Взломать админа
Проверка осведомленности персонала об ИБ-угрозах является одним из самых востребованных кейсов. Проводится она, как правило, методами социальной инженерии.
Цель: проверка соблюдения сотрудниками политик ИБ.
Методы: социальная инженерия.
Локальная цель: получение информации, которая позволит реализовать атаку «повышение привилегий».
Расскажем, как выйти на системного администратора и добиться у него информации по структуре учетной записи, структуре пароля, в идеале — получить сам пароль.
#социальная_инженерия
Проверка осведомленности персонала об ИБ-угрозах является одним из самых востребованных кейсов. Проводится она, как правило, методами социальной инженерии.
Цель: проверка соблюдения сотрудниками политик ИБ.
Методы: социальная инженерия.
Локальная цель: получение информации, которая позволит реализовать атаку «повышение привилегий».
Расскажем, как выйти на системного администратора и добиться у него информации по структуре учетной записи, структуре пароля, в идеале — получить сам пароль.
#социальная_инженерия
Telegraph
Взломать админа
Планирование Главное в социалке — поставить четкую цель. Без целеполагания, действуя хаотично, вы мало чего добьетесь, только превратите социалку в балаган, а себя в клоунов. Ставим цель: выйти на системного администратора и добиться у него информации по…
Экологичность в IT: как и зачем
Слово «цифровой» обычно ассоциируется с чем-то нематериальным, эфемерным. Однако цифровые сервисы работают на физических серверах, которым требуется питание, а большая часть электроэнергии до сих пор вырабатывается за счет сжигания ископаемого топлива.
Это означает, что цифровые службы оказывают вполне реальное воздействие на количество выбросов углекислого газа и климатические изменения. Это воздействие и способы его минимизации стали темой доклада Криса Адамса из фонда Green Web Foundation на конгрессе 36c3.
Слово «цифровой» обычно ассоциируется с чем-то нематериальным, эфемерным. Однако цифровые сервисы работают на физических серверах, которым требуется питание, а большая часть электроэнергии до сих пор вырабатывается за счет сжигания ископаемого топлива.
Это означает, что цифровые службы оказывают вполне реальное воздействие на количество выбросов углекислого газа и климатические изменения. Это воздействие и способы его минимизации стали темой доклада Криса Адамса из фонда Green Web Foundation на конгрессе 36c3.
Telegraph
Экологичность в IT: как и зачем
Четыре шага, которые помогут сократить углеродный след IT-инфраструктуры вашей компании — а заодно сэкономить. Крупные IT-компании уже измеряют свой углеродный след — не пора ли и вам? Сначала немного цифр. К примеру, компания Amazon недавно начала публиковать…
Мрачные прогнозы Давоса о технологиях
На этой неделе в Давосе прошел 50-й юбилейный Всемирный экономический форум, на котором традиционно много говорили о технологиях. Но, несмотря на слоган tech for good, повестка вышла невеселой. Главным лейтмотивом стали гонка вооружений в технологиях, распад интернета на куски и риски, которые несут новые разработки. The Bell рассказывает о самых важных темах техно-Давоса.
- Опасности искусственного интеллекта
- США против китайских техногигантов
- Холодная технологическая война
- Персональные данные и здоровье
И другие новости
На этой неделе в Давосе прошел 50-й юбилейный Всемирный экономический форум, на котором традиционно много говорили о технологиях. Но, несмотря на слоган tech for good, повестка вышла невеселой. Главным лейтмотивом стали гонка вооружений в технологиях, распад интернета на куски и риски, которые несут новые разработки. The Bell рассказывает о самых важных темах техно-Давоса.
- Опасности искусственного интеллекта
- США против китайских техногигантов
- Холодная технологическая война
- Персональные данные и здоровье
И другие новости
Telegraph
Мрачные прогнозы Давоса о технологиях
Опасности искусственного интеллекта Одна из главных дискуссий форума началась за день до его старта: в понедельник в Financial Times вышла колонка CEO Google Сундара Пичаис говорящим заголовком: «Почему Google считает, что нам нужно регулировать ИИ». Вот…
Forwarded from hidemyname: безопасный интернет
Рассказываем на Хабре как прямо сейчас Китай цензурирует информацию об эпидемии короновируса: https://habr.com/ru/post/485950/
Хабр
Эпидемия и цензура: власти Китая пытаются сдерживать распространение информации о коронавирусе?
В Китае действует весьма эффективная система цензуры и контроля граждан, которая охватывает все сферы жизни граждан, включая интернет. До настоящего момента эта система справлялась с негативным...
