🔥 Подборка самых интересных каналов про IT, хакинг и безопасность
Инкогнито - Самый крупный канал о даркнете. Рассказываем про анонимность в сети, хакинг и противодействуем мошенничеству в интерннете.
@Haccking - Тот самый, первый телеграм канал по ИБ. Ребята стабильно пишут о хакинге, програмировании и безопасности в сети более 2-х лет. Понятно и интересно даже новичкам. Подписывайся!
@dataleak - Канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.
CyberYozh - Бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@SecLabNews - Канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.
Эксплойт - Информационная безопасность и хакерство. Секреты анонимности в интернете, баги социальных сетей, тайные возможности смартфона, уроки по взлому и многое другое.
Инкогнито - Самый крупный канал о даркнете. Рассказываем про анонимность в сети, хакинг и противодействуем мошенничеству в интерннете.
@Haccking - Тот самый, первый телеграм канал по ИБ. Ребята стабильно пишут о хакинге, програмировании и безопасности в сети более 2-х лет. Понятно и интересно даже новичкам. Подписывайся!
@dataleak - Канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.
CyberYozh - Бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@SecLabNews - Канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.
Эксплойт - Информационная безопасность и хакерство. Секреты анонимности в интернете, баги социальных сетей, тайные возможности смартфона, уроки по взлому и многое другое.
Топ 10 браузерных расширений для хакеров и исследователей на основе открытых источников
Хотя современные браузеры достаточно стабильны и с большим количеством возможностей, но они не могут удовлетворить все возможные потребности пользователей. С целью добавления особо специфических функций используются так называемые расширения. Например, хакерам и исследователям, пользующимся открытыми источниками, требуются дополнительные инструменты для анонимного серфинга, авторизации через SSH и сбора доказательств в интернете. Далее будет приведен список избранных расширений.
Хотя современные браузеры достаточно стабильны и с большим количеством возможностей, но они не могут удовлетворить все возможные потребности пользователей. С целью добавления особо специфических функций используются так называемые расширения. Например, хакерам и исследователям, пользующимся открытыми источниками, требуются дополнительные инструменты для анонимного серфинга, авторизации через SSH и сбора доказательств в интернете. Далее будет приведен список избранных расширений.
Telegraph
Топ 10 браузерных расширений для хакеров и исследователей на основе открытых источников
Что такое расширение? Расширения для бразуеров или аддоны представляют собой мини приложения для добавления новых функций, которые могут быть полезны в отдельных случаях. В качестве примера можно привести расширение Grammarly, предназначенное для автоматической…
Forwarded from Медуза — LIVE
Недалекое будущее: россияне посещают российские сайты с помощью российских браузеров. Эти соединения защищены российским шифрованием, разработанным в ФСБ.
https://mdza.io/3Q18fMywafs
https://mdza.io/3Q18fMywafs
Meduza
Рунет начали переводить на отечественную криптографию
До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты. По всему миру такие сертификаты используются на сайтах…
Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON
Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
Telegram опубликовал на сайте бета-тестирования своей блокчейн-платформы Telegram Open Network инструкцию по созданию сайтов в децентрализованной сети TON — TON Sites. Сайт test.ton.org упоминается в одном из официальных сообщений мессенджера.
Согласно документу, сайты TON могут использоваться как точка входа для других сервисов платформы. Например, html-страницы, загруженные с TON Sites, могут содержать ссылки вида ton:// — перейдя по такой ссылке пользователь с установленным кошельком TON Wallet сможет выполнить платёж.
Технически сайты TON похожи на обычные веб-сайты, но доступ к ним осуществляется через сеть TON, а не через интернет, говорится в документах.
У каждого такого сайта есть абстрактный ADNL-адрес вместо более распространённых IPv4- или IPv6-адреса, они принимают запросы HTTP через разработанный Telegram протокол RLDP вместо обычного TCP или IP. Шифрование обрабатывается ADNL, поэтому разработчикам не нужно использовать HTTPS.
Для доступа к существующим и создания новых сайтов нужны специальные шлюзы между «обычным» интернетом и сетью TON. Доступ к сайтам TON осуществляется с помощью HTTP-> RLDP-прокси, работающего локально на клиентском компьютере, и они создаются с помощью обратного RLDP-> HTTP-прокси, работающего на удалённом веб-сервере.
