Что нового в мире обхода блокировок Интернета в середине 2024: XRay, Outline, Tor, Amnezia и все-все-все
Представляю вашему вниманию короткий обзор что же произошло в России и в мире в области цензуры интернета и того, как этому противостоят энтузиасты. На всякий случай напоминаю, что статья "Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному" заблокирована...
Osmedeus — инструмент наступательной безопасности
Osmedeus - это фреймворк, позволяющий автоматизировать этап разведки при проведении тестирований на проникновение, также подходящий для выстраивания Vulerability management. Основной подход, которому следовали разработчики при создании инструмента, - не заменить все имеющиеся утилиты, а наоборот...
Что на неделе: завод без людей, очередная «жертва» Neuralink и квантовый интернет будущего
Жара, лето в самом разгаре, работа кипит. Если вы упорно трудились всю неделю и не отвлекались на уведомления любимых пабликов и каналов — велкам в мой дайджест новостей. Здесь я — Олег Малахов из AGIMA — собрал самые громкие и интересные на мой взгляд события из мира диджитал за прошедшие семь...
[Перевод] Невероятно тупой способ взлома Wi-Fi в самолёте (зато бесплатно)
Самолёт поднялся на высоту трёх километров. Я вытащил свой ноутбук, надеясь воспользоваться Интернетом, а может, немного поработать, если станет совсем скучно. Подключившись к Wi-Fi самолёта, я открыл браузер. Страница сетевого логина потребовала ввести данные кредитной карты. Я поискал карту,...
Что общего у японских бань и файрвола, или Кибербез головного мозга
Привет! Я Никита Ладошкин, руковожу разработкой PT Container Security в Positive Technologies. Однако в этой статье речь пойдет не о продуктах и техниках защиты, и даже не о контейнерах (но это не точно) — сегодня я хотел бы выступить в необычной для себя роли тревел-блогера и рассказать о своих...
Как не отдать хакеру свой аккаунт: методы обхода MFA и способы защиты от таких кибератак
Меня зовут Василий Огнев, я руковожу направлением многофакторной аутентификации (MFA) в компании МТС RED, создающей продукты и сервисы кибербезопасности. В прошлой статье мы обсудили недостатки традиционных паролей: от любви пользователей к слишком простым комбинациям до подбора паролей брутфорсом....
[Перевод] Реверс-инжиниринг умных часов
Недавно в моём распоряжении оказалась партия умных часов с поддержкой геолокации, которые после тестирования были отправлены в резерв. Мне было поручено найти применение для этих девайсов, с чего и началась история их реверс-инжиниринга, о которой я поведаю в этой статье. Начну я с рассмотрения их...
Заражение по фэншую или разбор атаки через уязвимости Windows
Хабр, уже по сложившейся традиции сегодня мы разберем одну из интересных APT-атак на пользователей, в которой используется не стандартный способ доставки, маскировки, а также заражения системы с обходом EPP и EDR! Данный материал будет полезен сотрудникам SOC, TI-экспертам, Pentest и Threat Hunting...
Июльские одноплатники: 5 разных устройств для DIY, промышленности и других отраслей
Вот и наступила середина июля. А значит, одноплатных компьютеров стало еще больше — многие компании выпускают самые разные модели. В подборке — устройства, которые показались нам особенно интересными. Если вдруг вам нравится что-то другое — рассказывайте о своих фаворитах в комментариях. Ну а пока...
Велосумка посыльного
Всем привет! Я шил себе в прошлом году объёмную сумку, которая была на всё спину, их также называют сумка-мессенджер. Но она получилась уж очень большой, немного поездив с ней, я её отложив до лучших времён, т.к. решил переделывать. И вот спустя год всё-таки решил за неё взяться. Читать далее...
Как сбить цензор GPT-3.5 за 250 рублей?
Всего за 3 доллара и 15 минут ожидания можно заставить модель забыть про мораль и безопасный контент. В этой статье мы расскажем, как это сделать, и поделимся своими результатами. Читать продолжение в источни......
Дампим домен и смотрим артефакты
🔥 Атака Domain Dump позволяет злоумышленнику сдампить домен для получения информации о пользователях и группах, а также для последующего построения пути компрометации домена. Но как она делается и, самое главное, детектится в домене?... Читать далее...
[Перевод] Как я взломал штрих-коды продавца билетов TicketMaster
Недавно я купил билеты на концерт на сайте TicketMaster. Если бы мне отправили обычный распечатываемый билет в PDF, который бы можно было сохранить офлайн на телефоне, то этой статьи никогда бы не было. Но ведь сейчас 2024 год: всё, что делается онлайн, перестало быть простым. После завершения...
Что такое анализ киберугроз и зачем он бизнесу
В этой статье речь пойдёт речь о TI (Threat Intelligence) / CTI (Cyber Threat Intelligence) —анализе киберугроз. Разберемся как его проводят и чем он полезен. Читать далее...
Паук в Active Directory так лапками тыдык тыдык
Коллеги, доброго времени суток! Меня зовут Роман, и я работаю в отделе анализа защищенности компании Angara Security. Типичная ситуация - легитимный пентест. Мы получаем доступ во внутреннюю сеть. У "клиента" есть Active Directory, а у нас - самая обычная доменная учетная запись. Чтобы понять, куда...
Беспроводная клавиатура Lofree Edge: легкая, тонкая и дорогая. Что это за аксессуар?
Клавиатур много не бывает, а тем более — хороших. Не так давно в продажу поступила необычная модель, которая может стать надежным инструментом для работы. Речь идет о Lofree Edge, которая отличается от большинства других моделей небольшим весом и материалом, из которого создан корпус. Подробнее — в...
Что знать и уметь, чтобы стать участником Всероссийской студенческой кибербитвы?
Всероссийская студенческая кибербитва (для своих ВСКБ) — это крутое киберсоревнование, которое мы проводим для студентов направлений информационная безопасность. Всё почти как у взрослых: киберполигон на базе корпорации N, на котором команды атакующих реализуют киберугрозы, а защитники мониторят...
Зрелость процессов при управлении рисками ИТ/ИБ
Должны ли уровни зрелости процессов определять эффективность и результативность контроля, например, над рисками присущими ИТ/ИБ? Читать далее...