19074
Актуальные новости и гайды по хакингу и информационной безопасности Сотрудничество: @workhouse_price Мы на бирже: https://telega.in/c/infosec_globe Канал в реестре РКН: https://clck.ru/3FtTN5
👀 Лучшие бесплатные OSINT инструменты
OSINT — это сбор информации из общедоступных источников.
В сегодняшней статье автор познакомит Вас с лучшими бесплатными инструментами OSINT, которые помогут собрать необходимую информацию перед началом пентеста.
OSINT не только помогает обеспечить соблюдение точки зрения кибербезопасности организации, но также может помочь защитить любую область, начиная с периметра территории компании, повысить анонимность в Интернете и защитить себя от уловок социальной инженерии.
😁 Чат в терминале Linux: почти «Матрица» в реальной жизни
Прямое зашифрованное соединение — то, что нужно для передаваемых данных, которые следует держать в секрете.
Есть, конечно, SSH, но сам по себе это только способ подключения, без интерфейса для общения.
❗️ Конечно, можно создавать файлы и писать в них что-либо, но это неудобно.
↘️ Habr.com
💙Записки Безопасника
💿 Шифрование и скорость. Сравнительный тест средств шифрования диска
Существует масса причин зашифровать данные на своем жестком диске, но расплатой за безопасность данных будет снижение скорости работы системы.
❗️ Цель этой статьи — сравнить производительность при работе с диском, зашифрованным разными средствами.
↘️ Xakep.ru
💙Записки Безопасника
🛡 End-to-end encryption в режиме групповой peer-to-peer конференции — Telegram включает распределённую паранойю по умолчанию
Telegram выпустил масштабное обновление, главной новинкой которого стали защищённые групповые звонки.
❗️ Теперь можно быстро и удобно созваниваться с друзьями, коллегами или семьёй — без необходимости создавать группу. Звонок поддерживает до 200 участников и надёжно защищён сквозным шифрованием.
Надёжность шифрования можно проверить прямо в звонке — для этого достаточно сравнить эмодзи на экране с другими участниками.
Приглашения можно отправлять по ссылке или QR-коду — удобно как для спонтанных разговоров, так и для заранее запланированных встреч.
🎃 Все знают, где ты находишься
Прочитав о масштабной утечке геолокационных данных из Gravy Analytics, можно узнать, что более двух тысяч приложений из AppStore и Google Play тайно собирали геолокационные данные пользователей без их согласия.
И часто об этом не знали даже разработчики.
❗️ Цель данной статьи —попробовать отследить себя снаружи, то есть купить свои геолокационные данные, утёкшие через какое-нибудь приложение.
↘️ Habr.com
↘️ Можешь убедиться сам (Часть 2)
💙Записки Безопасника
🥷 Справочник анонима. Как работают токены аутентификации и в чем их отличия от паролей
Мы все окружены паролями, одноразовыми кодами, ключами и токенами, но не всегда знаем об их существовании. Они каждую минуту обеспечивают безопасность наших аккаунтов и данных.
🥷 10 лучших инструментов Kali Linux для взлома
⏺ Metasploit Framework — платформа для разработки и выполнения эксплойтов, тестирования на проникновение и анализа уязвимостей.
⏺ Nmap — инструмент для сканирования сети и обнаружения устройств, открытых портов, операционных систем и других характеристик сети.
⏺ Wireshark — анализатор сетевых протоколов для захвата и анализа сетевого трафика.
⏺ Aircrack-ng — набор инструментов для тестирования безопасности беспроводных сетей, включая взлом WEP и WPA/WPA2-PSK.
⏺ John the Ripper — утилита для взлома паролей, включая поддержку различных форматов хеширования паролей.
⏺ Burp Suite — инструмент для тестирования безопасности веб-приложений, включая перехват и изменение HTTP-трафика, обнаружение уязвимостей и анализ сеансов.
⏺ Hydra — инструмент для проведения атак на пароли, используя словарные атаки, брутфорс и другие методы.
⏺ SQLMap — инструмент для автоматизации обнаружения и эксплуатации уязвимостей веб-приложений, связанных с SQL-инъекциями.
⏺ Nikto — сканер уязвимостей для веб-серверов, выполняющий обширное сканирование на наличие известных уязвимостей и конфигурационных проблем.
