Ardent101 пишет охуительные статьи по безопасности AD, моё почтение.

@internal_pentest
ardent101.github.io

#подкаст #security #network #pentest #talk #internal

Привет! В эфире шестой (sic!) выпуск подкаста PathSecure. Сегодня наш гость пентестер внутрянки из Ирака - @adhamamaad7. Подкаст полностью на английском языке :)

Затронули множество тем: от детства, первого образования, рэп музыки до опенсорса и самореализации.

В первых комментариях будут шоуноуты. Также оставляйте свои комментарии, ставьте реакции и отправляйте друзьям :)

https://news.1rj.ru/str/pathsecure/303

Митап прошел на 10/10.

Мне очень понравилось. Судя по обратной связи, посетителям тоже зашло. Это мой первый опыт модерирования митапов/конференций. Было очень интересно и забавно.

Интересно тем, что ранее я выступал только в роли слушателя или спикера, а в этот раз я смог выступить с приветственным и заключительным словом, мог управлять сессией вопросов, организовывал и искал спикеров. Забавно тем, что от меня зависел ход проведения мероприятия. Если бы я где-то залажал с таймингами или некорректно себя повёл, то всё пошло бы насмарку. Большая ответственность, но я не чувствовал волнения. Разве что в самом начале.

Большое спасибо ребятам из Спектра за то, что взяли на себя большинство организационных проблем. Без Вашей помощи я бы не справился.

Со времен PermCTF2019 в Перми не было подобных конференций по безопасности и DevTalks прервал затишье. Очень хочу в ближайшем будущем организовывать больше мероприятий посвященных практической безопасности. Пишите в @pathsecure_bot, если хотите помочь.

#talks #privacy #offzone #cryptocurrency

Ееееее, наконец появились записи с конференций 🔥

В ниже по ссылке оба моих доклада про приватность:
1) У стен есть уши, а у домов — глаза. Доклад посвящен теме приватности и анонимности криптовалют. Новичкам будет полезно узнать о принципах работы блокчейна, а продвинутым юзерам — больше об обеспечении собственной приватности. Curiv. Сryptocurrencies and Privacy Аspects

2) Слово «паноптикум» буквально переводится с греческого как «пространство, в котором видно все». Из доклада слушатели смогут узнать про технологии для обеспечения собственной приватности. В основном будут рассмотрены криптографические методы защиты. Curiv. Anti Panopticum & Privacy Problems

Также зацените остальные доклады с других зон. Все они офигенные!

Огромная благодарность организаторам, вы лапочки!
Также благодарю слушателей на моих докладах. Очень приятно было видеть полный зал и кучу вопросов.

Благодарю @wdd_adk за инфу про залитые видосы ❤️

#crypto #education #recomendation

Наверняка среди моих подписчиков есть студенты, которым интересна тема криптографии.

Если бы я был преподом по криптографии, то выдал бы такие темы курсовых:

1. Исследование алгоритмов постквантового шифрования
2. Исследование алгоритмов электронного голосования
3. Исследование алгоритмов хеширования паролей в GNU/LINUX
4. Исследование алгоритмов хеширования паролей в MS Windows
5. Исследование алгоритмом конфиденциальных вычислений
6. Исследование приложений гомоморфного шифрования
7. Исследование приложений алгоритмов доказательства с нулевым разглашением
8. Исследование алгоритмов слепой подписи
9. Исследование механизмов атак на понижение безопасности протоколов
10. Исследование механизмов Chain of Trust в инфраструктуре открытых ключей
11. Исследование механизмов смартконтрактов 

Бтв, оставляйте в комментах темы, которые бы вы предложили студентам.

#recomendation #phishing #pentest #apt #redteam #blueteam

Мой коллега @wdd_adk, автор канала Cyber Security for All, собрал подборку фишинговых писем от различных APT-группировок в одном месте. Полезная инфа как для блютим, так и редтим. Что-то можно взять к себе на вооружение и использовать в реальных проектах по социотехническому тестированию.

А в качестве бонуса хочу поделиться классным инструментом для проведения фишинговых компаний - gophish. Один бинарь на Go для запуска, отличная документация, удобство использования, красивые графики, гибкость настройки - в общем всё необходимое уже под капотом. Советую взять на вооружение.

#recomendation #pentest

Хочу поделиться инфой про канал «Just Security». Личный блог. Люблю личные блоги.

Посвящён пентестам и построению защиты. Автор публикует информацию о ресерчах и трендах кибербезопасности, рассказывает про свой опыт и опыт ребят из компании Awillix. Я сам давно подписан на этот канал и иногда заглядываю.

