Питерское комьюнити SpbCTF (университет ИТМО) стартуют новый сезон подготовки и соревнований в стиле CTF и спортивного хакинга. Данный учебный курс рассчитан для начинающих — после тренировок каждый слушатель будет понимать, как решать базовые задачи на CTF и как готовися к соревнованиям. Занятия бесплатные, регистрация до 1 октября 👉✍️ forms.gle/qvdNNVeZhUg62Bt78

🚀 🏆🥇Кому точно имеет смысл подать заявку:
— школьникам и студентам, тяготеющим к IT и ищущим чего-то большего, чем разработка или спортивное программирование
— новичкам в инфобезе, кому интересна практическая безопасность
— людям с хакерской смекалкой (если любите докапываться до глубин в системах и понимать, как система работает, постоянно ищете способ сделать не так, как задумано)

**Очные семинары бесплатны, но с регистрацией и по конкурсу. Тренируемся на площадке Университета ИТМО по воскресеньям, в среднем 4-5 часов.
📌📲 Зарегистрироваться: forms.gle/qvdNNVeZhUg62Bt78

Дополнительная информация vk.com/wall-114366489_1548

#event

Дорогие подписчики и друзья, наш @w2hack канал продолжает расти изо дня в день и наполняться, надеюсь, интересным контентом. И, раз нас стало уже так много🥳🥳🥳 пришло время начать традицию проведения хакерских конкурсов и квестов🏆✍️💻

И в честь начала нового учебного сезона, начнем мы с первой небольшой викторины Hack Quiz #1 состоящей из 3-х довольно простецких задачек⚙️🔡 Для их решения тебе требуются лишь базовые знания в ИТ, немного криптографии и чуть-чуть смекалки🔐

Первые участник решивший все задания получают код на 80% скидку годовой подписки журнала ][акер, и три других победителя коды на 55% скидку. Ответы принимаются до 16 сентября на почту w2hack@mail.ru

PDF-файл Hack_Quiz#1_newbie_[w2hack] с задачами будет выложен после этого поста отдельным сообщением.

Ну, и скоро ждите стримов, там мы разыграем фирменные футболки и кепки с логотипом ][

#info #quiz

Задачки к Hack Quiz#1

Дорогие друзья, не прошла и неделя, а наш первый конкурс Hack Quiz#1 объявляется завершенным потому, что я получил уже большое количество писем с решением указанных задач. Спасибо всем большое за участие, победителям на почтовые ящики или другие указанные им контакты сегодня будут отправлены коды на подписку журнала ][акер.

Надеюсь, идея вам понравилась. Дальше будет интереснее – более серьезные задания, широкий спектр затрагиваемых компетенций (криптография, реверс, форензика, coding, web и т.д.), конечно же значимые призы, и для тех, кто желает, разбор задач после завершения соревнований. Сейчас идут переговоры с партнерами и спонсорами и в планах создание виртуальной CTF-лаборатории в облаке с заданиями в стиле task-based / jeopardy или даже attack-defense

https://www.youtube.com/watch?v=8qTj9rlL9Ug&feature=youtu.be

#malware #education #reverse #forensic #info

Набор документов (чек-листы, гайды, best practices), котырые я использую на лекционных уроках и практических занятиях своего авторского курса "Безопасность Linux".

Теперь и для всех подписчиков @w2hack.

Be a secure!:)

Друзья, сборка интересных новостей и секурных тулз из мира ИБ за этот месяц

Бесплатный 15-ти часовой Youtube-курс для начинающих пентестеров - обзор таких тем как Passive OSINT, Scanning Tools & Tactics, Enumeration, Exploitation, Shells, NTLM Relay, Token Impersonation, Pass the Hash, PsExec, MS17-010, GPP/cPasswords, and Kerberoasting
[WWW] https://www.youtube.com/watch?v=3Kq1MIfTWCE
[GitHub Labs] https://github.com/hmaverickadams/Beginner-Network-Pentesting

