Анонимно, пожалуйста
В наше время проблема анонимности стоит очень остро, с каждым днем пользователи сети все больше стараются заботиться о своей цифровой гигиене и сохранении конфиденциальной информации таковой. Поэтому я решил сделать обзор популярных (и не очень) поисковиков, насколько они соответствуют ожиданиям пользователей.
Статья
В наше время проблема анонимности стоит очень остро, с каждым днем пользователи сети все больше стараются заботиться о своей цифровой гигиене и сохранении конфиденциальной информации таковой. Поэтому я решил сделать обзор популярных (и не очень) поисковиков, насколько они соответствуют ожиданиям пользователей.
Статья
Когда кнопка Mute не работает
На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams.
Статья
На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams.
Статья
Новые open source инструменты
Подобрали для вас небольшой список open source инструментов, которые стоит изучить, и, возможно, добавить в свой арсенал.
Sn1per - автоматизированный фраемворк для проведения пентеста
gophish - фишинговый инструментарий
hakrawler - веб краулер на Go для быстрой разведки
naabu - быстрый и простой сканер портов на Go
Andriller - набор форензик инструментов для извлечения информации с android
LNAV - удобная подсветка логов
shell-backdoor-list - не совсем инструмент, но интересный список шеллов на PHP и ASP
Подобрали для вас небольшой список open source инструментов, которые стоит изучить, и, возможно, добавить в свой арсенал.
Sn1per - автоматизированный фраемворк для проведения пентеста
gophish - фишинговый инструментарий
hakrawler - веб краулер на Go для быстрой разведки
naabu - быстрый и простой сканер портов на Go
Andriller - набор форензик инструментов для извлечения информации с android
LNAV - удобная подсветка логов
shell-backdoor-list - не совсем инструмент, но интересный список шеллов на PHP и ASP
10 лучших сканеров уязвимостей
Оценка уязвимости позволяет распознавать, классифицировать и характеризовать дыры безопасности ака уязвимости, среди компьютеров, сетевой инфраструктуры, программного обеспечения и аппаратных систем. Если уязвимости обнаруживаются, это указывает на необходимость устранения уязвимости. Такие раскрытия обычно выполняются отдельными командами, такими как организация, которая обнаружила уязвимость(CERT). Эти уязвимости становятся основным источником вредоносных действий, таких как взлом сайтов, систем, локальных сетей и т. д.
Оценка уязвимости позволяет распознавать, классифицировать и характеризовать дыры безопасности ака уязвимости, среди компьютеров, сетевой инфраструктуры, программного обеспечения и аппаратных систем. Если уязвимости обнаруживаются, это указывает на необходимость устранения уязвимости. Такие раскрытия обычно выполняются отдельными командами, такими как организация, которая обнаружила уязвимость(CERT). Эти уязвимости становятся основным источником вредоносных действий, таких как взлом сайтов, систем, локальных сетей и т. д.
Meta работает над собственным суперкомпьютером
RSC будет использоваться для обучения самых различных систем Meta, в том числе для создания метавселенной.
Работа над RSC началась полтора года назад. Инженеры компании с нуля создали различные части компьютера – системы охлаждения, питания, связи и кабелей. Фаза один RSC уже завершена, и в настоящее время компьютер состоит из систем 760 Nvidia GGX A100, содержащих 6080 связанных графических процессоров. По словам Meta, компьютер уже обеспечивает до 20 раз более высокую производительность при выполнении стандартных исследовательских задач в области машинного зрения.
До конца 2022 года будет завершена фаза два. К тому времени RSC будет состоять из 16000 графических процессоров и сможет обучать ИИ системы «с более чем триллионом параметров в наборах данных размером в эксабайт».
RSC будет использоваться для обучения самых различных систем Meta, в том числе для создания метавселенной.
