КИБ

🔓 Туз в рукаве: взлом нового USB-C контроллера от Apple.

• Начиная с 2024 года Apple начала использовать в своих устройствах новый USB-C контроллер, который встраивают не только в iPhone, но и в Mac, iPad и другие гаджеты. Так вот, известный в узких кругах исследователь безопасности Thomas Roth взломал этот USB-контроллер, что позволило ему выполнить произвольный код и контролировать устройство.

• О своём достижении он рассказал во время конференции Chaos Communication Congress, которая проходила в Германии с 27 по 30 декабря 2024 года. Если говорить простыми словами, то с помощью реверс-инжиниринга Томас выяснил, в какой момент система проверяет прошивку, чтобы успеть загрузить модифицированный патч и обмануть систему защиты ACE3. Например, с помощью этой уязвимости можно подключать несертифицированные аксессуары или выполнять операции без согласия пользователя: https://media.ccc.de/v/38c3-ace-up-the-sleeve-hacking-into-apple-s-new-usb-c-controller

• Исследователь сообщил об уязвимости Apple, но компания пока не планирует её исправлять. Атака слишком сложная, поэтому ей не будут пользоваться массово. Сам Томас согласился с тем, что использовать уязвимость очень сложно и угроза для пользователей маловероятна. Некоторые сервисные центры отметили, что данная уязвимость поможет им проводить диагностику сломанных Mac.

➡ https://cybersecuritynews.com/apples-new-usb-c-controller-hacked/

• P.S. Помимо этого доклада на конфе было представлено еще очень много крутых презентаций (более 200), которые будут полезны ИБ специалистам и не только... Все доклады доступны для просмотра по этой ссылке: https://media.ccc.de/c/38c3

S.E. ▪️ infosec.work ▪️ VT

Наш бесплатный курс "Тестирование на проникновение" подошел к концу. Вот полный список статей, которые помогут вам начать свой путь в #Pentest.

• Моделирование атаки - тестрирование на проникновение.
• Основные этапы тестирования.
• Сбор информации: 1 Часть.
• Сбор информации: 2 Часть.
• Сбор информации: 3 Часть.
• Обнаружение уязвимостей.
• Подбор паролей.

• Обратные оболочки и полезные нагрузки.
• Эксплуатация уязвимостей: 1 Часть.
• Эксплуатация уязвимостей: 2 Часть.
• Уклонение от средств защиты: 1 Часть.
• Уклонение от средств защиты: 2 Часть.
• Уклонение от средств защиты: 3 Часть.
• С2 (Command and Control) сервер.

• Основы Active Directory: 1 Часть.
• Основы Active Directory: 2 Часть.
• Kerberos, NTLM, DNS, LDAP.
• Пользовательские и машинные учетные записи.
• Права и привилегии в Active Directory.
• Небезопасные права доступа ACL.
• Active Directory Domain Enumeration

• Bloodhound
• AS-REP Roasting
• Kerberoasting
• Неограниченное делегирование.
• Ограниченное делегирование.
• Ограниченное делегирование на основе ресурсов.
• DCShadow.

• Pass-the-hash
• Password Spray
• Windows Server Update Services (WSUS)
• System Center Configuration Manager (SCCM)
• Взлом MSSQL
• Responder
• Netexec

• Крадем учетные данные Windows
• Zerologon
• PetitPotam
• Skeleton Key
• RouterSploit
• Получение DA через принтер
• DCSync

• SIDHistory
• AdminSDHolder
• Silver Ticket
• Golden Ticket
• Diamond Ticket
• Sapphire Ticket

Не забывайте делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья@haccking #обучениеPentest@haccking #AD

LH | Новости | Курсы | OSINT

Мы систематизировали и выложили в канал все лекции по курсу "Введение в теорию чисел и асимметричную криптографию".

Кто хочет с пользой провести новогодние каникулы и кто интересуется темой криптографии, рекомендуем к просмотру. В отличие от множества аналогичных материалов, Дмитрий Георгиевич рассказывает более наглядно и доступно.

⚡️ Все лекции уже выставлены и собраны в большой плейлист.

