Сегодня в рубрике #яумамыхакир сканер уязвимостей для WordPress. Как ни как, самая популярная CMS в мире. Утилита собирает все известные уязвимости движка и его модулей и на основании этого проверяет сайт. Помимо прочего умеет перебирать логины/пароли.

Последняя версия: 2.9.3 (2017-07-19)
ОС: Unix-like
Полезные ссылки: 1, 2, 3
Скачать: Официальный сайт

#Полезное
Говорила мне мама: "учи сынок сети!", - а я пил бояру, да гулял с девками. Продолжая тему стратегического видения, публикуем гайд, на который стоит обратить внимание каждому, кто озадачен фундаментальным развитием. Так получилось, что в нашей вселенной компьютеры взаимодействуют посредством вычислительных сетей. Чем бы вы не занимались в IT, вы будете снова и снова упираться в извечные OSI, TCP/IP и routing & switching. Так может быть стоит отморозиться и закрыть все вопросы раз и навсегда? Или вам по нраву стыдливо опускать глаза, когда беседуете с сетевиками или архитекторами? Новый гайд по CCNA поможет вам achieve full civil rights в мире современного IT.

#Событие
Как обмануть платежный шлюз и купить macbook за 2$? Легко! Нужно знать механизм HTTP запросов и немного криптографии. Йохан Нугрохо (Yohanes Nugroho), именно так зовут программиста из Индонезии, который нашел уязвимость в платежной системе MasterCard, рассказывает, как у него это получилось.

http://tinyhack.com/2017/09/05/mastercard-internet-gateway-service-hashing-design-flaw/

Очередная критическая уязвимость в Apache Struts
Об уязвимости | Exploit | CVE-2017-9805

В наш бот @cybrsht_bot частенько прилетают интересные ссылки на события из мира ИБ, а также советы и предложения по улучшению канала. Спасибо вам, что держите обратную связь. Всему свое время :)

#Ликбез
А почему бы нам не поговорить о модном нынче DevOps? Если вы работаете в приличной компании, то скорее всего знакомы с сабжем. Если вам повезло меньше, или вы только учитесь, есть шанс, что вы даже не слышали об этом.

DevOps - это современная философия разработки/эксплуатации ПО, призванная разрушить границы между специализированными подразделениями и оптимизировать рабочий процесс. Реализация этого подхода способствует уменьшению производственных издержек и повышает гибкость организации, позволяя ей максимально быстро изменять свой продукт. При чем здесь ИБ, спросите вы? При том, дорогие-хорошие, что если вы не понимаете pipeline современной разработки, то как вы его нахрен будете защищать?! Осознание процесса как ничто помогает в реализации мер по его защите.

Предлагаем вашему вниманию здравый курс, посвященный DevOps. По окончании, вы хорошо разберетесь как в сущности подхода, так и в его практической реализации.
https://www.edureka.co/blog/devops-tutorial?utm_source=blog&utm_medium=left-menu&utm_campaign=devops-tutorial

#Полезное
Наверное многие слышали о видеоигре Watch Dogs? Там игрок в роли хакера скитался по городу и взламывал все, что попадалось у него на пути с помощью мобильного телефона. Хотите также?

Наивные. Но есть один интересный лайфхак, многие компоненты kali вы дейсвительно можете установить на Android смартфон благодаря приложению Termux.

P.s Только светофоры пожалуйста оставьте в покое ;)

http://www.techncyber.com/2017/09/hacking-with-termux-app.html

Бывало у вас так, что появляется свободное время для изучения нового материала, а самого материала нет под рукой и вы начинаете бороздить интернет в поисках чего-то интересного?

Есть канал @slivytg, автор которого публикует бесплатно различные платные курсы и крутые материалы по тематикам бизнес и IT. Мы все проверили и гарантируем, что там появляется одна годнота. Рекомендуем.