Работа над RSC началась полтора года назад. Инженеры компании с нуля создали различные части компьютера – системы охлаждения, питания, связи и кабелей. Фаза один RSC уже завершена, и в настоящее время компьютер состоит из систем 760 Nvidia GGX A100, содержащих 6080 связанных графических процессоров. По словам Meta, компьютер уже обеспечивает до 20 раз более высокую производительность при выполнении стандартных исследовательских задач в области машинного зрения.
До конца 2022 года будет завершена фаза два. К тому времени RSC будет состоять из 16000 графических процессоров и сможет обучать ИИ системы «с более чем триллионом параметров в наборах данных размером в эксабайт».
На шаг ближе к Open Banking с WSO2 API Manager
WSO2 API Manager — это комплексная, интуитивно понятная и масштабируемая платформа, предназначенная для создания и управления API. Она примечательная тем, что является опенсорсной при сопоставимой с энтерпрайз-решениями функциональности.
https://teletype.in/@onehellsus/-11pfxPWKq2
WSO2 API Manager — это комплексная, интуитивно понятная и масштабируемая платформа, предназначенная для создания и управления API. Она примечательная тем, что является опенсорсной при сопоставимой с энтерпрайз-решениями функциональности.
https://teletype.in/@onehellsus/-11pfxPWKq2
Teletype
На шаг ближе к Open Banking с WSO2 API Manager
Привет! Меня зовут Сергей Кривонос, я Solution Architect платформы WSO2 в Росбанке. Если вкратце, то WSO2 API Manager — это комплексная...
Frontend разработчик на гейминговый стартап-проект
Киберспортивная платформа bemvp.gg
Обязанности:
— разработка пользовательского интерфейса и функционала;
— интеграция нового функционала с бэкендом;
— адаптивная верстка.
Требования:
— Опыт работы с Angular 2+ ;
— Typescript;
— HTML, CSS;
— Общий опыт работы от 6 месяцев - 1 год;
Условия работы:
— Зарплата 1000$;
— Гибкий график работы в удаленном формате;
— У нас не работают по таймеру;
— Позитивный эмоциональный климат в команде;
— Получаешь крутую возможность апгрейдить свои скиллы как начинающий Frontend разработчик!
Откликнуться: @LitaFlow
#вакансия
Киберспортивная платформа bemvp.gg
Обязанности:
— разработка пользовательского интерфейса и функционала;
— интеграция нового функционала с бэкендом;
— адаптивная верстка.
Требования:
— Опыт работы с Angular 2+ ;
— Typescript;
— HTML, CSS;
— Общий опыт работы от 6 месяцев - 1 год;
Условия работы:
— Зарплата 1000$;
— Гибкий график работы в удаленном формате;
— У нас не работают по таймеру;
— Позитивный эмоциональный климат в команде;
— Получаешь крутую возможность апгрейдить свои скиллы как начинающий Frontend разработчик!
Откликнуться: @LitaFlow
#вакансия
Какие уязвимости есть у систем видеонаблюдения
Как-то мы уже писали о методах взлома камер. А сейчас более подробно поговорим о том, какие уязвимости наиболее часто встречаются в системах видеонаблюдения в 2019, обсудим их причины и рассмотрим способы сделать эксплуатацию таких устройств безопаснее.
https://teletype.in/@it_ha/SksbQpBSr
Как-то мы уже писали о методах взлома камер. А сейчас более подробно поговорим о том, какие уязвимости наиболее часто встречаются в системах видеонаблюдения в 2019, обсудим их причины и рассмотрим способы сделать эксплуатацию таких устройств безопаснее.
https://teletype.in/@it_ha/SksbQpBSr
Teletype
Какие уязвимости есть у систем видеонаблюдения
Найти кусочек земной поверхности, не попадающий в поле зрения какой-либо камеры, становится всё сложнее, если говорить о более-менее...