Прохладные истории от Бума про уязвимости веб-приложений - видео запись августовского митапа по безопасности Web-приложений от Антона Лопаницына известного как b00m. Web пен-тестерам рекомендовано к просмотру
[WWW] https://youtu.be/5PanDDvpLwE

Инженеры из о̶х̶у̶е̶н̶ч̶е̶с̶к̶о̶г̶о̶ ̶ CERT Cisco Talos выпустили плагин GhIDA, позволяющий интегрировать декомпилятор Ghidra в IDA Pro 7.x. - теперь никаких споров что барще IDA Pro или Ghidra:) все в одном чемодане!
[WWW] https://blog.talosintelligence.com/2019/09/ghida.html
{GitHub] https://github.com/Cisco-Talos/GhIDA

Релиз легендарного сканера Nmap 7.80 «Defcon Release» - хотя стал еще доступен в августе, но потестить мне довелось его только сейчас. Тулза мощная, заменили устаревший драйвер winpcap на npcap, эднули 11 новых NSE скриптов и полную поддержку Vulners NSE (охуенная фича для экспресс скана CVE!).
[WWW] https://seclists.org/nmap-announce/2019/0

Еще один бесплатный обучающий курс по основам использования Burp Suite для пен-теста веб-сайтов
[WWW] https://hackademy.aetherlab.net/
[YouTube] https://www.youtube.com/watch?v=udl4oqr_ylM&list=PLq9n8iqQJFDrwFe9AEDBlR1uSHEN7egQA

Переиздание известной книги "Reverse Engineering для начинающих" от автора Дениса Юричева - начинающим реверсерам и malware-аналитикам к прочтению!
[PDF BOOK] http://beginners.re/RE4B-RU.pdf

Mobile Security Framework (MobSF) – ̶п̶и̶з̶д̶а̶т̶ы̶й̶ ̶р̶е̶л̶и̶з̶ свежий релиз фреймворка для анализа мобильных приложений на наличие вредоносного кода
[WWW] https://medium.com/@kshitishirke/mobile-security-framework-mobsf-static-analysis-df22fcdae46e
[WWW] https://n0where.net/mobile-security-framework-mobsf
[GitHub] https://github.com/MobSF/Mobile-Security-Framework-MobSF

LeakLooker - крутая тулза для серчинга открытых базы данных MongoDB, CouchDB и Elasticsearch, а также инстансов Kibana. Скрипт с помощью Shodan выкатывает вам все БД-шки, которые можно похакать удаленно в сети! Только для ознакомления!
[GitHub] https://github.com/woj-ciech/LeakLooker

В работе законопроект обещающий за хранение данных россиян за рубежом могут ввести штрафы до 18 млн рублей ̶Е̶б̶а̶т̶ь̶,̶ ̶н̶у̶ ̶д̶е̶л̶а̶ теперь то за неисполнение ФЗ-152 можно будет подтянуть по-серьезному!
[PROOF] http://duma.gov.ru/news/46177/

В догонку темы про Персональные данные, вот подборка доков по GDPR от Pr0Zor.off - бумажным безопасникам на заметку!
[WWW] https://80na20.blogspot.com/p/gpdr.html

Рейтинг VPN приложений для Android сливающих инфу о своих пользователях! - "бесплатные" VPN как правило фейк
[WWW] https://www.cnet.com/news/7-android-vpn-apps-you-should-never-use-because-of-their-privacy-sins/

А вот список сервисов для проверки VPN на утечки:
(1) https://www.hidester.com/dns-leak-test
(2) http://www.dnsleak.com
(3) https://www.dnsleaktest.com

Минобрнауки предложило новые стандарты по ИБ - ̶к̶ ̶с̶о̶ж̶а̶л̶е̶н̶и̶ю̶,̶ ̶с̶ ̶В̶У̶З̶а̶м̶и̶ ̶в̶с̶е̶ ̶т̶а̶к̶ ̶ж̶е̶ ̶п̶л̶о̶х̶о̶ ̶к̶а̶к̶ ̶и̶ ̶б̶ы̶л̶о̶:̶(̶ ̶н̶о̶ ̶н̶а̶д̶е̶ж̶д̶а̶ ̶е̶с̶т̶ь̶ - хоть какая то попытка приблизить программы обучения студентов к тому что реально сегодня требует рынок ИБ
[WWW] https://www.comnews.ru/content/121868/2019-09-09/minobrnauki-predlozhilo-novye-standarty-po-ib#

