446475
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
2 полезных ресурса по информационной безопасности и этичному хакингу:
🔐 infosecurity — бесплатные курсы и уникальный материал для ИБ специалистов любого уровня и направления. Изучайте, развивайтесь, практикуйте.
👨💻 Вакансии в ИБ — актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности.
👀 Yet Another Level: Revolution — уже 26 марта. Успейте зарегистрироваться!
Уже совсем скоро состоится главный митап про жизнь в IT-индустрии. В прошлом году мы обсудили, как управлять собой, командой, проектом, компанией — и не поседеть к тридцати годам. В этот раз попробуем найти верный подход к карьере и жизни и выяснить главное — как оставаться счастливыми на работе.
Что будем обсуждать?
- Синдром самозванца и достигаторство
- Что такое жизнь без работы и что такое работа после саббатикала?
- Стеклянный потолок: пробить нельзя смириться
Встречаемся по адресу:
Санкт-Петербург, Пискарёвский проспект, 2, корп. 2, БЦ «Бенуа», этаж 5, зал «Смольный»
Участие бесплатное. Для тех, кто не сможет присутствовать лично, проведём онлайн-трансляцию на сайте.
Не забудьте зарегистрироваться по ссылке.
Увидимся 26 марта!
🤩 Мечтаете выступить на киберфестивале Positive Hack Days 2, но не успеваете подать заявку? Тогда у нас хорошая новость: мы продлеваем прием тем ваших докладов до 1 апреля (и это не шутка).
Читайте описания треков, определяйтесь с тематикой и готовьтесь заявить о себе на спортивной киберарене стадиона «Лужники».
Неважно, профи вы или делаете первые шаги в мире кибербезопасности, главное — актуальность темы и ваш свежий взгляд.
👉 Ждем ваших заявок на сайте PHDays 2 (и это правда последний шанс, больше продлевать их прием не будем!).
@Positive_Technologies
#PHD2
💻 Ищешь виртуальный сервер с лучшей DDoS защитой — выбирай Aéзa!
– Виртуальные сервера до 6.0 ГГц на флагманских процессорах;
– Профессиональная DDoS защита от StormWall;
– Бесплатная Anycast DDoS защита для сайтов;
– Низкие цены от 247 рублей за Ryzen 7950x3D;
– Круглосуточная премиум поддержка;
– 15% кешбэка по ссылке
На этом приятности не заканчиваются!
🖥50% скидка на все VPS!
количество скидок ограничено
🖥Бесплатные сервера!
Возьми сервер от Aéзa на 1 час или воспользуйся
сервисом бесплатной аренды от Aéзa - Терминатор.
Без регистрации, СМС и платежей 🖥
Ставка на результативную безопасность: 75% компаний инвестируют в обновление программного обеспечения и покупку лицензий ИБ-сервисов
Yandex Cloud и компания ДРТ подвели итоги исследования об актуальных средствах безопасности для бизнеса. В 2023 году компании в среднем на 20% увеличили бюджеты на развитие систем информационной защиты.
Одна из основных затрат — закупка нового ПО и сервисов для повышения безопасности. При этом бизнес стал чаще использовать для защиты инфраструктуры модели машинного обучения, а для безопасной разработки — облачные технологии.
Облака помогают автоматизировать часть работы с ИБ-сервисами и ускорить их внедрение. Платформы предоставляют сервисы для сбора аудитных логов, хранения секретов, шифрования данных и защиты от DDoS-атак и не только.
Больше инсайтов об актуальных средствах защиты и о безопасности облаков по ссылке.
Avito Security meetup #2 — идеальный план на вечер вторника, 26 марта.
В 19:00 мск в офисе Авито встречаются ведущие специалисты и руководители направлений безопасности, чтобы обсудить защиту данных, облачных хранилищ и MlSecOps.
Мощные доклады, edge-кейсы, кофе и нетворкинг — всё, как вы любите. Успейте забронировать место по ссылке.
Реклама ООО "Авито Тех", ИНН 9710089440 ERID: 2VfnxyMKYiC
Главное событие весны в сфере информационной безопасности.
⚡️ Staffcop: Совершенно Безопасно ⚡️
Первая конференция, которую организовала компания Staffcop - это платформа для обмена знаниями, нетворкинга и обсуждения последних достижений в области защиты информации.
Вместе с КиберДедом (Андреем Масаловичем) мы приглашаем на день, полный инсайтов и открытий.
📍21 марта в 10:00 по МСК мы ждем на прямую трансляцию всех, кто готов взять на себя контроль над своей цифровой безопасностью.
