128480
Делаем уникальные знания доступными. Вакансии - @infosec_work Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot Сотрудничество — @SEAdm1n
👩💻 Manjaro Linux.
• В декабре 2024 года состоялся релиз дистрибутива Manjaro Linux 24.2, построенного на базе Arch Linux и ориентированного на начинающих пользователей. Но тут речь пойдет не о релизе, а о том, что многие люди при переходе на Linux дома или на работе, обычно ставят Ubuntu, Mint, Fedora, порой даже Debian. И очень зря не пробуют Manjaro Linux — хотя этот дистрибутив гораздо удобнее Убунты и даже удобнее Минта.
• Manjaro — производная от Arch Linux (так же как Ubuntu — производная от Debian), пилится европейской командой Manjaro Team. У Манжары почти такая же структура системы, как у Арча, но с некоторыми особенностями, которые делают его на 146% юзерфрендли.
• Вероятно, что Manjaro является первым дистрибутивом Линукса, который можно использовать, не открывая терминала. Все накладные функции вроде настройки железа и системы реализованы в GUI. Видеодрайвер Nvidia ставится нажатием кнопки, после чего не доставляет проблем. Так же легко ставятся локали и даже версии ядер, включая realtime-ветку и нестабильное ядро из гита. Все нужные сторонние модули ядра, от всяких проприетарных драйверов до ZFS, лежат готовые в основных репозиториях.
• Если столкнулись с какой-либо проблемой, то с ней можно обратиться на официальный форум, там всегда есть кто-нибудь из Manjaro, которые помогут ответить на вопросы. Для искушённых — wiki дистрибутива, а в случае чего можно использовать мощнейшую wiki Арча, ибо Манжара ему почти идентична.
• В общем и целом, если хотели перейти на Linux, то рекомендую начать именно с этого дистрибутива. Если интересно описание релиза, то вот тут можно прочитать о всех изменениях.
➡Официальный сайт;
➡Официальный форум;
➡Страница Wiki;
➡Форум русскоязычного сообщества;
➡Группа русскоязычного сообщества в Telegram.
• Ну и в качестве дополнения будет отличная статья на хабре, которая содержит очень много полезной информации и пригодиться при работе в linux-дистрибутивах!
S.E. ▪️ infosec.work ▪️ VT
🤖 Роль ИИ в георазведке.
• Данный материал написан в соавторстве с @mycroftintel
• ИИ и георазведка — это примерно как кофе и понедельник: одно без другого вроде существует, но вместе как-то бодрее. Особенно, когда речь идёт о тоннах спутниковых снимков, на которых без помощи нейросетей можно разве что красивый рабочий стол поставить. Тут и выходит на сцену NGA (Национальное агентство геопространственной разведки США), которое с таким энтузиазмом внедряет искусственный интеллект, будто от этого зависит годовой бонус аналитиков. И, кстати, возможно, так и есть.
• Например, недавно NGA запустило программу с эпичным названием AGAIM (Accreditation of GEOINT AI Models). Название звучит как что-то из вселенной Marvel, где героям вместо суперспособностей выдают сертификаты соответствия ГОСТам. Суть в том, чтобы стандартизировать и проверить модели ИИ, которые определяют, кто там опять строит подозрительно большую взлётную полосу или прячет военные базы в лесах Амазонки. Короче говоря, делают «умные глаза» для слежки за всем миром, но так, чтобы никого не обидеть (кроме тех, за кем следят).
• Кроме того, NGA решило бахнуть бюджет в 700 миллионов долларов на разметку данных для ИИ. Вдумайтесь, 700 миллионов! Столько денег на разметку картинок не тратили даже создатели Instagram, хотя те явно пытались. И всё это ради того, чтобы обучить нейросети различать, скажем, ракетную установку от комбайна в поле. Звучит, как шутка, но когда твой ИИ путает танки с тракторами, ситуация быстро перестаёт быть весёлой.
• И вишенка на торте: контракт на 290 миллионов долларов достался компании CACI, которая внедряет системы автоматического распознавания изменений на картах и обнаружения объектов. Задача — сделать так, чтобы у аналитиков оставалось больше времени на действительно важные вещи, вроде мемов про плоскую землю и обсуждений, был ли тот странный объект на снимке реально секретной базой или просто коровником.
• В общем, ИИ в георазведке — это не просто красиво звучащая технология, а весьма конкретный способ понять, кто, где и чем занимается на глобальном уровне. И неважно, верите вы в плоскую Землю или нет, — за ней уже давно присматривают умные нейросети.
