Интересные новости из индустрии ИБ на середину текущего месяца:

Баг CVE-2019-11728 основанный на применении HTTP-заголовка Alt-Svc и позволяющий осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети фаером
http://www.opennet.ru/opennews/art.shtml?num=51278

Реинкарнация совсем свежей баги для всех новых версий Windows получила название BlueKeep 2 ̶ б̶о̶г̶ ̶м̶о̶й̶,̶ ̶M̶i̶c̶r̶o̶s̶o̶f̶t̶,̶ ̶ч̶т̶о̶ ̶т̶ы̶ ̶д̶е̶л̶а̶е̶ш̶ь̶,̶ ̶п̶р̶е̶к̶р̶а̶т̶и̶!̶
https://habr.com/ru/company/solarsecurity/blog/463591/

Найдены опасные баги в самолетах Boing 787 (новейшие модели!!!!) и это уже не шутки, не взлом автомата с газировкой, речь о жизни людей, так что, для тех кто легкомысленно относился - ИБ это вам не игрушки
https://xakep.ru/2019/08/09/boeing-787-bugs/

Впервые в свет вышел дистриб для пен-теста на базе Windows получивший название Complete Mandiant Offensive VM (Commando VM) . Заирайте с GitHub пока есть)))
https://github.com/fireeye/commando-vm

̶Н̶е̶е̶б̶и̶ч̶е̶с̶к̶и̶й̶ ̶б̶а̶г̶ ̶ Новый потенциально опасный баг в ядре Linux, снова проблемы с памятью, пора пить таблетки
https://www.opennet.ru/opennews/art.shtml?num=51231

Подгон для DevOps’ов, вебинар от Yandex по теме "Управление кластерами Kubernetes в Яндекс.Облаке" (типа реклама, но кое что есть в лекции и толковое)
https://events.webinar.ru/yandex/2557219/

И еще одно видео на схожую тему "Yandex Managed Service for Kubernetes"
https://www.youtube.com/watch?v=_GHGEhj5pUs&list=PL1x4ET76A10Y9J2Lx28t7sZmAtEwZzQzz&index=7&t=0s

Пак функциональных powershell-скриптов и других тулз из собственной коллекции инструментов для проведения аудита ИБ серверых и десктопных платформ на базе ОС Windows

За последнее время мне падало несколько тасков по просчету профита перехода с in-house ИТ-инфраструктуры на облачные сервисы (т.к. Amazon web Services, MS Azure, Google Cloud). В классическом варианте расчета экономической эффективности применяются формулы из инвестиционного анализа, но для экспресс оценки и просчета стоимости миграции вычислительных мощностей в Cloud подойдут и специальные калькуляторы, которыми сегодня и хочу поделиться.

Ну а, что, ведь облака это не только ИТ-шная тема, есть различные Secure SaaS-услуги по информационной безопасности. А кому интересно, моя статья на эту тему (по правилам редакции доступ к контенту платный, но кому реально нужно я поделюсь:)
http://www.reglament.net/bank/raschet/2017_1/get_article.htm?id=4988

Пример расчета от IT-Line
https://www.it-lite.ru/iaas/#more

Расчет виртуальной ИТ-инфраструктуры на базе Mail.Ru Services
https://habr.com/ru/article/348888/#rec47955717

̶М̶е̶г̶а̶ ̶е̶б̶и̶ч̶е̶с̶к̶о̶е̶ ̶ облако от Яндекса
https://cloud.yandex.ru/prices

Полезные статейки на тему расчета TCO от VMGuru
(1) https://www.vmgu.ru/news/vmware-virtual-san-tco-and-sizing-calculator
(2) https://www.vmgu.ru/articles/vmware-citrix-parallels-microsoft-tco
(3) https://www.vmgu.ru/articles/it-grad-iaas-vs-onprem-calculations
(4) https://www.vmgu.ru/news/vmware-cloud-compass

И напоследок интересный пост с Хабра
https://habr.com/ru/company/cloud4y/blog/425003/

Друзья, для тех кто хочет в живую увидеть легенды мира ИТ, а тем более родом из Штатов, 27 августа с 18-00 до 20-00ч на площадке Московского Политеха (ул. Большая Семеновская, 38. Аудитория А202) выступит Ричард Столлман – один из пионеров ИТ-индустрии, основатель движения свободного ПО (Open Sources), проекта GNU, Фонда свободных программ и т.п.