Дядя Сэм раздает деньги за утечку ваших данных
В новости регулярно попадают всевозможные утечки данных, а в последнее время также и крупные штрафы, которые платят компании, эти утеки допустившие, — вплоть до нескольких миллиардов долларов. Но раз компании платят за утечки, не положена ли хотя бы часть этих денег пользователям, чьи данные утекли?
В новости регулярно попадают всевозможные утечки данных, а в последнее время также и крупные штрафы, которые платят компании, эти утеки допустившие, — вплоть до нескольких миллиардов долларов. Но раз компании платят за утечки, не положена ли хотя бы часть этих денег пользователям, чьи данные утекли?
Telegraph
Дядя Сэм раздает деньги за утечку ваших данных (на самом деле нет)
Сюрприз от Американской торговой комиссии Недавно нам на глаза попался любопытный сайт, якобы принадлежащий некоему Фонду защиты персональных данных (Personal Data Protection Fund). На главной странице говорится, что фонд создан Американской торговой комиссией…
Привет! Это Дима, я продолжаю рассказ о курсе информационной безопасности Pentestit.
Уже прошло больше половины курса, и я могу немного рассказать о том как он устроен.
Как я уже говорил, курс состоит из теоретической и практической частей. Теория – текстовые материалы и видеозаписи с детальным описанием темы. В видео нас знакомят с различными инструментами, демонстрируют пути поиска уявзвимостей и учат выполнять практические задания.
Из чего же состоит практика? Это самое интересное. Прохождение практической части происходит в интернет-лаборатории. У каждого задания есть цель – найти флаг. Флаг это секретный код, спрятанный где-то в глубине сайтов, операционных систем и баз данных. Чтобы их находить, мне приходится искать лазейки, пытаться придумать пути взлома. Это придает азарт прохождению заданий, ты бьешься до последнего, чтобы найти уязвимость и достать флаг.
Кстати, все практические задания тесно связаны с теорией и ситуация, когда знаний для проникновения не хватает, просто не возникает. Если что-то не получается, нужно лишь попробовать взглянуть под другим углом. Если самому разобраться все же не удалось, можно обратиться к куратору, который даст совет, и объяснит непонятное.
Прямо сейчас я прохожу задание где мне нужно, используя допущенные разработчиком сайта ошибки, получить доступ к файлам сайта и найти среди них флаг. Уже завтра я на этом примере расскажу как решаются задания лаборатории и покажу вам, как я искал флаг!
#pentest
Уже прошло больше половины курса, и я могу немного рассказать о том как он устроен.
Как я уже говорил, курс состоит из теоретической и практической частей. Теория – текстовые материалы и видеозаписи с детальным описанием темы. В видео нас знакомят с различными инструментами, демонстрируют пути поиска уявзвимостей и учат выполнять практические задания.
Из чего же состоит практика? Это самое интересное. Прохождение практической части происходит в интернет-лаборатории. У каждого задания есть цель – найти флаг. Флаг это секретный код, спрятанный где-то в глубине сайтов, операционных систем и баз данных. Чтобы их находить, мне приходится искать лазейки, пытаться придумать пути взлома. Это придает азарт прохождению заданий, ты бьешься до последнего, чтобы найти уязвимость и достать флаг.
Кстати, все практические задания тесно связаны с теорией и ситуация, когда знаний для проникновения не хватает, просто не возникает. Если что-то не получается, нужно лишь попробовать взглянуть под другим углом. Если самому разобраться все же не удалось, можно обратиться к куратору, который даст совет, и объяснит непонятное.
Прямо сейчас я прохожу задание где мне нужно, используя допущенные разработчиком сайта ошибки, получить доступ к файлам сайта и найти среди них флаг. Уже завтра я на этом примере расскажу как решаются задания лаборатории и покажу вам, как я искал флаг!
#pentest
31 января 2020 года Роскомнадзор возбудил административное производство в отношении компаний Facebook, Inc и Twitter, Inc,. Указанные компании не предоставили в установленный срок сведений о выполнении требований о локализации баз данных российских пользователей соответствующих социальных сетей на серверах, расположенных на территории Российской федерации, что предусмотрено ч.5 ст.18 Закона «О персональных данных» №152-ФЗ. Административное производство было возбуждено по признакам совершения административного правонарушения в соответствии с ч. 8 ст.13.11. КоАП Российской Федерации, предусматривающей административный штраф в размере от 1 млн до 6 млн рублей.
Соответствующий протокол был составлен в присутствии представителя компании Twitter. Представитель компании Facebook на подписание Протокола не явился. В соответствии с законодательством копия Протокола будет направлена в адрес компании в течение трех дней.
