• Актуальные методы от Кевина Митника, которые используют социальные инженеры в межличностной коммуникации:
• Дополнительно: Профайлинг. Подборка материала для изучения.
#СИ
Please open Telegram to view this post
VIEW IN TELEGRAM
• На этой фотографии ведущий программист космической программы «Аполлон» Маргарет Гамильтон (Margaret Hamilton) запечатлена с распечаткой кода, который использовали для осуществления полета на Луну в 1969 году.
• Давайте расскажу немного подробнее. Дело в том, что 53 года назад космический модуль «Аполлон-11» приземлился на поверхность Луны. Это событие имело огромную важность не только для США, но и для всего мира. Однако посадка могла не состояться, если бы не гениальность Маргарет Гамильтон, которая разработала бортовое программное обеспечение для программы Apollo.
• Все коды писались, а потом печатались вручную, затем объединяясь в программы. Этот вид памяти назвали «LOL memory». Дословно его можно перевести как «память маленьких старых леди» («little old lаdies»). Ведь печатали коды в основном женщины.
• Когда Нил Армстронг и Эдвин Олдрин были уже почти у Луны, система внезапно дала сбой. Радар, который никаким образом не был задействован в процессе посадки модуля, вдруг начал посылать огромный объем информации компьютеру, что привело к его перегрузке. «Аполлон 11» ждала неминуемая гибель, если бы Маргарет не предусмотрела подобный сценарий. Специалисты осуществили максимально быструю перезагрузку, и бортовой компьютер выбрал приоритетные данные по посадке корабля на Луну. Посадка состоялась.
• Сейчас Маргарет 87 лет и о других её заслугах можно почитать на wiki.
#Разное
• Давайте расскажу немного подробнее. Дело в том, что 53 года назад космический модуль «Аполлон-11» приземлился на поверхность Луны. Это событие имело огромную важность не только для США, но и для всего мира. Однако посадка могла не состояться, если бы не гениальность Маргарет Гамильтон, которая разработала бортовое программное обеспечение для программы Apollo.
• Все коды писались, а потом печатались вручную, затем объединяясь в программы. Этот вид памяти назвали «LOL memory». Дословно его можно перевести как «память маленьких старых леди» («little old lаdies»). Ведь печатали коды в основном женщины.
• Когда Нил Армстронг и Эдвин Олдрин были уже почти у Луны, система внезапно дала сбой. Радар, который никаким образом не был задействован в процессе посадки модуля, вдруг начал посылать огромный объем информации компьютеру, что привело к его перегрузке. «Аполлон 11» ждала неминуемая гибель, если бы Маргарет не предусмотрела подобный сценарий. Специалисты осуществили максимально быструю перезагрузку, и бортовой компьютер выбрал приоритетные данные по посадке корабля на Луну. Посадка состоялась.
• Сейчас Маргарет 87 лет и о других её заслугах можно почитать на wiki.
#Разное
• Дополнительно:
- Мини-курс по SQL. Базы данных курс для начинающих!
- Серия уроков по PostgreSQL.
- Introduction to SQL.
#SQL #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
infosec
Photo
• 30 марта 2023 года Mozilla закрыла баг 135636 и исправила ошибку по автоматическому включению/отключению шифрования почтовых сообщений в зависимости от текущей конфигурации отправителя и получателя (режимы OpenPGP и S/MIME). В этом не было бы ничего странного, если бы не одна деталь: тикет открыт 21 год назад. В связи с этим возникает вопрос: почему закрытие такого простого бага заняло больше двух десятилетий?
• Дело в том, что 5 апреля 2002 года один из пользователей обратил внимание на некоторое неудобство настроек шифрования в менеджере аккаунтов (Account Manager) почтового клиента MailNews в Netscape 4. Там было два режима: 1) никогда не шифровать сообщения или 2) требуется шифрование (отправка незашифрованного письма невозможна).
• Это на самом деле неудобно, потому что нужно было отключать настройку шифрования каждый раз, когда вы хотите отправить письмо пользователю, не имеющему сертификата или публичных ключей. Или наоборот, каждый раз включать её, когда хотите отправить зашифрованное письмо. Автор выразил пожелание реализовать третью альтернативную опцию «Шифровать, когда это возможно», не требующую от пользователя включать/отключать шифрование вручную.
• Таким образом, шифрование будет включаться автоматически при составлении письмо для адресата, который предоставил открытые ключи. Действительно, очень удобно. Есть ключи или сертификат — шифруем. Нет ключей — не шифруем.
• Разработчики согласились, что такую опцию нужно реализовать, но сама реализация заняла ровно 21 год. Почему?
