12954
Авторский канал от исследователя в сфере ИБ, OSINT. Автор не несёт ответственности за использование представленной информации. Сотрудничество: @stein_media
Можно годами мечтать о том, чтобы стать белым хакером, не зная, с чего начать.
А можно просто прийти на бесплатный онлайн-интенсив «Профессия пентестер. Как стать хакером и не попасть в розыск Интерпола».
С 10 по 12 июня потрогаете профессию руками — в прямом смысле, ведь будет очень много практики.
За 3 дня вы:
▪️установите и настроите киберполигон
▪️проведете реальные атаки и сделаете аудит безопасности
▪️поймете, как развиваться в этом направлении дальше
А за лучшее решение домашнего задания сможете получить подарок — мини-курс «Алгоритмы и структуры данных».
Записаться на интенсив: https://go.skillfactory.ru/3rIueg
Реклама. ООО «Скилфэктори», ИНН:9702009530, erid:LjN8K6kMn
Вебинар «Фишинг: как научить сотрудников противостоять угрозе» 11 июня в 11:00 мск.
• Проблематика: человек – уязвимое звено в системе защиты компании
• Аналитика по письмам с вредоносным вложением за 2023 год
• Тренды развития атак: куда смещается фокус злоумышленников
• Рекомендации: как снизить риски ошибок со стороны сотрудников
Зарегистрироваться
Реклама. ООО "РТК ИБ". ИНН 7704356648.
Курс для BlueTeam “Реагирование на компьютерные инциденты” стартует 3 июня.
🛡Куратор курса — специалист по РКИ с 5-летним стажем.
ЧТО ВНУТРИ КУРСА:
- Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
- Анализ записей журналов безопасности и артефактов ВПО
- Реагирование на основе данных из SIEM
- Анализ вредоносных программ
- Оптимизация процесса реагирования на инциденты
- Написание правил для обнаружения ВПО
- Threat Intelligence & Threat Hunting
ВЫ ПОЛУЧИТЕ:
- практические навыки в рабочих задачах РКИ
- уверенность в штатном функционировании систем
- сопровождение и поддержку Академии Кодебай
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
Пишите нам @Codeby_Academy
или звоните +74994441750
📖 AlphaBay: Как ошибка в Opsec привела к поимке «короля» даркнета
Alphabay — огромный даркнет-маркетплейс, стал символом эпохи «темного» интернета. Его создание - результат стремления к анонимности, которое в итоге привело к катастрофическим последствиям.
Alphabay предлагал убежище для преступников, где они могли продавать наркотики, оружие и украденные данные. Но за анонимностью скрывался Александр Казес - тот самый Alpha02, администратор сайта, только он не учёл важность Opsec - что его и погубило.
Борьба с агрегаторами утечек персональных данных в свете законопроекта о привлечении к уголовной ответственности ⚡️
В декабре 2023 года в Государственную Думу России был внесен законопроект, предусматривающий уголовную ответственность за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные.
🔽Законодатели предлагают дополнить УК РФ статьей 272.1 "Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения".
❗️Из сути законопроекта становится понятно, что в первую очередь он направлен на пресечение деятельности агрегаторов утечек персональных данных (ботов для "пробива").
Ни для кого не секрет, что агрегаторы утечек персональных данных, на ряду с другими источниками данных, используются некоторыми OSINT-аналитиками в рамках проведения различных исследований.
❓Учитывая данный факт возникает множество вопросов относительно возможности привлечения к уголовной ответственности OSINT-аналитиков за использование утечек данных, а также в принципе возможности привлечения к уголовной ответственности за использование персональных данных в рамках OSINT-исследований.
▶️Об этом и иных юридических тонкостях законодательства в области персональных данных поговорили с руководителем практики юридической фирмы Orlova\Ermolenko, членом "Ассоциации российских специалистов по защите данных" - Ангелиной Балакиной.
Некоторые выводы из нашего с Ангелиной разговора оформил в виде карточек для удобства восприятия. Советую также ознакомится с полным текстом беседы, в котором Вы сможете найти множество интересных инсайтов относительно использования персональных данных.
Пока писал материал про поимку Alpha02 (кстати, скоро выйдет ☕️) пришла идея, спросить у вас - а какие темы постов вы бы хотели увидеть? А то смотрю я на посты, а конверсии под ними мало, хотелось бы писать вам на более релевантные темы — чем больше откликнувшихся, тем лучше. (своеобразный анализ ца 😄)
🖨 Пишите в комментариях, обсудим.
Друзья, коллеги, подписчики.