Вход на эвент бесплатный, но требуется предварительная регистрация. Организаторы обещают синхронный перевод, но будьте готовы слушать живую речь на английском))

Линк на регистрацию:
https://mospolytech002.timepad.ru/event/1039245/

Пруф новости:
https://habr.com/ru/company/jugru/blog/455936/

А вот легендарный фильм о Open Sources, GNU и Linux, там тоже есть Столманн, кто еще не видел цените обязательно
https://www.youtube.com/watch?v=KSt1vNqIfFw

Друзья, дорогие подписчики, принято решение открыть группу для обещания w2hack discussion - чатик, где можно обсуждать выкладываемые материалы, задавать вопросы, делиться ссылками, личным мнением, опытом, какими-то файлами и т.п. Ну, и просто, иногда пофлудить за жизнь😊

Линк на вступление в чат:
https://news.1rj.ru/str/joinchat/CkZnXBRdlNpbuJ9SZt3bAA

В скором времени так же будут запущены стримы, я буду на видео отвечать на ваши вопросы, рассказывать истории, кейсы из практики, все то, что вам будет интересно! Так, что пишете, не стесняйтесь свои вопросы, идеи, мысли в чат или мне на почту w2hack@mail.ru

Друзья, небольшое чтиво на эти выходные - пара коротких статей с Хабра о "пути в индустрию ИБ" и сервисах оценки работодателей от имени сотрудников, которые там сейчас работают или когда-либо работали.

Хоть и несколько жиденько, но таки базовые вещи расжеваны, новичкам must read
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
https://habr.com/ru/company/moikrug/blog/464563/

Где реально можно узнать об ( ̶И̶Т̶) компании до того как пойти туда устраиваться работать
Где и как разработчики оценивают своих работодателей? Сервисы оценки компаний в ИТ-индустрии
https://habr.com/ru/company/moikrug/blog/417709/

Обзор некоторых векторов атак, имеющихся на сегодня проблем безопасности, а так же советы по усилению защиты и утилиты для аудита, мониторинга и контроля security level для "великого кормчего" - системы контейнерной оркестрации Kubernetes

https://telegra.ph/Velikij-kormchij-Vektora-atak-i-sposoby-zashchity-DevOps-klastera-na-baze-Kubernetes-08-27

Набор дополнительных материалов (книги и исходники некоторых утилит) к статье "Великий кормчий. Вектора атак и способы защиты DevOps-кластера на базе Kubernetes"

Питерское комьюнити SpbCTF (университет ИТМО) стартуют новый сезон подготовки и соревнований в стиле CTF и спортивного хакинга. Данный учебный курс рассчитан для начинающих — после тренировок каждый слушатель будет понимать, как решать базовые задачи на CTF и как готовися к соревнованиям. Занятия бесплатные, регистрация до 1 октября 👉✍️ forms.gle/qvdNNVeZhUg62Bt78

🚀 🏆🥇Кому точно имеет смысл подать заявку:
— школьникам и студентам, тяготеющим к IT и ищущим чего-то большего, чем разработка или спортивное программирование
— новичкам в инфобезе, кому интересна практическая безопасность
— людям с хакерской смекалкой (если любите докапываться до глубин в системах и понимать, как система работает, постоянно ищете способ сделать не так, как задумано)

**Очные семинары бесплатны, но с регистрацией и по конкурсу. Тренируемся на площадке Университета ИТМО по воскресеньям, в среднем 4-5 часов.
📌📲 Зарегистрироваться: forms.gle/qvdNNVeZhUg62Bt78

Дополнительная информация vk.com/wall-114366489_1548

#event

Дорогие подписчики и друзья, наш @w2hack канал продолжает расти изо дня в день и наполняться, надеюсь, интересным контентом. И, раз нас стало уже так много🥳🥳🥳 пришло время начать традицию проведения хакерских конкурсов и квестов🏆✍️💻