#новость #telegram #ton vc ru
Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
Telegram опубликовал на сайте бета-тестирования своей блокчейн-платформы Telegram Open Network инструкцию по созданию сайтов в децентрализованной сети TON — TON Sites. Сайт test.ton.org упоминается в одном из официальных сообщений мессенджера.
Согласно документу, сайты TON могут использоваться как точка входа для других сервисов платформы. Например, html-страницы, загруженные с TON Sites, могут содержать ссылки вида ton:// — перейдя по такой ссылке пользователь с установленным кошельком TON Wallet сможет выполнить платёж.
Технически сайты TON похожи на обычные веб-сайты, но доступ к ним осуществляется через сеть TON, а не через интернет, говорится в документах.
У каждого такого сайта есть абстрактный ADNL-адрес вместо более распространённых IPv4- или IPv6-адреса, они принимают запросы HTTP через разработанный Telegram протокол RLDP вместо обычного TCP или IP. Шифрование обрабатывается ADNL, поэтому разработчикам не нужно использовать HTTPS.
Для доступа к существующим и создания новых сайтов нужны специальные шлюзы между «обычным» интернетом и сетью TON. Доступ к сайтам TON осуществляется с помощью HTTP-> RLDP-прокси, работающего локально на клиентском компьютере, и они создаются с помощью обратного RLDP-> HTTP-прокси, работающего на удалённом веб-сервере.
#новость #telegram #ton vc ru
Как фишеры используют тему коронавируса
Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Telegraph
Мошенники используют уханьский коронавирус как приманку, чтобы воровать учетные данные электронной почты.
Поддельные письма с информацией о коронавирусе — новая приманка фишеров Фишинговые письма от имени Центров по контролю и профилактике заболеваний в адресе отправителя содержат убедительный домен cdc-gov.org (настоящий домен CDC — cdc.gov). Не слишком внимательный…
Forwarded from Эшер II A+
⚡️⚡️⚡️ The Bell и «Медуза» пишут о том, что летом ФСБ рассылала официальные требования ОРИ (организаторам распространения информации) предоставления круглосуточного доступа к переписке, ключи шифрования и вот это вот всё. Есть треки почты:
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей
‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний
👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://t.iss.one/zatelecom/12870
👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее
⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей
‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний
👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://t.iss.one/zatelecom/12870
👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее
⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
Meduza
ФСБ потребовала ключи для дешифровки переписки у «Авито», Rutube, «Хабра» и еще десятка сайтов. Это произошло в разгар московских…
Как выяснила «Медуза», Федеральная служба безопасности летом 2019 года направила десятку российских интернет-сервисов, среди которых «Авито», «Хабр» и Rutube, письма с требованием передать спецслужбе ключи для дешифровки переписки пользователей, а также организовать…
👍1
Скрытый кейлоггинг
За последние годы было много попыток создания устройств для сбора нажатых клавиш. Самоделки изготавливаются в основном на базе устройств Raspberry Pi или плат Arduino. С другой стороны, крошечные девайсы KeyLogger PRO от компании Maltronics удивляют богатством возможностей, доступных для пользователей.
Далеко не каждый сможет сразу же обнаружить такое крошечное устройство, подключенное к компьютеру.
За последние годы было много попыток создания устройств для сбора нажатых клавиш. Самоделки изготавливаются в основном на базе устройств Raspberry Pi или плат Arduino. С другой стороны, крошечные девайсы KeyLogger PRO от компании Maltronics удивляют богатством возможностей, доступных для пользователей.
Далеко не каждый сможет сразу же обнаружить такое крошечное устройство, подключенное к компьютеру.
Telegraph
Скрытый кейлоггинг: обзор возможностей устройства KeyLogger PRO
Кейлоггером является любой компонент программного обеспечения или оборудования, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Нередко кейлоггер находится между клавиатурой и операционной системой и перехватывает все действия…
Кто, как и зачем нападает на сайты: самые значимые политические DDoS-атаки в истории интернета. Ч5
2008. Война в Грузии: DDoS как оружие
В ходе конфликта на территории Южной Осетии пророссийские хакеры вновь поддержали позицию официальной Москвы. Их грузинские коллеги не оставались в долгу — стороны пытались заглушать новости друг друга с помощью DDoS-атак. Пострадали и сайты властей — как грузинских, так и осетинских.
2011. Anonymous против всех: DDoS как новый мировой порядок и DDoS как удержание статус-кво
До начала Арабской весны акции анонимных хакеров, выходцев с легендарной имиджборды 4chan, были в меньшей степени политическими, а в большей — троллингом и хулиганством. Однако в 2011 году они стали представлять собой реальную политическую силу.
