Было приятно со всеми увидеться и пообщаться🔥 Всем хорошего настроения и полезных знакомств
#offzone2023
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥16⚡2👍2❤🔥1
На просторах мира инфобеза нашелся классный эксперт и единомышленник по линии физического пентеста - @s0i37 😎, который выпустил полезную книгу, рекомендую каждому к почтению!🔥🔥🔥🔥
🔥5❤🔥2❤2
Forwarded from s0i37_channel
Друзья! Книга "Физические атаки с использованием хакерских устройств" наконец вышла и доступна для заказа (https://bhv.ru/product/hakerstvo-fizicheskie-ataki-s-ispolzovaniem-hakerskih-ustrojstv/). Работа начатая еще в далеком 2020 году как презентация для научно технического совета, развитая в 10 отдельных статей и затем объединенная в единый документ, наконец закончена. Благодаря финансовой поддержки компании УЦСБ книга выходит в цветном формате с множеством фотографий, цветных листингов кода и конфигов.
О чем книга.
При тестировании на проникновение физические атаки не обязательно могут быть связаны с грубой силой. Для потенциального злоумышленника, подошедшего максимально близко к своим целям, существует целое множество атак, часть из которых широкой публике почти не известна.
А широкое распространение беспроводных технологий позволяет атакующему выполнить проникновение даже не преодолевая физический периметр, действуя уже по модели внешнего нарушителя.
В книге показано на что способен киберпреступник, замотивированный настолько, чтобы оказаться в зоне действия беспроводных сетей, или даже ещё ближе... Что киберпреступник, находящийся так близко располагает куда большими возможностями, нежели развивая свои атаки из сети интернет.
Книга состоит из трех частей:
- В первой части показаны наиболее актульные вектора атак с непосредственным физическим доступом.
- Во второй части атаки станут удаленными, применяемыми уже по радиоканалу, с расстояния от нескольких до десятков метров. И таких атак как ни странно будет гораздо больше.
- В третьей части акцент сделан уже не на атаки, а на физические импланты - специальные устройства, поддерживающие удаленный доступ в различных обстоятельствах.
Книга покажет что:
- оперативная память может быть достаточно просто украдена с заблокированного компьютера вместе со всеми секретами и паролями, даже если диск зашифрован
- сетевой трафик может быть снят прямо с провода простыми электрическими клеммами
- обычная свиду флешка может быть не тем чем кажется и при подключении способна скомпрометировать любой компьютер за секунду
- с заблокированного компьютера можно перехватить сетевой трафик и чувствительные данные используя для этого только USB
- как длительные по времени атаки на беспроводные сети могут быть эффективно произведены с помощью обычных одноплатных ПК
- а молниеносные атаки на беспроводные технологии могут быть совершены с летящего дрона, который управляется злоумышленником за сотни километров
- обычный человек со смартфоном в руке может взломать практически любую современную компанию за секунду
- как с помощью одноплатного ПК незаметно вклиниться между сетевыми устройствами, с тем что бы предоставить удаленный доступ
- как 4G модем может быть использован для удаленного доступа к физически изолированному компьютеру
- и наконец как обычный минителефон легким движением руки может превратиться в шпионское устройство
На протяжении 300 страниц вы не встретите ни одной атаки с ноутбука - только телефон (nethunter, shark jack), одноплатники (pineapple, bash bunny, packet squirrel), ардуино (rubber ducky), флешка, дроны и 4g модемы (lan turtle).
В ходе повествования читатель ни раз заметит, что реальный взлом с телефоном или другими девайсами может не сильно отличаться от того что представлено в играх Watch Dogs или сериале Mister Robot.
Книга одинаково хорошо подойдет как людям не очень хорошо разбирающимся в технике благодаря множеству наглядных цветных фото реальных атак и стендов, так и искушенных умов которые подчерпнут много полезного из не менее красочных цветных листингов кода и конфигов.
И наконец книга просто обязательна к прочтению каждому сотруднику службы безопасности каждой компании. Ведь данная книга - это самый лучший способ открыть глаза на актуальные угрозы современного цифрового мира, что позволит сделать каждую компанию и весь мир хоть чуточку но безопаснее.