Что о нас знает Интернет? Обратная сторона интернет-погружения компании
Очень часто ответ на вопрос «А каким образом была скомпрометирована доменная учетная запись?» находится на Github, в репозитории подрядчика, или, как в случае с нашумевшей атакой на Colonial Pipeline, в даркнет-утечке. С мошенническими действиями или репутационными атаками сталкивалась любая компания. Всё это — цифровые угрозы, возникшие в результате цифровизации, развития Интернета. Это реальность, с которой необходимо либо смириться, утверждая, что проблем нет, либо бороться. Как справиться с цифровыми угрозами и где в свободном доступе могут лежать ваши данные, расскажем далее.
https://teletype.in/@onehellsus/MNNwNoquSSf
Очень часто ответ на вопрос «А каким образом была скомпрометирована доменная учетная запись?» находится на Github, в репозитории подрядчика, или, как в случае с нашумевшей атакой на Colonial Pipeline, в даркнет-утечке. С мошенническими действиями или репутационными атаками сталкивалась любая компания. Всё это — цифровые угрозы, возникшие в результате цифровизации, развития Интернета. Это реальность, с которой необходимо либо смириться, утверждая, что проблем нет, либо бороться. Как справиться с цифровыми угрозами и где в свободном доступе могут лежать ваши данные, расскажем далее.
https://teletype.in/@onehellsus/MNNwNoquSSf
Teletype
Что о нас знает Интернет? Обратная сторона интернет-погружения компании
Очень часто ответ на вопрос «А каким образом была скомпрометирована доменная учетная запись?» находится на Github, в репозитории...
Разозленный хакер-одиночка отключает Северной Корее интернет
Северная Корея была полностью отключена от интернета как минимум два раза за последний месяц. Это в сети заметили многие. Все веб-сайты с доменными именами, заканчивающимися на «.kp», стали недоступными. Было неясно только, что это: огромная ошибка северных корейцев или целенаправленная атака извне.
Статья
Северная Корея была полностью отключена от интернета как минимум два раза за последний месяц. Это в сети заметили многие. Все веб-сайты с доменными именами, заканчивающимися на «.kp», стали недоступными. Было неясно только, что это: огромная ошибка северных корейцев или целенаправленная атака извне.
Статья
VirusTotal: откуда не ждали.
Очередной пример, когда платформа нацеленная на предостережение от угроз безопасности может сама выступать угрозой.
Энтузиасты из Cysource не поленились и решили отаудировать сам VirusTotal и как оказалось вышло это у них достаточно успешно. Исследователи обнаружили проблему безопасности, которая позволяла использовать платформу VirusTotal в качестве орудия для удаленного выполнения кода (RCE) на сторонних машинах-песочницах, использующих антивирусные движки.
Багу конечно пофиксили еще 13 апреля 2021 года, но для справки из-за возможности RCE потенциальный злоумышленник мог получать доступ к различным возможностям сканирования платформы.
Метод атаки включал загрузку файла DjVu через пользовательский веб-интерфейс платформы с использованием его для запуска эксплойта серьезной уязвимости удаленного выполнения кода в ExifTool - утилите с открытым исходным кодом, используемой для чтения и редактирования метаданных EXIF в изображениях и PDF-файлах.
Недостаток CVE-2021-22204 получил оценку 7,8 по CVSS и рассматривается как уязвимость высокого уровня опасности.
Как мы помним VirusTotal, входит в состав подразделения безопасности Google Chronicle и каждый раз, когда исследователи загружали файл с новой полезной нагрузкой, VirusTotal благополучно отправлял этот файл другим хостам. Таким образом, помимо возможности удалённого выполнения кода, еще и сама нагрузка отправлялась по внутренней сети Google её клиентам и партнёрам.
Кроме того, помимо последствий возможной эксплуатации в системе Google, открывался доступ более чем к 50 хостам, причём доступ был с высокими привилегиями. Вероятно, поэтому ребята не спешили с публичным раскрытием информации об уязвимости.
Очередной пример, когда платформа нацеленная на предостережение от угроз безопасности может сама выступать угрозой.
