Size: a a a

Киберпиздец

2017 August 03
Киберпиздец
В США без объяснения причин был задержан Маркус Хатчинс (Marcus Hutchins), известный тем, что первым остановил распространение вируса WannaCry. Такие дела.

Источник: https://motherboard.vice.com/en_us/article/ywp8k5/researcher-who-stopped-wannacry-ransomware-detained-in-us-after-def-con
источник
2017 August 05
Киберпиздец
Сайт, где вы можете проверить, попала ли ваша электронная почта в списки утечек, произошедших за последние 10 и более лет, а так же проверить свой пароль на нахождение в этих же списках.
https://haveibeenpwned.com
источник
2017 August 07
Киберпиздец
Пользователь под ником "Hack-with-Github" опубликовал свою коллекцию полезных ссылок под названием "Awesome Hacking". В списке есть книги, исходные коды, эксплоиты, техники и другие полезные материалы для пентестеров, хакеров и ресечеров в области ИБ. Enjoy!

https://github.com/Hack-with-Github/Awesome-Hacking
источник
2017 August 09
Киберпиздец
Шпаргалочка о том, как пользоваться сканером сети nmap, подготовленная компанией Stationx для мамкиных хакеров и забывчивых пентестеров.
источник
Киберпиздец
В США разгорается скандал вокруг Disney, мол компания, несмотря на закон о конфиденциальности детей в Интернете (COPPA), через свои приложения собирает и хранит данные детишек без согласия их родителей. В Disney информацию не подтверждают и готовы оспаривать позицию в суде. Но мы то знаем, как все устроено на самом деле 😏

Источник: http://news.softpedia.com/news/disney-sued-for-spying-on-kids-using-iphone-android-apps-517324.shtml
источник
Киберпиздец
А вот TechCrunch сообщает, что Apple все таки прогнулась и удалила VPN приложения из китайского AppStore. Кто не знает, в Китае уже давно существует интернет-цензура, и заблокированы все попопулярные соцсети и даже Google. VPN был их последней надеждой.

Напомним, что 21 июля в России был принят закон, запрещающий обходить блокировки Роскомнадзора с помощью VPN или анонимайзеров, а тут вот опыт Китая подоспел. Такие дела.

https://techcrunch.com/2017/07/29/apple-removes-vpn-apps-from-the-app-store-in-china/
источник
2017 August 10
Киберпиздец
Вы ещё не делаете бекапы? Тогда новая версия шифровальщика Локи идёт к вам. Способ распространения классический, через почтовое вложение, которое содержит VBS скрипт, который при запуске скачивает во временную папку, а затем запускает необходимые шифровальщику компоненты. Дальше классика - шифрование файлов системы, затирание следов, генерация htm странички с выкупом. Просят целых $1,600 баксов! Отличная черта новой версии Локи это расширение .diablo6. Доступного лекарства - нет, ну если только бекап, но это уже совсем другая история...

Подробнее здесь: https://www.bleepingcomputer.com/news/security/locky-ransomware-returns-with-spam-campaign-pushing-diablo6-variant/
источник
Киберпиздец
Но не будем о грустном, ведь в мире существует такое чудо, как программа Bug Bounty, и в Google она работает вполне исправно. Например школьнику из Уругвая заплатили $10000 за то, что он с помощью Burp Suite и заголовка Host в GET запросе получил доступ к закрытому разделу компании Google. И конечно же сразу же сообщил об этом
😔

Об этом он написал в своем блоге: https://sites.google.com/site/testsitehacking/10k-host-header
источник
Киберпиздец
Немного о наболевшем. Министерство связи и массовых коммуникаций РФ подготовило проект приказа «об утверждении требований к оборудованию и программно-техническим средствам, используемыми организаторами распространения информации в сети «Интернет», который подготовлен с целью реализации пакета Яровой и ряда других регулирующих деятельность организаторов распространения информации (ОРИ) нормативных документов. Сами понимаете, что под "ОРИ" понимается, как наш любимый мессенджер, так и любая соц.сеть или новостной сайт, а также многое другое. В законопроекте много воды (классика), но суть одна - ОРИ должны будут установить определенные программно-технические средства для осуществления сбора и хранения информации в рамках государственной интернет-слежки. За чей счет они должны это делать, а также, как эти требования впишутся в конституцию и законы других стран пока не ясно, но документ сейчас выставлен на общественное обсуждение на Федеральном портале проектов нормативных правовых актов, и вы даже можете высказать свои замечания. Демократия!

Официальный документ тут: http://regulation.gov.ru/projects#npa=18013
Подробнее о проекте приказа на сайте Роскомсвободы: https://rublacklist.net/31045/
источник
Киберпиздец
Для скучающих практиков предлагаем целую библиотеку материалов по хакингу. Больше знаний, больше жогова!

Когда-нибудь мы составим свою библиотеку полезных материалов, а пока довольствуемся тем, что есть: https://drive.google.com/drive/folders/0B5rqWHARHFcVNUpNamdoMlRqRm8
источник
2017 August 12
Киберпиздец
Астрологи объявили неделю шифровальщиков. Количество шифрующей малвари увеличилось вдвое. Ресурс Bleeping Computer отчитался по направлению "вымогателей" за прошедшую неделю. Здесь вам и свеженький GlobeImposter и обновленный CryptoMix "Ogonia" и даже про арест Сергея Неверова (ответственного по словам украинских властей за распространение шифровальщика NotPetya) не забыли.