Недавно наш канал перевалил за 1000 подписчиков и мы сказали: Дальше — больше.
Время пришло!
Мы открываем регистрацию участников на HACK OSINT CTF 2024.
Организаторы мероприятия:
- Northern Palmyra;
- NullByte | Open Security;
Призовой фонд мероприятия составляет 2600$, а также множество цифровых наград от различных телеграм-сервисов и ещё несколько приятных сюрпризов.
Зарегистрироваться можно на hackosint.net
Добавляйтесь в телеграм-группу мероприятия, чтобы быть на связи и не пропускать важных новостей.
Побороться за награды можно как в команде, так и в индивидуальном зачете !
Северная Пальмира & Intelligence guild
#Intelligence_event
📖 OSINT: подборка инструментов по отслеживанию морского транспорта
Отслеживание морского транспорта происходит посредством AIS-трекеров - сервисов, которые предоставляют информацию о местоположении и движении морских судов в режиме реального времени.
Не малому числу людей ведь было интересно наблюдать за пробкой танкеров с нефтью в персидском заливе, заливе Босфора или узнать, куда уплыла яхта Усманова в рамках расследования 👮♀️ Так вот — подборка из четырёх must have трекеров к вашему вниманию:
1. Marine Traffic — аналог Flightradar24 для судов. В режиме реального времени показывает местоположение яхт, рыболовных траулеров, танкеров, контейнеровозов и так далее. Предоставляет массу справочной информации.(зачастую за точное местоположение просят оформить подписку, но есть компании, которые предоставляют это бесплатно, например: Veson Nautical, необходимо лишь написать на почту press@veson.com)
2. VesselFinder — альтернативный портал для отслеживания маршрутов судов и агрегации данных. Использует большую сеть наземных AIS-приемников и данные спутникового мониторинга.
3. Marine Vessel Traffic — сервис использует карты из предыдущих пунктов этого списка, но дополняет их рядом полезных фильтров и возможностью удобного отслеживания отдельных классов судов.
4. Global Fishing Watch — дашборд для мониторинга человеческой деятельности в мировом океане: коммерческого рыболовства, перевалки грузов, случаев использования принудительного труда в море.
#OSINT #Ship #Recon | 😈 @secur_researcher
Ну ладно, ладно. Если на чистоту, в данный момент готовлю для вас интересное чтиво про поимку администратора Alphabay, пока могу показать вам лишь трейлер — enjoy.
Читать полностью…
Курс-бестселлер "Тестирование веб-приложений на проникновение (WAPT)" стартует 3 июня.
Это на 100% практический курс по пентесту, где вы руками попробуете изученные техники взлома. Лаборатория содержит 65 рабочих + 16 экзаменационных тасков.
ЧТО ВНУТРИ КУРСА:
- нахождение и эксплуатация всех актуальных типов уязвимостей, активный/пассивный фаззинг
- использование техник: SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- применение техник повышения привилегий
- разбор и практика выполнения Client-side атак (XSS, CSRF)
ВЫ ПОЛУЧИТЕ:
- практические навыки как в рабочих задачах, так и в Bug Bounty
- сертификат/удостоверение о повышении квалификации
- трудоустройство/стажировка для лучших выпускников
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
Новый курс по Linux форензике (DFIR Linux) с задачами, основанными на реальной практике, начинается 27 мая
ЧТО БУДЕТ НА КУРСЕ?
- Решение задач, основанных на APT-отчетах
- Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты
- Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО
ДЛЯ КОГО СОЗДАН ЭТОТ КУРС?
- для аналитиков 1, 2 и 3 линий SOC
- для для начинающих DFIR специалистов
- для специалистов Red Team
- для организаций, планово повышающих квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX
О НАС
The Codeby, команда-чемпион по этичному хакингу в 2019-2023
Преподаватели: DFIR специалисты SOC L3
Пишите нам @Codeby_Academy
или звоните +74994441750
📚 Здесь собраны все вопросы, которые могут спросить на собеседовании. Теперь можно легко получить оффер, подготовившись к самым популярным вопросам. Просто выбери своё направление:
1. Frontend / JavaScript
2. Python
3. Java
4. Тестировщик QA
5. Data Science
6. DevOps
7. C#
8. С/C++
9. Golang
10. PHP
11. Kotlin
12. Swift
Как научиться работать с базами данных и упрощать задачи? Запишитесь на бесплатный мини-курс Skillbox. За 5 дней вы с нуля пройдёте основы SQL, научитесь обрабатывать, анализировать и красиво визуализировать данные на реальных кейсах. Подходит для любого уровня подготовки!
