#Полезное
Ищите, что почитать на выходных?

Вот вам 45 мегабайт и 120 страниц чтива от Позитива (Positive Technologies) под названием - POSITIVE RESEARCH 2017.

Чуваки прошлись почти по всей безопасности, ну и себя попиарить успели. В общем, есть, что подчерпнуть, а еще это красиво!

#Событие #Ликбез
Безумство храбрых - вот мудрость жизни! Очередная история о пацанах, хакнувших транспортную карту, подходит к своему концу, серому и плоскому, как стены СИЗО. 24 августа сего года завершилось итоговое заседание Останкинского районного суда по делу "о создании организованной группой вредоносного софта".

Подробности грустной истории можно узнать по ссылке: http://www.rbc.ru/technology_and_media/25/08/2017/599f0c6e9a7947641df10f03?from=main.

Случившееся для нас отличный повод вспомнить былинную статью, ныне почившую на хабре: https://sohabr.net/habr/post/301832/

#Событие
Наш канал не назывался бы так, если бы мы обходили подобные новости стороной, поэтому ловите - В США готовится групповой иск против компании We-Vibe, выпускающей умные вибраторы. Умные, потому что устройства, помимо своей прямой функции, сопрягаются со смартфоном и умеют много всего другого. Покупательница из Чикаго заявляет, что её гаджет собирает даты и время его активности, а также другую личную информацию и отправляет на сервера We-Vibe.

В компании подтвердили, что они собирают информацию о пользователях, но она обезличена и никак не может быть использована против владельцев устройств.

В общем, киберпиздец какой-то...

http://asiajack.news/2017/08/26/american-woman-sues-sex-toy-maker-tracking-movements/

Знаете, мы решили, что хотим больше общаться с вами, поэтому придумали 2 способа связи:

Первый - классический email, we@cybershit.ru
Второй - анонимный бот @cybrsht_bot, куда вы можете отправлять все что пожелаете, а мы обязательно выберем лучшее, разберемся и расскажем в маштабах канала. Ах да, еще и спасибо скажем! :))

С удовольствем будем ждать ваших отправлений.

#Ликбез #Событие
Тут на Газете.ру вышел интересный материал, где обсуждают нехватку ИБшников для ведения кибервоин.

«Необходимо вести некий реестр специалистов в сфере информационной безопасности. Их можно сравнить со снайперами. ... Современный программист, который может на удалении влезть в любую операционную систему, это такой же боевой ресурс».

Такие дела.

https://www.gazeta.ru/army/2017/08/26/10859996.shtml

#Ликбез
А отличным продолжением к прыдыдущему материалу будет рассуждение Лукацкого на счет того, есть ли будущее у специалистов по ИБ и получится ли нас заменить искусственным интеллектом и машинным обучением. Про текущее положение дел тоже расскажет.

http://lukatsky.blogspot.ru/2017/08/blog-post_28.html

#Полезное
Несколько актуальных техник обхода WAF

http://telegra.ph/WAF-SQL-Injection-and-XSS-08-25

С сегодняшнего дня мы начинаем вести новую рубрику #яумамыхакир, где будем рассказывать о самых популярных утилитах для пентеста и анализа различных систем. Эстафету открывает Yersinia. Утилита для пентестинга протоколов L2. С помощью этой "бактерии" можно проводить атаки на DHCP, STP, CDP, DTP, VTP и др. протоколы соответствующего уровня.

Последняя версия: 0.8.0b1 (2017-08-11)
ОС: Linux, macOS, OpenBSD, and Solaris.
Полезные ссылки: 1, 2, 3
Скачать: GitHub

#Ликбез
Блокчейн и ICO, кричали они! Конечно, и мы в Киберпиздеце не против инноваций. Вибраторы IoT, smart-контракты, cloud security - эти диковинные технологии ласкают не только слух, но ведь не хайпом единым жив человек. Скажите, старина, а что вы знаете о технологиях обработки банковских карт? Да, да, тех самых банковских карт Visa и MasterCard, которыми сегодня не пользуется только ленивый или совсем уж далекий от цивилизации. А ведь это колоссальный рынок, в том числе и для киберпреступников. И пока мечтатели увлеченно ищут журавлей в небесах, суровые реалисты зарабатывают миллиарды на технологиях прошлого века. Редакция приглашает всех желающих отправиться в путешествие вместе с банковской транзакцией. Для начала рассмотрим, что происходит на уровне ATM (банкоматов) https://habrahabr.ru/post/229393/

#Событие
В сеть утекли дефолтные пароли от более чем 1700 IoT устройств. Кажется лень программистов непобедима. Но причем тут они? - спросите вы. Потому что смену стандартного пароля нужно делать по-дефолту, после первой удачной авторизации.Такие дела.

https://xakep.ru/2017/08/28/iot-pass-list/

#Событие
Сегодня денёк богат на утечки. В сеть попала самая большая за всю историю интернета база аккаунтов для спама. 711 миллионов аккаунтов! Кажется мир стал немножечко чище.

https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/

Google разослала вебмастерам письма о том, что с октября, для сайтов, не работающих по протоколу https и не имеющих SSL сертификат, в строке браузера будет отображаться "Не безопасно". О том, что Google пытается сделать интернет безопаснее и, что именно октябрь станет отправной точкой, стало известно еще в апреле. Напомним, что уже в феврале этого года, доля https превысила 50% всего интернет трафика. Уверены, что данная мера ускорит процесс перехода на зашифрованные протоколы, что есть хорошо.

https://threatpost.com/google-reminding-admins-http-pages-will-be-marked-not-secure-in-october/127709/

#Полезное
Несмотря на то, что мы постоянно крутимся в ИБ, а ИБ вокруг нас, словно какой-то кусок солнечной системы, немногие из нас ответят на вопрос о том, почему ИБ это так важно, так интересно и так актуально.

