⚠️ Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB).

Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями.

Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.

Читать статью - линк.

// Не хакинг, а ИБ

❗️ Как «пробить» человека в интернете.

В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.

Прежде чем заниматься сбором и анализом информации о конкретном человеке необходимо представить всю картину того, какие данные о человеке существуют ☝️

Читать статью - линк.

// Не хакинг, а ИБ

🛡 Исследование 400 сайтов государственных организаций с помощью инструментов OSINT.

Компания Angara Security провела исследование 400 сайтов государственных организаций в 80 регионах России.

Специалисты ИБ‑компании анализировали онлайн‑ресурсы правительств субъектов РФ, экономических ведомств, министерств здравоохранения и образования.

По словам экспертов по кибербезопасности, чаще всего на региональных сайтах используется небезопасный протокол HTTP, передающий конфиденциальную информацию в открытом виде.

Читать статью - линк.

// Не хакинг, а ИБ

💻 Пентест-лаборатория «Pentestit Test lab v.11» — полное прохождение.

Сегодня поговорим о пентест лаборатории компании Pentestit, уже много лет эти лаборатории дают возможность проверить себя в роли пентестера в виртуальной компании со своими бизнес-процессами, серверами, сотрудниками и проблемами, узнать и опробовать современные уязвимости и отточить свои навыки в аудитах приложений и пентесте, максимально приближенном к реальному.

Эта статья описывает все этапы прохождения пентест-лаборатории Test.Lab 11 для всех, кому интересно погрузиться в область пентеста или узнать, как решалась конкретная задача.

Читать стаю - линк.

// Не хакинг, а ИБ

🏴‍☠️ REST API | 10 уязвимостей API 2023

REST API(Representational State Transfer) — это архитектурный стиль для разработки веб-сервисов, основанный на стандартных HTTP-методах и ресурсоориентированном подходе.

На схемах представлена современная архитектура клиент-сервера и обобщенный REST API запрос с потенциальными угрозами безопасности.

Уязвимости API по версии OWASP:
⏺ Нарушенная авторизация на уровне объекта
⏺ Нарушенная аутентификация
⏺ Нарушенная авторизация на уровне свойств объекта
⏺ Неограниченное потребление ресурсов
⏺ Нарушена авторизация на функциональном уровне
⏺ Неограниченный доступ к конфиденциальным деловым потокам
⏺ Подделка запросов на стороне сервера
⏺ Неправильная настройка системы безопасности
⏺ Неправильное управление запасами
⏺ Небезопасное использование API

// Не хакинг, а ИБ

⚠️ Современные технологии обхода блокировок: V2Ray, XRay, XTLS, Hysteria, Cloak.

В этой статье я проведу обзор самых передовых протоколов и технологий, которые:
⏺ позволяют делать передаваемый трафик не похожим вообще ни на один существующий стандартный протокол, делая его полностью неразличимым для цензоров;
⏺ либо наоборот, позволяют максимально достоверно маскироваться под безобидный HTTPS-трафик, включая защиту сервера от детектирования методом active probing с помощью фейкового веб-сайта, маскировку TLS fingerprint клиента под обычный браузер, и защиту от выявления туннеля нейросетями (детектирования TLS-inside-TLS);
⏺ позволяют работать в условиях жесткого шейпинга канала и потерь пакетов;
⏺ позволяют создавать цепочки из серверов и настраивать маршруты (например, фильтровать трафик до российских адресов).

Читать статью - линк.

// Не хакинг, а ИБ

😁 CSI Linux | linux-дистрибутив для кибер-расследований и OSINT.

CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения.

Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.

Читать статью - линк.

// Не хакинг, а ИБ

👀 25+1 лучших OSINT расширений для Google Chrome.

Сегодня мы разберем расширения для Google Chrome которые помогут нам собирать и анализировать данные из открытых источников, ну и в целом улучшат наш опыт проведения расследований.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Взаимодействие ИТ и ИБ: средства защиты.

Важно понимать основные точки противоречий между ИТ и ИБ подразделениями и принять ряд организационных решений.

Одной из основных проблем является недостаток взаимопонимания между ИТ и ИБ специалистами.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Обзор бесплатных инструментов для аудита web-ресурсов

Краткий обзор и типовые примеры использования бесплатных утилит, которые помогут белым хакерам, администраторам, разработчикам, тестировщикам проверить свои ресурсы в автоматизированном режиме.

Читать статью - линк.

// Не хакинг, а ИБ

👴 Атака на Wi-Fi встроенными средствами macOS

TL;DR Встроенные средства macOS позволяют выполнить некоторые атаки на Wi-Fi-сети.

В статье описывается, как с помощью встроенного в Macbook Wi-Fi адаптера AirPort и macOS похекать Wi-Fi.

Читать статью - линк.

// Не хакинг, а ИБ

📱 Так ли безопасен ваш iPhone? Обзор уязвимостей и тайных ходов в iOS

Компания Apple потратила значительные усилия для того, чтобы заслужить себе репутацию, стойко отбиваясь от ФБР и прочих представителей силовых структур, ищущих возможность произвольного сбора данных владельцев iPhone.

В 2016 г. Apple отказалась ослабить защиту iOS для того, чтобы ФБР могла разблокировать iPhone стрелка из Сан-Бернардино.

Читать статью - линк.

// Не хакинг, а ИБ

🎙 200+ подкастов про информационную безопасность и хакерские атаки

Мы решили сделать для вас подборку ИБ-подкастов.

Это аудиоконтент с различными шоу и экспертными интервью, которые помогут прокачать профессиональные навыки, узнать последние новости, сориентироваться в индустрии и заодно прокачать английский язык.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ 20+ open source утилит для шифрования файлов на (почти) любой случай жизни

Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.

Читать статью - линк.

// Не хакинг, а ИБ

🔎 99+ бесплатных инструментов для анализа зловредов

Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код. 

Собрали онлайн-сканеры подозрительных файлов, инструменты для статического и динамического анализа, системы для описания и классификации угроз и, конечно, репозитории с малварью, которую можно исследовать.

Читать статью - линк.

// Не хакинг, а ИБ

🛡 Aquatone: Инструмент визуального осмотра поверхности для атаки на основе HTTP

Aquatone – это бесплатный проект с открытым исходным кодом, целью которого является облегчение визуальной проверки веб-сайтов.

Этот ценный инструмент также поддерживает поиск веб-сайтов в большом количестве, что может сделать задачу сбора информации о поверхности атаки вашего веб-сайта удивительно простой.

Репозиторий на GitHub

Хотите чтобы выходили книги?
👍 - да
👎 - нет

// Не хакинг, а ИБ

🖥 IT-системы крупных компаний может взломать даже начинающий хакер

Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены.

Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.

Читать статью - линк.

// Не хакинг, а ИБ