И в честь начала нового учебного сезона, начнем мы с первой небольшой викторины Hack Quiz #1 состоящей из 3-х довольно простецких задачек⚙️🔡 Для их решения тебе требуются лишь базовые знания в ИТ, немного криптографии и чуть-чуть смекалки🔐

Первые участник решивший все задания получают код на 80% скидку годовой подписки журнала ][акер, и три других победителя коды на 55% скидку. Ответы принимаются до 16 сентября на почту w2hack@mail.ru

PDF-файл Hack_Quiz#1_newbie_[w2hack] с задачами будет выложен после этого поста отдельным сообщением.

Ну, и скоро ждите стримов, там мы разыграем фирменные футболки и кепки с логотипом ][

#info #quiz

Задачки к Hack Quiz#1

Дорогие друзья, не прошла и неделя, а наш первый конкурс Hack Quiz#1 объявляется завершенным потому, что я получил уже большое количество писем с решением указанных задач. Спасибо всем большое за участие, победителям на почтовые ящики или другие указанные им контакты сегодня будут отправлены коды на подписку журнала ][акер.

Надеюсь, идея вам понравилась. Дальше будет интереснее – более серьезные задания, широкий спектр затрагиваемых компетенций (криптография, реверс, форензика, coding, web и т.д.), конечно же значимые призы, и для тех, кто желает, разбор задач после завершения соревнований. Сейчас идут переговоры с партнерами и спонсорами и в планах создание виртуальной CTF-лаборатории в облаке с заданиями в стиле task-based / jeopardy или даже attack-defense

https://www.youtube.com/watch?v=8qTj9rlL9Ug&feature=youtu.be

#malware #education #reverse #forensic #info

Набор документов (чек-листы, гайды, best practices), котырые я использую на лекционных уроках и практических занятиях своего авторского курса "Безопасность Linux".

Теперь и для всех подписчиков @w2hack.

Be a secure!:)

Друзья, сборка интересных новостей и секурных тулз из мира ИБ за этот месяц

Бесплатный 15-ти часовой Youtube-курс для начинающих пентестеров - обзор таких тем как Passive OSINT, Scanning Tools & Tactics, Enumeration, Exploitation, Shells, NTLM Relay, Token Impersonation, Pass the Hash, PsExec, MS17-010, GPP/cPasswords, and Kerberoasting
[WWW] https://www.youtube.com/watch?v=3Kq1MIfTWCE
[GitHub Labs] https://github.com/hmaverickadams/Beginner-Network-Pentesting

Прохладные истории от Бума про уязвимости веб-приложений - видео запись августовского митапа по безопасности Web-приложений от Антона Лопаницына известного как b00m. Web пен-тестерам рекомендовано к просмотру
[WWW] https://youtu.be/5PanDDvpLwE

Инженеры из о̶х̶у̶е̶н̶ч̶е̶с̶к̶о̶г̶о̶ ̶ CERT Cisco Talos выпустили плагин GhIDA, позволяющий интегрировать декомпилятор Ghidra в IDA Pro 7.x. - теперь никаких споров что барще IDA Pro или Ghidra:) все в одном чемодане!
[WWW] https://blog.talosintelligence.com/2019/09/ghida.html
{GitHub] https://github.com/Cisco-Talos/GhIDA

Релиз легендарного сканера Nmap 7.80 «Defcon Release» - хотя стал еще доступен в августе, но потестить мне довелось его только сейчас. Тулза мощная, заменили устаревший драйвер winpcap на npcap, эднули 11 новых NSE скриптов и полную поддержку Vulners NSE (охуенная фича для экспресс скана CVE!).
[WWW] https://seclists.org/nmap-announce/2019/0

Еще один бесплатный обучающий курс по основам использования Burp Suite для пен-теста веб-сайтов
[WWW] https://hackademy.aetherlab.net/
[YouTube] https://www.youtube.com/watch?v=udl4oqr_ylM&list=PLq9n8iqQJFDrwFe9AEDBlR1uSHEN7egQA

