#crypto #education #recomendation

Наверняка среди моих подписчиков есть студенты, которым интересна тема криптографии.

Если бы я был преподом по криптографии, то выдал бы такие темы курсовых:

1. Исследование алгоритмов постквантового шифрования
2. Исследование алгоритмов электронного голосования
3. Исследование алгоритмов хеширования паролей в GNU/LINUX
4. Исследование алгоритмов хеширования паролей в MS Windows
5. Исследование алгоритмом конфиденциальных вычислений
6. Исследование приложений гомоморфного шифрования
7. Исследование приложений алгоритмов доказательства с нулевым разглашением
8. Исследование алгоритмов слепой подписи
9. Исследование механизмов атак на понижение безопасности протоколов
10. Исследование механизмов Chain of Trust в инфраструктуре открытых ключей
11. Исследование механизмов смартконтрактов 

Бтв, оставляйте в комментах темы, которые бы вы предложили студентам.

#recomendation #phishing #pentest #apt #redteam #blueteam

Мой коллега @wdd_adk, автор канала Cyber Security for All, собрал подборку фишинговых писем от различных APT-группировок в одном месте. Полезная инфа как для блютим, так и редтим. Что-то можно взять к себе на вооружение и использовать в реальных проектах по социотехническому тестированию.

А в качестве бонуса хочу поделиться классным инструментом для проведения фишинговых компаний - gophish. Один бинарь на Go для запуска, отличная документация, удобство использования, красивые графики, гибкость настройки - в общем всё необходимое уже под капотом. Советую взять на вооружение.

#recomendation #pentest

Хочу поделиться инфой про канал «Just Security». Личный блог. Люблю личные блоги.

Посвящён пентестам и построению защиты. Автор публикует информацию о ресерчах и трендах кибербезопасности, рассказывает про свой опыт и опыт ребят из компании Awillix. Я сам давно подписан на этот канал и иногда заглядываю.

Среди основных тем:
• техники защиты и взлома различных систем
• новости сферы кибербезопасности
• практические советы и обзоры инструментов
• видосики и мемасики по теме ИБ :)

Вот несколько крутых актуальных постов:

▫️ Познай свой Exchange сервер и OWA (какие недостатки и уязвимости могут существовать в Exchange и OWA)
▫️ С чего начать выстраивать процесс безопасной разработки (этапы и инструменты)
▫️ Как-то раз мы задумались про Endpoint Security (требования для защиты хостов в инфраструктуре)

#video #classes #yt #education

Еще пока не препод, но всё впереди :)

А пока делюсь со всем миром записями своих занятий!
За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать.

На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎

Делитесь видео с друзьями :)
Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.

#self #talk
Сегодня мне посчастливилось выступить с лекцией в стенах родного университета. Рассказывал молодым студентам-ИТшникам про компьютерную безопасность как профессию. Вот решил поделиться своей рефлексией.

Это выступление почему-то отличалось других, настолько привычных мне, ощущалось как-то иначе. В аудитории было ~50 человек и основную часть слушателей составляли студенты 1-2 курса, то есть ребята еще в самом начале своего пути. Но они были настолько активны, откровенны в своих вопросах и эмоциях. Ощущался здоровый интерес ко мне, как к спикеру. И вы не представляете насколько приятно видеть обратную связь в кивках, улыбках и поднятых руках. Одна из ключевых причин для выступлений. Признание.

Возможно, мне уже удалось прокачать навык публичных выступлений до определенного уровня и я могу заражать аудиторию своим позитивным настроем. Для меня публичные выступление - это возможность поделиться опытом, переживаниями, будто рассказать историю в компании товарищей.

В программе выступления я рассказал про свой личный опыт обучения в вузе. Подробный пост можно найти на канале в закрепе. Судя по реакциям ребятам зашло. Я был очень рад этому. Также рассказал о различных направлениях и профессиях в безопасности. Рассказал о CTF соревнованиях и о том, как они повлияли на мою жизнь, и многое другое.