Поэтому для тех, кто любит поразмышлять на эту тему, рекомендуем книгу Марка Гудмана - Киберпреступления будущего. Книга, к сожалению, только на английском языке, но она того стоит.

Тезисно какие темы поднимаются в книге можно прочитать на vc - https://vc.ru/p/future-crimes-book

#Ликбез
На носу 1 сентября. И хотя среди нас учится только 30%, очевидно, что на IT-рынке ты либо учишься всю жизнь, либо рискуешь пойти на хуй. Никому не нужный, отсталый, выдроченный боссами специалист. Или ничуть не лучше: узкий профи, который заточен на конкретную нишу, и боится послать свою нынешнюю работу. Дрожит как осиновый лист: где ещё он найдет такую зарплату и соцпакет. Страшно? Неприятно? Больно? А вот не хуй было хуевничать годами. В жизни всегда нужна стратегия действий. Внутренний обезьяне бывает тяжело думать на 5-10-20 лет вперед. Но это единственный выход, если мы хотим реализовать максимум своего потенциала. Дывайте выкинем из головы этот мусор про то, что призвание это всегда интересно и радостно. Будьте мрачными профессионалами, блеать! Но хватит ебаной мотивации (мрачный профессионал должен мотивировать себя сам). Направляем ссылку на неплохой ликбез от DC7499. Его можно использовать не только новичкам, но и опытным специалистам, которые застряли в одной нише и хотят расширить список профессиональных доменов. Впереди целый год, и будет чертовски неприятно его тупо проебать...
http://kb.defcon.su/#!beginners.md

#Событие
Хотите очередную новость о том, что наше "светлое" будущее в один момент может превратиться в настоящий киберпиздец?

В США из-за найденой уязвимости в кардиостимуляторах (!), более чем 465 000 пациентов потенциально подвержены риску быть взломанными и нуждаются в обновлении прошивки своих устройств. Об этом сообщает портал Motherboard со ссылкой на Управление по контролю за продуктами и лекарствами США.

А теперь представьте, что вы будете делать, узнав, что вашу штуковину, купленную за бешеные бабки и поддерживающую вашу жизнедеятельность вдруг взломают и перехватят? А? Неплохой сюжет для антиутопии? Такие дела.

https://motherboard.vice.com/amp/en_us/article/nee5bw/465000-patients-need-software-updates-for-their-hackable-pacemakers-fda-says

#Полезное
Когда начинаешь делать что-то, неплохо иметь в голове конечную цель и общее представление о шагах, необходимых для её достижения. В противном случае чертовски легко сбиться с пути, или попросту забить на поставленную цель из-за страхов, лени или рутины. В этом плане сдача международных сертификационных экзаменов по ИБ, отличный способ "сжечь все мосты". И здесь не важно, что ты сдаешь: "гуманитарный" CISSP, или "технарский" OSCP, вендорский CCNA или кросс-платформенный CompTia - везде работает один принцип. Когда ты заплатил  доллары, и точно знаешь, что через 3 месяца у тебя дедлайн, который ты рискуешь эпично просрать, булки шевелятся гораздо быстрее. Просто обещать себе сделать что-либо верный способ не сделать этого никогда (вот уже два года обещаешь, но почему-то никак, сука, не делаешь!).

Предлагаемый вашему вниманию гайд посвящен сдаче CISSP, но идентичный фреймворк можно использовать для сдачи любого другого экзамена. Путешествие в тысячу миль начинается с одного шага. Если вы - ленивая жопа, не надо фрустрировать на сложность задачи. Попробуйте начать с малого. Выберете интересующий вас экзамен, составьте план подготовки, оплатите его сдачу на 2-3 месяца вперед, и... Возможно вас ждут самые интересные три месяца в вашей профессиональной жизни! Удачи вам, друзья, увидимся в центре сертификации! 😎

#Событие
И снова Китай. <3

1. Согласно новому китайскому закону о кибербезопасности, правительство может использовать уязвимости нулевого дня для анализа исходного кода, а также для получения любой другой информации о зарубежных компаниях, работающих на территории Китая.
http://securityaffairs.co/wordpress/62663/laws-and-regulations/chinese-cyber-security-law.html

2. Технология распознавания лиц Face++ в Китае уже во всю используется для идентификации при оплате в онлайн магазинах, а также для ловли преступников. Сама технология оценивается в миллиард долларов. И это только начало.
http://supchina.com/2017/09/01/drug-users-nabbed-facial-recognition-system-beer-festival-chinas-latest-top-news/

#Событие
В интернетах сейчас активно набирает популярность поисковая система DuckDuckGo, которая уделяет приоритетное место конфиденциальности пользователей и не использует их данные для персонализации поисковой выдачи и рекламы.

Первые пики роста поисковая система показала после публикации Сноуденом еще в 2013 информации о сотрудничестве NSA и Google, а сейчас насчитывает уже 500 миллионов запросов в месяц.
https://duckduckgo.com/traffic.html

Да, в некотором плане DDG еще далеко до Google по качеству и количеству поиска, но ситуация все равно остается показательной - люди не хотят жертвовать своей конфиденциальностью. Такие дела.