К слову о микроконтроллерах. На сайте Хакер, еще года 2 назад разбирали похожую ситуацию, где ребята тупо взяли простую USB флешку, перепрошили встроенный в нее микроконтроллер и получили устройство в точности напоминающее USB Rubber Ducky, правда сильно уступающее по скорости работы.

http://telegra.ph/Haker-Gadkij-utenok-Prevrashchaem-obychnuyu-fleshku-v-USB-Rubber-Ducky-08-17

Добро пожаловать всем новоприбывшим. Будем очень рады, если вы оцените труды администрации канала по достоинству.

Пара слов о нашем канале:
1. Мы достаточно молодые (и месяца нет), но планы амбициозные.
2. Мы работаем в ИБ, поэтому обещаем эксклюзивы :)
3. С нашими целями можно ознакомиться тут >> http://telegra.ph/Cybershit-08-14
4. Нам не поИБ на ИБ :))

И снова новости из КНР. Еще в июле стало известно, что Apple строит свой первый дата-центр в китайской провинции Гуйчжоу, в рамках закона, который обязывает хранить данные на территории Китая (ничего не напоминает?). А теперь появилась информация, что Китай создает надзорный орган, который будет осуществлять контроль за устройствами, обеспечивающими работу iCloud. В правительстве КНР заявляются, что орган будет лишь помогать Apple ускорять развертывание технологического хранения, но мы то знаем откуда ноги растут. Сначала в Китае запрещают все социальные сети, потом запрет VPN, затем следует принудительная установка гос.вирусов. Что же будет дальше, ведь наше правительство активно пытается догнать Китай в этом направлении. Такие дела.

Источник

Кстати о VPNках. Не знаем, чем пользуетесь вы, но один из авторов канала уже год использует TunnelBear и доволен на все 100. Было еще приятнее узнать, что недавний их внешний аудит немецкой компанией Cure53 прошел без явных косяков.(результаты аудита, кстати) Также многие знакомые рекомендуют сервис NordVPN. Ну а кто-то вообще за разворачивание своего собственного. Спорить на эту тему можно долго, поэтому просто советуем сводную таблицу на сайте https://thatoneprivacysite.net/vpn-comparison-chart/

А еще ребята из Роскомсвободы запустили свой VPN агрегатор https://vpnlove.me. И помните, что VPN - первый шаг к защите от киберпиздеца!  :)

Сейчас наткнулись на интересную заметку о том, как стать техническим специалистом/архитектором безопасности по Amazon Web Services (на секундочку самая крупная облачная платформа в мире). Много воды, но в целом можно построить план на ближайшие 1-5 лет. Полезно.

p.s если помните, сертификация по AWS входит в ТОП 3 самых востребованных сертификатов в IT по версии Forbes.

https://cloudacademy.com/blog/3-steps-to-becoming-an-aws-security-specialist/

Суббота - отличное время, чтобы поработать над собой. Вот и мы поработали над описанием канала. Теперь оно обновленное, отражающее нашу суть и его все еще можно прочитать по ссылке: http://telegra.ph/Cybershit-08-14

Китай за последнюю неделю уже не раз оказывался в нашей ленте, и сегодня мы просто не могли умолчать об еще одном феномене. В Китае, в городе Ханчжоу открылся первый кибер-суд, а вчера состоялось уже первое слушание! Суд полностью государственный и регулирует гражданские права в интернете. Например вчера проходило слушание по делу об авторском праве.
Для того, чтобы явиться на заседание, гражданину достаточно просто присоединиться к видео-чату с помощью своего ноутбука или смартфона. Заседания также могут быть публичными и транслироваться для всех остальных граждан.
В целом "суды будущего" заметно экономят время и делают весь процесс чуточку прозрачнее. Будущее близко, а новый формат судов накладывает новые обязательства на безопасников и открывает возможности для взоумышлеников.

Источник: http://www.bbc.com/news/technology-40980004

#Полезное
Каждый из нас невежда в чем-либо. Особенно туго приходится безопасникам-универсалам в мелких или жлобских конторах. Бедные ребята! Этим несчастным приходится разбираться во "всем". Обычно им приходится вникать: и в операционки, и в сети, и в базы данных, и в безопасную разработку, и в юриспруденцию, и в психологию, и в непрерывность бизнеса и в любые темы, за которые "должна отвечать безопасность", или про которые "директор сказал, что это твоя работа". Если такой затюканный спец не превращается в пассивного овоща, или не сваливает на другую работу, ему приходится УЧИТЬСЯ. Представляем вашему вниманию TechTarget - сайт известный своими обзорами и аналитикой в области технологий, в том числе ИБ. Но не все знают о дополнительных разделах сайта, в частности удобной базе знаний, где основные топики ИБ разбиты по доменам и позволяют вам оперативно закрыть "белые пятна" в своих знаниях. Попробуйте его интерфейс, но будьте внимательны: вся красота сайта открывается лишь занудным и терпеливым http://whatis.techtarget.com/glossaries

А какие ресурсы используете вы? Присылайте свои "рыбные места" на адрес we@cybershit.ru и оставайтесь в безопасности, друзья 👍🏻

Чувак написал скрипт на Go, который использует типовые запросы в поисковике Shodan, сканирует домены и поддомены организаций и проверяет запросы от сервера. Для сканирования единственной цели он вам вряд ли пригодится, но для массового, а также для общего развития и понимания, как работает Shodan (аля "темный Google") вполне подойдет.

https://medium.com/@woj_ciech/scan-multiple-organizations-with-shodan-and-golang-bug-bounty-example-d994ba6a9587