Энтузиасты из Cysource не поленились и решили отаудировать сам VirusTotal и как оказалось вышло это у них достаточно успешно. Исследователи обнаружили проблему безопасности, которая позволяла использовать платформу VirusTotal в качестве орудия для удаленного выполнения кода (RCE) на сторонних машинах-песочницах, использующих антивирусные движки.
Багу конечно пофиксили еще 13 апреля 2021 года, но для справки из-за возможности RCE потенциальный злоумышленник мог получать доступ к различным возможностям сканирования платформы.
Метод атаки включал загрузку файла DjVu через пользовательский веб-интерфейс платформы с использованием его для запуска эксплойта серьезной уязвимости удаленного выполнения кода в ExifTool - утилите с открытым исходным кодом, используемой для чтения и редактирования метаданных EXIF в изображениях и PDF-файлах.
Недостаток CVE-2021-22204 получил оценку 7,8 по CVSS и рассматривается как уязвимость высокого уровня опасности.
Как мы помним VirusTotal, входит в состав подразделения безопасности Google Chronicle и каждый раз, когда исследователи загружали файл с новой полезной нагрузкой, VirusTotal благополучно отправлял этот файл другим хостам. Таким образом, помимо возможности удалённого выполнения кода, еще и сама нагрузка отправлялась по внутренней сети Google её клиентам и партнёрам.
Кроме того, помимо последствий возможной эксплуатации в системе Google, открывался доступ более чем к 50 хостам, причём доступ был с высокими привилегиями. Вероятно, поэтому ребята не спешили с публичным раскрытием информации об уязвимости.
Хакеры забыли забрать криптовалюту на $1 млн после атаки на DeFi-проект
Киберпреступники атаковали протокол кредитования DeFi Zeed. Им удалось похитить средства, воспользовавшись уязвимостью в коде. Взлом привел к тому, что цена криптовалюты YEED упала до нуля, а хакер получил прибыль в размере $1 млн.
Однако специалисты PeckShield сообщили , что злоумышленники не перевели средства после атаки, прежде чем вызвать функцию «самоуничтожения» скомпрометированного смарт-контракта. Таким образом, украденная криптовалюта пропала навсегда.
Киберпреступники атаковали протокол кредитования DeFi Zeed. Им удалось похитить средства, воспользовавшись уязвимостью в коде. Взлом привел к тому, что цена криптовалюты YEED упала до нуля, а хакер получил прибыль в размере $1 млн.
Однако специалисты PeckShield сообщили , что злоумышленники не перевели средства после атаки, прежде чем вызвать функцию «самоуничтожения» скомпрометированного смарт-контракта. Таким образом, украденная криптовалюта пропала навсегда.
Уходим из-под радаров Интернета: методы сокращения цифрового следа
Безопасность – это всегда компромисс. Если речь идёт об информационной безопасности личности, то мы стоим на отрезке, на одном конце которого находится пользователь, связывающий всю свою жизнь с Интернетом и интегрирующим в него все свои действия. На другом конце отрезка находится человек, который не пользуется сетью Интернет. От каждого конкретного человека зависит, в каком месте отрезка он будет стоять и ближе к какому концу.
https://teletype.in/@onehellsus/7EaTarbnlW0
Безопасность – это всегда компромисс. Если речь идёт об информационной безопасности личности, то мы стоим на отрезке, на одном конце которого находится пользователь, связывающий всю свою жизнь с Интернетом и интегрирующим в него все свои действия. На другом конце отрезка находится человек, который не пользуется сетью Интернет. От каждого конкретного человека зависит, в каком месте отрезка он будет стоять и ближе к какому концу.
https://teletype.in/@onehellsus/7EaTarbnlW0
Teletype
Уходим из-под радаров Интернета: методы сокращения цифрового следа
Пассивный цифровой след (к нему относятся файлы cookie, информация о браузере, IP-адрес) сократить достаточно сложно. Так, если...
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Статья
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Статья