Полная программа мероприятия и регистрация на сайте
Ждем вас!
ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjeeD3Zi
В 2023 году Яндекс выплатил этичным хакерам 70 млн рублей
Всего в 2023 году в программе Охоты за ошибками приняло участие более 500 этичных хакеров. За отчеты, где была информация об уникальных багах (таких было 378) они получили денежное вознаграждение. Один из исследователей заработал в общей сложности 17 млн рублей, он прислал 41 отчет.
В этом году Яндекс выделил в общий призовой фонд багбаунти программы 100 млн рублей. Так что попробуем свои силы, сообщать об уязвимостях можно уже сейчас.
Уникальный сервер для любых задач в Амстердаме за 2$ в месяц
1 Gb RAM / 1 core CPU / 10 Gb NVMe - 2$ в месяц
https://www.vdsina.com/ru/pricing/standard/?partner=e955dm22n7
- Уникальная фиксированная цена в долларах США, которая не будет меняться
- Компания зарегистрирована в Дубае
- Оплата с рублёвой карты, криптой, иностранной картой через Stripe
- Готовые шаблоны с Outline, WireGuard, IPsec
- Подключение к сети интернет — 10 Гбит/сек
- Доступны все популярные сайты, включая ChatGPT, Netflix, Dell, Intel
Почему я должен верить компании? VDSina работает с 2014 года и сейчас обслуживает более 40 000 серверов. Сомневаетесь? Вот чат в телеграме — задавайте вопросы другим пользователям: /channel/vdsina
Специалисты по кибербезопасности, отметьте в календаре 23 марта 📅
Всего за один день вы сможете пройти все этапы отбора, познакомиться с командой кибербезопасности Сбера и даже получить оффер.
О проекте: AI Red Team занимается оценкой и защищённостью моделей GenAI — генеративного искусственного интеллекта. В работе использует LLM, генеративные модели text2Image, Python, С++, SQL, TensorFlow, PyTorch, Keras и другие.
Чем предстоит заниматься?
👉 Анализировать мировые работы и инциденты в области безопасности генеративного ИИ.
👉 Разрабатывать и постоянно обновлять актуальный ландшафт угроз и современных средств защиты для ИИ.
👉 Тестировать и оценивать защищённость больших языковых моделей и других моделей генеративного ИИ.
👉 Разрабатывать и внедрять PoC для проверки защищённости моделей генеративного ИИ.
👉 Оценивать и готовить заключения о защищённости мультимодальных и мультиагентных систем ИИ.
Если вы знаете, что такое poison dataset, prompt injection, adversarial attack, data leakage, и понимаете, чем отличаются мультимодальные системы ИИ от мультиагентных систем ИИ, то ждём вас на One Day Offer!
Регистрируйтесь по ссылке!
😈 Forensics: подборка инструментов по криминалистике
Форензика отставала от пентестинга по числу удобных общедоступных инструментов, но этот разрыв сокращается. Расследование киберпреступлений становится доступнее для энтузиастов и начинающих специалистов.
— В этом посте собрали для вас инструменты для работы с памятью и образами системы:
1. Volatility 3 — один из самых популярных фреймворков для исследования дампов оперативной памяти. Поддерживает 18 операционных систем, умеет работать с дампами ядра Virtualbox и снэпшотами VMware.
2. AVML — сбор данных из энергонезависимой памяти Linux-систем. Его можно использовать для получения данных «вслепую», не зная версию дистрибутив целевой ОС.
3. Sleuth Kit — библиотека для низкоуровневого исследования образов дисков, файловых систем и поиска улик.
4. nTimetools — инструментарий для работы с временными метками в Windows. Позволяет экспертам-криминалистам проверять метки в файловой системе NTFS с точностью до 100 наносекунд.
5. dof (Docker Forensics Toolkit) — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и т.д.
‼️ Также прикрепляю другие полезные подборки по теме:
- Forensics: подборка инструментов по сбору артефактов
- Forensics: подборка инструментов по работе с журналами
- Forensics: материалы по IT криминалистики
#Forensics #Recon #Tools | 🧑💻 Этичный хакер
😈 Курсы по компьютерным сетям
1. Курс по компьютерным сетям начального уровня. Созыкин.А. - 56 видуоуроков по компьютерным сетям.
2. Практики по компьютерным сетям. Созыкин.А. - практические занятия по материалам лекций курса "Курс по компьютерным сетям начального уровня". Исследуем работу сетевых протоколов с помощью анализатора сети Wireshark.