Роскомнадзор направит Протокол в суд в течение трех рабочих дней.
https://rkn.gov.ru/news/rsoc/news71720.htm
Соответствующий протокол был составлен в присутствии представителя компании Twitter. Представитель компании Facebook на подписание Протокола не явился. В соответствии с законодательством копия Протокола будет направлена в адрес компании в течение трех дней.
Роскомнадзор направит Протокол в суд в течение трех рабочих дней.
https://rkn.gov.ru/news/rsoc/news71720.htm
Forwarded from ЗаТелеком 🌐
Ладно. Если серьезно, то мой прогноз по ситуации такой:
ФБ и Твиттер не будут ставить никаких серверов "с персональными данными" в России. Причины:
1. Само требование — абсурдно. Как разделять ПД россиян и не-россиян в ФБ и тем более Твиттере? Никто не знает. Тем более РКН и прочие чудики, которые напринимали идиотских законов.
2. Соответственно, стоимость таких манипуляций, персонал, разработка и еще тысяча причин — невозможно посчитать и тем более реализовать. А указанные компании умеют считать бабло. А тут получается "сделай то, незнамо что" и за свой счет, для непонятных причин и при полной их бизнес-бесполезности.
3. ... и даже вредности. Ибо, физическое нахождение инфраструктуры внутри страны с правительством-идиотами чревато с точки зрения безопасности данных. Ну, они ж реально дебилы — ну как начнут с отверткой в сервера лазить, жоские диски доставать.
4. Соглашательство на выполнение абсурдных и небезопасных требований означает, что весь другой мир не поймет. Типа, если ФБ будет комплаить законы РФ по тотальной слежке имени "яровой", станут ОРИ и вот это всё — это будет означать, что ФБ&Тви занимаются сливом данных пользователей. А в глазах западного мира это означает, что "контора работает на KGB". Это ж мы знаем, что это все профанация — а незамысловатый американский акционер продаст акции. Что приведет к снижению капитализации, а это уже реально серьезно.
5. Хватит ли яиц у Жарова заблокировать ФБ&Тви — не знаю. Скорее всего, нет. Результат такой блокировки может непредсказуемым. Причем, в голову прилетит с разных сторон. Ну, например, ФБ это ж еще и Инстаграмм. А там много всяких персон интересных. Медведев, например, может быть недоволен, а он у нас же ЗАМЕСТИТЕЛЬ СОВЕТА БЕЗОПАСНОСТИ! Или тыщщи людей выйдут на улицу с плакатами "вы чо там совсем ебанулись?". Но самое неприятное — может быть ответочка со стороны Запада в виде витка санкций, например. Или рашу-тудей закроют. А как "влиять на результаты выборов", если из России нельзя будет в ФБ?
В общем, ставлю литр односолодового против балтики-7, что яиц заблокировать ФБ&Тви и нашего истеблишента не хватит.
Наиболее вероятный исход, таким образом: ФБ&Тви назначат штраф по миллиону, они их выплатят и об истории опять забудут на пару лет.
ФБ и Твиттер не будут ставить никаких серверов "с персональными данными" в России. Причины:
1. Само требование — абсурдно. Как разделять ПД россиян и не-россиян в ФБ и тем более Твиттере? Никто не знает. Тем более РКН и прочие чудики, которые напринимали идиотских законов.
2. Соответственно, стоимость таких манипуляций, персонал, разработка и еще тысяча причин — невозможно посчитать и тем более реализовать. А указанные компании умеют считать бабло. А тут получается "сделай то, незнамо что" и за свой счет, для непонятных причин и при полной их бизнес-бесполезности.
3. ... и даже вредности. Ибо, физическое нахождение инфраструктуры внутри страны с правительством-идиотами чревато с точки зрения безопасности данных. Ну, они ж реально дебилы — ну как начнут с отверткой в сервера лазить, жоские диски доставать.
4. Соглашательство на выполнение абсурдных и небезопасных требований означает, что весь другой мир не поймет. Типа, если ФБ будет комплаить законы РФ по тотальной слежке имени "яровой", станут ОРИ и вот это всё — это будет означать, что ФБ&Тви занимаются сливом данных пользователей. А в глазах западного мира это означает, что "контора работает на KGB". Это ж мы знаем, что это все профанация — а незамысловатый американский акционер продаст акции. Что приведет к снижению капитализации, а это уже реально серьезно.
5. Хватит ли яиц у Жарова заблокировать ФБ&Тви — не знаю. Скорее всего, нет. Результат такой блокировки может непредсказуемым. Причем, в голову прилетит с разных сторон. Ну, например, ФБ это ж еще и Инстаграмм. А там много всяких персон интересных. Медведев, например, может быть недоволен, а он у нас же ЗАМЕСТИТЕЛЬ СОВЕТА БЕЗОПАСНОСТИ! Или тыщщи людей выйдут на улицу с плакатами "вы чо там совсем ебанулись?". Но самое неприятное — может быть ответочка со стороны Запада в виде витка санкций, например. Или рашу-тудей закроют. А как "влиять на результаты выборов", если из России нельзя будет в ФБ?
В общем, ставлю литр односолодового против балтики-7, что яиц заблокировать ФБ&Тви и нашего истеблишента не хватит.
Наиболее вероятный исход, таким образом: ФБ&Тви назначат штраф по миллиону, они их выплатят и об истории опять забудут на пару лет.
Необычные уязвимости обычных датчиков
То, что теперь у каждого цифрового устройства есть куча «органов чувств», помогающих ему взаимодействовать с физическим миром, — это, с одной стороны, удобно. Но с другой — создает новые, порой весьма неожиданные угрозы. Дело в том, что эти «органы чувств» хоть и близки к человеческим функционально, но по конструкции и возможностям сильно от них отличаются. И об этом не всегда задумываются при разработке электроники.
Взять, к примеру, ультразвуковые команды: человек их не слышит, а голосовые помощники — не только слышат, но и исполняют. Впрочем, взлом ассистента с помощью звука, хоть и неуловимого для человеческого уха, — это хотя бы как-то можно понять и предугадать. А вот как насчет… света?
То, что теперь у каждого цифрового устройства есть куча «органов чувств», помогающих ему взаимодействовать с физическим миром, — это, с одной стороны, удобно. Но с другой — создает новые, порой весьма неожиданные угрозы. Дело в том, что эти «органы чувств» хоть и близки к человеческим функционально, но по конструкции и возможностям сильно от них отличаются. И об этом не всегда задумываются при разработке электроники.
Взять, к примеру, ультразвуковые команды: человек их не слышит, а голосовые помощники — не только слышат, но и исполняют. Впрочем, взлом ассистента с помощью звука, хоть и неуловимого для человеческого уха, — это хотя бы как-то можно понять и предугадать. А вот как насчет… света?
Telegraph
Голосовых помощников можно обмануть с помощью лазера, а датчик движения — с помощью музыки
Как услышать свет: MEMS-микрофоны и их причуды Оказывается, если преобразовать голосовую команду в мерцание лазера и направить луч на микрофон, то ассистент благополучно распознает и выполнит запрос. Это выяснили исследователи из Университета электрокоммуникаций…
Минюст вводит в КоАП новые наказания за правонарушения с использованием интернета
В частности, санкции за пропаганду наркотиков, нетрадиционных сексуальных отношений, распространение материалов незарегистрированных СМИ и другие нарушения.
Так, Минюст предлагает штрафовать за распространение материалов изданий, не зарегистрированных в России в качестве СМИ (включая зарубежные), а также за их перепосты. Кроме того, предлагается ввести штрафы для СМИ за непредоставление информации о финансировании.
Кроме того, Минюст предлагает штрафовать российские медиа за сокрытие информации о финансировании (статья 33.6 КоАП). Такое нарушение будет предусматривать ответственность в виде штрафа на должностных лиц в размере от 30 до 50 тысяч рублей, на юрлиц — от однократной до двукратной суммы денежных средств, которые получены редакцией СМИ или издателем.
Изначально регистрация СМИ была добровольной и выгодной самим СМИ: налоговые льготы, защита сотрудников, обязательные ответы чиновников на запросы и т.д. Формально добровольность сохраняется и сейчас: не хочешь – не регистрируйся. Вот только теперь всех, кто будет тебя лайкать, репостить, ссылаться, цитировать, будут штрафовать.
А значит, регистрация фактически становится обязательной. Но есть СМИ, которые не будут зарегистрированы никогда.
Новый КоАП также вводит наказание за пропаганду наркотиков, в том числе в Интернете. В проект нового КоАП также внесены принятые в прошлом году штрафы о наказаниях за оскорбление госсимволов и недопустимую критику. Наказание за пропаганду нетрадиционных сексуальных отношений среди несовершеннолетних в сети «Интернет» осталось практически таким же.
Роскомсобода, Дмитрий Гудков, Павел Чиков.
В частности, санкции за пропаганду наркотиков, нетрадиционных сексуальных отношений, распространение материалов незарегистрированных СМИ и другие нарушения.
