• История обнаружения XSS-уязвимости на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com
#ИБ #web
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾11👍9👎1
Forwarded from SecAtor
Нет, 3 миллиона электрических зубных щеток не использовались в DDoS-атаке на швейцарскую компанию.
Увы, это случилось только в бурных фантазиях ряда ТГ-каналов.
Завирусившуюся новость о заражении устройств вредоносным ПО Java со ссылкой на исследователей Fortinet выдал на прошлой неделе швейцарский новостной портал Aargauer Zeitung.
В связи с чем, авторы поспешили с опровержением, заявляя о том, что инцидент является гипотетическим сценарием, а не реальной DDoS-атакой, о которой на самом деле в оригинале даже не упоминалось.
В свою очередь, Fortinet опровергла любые версии об атаке и рассматривает приведенный гипотетический сценарий вырванным из контекста.
Тема DDoS-атак с задействованием электрощеток была представлена как иллюстрация конкретного типа атаки, которая не основана на каких-либо реальных исследованиях Fortinet или FortiGuard Labs.
FortiGuard Labs также сообщили об отсутствии IoT-ботнетов, нацеленных на зубные щетки или аналогичные встроенные устройства.
Вообще, даже сомнительно, что 3 миллиона электрических зубных щеток будут доступны в Интернете., поскольку вместо прямого подключения к сети задействуют Bluetooth для взаимодействия с мобильным приложениям.
В этом случае, описанный массовый взлом мог быть осуществлен только посредством атаки на цепочку поставок, в результате которой на устройства была доставлена вредоносная прошивка, чего в реальности не произошло.
В противном случае инцидент имел совсем иные контуры.
Тем не менее, учитывая прогнозы Statista о достижении показателя в 17 миллиардов подключенных к глобальной сети IoT-устройств к концу 2024 года, история с зубными щетками является хорошим напоминанием о необходимости обеспечения надежных мер их защиты как со стороны поставщиков, так и рядовых пользователей.
Увы, это случилось только в бурных фантазиях ряда ТГ-каналов.
Завирусившуюся новость о заражении устройств вредоносным ПО Java со ссылкой на исследователей Fortinet выдал на прошлой неделе швейцарский новостной портал Aargauer Zeitung.
В связи с чем, авторы поспешили с опровержением, заявляя о том, что инцидент является гипотетическим сценарием, а не реальной DDoS-атакой, о которой на самом деле в оригинале даже не упоминалось.
В свою очередь, Fortinet опровергла любые версии об атаке и рассматривает приведенный гипотетический сценарий вырванным из контекста.
Тема DDoS-атак с задействованием электрощеток была представлена как иллюстрация конкретного типа атаки, которая не основана на каких-либо реальных исследованиях Fortinet или FortiGuard Labs.
FortiGuard Labs также сообщили об отсутствии IoT-ботнетов, нацеленных на зубные щетки или аналогичные встроенные устройства.
Вообще, даже сомнительно, что 3 миллиона электрических зубных щеток будут доступны в Интернете., поскольку вместо прямого подключения к сети задействуют Bluetooth для взаимодействия с мобильным приложениям.
В этом случае, описанный массовый взлом мог быть осуществлен только посредством атаки на цепочку поставок, в результате которой на устройства была доставлена вредоносная прошивка, чего в реальности не произошло.
В противном случае инцидент имел совсем иные контуры.
Тем не менее, учитывая прогнозы Statista о достижении показателя в 17 миллиардов подключенных к глобальной сети IoT-устройств к концу 2024 года, история с зубными щетками является хорошим напоминанием о необходимости обеспечения надежных мер их защиты как со стороны поставщиков, так и рядовых пользователей.
Statista
IoT connected devices by vertical 2034| Statista
The consumer sector is anticipated to dominate in terms of number of Internet of Things (IoT) connected devices in 2034, with over 24 billion connected devices worldwide.
🤡18👍12🤣6❤3👌3⚡2🤯1
• Reconnaissance;
• DHCP;
• DNS;
• NBT-NS;
• Responder analyze mode;
• LDAP;
• RPC;
• SMB null session;
• Finding usernames;
• SMB;
• RPC;
• LDAP;
• Kerberos;
• What is LLMNR/NBTNS/MDNS Poisoning;
• How to Perform LLMNR/NBTNS poisoning via SMB;
• What is ARP Spoofing (Address Resolution Protocol);
• How Does the attack works?
• What is DNS poisoning;
• What is DHCP Poisoning?
• How Does the attack works?