Какая-то ̶г̶а̶в̶н̶о̶ игра для начинающих учиться на профиле ИБ, которая по мнению госов должна всех заинтересовать
[WWW] https://habr.com/ru/post/286114/

Список документов (ГОСТы) находящихся в разработке во ФСТЭК (комитет ТК-362) - то что зарелизится в конце этого или след году и к чему нужно будет готовиться госам и части комерсов
[WWW] https://fstec.ru/tk-362/standarty-tk362/303-proekty

Подборка некоторых книг, статей и презентаций на тему безопасности блокчейна и продуктов на нем построенных (смарт-контракты)

Друзья, меня долго не было в эфире, я уезжал в отпуск и вот теперь снова с вами, а за это время накопилось не мало гудных новостей и полезняшек. И так обзор свежечка и актуальщины на середину осени 2019.

НОВОСТИ

Думаешь в ЦРУ одни дебилы как нам рассказывает Володя с телевизора? K.G.B. обосралось не меньше, крупнейшая утечка данных из СОРМ, их вассал МТС льет все данные, что есть в ЦОДах. За ними жидко обделалась РЖД. А ты думал все хорошо?))
[Rus] https://www.the-village.ru/village/city/situation/362497-mts-sorm
[Rus] https://habr.com/ru/news/t/465053/
[Eng] https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#spreadsheets
[Rus] https://thebell.io/gosudarstvo-otkrytogo-dostupa-dannye-rossiyan-utekli-cherez-sajt-rzhd-i-sistemu-sorm/

Хочешь стать богом, но не знаешь как!? ̶О̶х̶у̶и̶т̶е̶л̶ь̶н̶а̶я̶ опасная уязвимость в sudo (CVE-2019-14287). Поиметь систему стало еще проще – пен-тестерам и хакерам😊 на заметку!
[News] https://www.securitylab.ru/news/501759.php
[YouTube] https://www.youtube.com/watch?v=btUf1O7lQmY

Спустя много лет энтузиасты ̶п̶о̶д̶л̶о̶м̶а̶л̶и̶ расшифровали пароли отцов-основателей Unix - Брайна Кернигана и Кена Томпсона, и как оказалось пароли там.. вообщем выводы делайте сами!
[Rus] https://devsday.ru/blog/details/968

Линус Торвальдс, отец-основатель Linux ̶н̶а̶д̶а̶в̶а̶л̶ ̶л̶а̶д̶о̶ш̶к̶о̶й̶ ̶п̶о̶ ̶г̶у̶б̶а̶м̶ ̶ затягивает гайки в целях повышения безопасности, фича LockDown в новой версии ядра 5.4
[Web] https://habr.com/ru/news/t/470249/

Когда-то Kaspersky Free был не плохим продуктом, реальная альтернатива коммерческим решениям для домашнего использования.. Сейчас это какая ̶ ̶х̶у̶й̶н̶я̶ ̶ дич, Женя, что ты делаешь? Прекрати! У тебя что офис ̶ ̶е̶б̶а̶н̶и̶н̶а̶ так себе, что твои продукты в туже сторону (бага, которую патчили аж полгода!)
[Web] https://www.computerra.ru/241038/kaspersky-free/
[Web] https://habr.com/ru/news/t/463893/

Год после того как IBM купила RedHat, первые отчеты
[Web] https://servernews.ru/995767

На одной из лекций в ВУЗе, где я читал, рассказывал о встроенных закладках (backdoor), но большинство думают, что они в софте, а они есть и в железе – кейс с ГазПромом и Cisco
[Web] https://www.rbc.ru/business/15/10/2019/5da5f1e19a7947cfb127bdfd?from=from_main
[Web] https://habr.com/ru/news/t/471398/

