Топ-108 телеграм-каналов в ИБ

Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.

Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты ведущих деловых СМИ. Состав экспертного совета, который голосовал за каналы, опубликуем отдельно. Главный критерий по традиции — контент.

Каналы ранжируются по количеству голосов в своих категориях.

Авторские:

1. Пакет Безопасности
2. Пост Лукацкого
3. Сицебрекс! и Sachok
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова

Offensive:

1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers

Defensive:

1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear

Mixed:

1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do

Микроблоги:

1. Ильдар Пишет
2. Омский Багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. CyberBox и NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity

Новостные/агрегаторы:

1. SecАtor
2. НеЛукацкий
3. НеКасперский
4. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. Максим Горшенин | imaxai и RUSCADASEC news: Кибербезопасность АСУ ТП

Корпоративные:

1. Kaspersky
2. Red Security
3. Positive Technologies
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, ИнфоТеКС, Инфосистемы Джет, 3side кибербезопасности и Echelon Eyes
7. CURATOR, Angara Security, InfoWatchOut

Каналы IT-журналистов:

1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС, Половников и Девочки/Перцева
7. Точксичная цифра, Первый канал, Электро⚡шок, это Жабин

OSINT:

1. Russian OSINT
2. КиберДед official
3. OSINT mindset
4. Интернет-Розыск I OSINT I Киберрасследования и Schwarz_Osint
5. DanaScully, STEIN: ИБ, OSINT, network worm notes, BeholderIsHere Media HUB
6. Pandora’s box

Юмор/мемы:

1. Cybersecurity memes off
2. Bimbosecurity и Я у мамы SecMemOps
3. #memekatz (https://t.me/memekatz) и Information Security Memes (https://t.me/infosecmemes)
4. Спасите Нарциссо (https://t.me/savenarcisso) и Memes 365 (https://t.me/bugbountymeme)
5. OTSOSINT (https://t.me/ots0sint) и The After Times (https://t.me/theaftertimes) и Вредные советы по ИБ (https://t.me/badofis)

Специальная номинация: канал «Код ИБ»( https://t.me/codeibnews )

@cybersachok

У Яндекса кстати одни из самых лучших митапов, где я был!

Ньюс!

В Singleton Security у нас теперь есть человек, который шарит в маркетинге.

Сказала, что мой канал надо не просто пинать репостами, а вести как нормальный — с текстами, оформлением и регулярностью. Ну, допустим)

Я по-прежнему пишу сам, просто меня будут чуть чаще подпинывать, чтобы я рассказывал про свой опыт в белом хакинге и делился внутрянкой проектов.

Контента станет больше, канал станет чуть опрятнее — но не переживайте, в витрину он не превратится.

Я никого не продам, и вас тоже. Вы видели мои продажи... ❤️

Мой самый яркий взлом

Мне всегда были особенно интересны проекты, связанные с деньгами — дистанционное банковское обслуживание, криптобиржи, платёжные системы. Там каждая уязвимость — это прямой путь к реальному ущербу, возможность создать деньги из воздуха. Это даёт приятное ощущение своей полезности, особенно когда находишь критический баг.

Но именно самый запомнившийся проект был не про деньги, а про мышление.

Однажды меня попросили взломать офис политической партии. Причём не просто проникнуть в одну точку и подключиться к принтерам или внутренней телефонии — а понять, как может быть атакована вся инфраструктура, и на этом построить рекомендации для всех штабов по стране.

И вот там реально включается совсем другой мозг.

Ты смотришь на проект не просто как хакер — а как инженер.

🤔 Думаешь: «Окей, я бы лез вот отсюда. Тогда защитить надо вот так. Но если я попробую с этой стороны — придётся придумать ещё один уровень защиты».

И так по кругу.

Такие штуки нечастые, но именно в них рождается настоящая экспертиза. Это почти шахматы, где ты играешь сам с собой — и должен победить обе стороны.

Делитесь, какие самые нестандартные проекты были у вас 👇🏻

А еще вот на что гляньте!

*Напомню, что компания CyberED входит в группу Cyberus.

