где заканчивается бумажное «добро» от бизнеса. Всё остальное — уже не игра, а повод познакомиться со следователем. Давайте разложим по полочкам, чтобы у всех был чёткий чек-лист, как не пересечь Черту. 🔥
🛡 Красная команда: когда атака работает на бизнес
Жёсткий, агрессивный, но легальный подход. Red team работает по письменному контракту, где прописан scope — что, где, когда можно атаковать. Сценарии согласуются, методики оговорены вплоть до «не трогаем этот сервер» или «не лезем в этот сегмент сети». Границы нарисованы маркером — ни шагу влево, ни шагу вправо.
✔️ Письменное разрешение (договор, письмо, отметка в Jira — не имеет значения)
✔️ Явно согласованный scope
✔️ Чёткий канал связи: вдруг что-то пошло не по плану — команда стопает всё и докладывает
💣 Пример на практике:
Red team атакует внутреннюю сеть банка. По контракту запрещено трогать систему онлайн-банкинга — но команде становится любопытно. Один скрипт в обход, и вот уже доступ к реальным счетам. Даже если вы не украли ни копейки, а просто увидели данные и закрыли доступ — вас уже ждут как минимум «гости» от отдела безопасности, как максимум — представители закона.
💀 Криминал начинается здесь:
Нет договора — всё, точка. Даже если ты «добрая сова» и хочешь просто помочь бизнесу, scan или попытка залезть глубже — это УК РФ 272 ("неправомерный доступ..."). Кому расскажешь геройскую байку, если будут судить за взлом из лучших побуждений? 😏
❌ Нет письменного разрешения
❌ Нарушение scope
❌ Самодеятельность в тестах = чёрный флаг
🔗 Резюмируем — вся суть в формальностях. Твой документ — твой щит, твой чат с заказчиком — твой алиби. Сегодня сфере ИБ оступившись можно один раз — а потом всю карьеру собирать бумажки.
👉 Вопрос к аудитории: сталкивались с ситуацией, когда заказчик намекает «да вы дерзайте, главное результат» — как вы фиксируете границы, чтобы не влипнуть? Какие кейсы из практики были на острие?
#NRG
С любовью к комьюнити NETRUNNER GROUP❤️
Сколько бы ни спорили этичные хакеры и эксперты по безопасности, факт очевиден: твой легальный red teaming заканчивается ровно там, где заканчивается бумажное «добро» от бизнеса. Всё остальное — уже не игра, а повод познакомиться со следователем. Давайте разложим по полочкам, чтобы у всех был чёткий чек-лист, как не пересечь Черту. 🔥
🛡 Красная команда: когда атака работает на бизнес
Жёсткий, агрессивный, но легальный подход. Red team работает по письменному контракту, где прописан scope — что, где, когда можно атаковать. Сценарии согласуются, методики оговорены вплоть до «не трогаем этот сервер» или «не лезем в этот сегмент сети». Границы нарисованы маркером — ни шагу влево, ни шагу вправо.
✔️ Письменное разрешение (договор, письмо, отметка в Jira — не имеет значения)
✔️ Явно согласованный scope
✔️ Чёткий канал связи: вдруг что-то пошло не по плану — команда стопает всё и докладывает
💣 Пример на практике:
Red team атакует внутреннюю сеть банка. По контракту запрещено трогать систему онлайн-банкинга — но команде становится любопытно. Один скрипт в обход, и вот уже доступ к реальным счетам. Даже если вы не украли ни копейки, а просто увидели данные и закрыли доступ — вас уже ждут как минимум «гости» от отдела безопасности, как максимум — представители закона.
💀 Криминал начинается здесь:
Нет договора — всё, точка. Даже если ты «добрая сова» и хочешь просто помочь бизнесу, scan или попытка залезть глубже — это УК РФ 272 ("неправомерный доступ..."). Кому расскажешь геройскую байку, если будут судить за взлом из лучших побуждений? 😏
❌ Нет письменного разрешения
❌ Нарушение scope
❌ Самодеятельность в тестах = чёрный флаг
🔗 Резюмируем — вся суть в формальностях. Твой документ — твой щит, твой чат с заказчиком — твой алиби. Сегодня сфере ИБ оступившись можно один раз — а потом всю карьеру собирать бумажки.
👉 Вопрос к аудитории: сталкивались с ситуацией, когда заказчик намекает «да вы дерзайте, главное результат» — как вы фиксируете границы, чтобы не влипнуть? Какие кейсы из практики были на острие?
#NRG
С любовью к комьюнити NETRUNNER GROUP
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍1