Все знают старую добрую рекомендацию использовать сложный и длинный пароль для авторизации в ОС или аккаунтов в сети. Но гарантирует ли это безопасность? И что первое приходит на ум, когда люди задумываются о том, как «взломать» пароль? - это конечно же перебор (англ. Brutforce). Но, что если ты сдампил БД c помощью sqlmap или дернул заветный файл через mimikatz?

В сети существуют ресурсы, которые хранят базы данных хешей и соответствующих им паролей, т.е. имея дернутый на руках хеш есть не плохой шанс найти соответствующий ему пасс.

*****************************
(1) Определение хеша онлайн:
*****************************
Сервис Hash ID
https://www.onlinehashcrack.com/hash-identification.php

Сервсис Hash Freehacks
https://hash.freehacks.ru/

Еще один не плохой бесплатный сервис
https://suip.biz/ru/?act=hashtag

*****************************
(2) Вычисление (взлом) хеша онлайн:
*****************************
Самый масштабный, мощный и продвинутый проект HashKiller https://hashkiller.co.uk/ - помогает оперативно находить дайджесты MD5, SHA-160 и NTLM

Облачный CloudCracker https://www.cloudcracker.net - сервис мгновенного поиска паролей по хешам MD5 и SHA-1, автоматически определяет тип дайджеста по его длине

Старый проект CrackStation https://crackstation.net/ - поддерживает LM, NTLM, MySQL 4.1+, MD2/4/5 + MD5-half, SHA-160/224/256/384/512, ripeMD160 и Whirlpool. А так же пара приятных фич - за один раз можно загрузить для анализа до десяти хешей и осуществление быстрого поиска по индексированной базе

Дешифратор MD5 http://www.md5decrypt.org/ - содержит базу из 10 миллионов поисковых пар и автоматический поиск по 23 базам дружественных сайтов

Несколько ресурсов по вычислению MD5
https://www.cmd5.ru/
https://hashtoolkit.com/

Навороченный GPUHASH https://gpuhash.me/ – платный, но заявлена поддержка WPA\WPA2, MD5, SHA1, SHA256, MD5CRYPT, NTLM, bcrypt, vBulletin, IPB, BTC_LTC wallet

Президент Косово Хашима Тачи вводит пароль на своем рабочем компьютере😂 QWERTY или 12345?

Иногда хочется почувствовать себя «хакером из голливудских фильмов» с крутыми GUI для хакерских тулз и навороченными рабочими столами😅Либо таки увидеть некий мировой дашборд на котором отображается план реализации SkyNet’а по захвату власти на земле😎Таких приколов я конечно тебе не покажу. Но, ниже скину несколько линков на карты визуализации различных кибер атак:

Интерактивная карта угроз от Kaspersky Lab
https://www.cybermap.kaspersky.com/ru/

ThreatCloud World Cyber Threat Map или мировая карта киберугроз от CheckPoint
https://threatmap.checkpoint.com/ThreatPortal/livemap.html

Norse Live Attack Map от компапнии Norse,построившая сеть с кучей ханипотов, открытыми портами и прочими плюшками для хакеров
http://map.norsecorp.com/

Карта Top Daily DDoS Attacks Worldwide от Google с визуализацией DD0S-атак
http://www.digitalattackmap.com/

Карта Cyber Threat Map от всемирно известного вендора FireEye
https://www.fireeye.com/cyber-map/threat-map.html

Карта ханипотов от Deutsche Telekom
https://sicherheitstacho.eu/start/main

Невъебенческая карта от Fortinet
http://threatmap.fortiguard.com//

Ресурс центра безопасности Cisco Talos Reputation Center
https://www.talosintelligence.com/reputation_center

Есть идея организовать очные семинары с бесплатным посещением, где автор этого паблика @D3One в живом свободном общении будет делиться опытом работы в индустрии ИБ, историями личного успеха, фактами и вещами сформированные за многие годы практики. Интерес
anonymous poll

Прийти не смогу, но хотел бы посмотреть онлайн-трансляцию – 138
👍👍👍👍👍👍👍 66%

Да, я бы обязательно пришел(а) – 66
👍👍👍 32%

Мне интересно только читать статьи в паблике – 3
▫️ 1%

Нет, мне это не интересно – 1
▫️ 0%

👥 208 people voted so far.

Дорогие друзья, небольшая подборка интересных WWW-ресурсов из моих закладок!

# Сайт Cheat.sh (https://github.com/chubin/cheat.sh) — онлайновый сервис, к которому можно обращаться из командной строки и искать по внушительной коллекции из чит-шитов. Сюда входит около тысячи команд Unix/Linux и 55 языков программирования

# Сайт (https://nginxconfig.io )— сайт, который поможет настроить веб-сервер nginx. По сути, это что-то вроде графической надстройки. Для каждого из пунктов меню есть полезные всплывающие подсказки. А еще сервис позволяет форсировать в конфиге опции безопасности!

# Проект txt2re (http://txt2re.com/) — регулярные выражения помогают быстро и элегантно парсить строки и текстовые файлы, но только в том случае, если ты хорошо знаком с синтаксисом и имеешь некоторый опыт. Если нет - то этот сайт теье поможет!

