О том почему иногда стоит разориться на оригинальные комлектующие (шнурки, зарядки и т.д.) к своим девайсам, к примеру то как это навязывает своей политикой обслуживания Apple.

Пруфы :

Хак ноута через BadUSB-закладку
https://twitter.com/_MG_/status/949684949614907395

Поимели ̶ ̶с̶в̶е̶р̶х̶ ̶з̶а̶щ̶и̶щ̶е̶н̶н̶ы̶й̶ мак
https://twitter.com/_MG_/status/947719280975495169

Видос демо BadUSB Hub
https://www.youtube.com/watch?v=6mDspyi5ROw

О проблеме BadUSB чуть подробнее https://opensource.srlabs.de/projects/badusb

#hardware

Друзья, новости для тех, кто не успел записаться и попасть в основной поток на мой авторский обучающий курс "Безопасность Linux". Набор еще будет продолжаться в течении всей следующей недели! #linux #education

Промо код на дополнительную скидку: START2019

Только лучшие мировые практики, топовые темы, реальные кейсы из жизни, лучшие преподаватели из индустрии ИТ\ИБ, большой пул практических работ и возможность трудоустройства в компаниях-партнерах!

Успей попасть в сообщество профессионалов!

[www]
https://otus.ru/lessons/bezopasnost-linux

[вступительный тест]
https://otus.ru/assessment/90

Интересные новости из индустрии ИБ на середину текущего месяца:

Баг CVE-2019-11728 основанный на применении HTTP-заголовка Alt-Svc и позволяющий осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети фаером
http://www.opennet.ru/opennews/art.shtml?num=51278

Реинкарнация совсем свежей баги для всех новых версий Windows получила название BlueKeep 2 ̶ б̶о̶г̶ ̶м̶о̶й̶,̶ ̶M̶i̶c̶r̶o̶s̶o̶f̶t̶,̶ ̶ч̶т̶о̶ ̶т̶ы̶ ̶д̶е̶л̶а̶е̶ш̶ь̶,̶ ̶п̶р̶е̶к̶р̶а̶т̶и̶!̶
https://habr.com/ru/company/solarsecurity/blog/463591/

Найдены опасные баги в самолетах Boing 787 (новейшие модели!!!!) и это уже не шутки, не взлом автомата с газировкой, речь о жизни людей, так что, для тех кто легкомысленно относился - ИБ это вам не игрушки
https://xakep.ru/2019/08/09/boeing-787-bugs/

Впервые в свет вышел дистриб для пен-теста на базе Windows получивший название Complete Mandiant Offensive VM (Commando VM) . Заирайте с GitHub пока есть)))
https://github.com/fireeye/commando-vm

̶Н̶е̶е̶б̶и̶ч̶е̶с̶к̶и̶й̶ ̶б̶а̶г̶ ̶ Новый потенциально опасный баг в ядре Linux, снова проблемы с памятью, пора пить таблетки
https://www.opennet.ru/opennews/art.shtml?num=51231

Подгон для DevOps’ов, вебинар от Yandex по теме "Управление кластерами Kubernetes в Яндекс.Облаке" (типа реклама, но кое что есть в лекции и толковое)
https://events.webinar.ru/yandex/2557219/

И еще одно видео на схожую тему "Yandex Managed Service for Kubernetes"
https://www.youtube.com/watch?v=_GHGEhj5pUs&list=PL1x4ET76A10Y9J2Lx28t7sZmAtEwZzQzz&index=7&t=0s

Пак функциональных powershell-скриптов и других тулз из собственной коллекции инструментов для проведения аудита ИБ серверых и десктопных платформ на базе ОС Windows

За последнее время мне падало несколько тасков по просчету профита перехода с in-house ИТ-инфраструктуры на облачные сервисы (т.к. Amazon web Services, MS Azure, Google Cloud). В классическом варианте расчета экономической эффективности применяются формулы из инвестиционного анализа, но для экспресс оценки и просчета стоимости миграции вычислительных мощностей в Cloud подойдут и специальные калькуляторы, которыми сегодня и хочу поделиться.

