IT&Безопасность
31.5K members
30 photos
365 links
Многое о безопасности в Telegram и не только.
Прокси-бот для обхода блокировки - @FCK_RKN_bot
Вопросы/сотрудничество: fck_rkn@tutanota.com / @it_scrt
Download Telegram
to view and join the conversation
Привет! Это Дима, я продолжаю рассказ о курсе информационной безопасности Pentestit.

Уже прошло больше половины курса, и я могу немного рассказать о том как он устроен.
Как я уже говорил, курс состоит из теоретической и практической частей. Теория – текстовые материалы и видеозаписи с детальным описанием темы. В видео нас знакомят с различными инструментами, демонстрируют пути поиска уявзвимостей и учат выполнять практические задания.

Из чего же состоит практика? Это самое интересное. Прохождение практической части происходит в интернет-лаборатории. У каждого задания есть цель – найти флаг. Флаг это секретный код, спрятанный где-то в глубине сайтов, операционных систем и баз данных. Чтобы их находить, мне приходится искать лазейки, пытаться придумать пути взлома. Это придает азарт прохождению заданий, ты бьешься до последнего, чтобы найти уязвимость и достать флаг.

Кстати, все практические задания тесно связаны с теорией и ситуация, когда знаний для проникновения не хватает, просто не возникает. Если что-то не получается, нужно лишь попробовать взглянуть под другим углом. Если самому разобраться все же не удалось, можно обратиться к куратору, который даст совет, и объяснит непонятное.

Прямо сейчас я прохожу задание где мне нужно, используя допущенные разработчиком сайта ошибки, получить доступ к файлам сайта и найти среди них флаг. Уже завтра я на этом примере расскажу как решаются задания лаборатории и покажу вам, как я искал флаг!
#pentest
31 января 2020 года Роскомнадзор возбудил административное производство в отношении компаний Facebook, Inc и Twitter, Inc,. Указанные компании не предоставили в установленный срок сведений о выполнении требований о локализации баз данных российских пользователей соответствующих социальных сетей на серверах, расположенных на территории Российской федерации, что предусмотрено ч.5 ст.18 Закона «О персональных данных» №152-ФЗ. Административное производство было возбуждено по признакам совершения административного правонарушения в соответствии с ч. 8 ст.13.11. КоАП Российской Федерации, предусматривающей административный штраф в размере от 1 млн до 6 млн рублей.

Соответствующий протокол был составлен в присутствии представителя компании Twitter. Представитель компании Facebook на подписание Протокола не явился. В соответствии с законодательством копия Протокола будет направлена в адрес компании в течение трех дней.

Роскомнадзор направит Протокол в суд в течение трех рабочих дней.

https://rkn.gov.ru/news/rsoc/news71720.htm
Forwarded from ЗаТелеком
Ладно. Если серьезно, то мой прогноз по ситуации такой:

ФБ и Твиттер не будут ставить никаких серверов "с персональными данными" в России. Причины:

1. Само требование — абсурдно. Как разделять ПД россиян и не-россиян в ФБ и тем более Твиттере? Никто не знает. Тем более РКН и прочие чудики, которые напринимали идиотских законов.

2. Соответственно, стоимость таких манипуляций, персонал, разработка и еще тысяча причин — невозможно посчитать и тем более реализовать. А указанные компании умеют считать бабло. А тут получается "сделай то, незнамо что" и за свой счет, для непонятных причин и при полной их бизнес-бесполезности.

3. ... и даже вредности. Ибо, физическое нахождение инфраструктуры внутри страны с правительством-идиотами чревато с точки зрения безопасности данных. Ну, они ж реально дебилы — ну как начнут с отверткой в сервера лазить, жоские диски доставать.

4. Соглашательство на выполнение абсурдных и небезопасных требований означает, что весь другой мир не поймет. Типа, если ФБ будет комплаить законы РФ по тотальной слежке имени "яровой", станут ОРИ и вот это всё — это будет означать, что ФБ&Тви занимаются сливом данных пользователей. А в глазах западного мира это означает, что "контора работает на KGB". Это ж мы знаем, что это все профанация — а незамысловатый американский акционер продаст акции. Что приведет к снижению капитализации, а это уже реально серьезно.