# Проект Netsim (https://netsim.erinn.io/) — игра, которая поможет наглядно изучить работу сетей и принципы сетевых атак (DDoS, sniffing, spoofing)

# Онлайн тулза Ngrok (https://ngrok.com/) - сервис, который позволяет расшарить сетевой порт и получить некоторую ссылку для доступа к локальному порту из интернета

# Проект LargerIO https://www.larger.io/ — сервис, который поможет узнать, на каких технологиях построены сайты. Очень пригодится для фингерпринтинга и подбора инструментов для пен-теста

# Проект Vulncode (https://www.vulncode-db.com) - сервис, наглядно показывает уязвимые участки кода у различных CVE

# Тулза для анализа конфигов Cisco (https://github.com/cisco-config-analysis-tool/ccat) - This tool is designed to analyze the configuration files of Cisco devices. The list of checks is based on the Cisco Guide to Harden Cisco IOS Devices

Лекции по основам безопасности ("хакерства") для новичков от проекта Hacker Highschool

Обзор основных инструментов сбора первичных артефактов с скомпрометированных Linux-систем своими силами

https://telegra.ph/Nekotorye-priemy-forenziki-pod-Linux-04-08

Ребята, представляю вашему вниманию не плохой канал с обзором интересных книг личностного развития. Не ИБ, но для саморазвития очень даже!

КНИГИ КРАТКО - канал с лучшими пересказами книг по бизнесу и саморазвитию, которые читаются за 5-10 минут!
📓 Каждый день публикуются интересные книги, не потеряй шанс изменить свою жизнь - https://news.1rj.ru/str/knigikratkoo

Небольшой пак информационно-справочных документов, обзоров и презентаций на тему защиты ПДн по требованиям Евросоюза (GDPR)

https://telegra.ph/Specializaciya-v-industrii-IB-gid-dlya-novichka-04-18

Ответы на часто поступающие вопросы новичков об индустрии ИБ и специализации внутри нее

Друзья, в целях ознакомлении с практической стороной (не̶ ̶п̶и̶з̶д̶е̶ш̶ь̶ ̶с̶ ̶к̶о̶н̶ф̶р̶е̶н̶ц̶и̶й̶) для вас пара видео, рассказывающая на практике как происходит статический анализ исходных кодов различного ПО на примере SAST PVS-Studio. Все примеры ошибок и анализа кода демонстрируются на примере C++, C# и Java.

Теория и практика использования статического анализа на примере PVS-Studio

В видео будут разобраны интересные ошибки, найденные в проектах MonoDevelop и Godot Engine

https://www.youtube.com/watch?v=BoRK5BosqZI

Проверяем проект GitExtensions с помощью PVS Studio

В видео демонстрируется разбор ошибок графической оболочки GitExtensions для популярной тулзы Git

https://www.youtube.com/watch?v=zs_rGT6jNHM

Доп инфо:

Лучшие инструменты пентестера_ статический анализ кода от Xакер

Обзор сканеров кода: взгляд интегратора

Анализаторы исходного кода — обзор рынка в России и в мире

Катастрофические последствия программных ошибок

Хроника проишествий, аварий и катастроф, связанных с программными ошибками

Небольшой набросок о том с чего начать свой путь в индустрию ИБ новичку

https://telegra.ph/S-chego-novichku-nachat-svoj-put-v-IB-04-24

«CISSP All-in-One Exam Guide» by Shon Harris - одна из лучших книг по тебе ИБ для широкого круга лиц

Краткий обзор самых базовых рекомендаций и нативных настроек безопасности для Docker-ориентированной ИТ-инфраструктуры
https://telegra.ph/Usilivaem-bezopasnost-infrastruktury-Docker-04-30

Свежий подгон аналитики по ИТ-рынку (ЗП, опыт, региональные особенности, разброс по специализациям и т.д.) от апреля 2019 года. ИБ как отдельное направление в данной подборке отсутствует, но для общего ориентира по высоко-технологичной отрасли предложенные данные использовать можно #job

https://yandex.ru/company/researches/2019/it-jobs

Слив моей заключительной статьи по форензике Linux. Оригинал находится на сайте журнала ][акер https://xakep.ru/2019/04/12/forensics-linux-attack/

🐧 Форензика в Linux

В этой статье мы детально разбираем большой кейс с атакой на целую ферму машин под управлением Linux. Нас ждет взлом веб-сервера, заражение майнером, эскалация root из виртуального контейнера и создание ячейки ботнета, которая рассылала спам.

https://teletype.in/@it_ha/BktAhvKpN

Подъехала еще одна свежая аналитика от «Моего круга» про доп образованию для ИТ-шников (и соответственно как части высоко-технологичной индустрии для безопасников тоже). На сколько значимо сегодня дополнительное профильное образование, как его получают, в каких сферах, какой профит в итоге на практике, по каким личным критериям выбирают профиль, что предпочтительнее - курсы, книги, вебинары или очное посещение. Статистика, цифры, диаграмки - выводы делайте сами:) #job

https://habr.com/ru/company/moikrug/blog/454010/

Не хуическая подборка секурных тулз о которых шла речь на прошедшей конфе OFFZONE:

Cloud Security Suite или тулза для аудита безопасности облачных решения на базе Amazon и MS Azure
https://github.com/SecurityFTW/cs-suite

Доработка онлайн-сканера Shodan для поиска доступных в Интернете не пропатченных или криво сконфигурированных с точки зрения ИБ кластеров Kubernetes
https://github.com/averonesis/kubolt

Убойная связка из тулз nmap + Shodan + Censys для поиска уязвимых хостов в Интернете для массового пен-теста :D
https://github.com/sdnewhop/grinder