В конце я раздавал мерч. Я выступал от лица компании и мы подготовили индивидуальные заданий. Совсем не сложные. Я был приятно удивлен, что студенты смогли решить 65-70% наших заданий. Это невероятно круто. А после мы мило и приятно пообщались с глазу на глаз, в тесном кругу, без рамок в виде слушатель/спикер. Я получил очень теплые и приятные эмоции от выступления. Надеюсь, я смог дать им заряд мотивации и зажечь в их сердцах огонь.

#vim #obsidian

Начал осваивать obsidian. Несколько месяцев им пользовался, но только в контексте конспектирования лекций. Но вдруг решил начать писать в нем отчеты по пентестам, заметки, ресерчи. Пока изучаю этот инструмент, очень радуют возможности и community плагины. Поделитесь своим опытом использования в комментариях. Очень интересно!

К посту прикрепляю картинку. Вы же знаете ответ на вопрос?

#talk #pentest

10 декабря буду выступать у коллег с темой по внутрянке. Рассмотрим основы :)

Расскажу о том, что делать и куда смотреть. Основная целевая аудитория коллег - это веберы, так что доклад рассчитан на новичков.

Уже через 40 минут, в 18:00 по Мск начинается мой доклад про внутрянку с точки зрения пентестера. Концептуально пробежимся по основным векторам.

Выше мем из слайдов. Люблю мемы :)

UPD: запись доступна по ссылке выше

#ad #pentest #kerberos #crypto

На канале Внутрянка вышла новая статья из цикла по атакам на керберос. На этот раз Автор разобрал PKINIT, расширение протокола Kerberos.

В статье довольно хорошо написано про криптографические основы расширения, и рассмотрены механизмы работы основных атак на PKINIT. Также приведены практические примеры реализации атак. В том числе и популярные ShadowCredentials и PassTheCertificate.

Очень рекомендую ознакомиться. Сам читал на одном дыхании :)

#info #content

Коллега по цеху Inguz опубликовал на канале пост на тему кражи контента без указания авторства.

Полностью согласен с Магой. Кража годного контента без указания авторства - это очень неприятно.

То же самое случилось со мной. Летом этого года моя вручную обновляемая подборка инфосек каналов разлетелась по комьюнити. Было невероятно приятно видеть обратную связь и в целом я люблю делиться инфой.

Но автор канала Gebutcher нагло крадет мою подборку без указания авторства (еще и недавно запостил обновленную версию). Он исключил меня из этого списка и забанил (Магу тоже). Если мои подписчики как-то могут повлиять на автора канала Gebuther, то буду очень признателен. Требую от создателя указания авторства краденых постов.

Расскажите в комментах, если тоже сталкивались с такими случаями.

Всем добра, позитива и свободно распространяемой информации :)

Пруфы:
* мой оригинальный пост с подборкой (13 мая), TGStat
* первая версия краденного поста (21 июня), TGStat
* вторая версия краденного поста (20 ноября), TGStat

С новым годом, котики ❤️

Желаю всем саморазвития, личностного и профессионального роста!

#laws #security #administration #wisdom

Недавно наткнулся на "10 незыблемых законов безопасности" с сайта мелкомягких.

Был приятно удивлен наличию столь простых, но настолько глубинных и мудрых истин:

Закон № 1: Если плохой парень может убедить вас запустить свою программу на вашем компьютере, это уже не ваш компьютер;
Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это уже не ваш компьютер;
Закон № 3: Если у плохого парня есть неограниченный физический доступ к вашему компьютеру, это уже не ваш компьютер;
Закон № 4: Если вы позволите плохому парню загружать программы на ваш сайт, это уже не ваш сайт;
Закон № 5: Слабые пароли разрушают стойкую безопасность;
Закон № 6: Компьютер всегда настолько же безопасен, насколько администратору можно доверять;
Закон № 7: Хранение зашифрованных файлов настолько безопасно, насколько безопасно хранения ключа расшифрования;
Закон № 8: Даже наличие антивируса с устаревшей базой данных лучше, чем отсутствие антивируса;
Закон № 9: Абсолютная анонимность практически нереализуема, будь то в сети или в реальной жизни;
Закон № 10: Технологии не являются панацеей.