• Сначала один из мейнтейнеров Чарльз Розендаль посчитал, что данный баг предполагает регрессию, то есть требует исправления другой связанной функции. Хотя другие с ним не согласились, но это привело к задержке примерно на 7 лет.
• Затем вопрос с регрессией сняли, но сама тема потеряла актуальность, потому что в целом шифрование почты с помощью OpenPGP перестало восприниматься как нечто необходимое и обязательное. Частично это произошло из-за сложностей интерфейса и потому что ни один почтовый клиент не обеспечил первоклассную удобную реализацию шифрования.
• Три года назад Mozilla заново подняла эту дискуссию, она переросла в споры о дизайне, и только в 2023 году наконец-то опция была реализована. Такие вот дела))
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• История обнаружения XSS-уязвимости на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com
#ИБ #web
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Нет, 3 миллиона электрических зубных щеток не использовались в DDoS-атаке на швейцарскую компанию.
Увы, это случилось только в бурных фантазиях ряда ТГ-каналов.
Завирусившуюся новость о заражении устройств вредоносным ПО Java со ссылкой на исследователей Fortinet выдал на прошлой неделе швейцарский новостной портал Aargauer Zeitung.
В связи с чем, авторы поспешили с опровержением, заявляя о том, что инцидент является гипотетическим сценарием, а не реальной DDoS-атакой, о которой на самом деле в оригинале даже не упоминалось.
В свою очередь, Fortinet опровергла любые версии об атаке и рассматривает приведенный гипотетический сценарий вырванным из контекста.
Тема DDoS-атак с задействованием электрощеток была представлена как иллюстрация конкретного типа атаки, которая не основана на каких-либо реальных исследованиях Fortinet или FortiGuard Labs.
FortiGuard Labs также сообщили об отсутствии IoT-ботнетов, нацеленных на зубные щетки или аналогичные встроенные устройства.
Вообще, даже сомнительно, что 3 миллиона электрических зубных щеток будут доступны в Интернете., поскольку вместо прямого подключения к сети задействуют Bluetooth для взаимодействия с мобильным приложениям.
В этом случае, описанный массовый взлом мог быть осуществлен только посредством атаки на цепочку поставок, в результате которой на устройства была доставлена вредоносная прошивка, чего в реальности не произошло.
В противном случае инцидент имел совсем иные контуры.
Тем не менее, учитывая прогнозы Statista о достижении показателя в 17 миллиардов подключенных к глобальной сети IoT-устройств к концу 2024 года, история с зубными щетками является хорошим напоминанием о необходимости обеспечения надежных мер их защиты как со стороны поставщиков, так и рядовых пользователей.
Увы, это случилось только в бурных фантазиях ряда ТГ-каналов.
Завирусившуюся новость о заражении устройств вредоносным ПО Java со ссылкой на исследователей Fortinet выдал на прошлой неделе швейцарский новостной портал Aargauer Zeitung.
В связи с чем, авторы поспешили с опровержением, заявляя о том, что инцидент является гипотетическим сценарием, а не реальной DDoS-атакой, о которой на самом деле в оригинале даже не упоминалось.
В свою очередь, Fortinet опровергла любые версии об атаке и рассматривает приведенный гипотетический сценарий вырванным из контекста.
Тема DDoS-атак с задействованием электрощеток была представлена как иллюстрация конкретного типа атаки, которая не основана на каких-либо реальных исследованиях Fortinet или FortiGuard Labs.
FortiGuard Labs также сообщили об отсутствии IoT-ботнетов, нацеленных на зубные щетки или аналогичные встроенные устройства.
Вообще, даже сомнительно, что 3 миллиона электрических зубных щеток будут доступны в Интернете., поскольку вместо прямого подключения к сети задействуют Bluetooth для взаимодействия с мобильным приложениям.
В этом случае, описанный массовый взлом мог быть осуществлен только посредством атаки на цепочку поставок, в результате которой на устройства была доставлена вредоносная прошивка, чего в реальности не произошло.
В противном случае инцидент имел совсем иные контуры.
Тем не менее, учитывая прогнозы Statista о достижении показателя в 17 миллиардов подключенных к глобальной сети IoT-устройств к концу 2024 года, история с зубными щетками является хорошим напоминанием о необходимости обеспечения надежных мер их защиты как со стороны поставщиков, так и рядовых пользователей.
Statista
IoT connected devices by vertical 2033 | Statista
The consumer sector is anticipated to dominate in terms of number of Internet of Things (IoT) connected devices in 2030, with over 24 billion connected devices worldwide.