Ну а, что, ведь облака это не только ИТ-шная тема, есть различные Secure SaaS-услуги по информационной безопасности. А кому интересно, моя статья на эту тему (по правилам редакции доступ к контенту платный, но кому реально нужно я поделюсь:)
http://www.reglament.net/bank/raschet/2017_1/get_article.htm?id=4988

Пример расчета от IT-Line
https://www.it-lite.ru/iaas/#more

Расчет виртуальной ИТ-инфраструктуры на базе Mail.Ru Services
https://habr.com/ru/article/348888/#rec47955717

̶М̶е̶г̶а̶ ̶е̶б̶и̶ч̶е̶с̶к̶о̶е̶ ̶ облако от Яндекса
https://cloud.yandex.ru/prices

Полезные статейки на тему расчета TCO от VMGuru
(1) https://www.vmgu.ru/news/vmware-virtual-san-tco-and-sizing-calculator
(2) https://www.vmgu.ru/articles/vmware-citrix-parallels-microsoft-tco
(3) https://www.vmgu.ru/articles/it-grad-iaas-vs-onprem-calculations
(4) https://www.vmgu.ru/news/vmware-cloud-compass

И напоследок интересный пост с Хабра
https://habr.com/ru/company/cloud4y/blog/425003/

Друзья, для тех кто хочет в живую увидеть легенды мира ИТ, а тем более родом из Штатов, 27 августа с 18-00 до 20-00ч на площадке Московского Политеха (ул. Большая Семеновская, 38. Аудитория А202) выступит Ричард Столлман – один из пионеров ИТ-индустрии, основатель движения свободного ПО (Open Sources), проекта GNU, Фонда свободных программ и т.п.

Вход на эвент бесплатный, но требуется предварительная регистрация. Организаторы обещают синхронный перевод, но будьте готовы слушать живую речь на английском))

Линк на регистрацию:
https://mospolytech002.timepad.ru/event/1039245/

Пруф новости:
https://habr.com/ru/company/jugru/blog/455936/

А вот легендарный фильм о Open Sources, GNU и Linux, там тоже есть Столманн, кто еще не видел цените обязательно
https://www.youtube.com/watch?v=KSt1vNqIfFw

Друзья, дорогие подписчики, принято решение открыть группу для обещания w2hack discussion - чатик, где можно обсуждать выкладываемые материалы, задавать вопросы, делиться ссылками, личным мнением, опытом, какими-то файлами и т.п. Ну, и просто, иногда пофлудить за жизнь😊

Линк на вступление в чат:
https://news.1rj.ru/str/joinchat/CkZnXBRdlNpbuJ9SZt3bAA

В скором времени так же будут запущены стримы, я буду на видео отвечать на ваши вопросы, рассказывать истории, кейсы из практики, все то, что вам будет интересно! Так, что пишете, не стесняйтесь свои вопросы, идеи, мысли в чат или мне на почту w2hack@mail.ru

Друзья, небольшое чтиво на эти выходные - пара коротких статей с Хабра о "пути в индустрию ИБ" и сервисах оценки работодателей от имени сотрудников, которые там сейчас работают или когда-либо работали.

Хоть и несколько жиденько, но таки базовые вещи расжеваны, новичкам must read
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
https://habr.com/ru/company/moikrug/blog/464563/

Где реально можно узнать об ( ̶И̶Т̶) компании до того как пойти туда устраиваться работать
Где и как разработчики оценивают своих работодателей? Сервисы оценки компаний в ИТ-индустрии
https://habr.com/ru/company/moikrug/blog/417709/

Обзор некоторых векторов атак, имеющихся на сегодня проблем безопасности, а так же советы по усилению защиты и утилиты для аудита, мониторинга и контроля security level для "великого кормчего" - системы контейнерной оркестрации Kubernetes

https://telegra.ph/Velikij-kormchij-Vektora-atak-i-sposoby-zashchity-DevOps-klastera-na-baze-Kubernetes-08-27

