#security #networking #traidoff #joke

"Сети создаются для Безопасности. Безопасности людей, который пользуются Сетями"

Товарищ поделился очень жизненным видео, описывающим извечную борьбу между безопасностью и удобством.

Коллеги безопасники, учитывайте особенности вашей инфраструктуры!
Коллеги сетевики, учитывайте, что вашу инфраструктуру нужно защищать!

https://www.youtube.com/watch?v=sMlVfdE34-Y&feature=youtu.be

#pentest #security #recommendation

Предлагаю ознакомиться с группой друзей канала.

Записки пентестера. Авторские статьи, тестирование на проникновение, разбор методов атаки и защиты от киберугроз.
@infobes https://xn--r1a.website/infobes

#security #risks #article #habr #theatre

Цепляющая за живое статья о "театре безопасности" в РЖД.

Очень советую к прочтению.

#meme #security #networking #web #bestpractice #waf

Годный получился мем. Делал его 40 минут. Внутри стеганографическое послание, если телеграм его не потер :)

PS: Потер. В комментах к посту оставил файл

PSS: Отпишите в бота, если достали инфу :)

#security #proxy #networking #ad

Давно не было постов. Последние несколько месяцев изучают безопасность виндовой инфраструктуры. И вот совсем недавно столкнулся с интересным кейсом о том, как халатное отношение к внутренней конфигурации инфраструктуры и банальная лень могут привести к компрометации всей корпоративной сети. Решил написать об этом.

Если вы когда-нибудь изучали безопасность виндовых локалок, то наверняка пользовались инструментом Responder. Это довольно удобный и мощный инструмент. В его состав входит возможность отравления запросов к wpad.local - автоконфигурации прокси.

Опытный безопасник наверняка уже понял в чем суть, однако этот пост для молодых специалистов. Поэтому расскажу как это работает и что собственно потенциальный злоумышленник может сделать.

Proxy Auto Configuration (PAC) - очень удобный инструмент, который позволяет с лёгкостью настроить корпоративный прокси сервере для балансировки нагрузки, фильтрации контента и многое другое, но в IT существует извечный конфликт между безопасностью и удобством.

Получить wpad.dat файл можно несколькими способами. Операционная система делает это автоматически:
[1] От DHCP сервера
[2] Через широковещательный запрос к wpad.local
[3] Через запрос к доменному имени wpad.example.com

Именно третий случай был в моём кейсе. Примечательно, что в инфраструктуре заказчика происходила утечка доменного имени из Active Directory. Именно это и послужило вектором атаки. ADшка была настроена на доменное имя лет 5-6 назад. Но к сожалению про это доменное имя забыли. Его аренда истекла и нас удалось взять его под контроль.

Какого же было наше удивление, когда в логах веб сервера мы стали замечать обращения за файлом wpad.dat. После этого смело можно было утверждать о наличии утечки домена.

Помимо того, что пользователи из локальный сети отдавали свои NetNTLMv2 хеши при попытке получить wpad.dat (а в хеше логин и пароль пользователя), нам также удалось навязать пользователям свой прокси сервер через специальный файл конфигураций. Мы просто дали им то, что они хотели :)

Далее появилась возможность перехватывать трафик, идущий из локальной сети через наш прокси. Такие дела.

#security #hardening #linux

Крутой гайд по обеспечению безопасности GNU/Linux систем.

Написано для arch-based дистрибутивов, но указанные на данной странице методы являются лучшими практиками и должны работать почти на каждом дистрибутиве.

#podcast #security

Давно хотел написать пост про подкасты, которые я слушаю. Конечно, я не ограничиваюсь темами IT/Security, но всё-таки хочется соответствовать тематике канала. Поэтому ниже публикую свои любимые подкасты. Советую ознакомиться с каждым из них!

7 Minute Security:
7 Minute Security is a weekly information security podcast focusing on penetration testing, blue teaming and building a career in security. The podcast also features in-depth interviews with industry leaders who share their insights, tools, tips and tricks for being a successful security engineer.

> Мой любимый подкаст про пентесты. Автор невероятно позитивный и интересный. Во много вдохновил меня писать свои подкасты.