• Reconnaissance;
• DHCP;
• DNS;
• NBT-NS;
• Responder analyze mode;
• LDAP;
• RPC;
• SMB null session;
• Finding usernames;
• SMB;
• RPC;
• LDAP;
• Kerberos;
• What is LLMNR/NBTNS/MDNS Poisoning;
• How to Perform LLMNR/NBTNS poisoning via SMB;
• What is ARP Spoofing (Address Resolution Protocol);
• How Does the attack works?
• What is DNS poisoning;
• What is DHCP Poisoning?
• How Does the attack works?
• What is WSUS Poisoning;
• What is ASREPRoasting;
• How Does this attack works?
• Net-NTLM relay Attacks;
• MS SQL Relay Attack;
• ASREPRoasting;
• Bruteforcing;
• Vulnerabilities;
• ProxyShell;
• ProxyLogon;
• EternalBlue;
• SMBGhost;
• Zerologon;
• PetitPotam;
• Reference.
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP).
- Basics;
- Information Gathering;
- Vulnerability Analysis;
- Web Application Analysis;
- Database Assessment;
- Password Attacks;
- Exploitation Tools;
- Post Exploitation;
- Exploit Databases;
- CVEs;
- Payloads;
- Wordlists;
- Social Media Resources;
- Commands.
#OSCP #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
infosec
• Клиент Тинькофф, ранее заявивший, что с его счета вывели средства с помощью дипфейка, получил деньги назад.
• На деле причиной неприятной ситуации оказался человеческий фактор, а именно техническая ошибка сотрудника, которую мошенники использовали для получения доступа к личному кабинету и снятию средств.
• Банк провел расследование, возместил клиенту украденные мошенниками 200 тыс. рублей и выплатил компенсацию. Сотрудника, допустившего ошибку, отправили на переподготовку.
➡ https://habr.com/post/792380/
#Новости
• На деле причиной неприятной ситуации оказался человеческий фактор, а именно техническая ошибка сотрудника, которую мошенники использовали для получения доступа к личному кабинету и снятию средств.
• Банк провел расследование, возместил клиенту украденные мошенниками 200 тыс. рублей и выплатил компенсацию. Сотрудника, допустившего ошибку, отправили на переподготовку.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2024 году.
#AD #Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Предлагаю ознакомиться с увлекательными кейсами последних лет, которые показывают, что социальная инженерия по-прежнему представляет собой серьезную угрозу — возможно, даже большую, чем когда-либо.
#СИ #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Course Introduction;
• Hello World;
• Variables;
• Basic Math;
• If Statements;
• Exit Codes;
• While Loops;
• Universal Update Script;
• For Loops;
• Where to Store Scripts;
• Data Streams;
• Functions;
• Case Statements;
• Scheduling Jobs (Part 1);
• Scheduling Jobs (Part 2);
• Arguments;
• Backup Script;
• Closing/Next Steps.
Дополнительно:
• Bash Tips and tricks;
• Малоизвестные трюки с перенаправлениями в bash;
• Bash-скрипты, руководство в 11 частях;
• Introduction to Bash Scripting;
• Bash Cheat Sheet: Tips and Tricks for the Terminal;
• Bash Introduction for Hackers.
#bash
Please open Telegram to view this post
VIEW IN TELEGRAM
• Объемная инструкция по настройке собственной IPv6 сети (от получения собственной подсети до настройки сети на виртуальном сервере). Хорошая статья для тех, кто изучает и интересуется сетями (и не только):
• https://www.qovery.com/blog/build-your-own-network-with-linux-and-wireguard/
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Qovery
Build Your Own Network with Linux and Wireguard
Last Christmas, I bought my wife “Explain the cloud like I am 10” after she told me many times that it was hard for her to relate to what I am doing in my daily work at Qovery. While so far, I have been the sole reader to enjoy the book, I was wondering during…
This media is not supported in your browser
VIEW IN TELEGRAM
• Почему бы и нет? Парнишка реализовал игру в змейку на коммутаторах UBNT. Если кому интересно, то код опубликован вот тут: https://github.com/adamjezek98/ubnt-etherlighting
• Самая дорогая "консоль" в его жизни))
#Разное
• Самая дорогая "консоль" в его жизни))
#Разное
• У всех, кто интересуется и изучает сети, должен быть свой awesome-лист с полезностями. Эта подборка включает в себя множество источников, которые помогут Вам освоить данную тему:
- Комьюнити и саппорты по вендорам;
- Чаты и каналы по сетям (Telegram);
- Сетевые чаты;
- Беспроводные чаты;
- Каналы по сетям;
- Каналы по wireless;
- Чаты и каналы по автоматизации (Telegram);
- Чаты по автоматизации;
- Каналы по автоматизации;
- Авторские блоги;
- Полезные Github-репозитори;
- Полезные боты;
- Подкасты.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM