#password #security #paranoid #recomendation #crypto

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

#pentest #вебинар #info #recomendation

Сегодня в 18 по МСК коллеги из Awillix проведут вебинар на тему пентеста. В программе:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.

Интересно послушать опыт коллег и задать вопросы. Мало кто делится такой информацией. Ранее на канале коллеги публиковались информативные посты из серии "А как не надо делать пентест".

С днем полезных материалов 😄

Коллеги из Specter выпустили статью про лучшие практики DevSecOps. Зацените.

Несколько месяцев назад вместе с ребятами мы проводили митап DevTalks, посвященный теме безопасности. Вышло классно. Доклады можно найти в записи.

#self #nontech #softskills #share #publicspeech #ideas

Почему мне так нравятся публичные выступления?

Я вновь задумался об этом идя по улице после успешного проведённого мероприятия.

Недавно, в рамках федерального урока цифры, я рассказывал школьникам об угрозах безопасности для владельцев смартфонов. Уже на протяжении несколько лет Пермский Сетевой IT-университет (СИТУ) приглашает меня в качестве спикера на урок цифры. И я всегда с радостью соглашаюсь. Благодарен за возможность выступить.

Я уже рефлексировал на схожую тему здесь, но сегодня ощутил нечто другое. Мне посчастливилось выступать вторым по счёту, вслед за коллегой из Лаборатории Касперского, Андреем (важно отметить, что он подключался удаленно). Я уже видел материал Андрея заранее и мог более грамотно выстроить повествование, но в процессе выступления Андрея я начал сомневаться в своих слайдах. Мне показалось, что моя информация излишне техническая, но в то же время ощутил, что Андрей потерял внимание аудитории. Будто бы слушатели хотели слышать что-то новое помимо фишинга. И я решил положиться на интуицию (в прочем я бы уже ничего не изменил в своей презе). Для понимания, я говорил о таких вещах как: управление рисками, безопасность vs удобство, Linux/windows, open source software, альтернативные прошивки, дополнительные фичи безопасности. И интуиция меня не подвела.

Мне сразу удалось заполучить внимание аудитории. Возможно, некоторые лайфхаки уже неосознанно мной применяются. Я замечаю, что мой навык публичных выступлений уже прокачался до хорошего уровня, но я осознаю, что есть куда расти. Активная артикуляция, умение менять интонацию, умение подбирать слова - все это отлично помогает в публичных выступлениях. Ну, и, конечно, глаза и лица слушателей дают понять общее настроение. Умение подобрать слова, кстати, можно прокачивать, пытаясь объяснить сложные вещи простым языком. Чем больше нейронных связей вокруг определённой темы ты сформируешь, тем более свободно сможешь жонглировать смыслами. В этом и заключается понимание. Поэтому часто при проверке знаний просят объяснить "своими словами".

Обожаю включать мемы в слайды. Я фанат мемов и в повседневном общении. Ощущается, будто мемы помогают найти общий язык и активировать нейронные связи слушателей. Приятно и весело,, когда понял мем, но главное, чтобы самому было весело. Just for fun.

Ранее упоминал лайфхаки для выступлений, пишите, если хотите, чтобы я раскрыл эту тему подробнее. Штук 10 инсайтов смогу выдать.

Отдельно хочется отметить секцию вопросов После моего выступления было очень много вопросов и мы вышли за рамки времени. И это отличный показатель. Здесь супер важно уметь работать с молчаливой аудиторией. У меня заранее был подготовлен план на случай отсутствия вопросов Скорее, даже, план на раскачку аудитории, так как люди могут стесняться задавать вопросы. Я обожаю секцию ответов на вопросы, потому что здесь ты можешь более предметно передать свою экспертизу или даже почерпнуть что-то от аудитории. Здесь снова вспоминаем про жонглирование смыслами при ответах на вопросы. Вопросы могут быть разными: наивными, остроумными, провокационными. Здесь тоже нужен индивидуальный подход. Не забывайте о политкорректности.

В заключении моей небольшой рефлексии хочу ответить на изначальный вопрос. В ходе публичных выступлений можно получить признание и реализовать себя, собрать знания систематизированный пучок и передать их, зажечь чьи-то сердца и дать заряд мотивации. Всегда считал, что, если и удастся зажечь хотя бы одного человека, то старания уже оправданы, а горящих глаз я увидел множество.