И еще более интересно посмотреть на 10 законов безопасного администрирования:

Закон № 1: Никто не верит, что с ними может случиться что -то плохое, пока плохое не случилось;
Закон № 2: Безопасность работает только в том случае, если безопасность удобна;
Закон № 3: Если вы не будете планомерно применять патчи безопасности к вашей сети, то скоро эта сеть перестанет быть вашей;
Закон № 4: Это не очень хорошая практика устанавливать исправления безопасности на компьютере, который не был защищен с самого начала;
Закон № 5: Вечная бдительность - это цена безопасности;
Закон № 6: На самом деле даже сейчас есть кто-то, кто подбирает подобрать угадать ваши пароли;
Закон № 7: Самая безопасная сеть - это хорошо администрируемая сеть;
Закон № 8: Сложность защиты сети прямо пропорциональна ее размерам;
Закон № 9: Безопасность - это не про избегания риска, но управление рисками;
Закон № 10: Технологии не являются панацеей.

Выше мой вольный перевод. Советую обратиться к первоисточникам. Каждый пункт расписан более подробно.

#рeклама #мнение

Несколько раз ко мне в бота обращались потенциальные рекламодатели с просьбой опубликовать рекламу на канале и дать за это деньги. Передомной возник экзистенциальный вопрос.

С одной стороны, я готов рекламировать только годноту и то, что было бы интересно мне самому, но почему я должен брать за это деньги? Раз этот контент годный, то он должен распространяться без коммерческих условий. Думаю, что это работает только с некоммерческими проектами, но я не уверен.

С другой стороны, почему бы и не брать деньги за рекламу, если мне их предлагают? В любом случае рекламить буду только годноту, но дополнительная финансовая поддержка будет мотивировать меня пилить больше качественного контента. Это кажется логичным? Думаю, да.

Но мне интересно и ваше мнение. Как вы считаете? Я должен брать деньги за рекламу? Для меня это немного чуждо и многие партнерские посты я публиковал просто так.

Можете высказать свое мнение в комментариях или в опросе в комментариях

Также можете писать сюда для связи с одменом канала:
@pathsecure_bot

#анонс #ctf

Участвую в организации ивента по безопасности PermCTF23 в Перми.

Также буду спикером с темой по безопасности внутрянки.

Пермяки, регайтесь на конфу по безопасности. А если хотите опробовать свои силы, то регайтесь и на CTF!

Зовите друзей и знакомых :)

Что такое CTF?

#roadmap #security

На roadmap.sh наконец вышла карта для cybersecurity!

Очень приятно видеть некоторые выражения и концепции. Знаком с ~ 90% материалов. А у вас как?

Наконец можно будет скидывать новичкам что-то систематизированное😄

btw, там на сайте еще с десяток карт развития для разных специальностей. Чекните)

UPD: Ссылка на pdf

#password #security #paranoid #recomendation #crypto

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

#pentest #вебинар #info #recomendation

Сегодня в 18 по МСК коллеги из Awillix проведут вебинар на тему пентеста. В программе:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.

Интересно послушать опыт коллег и задать вопросы. Мало кто делится такой информацией. Ранее на канале коллеги публиковались информативные посты из серии "А как не надо делать пентест".

С днем полезных материалов 😄

Коллеги из Specter выпустили статью про лучшие практики DevSecOps. Зацените.

Несколько месяцев назад вместе с ребятами мы проводили митап DevTalks, посвященный теме безопасности. Вышло классно. Доклады можно найти в записи.

#self #nontech #softskills #share #publicspeech #ideas

Почему мне так нравятся публичные выступления?

Я вновь задумался об этом идя по улице после успешного проведённого мероприятия.

