🔴 Уязвимости аутентификации | Безопасность web приложений.

• В этом ролике подробно описаны механизмы аутентификации, чем опасны их уязвимости и как можно их защитить. Также автор рассказывает, как работают механизмы аутентификации и разбирает на примерах прохождение лаб на платформе — https://portswigger.net/web-security

• 0:00 — уязвимости аутентификации;
• 0:22 — аутентификация это / типы аутентификации;
• 1:30 — как возникают уязвимости / последствия уязвимостей;
• 2:16 — как используются уязвимости на практике / Лаба 1;
• 6:18 — как используются уязвимости на практике / Лаба 2;
• 8:45 — как защитить механизмы аутентификации;
• 10:32 — где проходить лаборатории.

➡️ https://youtu.be/lWYJ1vD9OEM

#web

🎙 Подкасты на тему информационной безопасности.

• ИБ-подкасты помогут Вам прокачать профессиональные навыки, узнать последние новости, сориентироваться в индустрии и получить много новых знаний в данной сфере.

• Hack me, если сможешь — подкаст о современных киберугрозах и защите от них, созданный при поддержке Positive Hack Days — одноименного ИБ-форума.

• Смени пароль! — разговорное шоу от экспертов «Лаборатории Касперского» о расследовании киберпреступлений и актуальных угрозах кибербезопасности.

• Security Stream Podcast — новости и тенденции кибербезопасности, интервью с известными ИБ-экспертами, обсуждение взломов и методов защиты бизнеса.

• Security Vision — подкаст компании «Интеллектуальная безопасность». Обзоры различных средств информационной безопасности и публикаций MITRE.

• Информационная безопасность — проект одноименного журнала и сайта ITSec.ru. Представляет собой аудиоверсии избранных статей, зачитанные роботом.

• Кверти — шоу студии Red Barn, в котором обсуждают ИБ и в доступной форме объясняют, как противостоять интернет-мошенникам.

• Схема — подкаст Т-Ж в котором разоблачитель мошенников с 15-летним стажем погружается в реальные истории обманутых героев и препарирует схемы аферистов.

• F.A.C.C.T. — волнующие расследования, захватывающие истории о хакерах и практические советы экспертов по цифровой гигиене.

#Подкаст #ИБ

• В Twitter пишут, что причиной медленного интернета в юго-восточной азии является акула, которая погрызла кабель. На самом деле, это не совсем так:

• 12 лет назад на ютуб было выложено видео, где небольшая акула «атакует кабель» — кусает, проплывая мимо. Из этого единственного видео раздули невероятных масштабов беду, вплоть до того что некоторые стали утверждать, что Интернет ежедневно подвергается нападениям тысяч акул. На деле сейчас их доля в повреждении кабелей меньше одного процента.

• Акулы действительно кусают магистральные кабеля и любое другое оборудование, находящееся под водой в местах, где они проплывают. Почему — точно никто не знает. Есть теория, что акул привлекает электромагнитное излучение. По всему телу акулы находятся ампулы Лоренцини — заполненные желеобразным слизистым веществом трубочки-каналы, в основном находящиеся возле рыла и пасти. Эти трубочки улавливают даже очень слабые сигналы вокруг акулы, позволяя ей точно "наводиться" на добычу даже в мутной воде, потому что живые существа испускают слабые электромагнитные волны. Их испускает и работающая электроника.

• Другая теория, более приземлённая — акулы просто любят кусать всё, что попадётся им на глаза, потому что они любопытны и им интересно, вкусная ли эта длинная лежащая на дне штука. Оказывается что нет, акула плывёт дальше, иногда оставляя пару застрявших в изоляции зубов. По той же причине акулы обычно кусают людей всего раз во время «нападений»: они набрасываются на людей с целью съесть только если очень голодны или перепутали их с чем-то съедобным и привычным. Поняв ошибку после первого укуса акула уплывает, а дайвер остаётся без ноги🤷‍♂

• Лет 20-30 назад любопытство акул действительно было большой проблемой (именно поэтому статьи об уничтожающих ваш Интернет злобных акулах в качестве источника ссылаются на статьи из восьмидесятых), но сейчас магистральные кабеля упаковывают в многослойную защиту, в том числе из кевлара, которую рыбы без серьёзных усилий прокусить не могут. Самая популярная причина поломки лежащего на дне кабеля — упавший на него сверху и зацепившийся якорь от проплывающего сверху судна. Следующая по популярности — всевозможные морские происшествия вроде подводных землетрясений.

➡ https://youtu.be/YZvt6EQWtQ8

#Разное

👩‍💻 K8s LAN Party.

• K8s LAN Party — это набор из пяти CTF-сценариев, в которых пользователю нужно найти уязвимости в кластере #Kubernetes. Каждый сценарий посвящен проблемам сети Kubernetes, с которыми сталкивались разработчики данного ресурса в реальной практике.