Темы видео-лекций:

📌 История развития теории чисел: как и кем формировалась эта увлекательная область математики?
📌 Актуальные математические проблемы: современные вызовы и загадки, которые стоят перед теорией чисел.
📌 Асимметричная криптография: как устроена и как работает асимметричная криптография, и почему она играет важную роль в современной информационной безопасности?
📌 Математические вычислительные алгоритмы: детали с алгоритмами, которые лежат в основе многих криптографических систем.
📌 Гипотеза Римана: как она связана с распределением простых чисел и почему она до сих пор остается недоказанной?

🎓 Кому будет полезно?

- Специалистам по информационной безопасности
- Студентам и преподавателям профильных направлений
- Всем, кто интересуется защитой информации и новейшими технологиями

Советуем подписаться на наш RuTube канал, чтобы следить за обновлениями!

🔗 Ссылка на канал: Rutube канал КИБ

Всех с наступающим 2025 годом! 🎁

🏫 Пока вы готовитесь к первому дню сессии хотелось бы вкинуть опросник по АД (Attack Defense) тренировке, которую планируем провести, но мы не уверены соберется достаточно ли целевой аудитории (малышарики, которые только-только вкатываются из нашего вуза), исходя из этого сложность сервисов минимальная. Количество игроков в команде - до 5 человек.

Внешние команды могут попробовать зарегаться, но апрув будет зависеть от количества зарегистрированных команд из МИРЭА, в целом как и сама тренировка зависит от количества в ней заинтересованных и готовых играть (если не наберется минимальное количество, увы, придется перенести на следующий год). ⏳

20 декабря — День работников органов безопасности РФ. Поразительно, но в государственный календарь этот день вошел по указу разрушителя единой службы — Комитета государственной безопасности — Ельцина в 1995 году.  До этого 20 декабря отмечался неофициально как День чекиста. Дата была выбрана не случайно — 20 декабря 1917 Совнарком (правительство) РСФСР издал Декрет о создании ВЧК. Многие не знают или забыли полное название организации, поэтому напоминаю  — Всероссийская чрезвычайная комиссия по борьбе с контрреволюцией и саботажем  при СНК РСФСР. По факту решения поставленных задач в 1922 г. она была  упразднена  с передачей полномочий ГПУ при НКВД. Первым председателем Комиссии был Ф.Э. Дзержинский.  Разрушение СССР привело к невиданному и страшному по последствиям шельмованию КГБ, к разделению по нацреспубликам и расформированию внутри РФ некогда одной из самых мощных в мире систем безопасности. Этот процесс сопровождался  уничтожением многих уникальных программ и наработок, массовым предательством (вопиющий случай —  сдача последним председателем КГБ Бакатиным  (1991-1992) многих секретов американцам, включая прослушку в их посольстве) и бегством за рубеж работников спецслужб. Кстати, показательны слова  советского диссидента Владимира Буковского, с которым Бакатин встретился в  сентябре 1991 г.: «..хотя при Горбачёве он (Бакатин) прошёл обычную карьеру от секретаря обкома до министра внутренних дел, возглавляемое им ведомство (КГБ)  терпеть не может». Понятно, почему Бакатин приложил все силы, чтобы не реформировать, а  уничтожать госбезопасность РФ. Даже боюсь представить, сколько с тех пор в органах окапалось «спящих». В результате многочисленных реформ сегодня  к органам безопасности  относятся — ФСБ, СВР, ГУСП и ФСО. 
С 1990-х  много воды утекло, выросло новое поколение чекистов в самом широком смысле этого слова, для которых  слова железного Феликса  должны стать принципами служения: «Чекистом может быть лишь человек с холодной головой, горячим сердцем и чистыми руками». 

В современную, вновь военную эпоху стране и каждому из нас нужны зоркость и бдительность контрразведчиков.

С праздником, бойцы невидимого фронта!
 

В этом учебном году спецкурс «Введение в специальность» будет проходить в МТУСИ!

Вводная лекция для студентов младших курсов и всех заинтересованных пройдет уже в следующий четверг.

Это отличная возможность:

- познакомиться с ведущими специалистами в области информационной безопасности;
- понять, какие есть перспективные направления и сферы вашей будущей профессии;
- узнать какое направление лучше всего подходит для вас;
- научиться совмещать учебу и работу.

Время: 19.12.2024 в 17:00.
Место: МТУСИ, корпус на ул. Народного ополчения, 32.
Аудитория: H501.

Если вы не студент МТУСИ и вам нужен пропуск, заполните форму
⚡️Заявки на разовый пропуск принимаются до 18:00 17.12.2024.