3. Практический курс для новичков в мире сетевых технологий. NetSkills - Посмотрев данный материал вы научитесь пользоваться Cisco Packet Tracer и познакомитесь с основными понятиями, технологиями и приемами, которые используются при построении корпоративных сетей.
4. Компьютерные сети. Продвинутые темы. Созыкин.А. - в этом курсе приведены продвинутые темы компьютерных сетей, которые рекомендуется изучать после освоения основного курса (выше по ссылкам). Смотреть лекции можно в любой последовательности.
#Network #Course #TLS #Wireshark | 🧑💻 Этичный хакер
😈 Хакерский удар по Microsoft: руководители под слежкой, исходный код скомпрометирован
В результате кибератаки злоумышленникам удалось проникнуть в критически важные системы технологического гиганта, о чем впервые стало известно в январе. Однако согласно свежим данным, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
— Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании.
❗️ Это происшествие ставит под угрозу огромное количество корпоративных и правительственных клиентов по всему миру.
#News #Microsoft | 🧑💻 Этичный хакер
😈 OSINT: подборка инструментов для автоматизации разведки
Фактически, весь OSINT сводится к тому, что вы просто анализируете всю доступную в интернете информацию о человеке.
— Ручным поиском у вас уйдёт по меньшей мере пара часов, а автоматизировав поиск, например, с помощью Snoop не более 5 минут(ведёт поиск сразу минимум по 500 источникам). Остаётся лишь проанализировать и структурировать её.
- Инструменты поиска по имени и по никнейму:
Maryam — в принципе, это один из самых многофункциональных инструментов поиска. Он неплохо подойдёт и для поиска по реальному имени и для поиска по никнейму.
Snoop — это один из самых быстрых и мощных инструментов для поиска по имени. Он использует около 500 источников для сбора информации.
Alfred — утилита для сбора информации и идентификации аккаунтов в социальных сетях.
- Инструменты поиска по Email:
Ghunt — поиск информации о владельце Google аккаунта;
Epieos - найдет Google ID, даст ссылки на профиль в Google карты, альбомы и календарь, найдет к каким сайтам привязана почта, профиль LinkedIn.
H8mail - инструмент для поиска взломанных адресов электронной почты и используемых на различных сайтах паролей в утекших базах данных.
- Инструменты для анализа и мониторинга соц. сетей:
Social Searcher — бесплатный инструмент для мониторинга социальных сетей. Фактически это поисковая система, которая ищет упоминания по запросу.
Google Alerts — уведомляет вас о появлении в интернете указанной информации. Этот инструмент вы можете применить как на себя (мониторить информацию о себе), так и на вашу цель.
#OSINT #Recon #Tools | 🧑💻 Этичный хакер
Не знаете криптографию и это мешает вам расти в IT?
А теперь представьте, что вы:
- узнали, как развивались криптоалгоритмы;
- познакомились с принципами работы шифровальной машины Энигма;
- изучили работу алгоритмов асимметричной криптографии для обеспечения конфиденциальности, аутентичности и целостности информации.
Ждём вас на открытом уроке, где вы узнаете все это и даже больше. Встречаемся 13 марта в 20:00 мск в преддверии старта курса «Инфраструктура открытых ключей PKI».
Регистрируйтесь прямо сейчас, чтобы посетить онлнай-урок и получить запись: https://otus.pw/q2Ur/?erid=LjN8JsuLT
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
😈 Китайская группировка Volt Typhoon посягнула на нацбезопасность США
Новое предупреждение, выпущенное CISA, АНБ, ФБР и 8 другими международными партнерами, ориентировано на предоставление инструкций по взаимодействию с критической инфраструктурой в случае потециальных кибератак.
❗️ Данное предупреждение – не первое, которое посвящено группе Volt Typhoon. В феврале власти США заявили, что Volt Typhoon находится в некоторых сетях критической инфраструктуры страны не менее 5 лет.
#News #Alert | 🧑💻 Этичный хакер
😈 Flipper Zero ответила на запрет продажи устройства в Канаде, показав, как перехватить радиосигнал с помощью куска кабеля
Flipper Zero ответила на запрет правительства Канады на продажу устройств в стране из-за роста угона автомобилей.
— В статье команда проекта подробно рассказала о том, как на самом деле угоняют автомобили, почему для этого не подходит Flipper Zero и как можно перехватить радиосигнал с помощью куска кабеля от наушников.
