#ad #pentest #kerberos #crypto

На канале Внутрянка вышла новая статья из цикла по атакам на керберос. На этот раз Автор разобрал PKINIT, расширение протокола Kerberos.

В статье довольно хорошо написано про криптографические основы расширения, и рассмотрены механизмы работы основных атак на PKINIT. Также приведены практические примеры реализации атак. В том числе и популярные ShadowCredentials и PassTheCertificate.

Очень рекомендую ознакомиться. Сам читал на одном дыхании :)

#info #content

Коллега по цеху Inguz опубликовал на канале пост на тему кражи контента без указания авторства.

Полностью согласен с Магой. Кража годного контента без указания авторства - это очень неприятно.

То же самое случилось со мной. Летом этого года моя вручную обновляемая подборка инфосек каналов разлетелась по комьюнити. Было невероятно приятно видеть обратную связь и в целом я люблю делиться инфой.

Но автор канала Gebutcher нагло крадет мою подборку без указания авторства (еще и недавно запостил обновленную версию). Он исключил меня из этого списка и забанил (Магу тоже). Если мои подписчики как-то могут повлиять на автора канала Gebuther, то буду очень признателен. Требую от создателя указания авторства краденых постов.

Расскажите в комментах, если тоже сталкивались с такими случаями.

Всем добра, позитива и свободно распространяемой информации :)

Пруфы:
* мой оригинальный пост с подборкой (13 мая), TGStat
* первая версия краденного поста (21 июня), TGStat
* вторая версия краденного поста (20 ноября), TGStat

С новым годом, котики ❤️

Желаю всем саморазвития, личностного и профессионального роста!

#laws #security #administration #wisdom

Недавно наткнулся на "10 незыблемых законов безопасности" с сайта мелкомягких.

Был приятно удивлен наличию столь простых, но настолько глубинных и мудрых истин:

Закон № 1: Если плохой парень может убедить вас запустить свою программу на вашем компьютере, это уже не ваш компьютер;
Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это уже не ваш компьютер;
Закон № 3: Если у плохого парня есть неограниченный физический доступ к вашему компьютеру, это уже не ваш компьютер;
Закон № 4: Если вы позволите плохому парню загружать программы на ваш сайт, это уже не ваш сайт;
Закон № 5: Слабые пароли разрушают стойкую безопасность;
Закон № 6: Компьютер всегда настолько же безопасен, насколько администратору можно доверять;
Закон № 7: Хранение зашифрованных файлов настолько безопасно, насколько безопасно хранения ключа расшифрования;
Закон № 8: Даже наличие антивируса с устаревшей базой данных лучше, чем отсутствие антивируса;
Закон № 9: Абсолютная анонимность практически нереализуема, будь то в сети или в реальной жизни;
Закон № 10: Технологии не являются панацеей.

И еще более интересно посмотреть на 10 законов безопасного администрирования:

Закон № 1: Никто не верит, что с ними может случиться что -то плохое, пока плохое не случилось;
Закон № 2: Безопасность работает только в том случае, если безопасность удобна;
Закон № 3: Если вы не будете планомерно применять патчи безопасности к вашей сети, то скоро эта сеть перестанет быть вашей;
Закон № 4: Это не очень хорошая практика устанавливать исправления безопасности на компьютере, который не был защищен с самого начала;
Закон № 5: Вечная бдительность - это цена безопасности;
Закон № 6: На самом деле даже сейчас есть кто-то, кто подбирает подобрать угадать ваши пароли;
Закон № 7: Самая безопасная сеть - это хорошо администрируемая сеть;
Закон № 8: Сложность защиты сети прямо пропорциональна ее размерам;
Закон № 9: Безопасность - это не про избегания риска, но управление рисками;
Закон № 10: Технологии не являются панацеей.

Выше мой вольный перевод. Советую обратиться к первоисточникам. Каждый пункт расписан более подробно.

#рeклама #мнение

Несколько раз ко мне в бота обращались потенциальные рекламодатели с просьбой опубликовать рекламу на канале и дать за это деньги. Передомной возник экзистенциальный вопрос.

С одной стороны, я готов рекламировать только годноту и то, что было бы интересно мне самому, но почему я должен брать за это деньги? Раз этот контент годный, то он должен распространяться без коммерческих условий. Думаю, что это работает только с некоммерческими проектами, но я не уверен.

С другой стороны, почему бы и не брать деньги за рекламу, если мне их предлагают? В любом случае рекламить буду только годноту, но дополнительная финансовая поддержка будет мотивировать меня пилить больше качественного контента. Это кажется логичным? Думаю, да.

Но мне интересно и ваше мнение. Как вы считаете? Я должен брать деньги за рекламу? Для меня это немного чуждо и многие партнерские посты я публиковал просто так.