Так, Минюст предлагает штрафовать за распространение материалов изданий, не зарегистрированных в России в качестве СМИ (включая зарубежные), а также за их перепосты. Кроме того, предлагается ввести штрафы для СМИ за непредоставление информации о финансировании.
Кроме того, Минюст предлагает штрафовать российские медиа за сокрытие информации о финансировании (статья 33.6 КоАП). Такое нарушение будет предусматривать ответственность в виде штрафа на должностных лиц в размере от 30 до 50 тысяч рублей, на юрлиц — от однократной до двукратной суммы денежных средств, которые получены редакцией СМИ или издателем.
Изначально регистрация СМИ была добровольной и выгодной самим СМИ: налоговые льготы, защита сотрудников, обязательные ответы чиновников на запросы и т.д. Формально добровольность сохраняется и сейчас: не хочешь – не регистрируйся. Вот только теперь всех, кто будет тебя лайкать, репостить, ссылаться, цитировать, будут штрафовать.
А значит, регистрация фактически становится обязательной. Но есть СМИ, которые не будут зарегистрированы никогда.
Новый КоАП также вводит наказание за пропаганду наркотиков, в том числе в Интернете. В проект нового КоАП также внесены принятые в прошлом году штрафы о наказаниях за оскорбление госсимволов и недопустимую критику. Наказание за пропаганду нетрадиционных сексуальных отношений среди несовершеннолетних в сети «Интернет» осталось практически таким же.
Роскомсобода, Дмитрий Гудков, Павел Чиков.
Считаете ли Вы новые наказания за правонарушения в интернете цензурой?
Anonymous Poll
61%
Да.
24%
Административки - новая нефть.
9%
У меня нет мнения на этот счёт.
13%
Нет.
Уязвимость в Safari, релиз ядра Linux, выход из беты Dataset Search и другие новости ИТ за неделю
• Из-за низкого спроса Google закроет конструктор приложений без навыков программирования App Maker в январе 2021 года. Сервис будут отключать постепенно — создавать приложения нельзя будет уже с 15 апреля 2020 года.
• Разработчики проекта Heptapod объявили о введении в строй публичного хостинга для open-source-проектов, использующих Mercurial. Запущенный сервис допускает бесплатное размещение любых свободных и открытых проектов с лицензиями, одобренными в OSI.
• Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и открытом ПО. Общая сумма выплат в 2019 году составила $6,5 млн.
• Разработчик антивируса Avast продолжает продавать данные об интернет-активности пользователей. Речь идет о поисковых запросах в Google, местоположении в Google Maps, действиях на LinkedIn, YouTube и на порносайтах, говорится в исследовании Motherboard и PCMag.
• Вышел из беты сервис Dataset Search от Google для удобного поиска наборов данных. Он позволяет находить нужную информацию среди примерно 25 млн репозиториев, свободно доступных в интернете.
• Google разрабатывает бизнес-приложение для конкуренции с Microsoft Teams и Slack. Компания планирует объединить в нём Gmail, приложение для видеоконференций и другие облачные сервисы.
• Линус Торвальдс представил первый стабильный релиз ядра Linux 5.5. Новая версия имеет поддержку нового оборудования, улучшения сетевой и дисковой подсистем, обновления функций безопасности, механизма применения патчей без перезагрузки системы.
• Лаборатория AV-TEST опубликовала свежий рейтинг антивирусных программ для Windows 10. Их тестировали по трём параметрам: защита от зловредного ПО, производительность и юзабельность. Максимальный балл по итогам трёх тестов — 18 из 18 — набрали программы BullGuard Internet Security, Kaspersky Internet Security и NortonLifeLock Norton Security.
• Google обнаружила уязвимость в Safari, которая допускала слежку за пользователями. Злоумышленники могли получить доступ к истории посещений и поисковых запросов. Также уязвимость могла позволить сайтам отслеживать пользовательские действия в сети.
• Консалтинговая компания Capgemini опубликовала основные тренды в розничном банкинге на 2020 год. По мнению экспертов, банки будут конкурировать c Google в борьбе за таланты, много работать с финтех-стартапами и разрабатывать собственные технологии.
#новости revolt
• Из-за низкого спроса Google закроет конструктор приложений без навыков программирования App Maker в январе 2021 года. Сервис будут отключать постепенно — создавать приложения нельзя будет уже с 15 апреля 2020 года.
• Разработчики проекта Heptapod объявили о введении в строй публичного хостинга для open-source-проектов, использующих Mercurial. Запущенный сервис допускает бесплатное размещение любых свободных и открытых проектов с лицензиями, одобренными в OSI.
• Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и открытом ПО. Общая сумма выплат в 2019 году составила $6,5 млн.
• Разработчик антивируса Avast продолжает продавать данные об интернет-активности пользователей. Речь идет о поисковых запросах в Google, местоположении в Google Maps, действиях на LinkedIn, YouTube и на порносайтах, говорится в исследовании Motherboard и PCMag.
• Вышел из беты сервис Dataset Search от Google для удобного поиска наборов данных. Он позволяет находить нужную информацию среди примерно 25 млн репозиториев, свободно доступных в интернете.
• Google разрабатывает бизнес-приложение для конкуренции с Microsoft Teams и Slack. Компания планирует объединить в нём Gmail, приложение для видеоконференций и другие облачные сервисы.
• Линус Торвальдс представил первый стабильный релиз ядра Linux 5.5. Новая версия имеет поддержку нового оборудования, улучшения сетевой и дисковой подсистем, обновления функций безопасности, механизма применения патчей без перезагрузки системы.
• Лаборатория AV-TEST опубликовала свежий рейтинг антивирусных программ для Windows 10. Их тестировали по трём параметрам: защита от зловредного ПО, производительность и юзабельность. Максимальный балл по итогам трёх тестов — 18 из 18 — набрали программы BullGuard Internet Security, Kaspersky Internet Security и NortonLifeLock Norton Security.
• Google обнаружила уязвимость в Safari, которая допускала слежку за пользователями. Злоумышленники могли получить доступ к истории посещений и поисковых запросов. Также уязвимость могла позволить сайтам отслеживать пользовательские действия в сети.
• Консалтинговая компания Capgemini опубликовала основные тренды в розничном банкинге на 2020 год. По мнению экспертов, банки будут конкурировать c Google в борьбе за таланты, много работать с финтех-стартапами и разрабатывать собственные технологии.
#новости revolt
Привет, это снова Дима!
Пока я прохожу практическое задание в интернет-лаборатории Pentestit, о котором обещал вам рассказать, хочу немного поделиться впечатлениями о том, кому будет полезен этот курс по пентесту и информационной безопасности Pentestit.
Как я упоминал ранее, для прохождения базового курса не потребуется никаких особых навыков в безопасности или понимания принципов проникновения. В курсе расскажут про основные утилиты, которыми вы будете пользоваться для обучения, а принципы работы некоторых программ даже разберут на видеоуроках. В то же время, никто не запретит вам использовать уже знакомый софт или искать свои, нестандартные пути получения токенов.
Если вы уже не новичок в этом деле, скучать вам тоже не придется. Курс идет по нарастанию сложности и вполне возможно, что в какой-то момент поломать голову над заданиями придется и вам. Курс не зацикливается только на технической части проникновений. Так, например, вы сможете почерпнуть что-то новое из введения в социальную инжинерию или обезопасить себя знаниями о законодательстве в сфере информационной безопасности.
А я пошел дорешивать задания, времени осталось не так много!
#pentest
Пока я прохожу практическое задание в интернет-лаборатории Pentestit, о котором обещал вам рассказать, хочу немного поделиться впечатлениями о том, кому будет полезен этот курс по пентесту и информационной безопасности Pentestit.
Как я упоминал ранее, для прохождения базового курса не потребуется никаких особых навыков в безопасности или понимания принципов проникновения. В курсе расскажут про основные утилиты, которыми вы будете пользоваться для обучения, а принципы работы некоторых программ даже разберут на видеоуроках. В то же время, никто не запретит вам использовать уже знакомый софт или искать свои, нестандартные пути получения токенов.
Если вы уже не новичок в этом деле, скучать вам тоже не придется. Курс идет по нарастанию сложности и вполне возможно, что в какой-то момент поломать голову над заданиями придется и вам. Курс не зацикливается только на технической части проникновений. Так, например, вы сможете почерпнуть что-то новое из введения в социальную инжинерию или обезопасить себя знаниями о законодательстве в сфере информационной безопасности.
А я пошел дорешивать задания, времени осталось не так много!
#pentest
Pentestit | Информационная безопасность
WebSecOps - практическая подготовка в области веб-безопасности
WebSecOps - практическая подготовка в области безопасности веб-приложений
Руководство параноика для защиты MacOS от вредоносов и «злых уборщиц»
В этом руководстве речь пойдет о защите от атак, прозванных «evil maid» («злая уборщица»), когда злоумышленник получает доступ к компьютеру, оставленному без присмотра, например, в отеле.
В этом руководстве речь пойдет о защите от атак, прозванных «evil maid» («злая уборщица»), когда злоумышленник получает доступ к компьютеру, оставленному без присмотра, например, в отеле.