⏺ Hashcat — утилита для взлома хешей паролей с использованием методов брутфорса, словарей и других атак.
💙Записки Безопасника
🎃 Хет-трик пентестера: обзор и опыт получения трех ИБ-сертификатов
В этой статье автор расскажет о своем опыте прохождения СRTP (Certified Red Team Professional), CRTE (Certified Red Team Expert), СRTO (Certified Red Team Operator) без отрыва от производства и вреда для рабочих проектов.
❗️ Поделится подробностями об организации обучения, особенностях лабораторных работ и экзаменов. Также даст практические советы, которые помогут избежать типичных ошибок при подготовке.
✋ По заветам Митника. Как я заколебал всех, но все же получил пароль
Автор работал в одной IT-компании, где помогал непрерывно улучшать систему безопасности. Приближались учения по социнженерии.
🥷 Без root, без шума, без возврата: новая NFC-атака работает тихо и точно
Компания F6 сообщила о распространении в России новой версии вредоносного программного обеспечения на базе NFCGate.
Этот софт позволяет преступникам дистанционно получать доступ к банковским картам через NFC-модуль смартфонов.
❗️ По данным аналитиков, с августа 2024 года, когда была зафиксирована первая атака, до конца первого квартала 2025 года ущерб от использования всех версий этого ПО составил 432 млн рублей.
С января по март ежедневно происходило в среднем 40 успешных атак, средняя сумма хищения составляла 120 тыс рублей.
✋ Первоапрельская шутка, из-за которой автора едва не уволили
Каждый хотя бы раз в жизни должен устроить одну великолепную шутку.
❗️ В этой статье автор расскажет о своей шутки (кажется, срок исковой давности уже прошёл).
История правдива, вырезаны только имена, чтобы защитить виновного.
🔒 Призрачный тап. Как фишеры штампуют ворованные карты через Apple и Google Pay
Кардинг — темное ремесло похищения, продажи и прокачки ворованных платежных карт — годами был вотчиной русских хакеров.
↔️ 800 миллионов украденных паролей. Один из них — ваш. Угадайте, какой.
Современные хакеры не тратят время на сложные взломы и не пишут эпичные эксплойты — они просто входят. С логином. И паролем. Вашим.
Главный виновник — вредоносные программы типа infostealer.
Эти штуки крадут логины и пароли прямо с заражённых устройств: браузеры, куки, сессии, автозаполнения — всё, что вы так удобно хранили, чтобы не вспоминать по сто раз.
🤖 Пять вещей, которые не стоит рассказывать ChatGPT
Не позволяйте вашем мыслям стать учебным материалом для ИИ — или всплыть в случае утечки данных.
Пациенты загружают результаты анализов для расшифровки, разработчики отправляют фрагменты кода для отладки.
Исследователи ИИ советуют с осторожностью относиться к тому, что мы рассказываем этим человечно звучащим инструментам.
🎩 CrackMapExec: универсальный инструмент для тестирования безопасности Windows-сетей
CrackMapExec (сокращённо CME) — это один из самых мощных и «вкусных» инструментов для тестирования безопасности Windows-сетей, в особенности — инфраструктур, построенных на базе Active Directory.
❗️ Он позволяет проводить атаки на протоколы SMB, RDP, WinRM, LDAP и MSSQL, сканировать сеть, проверять логины и пароли, вытаскивать хэши и многое другое. Всё это — в рамках одной командной строки.
↘️ Securitylab.ru
💙 Записки Безопасника
🥷 Хакерские инструменты, ресурсы и ссылки для практики этичного хакинга
Hacker Roadmap — это репозиторий, который представляет собой обзор того, что вам нужно изучить для тестирования на проникновение, а также коллекцию хакерских инструментов, ресурсов и ссылок для практики этичного хакинга.
❗️ Репозиторий имеет инструменты, большинство которых совместимы с UNIX, бесплатны и имеют открытый исходный код.
🖥 GitHub.com
💙Записки Безопасника
👺 MITM-атака в локальной сети
MITM означает «Man-in-the-Middle» (человек посередине) – это атака, при которой злоумышленник встраивается между двумя узлами в сети и перехватывает или изменяет передаваемые данные.
❗️ Сегодня поговорим о MITM-атаке в локальной сети. Автор даст несколько советов, которые позволят проводить MITM более аккуратно.