Зарегистрируйтесь прямо сейчас и получите полезный гайд по профессии: https://epic.st/-If_sK?erid=2VtzqwwtGoB
Что будем делать:
— Писать запросы на языке SQL
— Проводить аналитику для бизнеса
— Разрабатывать автоматизированную отчётность в Excel
— Обрабатывать данные в Power Query
— Визуализировать показатели в Excel: создавать красивые графики, диаграммы и метрики
— Применять инструменты Excel для анализа данных
Спикер — Мкртич Пудеян, специалист по анализу данных в «Газпромбанке». Сертифицированный SQL-разработчик от Microsoft, 8 лет работал специалистом по хранилищам данных в Tele2.
🎉 Всех участников ждут бонусы: 5 полезных статей по SQL и Excel, персональная карьерная консультация, год бесплатного изучения английского языка и скидка 10 000 рублей на любой курс.
🌟Учитесь с нами — откройте дверь в мир знаний за пару кликов!
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
Взлом международной компании Rockstar Games шокировал мир в 2023 году. Особенно потому что его устроил 18-летний парень с помощью обычного смартфона. В результате он слил в сеть геймплей новой GTA-6 до ее официального релиза.
Эта ситуация показала, какие серьезные проблемы есть в информационной безопасности как для мировых корпораций, так и для обычных пользователей.
В новом выпуске Kotelov Digital finance Валерий Котелов приоткрыл завесу самых темных уголков интернета и рассказал, как хакеры взламывали ядерные реакторы и какие известные компании с радостью поделятся твоими личными данными.
Переходите по ссылке, чтобы защищать себя — https://www.youtube.com/watch?v=Hg2dE5Wfypg
Новый курс по Linux форензике (DFIR Linux) с задачами, основанными на реальной практике, начинается 27 мая
ЧТО БУДЕТ НА КУРСЕ?
- Решение задач, основанных на APT-отчетах
- Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты
- Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО
ДЛЯ КОГО СОЗДАН ЭТОТ КУРС?
- для аналитиков 1, 2 и 3 линий SOC
- для для начинающих DFIR специалистов
- для специалистов Red Team
- для организаций, планово повышающих квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX
О НАС
The Codeby, команда-чемпион по этичному хакингу в 2019-2023
Преподаватели: DFIR специалисты SOC L3
Академия Кодебай
образовательный центр по обучению информационной безопасности
для профессионалов
@Codeby_Academy
+74994441750
📖 OSINT: подборка инструментов по отслеживанию стихийных бедствий
Стихийные бедствия - серьезная угроза. Например, в начале мая шторм обрушился на центральную Россию (Воронеж, Уфа, Тульская область). Я в свою очередь изучил карту ветров, определил координаты и выяснил, что бояться нечего. (В крайнем же случае, многим из нас стоило бы предпринять меры: перепарковать авто, укрепить слабые сооружения и пр.)
— В этом посте я приведу массу инструментов, которые помогут вам в ситуациях связанных с природными катаклизмами.
1. earth.nullschool.net — сервис, который визуализирует движение воздуха и воды по всему миру в реальном времени. Он использует данные с метеорологических спутников и наземных станций, показывая: скорость и направление ветра; температуру поверхности моря; положение и движение облаков. (О нём и шла речь в описании поста 🌃)
2. GDACS — карта глобальной системы оповещений о стихийных бедствиях. Совместная инициатива Управления ООН по координации гуманитарных вопросов (УКГВ) и Европейской комиссии.
3. RSOE-EDIS eventMap — дашборд в реальном времени агрегирует сообщения о пожарах, торнадо, землетрясениях, катастрофах и чрезвычайных происшествиях.
4. Fire MAP NASA — проект NASA, ориентированный на пожары и другие тепловые аномалии. Получает данные со спутников VIIRS и MODIS, обновляется ежедневно.
5. tertremo Live Earthquake Map, Earthquake Track, Recent USGS Earthquakes и USGS Monthly Earthquakes — фиксируют землетрясения, данные о которых собраны при помощи сети датчиков Геологической службы США (USGS).
#OSINT #Weather | 😈 @secur_researcher
👮♀️ Crowd-Sourced OSINT: расследования умами масс
Термин «краудсорсинг» используется нами уже достаточно давно и в целом означает взаимодействие с общественностью для получения всего, что вам нужно.
— В данной статье мы коллективом СП рассмотрели применение данного подхода в OSINT-исследованиях и примеры, когда это шло на пользу, а когда могло привести к непоправимым последствиям.