Набор дополнительных материалов (книги и исходники некоторых утилит) к статье "Великий кормчий. Вектора атак и способы защиты DevOps-кластера на базе Kubernetes"

Питерское комьюнити SpbCTF (университет ИТМО) стартуют новый сезон подготовки и соревнований в стиле CTF и спортивного хакинга. Данный учебный курс рассчитан для начинающих — после тренировок каждый слушатель будет понимать, как решать базовые задачи на CTF и как готовися к соревнованиям. Занятия бесплатные, регистрация до 1 октября 👉✍️ forms.gle/qvdNNVeZhUg62Bt78

🚀 🏆🥇Кому точно имеет смысл подать заявку:
— школьникам и студентам, тяготеющим к IT и ищущим чего-то большего, чем разработка или спортивное программирование
— новичкам в инфобезе, кому интересна практическая безопасность
— людям с хакерской смекалкой (если любите докапываться до глубин в системах и понимать, как система работает, постоянно ищете способ сделать не так, как задумано)

**Очные семинары бесплатны, но с регистрацией и по конкурсу. Тренируемся на площадке Университета ИТМО по воскресеньям, в среднем 4-5 часов.
📌📲 Зарегистрироваться: forms.gle/qvdNNVeZhUg62Bt78

Дополнительная информация vk.com/wall-114366489_1548

#event

Дорогие подписчики и друзья, наш @w2hack канал продолжает расти изо дня в день и наполняться, надеюсь, интересным контентом. И, раз нас стало уже так много🥳🥳🥳 пришло время начать традицию проведения хакерских конкурсов и квестов🏆✍️💻

И в честь начала нового учебного сезона, начнем мы с первой небольшой викторины Hack Quiz #1 состоящей из 3-х довольно простецких задачек⚙️🔡 Для их решения тебе требуются лишь базовые знания в ИТ, немного криптографии и чуть-чуть смекалки🔐

Первые участник решивший все задания получают код на 80% скидку годовой подписки журнала ][акер, и три других победителя коды на 55% скидку. Ответы принимаются до 16 сентября на почту w2hack@mail.ru

PDF-файл Hack_Quiz#1_newbie_[w2hack] с задачами будет выложен после этого поста отдельным сообщением.

Ну, и скоро ждите стримов, там мы разыграем фирменные футболки и кепки с логотипом ][

#info #quiz

Задачки к Hack Quiz#1

Дорогие друзья, не прошла и неделя, а наш первый конкурс Hack Quiz#1 объявляется завершенным потому, что я получил уже большое количество писем с решением указанных задач. Спасибо всем большое за участие, победителям на почтовые ящики или другие указанные им контакты сегодня будут отправлены коды на подписку журнала ][акер.

Надеюсь, идея вам понравилась. Дальше будет интереснее – более серьезные задания, широкий спектр затрагиваемых компетенций (криптография, реверс, форензика, coding, web и т.д.), конечно же значимые призы, и для тех, кто желает, разбор задач после завершения соревнований. Сейчас идут переговоры с партнерами и спонсорами и в планах создание виртуальной CTF-лаборатории в облаке с заданиями в стиле task-based / jeopardy или даже attack-defense

https://www.youtube.com/watch?v=8qTj9rlL9Ug&feature=youtu.be

#malware #education #reverse #forensic #info

Набор документов (чек-листы, гайды, best practices), котырые я использую на лекционных уроках и практических занятиях своего авторского курса "Безопасность Linux".

Теперь и для всех подписчиков @w2hack.

