А еще вот на что гляньте!
*Напомню, что компания CyberED входит в группу Cyberus.
Будем рады представлять Россию на международной арене подготовки специалистов по кибербезопасности, хакеров и блютимов.
*Напомню, что компания CyberED входит в группу Cyberus.
Будем рады представлять Россию на международной арене подготовки специалистов по кибербезопасности, хакеров и блютимов.
👍4🤡1
Forwarded from ОДКБ
ОДКБ и фонд “Сайберус” займутся повышением защищенности государств – членов Организации в киберпространстве
Секретариат ОДКБ и Фонд развития кибербезопасности "Сайберус" подписали меморандум о сотрудничестве в области информационной безопасности. Соглашение направлено на повышение уровня кибербезопасности в государствах – членах ОДКБ.
Со стороны Секретариата меморандум подписал Генеральный секретарь ОДКБ Имангали Тасмагамбетов, со стороны “Сайберус” – сооснователь фонда Юрий Максимов.
Секретариат и “Сайберус” планируют развивать сотрудничество в области защиты от киберугроз и обмениваться опытом внедрения современных технологий в системы управления и защиты объектов, имеющих важное значение для национальной и региональной безопасности, а также проводить совместные научные исследования.
Стороны также будут сотрудничать в подготовке специалистов по кибербезопасности в государствах – членах ОДКБ и заинтересованы в совершенствовании законодательства в этой сфере.
💬 «Подписание меморандума создает основу для расширения сотрудничества в области защиты критически важных объектов, подготовки специалистов и совершенствования нормативной базы. В перспективе это позволит укрепить координацию между государствами – членами ОДКБ в противодействии киберугрозам и повысить уровень киберустойчивости в регионе», – сказал Генеральный секретарь ОДКБ Имангали Тасмагамбетов.
💬 «Киберпространство не знает границ, и обеспечить безопасность в цифровом мире невозможно в одиночку. Эффективная защита требует международного сотрудничества. Поэтому мы активно взаимодействуем с государствами, бизнесом и профильными организациями. Только объединив усилия и обмениваясь лучшими практиками, мы сможем создать устойчивое и безопасное киберпространство для всех», – сказал сооснователь фонда "Сайберус” Юрий Максимов.
@odkb_csto
Секретариат ОДКБ и Фонд развития кибербезопасности "Сайберус" подписали меморандум о сотрудничестве в области информационной безопасности. Соглашение направлено на повышение уровня кибербезопасности в государствах – членах ОДКБ.
Со стороны Секретариата меморандум подписал Генеральный секретарь ОДКБ Имангали Тасмагамбетов, со стороны “Сайберус” – сооснователь фонда Юрий Максимов.
Секретариат и “Сайберус” планируют развивать сотрудничество в области защиты от киберугроз и обмениваться опытом внедрения современных технологий в системы управления и защиты объектов, имеющих важное значение для национальной и региональной безопасности, а также проводить совместные научные исследования.
Стороны также будут сотрудничать в подготовке специалистов по кибербезопасности в государствах – членах ОДКБ и заинтересованы в совершенствовании законодательства в этой сфере.
@odkb_csto
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20💩8🤡2🦄2❤1😁1
Как проходит физический пентест?
Хочу познакомить вас с пионером физического пентеста в России, моим другом, и, с недавнего времени, операционным директором Singleton Security Егором Зайцевым.
Помимо стандартных навыков хакера, физический пентест требует уметь:
- взламывать замки и сигнализацию
- анализировать карту предприятия
маскироваться, сливаться с толпой и обходить камеры наблюдения
- прыгать через заборы и быстро бегать
Егор успешно проникал и на оборонные предприятия, и в серверные технологических гигантов. Оставлю тут ссылку на его ютуб-канал — там можно посмотреть, как захватить завод за 4 часа:
https://youtu.be/TeQ7WV4rFcM?si=UIMSFWaK1Vd5ODjh
Хочу познакомить вас с пионером физического пентеста в России, моим другом, и, с недавнего времени, операционным директором Singleton Security Егором Зайцевым.
Помимо стандартных навыков хакера, физический пентест требует уметь:
- взламывать замки и сигнализацию
- анализировать карту предприятия
маскироваться, сливаться с толпой и обходить камеры наблюдения
- прыгать через заборы и быстро бегать
Егор успешно проникал и на оборонные предприятия, и в серверные технологических гигантов. Оставлю тут ссылку на его ютуб-канал — там можно посмотреть, как захватить завод за 4 часа:
https://youtu.be/TeQ7WV4rFcM?si=UIMSFWaK1Vd5ODjh
YouTube
Физический пентест: реальный кейс на режимном объекте
В этом видео я расскажу свой кейс из архива 🔐
Все как вы любите в формате лампового подкаста 💡
Усаживайтесь удобнее, заваривайте вкусный чаек или кофеек, а я начну повествование про рабочий проект в области кибербезопасности без воды.
🔗 Полезные ссылки:(чтобы…
Все как вы любите в формате лампового подкаста 💡
Усаживайтесь удобнее, заваривайте вкусный чаек или кофеек, а я начну повествование про рабочий проект в области кибербезопасности без воды.
🔗 Полезные ссылки:(чтобы…
👍24🔥17🤡2❤1
Про отбор людей в команду
Я работал в четырёх разных командах пентеста и своими глазами видел, как распадаются даже очень сильные отделы. Потому что важно не просто найти хороших специалистов, а построить среду, в которой хочется оставаться.