Переиздание известной книги "Reverse Engineering для начинающих" от автора Дениса Юричева - начинающим реверсерам и malware-аналитикам к прочтению!
[PDF BOOK] http://beginners.re/RE4B-RU.pdf

Mobile Security Framework (MobSF) – ̶п̶и̶з̶д̶а̶т̶ы̶й̶ ̶р̶е̶л̶и̶з̶ свежий релиз фреймворка для анализа мобильных приложений на наличие вредоносного кода
[WWW] https://medium.com/@kshitishirke/mobile-security-framework-mobsf-static-analysis-df22fcdae46e
[WWW] https://n0where.net/mobile-security-framework-mobsf
[GitHub] https://github.com/MobSF/Mobile-Security-Framework-MobSF

LeakLooker - крутая тулза для серчинга открытых базы данных MongoDB, CouchDB и Elasticsearch, а также инстансов Kibana. Скрипт с помощью Shodan выкатывает вам все БД-шки, которые можно похакать удаленно в сети! Только для ознакомления!
[GitHub] https://github.com/woj-ciech/LeakLooker

В работе законопроект обещающий за хранение данных россиян за рубежом могут ввести штрафы до 18 млн рублей ̶Е̶б̶а̶т̶ь̶,̶ ̶н̶у̶ ̶д̶е̶л̶а̶ теперь то за неисполнение ФЗ-152 можно будет подтянуть по-серьезному!
[PROOF] http://duma.gov.ru/news/46177/

В догонку темы про Персональные данные, вот подборка доков по GDPR от Pr0Zor.off - бумажным безопасникам на заметку!
[WWW] https://80na20.blogspot.com/p/gpdr.html

Рейтинг VPN приложений для Android сливающих инфу о своих пользователях! - "бесплатные" VPN как правило фейк
[WWW] https://www.cnet.com/news/7-android-vpn-apps-you-should-never-use-because-of-their-privacy-sins/

А вот список сервисов для проверки VPN на утечки:
(1) https://www.hidester.com/dns-leak-test
(2) http://www.dnsleak.com
(3) https://www.dnsleaktest.com

Минобрнауки предложило новые стандарты по ИБ - ̶к̶ ̶с̶о̶ж̶а̶л̶е̶н̶и̶ю̶,̶ ̶с̶ ̶В̶У̶З̶а̶м̶и̶ ̶в̶с̶е̶ ̶т̶а̶к̶ ̶ж̶е̶ ̶п̶л̶о̶х̶о̶ ̶к̶а̶к̶ ̶и̶ ̶б̶ы̶л̶о̶:̶(̶ ̶н̶о̶ ̶н̶а̶д̶е̶ж̶д̶а̶ ̶е̶с̶т̶ь̶ - хоть какая то попытка приблизить программы обучения студентов к тому что реально сегодня требует рынок ИБ
[WWW] https://www.comnews.ru/content/121868/2019-09-09/minobrnauki-predlozhilo-novye-standarty-po-ib#

Какая-то ̶г̶а̶в̶н̶о̶ игра для начинающих учиться на профиле ИБ, которая по мнению госов должна всех заинтересовать
[WWW] https://habr.com/ru/post/286114/

Список документов (ГОСТы) находящихся в разработке во ФСТЭК (комитет ТК-362) - то что зарелизится в конце этого или след году и к чему нужно будет готовиться госам и части комерсов
[WWW] https://fstec.ru/tk-362/standarty-tk362/303-proekty

Подборка некоторых книг, статей и презентаций на тему безопасности блокчейна и продуктов на нем построенных (смарт-контракты)

Друзья, меня долго не было в эфире, я уезжал в отпуск и вот теперь снова с вами, а за это время накопилось не мало гудных новостей и полезняшек. И так обзор свежечка и актуальщины на середину осени 2019.