Be a secure!:)

Друзья, сборка интересных новостей и секурных тулз из мира ИБ за этот месяц

Бесплатный 15-ти часовой Youtube-курс для начинающих пентестеров - обзор таких тем как Passive OSINT, Scanning Tools & Tactics, Enumeration, Exploitation, Shells, NTLM Relay, Token Impersonation, Pass the Hash, PsExec, MS17-010, GPP/cPasswords, and Kerberoasting
[WWW] https://www.youtube.com/watch?v=3Kq1MIfTWCE
[GitHub Labs] https://github.com/hmaverickadams/Beginner-Network-Pentesting

Прохладные истории от Бума про уязвимости веб-приложений - видео запись августовского митапа по безопасности Web-приложений от Антона Лопаницына известного как b00m. Web пен-тестерам рекомендовано к просмотру
[WWW] https://youtu.be/5PanDDvpLwE

Инженеры из о̶х̶у̶е̶н̶ч̶е̶с̶к̶о̶г̶о̶ ̶ CERT Cisco Talos выпустили плагин GhIDA, позволяющий интегрировать декомпилятор Ghidra в IDA Pro 7.x. - теперь никаких споров что барще IDA Pro или Ghidra:) все в одном чемодане!
[WWW] https://blog.talosintelligence.com/2019/09/ghida.html
{GitHub] https://github.com/Cisco-Talos/GhIDA

Релиз легендарного сканера Nmap 7.80 «Defcon Release» - хотя стал еще доступен в августе, но потестить мне довелось его только сейчас. Тулза мощная, заменили устаревший драйвер winpcap на npcap, эднули 11 новых NSE скриптов и полную поддержку Vulners NSE (охуенная фича для экспресс скана CVE!).
[WWW] https://seclists.org/nmap-announce/2019/0

Еще один бесплатный обучающий курс по основам использования Burp Suite для пен-теста веб-сайтов
[WWW] https://hackademy.aetherlab.net/
[YouTube] https://www.youtube.com/watch?v=udl4oqr_ylM&list=PLq9n8iqQJFDrwFe9AEDBlR1uSHEN7egQA

Переиздание известной книги "Reverse Engineering для начинающих" от автора Дениса Юричева - начинающим реверсерам и malware-аналитикам к прочтению!
[PDF BOOK] http://beginners.re/RE4B-RU.pdf

Mobile Security Framework (MobSF) – ̶п̶и̶з̶д̶а̶т̶ы̶й̶ ̶р̶е̶л̶и̶з̶ свежий релиз фреймворка для анализа мобильных приложений на наличие вредоносного кода
[WWW] https://medium.com/@kshitishirke/mobile-security-framework-mobsf-static-analysis-df22fcdae46e
[WWW] https://n0where.net/mobile-security-framework-mobsf
[GitHub] https://github.com/MobSF/Mobile-Security-Framework-MobSF

LeakLooker - крутая тулза для серчинга открытых базы данных MongoDB, CouchDB и Elasticsearch, а также инстансов Kibana. Скрипт с помощью Shodan выкатывает вам все БД-шки, которые можно похакать удаленно в сети! Только для ознакомления!
[GitHub] https://github.com/woj-ciech/LeakLooker

В работе законопроект обещающий за хранение данных россиян за рубежом могут ввести штрафы до 18 млн рублей ̶Е̶б̶а̶т̶ь̶,̶ ̶н̶у̶ ̶д̶е̶л̶а̶ теперь то за неисполнение ФЗ-152 можно будет подтянуть по-серьезному!
[PROOF] http://duma.gov.ru/news/46177/

В догонку темы про Персональные данные, вот подборка доков по GDPR от Pr0Zor.off - бумажным безопасникам на заметку!
[WWW] https://80na20.blogspot.com/p/gpdr.html

Рейтинг VPN приложений для Android сливающих инфу о своих пользователях! - "бесплатные" VPN как правило фейк
[WWW] https://www.cnet.com/news/7-android-vpn-apps-you-should-never-use-because-of-their-privacy-sins/

А вот список сервисов для проверки VPN на утечки:
(1) https://www.hidester.com/dns-leak-test
(2) http://www.dnsleak.com
(3) https://www.dnsleaktest.com