Среди основных тем:
• техники защиты и взлома различных систем
• новости сферы кибербезопасности
• практические советы и обзоры инструментов
• видосики и мемасики по теме ИБ :)

Вот несколько крутых актуальных постов:

▫️ Познай свой Exchange сервер и OWA (какие недостатки и уязвимости могут существовать в Exchange и OWA)
▫️ С чего начать выстраивать процесс безопасной разработки (этапы и инструменты)
▫️ Как-то раз мы задумались про Endpoint Security (требования для защиты хостов в инфраструктуре)

#video #classes #yt #education

Еще пока не препод, но всё впереди :)

А пока делюсь со всем миром записями своих занятий!
За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать.

На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎

Делитесь видео с друзьями :)
Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.

#self #talk
Сегодня мне посчастливилось выступить с лекцией в стенах родного университета. Рассказывал молодым студентам-ИТшникам про компьютерную безопасность как профессию. Вот решил поделиться своей рефлексией.

Это выступление почему-то отличалось других, настолько привычных мне, ощущалось как-то иначе. В аудитории было ~50 человек и основную часть слушателей составляли студенты 1-2 курса, то есть ребята еще в самом начале своего пути. Но они были настолько активны, откровенны в своих вопросах и эмоциях. Ощущался здоровый интерес ко мне, как к спикеру. И вы не представляете насколько приятно видеть обратную связь в кивках, улыбках и поднятых руках. Одна из ключевых причин для выступлений. Признание.

Возможно, мне уже удалось прокачать навык публичных выступлений до определенного уровня и я могу заражать аудиторию своим позитивным настроем. Для меня публичные выступление - это возможность поделиться опытом, переживаниями, будто рассказать историю в компании товарищей.

В программе выступления я рассказал про свой личный опыт обучения в вузе. Подробный пост можно найти на канале в закрепе. Судя по реакциям ребятам зашло. Я был очень рад этому. Также рассказал о различных направлениях и профессиях в безопасности. Рассказал о CTF соревнованиях и о том, как они повлияли на мою жизнь, и многое другое.

В конце я раздавал мерч. Я выступал от лица компании и мы подготовили индивидуальные заданий. Совсем не сложные. Я был приятно удивлен, что студенты смогли решить 65-70% наших заданий. Это невероятно круто. А после мы мило и приятно пообщались с глазу на глаз, в тесном кругу, без рамок в виде слушатель/спикер. Я получил очень теплые и приятные эмоции от выступления. Надеюсь, я смог дать им заряд мотивации и зажечь в их сердцах огонь.

#vim #obsidian

Начал осваивать obsidian. Несколько месяцев им пользовался, но только в контексте конспектирования лекций. Но вдруг решил начать писать в нем отчеты по пентестам, заметки, ресерчи. Пока изучаю этот инструмент, очень радуют возможности и community плагины. Поделитесь своим опытом использования в комментариях. Очень интересно!

К посту прикрепляю картинку. Вы же знаете ответ на вопрос?

#talk #pentest

10 декабря буду выступать у коллег с темой по внутрянке. Рассмотрим основы :)

Расскажу о том, что делать и куда смотреть. Основная целевая аудитория коллег - это веберы, так что доклад рассчитан на новичков.

Уже через 40 минут, в 18:00 по Мск начинается мой доклад про внутрянку с точки зрения пентестера. Концептуально пробежимся по основным векторам.

Выше мем из слайдов. Люблю мемы :)

UPD: запись доступна по ссылке выше

#ad #pentest #kerberos #crypto

На канале Внутрянка вышла новая статья из цикла по атакам на керберос. На этот раз Автор разобрал PKINIT, расширение протокола Kerberos.

В статье довольно хорошо написано про криптографические основы расширения, и рассмотрены механизмы работы основных атак на PKINIT. Также приведены практические примеры реализации атак. В том числе и популярные ShadowCredentials и PassTheCertificate.

Очень рекомендую ознакомиться. Сам читал на одном дыхании :)

#info #content

Коллега по цеху Inguz опубликовал на канале пост на тему кражи контента без указания авторства.

Полностью согласен с Магой. Кража годного контента без указания авторства - это очень неприятно.

То же самое случилось со мной. Летом этого года моя вручную обновляемая подборка инфосек каналов разлетелась по комьюнити. Было невероятно приятно видеть обратную связь и в целом я люблю делиться инфой.

Но автор канала Gebutcher нагло крадет мою подборку без указания авторства (еще и недавно запостил обновленную версию). Он исключил меня из этого списка и забанил (Магу тоже). Если мои подписчики как-то могут повлиять на автора канала Gebuther, то буду очень признателен. Требую от создателя указания авторства краденых постов.

Расскажите в комментах, если тоже сталкивались с такими случаями.