НОВОСТИ

Думаешь в ЦРУ одни дебилы как нам рассказывает Володя с телевизора? K.G.B. обосралось не меньше, крупнейшая утечка данных из СОРМ, их вассал МТС льет все данные, что есть в ЦОДах. За ними жидко обделалась РЖД. А ты думал все хорошо?))
[Rus] https://www.the-village.ru/village/city/situation/362497-mts-sorm
[Rus] https://habr.com/ru/news/t/465053/
[Eng] https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#spreadsheets
[Rus] https://thebell.io/gosudarstvo-otkrytogo-dostupa-dannye-rossiyan-utekli-cherez-sajt-rzhd-i-sistemu-sorm/

Хочешь стать богом, но не знаешь как!? ̶О̶х̶у̶и̶т̶е̶л̶ь̶н̶а̶я̶ опасная уязвимость в sudo (CVE-2019-14287). Поиметь систему стало еще проще – пен-тестерам и хакерам😊 на заметку!
[News] https://www.securitylab.ru/news/501759.php
[YouTube] https://www.youtube.com/watch?v=btUf1O7lQmY

Спустя много лет энтузиасты ̶п̶о̶д̶л̶о̶м̶а̶л̶и̶ расшифровали пароли отцов-основателей Unix - Брайна Кернигана и Кена Томпсона, и как оказалось пароли там.. вообщем выводы делайте сами!
[Rus] https://devsday.ru/blog/details/968

Линус Торвальдс, отец-основатель Linux ̶н̶а̶д̶а̶в̶а̶л̶ ̶л̶а̶д̶о̶ш̶к̶о̶й̶ ̶п̶о̶ ̶г̶у̶б̶а̶м̶ ̶ затягивает гайки в целях повышения безопасности, фича LockDown в новой версии ядра 5.4
[Web] https://habr.com/ru/news/t/470249/

Когда-то Kaspersky Free был не плохим продуктом, реальная альтернатива коммерческим решениям для домашнего использования.. Сейчас это какая ̶ ̶х̶у̶й̶н̶я̶ ̶ дич, Женя, что ты делаешь? Прекрати! У тебя что офис ̶ ̶е̶б̶а̶н̶и̶н̶а̶ так себе, что твои продукты в туже сторону (бага, которую патчили аж полгода!)
[Web] https://www.computerra.ru/241038/kaspersky-free/
[Web] https://habr.com/ru/news/t/463893/

Год после того как IBM купила RedHat, первые отчеты
[Web] https://servernews.ru/995767

На одной из лекций в ВУЗе, где я читал, рассказывал о встроенных закладках (backdoor), но большинство думают, что они в софте, а они есть и в железе – кейс с ГазПромом и Cisco
[Web] https://www.rbc.ru/business/15/10/2019/5da5f1e19a7947cfb127bdfd?from=from_main
[Web] https://habr.com/ru/news/t/471398/

Продлолжаем наш предыдущий пост

ЗАДАЧКИ, АКТИВНОСТИ

Комрады из SPbCFT (университет ИТМО, Питер) активно стартовали сезон подготовки молодежи к CTF-соревнованиям, уроки открытые и бесплатные, в паблике доки и разборы
[Telegram] https://news.1rj.ru/str/spbctfnews
[VK Offical] https://vk.com/spbctf

Разбор тасков по reverse engineering с батла Flare-On 2019 - 12 заданий с кодом, скриншотами и объяснениями основных моментов
https://habr.com/ru/company/dsec/blog/469393/

Сберовская ̶н̶е̶б̶и̶ч̶е̶с̶к̶и̶ ̶х̶у̶е̶е̶.̶.̶ ̶к̶р̶у̶т̶е̶ц̶к̶а̶я̶?̶ контора Bi.Zone топит за свою нишу и делает CTF в формате Jeopardy, старт 30 ноября
[Web] https://ctftime.org/event/894
[Web Offical] http://ctf.bi.zone

Интерактивные уроки по взлому web от команды Hacksplaining- SQL-инъекции, разные виды XSS, XML-бомбы, эскалация привилегий, кликджекинг и
[News] https://xakep.ru/2016/08/18/www-hacksplaining/
[Web] https://www.hacksplaining.com/

Подборка ресурсов и вирутальных лаборатория для прокачки скиллов пен-теста, реверса и форензики
[Web] https://pikabu.ru/story/22_sayta_dlya_praktiki_khakinga_i_zashchityi_5782522
[Web] https://proglib.io/p/sec-protection/