По вопросам писать @prestofiesta

#ВвС #открытая_лекция

Участвуй в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей.

Регистрация на хакатон открыта до 15 ноября: https://cnrlink.com/cyberimmunehack3tg

На хакатон приглашаются разработчики, аналитики, архитекторы ПО, эксперты по информационной безопасности и студенты, обучающиеся по направлениям программирования и кибербезопасности. Участвовать можно индивидуально или в команде до 5 человек.

Основная задача: разработать ПО для каршеринга. Система должна обеспечивать, чтобы только аутентичные и авторизованные пользователи могли управлять автомобилем в соответствии со своей подпиской.

Задача не требует специфических знаний в автомобильной отрасли, поэтому будет полезна и понятна всем: студентам, преподавателям, junior-, middle- и senior-специалистам, техническим директорам.

Ты сможешь:
🔸 Проявить навыки и расширить компетенции в направлении кибериммунитета.
🔸 Пообщаться с экспертами «Лаборатории Касперского».
🔸 Побороться за призы из общего призового фонда в 1 000 000 рублей.
🔸 Создать собственное практическое решение.
🔸 Улучшить своё решение с помощью видеоматериалов по кибериммунитету от «Лаборатории Касперского».

Таймлайн хакатона:
▪️ 15.10 – 15.11 — регистрация участников
▪️ 7.11 – 8.11 — митап с экспертами и игра «Огнеборец»
▪️ 15.11 — старт работы над задачей
▪️ 17.11 — завершение загрузки решений
▪️ 22.11 — награждение победителей

Что такое кибериммунитет и в чем его фишка?

Кибериммунитет — это подход к защите информационных систем, где безопасность встроена в архитектуру решения. Это значит, что критические кибератаки предотвращаются ещё на этапе проектирования, а сама система становится устойчивой к большинству угроз.

Не упусти свой шанс проявить себя и внести вклад в безопасность каршеринговых сервисов! https://cnrlink.com/cyberimmunehack3tg

501 аудитория. Нет номера на двери.

Начнем в 11:05

Как придëте на проходную, подходите с паспортом к охраннику и говорите:

"11:00 , аудитория 501Н"

Далее 5й этаж и по указателям.

Коллеги, доброе утро!

Начало ODC ровно через два часа, в 11:00
по адресу ул. Народного Ополчения, 32, МТУСИ. Аудитория Н501

https://yandex.ru/maps/-/CDdtnBLK

Не забудьте паспорт.

⚡️Напоминаем, что сегодня крайний день записи.

Мероприятие 26 октября по ODC пройдёт по адресу:

ул. Народного Ополчения, 32, МТУСИ.

Аудитория: Н501

Время начала 11:00.
Придите заранее, т.к. нужно пройти пропускную систему.

Обращаем внимание, что если вам необходим пропуск в МТУСИ, необходимо:

1. до 24.10.2024 заполнить анкету, если вы её ещё не заполнили. Дублируем ссылку: https://forms.gle/HzphWZGQ8Q359sN37

2. придти с паспортом.

⭐️Объявления для будущих крутых разработчиков ИБ продуктов и аналитиков данных.

Через неделю, 26 октября на базе МТУСИ пройдет мастер-класс по Open Digital Cash (ODC).


Что это?
– Кто ранее не был и пропустил, вот видосик: https://t.me/odc_kib/14
– Зачем нужно CBDC, вот сайт: https://www.cbdc.cc/

Что будет:
– мастер-класс и презентация с банкоматом;
– ближайшие планы по коду на Си \ Django;
– ближайшие планы по аналитике;
– свободное общение по теме.

Чего не будет:
– Долгой унылой лекции про то, что такое деньги )))
– Ненужного маркетинга… только техника, только хардкор.

Целевая аудитория:
– специалисты из отрасли, интересующиеся темой digital cash;
– студенты\аспиранты, ведущие исследования по этой теме;
– или желающие пополнить нашу команду.

Что даст вам ODC движение?
– возможность c нуля прокачать навыки в Python, Си, Java, разработка Android\iOS; навыки работы с Git, CI\CD; навыки в аналитике данных и работе в команде;
– для любителей криптографии: возможность соединить знания криптографии и реальной разработки;
– Networking с инициативными менторами из отрасли ИБ;
– 100% трудоустройство по специальности.

Будем рады видеть новых людей в нашем ODC движении.