Продлолжаем наш предыдущий пост

ЗАДАЧКИ, АКТИВНОСТИ

Комрады из SPbCFT (университет ИТМО, Питер) активно стартовали сезон подготовки молодежи к CTF-соревнованиям, уроки открытые и бесплатные, в паблике доки и разборы
[Telegram] https://news.1rj.ru/str/spbctfnews
[VK Offical] https://vk.com/spbctf

Разбор тасков по reverse engineering с батла Flare-On 2019 - 12 заданий с кодом, скриншотами и объяснениями основных моментов
https://habr.com/ru/company/dsec/blog/469393/

Сберовская ̶н̶е̶б̶и̶ч̶е̶с̶к̶и̶ ̶х̶у̶е̶е̶.̶.̶ ̶к̶р̶у̶т̶е̶ц̶к̶а̶я̶?̶ контора Bi.Zone топит за свою нишу и делает CTF в формате Jeopardy, старт 30 ноября
[Web] https://ctftime.org/event/894
[Web Offical] http://ctf.bi.zone

Интерактивные уроки по взлому web от команды Hacksplaining- SQL-инъекции, разные виды XSS, XML-бомбы, эскалация привилегий, кликджекинг и
[News] https://xakep.ru/2016/08/18/www-hacksplaining/
[Web] https://www.hacksplaining.com/

Подборка ресурсов и вирутальных лаборатория для прокачки скиллов пен-теста, реверса и форензики
[Web] https://pikabu.ru/story/22_sayta_dlya_praktiki_khakinga_i_zashchityi_5782522
[Web] https://proglib.io/p/sec-protection/

True лаборатория для тех, кто хочет научиться ̶л̶о̶м̶а̶т̶ь̶ тестить на защищенность облачные среды, например, такие как AWS
[Web] https://github.com/RhinoSecurityLabs/cloudgoat

Рассказ о том как искали хардварный баг в микропроцессоре
[Web] https://habr.com/ru/post/471020/

Оконцовочка поста

ТУЛЗЫ и MUST HAVE

Sooty (SOC Analysts all-in-one CLI tool) - весьма годная утилитка в CLI-режиме, которая очень хорошо сгодится для форензик-экспертов и аналитиков SOC, кто занимается разбором инцидентов ИБ
[Web] https://github.com/TheresAFewConors/Sooty

Тулза Cockpit – упрощение типичных административных задач в Linux как замена webmin и им подобным
[Web] https://habr.com/ru/post/471220/

ПОЛЕЗНЯШКИ

Одна из самых долго живущих адекватных библиотек без рекламы и прямойцскачкой книг
[Hack and Security] http://www.classs.ru/library/safebusiness.html
[IT] http://www.classs.ru/library/tehnologii.html

̶п̶с̶е̶в̶д̶о̶ ответы на типичные вопросы новичков – как стать ̶ о̶х̶у̶е̶н̶н̶ы̶м̶ ̶ хакером, как начать жить в 40 и подняться на ИТ\ИБ, хочу денег и машину, и т.д., чтиво, когда нехер делать
[Web] https://vc.ru/story/86714-chem-zanimaetsya-belyy-haker-kak-im-stat-i-skolko-mozhno-zarabotat
[Web] https://habr.com/ru/company/otus/blog/467923/
[Web] https://tproger.ru/experts/how-to-become-an-expert-in-infosec/

Друзья, дорогие подписчики, все, кто тянет лямку за ИБ и дышит миром cyber security, приглашаю вас на обновленный курс Безопасность Linux», который стартует 25.12.2019 на платформе «OTUS». Это переосмысленная программа, собранная с учетом всех ваших пожеланий, отзывов и критики. В этом апдейте нахер выкинули весь балласт не имеющий отношение к безопасности, отсекли пересечение тем с администрированием ОС, сделали акцент на использование проверенных open sources и mush have софтин (SIEM, HIDS, WAF, IDS, etc) и учли тренды в ИТ-индустрии (DevOps практики, виртуализация и т.д.).