Минобрнауки предложило новые стандарты по ИБ - ̶к̶ ̶с̶о̶ж̶а̶л̶е̶н̶и̶ю̶,̶ ̶с̶ ̶В̶У̶З̶а̶м̶и̶ ̶в̶с̶е̶ ̶т̶а̶к̶ ̶ж̶е̶ ̶п̶л̶о̶х̶о̶ ̶к̶а̶к̶ ̶и̶ ̶б̶ы̶л̶о̶:̶(̶ ̶н̶о̶ ̶н̶а̶д̶е̶ж̶д̶а̶ ̶е̶с̶т̶ь̶ - хоть какая то попытка приблизить программы обучения студентов к тому что реально сегодня требует рынок ИБ
[WWW] https://www.comnews.ru/content/121868/2019-09-09/minobrnauki-predlozhilo-novye-standarty-po-ib#

Какая-то ̶г̶а̶в̶н̶о̶ игра для начинающих учиться на профиле ИБ, которая по мнению госов должна всех заинтересовать
[WWW] https://habr.com/ru/post/286114/

Список документов (ГОСТы) находящихся в разработке во ФСТЭК (комитет ТК-362) - то что зарелизится в конце этого или след году и к чему нужно будет готовиться госам и части комерсов
[WWW] https://fstec.ru/tk-362/standarty-tk362/303-proekty

Подборка некоторых книг, статей и презентаций на тему безопасности блокчейна и продуктов на нем построенных (смарт-контракты)

Друзья, меня долго не было в эфире, я уезжал в отпуск и вот теперь снова с вами, а за это время накопилось не мало гудных новостей и полезняшек. И так обзор свежечка и актуальщины на середину осени 2019.

НОВОСТИ

Думаешь в ЦРУ одни дебилы как нам рассказывает Володя с телевизора? K.G.B. обосралось не меньше, крупнейшая утечка данных из СОРМ, их вассал МТС льет все данные, что есть в ЦОДах. За ними жидко обделалась РЖД. А ты думал все хорошо?))
[Rus] https://www.the-village.ru/village/city/situation/362497-mts-sorm
[Rus] https://habr.com/ru/news/t/465053/
[Eng] https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#spreadsheets
[Rus] https://thebell.io/gosudarstvo-otkrytogo-dostupa-dannye-rossiyan-utekli-cherez-sajt-rzhd-i-sistemu-sorm/

Хочешь стать богом, но не знаешь как!? ̶О̶х̶у̶и̶т̶е̶л̶ь̶н̶а̶я̶ опасная уязвимость в sudo (CVE-2019-14287). Поиметь систему стало еще проще – пен-тестерам и хакерам😊 на заметку!
[News] https://www.securitylab.ru/news/501759.php
[YouTube] https://www.youtube.com/watch?v=btUf1O7lQmY

Спустя много лет энтузиасты ̶п̶о̶д̶л̶о̶м̶а̶л̶и̶ расшифровали пароли отцов-основателей Unix - Брайна Кернигана и Кена Томпсона, и как оказалось пароли там.. вообщем выводы делайте сами!
[Rus] https://devsday.ru/blog/details/968

Линус Торвальдс, отец-основатель Linux ̶н̶а̶д̶а̶в̶а̶л̶ ̶л̶а̶д̶о̶ш̶к̶о̶й̶ ̶п̶о̶ ̶г̶у̶б̶а̶м̶ ̶ затягивает гайки в целях повышения безопасности, фича LockDown в новой версии ядра 5.4
[Web] https://habr.com/ru/news/t/470249/

Когда-то Kaspersky Free был не плохим продуктом, реальная альтернатива коммерческим решениям для домашнего использования.. Сейчас это какая ̶ ̶х̶у̶й̶н̶я̶ ̶ дич, Женя, что ты делаешь? Прекрати! У тебя что офис ̶ ̶е̶б̶а̶н̶и̶н̶а̶ так себе, что твои продукты в туже сторону (бага, которую патчили аж полгода!)
[Web] https://www.computerra.ru/241038/kaspersky-free/
[Web] https://habr.com/ru/news/t/463893/