➡ Дополнительную информацию можно найти в группе @mycroftintel
S.E. ▪️ infosec.work ▪️ VT
📣 БЕСПЛАТНЫЙ ВЕБИНАР WAPT & SQLiM: взламываем веб как профессионалы
Настоящий пентест — это не только сканеры, но и глубокий анализ, ручная эксплуатация и работа с эксплоитами. Покажем на практике, как это делают эксперты!
Ждем вас 3 апреля 19:00 (МСК). Регистрация здесь.
Что разберём:
🔸 Поиск уязвимостей через фаззинг
🔸 Реальные SQL- и командные инъекции (с выводом RCE)
🔸 Эскалация привилегий после взлома
🔸 Разбор похожих задач из курсов WAPT и SQLiM
Бонусы для участников:
✅ Доступ к записи
✅ Чек-лист "ТОП-5 ошибок в пентесте веба"
✅ Подарок для всех зрителей!
Спикер: Александр Медведев 😎
🔴 OSWE, OSCP, CWAPT, SQLIM и др., 3х-кратный победитель Standoff
🔴 Опыт в пентестах — 12+ лет
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
🗞 Paged Out #6.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, вчера был опубликован 6-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
🐲 Kali Box.
• В этой статье автор описывает процесс настройки Raspberry Pi с 3,5-дюймовым сенсорным экраном под управлением #Kali Linux. Это устройство идеально подойдет в качестве инструмента для проведения пентеста и окажется полезным для ИБ специалистов.
• Статья достаточно объемная, так как описывает различные нюансы и тонкости при создании данного инструмента: от загрузки образа Kali linux на microSD и установки драйверов для сенсорного экрана, до создания различных конфигов в части безопасности. По итогу мы получим компактный инструмент, который может питаться от смартфона или от другого источника питания.
➡️ https://www.mobile-hacker.com/portable-kali-box-with-raspberry-pi
S.E. ▪️ infosec.work ▪️ VT
🗣 Почему именно “WIFi” и с чего всё начиналось?
• Многие из нас принимают аббревиатуру, как должное, не задумываясь о том, почему технология называется именно так. Все на самом деле очень просто — дело в том, что WiFi изначально продвигали со слоганом «The Standard for Wireless Fidelity», что можно перевести как «стандарт беспроводной точности».
• Затем технология получила сокращенное название «Wireless Fidelity», что со временем было обрезано до WiFi. Частично сыграла свою роль и аббревиатура HiFi, которая расшифровывается как High Fidelity. Может быть, разработчики WiFi пытались сделать свою технологию узнаваемой как раз за счет HiFi — кто знает. Как бы там ни было, своего они добились.
• Теперь поговорим о том, с чего все началось. Датой рождения технологии является 1985 год. Тогда Федеральная служба по связи США официально разрешила использовать определенные частоты радиоспектра без лицензии. Эту инициативу поддержали и другие страны, так что бизнес быстро понял — в этой нише можно заработать. Один за другим стали появляться проекты беспроводной связи, которые разные компании пытались коммерциализировать.
• Лишь в 1997 году, появились первые спецификации беспроводной связи WiFi. Первое поколение, 802.11, давало возможность передавать данные со скоростью в 2 Мбит/с, при том, что радиус действия модуля был очень небольшим. Да и стоимость оборудования, которое обеспечивало беспроводную передачу данных, была просто заоблачной.
• Затем, где-то в 1999 году, появились прототипы двух редакций базового стандарта: 802.11b и 802.11a. Они обеспечивали невиданную скорость передачи данных по воздуху — вплоть до 11 Мбит/с. Радиодиапазон при этом использовался тот же, что и сейчас — 2,4 ГГц. Радиус действия был гораздо большим, чем у самого первого поколения WiFi. Радиооборудование становится все более доступным — его могут купить уже и обычные пользователи.
• Чуть позже скорость увеличили до 54 Мбит/с, воспользовавшись диапазоном в 5 ГГц и назвав спецификацию 802.11a. Именно тогда и закрепилось название WiFi, которое сейчас является обозначением спецификации 802.11.
• Кроме того, разработчики стали заботиться о безопасности передаваемых данных лучше, чем раньше. Так, на смену дырявому WEP пришел WPA (англ. — Wi-Fi Protected Access). Еще год спустя, в 2004, появился протокол WPA2, который стал весьма надежно защищать беспроводные сети.