#ПравилаИгры
-А ты читал когда-нибудь 382-П ЦБ РФ?
-Не довелось, не вышло...
-Ладно, не заливай! Ни разу не читал? Не знал, что в банках никуда без этого? Пойми, в банках только и говорят, что о
382-П. Как оно бесконечно ужасно. О пентестах, которые они ещё не видели. О том, как ежегодные аудиты сделали лицо начальника службы ИБ алым как кровь. И почувствовали, что новый порядок изменит правила игры навсегда. И банки будут укрощены... А ты? Что ты им скажешь? На собеседовании тебя окрестят лохом!

Господа, у нас горячие новости. ЦБ РФ опубликовал проект поправок в 382-П (постановление регулярующее сферу ВСЕХ электронных платежей в РФ). Из этих поправок можно сделать однозначный вывод: в ближайшие пару лет спрос на внешние пентесты и аудиты соответствия в отечественных банках серьезно возрастет. А это значит, что боги рынка труда благоволят безопасникам. Не стоит унывать и специалистам, ориентированным на работу in-house: с учетом повышения рисков попасть на штраф, суд или отзыв лицензии, банки будут вынуждены повышать уровень внутренней безопасности и нанимать хороших специалистов. Если, конечно, у них будут на это деньги (но мы ведь умеем positive thinking, не правда ли?). Подробности в блоге Евгения Царева: https://www.tsarev.biz/informacionnaya-bezopasnost/vazhno-dlja-bankovskih-bezopasnikov-tihaja-revoljucija-v-regulirovanii-dbo/

#Ликбез #FYI
Небольшая разбивка зарплат пентестеров (Black Box Testing, Web Security & Encryption, Security Testing and Auditing, and Network Security Management). Цифры указаны в долларах за год работы.

» В США суммы колеблются от $90000 до $150000 в зависимости от штата и опыта работы. Например $120000 получает пентестер с опытов 8 лет в IT и 2 в ИБ.
» В Латвии цифры поменьше, от $35000 до $50000 за специалиста.
» В Азии около $40000 - $60000.
» В Англии младшие специалисты получают $40000, старшие поболее - $90000.
» В Шотландии ценник ниже, $24000 для младших, $50000 для старших.
» Россию сложно оценивать, но уровень московских зарплат классических пентестеров варьируется от $14000 до $40000.

Какие выводы делаем? ИБ востребована, интересна, легко поддается специалистам работающим в IT и не так перенасыщена. Enjoy!

Есть что добавить? Мы на связи @cybrsht_bot

#Событие #Полезное
У проекта Vulners.com пару часов назад появился собственный API. Теперь дергать данные о CVEшках станет еще удобнее. Кстати, кто не знает, проектом занимаются русские ребята, далеко не последние люди в ИБ, нынешние ИБ евангелисты :)

https://github.com/vulnersCom/api

#Событие
В США активно обсуждают одну из самых масштабных утечек за последние годы. Бюро кредитных организаций Equifax сообщило, что с их серверов были похищены данные 143 млн. человек. Судя по всему точкой входа послужила уязвимость в web-приложении на сайте Equifax. Ох уж эти WAFы...

Кстати, некоторые даже нашли причину утверждать, что за взломом стоят русские хакеры (источник 3 и 4). Такие дела.

Источники: Заявление Equifax, Хакер, 3, 4

#Полезное
Многие из нас так беспокоятся о своей конфиденциальности и анонимности, но порой не задумываются об очевидных вещах.

Все ли наши подписчики знают, что Google Maps трекает каждый ваш шаг и строит целую историю передвижений называемую Хронологией (Timeline)? Там и ваши поездки за границу и списки самых посещаемых мест и многое другое.

Ознакомиться с тем, что про вас насобирал большой брат можно по ссылке https://www.google.com/maps/timeline

Там же можно отключить сбор данных, но кто знает остановит ли это Google 😏

#Ликбез #FYI
Любопытная и поучительная статья о том, почему вам не стоит публиковать фотографии своих посадочных билетов и ключей от машины в интернете.