Кто хочет посетить мероприятие,
тем до 24.10.2024 необходимо заполнить анкету:
https://forms.gle/HzphWZGQ8Q359sN37

Где и когда пройдёт мероприятие:

26 октября, с 11:00 до 12:45,
Москва
Адрес укажем позднее.

#meetup #offline #odc

Всем привет 👋👋

Как проходит ваше начало учебного года? К слову, сентябрь потихоньку подходит к концу и мы напоминаем вам о встрече 30 сентября (уже в следующий понедельник!) 😊

Не упусти возможность:
- Ближе познакомится с нашим сообществом, его историей и достижениями
- Стать частью нашей команды, в которую может попасть каждый желающий;
- Узнать о мероприятиях и мастер-классах, которые мы проведем в грядущем учебном году
- Приятно и с пользой провести время, а также найти единомышленников

С нетерпением ждем всех (буквально всех: ребята из других ВУЗов, вас тоже 🙂) на встрече! Мы с радостью ответим на интересующие вас вопросы и познакомим с внутренним миром нашего сообщества.

🗓 30 сентября
🕐 18:10
🏫 пр. Вернадского 78
❗️ Информация об аудитории проведения появится день-в-день, поэтому следите за новостями

‼️ Студентам других ВУЗов необходимо заполнить форму ниже: https://forms.yandex.ru/u/66f5328ed046883c4b66dfb5/

Stay tuned 😎
ВК: https://vk.com/cyberhackerss

👁 Кто больше всего следил за действиями пользователей в интернете в 2023–2024 годах?

• Исследователи Лаборатории Касперского выкатили интересный отчет, который содержит графики и статистику компонента Do Not Track по наиболее распространенным в 2023 и 2024 годах веб-трекерам на международном и региональном уровне.

• Вероятно, Вы уже догадались, что мировым лидером по сбору, анализу и обработке пользовательских данных является компания Google. Но тут стоит обратить внимание на то, что в странах СНГ, где особенно развиты локальные интернет-сервисы, региональные трекинговые системы не просто попадают в TOP 25, но и могут преобладать над общемировыми!

• Так вот, СНГ это единственный регион, где трекеры Google не попали на первые два места, а занимают третье (Google Analytics) с небольшой долей в 9,3% и ниже. А первое место занимают трекеры Yandex.Metrica — 26,19%. Отмечается, что система компании «Яндекс» не только попала в TOP 25 по СНГ, но и была замечена в иранском рейтинге на четвертом месте (4,90%), на Ближнем Востоке (2,30%) и в России на первом месте с долей 26,43%.

• На втором месте рейтинга СНГ находится трекинговая система сервисов Mail.ru (принадлежащая корпорации VK) — 20,76%. Помимо двух основных гигантов трекингового рынка СНГ, в TOP 25 попали еще несколько локальных трекинговых систем. Сразу после трех систем Google — Google Analytics (9,30%), YouTube Analytics (8,34%) и Google Display & Video 360 (8,33%) — следует трекинговая система локальной компании Mediascope (2,82%), которая занимается исследованием предпочтений и поведения аудитории. Остальные места занимают следующие компании: Adriver (2,75%), Buzzoola (2,02%), AdFox, принадлежащая компании «Яндекс» (1,69%), Rambler Internet Holdings (1,46%), Sape.ru (1,42%), Artificial Computation Intelligence (1,33%), Between Digital (1,01%), Otm (0,99%) и Adx.com.ru (0,93%).

• Что касается РФ, то тут лидируют следующие локальные трекинговые системы: Yandex.Metrica (26,43%), Mail.Ru (16,60%), Mediascope (6,16%), Sape.ru (4,89%) и Artificial Computation Intelligence (4,80%). Только на шестом месте с долей 4,50% располагается Google AdSense. Далее идет VK (2,09%), Uniontraff (1,79%), Bidvol (1,16%), Teleport Media (0,97%), Avito (0,87%), MoeVideo (0,79%), GetIntent (0,62%), AmberData (0,59%), Kimberlite.io (0,59%) и Bumlam.com (0,56%). Если сложить долю локальных трекинговых систем, то мы получим цифру 87,5%. Получается, что это единственный регион, где подавляющее большинство трекинговых систем в TOP 25 состоит из локальных игроков.

