ИнфоБес (Информационная безопасность) Хак/Взлом/Защита

@infobes Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Канал посвященный информационной безопасности. Авторские статьи, тестирование на проникновение, разбор методов атаки и защиты от киберугроз. По всем вопросам @Artdai (https://t.me/Artdai)
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
20.12.2017 13:26
Последнее обновление
16.01.2019 12:32
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Searchee Bot
Каталог из 270 000 Telegram-каналов с поиском внутри бота.
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
23
подписчиков
~32
охват 1 публикации
~6
дневной охват
~31
постов / месяц
139.1%
ERR %
0
индекс цитирования
Репосты и упоминания канала
0 упоминаний канала
0 упоминаний публикаций
0 репостов
Упоминаний и репостов не обнаружено
Каналы, которые цитирует @infobes
Penetration Test
white2hack
Information Hardening
2ch/Двач
2ch/Двач
2ch/Двач
2ch/Двач
Penetration Test
Последние публикации
Удалённые
С упоминаниями
Репосты
Репост из: Penetration Test
Скоро вас начнут узнавать на улицах

Мэр Москвы рапортует об успешном подключении новой порции камер видеонаблюдения, сейчас их более 167 тысяч по всему городу. Также Сергей Семёнович рассказывает о применении новой технологии - системе распознавания лиц:

«Система распознавания лиц с целью поиска преступников уже внедрена в метро, а в этом году появится и на уличных камерах. И это будет круто: преступники будут держаться подальше от Москвы, здесь им уже не спрятаться.»

Комментарий эксперта электронного облака:

Онлайн распознавание лиц на улицах, биллинг телефонных номеров, запись и хранение интернет трафика, запрет на анонимность в публичных мессенджерах - тренды 18,19 годов.

Сложив вместе каждую из этих составляющих, можно получить подробную картину вашей жизни, включая мельчайшие подробности: Люди, с которыми вы встречаетесь, поминутное расписание и места нахождения вас и ваших близких, список контактов и переписка.

Стоит ли говорить, что все это будет использовано только во благо вашей безопасности?
Sergey Sobyanin
В 2018 году к городской системе видеонаблюдения мы подключили больше 7 тысяч камер. На сегодняшний день она насчитывает 167 тысяч камер, которые установлены во дворах, в подъездах, парках, школах, поликлиниках, на объектах торговли и строительства, а также в холлах органов исполнительной власти и других общественных местах. Записи с камер используются в расследовании порядка 70% правонарушений. Городская система видеонаблюдения помогает правоохранительным органам бороться с преступностью. Также с помощью видеонаблюдения фиксируются и выписываются штрафы за некачественное содержание территорий. Ведется мониторинг работы госучреждений. В городе работает разветвленная система дорожных камер, помогающих пресекать нарушения ПДД и регулировать движение на дорогах. В метро и наземном транспорте система видеонаблюдения работает для безопасности пассажиров. Система распознавания лиц с целью поиска преступников уже внедрена в метро, а в этом году появится и на уличных камерах. И это будет круто: преступники будут держаться…
https://hausec.com/pentesting-cheatsheet/
https://www.udemy.com/master-in-burp-suite-bug-bounty-web-security-and-hacking/?couponCode=LIMITED_FREE
https://habr.com/company/jetinfosystems/blog/430738/ интересные вебинары от Джетовцев, рекомендую к ознакомлению.
https://www.udemy.com/ethical-hacking-beginners-to-expert-level-kali-linux-tutorial/?couponCode=FBFREE001
https://tass.ru/ekonomika/5335862 через месяц порог беспошлинного ввоза в Россию снижается с 1000 евро до 500 евро, размер пошлины сохраняется - 30%.
Офтопик/инсайд на pandao.ru Усманов демпингует, можно выхватить мобилку с реальной 50% скидкой
https://www.kommersant.ru/doc/3811577 лицокнига и инстраграм прогнулись по россиянское законодательство, и блокирует посты по решению суда.
https://sanctionssearch.ofac.treas.gov/ тем временем в России 497 объекта/субьекта находится под санкциями. Сколько будет в следующем году...?
https://training.peritusinfosec.com/p/burp-suite-mastery/?product_id=715832&coupon_code=BLACKFRI
Advanced Penetration Testing - Hacking the World's Most Secure Networks | PDF/EPUB §b 6/6 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfMy05SjhEaWpGODQ