#DDoS
2008. Война в Грузии: DDoS как оружие
В ходе конфликта на территории Южной Осетии пророссийские хакеры вновь поддержали позицию официальной Москвы. Их грузинские коллеги не оставались в долгу — стороны пытались заглушать новости друг друга с помощью DDoS-атак. Пострадали и сайты властей — как грузинских, так и осетинских.
2011. Anonymous против всех: DDoS как новый мировой порядок и DDoS как удержание статус-кво
До начала Арабской весны акции анонимных хакеров, выходцев с легендарной имиджборды 4chan, были в меньшей степени политическими, а в большей — троллингом и хулиганством. Однако в 2011 году они стали представлять собой реальную политическую силу.
#DDoS
Telegraph
Кто, как и зачем нападает на сайты: самые значимые политические DDoS-атаки в истории интернета. Ч5
2008-2011 2008. Война в Грузии: DDoS как оружие Военный конфликт в Южной Осетии и Абхазии спровоцировал ожесточённые военные действия и в киберпространстве. Интернет-издания Осетии и Грузии начали подвергаться сериям взаимных DDoS-атак ещё в конце июля, за несколько…
Как происходит рендеринг кадра в GTA V
Серия игр Grand Theft Auto прошла долгий путь с момента своего первого релиза в 1997 году. Примерно 2 года назад Rockstar выпустила GTA V. Просто невероятный успех: за 24 часа игру купило 11 миллионов пользователей, побито 7 мировых рекордов подряд. Опробовав новинку на PS3, я был весьма впечатлен как общей картинкой, так и, собственно, техническими характеристиками игры.
В этой статье я расскажу о проведенном анализе кадра в версии для ПК в среде DirectX 11, которая съедает пару гигов как оперативки, так и графического процессора. Несмотря на то, что мой обзор идет со ссылкой на ПК, я уверен, что большинство пунктов применимо к PS4 и в определенной степени к PS3.
Серия игр Grand Theft Auto прошла долгий путь с момента своего первого релиза в 1997 году. Примерно 2 года назад Rockstar выпустила GTA V. Просто невероятный успех: за 24 часа игру купило 11 миллионов пользователей, побито 7 мировых рекордов подряд. Опробовав новинку на PS3, я был весьма впечатлен как общей картинкой, так и, собственно, техническими характеристиками игры.
В этой статье я расскажу о проведенном анализе кадра в версии для ПК в среде DirectX 11, которая съедает пару гигов как оперативки, так и графического процессора. Несмотря на то, что мой обзор идет со ссылкой на ПК, я уверен, что большинство пунктов применимо к PS4 и в определенной степени к PS3.
Telegraph
Как происходит рендеринг кадра в GTA V
Анализ кадра Итак, рассмотрим следующий кадр: Майкл на фоне любимого Rapid GT, на заднем плане прекрасный Лос-Сантос.
Новые требования ФСБ к интернет-сервисам
Онлайн-сервисы начали погружаться в новую реальность «закона Яровой», в которой уже давно живут операторы связи и интернет-провайдеры. Летом 2019 года ФСБ разослала российским сервисам, включенным в реестр операторов распространения информации (ОРИ), письма с требованием дать сотрудникам спецслужб круглосуточный доступ к их информационным системам и ключи для дешифровки переписки пользователей, выяснил The Bell. Объясняем, чем это грозит тем и другим.
#новости
Онлайн-сервисы начали погружаться в новую реальность «закона Яровой», в которой уже давно живут операторы связи и интернет-провайдеры. Летом 2019 года ФСБ разослала российским сервисам, включенным в реестр операторов распространения информации (ОРИ), письма с требованием дать сотрудникам спецслужб круглосуточный доступ к их информационным системам и ключи для дешифровки переписки пользователей, выяснил The Bell. Объясняем, чем это грозит тем и другим.
#новости
Telegraph
ФСБ читает соцсети, ЦРУ шпионит за всем миром, а Huawei платит за кражу секретов
Кто под ударом Письма, подписанные главой Центра оперативно-технических мероприятий ФСБ Михаилом Михайловым, получили участники реестра операторов распространения информации (ОРИ), который Роскомнадзор ведет с 2015 года. Сейчас в реестре 202 участника, от…
Привет!