Telegraph
Руководство параноика для защиты MacOS от вредоносов и «злых уборщиц»
Если вы беспокоитесь о безопасности своего Mac’а, существуют простые способы защиты даже от самых опасных атак. В этом руководстве речь пойдет о защите от атак, прозванных «evil maid» («злая уборщица»), когда злоумышленник получает доступ к компьютеру, оставленному…
👍1
Почему электронные письма легко подделать
Иногда для того чтобы понять, что перед вами фишинговое письмо, достаточно проверить поле «От кого». Но мошенники способны сфабриковать сообщение, которое невозможно отличить от подлинного. Преступник, владеющий такой техникой, может создать организации серьезные проблемы: большинство людей без раздумий перейдет по ссылке (которая оказывается вредоносной) и откроет вложенный файл в письме, которое, казалось бы, пришло от начальника или важного клиента. Их трудно упрекнуть в невнимательности, ведь нет никаких признаков того, что письмо фальшивое. Как мошенникам удается создавать «идеальные» подделки?
Иногда для того чтобы понять, что перед вами фишинговое письмо, достаточно проверить поле «От кого». Но мошенники способны сфабриковать сообщение, которое невозможно отличить от подлинного. Преступник, владеющий такой техникой, может создать организации серьезные проблемы: большинство людей без раздумий перейдет по ссылке (которая оказывается вредоносной) и откроет вложенный файл в письме, которое, казалось бы, пришло от начальника или важного клиента. Их трудно упрекнуть в невнимательности, ведь нет никаких признаков того, что письмо фальшивое. Как мошенникам удается создавать «идеальные» подделки?
Telegraph
Поддельные электронные письма постоянно используют для фишинга и компрометации корпоративной почты. Почему так просто сделать их…
Андрей Константинов отвечает на этот вопрос в своем докладе об идентификации электронных писем на 36-й хакерской конференции Chaos Communication Congress. Он также рассказывает о том, насколько эффективна защита от фальшивых сообщений. Проблема № 1. Почта…
🔥 Подборка самых интересных каналов про IT, хакинг и безопасность
Инкогнито - Самый крупный канал о даркнете. Рассказываем про анонимность в сети, хакинг и противодействуем мошенничеству в интерннете.
@Haccking - Тот самый, первый телеграм канал по ИБ. Ребята стабильно пишут о хакинге, програмировании и безопасности в сети более 2-х лет. Понятно и интересно даже новичкам. Подписывайся!
@dataleak - Канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.
CyberYozh - Бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@SecLabNews - Канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.
Эксплойт - Информационная безопасность и хакерство. Секреты анонимности в интернете, баги социальных сетей, тайные возможности смартфона, уроки по взлому и многое другое.
Инкогнито - Самый крупный канал о даркнете. Рассказываем про анонимность в сети, хакинг и противодействуем мошенничеству в интерннете.
@Haccking - Тот самый, первый телеграм канал по ИБ. Ребята стабильно пишут о хакинге, програмировании и безопасности в сети более 2-х лет. Понятно и интересно даже новичкам. Подписывайся!
@dataleak - Канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.
CyberYozh - Бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@SecLabNews - Канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.
Эксплойт - Информационная безопасность и хакерство. Секреты анонимности в интернете, баги социальных сетей, тайные возможности смартфона, уроки по взлому и многое другое.
Топ 10 браузерных расширений для хакеров и исследователей на основе открытых источников
Хотя современные браузеры достаточно стабильны и с большим количеством возможностей, но они не могут удовлетворить все возможные потребности пользователей. С целью добавления особо специфических функций используются так называемые расширения. Например, хакерам и исследователям, пользующимся открытыми источниками, требуются дополнительные инструменты для анонимного серфинга, авторизации через SSH и сбора доказательств в интернете. Далее будет приведен список избранных расширений.
Хотя современные браузеры достаточно стабильны и с большим количеством возможностей, но они не могут удовлетворить все возможные потребности пользователей. С целью добавления особо специфических функций используются так называемые расширения. Например, хакерам и исследователям, пользующимся открытыми источниками, требуются дополнительные инструменты для анонимного серфинга, авторизации через SSH и сбора доказательств в интернете. Далее будет приведен список избранных расширений.