• Инструмент поможет участникам углубить свои знания в области безопасности кластера Kubernetes: у них будет возможность встать на место злоумышленников и изучить ошибки в конфигурациях, что пригодится в работе.

• В K8s LAN Party кластер уже развернут. Игроку нужно лишь выполнять команды в терминале прямо в браузере: https://www.k8slanparty.com

#CTF

📖 OpenContacts.

• Речь пойдет о приложении на #Android, которое представляет собой изолированный справочник контактов. Данное решение будет интересно тем, кто обеспокоен вопросами приватности и анонимности, безопасности своих контактов и не хочет светить данную информацию сторонним приложениям.

• Суть заключается в том, что если мы запишем контактны в этой тулзе, то ни одно приложение на смартфоне не получит к ним доступ (пока сами не разрешите). Это приложение сохраняет контакты в собственной базе данных отдельно от контактов Android. К слову, приложение имеет открытый исходный код и поддерживается разработчиками.

➡ Скачать можно отсюда: https://f-droid.org/

#Android #Приватность

🤖 В США учитель физкультуры использовал ИИ, чтобы уволить директора школы.

• Учитель физкультуры в американском городе Пайквилл, штат Мэриленд, использовал сервис для клонирования голоса на базе искусственного интеллекта, чтобы скомпрометировать и уволить директора школы, сообщила газета Baltimore Banner. Полиция арестовала злоумышленника.

• Преподаватель создал аудиозапись, имитирующую голос директора школы Эрика Эйсверта, и распространил её в социальных сетях в январе текущего года. Запись содержала расистские и антисемитские заявления.

• Появление этого аудиофайла привело к отстранению директора от работы. Однако запись вызвала подозрения у полиции, поскольку не содержала фоновые шумы, паузы и звуки дыхания.

• Правоохранительные органы установили, что запись сделал учитель физкультуры школы Дажон Дариен, имя которого упоминалось в сгенерированном аудиофрагменте. По данным WBAL 11 и NBC News, он получил доступ к школьным компьютерам, которые содержали «инструменты OpenAI и службу Microsoft Bing Chat». Для получения аудиозаписи Дариен указал свою электронную почту и номер телефона.

• Полиция установила, что Дариен хотел отомстить Эйсверту, поскольку последний проводил расследование потенциального нецелевого расходования школьных средств. В итоге учителю предъявили обвинения за растрату, нарушение работы школы и преследование.

• На фоне роста случаев неправомерного использования сервисов генерации голоса на базе ИИ OpenAI ограничила применение своей платформы искусственного интеллекта для преобразования текста в голос — Voice Engine. Сервис позволяет клонировать голос по 15-секундной аудиозаписи.

➡️ Источник.

#Новости

👨‍💻 Pwning the Domain: Persistence.

- Group Policy;
- Tickets;
- Silver Ticket;
- Golden Ticket;
- Diamond Ticket;
- Sapphire Ticket;
- Golden Certificate;
- AdminSDHolder;
- GoldenGMSA;
- SID History;
- DC Shadow;
- How does it work;
- How to create skeleton key;
- What is DSRM;
- How does it work;
- How to create Persistence using DSRM;
- Patching the Registry;
- Pass the DSRM Hash;
- How does it work;
- Registry patching using mimilib.dll;
- Lsass Memory Patching using memssp.

#Пентест

👩‍💻 Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.

Работа с объектами:
- Просмотр структуры объектов;
- Выбор частей объектов;
- Удаление объектов из конвейера;
- Сортировка объектов;
- Создание объектов .NET и COM;
- Использование статических классов и методов;
- Получение объектов WMI с помощью Get-CimInstance;
- Прямое управление элементами.

Управление компьютерами:
- Изменение состояния компьютера;
- Сбор информации о компьютерах;
- Создание запросов Get-WinEvent с помощью FilterHashtable.

Управление процессами и службами:
- Управление процессами при помощи командлетов Process;
- Управление сервисами;
- Работа с принтерами;
- Выполнение задач по работе с сетями;
- Работа с программами установки программного обеспечения;
- Декодирование команды PowerShell из выполняемого процесса.

Работа с выходными данными:
- Перенаправление выходных данных;
- Использование команд Format для изменения представления вывода.

Управление дисками и файлами:
- Управление текущим расположением;
- Управление дисками PowerShell;
- Работа с файлами и папками;
- Работа с файлами, папками и разделами реестра;
- Работа с записями реестра;
- Работа с разделами реестра.

Создание элементов пользовательского интерфейса:
- Создание настраиваемого поля ввода;
- Создание графического элемента управления "Выбор даты";
- Списки с множественным выбором;
- Выбор элементов из списка.

#PowerShell

‼ На GitHub опубликован исходный код MS-DOS 4.00 под лицензией MIT.