- Website
- RSS

Мимокрокодил:
Подкаст про Информационную Безопасность, где три специалиста вмест рассуждают о куче вещей, в которых ничего не понимают.
В главных ролях: Денис Рыбин - twitter.com/_ttffdd_, Егор Карбутов - twitter.com/shikarisenpai, Кирилл Воробьев - twitter.com/whitel1st

> Интересный подкаст про секурити от от специалистов из топовых Российских компаний

- Website
- RSS
- TG

Запуск Завтра:
Подкаст о технологиях, меняющих нашу жизнь. Самат Галимов – человек, который решает проблемы. Он работает техническим директором и все время должен находить общий язык с людьми самых разных профессий и помогать им понять друг друга. Хакеры рассказывают ему про безопасность, дата-сайентисты – про машинное обучение и системы распознавания лиц, разработчики – про то, как сделать сервис, которым будут пользоваться миллионы, и не облажаться. Слушайте их разговоры в новом подкасте студии Либо/Либо.

> Подкаст не совсем про секурити, но в каждом выпуске очень много информации о современных технологиях и о том как они работают.

- Website
- RSS
- TG

SDCast:
Подкаст о разработке ПО и его окрестностях

> Совсем недавно узнал об этом подкасте. Очень зашли последние выпуски про AppSec и API.

- Website
- RSS
- TG

Базовый блок:
Подкаст о блокчейн-технологиях.

> Давно слежу за этим подкастам. Слушал его, когда начал изучать принципы работы блокчейна биткоина. Очень классный подкаст. Автор понятно раскладывает всё по полочкам.

- Website
- RSS
- TG

Cybersecurity Architecture Podcast:
Cybersecurity Architecture Podcast aims to help security professionals to rethink their approach to infosec design and simplify their decision-making process while they face the overcrowded innovative cybersecurity market.

> Слушал этот подкаст когда начал изучать тему ZTNA (Zero Trust Network Architecture). Англоязычный подкаст, но довольно интересно послушать о последних продуктах и решениях

- Website
- RSS

Какие еще подкасты по безопасности можете порекомендовать? Пишите в комментарии!

BTW: Для прослушивания подкастов использую AntennaPod на андроид. Обожаю это приложение.

#meme #security #joke

Сделал еще один мем про секурити. На этот раз Shadow IT.

Подготовил его для завтрашнего выступления на конференции КодИБ в Перми. Регайтесь и приходите)

Буду вещать про практику пентестов

BTW: предыдущий мем

UPD: Зацените мой спич в 2019 году

#recomendation #security #pentest

Меня тут в телевизоре показывают.

Рассказываю про пентесты на митапе @DC7342

#pentest #education #security #codib #talk

Долгожданная запись ИБшногоДвижа с CodeIB.

Рассказываю про такие вещи как:
- CTF соревнования как геймификация ИБ
- Формирование локальных сообществ с целью обмена опытом
- Мой опыт проведения занятий со студентами
- Методы получения информации (статьи, подкасты, каналы)

Благодарю коллег за хорошую работу :)

PS: ссылка на пост про высшее образование в ИБ и альтруизм
PSS: в ближайшее время сформирую список моих источников знаний

#security #microservice #article #science

Решил залить на хабр свою статью по теме магистерской диссертации. Материал мне показался довольно интересным. Хочется сразу предупредить, что я пентестер, а не разработчик, и тем более не архитектор. Поэтому кому-то содержание статьи может показаться банальным или вовсе неверным. Но мне интересно исследовать научные вопросы обеспечения авторизации в микросервисной архитектуре. Буду рад любой конструктивной критике или дополнениям в комментариях. Впереди анализ концепции #ZeroTrust, построение лабораторного стенда и формирование методики.

PS: С докладом буду выступать 8 июня на ВУЗовской конференции АСУИТ-22.

#pentest #security #competence

Просто оставлю это здесь. Очень хороший док от DeteAct. C указанием матрицы компетенций для внутрянщика и вебера по уровню от intern до principal. Сам ориентируюсь на этот документ для дальнейшей прокачки. Документ довольно условный, но позволяет прикинуть что учить и как развиваться.

PS: В комментах будет исходный док


UPD 23.08.2024 вот еще одна из канала Purple Bear:
https://docs.google.com/document/d/1Cu2e-zWtOV4lCZNSLZbka5b9imcST7hNvLPxcAaENoo/edit

#подкаст #security #network #pentest #talk #internal

Привет! В эфире шестой (sic!) выпуск подкаста PathSecure. Сегодня наш гость пентестер внутрянки из Ирака - @adhamamaad7. Подкаст полностью на английском языке :)

Затронули множество тем: от детства, первого образования, рэп музыки до опенсорса и самореализации.