True лаборатория для тех, кто хочет научиться ̶л̶о̶м̶а̶т̶ь̶ тестить на защищенность облачные среды, например, такие как AWS
[Web] https://github.com/RhinoSecurityLabs/cloudgoat

Рассказ о том как искали хардварный баг в микропроцессоре
[Web] https://habr.com/ru/post/471020/

Оконцовочка поста

ТУЛЗЫ и MUST HAVE

Sooty (SOC Analysts all-in-one CLI tool) - весьма годная утилитка в CLI-режиме, которая очень хорошо сгодится для форензик-экспертов и аналитиков SOC, кто занимается разбором инцидентов ИБ
[Web] https://github.com/TheresAFewConors/Sooty

Тулза Cockpit – упрощение типичных административных задач в Linux как замена webmin и им подобным
[Web] https://habr.com/ru/post/471220/

ПОЛЕЗНЯШКИ

Одна из самых долго живущих адекватных библиотек без рекламы и прямойцскачкой книг
[Hack and Security] http://www.classs.ru/library/safebusiness.html
[IT] http://www.classs.ru/library/tehnologii.html

̶п̶с̶е̶в̶д̶о̶ ответы на типичные вопросы новичков – как стать ̶ о̶х̶у̶е̶н̶н̶ы̶м̶ ̶ хакером, как начать жить в 40 и подняться на ИТ\ИБ, хочу денег и машину, и т.д., чтиво, когда нехер делать
[Web] https://vc.ru/story/86714-chem-zanimaetsya-belyy-haker-kak-im-stat-i-skolko-mozhno-zarabotat
[Web] https://habr.com/ru/company/otus/blog/467923/
[Web] https://tproger.ru/experts/how-to-become-an-expert-in-infosec/

Друзья, дорогие подписчики, все, кто тянет лямку за ИБ и дышит миром cyber security, приглашаю вас на обновленный курс Безопасность Linux», который стартует 25.12.2019 на платформе «OTUS». Это переосмысленная программа, собранная с учетом всех ваших пожеланий, отзывов и критики. В этом апдейте нахер выкинули весь балласт не имеющий отношение к безопасности, отсекли пересечение тем с администрированием ОС, сделали акцент на использование проверенных open sources и mush have софтин (SIEM, HIDS, WAF, IDS, etc) и учли тренды в ИТ-индустрии (DevOps практики, виртуализация и т.д.).

Без преукрас, курс коммерческий, стоит он бабла, без этого никак, но если у тебя есть небольшой бюджет, желание прокачать себя до спеца в безопасности Linux и ты хочешь апнуть свой ранг и ЗП-шку или вообще двинуть на новое место поконкурировав с лучшими – это вариант, которой тебе подходит. Этот курс как багаж, с которым можно двинуться дальше, найти что-то новое, обосновать свой запрос за salary по делу, это инвестиция в себя, свои знаний, которые можно продавать подороже. Я по понятным причинам не могу расдать курс бесплатно, но от себя для моих подписчиков от души что могу ПРОМО-КОД на доп скидку: Lin19sec

«OTUS» по окончанию обучения обещает трудоустроить или как минимум активно помогать с этим, у них подвязки на компании и своя база CV слушателей, которую они раскатывают партнерам. Так, что кто берет курс что бы быстрее найти новую работу и заработать больше, как квалифицированный спец, топите их до дна, требуйте, вписывайтесь – ведь ты за этим здесь?

Еще один момент, курс рассчитан на продвинутых пацанов (админов) секущих в теме, имеющих опыт администрирования, не моросящих за IPTables и знающих как поднять Docker на раз два. Никто не будет жевать сопли за консоль или долго объяснять, что такое CVE, только по делу за безопасность, короче курс для понимающих.

Итого, все кто хочет поднять свой технический скилл, двинуть дальше по теме безопасности, обоснованно скакнуть на новый уровень ЗП-шки или ты просто отмороженный гик, WELLCOME!

Линк на офф сайт:
https://otus.ru/lessons/bezopasnost-linux/

Вступительное тестирование:
https://otus.ru/assessment/90/