S.E. ▪️ infosec.work ▪️ VT
Кибербезопасность - это про людей. Разговаривать про ИБ нужно так, чтобы людям было понятно.
В CyberОсознанном говорим понятно.
ИБ-специалистам, руководителям бизнеса, работникам вашей компании, всем, кто интересуется ИБ, людям, о которых заботитесь.
Подписывайтесь - CyberОсознанный.
👩💻 Awesome PowerShell.
• Что из себя представляет PowerShell вы уже знаете, поэтому сегодня мы пополним нашу коллекцию ресурсов для изучения еще одним полезным ресурсом. В этой подборке вы сможете найти весь необходимый материал для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д. Добавляйте в избранное и изучайте:
➡API Wrapper;
➡Blogs;
➡Books;
➡Build Tools;
➡Code and Package Repositories;
➡Commandline Productivity;
➡Communities;
➡Data;
➡Documentation Helper;
➡Editors and IDEs;
➡Frameworks;
➡Interactive Learning;
➡Logging;
➡Module Development Templates;
➡Package Managers;
➡Parallel Processing;
➡Podcasts;
➡Security;
➡SharePoint;
➡SQL Server;
➡Testing;
➡Themes;
➡UI;
➡Videos;
➡Webserver;
➡Misc.
• Не забывайте про дополнительный материал, который опубликован в нашем канале:
➡История создания PowerShell;
➡Изучаем Powershell;
➡Powershell для пентестера;
➡О`б’фу’ска””ция PowerShell;
➡Powershell для Blue Team;
➡Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell;
➡Полезные заметки о командах PowerShell;
➡Мини-курс: Windows PowerShell 5 [70+ уроков];
➡Книга: PowerShell Security. (RU).
S.E. ▪️ infosec.work ▪️ VT
👤 Приватность и анонимность.
• 21 век заставляет нас заботиться о том, о чем следовало начать заботиться еще на заре развития сетей — о сохранении приватности, анонимности и защищенности коммуникаций!
• Репозиторий, которым я сегодня поделюсь, представляет собой сборник информации по наиболее оптимальным настройкам приватности в популярных приложениях и сервисах. А еще там есть ссылки на полезный материал и различные руководства. Обязательно добавляйте в закладки и обратите внимание на дополнительный материал в самом конце статьи:
➡️ https://github.com/StellarSand/privacy-settings
• Дополнительно:
➡Privacy full - очень объемное руководство, которое содержит в себе 160 страниц информации по защите личности в сети на различных ресурсах и приложениях.
➡Privacytools - подборка инструментов, которые помогут сохранить вашу конфиденциальность и приватность в сети.
➡Кольцевая подпись и анонимность - как в цифровом мире безопасно рассказать информацию не выдавая себя.
➡Hidden Lake - анонимный обмен файлами в реалиях глобального наблюдателя.
➡Wiki OS Whonix - у ОС Whonix есть очень крутая Wiki, которая содержит в себе ценные знания для изучения вопросов анонимности и безопасности.
➡Counter OSINT - данное руководство описывает простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями.
➡Временная почта - небольшое кол-во бесплатных и одноразовых почтовых ящиков.
➡#Анонимность.
S.E. ▪️ infosec.work ▪️ VT
🔓 Аудит безопасности Cisco IOS.
• Защита своей территории — один из сильнейших природных инстинктов. Хищники используют для этого когти и клыки, а безопасники и сисадмины — правильную настройку софта и железа для предотвращения сетевых атак. Если говорить о безопасности телекоммуникационных устройств, то данный вопрос является очень острым, особенно в последнее время.
• Автор книги "Сети глазами хакера" недавно представил свой новый инструмент - Nihilist, который предназначен для аудита безопасности Cisco IOS. Функционал тулзы позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры. В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
➡️ Подробное описание и информация по установке есть тут: https://github.com/casterbyte/Nihilist
S.E. ▪️ infosec.work ▪️ VT
📚 WinRARность.
• 10 марта 1972 в Челябинске родился Евгений Лазаревич Рошал — программист, автор файлового менеджера FAR Manager, формата сжатия RAR (Roshal ARchiver, которому в этом году исполнилось 31 год!) и архиваторов RAR и WinRAR.