Без преукрас, курс коммерческий, стоит он бабла, без этого никак, но если у тебя есть небольшой бюджет, желание прокачать себя до спеца в безопасности Linux и ты хочешь апнуть свой ранг и ЗП-шку или вообще двинуть на новое место поконкурировав с лучшими – это вариант, которой тебе подходит. Этот курс как багаж, с которым можно двинуться дальше, найти что-то новое, обосновать свой запрос за salary по делу, это инвестиция в себя, свои знаний, которые можно продавать подороже. Я по понятным причинам не могу расдать курс бесплатно, но от себя для моих подписчиков от души что могу ПРОМО-КОД на доп скидку: Lin19sec

«OTUS» по окончанию обучения обещает трудоустроить или как минимум активно помогать с этим, у них подвязки на компании и своя база CV слушателей, которую они раскатывают партнерам. Так, что кто берет курс что бы быстрее найти новую работу и заработать больше, как квалифицированный спец, топите их до дна, требуйте, вписывайтесь – ведь ты за этим здесь?

Еще один момент, курс рассчитан на продвинутых пацанов (админов) секущих в теме, имеющих опыт администрирования, не моросящих за IPTables и знающих как поднять Docker на раз два. Никто не будет жевать сопли за консоль или долго объяснять, что такое CVE, только по делу за безопасность, короче курс для понимающих.

Итого, все кто хочет поднять свой технический скилл, двинуть дальше по теме безопасности, обоснованно скакнуть на новый уровень ЗП-шки или ты просто отмороженный гик, WELLCOME!

Линк на офф сайт:
https://otus.ru/lessons/bezopasnost-linux/

Вступительное тестирование:
https://otus.ru/assessment/90/

Друзья, всем кто у меня долгое время просил видео уроки по безопасности WEB (OWASP Top10) понятные для новичков - ловите! Сторого только для ознакомления!:) Курс коммерческий и не забудьте отлатить труд автора

С недавнего времени 12 ноября в России отмечается "День безопасника", профессиональный праздник всех кто связан с индустрией ИБ

Друзья, свершилось то, что я вам так долго обещал, стартовал мой авторский видео канал "Cyber Security Eye" посвященный вопросам кибер безопасности и индустрии ИБ. Это первый Intro ролик рассказывающий о концепте канала, контенте и тому что будет выходить в новых видео дальше. Как и раньше я буду стараться подавать только актуальный и интересный контент, нести прикладную составляющую, отвечать на все ваши вопросы, делиться собственным мнением, кейсами из практики, всем тем, что для вас окажется полезным. Потому присылайте свои вопросы, предложения, идеи в личку @D3One, на почту w2hack@mail.ru или другим удобным для вас способом. Сразу скажу видео пишу не на студии и не на профессиональном оборудовании поэтому если где-то окажутся лаги приношу заранее свои извинения.

Кому интересно подписывайтесь, ставьте лайки, Let's go!!!

https://www.youtube.com/watch?v=VxSEglpriyQ&feature=youtu.be

Политика импортозамещения зарубежного софта на российский, национальная ОС и процессоры Эльбрус, принуждение к использованию ПО с сертификатами ФСБ и ФСТЭК, шифрование только по ГОСТу, создание независимого RuNet'а - это:
anonymous poll

Очередной распил бюджетных средств и красивое н@еб@лово – 99
👍👍👍👍👍👍👍 48%

Разумная нота в этом есть, но "наши" перегибают палку с требованиями – 60
👍👍👍👍 29%

Грамотный подход к обеспечению независимости РФ от иностранных вендоров и поставщиков – 28
👍👍 14%

Российские разработки - ПО, железо, технологии никогда не сравнятся/не станут лучше чем это делают Oracle, IBM, Microsoft, Inte – 19
👍 9%

👥 206 people voted so far.

Ситуация с КИИ, ГосСОПКА, русским софтом, Эльбрусом, национальной ОС, Яндексофоном и т.д.

https://www.youtube.com/watch?v=4DKMSvV6Ks0&feature=youtu.be

Долгожданное видео с разбором некоторых наиболее популярных мифов и легенд об информационной безопасности, часть 01.

Новый формат подачи материала отличающийся от всего ранее вами увиденного