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-11th-2017-globeimposter-and-cryptomix/
источник
2017 August 14
Киберпиздец
Утра доброго, господа! Ребята из Malware Unicorn выпустили краткую инструкцию для тех, кто всегда мечтал стать ресечером. По пунктам от основ, до разбора тестового вируса с его анализом по нескольким векторам. В общем для тех, кому интересно - welcome.

https://securedorg.github.io/RE101/
источник
Киберпиздец
Думаете вы все знаете про тотальный контроль? - Ха! Кажется предприимчивые китайцы  тестируют "Будущее" под лейблом борьбы с терроризмом. В правительстве КНР разработали шпионское ПО Jingwang (Безопасность Граждан) и принудительно заставили всех мусульман, проживающих в Синьцзян-Уйгурском районе (на секундочку население там 21,81 млн. человек) устанавливать его на свои гаджеты. Кто не повинуется - в тюрьму на 10 дней для профилактики и т.д. В районе даже поставили блок-посты, где людей проверяют, что правительственный вирус установлен на смартфоны граждан. В свою очередь "Jingwang" собирает всю необходимую правительству информацию: WeChat, Weibo, IMSI, IMEI, авторизационные данные в Wi-Fi сетях и т.д. Такие дела.

Источник: https://www.deepdotweb.com/2017/08/12/chinese-government-requiring-muslims-install-spyware-electronic-devices/
источник
2017 August 15
Киберпиздец
Сегодняшнее утро мы бы хотели начать с краткого рассказа о себе. Учитывая, что наш канал постепенно растет, мы решили, что будет правильно, если рассказать о наших ценностях и целях.

Постарались максимально компактно и ясно изложить http://telegra.ph/Cybershit-08-14
источник
Киберпиздец
Нам нужно больше золота! ТОП 15 самых востребованных IT сертификатов в мире (по версии Forbes). Как видите, ИБ плотно входит в топ самых восокоплачиваемых профессий в IT. То ли еще будет!

https://www.forbes.com/sites/louiscolumbus/2017/03/18/15-top-paying-it-certifications-in-2017/#310bf19d5676
источник
Киберпиздец
Для совсем ленивых ТОП отдельной картинкой
источник
2017 August 16
Киберпиздец
Вчера подняли тему сертификатов, поэтому хочется уделить внимание еще такому экзамену, как OSCP (Offensive Security Certified Professional). Простыми словами экзамен для пентестеров. В интернете куча споров по поводу необходимости, а также востребованности этого экзамена, но одно можно сказать точно - это хороший базовый экзамен для будущих специалистов в ИБ, поэтому если вы планируете в ближайшем будущем строить карьеру безопасника, OSCP может стать отличной базой.

Для подготовки советуем:
Лабораторные vulnhub.com
Еще больше курсов на cybrary.it
Еще курсы pentesteracademy.com
источник
Киберпиздец
Gartner на прошлой неделе опубликовали свой магический квадрат по Web Application Firewall (WAF) за 2017 год. Кто не в курсе, WAF - это инструмент для защиты веб-приложений от атак вроде XSS, CSRF, SQL Injection и пр. веб-пиздеца.

Основные тенденции:

1. Сразу две американские компании Akamai и F5 вырвалась в лидеры.
2. На горизонте появилось облачное решение Amazon Web Services (с хорошими перспективами).
3. Тренд на машинное обучение в WAF сохранен.
4. Российская компания Positive Technologies продолжает висеть в визионерах, без каких-то значительных движений по сравнению с 2016.
5. К 2020 году более 50% (сейчас 20%) всех веб-приложений будет защищено с помощью WAF, объединяющих в себе CDN, защиту от DDoS и ботов.
6. К 2020 году WAF станут предпочтительно облачными решениями.

Всегда помните, что Gartner хоть и отражает примерную картину нашего ИБ мирка, но всегда останется инструментом маркетологов, бабла и капитализма.

https://www.gartner.com/doc/reprints?id=1-4893YUG&ct=170731&st=sb
источник
Киберпиздец
Magic Quadrant for Web Application Firewalls 2017
источник
2017 August 17
Киберпиздец
Знаете про устройство USB Rubber Ducky? Эта малышка при подключении к ПК притворяется клавиатурой и за считанные секунды может и вирус запустить, и любые данные из системы вытащить. Зависит исключительно от фантазии владельца гаджета. Цена этого устройства правда кусается, просят почти $50 за одну штуку.

Но есть и более дешевые альтернативы. Например микроконтроллер Adafruit Trinket 5V Logic. Он тоже поддерживает нужную библиотеку, поэтому превратить его из фрукта в инструмент взлома не составит сложности. Именно эти мысли посетили Адама Этона (Adam Eatonh), одного из студентов технического факультета одного из вузов США. И в своем блоге он рассказывает, как превратить безобидный микроконтролер в USB Rubber Ducky за $7 вместо $50

https://medium.com/@EatonChips/building-a-usb-rubber-ducky-for-7-c851aae30a1d
источник