Будем рады представлять Россию на международной арене подготовки специалистов по кибербезопасности, хакеров и блютимов.

Как проходит физический пентест?

Хочу познакомить вас с пионером физического пентеста в России, моим другом, и, с недавнего времени, операционным директором Singleton Security Егором Зайцевым.

Помимо стандартных навыков хакера, физический пентест требует уметь:

- взламывать замки и сигнализацию
- анализировать карту предприятия
маскироваться, сливаться с толпой и обходить камеры наблюдения
- прыгать через заборы и быстро бегать

Егор успешно проникал и на оборонные предприятия, и в серверные технологических гигантов. Оставлю тут ссылку на его ютуб-канал — там можно посмотреть, как захватить завод за 4 часа:

https://youtu.be/TeQ7WV4rFcM?si=UIMSFWaK1Vd5ODjh

Про отбор людей в команду

Я работал в четырёх разных командах пентеста и своими глазами видел, как распадаются даже очень сильные отделы. Потому что важно не просто найти хороших специалистов, а построить среду, в которой хочется оставаться.

В итоге я собрал подход к отбору людей, который работает не на «идеального кандидата», а на живучесть самой команды. Каждое собеседование не похоже на предыдущее, нет строгого списка заготовленных вопросов. Мы с кандидатами просто пытаемся узнать друг друга и понять, насколько друг другу подходим.

Собственно, вот принципы:

1. Особенности в скиллах круче универсальности
Мне неинтересны пентестеры “середнячки”. Хочешь в команду — расскажи, в чём твой талант. Может ты крут в Java; Кто-то копает вглубь и не останавливается и поэтому изучил весь Windows Internals; Кто-то прирожденный прогер. Но быть просто «средним» — не вариант.

2. Потенциал важнее лет опыта.
Неважно, что ты умеешь сейчас. Важно то, как быстро ты учишься. Кто-то за год делает рывок на три головы. А кто-то 10 лет топчется на месте. Я всегда смотрю: сколько времени потратил человек и к чему это привело, какими темпами шёл прогресс.

3. Каждый должен добавлять ценность в команду.
Не просто делать задачи, а быть интересным для других. Чтобы хотелось с тобой работать, обсуждать, спорить, расти. Без этого ни одна команда не проживёт долго.

P.S. и платить кандидатам в рынке, а то херня получится

Вышла очень проработанная статья по пассивному рекону моего хорошего знакомого. Советую к изучению!

Не берусь судить о продвинутости, так как давно сам не щупал, но такие материалы очень полезны, чтобы обновить запас тулов, а для кого-то и вовсе сформировать подход. Если есть что добавить, го в комменты.

Лучи поддержки автору: @Alevuc

Passive Recon. Составляем полный воркфлоу для тихой разведки #статьи #подписчикам

Пассивная разведка позволяет собрать данные о цели с минимальными рисками обнаружения. Это важный этап в пентестах и прочих offensive-проектах. Эта статья — пошаговое руководство от сбора доменов, IP-адресов и утекших данных до поиска уязвимостей. Имея перед глазами четкий план действий, можно эффективнее готовиться к следующим этапам.

https://xakep.ru/2025/04/17/passive-recon-guide/

Про хакерские конфы

Расскажу про одну штуку, которую я бы исправил во всех хакерских конфах.
Ты типикал хацкер, приходишь на типикал хакерскую конфу OFFZONE, Standoff, ZeroNights (когда-то). Конфа крутая: куча движа, квесты, CTFы. Все збс, и естественно ты участвуешь во всех активностях для хака.

Но есть одно но!

НАХУЯ делать турнир на самой конфе, а мне сидеть все два дня и лупить в моник, пока вокруг тусуются тысячи людей, которые собрались ради движа?! Зачем собирать тонну хакеров, чтобы рассадить их по углам конфы, где они всю дорогу гнули спину и пообщались только на афтерпати.

На конфе здорового человека (тот же ZeroNights) можно за неделю или за несколько дней отфигачить даже не один турнир и прийти на тусовку, чтобы обмениваться опытом, нетворчиться, слушать выступления, общаться со спикерами. Как раз будет что обсудить на конфе, все уже все порешали и всю дорогу обсуждают как это было.