Недавно, в рамках федерального урока цифры, я рассказывал школьникам об угрозах безопасности для владельцев смартфонов. Уже на протяжении несколько лет Пермский Сетевой IT-университет (СИТУ) приглашает меня в качестве спикера на урок цифры. И я всегда с радостью соглашаюсь. Благодарен за возможность выступить.

Я уже рефлексировал на схожую тему здесь, но сегодня ощутил нечто другое. Мне посчастливилось выступать вторым по счёту, вслед за коллегой из Лаборатории Касперского, Андреем (важно отметить, что он подключался удаленно). Я уже видел материал Андрея заранее и мог более грамотно выстроить повествование, но в процессе выступления Андрея я начал сомневаться в своих слайдах. Мне показалось, что моя информация излишне техническая, но в то же время ощутил, что Андрей потерял внимание аудитории. Будто бы слушатели хотели слышать что-то новое помимо фишинга. И я решил положиться на интуицию (в прочем я бы уже ничего не изменил в своей презе). Для понимания, я говорил о таких вещах как: управление рисками, безопасность vs удобство, Linux/windows, open source software, альтернативные прошивки, дополнительные фичи безопасности. И интуиция меня не подвела.

Мне сразу удалось заполучить внимание аудитории. Возможно, некоторые лайфхаки уже неосознанно мной применяются. Я замечаю, что мой навык публичных выступлений уже прокачался до хорошего уровня, но я осознаю, что есть куда расти. Активная артикуляция, умение менять интонацию, умение подбирать слова - все это отлично помогает в публичных выступлениях. Ну, и, конечно, глаза и лица слушателей дают понять общее настроение. Умение подобрать слова, кстати, можно прокачивать, пытаясь объяснить сложные вещи простым языком. Чем больше нейронных связей вокруг определённой темы ты сформируешь, тем более свободно сможешь жонглировать смыслами. В этом и заключается понимание. Поэтому часто при проверке знаний просят объяснить "своими словами".

Обожаю включать мемы в слайды. Я фанат мемов и в повседневном общении. Ощущается, будто мемы помогают найти общий язык и активировать нейронные связи слушателей. Приятно и весело,, когда понял мем, но главное, чтобы самому было весело. Just for fun.

Ранее упоминал лайфхаки для выступлений, пишите, если хотите, чтобы я раскрыл эту тему подробнее. Штук 10 инсайтов смогу выдать.

Отдельно хочется отметить секцию вопросов После моего выступления было очень много вопросов и мы вышли за рамки времени. И это отличный показатель. Здесь супер важно уметь работать с молчаливой аудиторией. У меня заранее был подготовлен план на случай отсутствия вопросов Скорее, даже, план на раскачку аудитории, так как люди могут стесняться задавать вопросы. Я обожаю секцию ответов на вопросы, потому что здесь ты можешь более предметно передать свою экспертизу или даже почерпнуть что-то от аудитории. Здесь снова вспоминаем про жонглирование смыслами при ответах на вопросы. Вопросы могут быть разными: наивными, остроумными, провокационными. Здесь тоже нужен индивидуальный подход. Не забывайте о политкорректности.

В заключении моей небольшой рефлексии хочу ответить на изначальный вопрос. В ходе публичных выступлений можно получить признание и реализовать себя, собрать знания систематизированный пучок и передать их, зажечь чьи-то сердца и дать заряд мотивации. Всегда считал, что, если и удастся зажечь хотя бы одного человека, то старания уже оправданы, а горящих глаз я увидел множество.

Подъехали записи выступлений с BlackHat22!

Куча разных докладов про внешку, внутрянку, реверс, криптографию.

Из интересного в плейлисте:
- Уязвимости в Matrix;
- Атаки на ADFS
- Атаки на электрокары;
- Атаки на керберос RC4;
- Обход EDR;
- Атаки на смартконтракты;
- Обход WAF:
- Атаки на канальном уровне.