Можете высказать свое мнение в комментариях или в опросе в комментариях

Также можете писать сюда для связи с одменом канала:
@pathsecure_bot

#анонс #ctf

Участвую в организации ивента по безопасности PermCTF23 в Перми.

Также буду спикером с темой по безопасности внутрянки.

Пермяки, регайтесь на конфу по безопасности. А если хотите опробовать свои силы, то регайтесь и на CTF!

Зовите друзей и знакомых :)

Что такое CTF?

#roadmap #security

На roadmap.sh наконец вышла карта для cybersecurity!

Очень приятно видеть некоторые выражения и концепции. Знаком с ~ 90% материалов. А у вас как?

Наконец можно будет скидывать новичкам что-то систематизированное😄

btw, там на сайте еще с десяток карт развития для разных специальностей. Чекните)

UPD: Ссылка на pdf

#password #security #paranoid #recomendation #crypto

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

#pentest #вебинар #info #recomendation

Сегодня в 18 по МСК коллеги из Awillix проведут вебинар на тему пентеста. В программе:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.

Интересно послушать опыт коллег и задать вопросы. Мало кто делится такой информацией. Ранее на канале коллеги публиковались информативные посты из серии "А как не надо делать пентест".

С днем полезных материалов 😄

Коллеги из Specter выпустили статью про лучшие практики DevSecOps. Зацените.

Несколько месяцев назад вместе с ребятами мы проводили митап DevTalks, посвященный теме безопасности. Вышло классно. Доклады можно найти в записи.

#self #nontech #softskills #share #publicspeech #ideas

Почему мне так нравятся публичные выступления?

Я вновь задумался об этом идя по улице после успешного проведённого мероприятия.

Недавно, в рамках федерального урока цифры, я рассказывал школьникам об угрозах безопасности для владельцев смартфонов. Уже на протяжении несколько лет Пермский Сетевой IT-университет (СИТУ) приглашает меня в качестве спикера на урок цифры. И я всегда с радостью соглашаюсь. Благодарен за возможность выступить.

Я уже рефлексировал на схожую тему здесь, но сегодня ощутил нечто другое. Мне посчастливилось выступать вторым по счёту, вслед за коллегой из Лаборатории Касперского, Андреем (важно отметить, что он подключался удаленно). Я уже видел материал Андрея заранее и мог более грамотно выстроить повествование, но в процессе выступления Андрея я начал сомневаться в своих слайдах. Мне показалось, что моя информация излишне техническая, но в то же время ощутил, что Андрей потерял внимание аудитории. Будто бы слушатели хотели слышать что-то новое помимо фишинга. И я решил положиться на интуицию (в прочем я бы уже ничего не изменил в своей презе). Для понимания, я говорил о таких вещах как: управление рисками, безопасность vs удобство, Linux/windows, open source software, альтернативные прошивки, дополнительные фичи безопасности. И интуиция меня не подвела.

Мне сразу удалось заполучить внимание аудитории. Возможно, некоторые лайфхаки уже неосознанно мной применяются. Я замечаю, что мой навык публичных выступлений уже прокачался до хорошего уровня, но я осознаю, что есть куда расти. Активная артикуляция, умение менять интонацию, умение подбирать слова - все это отлично помогает в публичных выступлениях. Ну, и, конечно, глаза и лица слушателей дают понять общее настроение. Умение подобрать слова, кстати, можно прокачивать, пытаясь объяснить сложные вещи простым языком. Чем больше нейронных связей вокруг определённой темы ты сформируешь, тем более свободно сможешь жонглировать смыслами. В этом и заключается понимание. Поэтому часто при проверке знаний просят объяснить "своими словами".

Обожаю включать мемы в слайды. Я фанат мемов и в повседневном общении. Ощущается, будто мемы помогают найти общий язык и активировать нейронные связи слушателей. Приятно и весело,, когда понял мем, но главное, чтобы самому было весело. Just for fun.

Ранее упоминал лайфхаки для выступлений, пишите, если хотите, чтобы я раскрыл эту тему подробнее. Штук 10 инсайтов смогу выдать.

Отдельно хочется отметить секцию вопросов После моего выступления было очень много вопросов и мы вышли за рамки времени. И это отличный показатель. Здесь супер важно уметь работать с молчаливой аудиторией. У меня заранее был подготовлен план на случай отсутствия вопросов Скорее, даже, план на раскачку аудитории, так как люди могут стесняться задавать вопросы. Я обожаю секцию ответов на вопросы, потому что здесь ты можешь более предметно передать свою экспертизу или даже почерпнуть что-то от аудитории. Здесь снова вспоминаем про жонглирование смыслами при ответах на вопросы. Вопросы могут быть разными: наивными, остроумными, провокационными. Здесь тоже нужен индивидуальный подход. Не забывайте о политкорректности.