Охуенная идея для оргов которую уже подхватили в Standoff начитать турнир за два дня до конфы, собирать всех хакеров в оффлайн и кормить вкусняшками. А на конфу уже выносить все результаты, с разборами, с видеомонтажем всех горбатых пацанов сидящих за экраном монитора и пр.

В итоге можно было и на турнирной табличке выебнуться, и не потратить на сидение в неудобном людном месте пару дней, пропустив конфу.

Через 40 минут, буду в эфире!

Веду дискуссию на тему Импостеров в инфраструктуре.

Ссылка для тех, кто любит AmongUs: https://revolutionconf.ru

Запись будет по ссылочке выше.

Получилось живенько, с примерами и самыми лучшими рекомендациям, спасибо профикам на креслах.

Какие уязвимости мы чаще всего находим в веб-приложениях

Мой коллега, специалист по анализу защищённости приложений @DikiDart собрал самые попсовые уязвимости веб-приложений на основе нашей практики в Singleton Security.

Если коротко — да, 2025 год, а набор популярных болячек максимально прост. На сотнях проектов — от банков до госов — повторяются одни и те же истории. Вот 6 уязвимостей, которые мы ловим чаще всего:

1. Client Side баги
Clickjacking, Form Hijacking, XSS, CSP дырявый или вообще отсутствует. Хочешь атаковать? Просто вставь payload — и смотри, где он отобразился.

2. IDOR
Подставляешь ID — и получаешь чужие данные — просто подарок пентестеру.

3. Атаки на пароли
Разный ответ на неверный логин и пароль — уже полдела. Дальше — Password Spraying, брутфорс, сбор почт через восстановление пароля.

4. Проблемы в загрузке файлов
Картинка с <script> в названии превращается в XSS. А если файлы не изолированы и плохо проверяются — можно дорасти и до RCE.

5. Race Condition
Отправляешь пачку запросов — и у тебя 99999 бонусов, три бесплатные покупки и чужой аккаунт. Если нет блокировок и контроля состояний — ждём логических уязвимостей.

6. Исходники на GitHub
Разработчик что-то выложил, а ты нашёл ключи, конфиги, логины. Да, такое до сих пор бывает. И пусть будет, а то деньги на еду кончатся.

Про навыки, которые я притащил из пентеста в предпринимательство

Мало кого интересует этот вопрос, но мне кажется реально крутым, что хакерская практика, может прокачать бизнес скиллс. Делюсь наблюдением. Упорный хеккинг помогает:

1. Не бояться ошибаться.
Такая прям толерантность к факапам, которая вроде как приписывается предпринимателям, но на самом деле она из хакинга идёт ещё лучше. Потому что когда ты решаешь какие-то задачи, турниры, делаешь ресёрчи — у тебя всё постоянно не получается, ты по 10 раз что-то пробуешь, жопа горит из-за того, что все смогли, а ты один ковыряешься ещё. И ты живёшь в этой среде, где все кроме первого места лажают. А побеждают только те, кто постоянно пытаются. Это же в чистом виде тренировка предпринимательских начинаний.

2. Прокачать тех. эрудицию.
Теперь ты понимаешь, насколько сложно что-то сделать. Сколько стоит фича, сколько времени на неё уйдёт, как накостылить быстро MVP. И это супер помогает на ранних стадиях бизнеса, когда у тебя нет команды или она маленькая, и ты всё руками делаешь. Потому что пока ты сам не сделаешь, ничего не поедет.

3. Прокачать навык быстро учиться.
Просто садиться и разбираться в новой теме. В хакинге ты привыкаешь рыть мануалы, разбираться в каких-то ебаных фреймворках, JVM-ках, десериализациях, чужом говнокоде... И потом, когда ты лезешь в продажи, в маркетинг, в рынок — тебя уже ничем не удивить. Ты такой: ну типа, изи таска за 50…

Короче, хакер - это почти прирождённый предприниматель. По сути это он и есть, только в виртуальном мире, остаётся только научиться под свои больные идеи ещё и людей подтягивать.