А также материалы по теме #FlipperZero:
- Уязвимость в приложении Tesla позволяет угнать автомобиль с помощью Flipper Zero
#News #FlipperZero | 🧑💻 Этичный хакер
😈 Важность анализа истории Burp Suite для обхода ошибки 403
Что можно попробовать, когда обычные способы обхода 403 не работают?
Возможно, некоторые из вас знают, что определенные конечные точки не будут принимать запросы без заголовка Referer. И если Referer не соответствует поддомену или, по крайней мере, базовому домену, это приведет к коду ответа 403 или 404, или перенаправлению.
Но каким образом мы можем получить доступ к закрытым данным в таком случае? Об этом и пойдёт речь в данной статье.
➖ https://telegra.ph/Vazhnost-analiza-istorii-Burp-Suite-dlya-obhoda-oshibki-403-02-09
#BurpSuite #leak | 💀 Этичный хакер
😈 BEC-атака века. Как корпорации поделились миллионами с киберпреступником
В этом посте поделимся рассказом из подкаста Darknet Diaries – историей про Эвалдаса Римасаускаса, которому удалось украсть миллионы у Facebook и Google. Мы говорим о поддельных электронных письмах, целевом фишинге, атаках вредоносных программ — и все это с целью заставить компанию отправлять платежи не тому человеку.
🗣 Ссылка на чтиво
#BEC #Phishing #SE | 🧑💻 Этичный хакер
😈 В Петербурге задержан 16-летний хакер, работавший на мошеннические колл-центры
Задержанный осуществлял техническую поддержку мошеннических колл-центров. Его задачей была проверка оборудования, позволяющего манипулировать и подменять номера телефонов. Для своих услуг подросток получал оплату в криптовалюте.
— Операция выявила, что молодой человек работал из арендованной квартиры, которую оборудовали четырьмя GSM-шлюзами, двумя тысячами сим-карт и ноутбуком, доставленными курьерами. Для обеспечения конспирации юноша регулярно менял место жительства и ежедневно заменял сим-карты.
#News | 🧑💻 Этичный хакер
😈 Microsoft и Amazon отключают облачные сервисы для России
Российские компании теряют доступ к Power BI, Dynamics CRM и другим облачным решениям.С 20 марта 2024 года гиганты Microsoft и Amazon прекратят предоставление доступа к своим облачным продуктам для российских компаний.
😈 Подробный MindMap по пентесту на русском языке
Нам часто приходят сообщения в бота обратной связи подобного характера: с чего начать путь, какие ресурсы посоветуете, на какие аспекты стоит обратить внимание и др.
— По этому поводу нашли для вас MindMap который ответит на все вышеперечисленные вопросы и не только, он включает в себя много полезного материала: дистрибутивы, инструменты, курсы и видеоматериалы.
🗣 Ссылка на MindMap
#MindMap #Pentest | 💀 Этичный хакер
😈 OSINT: сборник докладов
В этом посте собрали для вас подборку докладов с разных форумов, митапов и конференций. В приведённом ниже списке мы рассмотрим основные методы и инструменты OSINT, которые могут помочь вам получить нужную информацию для различных целей - от исследования рынка до проверки подлинности фотографий и расследования преступлений.
— Мы также обсудим, как правильно проводить поиск в интернете, как анализировать информацию и как сохранять ее для дальнейшего использования, а также узнаете, как определить надежность источника информации, а также как избегать ложной информации.
1. OSINT: Введение в специальность
2. Общедоступная и неочевидная практика OSINT, методы и кейсы
3. OSINT в расследовании киберинцидентов
4. Shadow OSINT: information leaks usage
5. Боевой OSINT: когда открытых источников не хватает.
#OSINT #Recon | 🧑💻 Этичный хакер
😈 Как найти и устранить IDOR — ликбез по уязвимости для пентестеров
В этом посте я расскажу про #IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети или получить скидку в интернет-магазине, а можно заработать тысячи долларов баг-баунти.
— На примерах из практики вы увидете, как хакеры находят и эксплуатируют ошибки бизнес-логики в приложениях и дам практические советы по их устранению.
🗣 Ссылка на чтиво
#IDOR #BurpSuite | 🧑💻 Этичный хакер
😈 Burp Suite: полезные расширения для пентеста
Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и др.
— Кроме того, существует магазин дополнений BApp store, содержащий расширения, улучшающие функционал бурпа. В этом посте подобрали пять таких, повышающие эффективность Burp Suite при пентесте веб-приложений.