• Первую попытку написать собственный архиватор под названием Roshal ARchiver, сокращенно, RAR, Евгений Рошал предпринял в 1991 году, но она не увенчалась успехом — не хватило опыта и знаний. А вот на последних курсах института Евгений взялся за изучение существующих алгоритмов архивации более плотно, этой же теме он посвятил свою дипломную работу. И эти занятия принесли практический результат: первая версия RAR для MS-DOS появилась в марте 1993 года.
• Главной особенностью RAR по сравнению с другим популярным архиватором для DOS того времени — ARJ, был удобный механизм создания многотомных архивов, в том числе, заданного размера. Это позволяло «распихать» большой объем файлов (например, компьютерную игру) по нескольким дискетам, не опасаясь, что какой-то файл не поместится на диск. RAR поддерживал создание непрерывных (solid) многотомных архивов, все тома которых воспринимались, как единый поток данных и распаковывались «по цепочке». Кроме того, технология позволяла создавать самораспаковывающиеся (SFX) архивы в виде исполняемых файлов, что было очень удобно, если на целевом компьютере отсутствовал архиватор.
• Позже в архиваторе появилась возможность создавать архивы с парольной защитой, зашифрованные при помощи алгоритма AES. В алгоритм встроены механизмы сохранения служебной информации, позволяющие восстанавливать поврежденные архивы, что значительно повышает их надежность.
• Архиватор RAR распространяется под проприетарной лицензией, в то время как распаковщик UnRAR — имеет открытую лицензию, разрешающую свободное распространение и использование при условии, что программа не будет использоваться для создания совместимого архиватора.
• С появлением Windows 95, 22 апреля 1995 года Евгений выпустил WinRAR — 32-разрядную версию своего архиватора с оконным графическим интерфейсом. Это приложение стремительно завоевало популярность, поскольку поддерживало все возможности ОС Windows — длинные пути и имена файлов, многопоточную работу и одновременный запуск нескольких экземпляров приложения. Сейчас существуют версии RAR для разных системных платформ помимо Windows: это macOS, Android, Linux, FreeBSD и других.
• В 2004 году Евгений передал все коммерческие права на свои разработки старшему брату Александру Рошалу, который впоследствии стал самостоятельно контролировать вопросы распространения его программных продуктов, а сам покинул Россию. Евгений Лазаревич ведет очень замкнутый образ жизни, поэтому о его нынешнем роде занятий практически ничего не известно. По слухам, он обосновался в Германии, а позже перебрался в США.
• В настоящий момент архиватором Рошала продолжают пользоваться миллионы людей по всему миру, а FAR Manager до сих пор установлен на многих компьютерах под управлением Microsoft Windows — эту программу предпочитают те, кто привык к «двухппанельному» интерфейсу классического Norton Commander.
S.E. ▪️ infosec.work ▪️ VT
🛡 Мы стали полигоном для испытаний кибератак
Количество кибератак в России в прошлом году увеличилось в 2,5 раза, и 2025-й не собирается отставать. Четверть из них — с угрозой для бизнеса: финансовые потери, утечка данных, остановка работы компании.
Пока вы читаете это, где-то в офисе sysadmin сохраняет пароли в passwords.txt, а кто-то снова скачивает "кряк" с трояном...
Хотите стать тем, кто ломает (но в хорошем смысле), защищает серверы и разбирается в кибератаках лучше, чем сценаристы "Хакеров"? Курс "Специалист по кибербезопасности" от Академии Eduson — для вас.
За 5,5 месяцев вы:
• обучитесь профессии с зарплатой от 170 000 рублей — на живых вебинарах с айтишниками международного и российского рынков;
• закрепите навыки на практике с личным ментором;
• добавите до 6 проектов в портфолио;
• составите сильное резюме, подготовитесь к техническим собеседованиям и поиску работы в СНГ или ЕС;
• получите удостоверение о повышении квалификации установленного образца и диплом на английском языке.
Важно — курс подойдет тем, кто уже знаком с программированием и имеет опыт работы с одним или несколькими языками.
Подготовьтесь к реальной работе в кибербезопасности: оставьте заявку на курс с промокодом КИБЕР — получите скидку 65% и +1 курс в подарок!
🍏 Отравленное яблоко: руководство по сбору артефактов после сброса устройства.
• На мобильных устройствах компании Apple после ввода 10 неправильных комбинаций пароля удаляются ключи шифрования, и получить доступ к пользовательским данным становится достаточно проблематично, а иногда и в принципе невозможно. Извлечь информацию из устройства в такой ситуации возможно лишь до загрузки ОС устройства.
