🔎 Maltego.

• Maltego — мощный инструмент для сбора и анализа открытых данных из различных источников, таких как интернет, социальные сети, базы данных и т.д. С помощью Maltego вы можете создавать графы, которые показывают связи между различными сущностями, такими как домены, адреса электронной почты, телефоны, организации и т.д. Вы также можете использовать трансформации, которые принимают сущность на входе и выдают новые сущности на выходе. Таким образом, вы можете расширять свои исследования и получать новую информацию из разных источников.

• Этот цикл статей поможет тебе освоить Maltego и приступить к практическому применению:

- Что такое Maltego и зачем оно вообще нужно;
- Интерфейс и базовое устройство;
- Maltego и OSINT в Facebook;
- Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
- Применение системы распознавания лиц для OSINT в Maltego;
- Поиск информации с применением геолокации;
- Maltego для бедных или какие есть бесплатные дополнения к ней;
- DarkNet matter.

#Maltego

🎉 С днём рождения, Линус!

Никакие развлечения не могли сравниться с компьютером. Когда дома есть компьютер, можно сидеть за ним всю ночь напролёт. Обычно мальчишки по ночам «читают» под одеялом «Плейбой». Я же вместо этого прикидывался спящим, дожидался, пока мама уйдёт, вскакивал и усаживался за компьютер. Это было ещё до появления чатов.

© Linus Torvalds, “Just for Fun”.

• Так, фактически, и зарождалась действительно прекрасная операционная система, которую теперь мы используем повсеместно. Самому же Линусу сегодня исполнилось 54 года. Так пожелаем же Линусу всего самого лучшего, пусть он и дальше творит и делает этот мир прекраснее.

#Разное

👩‍💻 Программы для управления Docker контейнерами.

• 00:13 | Portainer. Management Docker;
• 01:25 | Yacht. Management Docker;
• 02:28 | Watchtower. Docker Update;
• 03:44 | WUD. Whats-up-docker. Docker Update;
• 05:26 | Dozzle - Logging;
• 06:43 | Gotify. Alerting, Messenger.

#Docker

🔐 Virus Detect bot.

• Рад сообщить, что у нас появился новый проект, который реализован на api VirusTotal. @SE_VirusTotal_bot — проверит Ваш файл или ссылку на предмет угроз и выдаст подробный отчет по итогу анализа.

• Бот полностью бесплатный, без рекламы и без обязательных подписок (когда для использования бота нужно подписаться на канал). Просто перешлите или загрузите нужный файл и проверьте детекты. Проверка осуществляется 70 антивирусами одновременно.

➡ https://t.iss.one/SE_VirusTotal_bot

• P.S. Да, в Telegram уже есть такие боты, но вы могли встретить там рекламу казино или букмекеров, обязательные подписки и т.д. и т.п.

• P.S.S. Если нашли баг или хотите предложить свою идею по улучшению бота, пишите по контактам в кнопке "Информация".

#AV

📦 Где хранить секретные файлы...?

• Всю информацию человека можно разделить по степени важности, примерно так:

- Системные бэкапы (важность 1/10);
- Текущие рабочие файлы (3/10);
- Личный архив: фотографии, видео (6/10);
- Копии бумажных документов (8/10);
- Секреты: ключи, пароли, кошельки (10/10).

• Терять файлы всегда неприятно. Поэтому мы делаем резервные копии. Но степень параноидальности усилий по защите информации зависит от важности. Есть категория файлов, которую нельзя терять ни при каких обстоятельствах, даже в случае апокалипсиса. Это наши главные секреты, то есть ключи, пароли и кошельки.

• Сегодня предлагаю ознакомиться с полезной статьей на хабре, которая описывает различные уровни защиты собственных файлов, способы сокрытия от чужих глаз и методы хранения:

➡️ https://habr.com/ru/post/656653/

#ИБ

🥂 С Наступающим, друзья.

• Пусть новый год принесёт Вам много новых положительных эмоций, любви, счастья и достатка. Старайтесь больше уделять время своим родным и близким, а не работе. И постарайтесь отдохнуть за эти новогодние праздники )) Встретимся с Вами в Новом Году ❤️

👩‍💻 Статистика по Linux за 2023.