#Полезное
XSS Game для желающих проверить свои знания. 6 уровней, в случае чего вы всегда можете запросить подсказку. Тренируйтесь на здоровье, юные хацкеры :)

http://xss-game.appspot.com/

#Ликбез
Мечтаете работать в ИБ профессионально, или уже работаете, но хотите расширить круг знаний? Без хорошего понимания ваших долгосрочных целей в профессии не обойтись. Если не говорить о нишевых специалистах, "хороший" безоп должен обладать довольно широким кругозором. Более того, он должен успевать поддерживать себя в "форме", обновляя в голове те знания, которые не используются им в данный момент. Нам срочно нужен план, Карл! И желательно рамка побольше, чтобы повесить этот план на стенку и читать утром и вечером, как отче наш. Предлагаем вашему вниманию одну из возможных стратегий прокачки технических скиллов для безопасника, решившего завоевать мир. https://null-byte.wonderhowto.com/how-to/essential-skills-becoming-master-hacker-0154509/

Любопытная статья о том, как в любой "левой" мастерской при ремонте вашего смартфона могут встроить чип стоимостью менее $10, который способен записывать ваши нажатия, устанавливать софт и даже скачивать и запускать файлы. Ох и веселое будущее нас ждет...

https://arstechnica.com/information-technology/2017/08/a-repair-shop-could-completely-hack-your-phone-and-you-wouldnt-know-it/

Любите покопаться в чужом белье? Есть такой популярный сервис управления проектами - Trello. Советуем вам никогда не делать проект публичным, если вы не хотите чтобы вас "случайно" вскрыли.

Наслаждайтесь: https://www.google.ru/search?q=site:https://trello.com/b/

Какую информацию вы больше всего хотите видеть на нашем канале?
anonymous poll

Техническую (тесты, гайды, тулзы, курсы) – 282
👍👍👍👍👍👍👍 52%

Интересны все направления – 151
👍👍👍👍 28%

Теоретическую (новости, события, суждения) – 80
👍👍 15%

Бумажную (законодательные и юридические инициативы) – 27
👍 5%

👥 540 people voted so far.

#Полезное
Полундра, товарищи безопасники! Сайт UDEMY
(https://www.udemy.com/courses/it-and-software/) в предверии 1 сентября устраивает гаражную распродажу. На протяжении недели большинство курсов будут стоить по $10 (скидка на отдельные тайтлы составляет 95%). Среди предлагаемого хабара: подготовительные курсы к актуальным версиям CISSP, CISA, CISM, CompTIA; ликбезы по offensive security, penetration testing, python for infosec; обучающие программы по продукции и сервисам CISCO, Amazon, Microsoft; и куча полезных мини-курсов, посвященных отдельным вопросам: от принципов построения REST-приложения, до синтаксиса Oracle SQL и организации SSDL в организации. Вообщем, если вы относитесь к чудесному племени highly motivated задротов и способны учиться самостоятельно, самое время набрать полную корзину материалов для самоподготовки на будущий год. Только не забывайте периодически вставать из-за компьютера и бывать на свежем воздухе: пользы от качественного безопасника с геморроем будет мало 😜

#События
Там разгорается скандальчик вокруг популярного погодного сервиса AccuWeather. Оказывается приложение, несмотря на запрет пользователей на определение геопозиции, все равно собирало данные пользователей (геопозиция, mac-адрес, имя wifi точки) для передачи/продажи их рекламным компаниями. В компании пока обвинения опровергают. Не православненько все это.

http://www.zdnet.com/article/accuweather-caught-sending-geo-location-data-even-when-denied-access/

#Герои
Один любопытный американец нашел неочевидный способ заработка в интернете. На протяжении почти 20 лет этот человек получал деньги взламывая онлайн-игры. Используя неизвестные широкой публике уявзимости наш герой
по-тихому зарабатывал состояние, конвертируя игровые ресурсы в грязные зеленые бумажки. О том, как мистер Манфрид дошел до такой жизни, сколько можно заработать на виртуальной торговле, и как выглядит жизнь "подпольного миллионера" в виртуальных мирах, читайте в статье по ссылке ниже
https://motherboard.vice.com/en_us/article/59p7qd/this-man-has-survived-by-hacking-mmo-online-games

Сутки назад мы просили вас проголосовать за то, какого рода материалы вы хотите видеть в нашей ленте. И мы были счастливы, узнав, что почти 50% нашей аудитории - технари, 31% - готовы развиваться во всех направлениях, 15% приходят сюда за актуальными событиями в мире ИТ и лишь 5% интересуются бумажками :) Для нас это очень крутые результаты, и спасибо вам большое за доверие! Мы будем максимально стараться им следовать и быть полезными каждому из вас.

Ну и напоминаем, что любые пожелания и предложения, а также свои интересные материалы вы всегда можете присылать на we@cybershit.ru ❤️

Mozilla планирует убрать у пользователей возможность отключать функцию сбора диагностических данных (телеметрии). Говорят, что данных так мало, что у них не получается делать браузер и интернет лучше. Сейчас, те, кто хочет поделиться данными с Mozilla, должны вручную включить соответствующий параметр в настройках Firefox.

Естественно новость вызвала бурные обсуждения в сети, некоторые даже грозятся подать на Mozilla в суд, как только опция исчезнет из их браузера.

Мы видим определенный тренд крупных компаний "собирать данные пользователей" без их разрешения, поэтому спасибо, что Mozilla хотя бы советуется прежде чем хуячить в продакшн.

Источники: RU / EN

#События
Лаборатория Касперского выпустила собственный сканер для интернета вещей - Kaspersky Smart Home & IoT Scanner. К сожалению пока только для Android.

Хороший способ проверить всякий умный ширпотреб с Алиэкспресс ;)

Анонс / Google Play