↘️ northern_palmyra/1C51Kt_rY0P">teletype.in (PDF формат - click)
Кстати говоря, до окончания регистрации участников HACK OSINT CTF осталось 20 дней. (Наш призовой фонд уже более 3 тыс. $)
😏 CDEK взломан и изнасилован шифровальщиком
С 26 мая, в завершающий день PHdays 2024 группировка Head Mare взломала СДЭК, зашифровала данные и уничтожила бэкапы.
В своём ТГК ребята приложили скриншоты, предположительно демонстрирующие внутренние системы СДЭК, хакеры пишут, что зашифровали данные компании, а резервные копии «админы на маленькой зп делали раз в полгода», и теперь бэкапы «пропали».
— Представители СДЭК'а при этом говорят о «обширном техническом сбое и вот, вот всё починят» тем временем, всё лежит уже двое суток.
Лицо спецов из BI.ZONE, которые консультируют их по вопросам кибербезопасности и предоставляют ПО, представили? 🍷
#news | 😈 @secur_researcher
Курс для BlueTeam “Реагирование на компьютерные инциденты” стартует 3 июня.
🛡Куратор курса — специалист по РКИ с 5-летним стажем.
ЧТО ВНУТРИ:
- Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
- Анализ записей журналов безопасности и артефактов ВПО
- Реагирование на основе данных из SIEM
- Анализ вредоносных программ
- Оптимизация процесса реагирования на инциденты
- Написание правил для обнаружения ВПО
- Threat Intelligence & Threat Hunting
ВЫ ПОЛУЧИТЕ:
- практические навыки в рабочих задачах РКИ
- уверенность в штатном функционировании систем
- сопровождение и поддержку Академии Кодебай
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
Курс-бестселлер "Тестирование веб-приложений на проникновение (WAPT)" стартует 3 июня.
Это на 100% практический курс по пентесту, где вы руками попробуете изученные техники взлома. Лаборатория содержит 65 рабочих + 16 экзаменационных тасков.
ЧТО ВНУТРИ КУРСА:
- нахождение и эксплуатация всех актуальных типов уязвимостей, активный/пассивный фаззинг
- использование техник: SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- применение техник повышения привилегий
- разбор и практика выполнения Client-side атак (XSS, CSRF)
ВЫ ПОЛУЧИТЕ:
- практические навыки как в рабочих задачах, так и в Bug Bounty
- сертификат/удостоверение о повышении квалификации
- трудоустройство/стажировка для лучших выпускников
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
erid: LjN8KPsJv
👹 В Японии придумали нейронку, которая успокаивает нервы сотрудников колл-центров. Она делает голоса недовольных клиентов менее агрессивными.
Но нам в Avanpost такие штуки не нужны — наши клиенты всегда довольны! Почему? Почитай наш тг-канал и узнаешь 😎
Там всё про кибербезопасность и ИТ, а еще мемы и инфа о наших реально классных продуктах. Подписывайся 😉
Друзья! Курс "Введение в информационную безопасность" начинается 3 июня.
КУРС ПОЛЕЗЕН ДЛЯ:
- Технических специалистов
- Этичных хакеров
- Разработчиков
- Всех, интересующихся информационной безопасностью
НА КУРСЕ ВЫ НАУЧИТЕСЬ:
- Находить и эксплуатировать уязвимости: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
- Решать CTF-задания
- Организовывать защиту от перебора паролей, настраивать систему обнаружения вторжений
- Консольным командам ОС Windows и Linux, написанию скриптов
- Ключевым инструментам пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan, Fail2ban и других
ВЫ ПОЛУЧИТЕ:
- актуальные практические навыки
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
- сопровождение и поддержку Академии Кодебай
Пишите нам @Codeby_Academy
или звоните +74994441750
Подробнее о курсе → здесь
Когда пентестер начинает тестировать веб-приложение, первый этап — это разведка. Специалисту важно уметь правильно собирать и категоризировать информацию, а также иногда выходить за пределы вводных, которые дал заказчик. Как не ошибиться на этом этапе — расскажут на воркшопе Яндекс Практикума.
→ Бесплатно, 23 мая в 19:00 Мск
Кто рассказывает:
◾️Иван Авраменко
Инженер по кибербезопасности, создатель телеграм-канала про информационную безопасность Kraken_sec и ведущий подкаста «Кверти», автор и преподаватель курса «Специалист по информационной безопасности: веб-пентест» в Практикуме
О чём поговорим:
— зачем вообще нужен первичный сбор информации;
— про инструменты, без которых не обходится ни одно тестирование: dig, whois, ffuf, shodan и другие;
— как провести активную и пассивную разведку.