Источники: Motherboard | TJournal

#Ликбез
Помните Льва нашего Николаевича? «Все счастливые семьи похожи друг на друга, каждая несчастливая семья несчастлива по-своему.» Ровно так же обстоят дела и со специалистами. Качественный профессионал должен обладать целым стеком знаний, навыков и качеств характера. Убери одно, и ты получишь неприятные проблемы. Редакция не без оснований считает, что для хорошего безопасника одним из наиважнейших качеств является способность к "dig out". Поэтому мы так настаиваем на том, что у любого специалиста должен быть план и система, которыми он руководствуется в деле профессионального развития. Недавно мы публиковали хороший курс по DevOps, и теперь самое время закрепить полученные знания, взглянув на проблему с другой стороны: https://habrahabr.ru/company/dsec/blog/334692/ Вы что-нибудь слышали про SSDLC? Тогда мы идем к вам!

#Событие
На следующей неделе 19-21 сентября стартует очередной Инфосек. Так получилось, что в сообществе у этой выставки не самая лучшая репутация. Если PHD представляется ярким и крутым шоу, а ZeroNights заглубленной хакерской конфой, то Инфосек на их фоне выглядит как-то слишком бумажно-теоретически. Тем не менее редакция презирает стереотипы и напоминает, что у Инфосека есть важное преимущество - его бесплатность (особенно актуальное если вы студент, аспирант или жмот). Кроме того, безопасность в реальном мире это ещё и бумага, и процессы, и, страшное слово, менеджмент (креститься и плюет через плечо), увы! Поэтому оцените программу выставки и примите решения о своем участии. Много ли мест, где бесплатно можно причаститься к актуальным трендам, новостям и событиям отрасли, да ещё и попытаться замутить с кем-нибудь (с вендором, или заказчиком, а не с симпатичными моделями в дерзких мини-юбках, как вы подумали)?
https://www.infosecurityrussia.ru/#2017

Вчера мы дали себе немного слабины и оставили вас без важных новостей из мира ИБ, искренне извиняемся и наверстываем упущенное.

Первое о чем нужно рассказать - это новый вектор атак через Bluetooth под названием "BlueBorne", способный получить доступ к 8,2 млрд (!) устройств по всему миру. Неплохо?

Риску подвержены устройства на ОС Windows, Linux, Android и даже iOS, а также другие умные гаджеты, использующие в своей работе технологию Bluetooth. Все, что нужно для атаки - чтобы на устройстве была активна  функция Bluetooth.

Крупные вендоры уже даже выпустили патчи, закрывающие дыры в протоколе, но ситуация все равно достаточно щекотливая и даже в виду отсутствия эксплоита в открытом доступе, представьте, что может сдеать злоумышленник, просто посетив аэропорт :)

Источники: Armis, Технический отчет Armis, Securitylab.ru

#Ликбез
Но не дырами едины. Предлагаем ознакомиться с новым интервью Сноудена немецкому изданию Spiegel. Эдвард рассказывает о жизни в России и о том, что битва за свободу от надзора со стороны правительства еще только начинается.

"Есть еще надежда - даже для меня"

Вообще, можно долго спорить о том, правильно ли поступил Эдвард в далеком 2013, а также о его профессиональных навыках, но одно можно сказать точно - его информация сильно изменила взгляд на информационную безопасность и ее необходимость для общества, а это важно.

Интервью: http://www.spiegel.de/international/europe/edward-snowden-interview-there-is-still-hope-a-1166752.html

Поиграли в безопасность и хватит.

Давление на Лабароторию Касперского в США продолжается. В начале месяца изъяли дистрибутивы из крупных сетевых магазинов BestBuy, потом сотрудники ФБР "погостили" у работников лабаратории, проживающих в США, а теперь вот это.

Министерство внутренней безопасности США обязало все гос. структуры страны в течении короткого срока выявить все продукты Лаборатории Касперского, установленные на гос предприятиях, и в 90 дневный срок полностью их устранить.

Все действо происходит под предлогом кибершпионажа ЛК в пользу российских властей.

А вообще странно, что гос. ведомства США вообще использовали продукты ЛК, а не собственные продукты, которых массы, не находите?

Источники: Anti-Malware, Washington Post