• На устройствах на базе процессоров А5–А11 (iPhone 4S — iPhone X) имеется аппаратная уязвимость, которая позволяет получить доступ к содержимому устройства в режиме BFU (Before First Unlock) с использованием эксплойта checkm8.
• О возможности извлечения данных из телефонов в состоянии «iPhone отключен. Подключитесь к iTunes» написано достаточно много статей, но нет обобщенной информации о том, какой конкретно набор данных можно извлечь и, что не менее важно, где все это можно увидеть! Как раз об этом и поговорим.
• Содержание следующее:
- Что открывается исследователю:
➡Артефакты мобильного устройства;
➡IMEI устройства и номер телефона;
➡Информация о модели и сетевых подключениях;
➡Информация о настройках приложения Find My iPhone;
➡Информация об устройстве и резервных копиях;
➡Информация об обновлениях.
- Данные, идентифицирующие пользователя:
➡Настройки сетевой конфигурации системы;
➡Идентификаторы сим-карты;
➡Информация о местоположении абонента;
➡Информация о сим-картах, которые использовались в устройстве;
➡Информация об AirDrop ID устройства;
➡Информация с настройками и предпочтениями из приложения «Настройки»;
➡Информация о подключенных Bluetooth-устройствах;
➡Информация о конфигурации приложения «Сообщения»;
➡Информация о точках Wi-Fi;
➡Информация об избранных контактах пользователя;
➡Информация о заблокированных контактах пользователя.
- Используемые приложения:
➡Информация об особо важных контактах пользователя в приложении «Почта»;
➡Информация о разрешениях для приложений;
➡Информация о приложениях, использующих сервисы геолокации;
➡Каталог со всеми установленными приложениями и многое другое...
• Как итог, даже после 10 неудачных попыток ввода пароля все же можно извлечь информацию, которая будет полезна не только для личного использования, но и при проведении расследований.
➡️ Читать статью [13 min].
S.E. ▪️ infosec.work ▪️ VT
👩💻 Настройка сервера на Debian для максимальной защиты данных!
• Очень крутой материал с форума XSS.is, который будет полезен как новичкам, так и опытным пользователям. В этой статье мы разберём, как отключить хранение логов (таких как wtmp, lastlog, journalctl, syslog и auth.log), настроить полное шифрование диска и регулярно очищать данные, чтобы их нельзя было восстановить. Мы также рассмотрим простые методы для новичков и более технические подходы для опытных пользователей.
• Если вы являетесь новичком, то не переживайте - автор объясняет всё максимально просто, с примерами команд и пояснениями. Если вы уже знакомы с Linux, то найдёте здесь детализированные инструкции и оценку эффективности каждого метода. В конце вы получите полную картину того, как сделать ваш сервер "немым" для форензики и защищённым от восстановления данных.
• Стоит отметить, что автор объединил лучшие практики, пошаговые инструкции и примеры, чтобы вы могли шаг за шагом настроить свой сервер. Цель - создать систему, где логи либо не сохраняются, либо недоступны, а данные на диске защищены от анализа инструментами вроде R-Studio.
➡ Скачать материал можно в нашем облаке.
➡ Источник: https://xss.is
➡ Автор: @keklick1337
‼ Статья предназначена для сайта xss.is и ориентирована на вопросы информационной безопасности в ознакомительных целях.
S.E. ▪️ infosec.work ▪️ VT
Как найти слабые места в веб-приложении до того, как их найдут хакеры?
Расскажем на курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!
✔️ Каждую неделю — вебинары с куратором! Стартуем 3 апреля.
🔴 Регистрация здесь.
Содержание курса:
🔸 эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
🔸 SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
🔸 техники повышения привилегий, Client-side атаки (XSS, CSRF)
Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 🚀 По всем вопросам пишите @Codeby_Academy
🛡 Безопасность начинается с контроля
Привилегированный доступ открывает путь к ключевым системам компании, но вместе с этим несёт риски, которые могут обернуться серьёзными потерями. Информационная безопасность – это грамотное управление угрозами, чтобы бизнес работал без сбоев и утечек. Как держать риски под контролем, не жертвуя эффективностью?
Знакомьтесь с Avanpost SmartPAM – системой, где ИИ и две нейросети следят за каждым шагом админов, как строгий родитель за школьником с домашним заданием.