→ Зарегистрируйтесь на воркшоп
Все надоело и пропал интерес, чувствуешь себя амебой и хочется только залипать в телефоне. Бывает?
Психолог взрослого человека - канал для айтишников, у которых периодически опускаются руки и отключается мозг, ибо переработки и постоянная тревожность не приводят к другим исходам.
✔️ Как научиться отвлекаться от работы и отдыхать?
✔️ Как совместить кучу рабочих задач и время с семьей?
✔️ Как справиться с прокрастинацией?
✔️ Как не растерять запал, даже если начальник и коллеги 💩 и кажется, что ничего не выходит?
Подписывайтесь на канал @vadimpetrov_psy и научитесь работать без упахивания, выгорания и ущерба для личной жизни!
👨🏻💻 Псс. Заходите в закреп канала - там много полезного, и даже бесплатный мини-курс.
HackOSINT CTF 2024 coming soon...
by Северная Пальмира & NullByte | Open Security
👮♀️ Кстати говоря, одно из применений утилит для анализа теней.
Предыстория: девушка поделилась в соцсетях, как она купается в Ницце в 5:30 утра, но Тревор Рэйнболт разоблачил врушку, рассчитав азимут и высоту теней, выяснив, что видео записано в ≈ 6:05 утра.
С georainbolt">Тревором Рэйнболтом некоторые не знакомы, эта личность прославилась благодаря тому, что стал одним из топовых игроков в GeoGuessr - игра, в которой необходимо угадать местоположение улицы/переулка/шоссе в мире, пометив его на карте Google Maps.
#OSINT #Shadow | 😈 @secur_researcher
В процессе написания статьи, описывающая, как одна ошибка на начальном этапе приводит к задержанию, думаю, вам понравиться. (осинт фигурирует ключевым образом)
И кстати говоря, возможно, от коллектива СП скоро начнём публиковаться на xakep.ru (но это не точно 🚬)
📖 OSINT: инструменты анализа теней для геолокации по фото/видео
OSINT-расследователи массового стали определять место и время, где сделаны фото и видео по расположению теней от объектов, попавших в кадр. На одной логике без багажа утилит тут не уедешь, порой придётся рассчитывать высоту объектов, высчитывать тень и пр.
— В подобных видах расследований(раз, два) важна каждая деталь, поэтому чтобы поиски были более результативными, необходимо обзавестись пулом разного рода утилит, таких как:
1. SunCalc — самая известная тулса для анализа теней, позволяет определить местоположение и время съемки, что помогает исследователям установить точное время и место происшествия на основе анализа теней и положения солнца в кадре.
2. ShadeMap — дашборд с интерактивной визуализацией теней от гор, зданий и даже отдельных деревьев, использующая карты OpenStreetMap.
3. Shadowmap — интерактивная карта теней с трехмерным отображением зданий. Есть возможность использовать данные со спутниковых снимков и другие платные функции.
4. F4map Demo — еще одна карта теней с 3D-режимом.
5. 3D Sun-Path — специализированное веб-приложение, демонстрирующее положение солнца и его лучей по отношению к географическим объектам в течение года.
🪫 Если тема теней вам по нраву, разберём его возможности на конкретных примерах, от вас жду реакций, а с меня пока хватит - я offline 😎
#OSINT #Shadow | 😈 @secur_researcher
🔹🔹🔹🔹 🔹
Мы достигли семитысячного рубежа подписчиков, и я не могу не выразить огромную благодарность за вашу поддержку и интерес к моему контенту. Ваша активность, отзывчивость (пишите хоть что нибудь, емае) и внимание вдохновляют меня каждый день стараться быть лучше и предоставлять вам полезный, интересный и качественный контент.
— Без вашей поддержки и участия этот канал не смог бы расти и развиваться так быстро. Обещаю продолжать стараться и радовать вас новыми материалами и информацией. В скором времени приедет Flipper и др. приблуды, может и контента интересного вам дам, аля физический пентест (привет Зайцеву из @pro_pentest)
А также хотел бы поблагодарить админов крупных каналов нашего OSINT Community, спасибо за ваши репосты, вы лучшие, не забуду.
Некоторым людям понятие «майндкарты» кажется незнакомым, но спешу вас убедить в обратном, каждый ведь видел отрывки из детективного кино/сериала с доской на которой различные улики, заметки соединённые ниточками, так вот — evidence board, как раз выполняет ту же функцию.
Привет всем дизайнерам, маркетологам и ребят иных сфер, знаю, что вас не мало, стараюсь изъясняться понятным языком, но для тех, у кого возникают сложности с освоением, прошу — чат канала @secur_researchers.