• Рекомендую ознакомиться с полной версией отчета, который включает в себя подробную статистику не только по регионам, но и по организациям: https://securelist.ru/web-trackers-report-2023-2024/110513/

S.E. ▪️ infosec.work ▪️ VT

Cyentia Institute в июле опубликовал исследование "A Visual Exploration of Exploitation in the Wild", которое погружает нас в мир эксплуатации уязвимостей и использования системы оценки EPSS👍

В первой части документа довольно много различной аналитики с графиками и выводами об эксплуатации уязвимостей.
Из интересного для себя выделил следующее:
➡️С 2017 года процент уязвимостей с признаками эксплуатации держится стабильно в районе 6 пунктов.
➡️139 дней - время от публикации информации до первой известной эксплуатации для 50% от всех эксплуатируемых уязвимостей.
➡️Для уязвимостей старше 10 лет существует в 3 раза большей эксплоитов, чем для уязвимостей, опубликованных за последние два года.

Остальная часть документа посвящена EPSS (история развития, оценка эффективности и взгляд в будущее).
Главный вывод: EPSS лучше CVSS и за ним будущее😅 Но, читайте сами и делайте выводы для себя😉

#epss #cvss #exploitation

Ну ладно, вот вам полезность. Слайды с Black Hat USA 2024:

https://github.com/onhexgroup/Conferences/tree/main/Black%20Hat%20USA%202024%20slides

❤️ Написали один из самых долгожданных постов этого лета, судя по вашим вопросам

Да, мы объявляем о новом наборе на стажировку PT Start, по результатам которой вы сможете получить офер и стать сотрудником Positive Technologies.

👩‍🎓 Кого ждем на стажировку

Студентов и выпускников вузов по специальностям «информационная безопасность» и «информационные технологии». Если вы участвовали в соревнованиях CTF, хакатонах и профильных олимпиадах, это будет преимуществом.

🤔 Как туда попасть

Тут все просто: успейте подать заявку и пройти онлайн-тестирование на сайте PT Start до 18 августа.

🧑‍🏫 Что будет дальше

Мы разберем все заявки и отправим приглашения всем подходящим кандидатам (в прошлый раз его получили 1300 человек из 3000 заявившихся).

Всех счастливчиков ждет базовое, а потом и углубленное обучение по основным направлениям: кибербезопасность, разработка, обеспечение качества (Quality Assurance), системный анализ. А после вы сможете сами выбрать, в какой из команд стажироваться.

В конце — финальный босс возможный офер и, что самое важное, бесценные знания и опыт, которые точно пригодятся вам для будущей карьеры.

🏃 Еще думаете? А остальные уже подают заявки!

@Positive_Technologies

Готовы сразиться за кибербезопасность города N?

8-10 сентября в Казани — ТРЕТЬЯ ВСЕРОССИЙСКАЯ СТУДЕНЧЕСКАЯ КИБЕРБИТВА

Попробуй себя в роли настоящего хакера или киберзащитника!

Кибербитва — это всероссийское ИБ-соревнование, где команды из ведущих вузов могут испытать свои силы в условиях, максимально приближенных к реальности.
Команда красных будет реализовывать кибератаки на инфраструктуру, а синие — выявлять инциденты ИБ.

Требования к участникам:
🟠Студенты или аспиранты вузов
🟠Опыт в прошлых кибербитвах или CTF-соревнованиях
🟠Сложившиеся команды от 5 до 10 человек
🟠Интерес к ИТ и кибербезопасности

Собери команду единомышленников, регистрируйся на сайте кибербитвы и проходи экспертный отбор от ведущих специалистов России.

Задача Innostage — дать будущим ИБ-специалистам площадку, где они на практике могут испытать свои силы. Лучшие игроки кибербитвы получают шанс запомниться судьям и присоединиться к топовым ИБ-компаниям России.

Призовой фонд кибербитвы — 200 000 рублей.

Регистрация команд продлена до 2 августа. Количество мест ограничено, так что поторопитесь!

ПРИНЯТЬ УЧАСТИЕ

https://www.tbank.ru/about/news/18072024-t-bank-opens-access-fraud-roulette-worlds-first-service-where-fraudsters-calls-are-intercepted/

Т-Банк открывает доступ к своему новому экспериментальному сервису, начиная сбор заявок — фрод-рулетке «Ловушка для мошенников». Это первый в мире сервис, где звонки телефонных мошенников перехватываются в режиме реального времени и переводятся на пользователей.