Подъехали записи выступлений с BlackHat22!

Куча разных докладов про внешку, внутрянку, реверс, криптографию.

Из интересного в плейлисте:
- Уязвимости в Matrix;
- Атаки на ADFS
- Атаки на электрокары;
- Атаки на керберос RC4;
- Обход EDR;
- Атаки на смартконтракты;
- Обход WAF:
- Атаки на канальном уровне.

С пылу с жару вышел подкаст (yet another podcast) от Яндекса.

Зачем компании нанимают хакеров? Громкий заголовок, но и содержание соответствует.

Затронуты многие темы:
- терминология;
- BugBounty;
- как искать баги;
- Черные рынки;
- есть даже про Defcon сообщества.
- кулстори.

Короче, смотрим :)

Всем привет. Начал переливать подкасты из ТГ канала на YT. Но просто залить аудио нельзя. Необходим видео ряд. Если вы ранее не слышали про инструмент ffmpeg, то очень рекомендую погуглить основные юзкейсы. Я обычно пользовался ffmpeg для извлечения аудио из видео, некоторые полноценно монтируют видео (привет, Док).

Но мне нужно было налепить поверх аудио картинку. И вот как я это делал:

# Замостить аудио повторяющимся видео рядом
ffmpeg -stream_loop -1 -i pathsecure-logo-gliched.mp4 -i psp1.mp3 -shortest -map 0:v:0 -map 1:a:0 -y loop-video-and-audio.mp4

# Сделать mp4 из gif
fmpeg -i MOSHED-2023-4-23-21-49-18.gif -movflags faststart -pix_fmt yuv420p -vf "scale=trunc(iw/2)*2:trunc(ih/2)*2" video.mp4

# Замостить аудио картинкой
ffmpeg -loop 1 -i pic.jpg -i 'PSP1' -c:v libx264 -tune stillimage -shortest 'output1.mp4'

# Обрезать видео справа или слева (в примере справа)
ffmpeg -ss 00:04 -to 01:00 -i nip.mkv -vf "crop=1400:in_h:0:0" -f mp4 output.mp4

# Добавить звук на фон (спс, Док)
ffmpeg -y -i pathsec.mp4 -stream_loop -1 -i background.mp3 -c:v copy -filter_complex "[1]volume=0.1[a];[0:a][a]amerge=inputs=2[a]" -map 0:v -map "[a]" -ac 2 -shortest out.mp4


Кстати, вот линк на подкаст:
https://www.youtube.com/watch?v=eHYEc8NByBg&list=PLg4MZsw2T12KY-ChHBf0U_RT59JVsgsdN

И вообще подписывайтесь на мой канал. Сюда я заливаю годный контент.
https://www.youtube.com/@pathsecure

#анонс #подкаст #пожертвование

Всем привет!

Подкасты PathSecure теперь доступны на YT в виде плейлиста, а также скоро будут доступны на всех подкаст площадках. Начинаю готовиться к новому сезону😏

Кандидатов для подкаста можете предлагать в @pathsecure_bot или же предлагайтесь сами 😄

***
Последний выпуск про пентест внутрянки полностью на английском. Недавно поступил запрос на перевод. В связи с этим объявляю сбор донатов на работу переводчика и потраченное время :)

Ссылка на сбор средств по переводу подкаста.

***
Также хочу озвучить (но c огромным стеснением 👉🏻👈🏻), что я создал Бусти для подписок и кошелек yoomoney для единоразовых донатов.

Поэтому, если вы когда-либо хотели выразить благодарность за контент и мотивировать меня пилить годноту дальше, то это самый подходящий момент. Всем спасибо за внимание! ❤️

Всем привет. Недавно коллеги по цеху выложили ссылку на папку bug bounty.

А те, кто давно подписан на мой канал, в курсе, что я веду большую подборку инфосек каналов и чатов. Так вот, решил тоже выложить свою:

https://news.1rj.ru/str/addlist/-tRQVH5MedZlNTQy

Здесь около сотни источников. Включая каналы, чаты, личные блоги ИБ тематики. Эмоции и репосты приветствуются 😎

Также в комментах оставляйте ссылки на годноту.