• На хабре опубликовали интересную статистику, которая относится к Linux. Вот основные цифры и информация:

- Доля Linux на декстопе, наконец, превысила 3%.
- Доля Linux среди пользователей Steam в моменте (август) превышала 2%, и это было больше, чем пользователей macOS.
- LTS версии ядра Linux теперь будут поддерживаться в течение 2 лет, а не 6, как было ранее.
- Доля женщин среди разработчиков ядра: 9,9%, если считать по аккаунтам на Гитхабе (Это примерно 330 человек, вместе они сделали около 4000 коммитов, что составляет 6,8% от общего числа коммитов).
- В 2023 году вышел текущий актуальный минорный релиз — версия 6.6.
- В моменте над ядром Linux работало 2088 разработчиков.

➡️ Источник: https://habr.com/ru/post/784222/

#Статистика #Linux

🎙 DevOpsConf 2023.

• 5 дней назад были опубликованы доклады с конференции DevOpsConf. На конференции обсуждали весьма актуальные и интересные темы. Обратите внимание на самые интересные доклады:

- Особенности SRE и Observability в мобильных приложениях;
- Istio в разрезе: что умеет и не умеет самый популярный Service Mesh;
- Alert Fatigue. Когда алертов слишком много;
- Как управлять сотнями sidecar-контейнеров в Kubernetes без боли и сожаления;
- DevOps-трансформация. Как раздать инженеров по командам и не погибнуть;
- Гид автостопщика по HashiCorp Vault;
- Мимо тёщиного дома я без метрик не хожу;
- Мониторинг бизнес-процессов c помощью Opentelemetry. Логирование и мониторинг;
- Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам;
- Декларативное управление конфигурацией узлов Kubernetes в масштабе.

• Полный список докладов, а их около 45, можно найти по этой ссылке.

#DevOps

👩‍💻 PS-Commands.

• Объемный репо, который содержит в себе полезные заметки о командах PowerShell и представлен на русском языке:

➡️ https://github.com/Lifailon/PS-Commands

• Не забывайте про дополнительный материал, который опубликован в нашем канале и поможет Вам в изучении PS:

- Мини-курс: Windows PowerShell 5. [Часть 1], [Часть 2].
- Книга: PowerShell Security. (RU);
- Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.

#PowerShell

👩‍💻 JavaScript Analysis for Pentesters.

• Вероятно, что это самое объемное руководство по анализу JavaScript-файлов для пентестеров на сегодняшний день:

• Static Analysis:
- Gather JavaScript Code;
- Identify Endpoints;
- Detect Secrets;
- Locate Dangerous Functions;
- Discover Outdated Libraries.
• Dynamic analysis:
- Basic Tools;
- Example Application;
- Client-Side Filtering;
- Finding the Entry Point;
- The Debugger;
- General Advice.
• Obfuscation & Deobfuscation:
- Minification;
- Beautification;
- Source Maps;
- Minification and Analysis;
- Obfuscation;
- Deobfuscation;
- Obfuscation and Analysis.
• Hands-On: Analyze obfuscated code:
- Example Application;
- Finding the Entry Point;
- Locating the Value of Interest;
- The Unpacking Function;
- Reconstructing the Signing Call;
- Decoding the Key;
- Signing Manipulated JWTs.
• Local Overrides:
- Temporary Changes in Developer Tools;
- Persistent Changes in Developer Tools;
- Persistent Changes in Burp Suite.
• Bypass code protection:
- Setup;
- Self Defending;
- Debug protection;
- Disable console output;
- General advice.
• Wrapping Up:
- Some References.

#JavaScript #Пентест

🖥 Acrobat 1.0 и PDF формат.

• Формат файла PDF был впервые разработан в начале 90-х годов компанией Adobe Systems, той же компанией, которая представила нам Photoshop и Illustrator. Концепция PDF фактически началась с проекта Camelot в 1990 году. И сам Camelot был бы ничем без самой базовой идеи, PostScript, которая зародилась ещё в 1985 году и положила начало революции программного обеспечения для настольных издательских систем.