5. Хватит ли яиц у Жарова заблокировать ФБ&Тви — не знаю. Скорее всего, нет. Результат такой блокировки может непредсказуемым. Причем, в голову прилетит с разных сторон. Ну, например, ФБ это ж еще и Инстаграмм. А там много всяких персон интересных. Медведев, например, может быть недоволен, а он у нас же ЗАМЕСТИТЕЛЬ СОВЕТА БЕЗОПАСНОСТИ! Или тыщщи людей выйдут на улицу с плакатами "вы чо там совсем ебанулись?". Но самое неприятное — может быть ответочка со стороны Запада в виде витка санкций, например. Или рашу-тудей закроют. А как "влиять на результаты выборов", если из России нельзя будет в ФБ?

В общем, ставлю литр односолодового против балтики-7, что яиц заблокировать ФБ&Тви и нашего истеблишента не хватит.

Наиболее вероятный исход, таким образом: ФБ&Тви назначат штраф по миллиону, они их выплатят и об истории опять забудут на пару лет.
Необычные уязвимости обычных датчиков

То, что теперь у каждого цифрового устройства есть куча «органов чувств», помогающих ему взаимодействовать с физическим миром, — это, с одной стороны, удобно. Но с другой — создает новые, порой весьма неожиданные угрозы. Дело в том, что эти «органы чувств» хоть и близки к человеческим функционально, но по конструкции и возможностям сильно от них отличаются. И об этом не всегда задумываются при разработке электроники.

Взять, к примеру, ультразвуковые команды: человек их не слышит, а голосовые помощники — не только слышат, но и исполняют. Впрочем, взлом ассистента с помощью звука, хоть и неуловимого для человеческого уха, — это хотя бы как-то можно понять и предугадать. А вот как насчет… света?
Минюст вводит в КоАП новые наказания за правонарушения с использованием интернета

В частности, санкции за пропаганду наркотиков, нетрадиционных сексуальных отношений, распространение материалов незарегистрированных СМИ и другие нарушения.

Так, Минюст предлагает штрафовать за распространение материалов изданий, не зарегистрированных в России в качестве СМИ (включая зарубежные), а также за их перепосты. Кроме того, предлагается ввести штрафы для СМИ за непредоставление информации о финансировании.

Кроме того, Минюст предлагает штрафовать российские медиа за сокрытие информации о финансировании (статья 33.6 КоАП). Такое нарушение будет предусматривать ответственность в виде штрафа на должностных лиц в размере от 30 до 50 тысяч рублей, на юрлиц — от однократной до двукратной суммы денежных средств, которые получены редакцией СМИ или издателем.

Изначально регистрация СМИ была добровольной и выгодной самим СМИ: налоговые льготы, защита сотрудников, обязательные ответы чиновников на запросы и т.д. Формально добровольность сохраняется и сейчас: не хочешь – не регистрируйся. Вот только теперь всех, кто будет тебя лайкать, репостить, ссылаться, цитировать, будут штрафовать.
А значит, регистрация фактически становится обязательной. Но есть СМИ, которые не будут зарегистрированы никогда.


Новый КоАП также вводит наказание за пропаганду наркотиков, в том числе в Интернете. В проект нового КоАП также внесены принятые в прошлом году штрафы о наказаниях за оскорбление госсимволов и недопустимую критику. Наказание за пропаганду нетрадиционных сексуальных отношений среди несовершеннолетних в сети «Интернет» осталось практически таким же.

Роскомсобода, Дмитрий Гудков, Павел Чиков.
Считаете ли Вы новые наказания за правонарушения в интернете цензурой?
Anonymous Poll
61%
Да.
24%
Административки - новая нефть.
9%
У меня нет мнения на этот счёт.
13%
Нет.
Уязвимость в Safari, релиз ядра Linux, выход из беты Dataset Search и другие новости ИТ за неделю