• 26 апреля 2024 года разработчики из Microsoft в сотрудничестве с энтузиастами из IBM опубликовали на GitHub исходный код MS-DOS 4.00 под лицензией MIT.

• Десять лет назад Microsoft предоставила исходный код MS-DOS 1.25 и MS-DOS 2.0 Музею компьютерной истории в Калифорнии, а затем переиздала его для справочных целей в открытом доступе на GitHub. Этот код занимает важное место в истории и представляет собой увлекательные знания об операционной системе, которая была полностью написана на ассемблере для Intel 8086 почти 45 лет назад.

• За версиями DOS 4.0 стоит довольно сложная и увлекательная история, поскольку Microsoft сотрудничала с IBM в части кода, но также создала ветку DOS под названием Multitasking DOS, которая не получила широкого распространения.

• Выпуск MS-DOS 4.0 примечателен возможностью использования графического интерфейса и мыши, поддержкой дисковых разделов больше 32 МБ (до 2 ГБ), добавлением файлового менеджера DOSSHELL, поддержкой EMS (Expanded Memory Specification), командами FASTOPEN и FASTSEEK.

• Исследователь Коннор Хайд недавно переписывался с бывшим техническим директором Microsoft Рэем Оззи по поводу некоторых программ из его коллекции. Среди своих дискет Оззи нашёл неизданные двоичные файлы бета-версии DOS 4.0, которые ему прислали, когда он работал в Lotus.

• Хайд обратился в подразделение по выпуску программ с открытым исходным кодом Microsoft (OSPO) для изучения возможности выпуска исходного кода DOS 4, поскольку он работает над документированием связи между DOS 4, MT-DOS и тем, что в конечном итоге стало OS/2.

• Некоторые более поздние версии этих двоичных файлов Multitasking DOS можно найти в интернете, но новые бинарные файлы из архива Оззи кажутся намного более ранними, неизданными и также включают исходный код от команды IBM.

• Энтузиаст ретро ПК и компьютерной истории Скотт Хансельман с помощью интернет-архивиста и энтузиаста Джеффа Спонаугла сделал копии этих оригинальных дисков от Оззи и отсканировал все оригинальные печатные документы, которые достаточно хорошо сохранились. Разработчики из Microsoft и IBM считают, что это увлекательная часть истории операционных систем, которой стоит поделиться.

• Разработчик Джефф Уилкокс с помощью команды OSPO обратился к архивам Microsoft, и, хотя им не удалось найти полный исходный код MT-DOS, они обнаружили там исходный код сборок MS DOS 4.00, которую им разрешили выпустить в открытый доступ, а также дополнительные двоичные бета-версии и PDF-файлы с документацией и образы дисков. Энтузиасты пообещали, что продолжат исследовать архивы Microsoft и, возможно, обновят этот выпуск, если обнаружат что-то ещё.

➡ https://youtu.be/YPPNbaQaumk

➡ Источник.

#Разное

📶 Интерактивное описание таблиц iptables.

• Iptables - это мощный инструмент управления сетью в Linux, который позволяет администраторам управлять входящими и исходящими пакетами данных. Это основной инструмент для настройки межсетевых экранов в системах #Linux.

➡️ Наглядная демонстрация и подробное описание каждого шара доступно по ссылке: https://zersh01.github.io/iptables_interactive_scheme/

#iptables

🖥 50 лет первой операционной системе для персональных компьютеров.

• В 1974 году первопроходец ПО для PC Гэри Килдалл (на фото) продемонстрировал в Пасифик-Гроув, Калифорния, первую коммерчески успешную операционную систему для персонального компьютера — CP/M.

• В этой статье поговорим о том, как его компания Digital Research Inc. превратила CP/M в отраслевой стандарт, а позже проиграла версии ОС от Microsoft, скопировавшей внешний вид и стиль ПО DRI.

➡️ https://habr.com/ru/post/811043/

#Разное

📦 puter.

• 3 месяца назад делился с Вами интересным ресурсом, который предназначен для запуска ОС прямо в браузере. Так вот, недавно нашел интересный проект на GitHub для запуска ОС прямо в браузере и был приятно удивлен тому, какой функционал в ней реализован. Тут Вам и офисные инструменты, игры, открытый исходный код и бесплатное использование:

➡️ https://puter.com/
➡️ https://github.com/HeyPuter/puter

#Разное

👩‍💻 Oh My Git.

• Поделюсь с Вами достаточно увлекательной и, самое главное, полезной open source игрой для изучения GIT. Тут Вам и отдельный режим для новичков (в виде карточек) и для продвинутых пользователей (в терминале), можете даже создавать свои собственные уровни. В общем и целом, игра действительно полезная: Вы подключаете реальный репозиторий, изучаете и выполняете команды, наблюдаете результат в режиме реального времени.

➡️ https://ohmygit.org

• Дополнительно:

- Базовый курс по Git;
- Бесплатная книга Pro Git.

#Git