Миссия фрод-рулетки — обучать пользователей навыкам самозащиты от телефонных мошенников на реальных звонках и отвлекать злоумышленников от обмана реальных жертв.

Доступ к сервису будет открываться поэтапно по специальным приглашениям — в зависимости от нагрузки на фрод-рулетку и количества перехваченных звонков телефонных мошенников. Заявку на подключение к новому антимошенническому сервису Т-Банка можно оставить на сайте фрод-рулетка.рф.

Сервис построен на базе платформы Т-Защита, которая состоит из собственных антифрод-технологий Т-Банка и Т-Мобайла. Фрод-рулетка перехватывают звонки настоящих мошенников и анонимно переадресовывает их пользователям.

Писатель Сергей Минаев протестировал сервис антифрод-рулетка

Т-банк начинает сбор заявок от желающих присоединиться к своему экспериментальному сервису «Фрод-рулетка», где звонки телефонных мошенников перехватываются в режиме реального времени и переводятся на участников эксперимента.

«Доступ к сервису будет открываться поэтапно по специальным приглашениям - в зависимости от нагрузки на «Фрод-рулетку» и количества перехваченных звонков телефонных мошенников. Заявку на подключение к новому антимошенническому сервису Т-банка можно оставить на сайте фрод-рулетка.рф», - говорится в сообщении.

Игроки в ходе разговора с настоящим мошенником должны как можно дольше удерживать злоумышленника на линии и тратить их время, чтобы те не успели обмануть кого-то еще. Вдобавок, такое общение поможет добровольцам лучше понять тактики мошенников и не попасться на разводку самим.

Одним из первых, вслед за известными пранкерами Вованом и Лексусом, вызвался стать добровольцем во фрод-рулетке писатель Сергей Минаев.

«Результат разговора с мошенницей на видео. Записал, поржал, отправил друзьям. Все говорят, что никогда про такую схему развода не слышали. Рад, что раскрыл какой-то новый сценарий и уберег кого-то от подобного звонка», - комментирует Минаев свой опыт, а заодно приглашает всех желающих поучаствовать во фрод-рулетке.

Т-банк отмечает, что тестовые участники в среднем разговаривали со злоумышленниками по 20-25 минут. «Таким образом за месяц можно вывести из строя один полноценный кол-центр мошенников, который зарабатывает в среднем от 53 млн рублей в месяц», - отмечают в Т-банке.

Источник: фрод-рулетка.рф

#антифрод

Что почитать пентестеру? Собрали полезную подборку по рекомендациям специалистов F.A.C.C.T.

Если кликнуть на название книги, оно скопируется в буфер обмена 😉

☀️Компьютерные сети. Принципы, технологии, протоколы
В. Олифер, Н. Олифер

➡️ База, которая объясняется на пальцах. Подойдет для тех, кто делает первые шаги в изучении основ ИБ.

☀️Penetration Testing: A Hands-On Introduction to Hacking
Georgia Weidman

➡️ Практическое руководство для начинающих пентестеров.

☀️ The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws
Dafydd Stuttard and Marcus Pinto

➡️ Подробно описывает методы атак и эффективной защиты.

☀️ Metasploit: The Penetration Tester's Guide
David Kennedy, Jim O'Gorman, Devon Kearns

➡️ Обзор инструментария Metasploit Framework и методов его использования для проведения тестирования на проникновение.

☀️The Shellcoder's Handbook: Discovering and Exploiting Security Holes
Chris Anley, John Heasman, Felix Lindner, and Gerardo Richarte

➡️ Об эксплойтах и обнаружении уязвимостей.

☀️Hacking: The Art of Exploitation
Jon Erickson

➡️ Практический подход к пониманию работы компьютерных систем и методов их взлома

☀️The Hacker Playbook 3: Practical Guide to Penetration Testing
Peter Kim

➡️ Пособие с практическими советами для пентестера, основанными на реальных кейсах.

☀️ The Tangled Web: A Guide to Securing Modern Web Applications
Michal Zalewski

➡️ О сложных аспектах информационной безопасности, включая атаки на клиентскую и серверную стороны.

⚙️ Полезные ресурсы и практика

☀️Web Security Academy
☀️Root Me
☀️Hack the Box
☀️Hack Tricks
☀️OWASP Web Security Testing GuideTry
☀️Hack Me
☀️Echo CTF
☀️Try Hack Me

⚙️ Справка

Пентест (Penetration Testing) — это проверка безопасности компьютерных систем или сетей путем проведения имитационных атак. Цель пентеста — найти уязвимости, которые могут быть использованы злоумышленниками.