Telegraph
Топ 10 браузерных расширений для хакеров и исследователей на основе открытых источников
Что такое расширение? Расширения для бразуеров или аддоны представляют собой мини приложения для добавления новых функций, которые могут быть полезны в отдельных случаях. В качестве примера можно привести расширение Grammarly, предназначенное для автоматической…
Forwarded from Медуза — LIVE
Недалекое будущее: россияне посещают российские сайты с помощью российских браузеров. Эти соединения защищены российским шифрованием, разработанным в ФСБ.
https://mdza.io/3Q18fMywafs
https://mdza.io/3Q18fMywafs
Meduza
Рунет начали переводить на отечественную криптографию
До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты. По всему миру такие сертификаты используются на сайтах…
Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON
Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
Telegram опубликовал на сайте бета-тестирования своей блокчейн-платформы Telegram Open Network инструкцию по созданию сайтов в децентрализованной сети TON — TON Sites. Сайт test.ton.org упоминается в одном из официальных сообщений мессенджера.
Согласно документу, сайты TON могут использоваться как точка входа для других сервисов платформы. Например, html-страницы, загруженные с TON Sites, могут содержать ссылки вида ton:// — перейдя по такой ссылке пользователь с установленным кошельком TON Wallet сможет выполнить платёж.
Технически сайты TON похожи на обычные веб-сайты, но доступ к ним осуществляется через сеть TON, а не через интернет, говорится в документах.
У каждого такого сайта есть абстрактный ADNL-адрес вместо более распространённых IPv4- или IPv6-адреса, они принимают запросы HTTP через разработанный Telegram протокол RLDP вместо обычного TCP или IP. Шифрование обрабатывается ADNL, поэтому разработчикам не нужно использовать HTTPS.
Для доступа к существующим и создания новых сайтов нужны специальные шлюзы между «обычным» интернетом и сетью TON. Доступ к сайтам TON осуществляется с помощью HTTP-> RLDP-прокси, работающего локально на клиентском компьютере, и они создаются с помощью обратного RLDP-> HTTP-прокси, работающего на удалённом веб-сервере.
#новость #telegram #ton vc ru
Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
Telegram опубликовал на сайте бета-тестирования своей блокчейн-платформы Telegram Open Network инструкцию по созданию сайтов в децентрализованной сети TON — TON Sites. Сайт test.ton.org упоминается в одном из официальных сообщений мессенджера.
Согласно документу, сайты TON могут использоваться как точка входа для других сервисов платформы. Например, html-страницы, загруженные с TON Sites, могут содержать ссылки вида ton:// — перейдя по такой ссылке пользователь с установленным кошельком TON Wallet сможет выполнить платёж.
Технически сайты TON похожи на обычные веб-сайты, но доступ к ним осуществляется через сеть TON, а не через интернет, говорится в документах.
У каждого такого сайта есть абстрактный ADNL-адрес вместо более распространённых IPv4- или IPv6-адреса, они принимают запросы HTTP через разработанный Telegram протокол RLDP вместо обычного TCP или IP. Шифрование обрабатывается ADNL, поэтому разработчикам не нужно использовать HTTPS.
Для доступа к существующим и создания новых сайтов нужны специальные шлюзы между «обычным» интернетом и сетью TON. Доступ к сайтам TON осуществляется с помощью HTTP-> RLDP-прокси, работающего локально на клиентском компьютере, и они создаются с помощью обратного RLDP-> HTTP-прокси, работающего на удалённом веб-сервере.
#новость #telegram #ton vc ru
Как фишеры используют тему коронавируса
Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Telegraph
Мошенники используют уханьский коронавирус как приманку, чтобы воровать учетные данные электронной почты.
Поддельные письма с информацией о коронавирусе — новая приманка фишеров Фишинговые письма от имени Центров по контролю и профилактике заболеваний в адресе отправителя содержат убедительный домен cdc-gov.org (настоящий домен CDC — cdc.gov). Не слишком внимательный…
Forwarded from Эшер II A+
⚡️⚡️⚡️ The Bell и «Медуза» пишут о том, что летом ФСБ рассылала официальные требования ОРИ (организаторам распространения информации) предоставления круглосуточного доступа к переписке, ключи шифрования и вот это вот всё. Есть треки почты:
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей
‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний
👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://news.1rj.ru/str/zatelecom/12870
👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее
⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей
‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний
👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://news.1rj.ru/str/zatelecom/12870
👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее
⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
Meduza
ФСБ потребовала ключи для дешифровки переписки у «Авито», Rutube, «Хабра» и еще десятка сайтов. Это произошло в разгар московских…
Как выяснила «Медуза», Федеральная служба безопасности летом 2019 года направила десятку российских интернет-сервисов, среди которых «Авито», «Хабр» и Rutube, письма с требованием передать спецслужбе ключи для дешифровки переписки пользователей, а также организовать…
👍1