UPD: Ссылка обновлена 23.02.2025

@pathsecure

Коллеги из "Лаборатории Касперского" опубликовали статью на Хабре о профессии Solution Architect (SA).

Довольно интересная информация. Ранее не увидел упоминаний SA в сети. Так что рекомендую. Особенно интересна секция комментариев.

#спонсорский

#авторизация #архитектура #securityarchitect #рекомендации #магистратура

Хей, всем привет. Близится финал моего обучения в магистратуре. Скоро защищать диплом. Решил начать публиковать некоторые наработки. Информации довольно много.

На прошлой недели мне удалось занять первое место на ВУЗовской конференции с темой "МАТЕМАТИЧЕСКАЯ МОДЕЛЬ УПРАВЛЕНИЯ ДОСТУПОМ НА ОСНОВЕ РИСКОВ". Кусочек оттуда я возьму в диплом. Ссылки в комментах.

Напомню, что в своем дипломе я пытаюсь реализовать методику авторизации в микросервисной архитектуре под соусом ZeroTrust. Довольно хайповая и интересная тема. В сыром виде публикую список интересный на мой взгляд тематических статей:

1. Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах. Интересная статья для вкатывания в архитектуры безопасности. Среди авторов Денис Макрушин. Советую почитать оригинальную статью;
2. Exploring Microservice Security. Диссертация Татьяны Ярыгиной по безопасности микросервисов. Очень классная статья. Основная в моем работе. Рассматриваются лучшие практики безопасности микросервисов. JWT, mTLS, ABAC/RBAC и всё такое. Плюс слайды;
3. Подходы к контролю доступа: RBAC vs. ABAC. Очень хорошая и понятная статья про управление доступом на основе ролей или атрибутов. Помогла мне понять суть атрибутивной модели безопасности;
4. RBAC? ABAC?.. PERM! Новый подход к авторизации в облачных веб-службах и приложениях. Статья-гайд как реализовать PERM с помощью библиотеки авторизации casbin.


Нус, на этом пока хватит. Всем хорошего настроения, а админу физических и ментальных сил для написания диплома 😄

@pathsecure

#web #api #security #owasp

С пылу, с жару (4 дня назад) вышел новый API Security TOP 10 от OWASP. А я как раз начал писать раздел про атаки на механизмы авторизации в микросервисах. Думаю, совсем скоро можно будет увидеть детальный анализ изменений и сопоставление списка 23 и 19 года.

Сразу заметил, что авторизация и аутентификация в API поднимаются в топе. 4 пункта из 10 затрагивают вопросы управления доступом. А это, между прочим, фундаментальная задача информационной безопасности 🤓

Итак, вот список:
API1:2023 - Broken Object Level Authorization
API2:2023 - Broken Authentication
API3:2023 - Broken Object Property Level Authorization
API4:2023 - Unrestricted Resource Consumption
API5:2023 - Broken Function Level Authorization
API6:2023 - Unrestricted Access to Sensitive Business Flows
API7:2023 - Server Side Request Forgery
API8:2023 - Security Misconfiguration
API9:2023 - Improper Inventory Management
API10:2023 - Unsafe Consumption of APIs

Почитать про изменения и ознакомиться с подробным описанием каждого пункта можно на официальном сайте проекта.

@pathsecure

#podcast #security

На днях в подкасте ТИНОИД вышел эпизод с моим участием.

Поговорили о пентестах, ЦТФах, криптографии, редтиминге, личной безопасности. Придерживались научно-популярного стиля для большой аудитории.

Совершенно случайно познакомились друг с другом в одном из Пермских IT-чатов. Всем советую заценить выпуск, а также подписаться на ребят. Далее планируется звать в подкасты разных интересных людей из ИТ-сферы 😎

* https://vk.com/tinoidpodcast
* https://news.1rj.ru/str/tinoidpodcast
* https://dzen.ru/tinoidpodcast

#offtop #education #longread #self

Несколько дней назад админ защитил магистерский диплом по безопасности. Хотелось бы немного порефлексировать над последними двумя годами обучения. То же самое я делал в конце бакалавриата (ссылка).