Всем добра, позитива и свободно распространяемой информации :)

Пруфы:
* мой оригинальный пост с подборкой (13 мая), TGStat
* первая версия краденного поста (21 июня), TGStat
* вторая версия краденного поста (20 ноября), TGStat

С новым годом, котики ❤️

Желаю всем саморазвития, личностного и профессионального роста!

#laws #security #administration #wisdom

Недавно наткнулся на "10 незыблемых законов безопасности" с сайта мелкомягких.

Был приятно удивлен наличию столь простых, но настолько глубинных и мудрых истин:

Закон № 1: Если плохой парень может убедить вас запустить свою программу на вашем компьютере, это уже не ваш компьютер;
Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это уже не ваш компьютер;
Закон № 3: Если у плохого парня есть неограниченный физический доступ к вашему компьютеру, это уже не ваш компьютер;
Закон № 4: Если вы позволите плохому парню загружать программы на ваш сайт, это уже не ваш сайт;
Закон № 5: Слабые пароли разрушают стойкую безопасность;
Закон № 6: Компьютер всегда настолько же безопасен, насколько администратору можно доверять;
Закон № 7: Хранение зашифрованных файлов настолько безопасно, насколько безопасно хранения ключа расшифрования;
Закон № 8: Даже наличие антивируса с устаревшей базой данных лучше, чем отсутствие антивируса;
Закон № 9: Абсолютная анонимность практически нереализуема, будь то в сети или в реальной жизни;
Закон № 10: Технологии не являются панацеей.

И еще более интересно посмотреть на 10 законов безопасного администрирования:

Закон № 1: Никто не верит, что с ними может случиться что -то плохое, пока плохое не случилось;
Закон № 2: Безопасность работает только в том случае, если безопасность удобна;
Закон № 3: Если вы не будете планомерно применять патчи безопасности к вашей сети, то скоро эта сеть перестанет быть вашей;
Закон № 4: Это не очень хорошая практика устанавливать исправления безопасности на компьютере, который не был защищен с самого начала;
Закон № 5: Вечная бдительность - это цена безопасности;
Закон № 6: На самом деле даже сейчас есть кто-то, кто подбирает подобрать угадать ваши пароли;
Закон № 7: Самая безопасная сеть - это хорошо администрируемая сеть;
Закон № 8: Сложность защиты сети прямо пропорциональна ее размерам;
Закон № 9: Безопасность - это не про избегания риска, но управление рисками;
Закон № 10: Технологии не являются панацеей.

Выше мой вольный перевод. Советую обратиться к первоисточникам. Каждый пункт расписан более подробно.

#рeклама #мнение

Несколько раз ко мне в бота обращались потенциальные рекламодатели с просьбой опубликовать рекламу на канале и дать за это деньги. Передомной возник экзистенциальный вопрос.

С одной стороны, я готов рекламировать только годноту и то, что было бы интересно мне самому, но почему я должен брать за это деньги? Раз этот контент годный, то он должен распространяться без коммерческих условий. Думаю, что это работает только с некоммерческими проектами, но я не уверен.

С другой стороны, почему бы и не брать деньги за рекламу, если мне их предлагают? В любом случае рекламить буду только годноту, но дополнительная финансовая поддержка будет мотивировать меня пилить больше качественного контента. Это кажется логичным? Думаю, да.

Но мне интересно и ваше мнение. Как вы считаете? Я должен брать деньги за рекламу? Для меня это немного чуждо и многие партнерские посты я публиковал просто так.

Можете высказать свое мнение в комментариях или в опросе в комментариях

Также можете писать сюда для связи с одменом канала:
@pathsecure_bot

#анонс #ctf

Участвую в организации ивента по безопасности PermCTF23 в Перми.

Также буду спикером с темой по безопасности внутрянки.

Пермяки, регайтесь на конфу по безопасности. А если хотите опробовать свои силы, то регайтесь и на CTF!

Зовите друзей и знакомых :)

Что такое CTF?

#roadmap #security

На roadmap.sh наконец вышла карта для cybersecurity!

Очень приятно видеть некоторые выражения и концепции. Знаком с ~ 90% материалов. А у вас как?

Наконец можно будет скидывать новичкам что-то систематизированное😄

btw, там на сайте еще с десяток карт развития для разных специальностей. Чекните)

UPD: Ссылка на pdf

#password #security #paranoid #recomendation #crypto

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

#pentest #вебинар #info #recomendation

Сегодня в 18 по МСК коллеги из Awillix проведут вебинар на тему пентеста. В программе:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.

Интересно послушать опыт коллег и задать вопросы. Мало кто делится такой информацией. Ранее на канале коллеги публиковались информативные посты из серии "А как не надо делать пентест".