1. Software Vulnerability Scanner — Это расширение показывает публичные уязвимости для приложений, обнаруженные в трафике, который проксирует Burp. Представляет собой, по сути, прослойку между Burp и API этого отличного агрегатора уязвимостей.
2. Backslash Powered Scanner — Дополняет активный сканер Burp, используя новый подход, способный находить и подтверждать как известные, так и неизвестные классы уязвимостей для внедрения на стороне сервера.
3. SQLiPy — Инструмент, который интегрирует Burp Suite с SQLMap с помощью SQLMap API, для проверки на уязвимость к SQL-инъекции.
4. Active Scan++ — расширяет перечень проверок, которые выполняются при работе активного и пассивного сканера. Он находит такие уязвимости, как cache poisoning, DNS rebinding, различные инъекции, а также делает дополнительные проверки для обнаружения XXE-инъекций и др.
5. Turbo Intruder — более быстрый аналог Intruder, оснащенный скриптовым движком для отправки большого количества HTTP-запросов и анализа результатов. Полезен, если необходима скорость!
— Очень эффективен при поиске уязвимостей, связанных с «состоянием гонки» (Race Condition)
#BurpSuite #Extensions | 🧑💻 Этичный хакер
Скажите что-то на карьерном
Тинькофф в поиске крутых ИТ-спецов. С компании — профессиональный рост, интересные финтех-задачи, решение бытовых забот и работа там, где вы живете. С вас — выбрать вакансию и откликнуться тут.
erid:2VtzqwiFsvU
Реклама. АО "Тинькофф Банк", ИНН 7710140679, лицензия ЦБ РФ № 2673
🧑💻 Как грамотно использовать VDI?
Виртуальные рабочие столы (VDI) — технология, которая решает сразу несколько ИБ-задач. Одна из них — защищенный доступ к корпоративной сети, в том числе при подключении к ней с личных устройств.
Как именно усилить безопасность рабочей среды c помощью VDI, эксперты компании НУБЕС (Nubes) расскажут на вебинаре 14 марта в 11.00.
Регистрируйтесь, чтобы узнать:
🔻 какие возможности VDI особенно важны при организации защищенных рабочих мест;
🔻что из специализированных средств защиты используют в реальной практике, в том числе от утечек информации, вирусов, сетевых атак и несанкционированного доступа к корпоративным ресурсам;
🔻какие задачи можно решить с помощью сервиса защищенного VDI от компании НУБЕС (Nubes).
📌 Участие бесплатное. Нужно лишь зарегистрироваться >>
Вариант для тех, кто ищет игровой сервер с хорошей веб-защитой — Aéza:
– Процессор до 6.0 ГГц Intel Core i9-14900k;
– Профессиональная фильтрация атак StormWall;
– Круглосуточная поддержка;
– Anycast фильтрация;
– Низкие цены;
– 15% кешбэка по ссылке.
Кроме того, сейчас Aéza раздает личные бесплатные сервера, забираем тут. Регистрация, подписка, платежи не потребуются.
😈 Уязвимость в приложении Tesla позволяет угнать автомобиль с помощью Flipper Zero
Исследователи продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7. (см. видеоразбор)
— Авторы исследования сообщили компании Tesla о найденной уязвимости, указав на недостаточную безопасность процедуры привязки автомобиля к новому телефону. Однако производитель посчитал ошибку несущественной.
#News #FlipperZero | 🧑💻 Этичный хакер
😈 PHD: подборка докладов для пентеста
Positive Hack Days — это международный форум по практической безопасности, который проходит в Москве ежегодно, начиная с 2011 года. По нашему мнению, самый интересный из всех РУ мероприятий подобного плана.
— Известен своим технологическим хардкором, новейшими исследованиями, насыщенной бизнес-повесткой и хакерским конкурсам, а также одной из самой важных функций для каждого форума является — научно-популярная программа для повышения киберграмотности среди ИБ-спецов. Выделили для вас самый сок, приятного ознакомления:
1. KARMA: атака на клиентские устройства с Wi-Fi;
2. Сканируй комплексно и нежно. Опыт Rambler&Co и Okko;
3. APT-группировки. 7 из 10 атак целенаправленны;
4. Использование современных проектов для threat hunting и выявления актуальных угроз;
5. Безопасность банковских структур и клиентских счетов;
6. Атаки BadUSB — старое, страшное, вечное.
Также прикрепляю другие полезные подборки разной направленности:
- OSINT: подборка докладов о применении OSINT
- STANDOFF TALKS: подборка полезных докладов
#PHD #Report #Events | 🧑💻 Этичный хакер