↘️ Spy-soft.net
💙Записки Безопасника
📱 Android для параноиков: настройки защиты от цифровой слежки
Если вы тоже ловили себя на мысли, что не хотите быть прозрачным для приложений, рекламных алгоритмов и всего большого цифрового глаза — добро пожаловать в клуб.
❗️ Сегодня мы займёмся тем, чем занимаются параноики в свободное время: будем превращать Android-устройство в неприступную цитадель.
↘️ Securitylab.ru
💙 Записки Безопасника
📖 Masscan — это массовый сканер IP-портов, который считается одним из самых быстрых сканеров портов в интернете.
Программа может сканировать весь интернет за 6 минут, отправляя 10 миллионов пакетов в секунду.
🎩 Как мобильные операторы анализируют наши данные
Мобильные операторы получают массу данных и метаданных, по которым можно узнать очень многое о жизни отдельно взятого абонента.
❗️ А поняв, как обрабатываются и как хранятся эти данные, вы сможете отследить всю цепочку прохождения информации от звонка до списания денег.
↘️ Spy-soft.net
💙Записки Безопасника
✋ Возвращение Triada: новые версии Android превращают смартфон в шпионский гаджет
Новые версии Android значительно повысили защиту системы, запретив редактирование системных разделов даже с правами суперпользователя.
🔒 Гид по курсам сетевой криминалистики и анализу трафика
Сетевой трафик — живая летопись того, что происходит внутри ИТ‑инфраструктуры.
🌐 Инструмент для сбора информации о пользователях Google
Ghunt - это мощный и универсальный инструмент OSINT, предназначенный для сбора информации о пользователях по их gmail-адресам.
❗️ Он обеспечивает доступ к имени владельца, идентификаторам, активным сервисам Google, таким как YouTube, Photos, Maps и другим.
Также можно получить информацию о возможном местоположении, Google документах, запланированных встречах в календаре и многом другом.
🥷 Лучшие хакерские расширения для браузера Firefox
Мы уже рассказывали про лучшие расширения для анонимности Firefox.
❗️Сегодня продолжим тему бразуеров и рассмотрим лучшие хакерские расширения для Firefox.
Статья будет полезна всем, но в первую очередь багхантерам.
🎃 Синтетика или живые атаки: как подготовить SOC к реальной угрозе
В статье попробуем разобраться в особенностях «живого» трафика, рассмотрим его сходства и различия с «синтетикой» и постараемся понять.
❗️ Как они взаимно дополняют друг друга в рамках обучения специалистов и тестирования защитных решений.
↘️ Securitylab.ru
💙 Записки Безопасника
👀 OSINT-утилита для анализа телефонных номеров
PhoneInfoga — это открытая утилита, разработанная для сбора информации о телефонных номерах с использованием только бесплатных ресурсов.
❗️ Она позволяет получить данные о стране, операторе связи, типе линии (мобильная или стационарная) и многом другом.
🖥 GitHub.com
💙Записки Безопасника
😁 Лучшие инструменты аудита безопасности Linux
В сегодняшней статье мы познакомим вас с лучшими утилитами аудита безопасности Linux или как говорят наши англоязычные коллеги — Hardening Linux.
❗️ Тема статьи проверка уровня защищенности Linux-систем и оценка корректности конфигов с точки зрения информационной безопасности.
↘️ Spy-soft.net
💙Записки Безопасника
🎩 Что можно узнать о компании, просто изучив её сайт? Cпойлер: иногда слишком много
OSINT-инструменты для анализа корпоративных сайтов.
❗️ В этой статье мы не будем уходить в пентест‑джунгли, а разберём пять практических направлений сбора сведений о корпоративном веб‑ресурсе.
И что особенно важно — покажем на живых примерах, какие инструменты помогают автоматизировать каждую задачу.
↘️ Securitylab.ru
💙 Записки Безопасника
🌐 Автоматизация поиска в Tor
OnionSearch — это утилита командной строки, предназначенная для сканирования URL-адресов из различных поисковых систем .onion.
❗️ Для доступа к веб-сайтам .onion пользователям необходимо иметь прокси-сервер Tor, работающий на localhost:9050, и браузер с поддержкой Tor.
🖥 GitHub.com
💙Записки Безопасника