• В те дни кроссплатформенная совместимость была кошмаром, что побудило доктора Джона Уорнока, соучредителя Adobe, инициировать этот проект. Его цель была проста в своей концепции, но амбициозна в исполнении: создать формат, который позволил бы любому отправлять любой документ в электронном виде кому-либо ещё, который смог бы прочитать и распечатать его с сохранённым форматированием.

• Эти документы должны были быть доступны для просмотра на любом дисплее и печати на любом современном принтере — вне границ операционных систем, программных приложений или устройств. Для нас, избалованных пользователей компьютеров почти в конце первой четверти XXI века, это может не показаться чем-то особенным, но в 80-х и 90-х годах, когда персональные компьютеры только зарождались, это было большим делом.

• Тогда нельзя было быть уверенным, какое программное обеспечение будeт у пользователя. Пользователи могли не знать, какие шрифты установлены на их машине. Если использовали тот, которого не было в репертуаре другого компьютера, это могло в лучшем случае испортить форматирование документа. Что ещё хуже, существовал разрыв между Mac и Windows. Многие были убеждены, что файл, созданный на Mac, невозможно открыть на Windows.

• И простое размещение материалов в Интернете не было решением: это было время, когда нельзя было гарантировать, как веб-страница будет восприниматься с одного компьютера на другом или даже с одной версии браузера на другой. Всё было новым, всё постоянно развивалось, и просто нужно было смириться с тем, что тщательно продуманный макет может выглядеть тщательно выверенным только на отдельном конкретном компьютере.

• В Camelot технологии PostScript и Display PostScript упоминались как реальное решение этой проблемы, помимо того факта, что для их работы требовались мощные процессоры, недоступные большинству пользователей в то время. В те дни использовали Windows 3.0 и System 6 (для компьютеров Mac).

• Первым когда-либо созданным PDF-файлом было руководство пользователя для первой графической программы Adobe, Illustrator. Пособие было создано в 1991 году и изначально распространялось на дискетах.

• Adobe много лет работала над этим проектом, и 15 июня 1993 года был официально выпущен первый PDF-редактор Acrobat 1.0. Первый набор продуктов включал Acrobat Reader, Acrobat Exchange и Adobe Distiller для создания и просмотра PDF-файлов и преобразования файлов PostScript в PDF-файлы соответственно. Первая версия поддерживала закладки, встроенные шрифты и изображения в RGB. То, что сегодня считается само собой разумеющимся, было революционным на тот момент.

#Разное

🪙 Bug Bounty Blueprint: Руководство для начинающих.

• Очень информативное руководство по Bug Bounty, которое содержит полезные инструменты, лабы, ресерчи, кейсы из жизни и еще очень много полезных ссылок.

➡️ https://blog.securitybreached.org/

#BB

🔐 BypassAV.

• Объемная Mind Map, в которой перечислены основные методы и инструменты для обхода антивирусов и EDR.

➡️ https://github.com/CMEPW/BypassAV

• Необходимые ссылки: https://github.com/matro7sh/BypassAV/blob/main/Bypass-AV.md

#AV

🪙 Awesome Bug Bounty Tools.

• Большой список инструментов для Bug Bounty, который разбит по следующим категориям:

• Recon:
- Subdomain Enumeration;
- Port Scanning;
- Screenshots;
- Technologies;
- Content Discovery;
- Links;
- Parameters;
- Fuzzing.

• Exploitation:
- Command Injection;
- CORS Misconfiguration;
- CRLF Injection;
- CSRF Injection;
- Directory Traversal;
- File Inclusion;
- GraphQL Injection;
- Header Injection;
- Insecure Deserialization;
- Insecure Direct Object References;
- Open Redirect;
- Race Condition;
- Request Smuggling;
- Server Side Request Forgery;
- SQL Injection;
- XSS Injection;
- XXE Injection.

• Miscellaneous:
- Passwords;
- Secrets;
- Git;
- Buckets;
- CMS;
- JSON Web Token;
- postMessage;
- Subdomain Takeover;
- Uncategorized.

#BB