Дима на связи, сегодня я расскажу о том, как проходил одно из заданий курса по информационной безопасности Pentestit.
Суть задания в том, чтобы изучить работу веб-приложения (сайта) и найти файл с токеном, который находится где-то на сервере сайта.
Я заметил, что при переходе по ссылкам сайт использует необычный параметр – название файла, в котором лежит код отображаемой страницы. Чаще всего это означает то, что веб-сервер настроен неправильно и возможно можно прочитать содержимое и других файлов. Я проверил passwd файл и оказался прав. Когда я подставил его адрес в параметр, содержимое файла отобразилось у меня на экране!
Затем я попробовал получить доступ к логам веб сервера. Там хранится информация обо всех посещениях сайта: IP адрес, информация о браузере и т.п. Информацию о браузере очень легко подменить и подставив туда payload вместо реальных данных, мне удалось получить доступ к файлам сервера.
Как я уже говорил ранее, прохождение заданий – интересный и увлекательный квест, а в случае затруднений у вас будет возможность попросить совет у наставника, который наведет на правильный путь, а не слепо выдаст ответ.
В следующем посте я подведу итоги обучения и расскажу о том, стало ли оно полезным для меня. До скорого!
#pentest
Дима на связи, сегодня я расскажу о том, как проходил одно из заданий курса по информационной безопасности Pentestit.
Суть задания в том, чтобы изучить работу веб-приложения (сайта) и найти файл с токеном, который находится где-то на сервере сайта.
Я заметил, что при переходе по ссылкам сайт использует необычный параметр – название файла, в котором лежит код отображаемой страницы. Чаще всего это означает то, что веб-сервер настроен неправильно и возможно можно прочитать содержимое и других файлов. Я проверил passwd файл и оказался прав. Когда я подставил его адрес в параметр, содержимое файла отобразилось у меня на экране!
Затем я попробовал получить доступ к логам веб сервера. Там хранится информация обо всех посещениях сайта: IP адрес, информация о браузере и т.п. Информацию о браузере очень легко подменить и подставив туда payload вместо реальных данных, мне удалось получить доступ к файлам сервера.
Как я уже говорил ранее, прохождение заданий – интересный и увлекательный квест, а в случае затруднений у вас будет возможность попросить совет у наставника, который наведет на правильный путь, а не слепо выдаст ответ.
В следующем посте я подведу итоги обучения и расскажу о том, стало ли оно полезным для меня. До скорого!
#pentest
Топ-4 самых опасных типа вложенных файлов
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Telegraph
Топ-4 самых опасных типа вложенных файлов
У распространителей вирусов есть форматы-«любимчики». Рассказываем, в каких файлах вредоносные программы чаще всего скрываются в том году. 1. ZIP- и RAR-архивы Киберпреступники очень любят прятать зловредов в архивы. Например, ZIP-файлы с интригующим названием…
Не рано ли тебе, сынок, в такие игры играть?
Все дети играют, в том числе — на компьютере и телефоне. Само по себе это нормально, но игры бывают разные. Не зря же на коробках с дисками и в онлайн-магазинах указывают возрастные ограничения для некоторых из них. Нужно ли бить тревогу, например, если ваш десятилетний ребенок увлекся Fortnite с рейтингом 12+? Давайте разберемся, кто и как определяет, с какого возраста можно играть в ту или иную игру, и насколько строги эти требования.
Все дети играют, в том числе — на компьютере и телефоне. Само по себе это нормально, но игры бывают разные. Не зря же на коробках с дисками и в онлайн-магазинах указывают возрастные ограничения для некоторых из них. Нужно ли бить тревогу, например, если ваш десятилетний ребенок увлекся Fortnite с рейтингом 12+? Давайте разберемся, кто и как определяет, с какого возраста можно играть в ту или иную игру, и насколько строги эти требования.
Telegraph
Не рано ли тебе, сынок, в такие игры играть?
Кто задает возрастные ограничения для игр В мире есть примерно пара десятков возрастных классификаций для игр. Так, большая часть Европы подчиняется стандарту Pan European Game Information (PEGI), а в США, Канаде и Мексике за рейтинги отвечает организация Entertainment…
Можно ли прочитать зашифрованный PDF-файл?
Формат файлов PDF, согласно спецификациям, поддерживает шифрование. В нем используется алгоритм AES с режимом Cipher Block Chaining. Так что в теории человек или компания, защитившие файл, могут быть уверены, что содержимое документа станет известно кому-либо только в том случае, если он знает пароль.