Black Hat Pyt
hon | PDF/EPUB | 3/3 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfbHY0dWVSVURMVE0

Defensive security ha
ndbook | PDF/EPUB/AZW3 | 29/27/4 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfT1JBa1VFMFBnVDg

Ethical Hacking and Penetration Test
ing Guide | PDF | 22 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfQVUwczFMU2JMWGc

Hacking - The Art of
Explotation | PDF | 4 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfeXNUbl96ZEt3Mk0

Hash Crack - Password
Cracking Manual | PDF/EPUB/AZW3 | 6/2/3 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfZDV1V251UzVtMmc

Kali Linux Revealed - Mastering the Penetration Te
sting Distribution | PDF | 26 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfSGpUSWk0QVJTUVU

RTFM -
Red Team Field Manual | PDF | 3 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfaFB5LVpsOGlMS00

The Hacker Playbook 2 - Practical Guid
e To Penetration Testing | PDF/EPUB/MOBI | 23/18/53 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfV0JpS1MtX015aEU

The Shellcoders's Handbook - Discovering an
d Exploiting Security Holes | PDF | 4 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfeXFvX1YzdG8zMVU

Violent Python - A Cookbook for Hackers, Forensic Analysts, Penetration
Testers and Security Engineers | PDF | 8 MB | https://drive.google.com/open?id=0B-OpLAp8EyTfNnYtUHQycGZwS28
​​Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).

История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.

Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.

Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).

Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19

Вот клиенты элитного посёлка «Жуковка».
Вот клиенты в Барвихе, включая местный Альфа-Банк.
А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он.

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств.
Давайте поищем по ключевому слову «Bank».
И что мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее.

Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал.
Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно).
Ещё через 5 дней я решил поинтересоваться результатами проверки информации, на что мне ответили, что всё исправили.
Я проверил: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять.
Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил.
https://meduza.io/news/2018/10/29/dannye-bolee-400-tysyach-sotrudnikov-sberbanka-popali-v-otkrytyy-dostup
https://myexperiments.io/linux-privilege-escalation.html
Репост из: white2hack
Друзья, для тех, у кого нет возможности в живую поработать с продуктом или оборудованием, но кто хочет оценить функциональные и юзабилити свойства этих средств защиты информации, некоторое разработчики предоставляют собственные live demo стенды, и вот некоторые из них:

Сканер уязвимостей OpanVAS (username: livedemo / password: livedemo)
https://www.greenbone.net/en/live-demo/

Устройства CheckPoint Live Demo for 700 gateways and SMP (username: demo / password: checkpoint)
https://community.checkpoint.com/thread/6480-live-demo-for-700-gateways-and-smp
https://demo700.checkpoint.com/
https://smbmgmtservice.checkpoint.com/

Устройства Fortinet Online Demos (username: demo / password: demo)
http://www.avfirewalls.com/Online-Demos.asp
https://fortigate.fortidemo.com/login
https://www.forticloud.com/demologin

Комплексные решения от ManageEngine
ADManager Plus (Administrator or Technician Logon)
http://demo.admanagerplus.com/
ADAudit Plus (Administrator or Technician Logon)
http://demo.adauditplus.com/?btmMenu