• What is WSUS Poisoning;
• What is ASREPRoasting;
• How Does this attack works?
• Net-NTLM relay Attacks;
• MS SQL Relay Attack;
• ASREPRoasting;
• Bruteforcing;
• Vulnerabilities;
• ProxyShell;
• ProxyLogon;
• EternalBlue;
• SMBGhost;
• Zerologon;
• PetitPotam;
• Reference.
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥10🍾5
• Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP).
- Basics;
- Information Gathering;
- Vulnerability Analysis;
- Web Application Analysis;
- Database Assessment;
- Password Attacks;
- Exploitation Tools;
- Post Exploitation;
- Exploit Databases;
- CVEs;
- Payloads;
- Wordlists;
- Social Media Resources;
- Commands.
#OSCP #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍9👏4
infosec
• Клиент Тинькофф, ранее заявивший, что с его счета вывели средства с помощью дипфейка, получил деньги назад.
• На деле причиной неприятной ситуации оказался человеческий фактор, а именно техническая ошибка сотрудника, которую мошенники использовали для получения доступа к личному кабинету и снятию средств.
• Банк провел расследование, возместил клиенту украденные мошенниками 200 тыс. рублей и выплатил компенсацию. Сотрудника, допустившего ошибку, отправили на переподготовку.
➡ https://habr.com/post/792380/
#Новости
• На деле причиной неприятной ситуации оказался человеческий фактор, а именно техническая ошибка сотрудника, которую мошенники использовали для получения доступа к личному кабинету и снятию средств.
• Банк провел расследование, возместил клиенту украденные мошенниками 200 тыс. рублей и выплатил компенсацию. Сотрудника, допустившего ошибку, отправили на переподготовку.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39🎉8🤔5🍾2❤1
• В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2024 году.
#AD #Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡17👍8🔥7❤4
• Предлагаю ознакомиться с увлекательными кейсами последних лет, которые показывают, что социальная инженерия по-прежнему представляет собой серьезную угрозу — возможно, даже большую, чем когда-либо.
#СИ #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡16👍8
Please open Telegram to view this post
VIEW IN TELEGRAM
😁127🔥12❤6👍3👾2👏1🌚1😴1
• Course Introduction;
• Hello World;
• Variables;
• Basic Math;
• If Statements;
• Exit Codes;
• While Loops;
• Universal Update Script;
• For Loops;
• Where to Store Scripts;
• Data Streams;
• Functions;
• Case Statements;
• Scheduling Jobs (Part 1);
• Scheduling Jobs (Part 2);
• Arguments;
• Backup Script;
• Closing/Next Steps.
Дополнительно:
• Bash Tips and tricks;
• Малоизвестные трюки с перенаправлениями в bash;
• Bash-скрипты, руководство в 11 частях;
• Introduction to Bash Scripting;
• Bash Cheat Sheet: Tips and Tricks for the Terminal;
• Bash Introduction for Hackers.
#bash
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24👍13
• Объемная инструкция по настройке собственной IPv6 сети (от получения собственной подсети до настройки сети на виртуальном сервере). Хорошая статья для тех, кто изучает и интересуется сетями (и не только):
• https://www.qovery.com/blog/build-your-own-network-with-linux-and-wireguard/
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥7
This media is not supported in your browser
VIEW IN TELEGRAM
• Почему бы и нет? Парнишка реализовал игру в змейку на коммутаторах UBNT. Если кому интересно, то код опубликован вот тут: https://github.com/adamjezek98/ubnt-etherlighting
• Самая дорогая "консоль" в его жизни))
#Разное
• Самая дорогая "консоль" в его жизни))
#Разное
😁111🔥36👍26🤡3🗿2❤1👎1🤝1
• У всех, кто интересуется и изучает сети, должен быть свой awesome-лист с полезностями. Эта подборка включает в себя множество источников, которые помогут Вам освоить данную тему:
- Комьюнити и саппорты по вендорам;
- Чаты и каналы по сетям (Telegram);
- Сетевые чаты;
- Беспроводные чаты;
- Каналы по сетям;
- Каналы по wireless;
- Чаты и каналы по автоматизации (Telegram);
- Чаты по автоматизации;
- Каналы по автоматизации;
- Авторские блоги;
- Полезные Github-репозитори;
- Полезные боты;
- Подкасты.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29🔥7💩2
• Первые персональные компьютеры производства Apple завоевали заслуженную популярность, прежде всего, потому, что отличались сравнительно невысокой стоимостью в сочетании с надежностью и широкими для своего времени возможностями. Так, семейство ПК Apple II захватило лидирующие позиции на рынке персоналок, поскольку в качестве конкурентов для них выступали разве что TRS-80 и Commodore PET, уступавшие продукции Джобса и Возняка по всем фронтам. Однако все изменилось с выходом на рынок Apple III.