Видеозапись сессий, умные сигнатуры опасных действий и изоляция паролей – тут всё, чтобы ваши данные оставались под надёжной защитой.
Хотите узнать больше? Подробности – в tg-канале AVANPOST 🔗
🤯 Выносим мозг: социальная инженерия и Red Team.
• Социальную инженерию часто применяют при проведении пентеста, и зачастую успешно, но, понимая принципы психологии и составив сценарий с их учетом, можно значительно повысить процент успешных взаимодействий. А процент успешности во многом зависит от скилла и уровня подготовки!
• Вчера на хабре была опубликована интересная статья от Angara Security, которая откроет вам новый взгляд на работу Red Team для создания самых изощрённых симуляций атак, где код заменяется эмоциями, а уязвимости скрываются не в ПО, а в человеческой психике.
Тема весьма интересная и её не так часто поднимают в паблике, поэтому рекомендую к ознакомлению:
➡ Читать статью [20 min].
• Дополнительно: подборка полезного материала для повышения уровня СИ в межличностной коммуникации.
S.E. ▪️ infosec.work ▪️ VT
⚡ Это не шутка: разыгрываем Flipper Zero, годовую подписку на журнал "Хакер" и книги по этичному хакингу.
Условия очень просты:
🔶 Подписка на: infosec.
🔶 Подписка на: Kali Linux.
🔶 Нажать на кнопку «Участвовать»;
ВСЕ!
• 1 место: Flipper Zero.
• 2-5 место: годовая подписка на журнал "Хакер".
• 6-10 место: пак книг по этичному хакингу в бумажной версии:
- Сети глазами хакера;
- Искусственный интеллект глазами хакера;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.
• Целых 10 (!) призовых мест, итоги подведем 15 апреля, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
⚡ Это не шутка: разыгрываем Flipper Zero, годовую подписку на журнал "Хакер" и книги по этичному хакингу.
Условия очень просты:
🔶 Подписка на: infosec.
🔶 Подписка на: Kali Linux.
🔶 Нажать на кнопку «Участвовать»;
ВСЕ!
• 1 место: Flipper Zero.
• 2-5 место: годовая подписка на журнал "Хакер".
• 6-10 место: пак книг по этичному хакингу в бумажной версии:
- Сети глазами хакера;
- Искусственный интеллект глазами хакера;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.
• Целых 10 (!) призовых мест, итоги подведем 15 апреля, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
Хотите стать пентестером и предотвращать кибератаки? 👀
Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Запись до 4 апреля — регистрация здесь.
Что вы получите?
🔸 Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест
🔸 Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов.
🔸 Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности
Полный цикл обучения:
⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети
Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!
🔎 S.E.OSINT: GeoGuessr.
• GeoGuessr — об этой игре знает каждый, кто хоть раз интересовался GEOINT. Суть в том, что через Google Street View вы случайным образом попадаете в любую точку мира и должны определить геолокацию своего местоположения. Это отличная игра для изучения различных номерных знаков, уличных указателей, климата и т.д.
• Так вот, совсем скоро (в апреле) GeoGuessr будет доступен на платформе Steam. Можно будет играть с друзьями, зарабатывать рейтинг и играть против других игроков, в зависимости от ваших навыков (любительский или профессионал). В общем и целом, добавляйте в желаемое: https://store.steampowered.com/GeoGuessr
S.E. ▪️ infosec.work ▪️ VT
🔎 Поиск информации в LinkedIn.
• Данный материал написан в соавторстве с @mycroftintel
• Иногда тебе надо найти контакт человека из LinkedIn, а LinkedIn такой: «Заплати за InMail или иди на... кури бамбук». Ну или показывает только "linkedin@company.com", от которого толку как от дождевика перед цунами. Вручную выковыривать email’ы по принципу "а вдруг firstname.lastname@domain.com сработает" — это путь самурая, но без катаны. Поэтому нормальные люди давно юзают полезные инструменты.
• Есть Snov.io — универсальный комбайн, который парсит LinkedIn и даёт валидацию email’ов. Удобно, быстро, можно запихнуть в автоматизацию. Hunter.io — старая школа, по домену работает как часы, по людям — иногда угадывает.
• RocketReach и SignalHire — это уже по-взрослому: телефон, почта, соцсети, всё что найдут. Причём реально часто находят. Расширения у них есть, работают прямо на LinkedIn — клик и контакт в кармане.