Конечно, два года пролетели как мгновение. Совмещая работу с учебой, приходиться делить внимание и фокусироваться на чем-то одном. Я выбрал работу. И успешно нахватал долгов по учебе. В итоге, в начале последнего семестра у меня были долги за первый (!) семестр, что недопустимо. Пришлось брать волю в руки и закрывать всё. Как результат, я закрыл все предметы на положительную оценку. Причем один предмет пришлось пересдать с тройки на четверку дополнительно. Привет, красный диплом.

Какие у меня были цели? Ну, помимо очевидной, я действительно хотел поработать над своим проектом, изучить определенную тему, обрести новые полезные знакомства и подтянуть гуманитарные знания. Как говорится, все частные задачи были выполнены.

Сложно ли было? Не сказать, что сложно. Если вы уделяете учебе должное (минимальное) время, то проблем вообще не будет. Мне легко давались предметы. И особой сверхнагрузки не было (сравниваю себя со знакомым с кафедры муниципального управления в ПГУ)

Какие отличия от бакалавриата? Да почти никаких. За исключением того, что относятся к тебе по-другому, более уважительно и понимающе что-ли. И на самостоятельную работу выделяется намного больше времени. Немного сложнее выпускная квалификационная работа (ВКР) и научные семинары проходят прям с первого семестра. Кажется, по новой учебной программе первокурсники занимаются также. Обязательным требованием к защите ВКР магистра является публикация минимум одной работы по теме в журнале.

Жалею ли я потраченное время? Не жалею. За эти два года я вырос как в профессиональном, так и научном плане, а также в гуманитарном. Можно ли было уйти в полноценную практику после бакалавриата и углубиться в работу? Конечно, можно было.

Чего мне не хватило? Конечно же хотелось больше предметов связанных с компьютерной безопасностью и пентестами. Пусть даже и в виде факультативов. В программе этого было совсем чуть-чуть (понимаю почему так происходит, да). Но думаю, что с помощью общих усилий, получится внедрить такие практики в программу.

Что мне понравилось? Интересно было присутствовать на научных семинарах и взаимодействовать со студентами, давать и получать комментарии, дискутировать. Интересными также были некоторые предметы, такие как психология, анализ эффективности инвестпроекта, управление информационной безопасностью, безопасность распределенных информационных систем, где затрагивались азы безопасности АСУТП и типовые архитектуры безопасности.

Приятно также было, что меня окружали профессионалы своего дела. То есть одногруппники уже работали в сфере и могли поделиться чем-то интересным. Да, кстати, из 14-ти поступавших нас выпустились 3 человека, что является четвертью от начального количества.

---
На этом этапе уже не знаю что написать. Думаю, на этом хватит. Если что вспомню, то отредачу пост. Можете задавать свои вопросы в комментарии :)

@pathsecure

#talks #memories #self

Привет. Недавно выскреб свои бейджи с мероприятий. Рассказывал товарищам историю каждого из них. На самом деле вокруг каждого бейджа целая история. Я даже подумываю о том, чтобы выпустить целую серию подкаста PathSecure (возможно запишусь на выходных). За самой фотографией можно сходить в комментарии под постом.

Но а пока вкратце справа налево:
1) Конфа в Питере. HackConf. Вещал на тему приватности. Собрался огромный зал людей, встретил знакомых;

2) Выступление в лагере для ИТ-стартапов на тему безопасного хранения паролей в базах данных. Позвали после того, как записался в подкасте с основателями отечественных DefCon сообществ;

3) Молодежный форум. Вместе с преподавателем устроили небольшой киберквест по осинту. Параллельно провели пару докладов по безопасности. Здесь в рамках PR компании меня попросили выступить на радио и порекламить ивент. Забавно было;

4) Желтый бейдж. Вспоминаю с теплотой выступление на КодИБ, где я рассказывал про CTF в целом и грядущий PermCTF2019. Написал организаторам по приколу и получилось попасть на блиц-интервью перед большим числом безопасников. Также удалось найти спонсора PermCTf и хорошего приятеля (Дима, привет!);

5) Второе мое выступление на КодИБ. Уже в рамках темы о пентестах. Антипаттерны кибербезопасности (можно найти на YT). Классный получился доклад. Очень динамичный, но целевая аудитория была не той;