Пентестер — это специалист, который выполняет пентесты. Он использует различные инструменты и техники, чтобы найти слабые места в системе, как это сделал бы реальный хакер. После проверки пентестер предоставляет отчет с найденными проблемами и рекомендациями по их устранению.

Было полезно? Ставьте 🔥, сохраняйте в закладках и делитесь подборкой с теми, кому она может пригодиться ❤️

В мае было зафиксировано более 5000 CVE, что составляет, в среднем, 164 уязвимости в день 🎯 В 2023-м году среднее число обнаруживаемых уязвимостей (которым присваивался CVE) в день было… 84. Нас ждет горячий год с точки зрения vulnerability management… ⚔️

И вряд ли ситуация будет лучше. Чем больше в процесс разработки будет внедряться ML 🤖 и чем чаще он будет обучаться на говёном коде, тем больше дыр в софте будет появляться и тем больше атак может случиться, так как, как мы помним, использование уязвимостей в публично доступных приложениях входит в тройку 3️⃣ основных причин инцидентов!

ЗЫ. NIST обещает в сентябре вернуть NVD к жизни. Верится с трудом. Никто не захотел взять на себя эту ношу. В итоге NIST законтрактовал компанию Analygence, которая не имеет опыта такой работы. Так что перспективы туманны 😶‍🌫️

Финальное занятие по ВвС в этом году пройдёт в эту среду.
Начало в 19-00.

На нём голосом обсудим все ваши вопросы о том как "войти в IT\ИБ".

Любые вопросы, боли, страхи, пожелания можно будет голосом высказать, спросить.

Новые темы подниматься не будут, занятие пройдёт в режиме онлайн.
Доступ строго для тех, кто был очно хотя бы на одной лекции ВвС.
Звонок пройдёт в чате "КИБ. Введение в специальность",
в который вы уже добавлены при посещении очно ВвС.

#ВвС

После майских праздников
продолжаем курс

"Введение в теорию чисел и ассиметричную криптографию"

Обращаем внимание, что третье занятие будет 18-го мая (суббота)

Кто зарегистрировался, более проходить регистрацию не нужно.

Для новых очных слушателей регистрация: https://forms.yandex.ru/cloud/661c1783c417f399739c368a/
(Доступна до 17 мая 12:00)

#математика

Positive Technologies приглашает принять участие в олимпиаде по программированию «1+1» 25 мая онлайн и на киберфестивале PHDays Fest 2 в «Лужниках»

Все пройдет без пафоса, в комфортной и дружелюбной обстановке. Участвуйте сами и приводите +1.

Перед олимпиадой мы проведем две тренировочные сессии онлайн.

На олимпиаде вас будут ждать задачи на разные темы,  сложность тоже будет различаться — решать будет интересно как постоянным участникам соревнований, так и тем, у кого еще нет олимпиадного опыта.

Итоги подведем в день олимпиады, участников с лучшими результатами наградим. А после разберем задачи и решения вместе с тренером.

Присоединяйтесь, заряжайтесь драйвом, решайте столько задач, сколько сможете. И самое главное — получайте удовольствие! Ведь рост над собой и динамика на дистанции гораздо важнее абсолютной победы.

👉 Узнайте больше и зарегистрируйтесь  до 23 мая.

#pt

Седьмая лекция по Введению в специальность пройдет 02.05.2024.

Наш гость: Тимофей, старшекурсник Московского Политеха

Тема мероприятия: "Беседа с работающим старшекурсником. Как совмещать учебу и работу?"

Место проведения: Автозаводская ул., 16, аудитория 4811

Начало в 18:00

Если вы не студент Московского Политеха, напишите Ирине для оформления пропуска: @prestofiesta
⚡️Заявки на разовый пропуск принимаются строго до 01.05.2024 23:59

#ВвС #открытая_лекция

Ссылка на прямую трансляцию второй лекции по курсу "Введение в теорию чисел и ассиметричную криптографию": https://youtube.com/live/2ffqXy-oXMY?feature=share

Также ждём очно в МТУСИ тех, кто записался.

Начало завтра, в 9:30

Просим обратить внимание: Лекция состоится по адресу Автозаводская ул., 16, аудитория 4811.
Внешним гостям иметь при себе удостоверение личности