• Эта машина, появившаяся в 1980 году в качестве наследника Apple II, обладала поистине уникальной характеристикой — стопроцентной ненадежностью. Ломались и требовали ремонта практически все поступившие в продажу компьютеры, из-за чего, по словам самого Джобса, «Apple потеряла бесконечные, неисчислимые суммы денег».
• Проблема скрывалась в системе охлаждения: микросхемы перегревались на плате, а на дисплее отображался искаженный и нечитаемый текст. Первопричиной же всего этого безобразия стало то, что архитектуру данной модели проектировщикам диктовали маркетологи — на Apple III отсутствовали шумные вентиляторы охлаждения, а очень плотная компоновка плат в компактном корпусе (очертания которого придумал сам Стив Джобс и категорически запретил инженерам что-либо менять) не способствовала теплоотводу.
• Фактически этот компьютер поставил производителя на грань разорения, и спустя три года персоналки от IBM основательно потеснили Apple на рынке «домашних» компьютеров. После провала Apple III многие инженеры, работавшие над этой машиной, покинули компанию, что сильно сказалось не только на ее репутации, но и на технологическом потенциале.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39🔥10❤6👏4😁2🤔2👎1💩1
• https://dfedorov.spb.ru/edu/ — очень объемная "дорожная карта", которая поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥38👎7❤3👍3
• Kubernetes authentication principles;
• Internal Kubernetes authentication methods;
- Static token authentication;
- Bootstrap tokens;
- X.509 client certificates;
- Service account tokens;
• External authentication methods;
- OpenID Connect (OIDC);
- Webhook token authentication;
- Authenticating proxy;
- Impersonating proxy;
• Authentication for other Kubernetes components;
- Kubelet;
- Controller manager and scheduler;
- Kube-proxy;
- Etcd;
• Conclusion.
#Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾16👍5
• Автор этого репозитория собрал реальные переписки с вымогателями за последние годы и разделил материал по группировкам. Посмотрите, как общаются хакеры в чатах с жертвами:
• Дополнительный материал:
#Ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾15👍6❤5🔥3
👤 Можно ли оставаться анонимным внутри государства, которое закрыло весь внешний Интернет?
• Существующие популярные анонимные сети, подобия Tor или I2P, хороши своим прикладным использованием, а также относительно хорошей скоростью и лёгкостью настройки. Они также хороши и непосредственно в анонимизации трафика, когда нам необходимо скрыть истинную связь между отправителем и получателем, основываясь на принципе федеративности, то есть на свойстве, при котором узлы сети расположены в разных государствах, а сама цепочка маршрутизации проходит сквозь множество несвязанных между собой узлов.
• Но что делать, если государство единственно, как выстраивать маршруты в целях анонимизации, если нет никакого сетевого доступа в другие государства? Что делать, если все доступные государства находятся в своеобразном картеле, где сам принцип федеративности теряет свой основной замысел?
➡️ https://habr.com/post/753902/
#Анонимность
• Существующие популярные анонимные сети, подобия Tor или I2P, хороши своим прикладным использованием, а также относительно хорошей скоростью и лёгкостью настройки. Они также хороши и непосредственно в анонимизации трафика, когда нам необходимо скрыть истинную связь между отправителем и получателем, основываясь на принципе федеративности, то есть на свойстве, при котором узлы сети расположены в разных государствах, а сама цепочка маршрутизации проходит сквозь множество несвязанных между собой узлов.
• Но что делать, если государство единственно, как выстраивать маршруты в целях анонимизации, если нет никакого сетевого доступа в другие государства? Что делать, если все доступные государства находятся в своеобразном картеле, где сам принцип федеративности теряет свой основной замысел?
#Анонимность
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔20👍10❤4
• Один из многочисленных сервисов для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍55❤6🔥6💊1
• Интересная статья о приоритетах процессов в Linux, о работе ядра c приоритетами, и о том какие инструменты можно использовать для просмотра информации о приоритетах:
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥6⚡3
• Будьте внимательны, в App Store есть несколько фейковых приложений "Тинькофф" банка. Не устанавливайте и не вводите свои данные. Официальное приложение удалено и недоступно в App Store.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝54🤣19👍17😱14😁11🤔2