О чем книга.
При тестировании на проникновение физические атаки не обязательно могут быть связаны с грубой силой. Для потенциального злоумышленника, подошедшего максимально близко к своим целям, существует целое множество атак, часть из которых широкой публике почти не известна.
А широкое распространение беспроводных технологий позволяет атакующему выполнить проникновение даже не преодолевая физический периметр, действуя уже по модели внешнего нарушителя.
В книге показано на что способен киберпреступник, замотивированный настолько, чтобы оказаться в зоне действия беспроводных сетей, или даже ещё ближе... Что киберпреступник, находящийся так близко располагает куда большими возможностями, нежели развивая свои атаки из сети интернет.
Книга состоит из трех частей:
- В первой части показаны наиболее актульные вектора атак с непосредственным физическим доступом.
- Во второй части атаки станут удаленными, применяемыми уже по радиоканалу, с расстояния от нескольких до десятков метров. И таких атак как ни странно будет гораздо больше.
- В третьей части акцент сделан уже не на атаки, а на физические импланты - специальные устройства, поддерживающие удаленный доступ в различных обстоятельствах.
Книга покажет что:
- оперативная память может быть достаточно просто украдена с заблокированного компьютера вместе со всеми секретами и паролями, даже если диск зашифрован
- сетевой трафик может быть снят прямо с провода простыми электрическими клеммами
- обычная свиду флешка может быть не тем чем кажется и при подключении способна скомпрометировать любой компьютер за секунду
- с заблокированного компьютера можно перехватить сетевой трафик и чувствительные данные используя для этого только USB
- как длительные по времени атаки на беспроводные сети могут быть эффективно произведены с помощью обычных одноплатных ПК
- а молниеносные атаки на беспроводные технологии могут быть совершены с летящего дрона, который управляется злоумышленником за сотни километров
- обычный человек со смартфоном в руке может взломать практически любую современную компанию за секунду
- как с помощью одноплатного ПК незаметно вклиниться между сетевыми устройствами, с тем что бы предоставить удаленный доступ
- как 4G модем может быть использован для удаленного доступа к физически изолированному компьютеру
- и наконец как обычный минителефон легким движением руки может превратиться в шпионское устройство
На протяжении 300 страниц вы не встретите ни одной атаки с ноутбука - только телефон (nethunter, shark jack), одноплатники (pineapple, bash bunny, packet squirrel), ардуино (rubber ducky), флешка, дроны и 4g модемы (lan turtle).
В ходе повествования читатель ни раз заметит, что реальный взлом с телефоном или другими девайсами может не сильно отличаться от того что представлено в играх Watch Dogs или сериале Mister Robot.
Книга одинаково хорошо подойдет как людям не очень хорошо разбирающимся в технике благодаря множеству наглядных цветных фото реальных атак и стендов, так и искушенных умов которые подчерпнут много полезного из не менее красочных цветных листингов кода и конфигов.
И наконец книга просто обязательна к прочтению каждому сотруднику службы безопасности каждой компании. Ведь данная книга - это самый лучший способ открыть глаза на актуальные угрозы современного цифрового мира, что позволит сделать каждую компанию и весь мир хоть чуточку но безопаснее.
Издательство БХВ
Хакерство. Физические атаки с использованием хакерских устройств - Издательство БХВ
Издательство БХВ | Книга посвящена физическим атакам на беспроводные сети и компьютеры с использованием самодельных хакерских устройств и защите от них.
1👍17❤6🔥4
Показательный пример того, для чего нужно делать физический пентест в компаниях😅
Если рассматривать кейс не как грабитель, а как хакер, можно было насобирать лут куда ценнее денег😎
Если рассматривать кейс не как грабитель, а как хакер, можно было насобирать лут куда ценнее денег😎
🔥14👍1😁1🌚1
Forwarded from Что там, Москва?
🦹♂️В Москве ограбили президента KIA в России и СНГ корейца Санг Гвон Джонга
Преступник пробрался в центральный офис компании по пожарной лестнице. Он вскрыл дверь и вынес все деньги, которые смог найти в тумбочке руководителя компании. Там было всего 500$.