• Из-за низкого спроса Google закроет конструктор приложений без навыков программирования App Maker в январе 2021 года. Сервис будут отключать постепенно — создавать приложения нельзя будет уже с 15 апреля 2020 года.
• Разработчики проекта Heptapod объявили о введении в строй публичного хостинга для open-source-проектов, использующих Mercurial. Запущенный сервис допускает бесплатное размещение любых свободных и открытых проектов с лицензиями, одобренными в OSI.
Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и открытом ПО. Общая сумма выплат в 2019 году составила $6,5 млн.
• Разработчик антивируса Avast продолжает продавать данные об интернет-активности пользователей. Речь идет о поисковых запросах в Google, местоположении в Google Maps, действиях на LinkedIn, YouTube и на порносайтах, говорится в исследовании Motherboard и PCMag.
Вышел из беты сервис Dataset Search от Google для удобного поиска наборов данных. Он позволяет находить нужную информацию среди примерно 25 млн репозиториев, свободно доступных в интернете.
Google разрабатывает бизнес-приложение для конкуренции с Microsoft Teams и Slack. Компания планирует объединить в нём Gmail, приложение для видеоконференций и другие облачные сервисы.
Линус Торвальдс представил первый стабильный релиз ядра Linux 5.5. Новая версия имеет поддержку нового оборудования, улучшения сетевой и дисковой подсистем, обновления функций безопасности, механизма применения патчей без перезагрузки системы.
• Лаборатория AV-TEST опубликовала свежий рейтинг антивирусных программ для Windows 10. Их тестировали по трём параметрам: защита от зловредного ПО, производительность и юзабельность. Максимальный балл по итогам трёх тестов — 18 из 18 — набрали программы BullGuard Internet Security, Kaspersky Internet Security и NortonLifeLock Norton Security.
Google обнаружила уязвимость в Safari, которая допускала слежку за пользователями. Злоумышленники могли получить доступ к истории посещений и поисковых запросов. Также уязвимость могла позволить сайтам отслеживать пользовательские действия в сети.
• Консалтинговая компания Capgemini опубликовала основные тренды в розничном банкинге на 2020 год. По мнению экспертов, банки будут конкурировать c Google в борьбе за таланты, много работать с финтех-стартапами и разрабатывать собственные технологии.
#новости revolt
Привет, это снова Дима!

Пока я прохожу практическое задание в интернет-лаборатории Pentestit, о котором обещал вам рассказать, хочу немного поделиться впечатлениями о том, кому будет полезен этот курс по пентесту и информационной безопасности Pentestit.

Как я упоминал ранее, для прохождения базового курса не потребуется никаких особых навыков в безопасности или понимания принципов проникновения. В курсе расскажут про основные утилиты, которыми вы будете пользоваться для обучения, а принципы работы некоторых программ даже разберут на видеоуроках. В то же время, никто не запретит вам использовать уже знакомый софт или искать свои, нестандартные пути получения токенов.

Если вы уже не новичок в этом деле, скучать вам тоже не придется. Курс идет по нарастанию сложности и вполне возможно, что в какой-то момент поломать голову над заданиями придется и вам. Курс не зацикливается только на технической части проникновений. Так, например, вы сможете почерпнуть что-то новое из введения в социальную инжинерию или обезопасить себя знаниями о законодательстве в сфере информационной безопасности.

А я пошел дорешивать задания, времени осталось не так много!
#pentest
Руководство параноика для защиты MacOS от вредоносов и «злых уборщиц»

В этом руководстве речь пойдет о защите от атак, прозванных «evil maid» («злая уборщица»), когда злоумышленник получает доступ к компьютеру, оставленному без присмотра, например, в отеле.
Почему электронные письма легко подделать

Иногда для того чтобы понять, что перед вами фишинговое письмо, достаточно проверить поле «От кого». Но мошенники способны сфабриковать сообщение, которое невозможно отличить от подлинного. Преступник, владеющий такой техникой, может создать организации серьезные проблемы: большинство людей без раздумий перейдет по ссылке (которая оказывается вредоносной) и откроет вложенный файл в письме, которое, казалось бы, пришло от начальника или важного клиента. Их трудно упрекнуть в невнимательности, ведь нет никаких признаков того, что письмо фальшивое. Как мошенникам удается создавать «идеальные» подделки?
🔥 Подборка самых интересных каналов про IT, хакинг и безопасность

Инкогнито - Самый крупный канал о даркнете. Рассказываем про анонимность в сети, хакинг и противодействуем мошенничеству в интерннете.

@Haccking - Тот самый, первый телеграм канал по ИБ. Ребята стабильно пишут о хакинге, програмировании и безопасности в сети более 2-х лет. Понятно и интересно даже новичкам. Подписывайся!