В заключении моей небольшой рефлексии хочу ответить на изначальный вопрос. В ходе публичных выступлений можно получить признание и реализовать себя, собрать знания систематизированный пучок и передать их, зажечь чьи-то сердца и дать заряд мотивации. Всегда считал, что, если и удастся зажечь хотя бы одного человека, то старания уже оправданы, а горящих глаз я увидел множество.

Подъехали записи выступлений с BlackHat22!

Куча разных докладов про внешку, внутрянку, реверс, криптографию.

Из интересного в плейлисте:
- Уязвимости в Matrix;
- Атаки на ADFS
- Атаки на электрокары;
- Атаки на керберос RC4;
- Обход EDR;
- Атаки на смартконтракты;
- Обход WAF:
- Атаки на канальном уровне.

С пылу с жару вышел подкаст (yet another podcast) от Яндекса.

Зачем компании нанимают хакеров? Громкий заголовок, но и содержание соответствует.

Затронуты многие темы:
- терминология;
- BugBounty;
- как искать баги;
- Черные рынки;
- есть даже про Defcon сообщества.
- кулстори.

Короче, смотрим :)

Всем привет. Начал переливать подкасты из ТГ канала на YT. Но просто залить аудио нельзя. Необходим видео ряд. Если вы ранее не слышали про инструмент ffmpeg, то очень рекомендую погуглить основные юзкейсы. Я обычно пользовался ffmpeg для извлечения аудио из видео, некоторые полноценно монтируют видео (привет, Док).

Но мне нужно было налепить поверх аудио картинку. И вот как я это делал:

# Замостить аудио повторяющимся видео рядом
ffmpeg -stream_loop -1 -i pathsecure-logo-gliched.mp4 -i psp1.mp3 -shortest -map 0:v:0 -map 1:a:0 -y loop-video-and-audio.mp4

# Сделать mp4 из gif
fmpeg -i MOSHED-2023-4-23-21-49-18.gif -movflags faststart -pix_fmt yuv420p -vf "scale=trunc(iw/2)*2:trunc(ih/2)*2" video.mp4

# Замостить аудио картинкой
ffmpeg -loop 1 -i pic.jpg -i 'PSP1' -c:v libx264 -tune stillimage -shortest 'output1.mp4'

# Обрезать видео справа или слева (в примере справа)
ffmpeg -ss 00:04 -to 01:00 -i nip.mkv -vf "crop=1400:in_h:0:0" -f mp4 output.mp4

# Добавить звук на фон (спс, Док)
ffmpeg -y -i pathsec.mp4 -stream_loop -1 -i background.mp3 -c:v copy -filter_complex "[1]volume=0.1[a];[0:a][a]amerge=inputs=2[a]" -map 0:v -map "[a]" -ac 2 -shortest out.mp4


Кстати, вот линк на подкаст:
https://www.youtube.com/watch?v=eHYEc8NByBg&list=PLg4MZsw2T12KY-ChHBf0U_RT59JVsgsdN

И вообще подписывайтесь на мой канал. Сюда я заливаю годный контент.
https://www.youtube.com/@pathsecure

#анонс #подкаст #пожертвование

Всем привет!

Подкасты PathSecure теперь доступны на YT в виде плейлиста, а также скоро будут доступны на всех подкаст площадках. Начинаю готовиться к новому сезону😏

Кандидатов для подкаста можете предлагать в @pathsecure_bot или же предлагайтесь сами 😄

***
Последний выпуск про пентест внутрянки полностью на английском. Недавно поступил запрос на перевод. В связи с этим объявляю сбор донатов на работу переводчика и потраченное время :)

Ссылка на сбор средств по переводу подкаста.

***
Также хочу озвучить (но c огромным стеснением 👉🏻👈🏻), что я создал Бусти для подписок и кошелек yoomoney для единоразовых донатов.

Поэтому, если вы когда-либо хотели выразить благодарность за контент и мотивировать меня пилить годноту дальше, то это самый подходящий момент. Всем спасибо за внимание! ❤️

Всем привет. Недавно коллеги по цеху выложили ссылку на папку bug bounty.

А те, кто давно подписан на мой канал, в курсе, что я веду большую подборку инфосек каналов и чатов. Так вот, решил тоже выложить свою:

https://news.1rj.ru/str/addlist/-tRQVH5MedZlNTQy

Здесь около сотни источников. Включая каналы, чаты, личные блоги ИБ тематики. Эмоции и репосты приветствуются 😎

Также в комментах оставляйте ссылки на годноту.

UPD: Ссылка обновлена 23.02.2025

@pathsecure

Коллеги из "Лаборатории Касперского" опубликовали статью на Хабре о профессии Solution Architect (SA).

Довольно интересная информация. Ранее не увидел упоминаний SA в сети. Так что рекомендую. Особенно интересна секция комментариев.

#спонсорский