Преступник пробрался в центральный офис компании по пожарной лестнице. Он вскрыл дверь и вынес все деньги, которые смог найти в тумбочке руководителя компании. Там было всего 500$.
🤣36❤🔥4🔥4👍1👎1🌚1
Коллеги, мне поступило предложение по работе на данную вакансию, но в текущих реалиях немного другие планы, поэтому делюсь с вами куском пирога🫡
КЭПТ - Менеджер/ Пентестер, Кибербезопасность (Technology Group, Consulting Department)
Вилка: 400-500К
Обязанности:
Разработка и реализация стратегии развития направления услуг в области ИБ
Формирование команды специалистов с необходимыми компетенциями.
Участие в pre-sale активностях по различным услугам: внешний/внутренний пентест, социотехническое тестирование, тестирование мобильных приложений и т.п.
Общение с клиентами, консультирование.
Анализ ТЗ, подготовка ТКП, расчет трудозатрат.
Проведение внутренних и внешних тестирований на проникновение.
Участие в технических аудитах информационной безопасности.
Требования:
Высшее образование в области ИТ/ИБ.
Опыт проведения тестирований на проникновение, консультирования от 3 лет.
Глубокое знание всех типов атак из OWASP Top 10, OWASP Mobile Top 10, CWE.
Умение реализовывать все техники из MITRE ATT&CK.
Владение всем необходимым инструментарием для тестирования веб-приложений, сетевой инфраструктуры, мобильных приложений.
Знание ОС *nix / Windows.
Опыт работы со скриптовыми языками программирования (Python, Bash, PHP, Ruby).
Участие в CTF-соревнованиях и программах Bug Bounty приветствуется.
Профессиональные сертификаты приветствуются (OSCP, OSWE, OSEE, BSCP, CISM).
Высокий уровень инициативности, ответственности.
Хорошие коммуникативные навыки.
Владение английским языком (не ниже уровня Intermediate).
Мы предлагаем:
Привлекательный компенсационный пакет.
Прозрачную систему карьерного роста.
Широкий выбор обучающих программ.
Развитие большого спектра профессиональных навыков через участие в разнообразных (в том числе, международных) проектах.
Офис в Москва-Сити.
КЭПТ - Менеджер/ Пентестер, Кибербезопасность (Technology Group, Consulting Department)
Вилка: 400-500К
Обязанности:
Разработка и реализация стратегии развития направления услуг в области ИБ
Формирование команды специалистов с необходимыми компетенциями.
Участие в pre-sale активностях по различным услугам: внешний/внутренний пентест, социотехническое тестирование, тестирование мобильных приложений и т.п.
Общение с клиентами, консультирование.
Анализ ТЗ, подготовка ТКП, расчет трудозатрат.
Проведение внутренних и внешних тестирований на проникновение.
Участие в технических аудитах информационной безопасности.
Требования:
Высшее образование в области ИТ/ИБ.
Опыт проведения тестирований на проникновение, консультирования от 3 лет.
Глубокое знание всех типов атак из OWASP Top 10, OWASP Mobile Top 10, CWE.
Умение реализовывать все техники из MITRE ATT&CK.
Владение всем необходимым инструментарием для тестирования веб-приложений, сетевой инфраструктуры, мобильных приложений.
Знание ОС *nix / Windows.
Опыт работы со скриптовыми языками программирования (Python, Bash, PHP, Ruby).
Участие в CTF-соревнованиях и программах Bug Bounty приветствуется.
Профессиональные сертификаты приветствуются (OSCP, OSWE, OSEE, BSCP, CISM).
Высокий уровень инициативности, ответственности.
Хорошие коммуникативные навыки.
Владение английским языком (не ниже уровня Intermediate).
Мы предлагаем:
Привлекательный компенсационный пакет.
Прозрачную систему карьерного роста.
Широкий выбор обучающих программ.
Развитие большого спектра профессиональных навыков через участие в разнообразных (в том числе, международных) проектах.
Офис в Москва-Сити.
1👍13🔥5❤2🤡2😇1
Рад вам представить разработку моего коллеги на Rust - @secur30nly 😈 (https://github.com/secur30nly/netuser-rs)
Это программа, которая может быть представлена в виде user-friendly CLI в exe формате. Если хочется проверить работу и посмотреть на что она смособна.
Второй вариант - формат DLL. С ней можно использовать любые функции, которые есть в проекте в моменте инъекции в процесс и выполнять их.
На что эта малышка👋 способна (Все операции реализуются на основе Win API):
1) Всевозможные опреации над пользователем (смена пароля, вывод информации о УЗ, удаление, добавление, перечисление пользователей и т.п.)
2) Большой набор операций над SID-ами пользователей
3) Операции над локальными группами
4) Операции над привилегиями
Проект можно использовать в виде зависмости в своем проекте.
Решение можно собрать в 2 вариантах, описанных выше.
Это программа, которая может быть представлена в виде user-friendly CLI в exe формате. Если хочется проверить работу и посмотреть на что она смособна.
Второй вариант - формат DLL. С ней можно использовать любые функции, которые есть в проекте в моменте инъекции в процесс и выполнять их.
На что эта малышка
2) Большой набор операций над SID-ами пользователей
3) Операции над локальными группами
4) Операции над привилегиями
Решение можно собрать в 2 вариантах, описанных выше.
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥13👍6❤4
Доброго времени суток! В конце ноября состоится конференция по кибербезопасности (https://secconf.ru/#programma).
Буду рад личному знакомству🫡
Тема секции: "Вызовы кибербезопасности эпохи СВО. Что нужно знать руководителям и сотрудникам?"
Тема моего доклада: "Физические пентесты защищенных объектов"
Буду рад личному знакомству
Тема секции: "Вызовы кибербезопасности эпохи СВО. Что нужно знать руководителям и сотрудникам?"
Тема моего доклада: "Физические пентесты защищенных объектов"
Please open Telegram to view this post
VIEW IN TELEGRAM
secconf.ru
Корпоративная безопасность 2025. Тенденции, проблемы и решения
Итоговая конференция-обучение
1👍12🔥9👌1🤡1❤🔥1
Forwarded from AM Live (AMBot)
Практические основы наступательной безопасности (Offensive Security)
01 ноября 2023 - 11:00
Рассмотрим внедрение наступательной безопасности на всех этапах проекта. Вы узнаете, как планировать, проводить и анализировать полученные результаты OffSeс. И главное — как извлечь из этого максимум пользы для своей организации.
🔸 Как корректно определить цели и задачи работ в рамках Offensive Security?
🔸 Как заранее оценить квалификацию OffSec команды?
🔸 Бюджет на Offensive Security: на чем можно и на чем нельзя экономить?
🔸 Как составить и утвердить ТЗ?
🔸 Как контролировать качество выполнения работ?
🔸 Что вам надо знать о средствах, тактиках и техниках, которые используют пентестеры и Red Team?
🔸 Как подстраховаться, чтобы результаты не были использованы против заказчика?
Зарегистрироваться, чтобы задать вопросы экспертам »»
01 ноября 2023 - 11:00
Рассмотрим внедрение наступательной безопасности на всех этапах проекта. Вы узнаете, как планировать, проводить и анализировать полученные результаты OffSeс. И главное — как извлечь из этого максимум пользы для своей организации.
🔸 Как корректно определить цели и задачи работ в рамках Offensive Security?
🔸 Как заранее оценить квалификацию OffSec команды?
🔸 Бюджет на Offensive Security: на чем можно и на чем нельзя экономить?
🔸 Как составить и утвердить ТЗ?
🔸 Как контролировать качество выполнения работ?
🔸 Что вам надо знать о средствах, тактиках и техниках, которые используют пентестеры и Red Team?
🔸 Как подстраховаться, чтобы результаты не были использованы против заказчика?
Зарегистрироваться, чтобы задать вопросы экспертам »»
👍8⚡4❤2💩1
Огромное спасибо за приглашение от @ishabanov (Anti-Malware) 🫡
И всем коллегам, кто пресутствовал на обсуждении, а также зрителям с их яркой поддержкой🔥 🔥 🔥
Приятного просмотра👍
https://www.youtube.com/watch?v=IpxVhVGIjmI
И всем коллегам, кто пресутствовал на обсуждении, а также зрителям с их яркой поддержкой
Приятного просмотра👍
https://www.youtube.com/watch?v=IpxVhVGIjmI
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Практические основы наступательной безопасности (Offensive Security)
Зачем нужен OffSec, как его запланировать, провести и сколько это будет стоить
🔸 Как корректно определить цели и задачи работ в рамках Offensive Security?