Исследователь Фабиан Айзинг на Chaos Communications Congress показал, насколько надежно шифрование в PDF-файлах.
Формат файлов PDF, согласно спецификациям, поддерживает шифрование. В нем используется алгоритм AES с режимом Cipher Block Chaining. Так что в теории человек или компания, защитившие файл, могут быть уверены, что содержимое документа станет известно кому-либо только в том случае, если он знает пароль.
Исследователь Фабиан Айзинг на Chaos Communications Congress показал, насколько надежно шифрование в PDF-файлах.
Telegraph
Можно ли прочитать зашифрованный PDF-файл?
В теории зашифрованные PDF-файлы нужны для передачи данных через незащищенный канал или канал, которому нельзя доверять. Представьте, что кто-то загружает файл в облачное хранилище, доступ к которому имеют многие. Исследователь решил найти способ модификации…
Вымирание компьютерных файлов
Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагментировать их. Как метафора способа хранения информационного блока, я думаю, они великолепны. Мне нравится файл как единое целое. Если мне нужно написать статью, она окажется в файле. Если мне нужно выдать в свет изображение, оно будет в файле. Новомодные технологические сервисы меняют наши интернет-привычки.
Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагментировать их. Как метафора способа хранения информационного блока, я думаю, они великолепны. Мне нравится файл как единое целое. Если мне нужно написать статью, она окажется в файле. Если мне нужно выдать в свет изображение, оно будет в файле. Новомодные технологические сервисы меняют наши интернет-привычки.
Telegraph
Вымирание компьютерных файлов
Ода файлам .doc
Все файлы — скевоморфны. Скевоморфизм это модное слово означает, отражение физического объекта в цифровом виде. Например, документ Word — это как лист бумаги, который лежит на вашем рабочем столе (экране). Файл .JPEG похож на картину, и так…
Все файлы — скевоморфны. Скевоморфизм это модное слово означает, отражение физического объекта в цифровом виде. Например, документ Word — это как лист бумаги, который лежит на вашем рабочем столе (экране). Файл .JPEG похож на картину, и так…
Сбербанк идет в киберспорт
Mail.Ru Group ищет покупателя на киберспортивный холдинг ESforce. Долю в нем может купить Сбербанк. Пять лет назад, когда Алишер Усманов вложил в ESforce $100 млн, казалось, что он угадал с новой перспективной нишей — как до этого с соцсетями.
Интересны такие новости?
#новости
Mail.Ru Group ищет покупателя на киберспортивный холдинг ESforce. Долю в нем может купить Сбербанк. Пять лет назад, когда Алишер Усманов вложил в ESforce $100 млн, казалось, что он угадал с новой перспективной нишей — как до этого с соцсетями.
Интересны такие новости?
#новости
Telegraph
Убыточный киберспорт для Сбербанка, своя «Яндекс.Лавка» для Mail.Ru Group, раскол разработчиков ИИ
Откуда взялся ESforce
ESforce — киберспортивный холдинг, созданный на базе одной из старейших российских команд Virtus.pro. В 2010 году она могла распасться, но ее спас молодой предприниматель Антон Черепенников, который сам когда-то играл за несколько клубов.…
ESforce — киберспортивный холдинг, созданный на базе одной из старейших российских команд Virtus.pro. В 2010 году она могла распасться, но ее спас молодой предприниматель Антон Черепенников, который сам когда-то играл за несколько клубов.…
Тестирование на проникновение.
В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.
Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).
Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.
В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.
Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).
Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.
Telegraph
Тестирование на проникновение в организациях кредитно-финансового сектора
Векторы проникновения в локальную сеть Злоумышленник может использовать различные способы проникновения в локальную сеть банков. Максимальное количество разных векторов проникновения, которые были обнаружены в рамках одного проекта — пять; минимальное — один.…
Отчёт Malwarebytes о кибератаках, выход PyTorch3D, запуск сервиса GeForce Now и другие новости ИТ за февраль
• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt
• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt
Горящие билеты — мошенники пытаются нажиться на Burning Man
Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.
Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.
Россия без Revolut
Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости
Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости
Привет, это снова Дима!
Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.
Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.
Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)
Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.
Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest
Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.
Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.
Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)
Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.
Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest
Pentestit | Информационная безопасность
WebSecOps - практическая подготовка в области веб-безопасности
WebSecOps - практическая подготовка в области безопасности веб-приложений
👍1