@dataleak - Канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.

CyberYozh - Бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@SecLabNews - Канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

Эксплойт - Информационная безопасность и хакерство. Секреты анонимности в интернете, баги социальных сетей, тайные возможности смартфона, уроки по взлому и многое другое.
Топ 10 браузерных расширений для хакеров и исследователей на основе открытых источников

Хотя современные браузеры достаточно стабильны и с большим количеством возможностей, но они не могут удовлетворить все возможные потребности пользователей. С целью добавления особо специфических функций используются так называемые расширения. Например, хакерам и исследователям, пользующимся открытыми источниками, требуются дополнительные инструменты для анонимного серфинга, авторизации через SSH и сбора доказательств в интернете. Далее будет приведен список избранных расширений.
Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON

Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
Telegram опубликовал на сайте бета-тестирования своей блокчейн-платформы Telegram Open Network инструкцию по созданию сайтов в децентрализованной сети TON — TON Sites. Сайт test.ton.org упоминается в одном из официальных сообщений мессенджера.
Согласно документу, сайты TON могут использоваться как точка входа для других сервисов платформы. Например, html-страницы, загруженные с TON Sites, могут содержать ссылки вида ton:// — перейдя по такой ссылке пользователь с установленным кошельком TON Wallet сможет выполнить платёж.
Технически сайты TON похожи на обычные веб-сайты, но доступ к ним осуществляется через сеть TON, а не через интернет, говорится в документах.
У каждого такого сайта есть абстрактный ADNL-адрес вместо более распространённых IPv4- или IPv6-адреса, они принимают запросы HTTP через разработанный Telegram протокол RLDP вместо обычного TCP или IP. Шифрование обрабатывается ADNL, поэтому разработчикам не нужно использовать HTTPS.

Для доступа к существующим и создания новых сайтов нужны специальные шлюзы между «обычным» интернетом и сетью TON. Доступ к сайтам TON осуществляется с помощью HTTP-> RLDP-прокси, работающего локально на клиентском компьютере, и они создаются с помощью обратного RLDP-> HTTP-прокси, работающего на удалённом веб-сервере.
#новость #telegram #ton vc ru
Как фишеры используют тему коронавируса

Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Forwarded from Эшер II
⚡️⚡️⚡️ The Bell и «Медуза» пишут о том, что летом ФСБ рассылала официальные требования ОРИ (организаторам распространения информации) предоставления круглосуточного доступа к переписке, ключи шифрования и вот это вот всё. Есть треки почты:
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей

‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний

👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://tlg.repair/zatelecom/12870

👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее

⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
Скрытый кейлоггинг

За последние годы было много попыток создания устройств для сбора нажатых клавиш. Самоделки изготавливаются в основном на базе устройств Raspberry Pi или плат Arduino. С другой стороны, крошечные девайсы KeyLogger PRO от компании Maltronics удивляют богатством возможностей, доступных для пользователей.
Далеко не каждый сможет сразу же обнаружить такое крошечное устройство, подключенное к компьютеру.
Облачные сервера

Если вам нужны масштабируемые облачные сервера, при этом обеспечивающие доступ к всемирной сети с низкой задержкой и позволяющую вам развернуть инфраструктуру обслуживания в непосредственной близости от вашей клиентской базы, то советуем обратить внимание на CryptoServers.
Ах да, еще они оплачивается только криптовалютой.
#промо
Кто, как и зачем нападает на сайты: самые значимые политические DDoS-атаки в истории интернета. Ч5

2008. Война в Грузии: DDoS как оружие
В ходе конфликта на территории Южной Осетии пророссийские хакеры вновь поддержали позицию официальной Москвы. Их грузинские коллеги не оставались в долгу — стороны пытались заглушать новости друг друга с помощью DDoS-атак. Пострадали и сайты властей — как грузинских, так и осетинских.
2011. Anonymous против всех: DDoS как новый мировой порядок и DDoS как удержание статус-кво
До начала Арабской весны акции анонимных хакеров, выходцев с легендарной имиджборды 4chan, были в меньшей степени политическими, а в большей — троллингом и хулиганством. Однако в 2011 году они стали представлять собой реальную политическую силу.
#DDoS