🔸 Как заранее оценить квалификацию OffSec команды?
🔸 Бюджет на Offensive Security: сколько будет стоить…
🔸 Как корректно определить цели и задачи работ в рамках Offensive Security?
🔸 Как заранее оценить квалификацию OffSec команды?
🔸 Бюджет на Offensive Security: сколько будет стоить…
1🔥12👍4⚡1
Отличное примечание от Павла Шлюндина ( @Riocool ) про сертификации и в целом про подход в Red Team🔥
https://securitymedia.org/articles/interview/pavel-shlyundin-redteam-brazzers-vo-mnogikh-mezhdunarodnykh-sertifikatsiyakh-po-redtimu-opisyvayutsya.html
https://securitymedia.org/articles/interview/pavel-shlyundin-redteam-brazzers-vo-mnogikh-mezhdunarodnykh-sertifikatsiyakh-po-redtimu-opisyvayutsya.html
securitymedia.org
Интервью, документы и продукты по информационной безопасности
Насколько популярны услуги редтиминга в России сегодня? Чем он отличается от пентеста на практике? И какие специалисты обычно входят в красные команды? На вопросы Cyber Media ответил Павел Шлюндин, эксперт в области анализа защищенности и автор telegram-канала…
🔥7👍4👏2❤1
Forwarded from CyberED
🔒 Интересуетесь защитой информации, хакингом, безопасностью ПО или проходили бесплатные курсы «Белый Хакер»?
Приходите 18 ноября на очную сессию по проблемам кибербезопасности, которую проведут в рамках программы наставничества "Шаг в будущее" эксперты CyberEd:
⭐️ Егор Зайцев – директор департамента противодействия киберугрозам "Информзащита", преподаватель CyberEd
⭐️ Ирина Ширшова - HR generalist CyberEd.
Вы узнаете:
✅ кто такие этичные хакеры, какие задачи они решают
✅ как легально атаковать системы безопасности и зарабатывать
✅ зачем хакеры используют методы социальной инженерии
✅ как начать карьеру в ИБ, успешно пройти собеседование и получить лучшее предложение👌
У вас не останется сомнений в том, что профессия «Специалист по информационной безопасности» – отличный выбор для старта в IT🔥
📆 Когда: 18 ноября в 11.00
📍 Где: Финансовый университет при Правительстве РФ, Ленинградский проспект 51, стр.4, аудитория N24 (проход через д.55).
➡️ Зарегистрироваться можно здесь
🆓 Мероприятие бесплатное.
Приходите 18 ноября на очную сессию по проблемам кибербезопасности, которую проведут в рамках программы наставничества "Шаг в будущее" эксперты CyberEd:
⭐️ Егор Зайцев – директор департамента противодействия киберугрозам "Информзащита", преподаватель CyberEd
⭐️ Ирина Ширшова - HR generalist CyberEd.
Вы узнаете:
✅ кто такие этичные хакеры, какие задачи они решают
✅ как легально атаковать системы безопасности и зарабатывать
✅ зачем хакеры используют методы социальной инженерии
✅ как начать карьеру в ИБ, успешно пройти собеседование и получить лучшее предложение👌
У вас не останется сомнений в том, что профессия «Специалист по информационной безопасности» – отличный выбор для старта в IT🔥
📆 Когда: 18 ноября в 11.00
📍 Где: Финансовый университет при Правительстве РФ, Ленинградский проспект 51, стр.4, аудитория N24 (проход через д.55).
➡️ Зарегистрироваться можно здесь
🆓 Мероприятие бесплатное.
1🔥6❤2👍1
К сожалению, трансляция накрылась, но презентацию вам скину, смотрите в PowerPoint 🔥
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️Мы разработали и предлагаем уникальную на российском рынке 2-уровневую модель обучения OSINT - разведки по открытым источникам.