Набор управления AlienVault USM Anywhere Online (username: [email protected] / password: AVDemo2016!)
https://www.alienvault.com/thank-you/usma-live-demo-site
http://islamicommaparty.org/sites/default/files/OSCP-Security-Course.zip
https://github.com/s0md3v/Arjun утилита для тестирования параметров Get & Post запросов.
https://meduza.io/feature/2018/10/11/telegram-pozvolyaet-polzovatelyam-vykachat-vse-svoi-dannye-my-eto-sdelali-i-vot-chto-obnaruzhili-v-arhive в последних версиях телеграм можно смотреть, какие данные хранит о тебе Пашка и выдаст если решит, что ты террорист.
Telegram позволяет пользователям выкачать все свои данные. Мы это сделали — и вот что обнаружили в архиве
В конце августа 2018 года мессенджер Telegram согласился выдавать властям данные предполагаемых террористов (хотя еще ни разу этого не делал — по крайней мере, мы об этих случаях не знаем). За пару месяцев до этого мессенджер открыл пользователям возможность скачать все их данные. В теории, в этом архиве должно оказаться все, что у мессенджера есть на пользователя — а значит, власти не смогут получить что-то больше. Журналист «Медузы» Султан Сулейманов выкачал и изучил данные своего аккаунта в Telegram — и нашел там личные сообщения за всю историю существования аккаунта, а также IP-адреса входа в Telegram за последние 12 месяцев и другую информацию.
Курсы SANS & Offensive security
SANS 401 - Security Essentials Bootcamp Style.tar.gz
SANS 408 - Windows Forensic Analysis.tar.gz
SANS 410 - ICS & SCADA Security Essentials.tar.gz
SANS 414 - Training Program for CISSP Certification.tar.gz
SANS 502 - Perimeter Protection In-Depth.tar.gz
SANS 503 - Intrusion Detection In-Depth.tar.gz
SANS 504 - Hacker Tools, Techniques, Exploits, and Incident Handling.tar.gz
SANS 505 - Sans Securing Windows with PowerShell.tar.gz
SANS 506 - Securing Linux & UNIX.tar.gz
SANS 507 - Auditing & Monitoring Networks, Perimeters & Systems.tar.gz
SANS 508 - Advanced Digital Forensics and Incident Response.tar.gz
SANS 509 - Securing Oracle Database.tar.gz
SANS 511 - Continuous Monitoring and Security Operations.tar.gz
SANS 512 - Security Leadership Essentials for Managers.tar.gz
SANS 517 - Cutting Edge Hacking Techniques.tar.gz
SANS 518 - Mac Forensic Analysis.tar.gz
SANS 524 - Cloud Security Fundamentals.tar.gz
SANS 526 - Memory Forensics In-Depth.tar.gz
SANS 531 - Windows Command Line Kung Fu.tar.gz
SANS 542 - Web App Penetration Testing and Ethical Hacking.tar.gz
SANS 560 - Network Penetration Testing and Ethical Hacking.tar.gz
SANS 566 - Implementing and Auditing the Critical Security Controls - In-Depth .tar.gz
SANS 572 - Advanced Network Forensics and Analysis.tar.gz
SANS 577 - Virtualization Security Fundamentals.tar.gz
SANS 580 - Metasploit Kung Fu for Enterprise Pen Testing.tar.gz
SANS 610 - Reverse-Engineering Malware: Malware Analysis Tools and Techniques.tar.gz
SANS 617 - Wireless Ethical Hacking, Penetration Testing, and Defenses.tar.gz
SANS 642 - Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation Techniques.tar.gz
SANS 660- Advanced Penetration Testing, Exploit Writing, and Ethical Hacking.tar.gz
SANS 710 - Advanced Exploit Development.tar.gz
SANS 760 - Advanced Exploit Development.tar.gz

Offensive-Security - 101.tar.gz
Offensive-Security - AWE - Advanced Windows Exploitation 1.1.tar.gz
Offensive-Security - AWE - Advanced Windows Exploitation 2.0.tar.gz
Offensive-Security - CTP - Cracking the Perimeter 1.0.tar.gz
Offensive-Security - OSWP - WiFu.tar.gz
Offensive-Security - PWB - Penetration Testing with Backtrack.tar.gz
Offensive-Security - PWK - Penetration Testing with Kali.tar.gz

magnet:?xt=urn:btih:f91feb6d2ea93f1c3c03b6be52051c2df72da1b7&dn=CERTCOLLECTION+-+BASELINE+-+SANS+%26+Offensive-Security&tr=udp%3A//tracker.coppersurfer.tk%3A6969&tr=udp%3A//tracker.zer0day.to%3A1337&tr=udp%3A//public.popcorn-tracker.org%3A6969&tr=udp%3A//tracker.leechers-paradise.org%3A6969&tr=udp%3A//explodie.org%3A6969