• Wiza, SalesQL, Lusha — для тех, кто работает пачками. Грузишь список, получаешь табличку с email’ами. Если хочешь массово собирать инфу с профилей — тебе сюда. Особенно если нужен экспорт и API, чтобы подружить с каким-нибудь скриптом или CRM.
• AeroLeads и LeadIQ — тоже оттуда же, из разряда “я сейлз, дайте мне 500 лидов до конца дня”. Все эти штуки работают по-разному, у кого-то охват лучше, у кого-то точность, но суть одна: LinkedIn больше не хранитель секретов.
• Главное — не забывай, что бесплатные лимиты быстро заканчиваются, а корпоративные тарифы стоят как месячный запас гречки. Но когда тебе надо достать контакт — ты платишь или долбишься в глаза. Выбор за тобой.
➡ Дополнительную информацию можно найти в группе @mycroftintel
S.E. ▪️ infosec.work ▪️ VT
Как найти слабые места в веб-приложении до того, как их найдут хакеры?
Расскажем на курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!
🔴 Каждую неделю — вебинары с куратором! Стартуем 3 апреля. Регистрация здесь.
Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)
Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 🚀 По всем вопросам пишите @Codeby_Academy
Как защитить данные клиентов и обезопасить всю облачную инфраструктуру?
Всё о новых продуктах ИБ от Yandex Cloud — на онлайн-мероприятии Cloud Security Launch Day. Расскажем, как экспертиза Яндекса воплощается в сервисы защиты в облаке 9 апреля в 14:00 по Москве.
Облачная платформа презентует несколько новых продуктов, на которые стоит обратить внимание менеджерам по информационной безопасности, руководителям SOC и CISO. Среди них — сервис проактивного мониторинга и реагирования на инциденты, система для защиты данных и приложений, а также решение по безопасному созданию удалённых рабочих мест.
На мероприятии покажут практические кейсы и сценарии применения ИБ-продуктов:
▪️Централизованный сбор данных и интеграция с SIEM/SOC.
▪️Защита данных от утечек и соответствие регуляторным требованиям.
▪️Гибкое управление ИБ в облаке и в гибридной инфраструктуре
Мероприятие бесплатное, необходима регистрация. Ссылку оставлю тут.
1 апреля Phishman проводит форум про людей и технологии - SocioTech 2025.
SocioTech 2025 — это единственный IT-форум, который полностью посвящён концепции People-Centric Security (PCS) — подходу, в котором человек становится ключевым элементом безопасности компании.
На форуме обсудят:
Как создать дружественные пользователям процессы;
Как превратить сотрудников из риска в основу безопасности компании;
Как выстроить доверительное взаимодействие сотрудников с ИБ-отделом – и все про киберкультуру;
Зарегистрироваться.
Когда: 1 апреля, 10:30-15:30
Где: Москва, Кибердом, 2-я Звенигородская улица, д. 12, стр. 18
Будем ждать вас на SocioTech 2025.
🐲 Kali Linux 2025.1a Release.
• Разработчики Kali Linux выкатили первое обновление в этом году — Kali Linux 2025.1a, которое включает в себя поддержку KDE Plasma 6.2 и Xfce 4.20, обновленное ядро до версии 6.12, новое ядро для Raspberry Pi, новый инструмент, обновленный Kali NetHunter и ряд визуальных изменений.
• Самое основное: В Kali NetHunter появилась новая вкладка CAN Arsenal, которая добавляет инструменты для автомобильного хакинга. Что касается новой тулзы, то разработчики добавили hoaxshell — генератор и обработчик пейлоадов reverse shell для Windows, использующий протокол HTTP(S) для установления соединения.
• Более подробное описание обновления доступно тут: https://www.kali.org
• Теперь к полезным ссылкам:
➡Необходимая документация;
➡Форум;
➡Сообщество в discord;
➡Скачать Kali Linux 2025.1а;
➡Kali Tools.
➡#kali.
➡Объемная серия статей, которые содержат много ценной информации: от установки Kali NetHunter на различные модели смартфонов, до описания различных инструментов и использования полезной нагрузки Metasploit: /channel/Social_engineering/3473
S.E. ▪️ infosec.work ▪️ VT
🔎 S.E. OSINT. GeoGuessr.