1️⃣ Комплексная 5-дневная программа СПЕЦИАЛИСТ ПО OSINT.
Благодаря ей Вы освоите базовые принципы, методики и инструментарий поиска информации в доступных источниках, верификации и анализа собранных данных для принятия решений.
📍Ближайший старт 11-15 декабря.
👉 Слушателям достаточно быть уверенным пользователем Интернета и ПК, специальных знаний по ИТ не требуется.
Программа включает в себя модули:
● Методы OSINT для решения задач поиска и анализа информации.
Преподаватель - Андрей Масалович (aka Кибердед), создатель поисковой системы Avalanche, гуру отечественной Интернет-разведки.
● Прикладной инструментарий OSINT
Преподаватель - Дмитрий Борощук, исследователь в сфере кибербезопасности и форензики, руководитель агентства BeHolderIsHere.
● Социальный профайлинг. Что может рассказать о человеке социальная сеть
Преподаватель - Алексей Филатов, руководитель Лаборатории цифрового профайлинга (Сколково).
● Мастер-класс по применению OSINT в экономической разведке.
Ведущий - Владимир Лазарев, аналитик АО ЦТСС, автор блога Исследуя конкурентов.
✅️ Зарегистрироваться
2️⃣ Программа OSINT PROFESSIONAL продолжительностью 3 дня.
Углубляет навыки по практическим методикам OSINT, включая вопросы собственной безопасности в Интернете, а также дает представление о расследовании операций с криптовалютами.
Преподаватели:
● Дмитрий Борощук - исследователь в области кибербезопасности и форензики.
● Григорий Осипов - директор по расследованиям АО "Шард".
👉 От слушателя требуется умение устанавливать ОС Windows/Linux и базовые знания в области комптьютерных сетей.
📍Ближайший старт 22-24 ноября.
✅️ Зарегистрироваться
PS. На все курсы для физлиц доступна беспроцентная рассрочка платежа до 8 мес.
Скидка 10% на любой курс по OSINT по промокоду PPentest
📞 По любым вопросам пишите: [email protected]
+7 901 189-50-50
1️⃣ Комплексная 5-дневная программа СПЕЦИАЛИСТ ПО OSINT.
Благодаря ей Вы освоите базовые принципы, методики и инструментарий поиска информации в доступных источниках, верификации и анализа собранных данных для принятия решений.
📍Ближайший старт 11-15 декабря.
👉 Слушателям достаточно быть уверенным пользователем Интернета и ПК, специальных знаний по ИТ не требуется.
Программа включает в себя модули:
● Методы OSINT для решения задач поиска и анализа информации.
Преподаватель - Андрей Масалович (aka Кибердед), создатель поисковой системы Avalanche, гуру отечественной Интернет-разведки.
● Прикладной инструментарий OSINT
Преподаватель - Дмитрий Борощук, исследователь в сфере кибербезопасности и форензики, руководитель агентства BeHolderIsHere.
● Социальный профайлинг. Что может рассказать о человеке социальная сеть
Преподаватель - Алексей Филатов, руководитель Лаборатории цифрового профайлинга (Сколково).
● Мастер-класс по применению OSINT в экономической разведке.
Ведущий - Владимир Лазарев, аналитик АО ЦТСС, автор блога Исследуя конкурентов.
✅️ Зарегистрироваться
2️⃣ Программа OSINT PROFESSIONAL продолжительностью 3 дня.
Углубляет навыки по практическим методикам OSINT, включая вопросы собственной безопасности в Интернете, а также дает представление о расследовании операций с криптовалютами.
Преподаватели:
● Дмитрий Борощук - исследователь в области кибербезопасности и форензики.
● Григорий Осипов - директор по расследованиям АО "Шард".
👉 От слушателя требуется умение устанавливать ОС Windows/Linux и базовые знания в области комптьютерных сетей.
📍Ближайший старт 22-24 ноября.
✅️ Зарегистрироваться
PS. На все курсы для физлиц доступна беспроцентная рассрочка платежа до 8 мес.
Скидка 10% на любой курс по OSINT по промокоду PPentest
📞 По любым вопросам пишите: [email protected]
+7 901 189-50-50
👍5❤3🔥2