6) Скрытный черный бейдж Standoff Talks. Туда я попал случайно. Буквально через backdoor. Хоть я и участвовал в стендофе в том году, но билет был платным, а о возможности пройти просто так мне сообщил знакомый. Я быстро собрал вещи и прошел через задний двор. Взял бейдж, пришел на конфу. В последствие задал несколько вопросов Илье Шапошникову (respect) и познакомился с классным парнем Артемом Фениксом;

6) Бейдж с RuCTFE. На который мы поехали с нашей пермской CTF командой E-Toolz в качестве гостей. Там я впервые увидел Влада Роскова и пожал ему руку, сказал спасибо. Его видео с разбором Кубань ЦТФ замотивировало меня заниматься CTF и пилить сообщество PermCTF. Здесь же и родился DC7342;

7) Бейдж с Dev Talks отличается от других тем, что здесь я выступал в роли модератора конференции. Открывал и закрывал мероприятие, регулировал вопросы из зала, следил за таймингами. Спасибо Леше из Спектра, что согласился помочь провести ивент по DevSecOps;

8) Заключительный бейдж здесь на фото - это offzone. Первая крупная конфа, на которой я побывал. Огромная территория, куча горящих глаз, много знакомых. И, конечно же, DCZone, на которой я зачитал два доклада. Классно получилось;

--
На этом всё. Надеюсь, было интересно. Пишите комментарии и ставьте реакции. Так я пойму, что пост зашел и выход полноценной серии подкаста PathSecure стоит форсировать.

@pathsecure - канал
@pathsecure_chat - чат

Записал доклад про безопасность беспроводных сетей.

Вообще эту тему я раскрывал еще года 3 назад на лекциях PermCTF. Добавил немного инфы и интересные кейсы.

Рассмотрели базовую теорию по беспроводным сетям и по самым распространенным атакам. В докладе нет информации про атаки на WEP, WPA3 и WPA2 Enterprise, зато есть целый воркшоп по реализации атаки на WPA2 PSK посредством отправки Deauth пакетов.

В качестве ликбеза вполне норм получилось, советую посмотреть тем, кто не шарит :)

#pentest #wireless

#mssql #pentest #lab #qemu #virtualisation

На днях решил (разгрестить в чулане на хате) поднять лабу по исследованию безопасности MSSQL. Давно еще видел доклад Ильи Шапошникова на Standoff Talks про атаку на Linked Server MSSQL, а также находил на проекте SQL Injection в базу MSSQL (повыситься не удалось).

Атак на MSSQL довольно много и есть свои приколы, например, Linked Servers или xp_cmdshell, xp_dirtree. Подробнее можно посмотреть на HackTricks.

Поводом стал эпизод моего любимого подкаста по безопасности 7MinSec #567 "How to Build an Intentionally Vulnerable SQL Server". Нужно было развернуть две виртуалки с WinAD и MSSQL, но я решил использовать не привычный VirtualBox, а QEMU гипервизор. Знакомый еще давно пытался "продать" мне этот гипервизор и я решил попробовать. На самом деле, что на арче (I use btw), что на убунте поднимается довольно просто:

Вот пример для Ubuntu:
sudo apt install qemu-kvm qemu-system qemu-utils python3 python3-pip libvirt-clients libvirt-daemon-system bridge-utils virtinst libvirt-daemon virt-manager -y
sudo systemctl start libvirtd.service
sudo virsh net-start default
sudo virsh net-autostart default
sudo usermod -aG libvirt $USER
sudo usermod -aG libvirt-qemu $USER
sudo usermod -aG kvm $USER
sudo usermod -aG input $USER
sudo usermod -aG disk $USER


Ну, а после установки можно запускать графический клиент QEMU - VirtManager и тыкать кнопочки. Трайхардеры могут пользоваться chad-like инструментом virsh и взаимодействовать с гипервизором через CLI.

QEMU работает в разы быстрее, чем VirtualBox. Я даже удивился и решил перекатить свои виртуалки на новый гипервизор. Сконвертить виртуальный диск из формата VirtualBox в QEMU можно через qemu-img:

qemu-img convert -f vdi -O qcow2 rocky.vdi rocky8.qcow2

Такие дела. Буду дальше поднимать лабу по MSSQL. Возможно, напишу гайд, так как на просторах Ру-инфосек сегмента я такого не нашел.

@pathsecure