• Данный материал написан в соавторстве с @mycroftintel
• Есть такая игра — GeoGuessr. Если вы в нее не играли - вы многое потеряли. На первый взгляд кажется, что это обычная игра в угадывание местоположения по панорамам Google Maps. Но если копнуть глубже, выясняется, что это отличный тренажёр для навыков GEOSINT (геопространственной разведки), что особенно актуально, если вы вдруг решите раскрыть местонахождение виллы очередного коррупционера или проанализировать подбитые танчики очередного гуманитарного конвоя где-то в бедных районах доброй матушки Африки. Серьёзно, ребята, это уже не шутки про цвет травы в Австралии.
• GeoGuessr учит внимательно работать с картами, деталями ландшафта, дорожной разметкой и архитектурой зданий — это навыки, которые реально помогают в OSINT-расследованиях. После нескольких десятков раундов вы внезапно замечаете, что по одному лишь фонарному столбу и теням от деревьев можете с неплохой точностью определить не только континент, но и примерно указать страну или даже конкретный регион. Настоящий OSINT-тренажер во всей красе!
• Мой личный опыт говорит о том, что GeoGuessr — отличная прокачка внимательности и аналитического мышления. В начале игры я не мог отличить африканскую деревню от карибской, а теперь по форме крыш, направлению движения машин и даже по мелким деталям дорожных знаков могу сказать, где я нахожусь. Да, ошибки случаются (особенно когда вместо родной улицы ты оказываешься где-то в Перу), но в OSINT ошибаться полезно — это тренирует критическое мышление и кретивный аналитический подход.
• Короче говоря, если вам нужна практика в расследованиях, хотите освоить методы геопространственной разведки или просто понять, как работают профессиональные OSINT-еры, GeoGuessr — ваш выбор. И не удивляйтесь, если вскоре будете проводить ночи в попытках определить, где стоит особняк очередного "честного и бедного" чиновника из банановой республики.
➡ Дополнительную информацию можно найти в группе @mycroftintel
S.E. ▪️ infosec.work ▪️ VT
Практический телеграм-канал про информационную безопасность на простом и понятном языке. Каждую неделю публикуем новости про защиту данных, советы ведущих экспертов сферы ИБ, разбираем кейсы без нудной теории и делимся рекомендациями о том, как защитить компанию от инсайдеров.
Узнайте:
➕ с какими инцидентами ИБ сталкиваются в финансах, промышленности и здравоохранении.
➕ как эффективно повысить цифровую грамотность сотрудников и при чем тут геймификация.
➕ когда регуляторы ужесточат ответственность за разглашение коммерческой тайны.
➕ каких кандидатов на должность ИБ-специалиста ждут российские работодатели.
Подписывайтесь и следите за информационный безопасностью.
Реклама. ООО "СЕРЧИНФОРМ" ИНН 7704306397. Erid:2VSb5yHJugt
🔒 Секретный ключ: расширение Google Chrome для локального шифрования сообщений в Telegram.
• Вот вам ссылочка на репозиторий, автор которого решил максимально обезопасить свою переписку в Telegram Web и написал плагин для Google Chrome. Суть заключается в том, что с помощью такого плагина можно локально шифровать \ расшифровывать свои сообщения непосредственно на клиенте. Тем самым, даже если сервер скомпрометируют, то там можно будет найти только ваши закодированные сообщения, которые зашифрованы локальным ключом.
• Плагин больше как концепция, и если у вас есть навыки программирования, то данное решение можно использовать не только в телеге, но и в других мессенджерах, главное - написать адаптер.
➡ https://github.com/dmitrymalakhov/NebulaEncrypt
S.E. ▪️ infosec.work ▪️ VT
⚠ Первая DoS-атака.
• Мало кто знает, что первая DOS-атака была организована еще в 1974 году! Это событие произошло в Университете Иллинойса, одним из студентов, который вывел из строя c помощью простого скрипта 31 PLATO-терминал (Programmed Logic for Automated Teaching Operations — первая система электронного обучения, соединенная общей компьютерной сетью), (на фото).
• Студент распространял команду «ext», отвечавшую за подключение внешних устройств к терминалу. Если при обработке запроса они не были обнаружены, система зависала, и продолжить работу можно было только после перезагрузки. Эта шалость была вызвана простым любопытством, но стала она первым в истории зафиксированным случаем DoS-атаки.
• Разработчики PLATO исправили ошибку в том же году. Кстати, есть мнение, что атаку нельзя считать dinial-of-service в силу природы PLATO-терминалов. Также похожие «уязвимости» к тому времени уже отмечали и для других систем.
S.E. ▪️ infosec.work ▪️ VT