В первых комментариях будут шоуноуты. Также оставляйте свои комментарии, ставьте реакции и отправляйте друзьям :)

https://xn--r1a.website/pathsecure/303

#laws #security #administration #wisdom

Недавно наткнулся на "10 незыблемых законов безопасности" с сайта мелкомягких.

Был приятно удивлен наличию столь простых, но настолько глубинных и мудрых истин:

Закон № 1: Если плохой парень может убедить вас запустить свою программу на вашем компьютере, это уже не ваш компьютер;
Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это уже не ваш компьютер;
Закон № 3: Если у плохого парня есть неограниченный физический доступ к вашему компьютеру, это уже не ваш компьютер;
Закон № 4: Если вы позволите плохому парню загружать программы на ваш сайт, это уже не ваш сайт;
Закон № 5: Слабые пароли разрушают стойкую безопасность;
Закон № 6: Компьютер всегда настолько же безопасен, насколько администратору можно доверять;
Закон № 7: Хранение зашифрованных файлов настолько безопасно, насколько безопасно хранения ключа расшифрования;
Закон № 8: Даже наличие антивируса с устаревшей базой данных лучше, чем отсутствие антивируса;
Закон № 9: Абсолютная анонимность практически нереализуема, будь то в сети или в реальной жизни;
Закон № 10: Технологии не являются панацеей.

И еще более интересно посмотреть на 10 законов безопасного администрирования:

Закон № 1: Никто не верит, что с ними может случиться что -то плохое, пока плохое не случилось;
Закон № 2: Безопасность работает только в том случае, если безопасность удобна;
Закон № 3: Если вы не будете планомерно применять патчи безопасности к вашей сети, то скоро эта сеть перестанет быть вашей;
Закон № 4: Это не очень хорошая практика устанавливать исправления безопасности на компьютере, который не был защищен с самого начала;
Закон № 5: Вечная бдительность - это цена безопасности;
Закон № 6: На самом деле даже сейчас есть кто-то, кто подбирает подобрать угадать ваши пароли;
Закон № 7: Самая безопасная сеть - это хорошо администрируемая сеть;
Закон № 8: Сложность защиты сети прямо пропорциональна ее размерам;
Закон № 9: Безопасность - это не про избегания риска, но управление рисками;
Закон № 10: Технологии не являются панацеей.

Выше мой вольный перевод. Советую обратиться к первоисточникам. Каждый пункт расписан более подробно.

#roadmap #security

На roadmap.sh наконец вышла карта для cybersecurity!

Очень приятно видеть некоторые выражения и концепции. Знаком с ~ 90% материалов. А у вас как?

Наконец можно будет скидывать новичкам что-то систематизированное😄

btw, там на сайте еще с десяток карт развития для разных специальностей. Чекните)

UPD: Ссылка на pdf

#password #security #paranoid #recomendation #crypto

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

#web #api #security #owasp

С пылу, с жару (4 дня назад) вышел новый API Security TOP 10 от OWASP. А я как раз начал писать раздел про атаки на механизмы авторизации в микросервисах. Думаю, совсем скоро можно будет увидеть детальный анализ изменений и сопоставление списка 23 и 19 года.

Сразу заметил, что авторизация и аутентификация в API поднимаются в топе. 4 пункта из 10 затрагивают вопросы управления доступом. А это, между прочим, фундаментальная задача информационной безопасности 🤓

Итак, вот список:
API1:2023 - Broken Object Level Authorization
API2:2023 - Broken Authentication
API3:2023 - Broken Object Property Level Authorization
API4:2023 - Unrestricted Resource Consumption
API5:2023 - Broken Function Level Authorization
API6:2023 - Unrestricted Access to Sensitive Business Flows
API7:2023 - Server Side Request Forgery
API8:2023 - Security Misconfiguration
API9:2023 - Improper Inventory Management
API10:2023 - Unsafe Consumption of APIs

Почитать про изменения и ознакомиться с подробным описанием каждого пункта можно на официальном сайте проекта.

@pathsecure

#podcast #security

На днях в подкасте ТИНОИД вышел эпизод с моим участием.

Поговорили о пентестах, ЦТФах, криптографии, редтиминге, личной безопасности. Придерживались научно-популярного стиля для большой аудитории.

Совершенно случайно познакомились друг с другом в одном из Пермских IT-чатов. Всем советую заценить выпуск, а также подписаться на ребят. Далее планируется звать в подкасты разных интересных людей из ИТ-сферы 😎

* https://vk.com/tinoidpodcast
* https://xn--r1a.website/tinoidpodcast
* https://dzen.ru/tinoidpodcast