Год после того как IBM купила RedHat, первые отчеты
[Web] https://servernews.ru/995767

На одной из лекций в ВУЗе, где я читал, рассказывал о встроенных закладках (backdoor), но большинство думают, что они в софте, а они есть и в железе – кейс с ГазПромом и Cisco
[Web] https://www.rbc.ru/business/15/10/2019/5da5f1e19a7947cfb127bdfd?from=from_main
[Web] https://habr.com/ru/news/t/471398/

Продлолжаем наш предыдущий пост

ЗАДАЧКИ, АКТИВНОСТИ

Комрады из SPbCFT (университет ИТМО, Питер) активно стартовали сезон подготовки молодежи к CTF-соревнованиям, уроки открытые и бесплатные, в паблике доки и разборы
[Telegram] https://news.1rj.ru/str/spbctfnews
[VK Offical] https://vk.com/spbctf

Разбор тасков по reverse engineering с батла Flare-On 2019 - 12 заданий с кодом, скриншотами и объяснениями основных моментов
https://habr.com/ru/company/dsec/blog/469393/

Сберовская ̶н̶е̶б̶и̶ч̶е̶с̶к̶и̶ ̶х̶у̶е̶е̶.̶.̶ ̶к̶р̶у̶т̶е̶ц̶к̶а̶я̶?̶ контора Bi.Zone топит за свою нишу и делает CTF в формате Jeopardy, старт 30 ноября
[Web] https://ctftime.org/event/894
[Web Offical] http://ctf.bi.zone

Интерактивные уроки по взлому web от команды Hacksplaining- SQL-инъекции, разные виды XSS, XML-бомбы, эскалация привилегий, кликджекинг и
[News] https://xakep.ru/2016/08/18/www-hacksplaining/
[Web] https://www.hacksplaining.com/

Подборка ресурсов и вирутальных лаборатория для прокачки скиллов пен-теста, реверса и форензики
[Web] https://pikabu.ru/story/22_sayta_dlya_praktiki_khakinga_i_zashchityi_5782522
[Web] https://proglib.io/p/sec-protection/

True лаборатория для тех, кто хочет научиться ̶л̶о̶м̶а̶т̶ь̶ тестить на защищенность облачные среды, например, такие как AWS
[Web] https://github.com/RhinoSecurityLabs/cloudgoat

Рассказ о том как искали хардварный баг в микропроцессоре
[Web] https://habr.com/ru/post/471020/

Оконцовочка поста

ТУЛЗЫ и MUST HAVE

Sooty (SOC Analysts all-in-one CLI tool) - весьма годная утилитка в CLI-режиме, которая очень хорошо сгодится для форензик-экспертов и аналитиков SOC, кто занимается разбором инцидентов ИБ
[Web] https://github.com/TheresAFewConors/Sooty

Тулза Cockpit – упрощение типичных административных задач в Linux как замена webmin и им подобным
[Web] https://habr.com/ru/post/471220/

ПОЛЕЗНЯШКИ

Одна из самых долго живущих адекватных библиотек без рекламы и прямойцскачкой книг
[Hack and Security] http://www.classs.ru/library/safebusiness.html
[IT] http://www.classs.ru/library/tehnologii.html

̶п̶с̶е̶в̶д̶о̶ ответы на типичные вопросы новичков – как стать ̶ о̶х̶у̶е̶н̶н̶ы̶м̶ ̶ хакером, как начать жить в 40 и подняться на ИТ\ИБ, хочу денег и машину, и т.д., чтиво, когда нехер делать
[Web] https://vc.ru/story/86714-chem-zanimaetsya-belyy-haker-kak-im-stat-i-skolko-mozhno-zarabotat
[Web] https://habr.com/ru/company/otus/blog/467923/
[Web] https://tproger.ru/experts/how-to-become-an-expert-in-infosec/