В итоге я собрал подход к отбору людей, который работает не на «идеального кандидата», а на живучесть самой команды. Каждое собеседование не похоже на предыдущее, нет строгого списка заготовленных вопросов. Мы с кандидатами просто пытаемся узнать друг друга и понять, насколько друг другу подходим.
Собственно, вот принципы:
1. Особенности в скиллах круче универсальности
Мне неинтересны пентестеры “середнячки”. Хочешь в команду — расскажи, в чём твой талант. Может ты крут в Java; Кто-то копает вглубь и не останавливается и поэтому изучил весь Windows Internals; Кто-то прирожденный прогер. Но быть просто «средним» — не вариант.
2. Потенциал важнее лет опыта.
Неважно, что ты умеешь сейчас. Важно то, как быстро ты учишься. Кто-то за год делает рывок на три головы. А кто-то 10 лет топчется на месте. Я всегда смотрю: сколько времени потратил человек и к чему это привело, какими темпами шёл прогресс.
3. Каждый должен добавлять ценность в команду.
Не просто делать задачи, а быть интересным для других. Чтобы хотелось с тобой работать, обсуждать, спорить, расти. Без этого ни одна команда не проживёт долго.
P.S. и платить кандидатам в рынке, а то херня получится
Я работал в четырёх разных командах пентеста и своими глазами видел, как распадаются даже очень сильные отделы. Потому что важно не просто найти хороших специалистов, а построить среду, в которой хочется оставаться.
В итоге я собрал подход к отбору людей, который работает не на «идеального кандидата», а на живучесть самой команды. Каждое собеседование не похоже на предыдущее, нет строгого списка заготовленных вопросов. Мы с кандидатами просто пытаемся узнать друг друга и понять, насколько друг другу подходим.
Собственно, вот принципы:
1. Особенности в скиллах круче универсальности
Мне неинтересны пентестеры “середнячки”. Хочешь в команду — расскажи, в чём твой талант. Может ты крут в Java; Кто-то копает вглубь и не останавливается и поэтому изучил весь Windows Internals; Кто-то прирожденный прогер. Но быть просто «средним» — не вариант.
2. Потенциал важнее лет опыта.
Неважно, что ты умеешь сейчас. Важно то, как быстро ты учишься. Кто-то за год делает рывок на три головы. А кто-то 10 лет топчется на месте. Я всегда смотрю: сколько времени потратил человек и к чему это привело, какими темпами шёл прогресс.
3. Каждый должен добавлять ценность в команду.
Не просто делать задачи, а быть интересным для других. Чтобы хотелось с тобой работать, обсуждать, спорить, расти. Без этого ни одна команда не проживёт долго.
P.S. и платить кандидатам в рынке, а то херня получится
🔥48🤮18💩14🤬12👎11👍10🤡6❤5
Вышла очень проработанная статья по пассивному рекону моего хорошего знакомого. Советую к изучению!
Не берусь судить о продвинутости, так как давно сам не щупал, но такие материалы очень полезны, чтобы обновить запас тулов, а для кого-то и вовсе сформировать подход. Если есть что добавить, го в комменты.
Лучи поддержки автору: @Alevuc
Не берусь судить о продвинутости, так как давно сам не щупал, но такие материалы очень полезны, чтобы обновить запас тулов, а для кого-то и вовсе сформировать подход. Если есть что добавить, го в комменты.
Лучи поддержки автору: @Alevuc
❤7🫡4🤡1
Forwarded from Хакер — Xakep.RU
Passive Recon. Составляем полный воркфлоу для тихой разведки #статьи #подписчикам
Пассивная разведка позволяет собрать данные о цели с минимальными рисками обнаружения. Это важный этап в пентестах и прочих offensive-проектах. Эта статья — пошаговое руководство от сбора доменов, IP-адресов и утекших данных до поиска уязвимостей. Имея перед глазами четкий план действий, можно эффективнее готовиться к следующим этапам.
https://xakep.ru/2025/04/17/passive-recon-guide/
Пассивная разведка позволяет собрать данные о цели с минимальными рисками обнаружения. Это важный этап в пентестах и прочих offensive-проектах. Эта статья — пошаговое руководство от сбора доменов, IP-адресов и утекших данных до поиска уязвимостей. Имея перед глазами четкий план действий, можно эффективнее готовиться к следующим этапам.
https://xakep.ru/2025/04/17/passive-recon-guide/
👍26🤡1
Про хакерские конфы
Расскажу про одну штуку, которую я бы исправил во всех хакерских конфах.
Ты типикал хацкер, приходишь на типикал хакерскую конфу OFFZONE, Standoff, ZeroNights (когда-то). Конфа крутая: куча движа, квесты, CTFы. Все збс, и естественно ты участвуешь во всех активностях для хака.
Но есть одно но!
НАХУЯ делать турнир на самой конфе, а мне сидеть все два дня и лупить в моник, пока вокруг тусуются тысячи людей, которые собрались ради движа?! Зачем собирать тонну хакеров, чтобы рассадить их по углам конфы, где они всю дорогу гнули спину и пообщались только на афтерпати.
На конфе здорового человека (тот же ZeroNights) можно за неделю или за несколько дней отфигачить даже не один турнир и прийти на тусовку, чтобы обмениваться опытом, нетворчиться, слушать выступления, общаться со спикерами. Как раз будет что обсудить на конфе, все уже все порешали и всю дорогу обсуждают как это было.
Охуенная идея для оргов которую уже подхватили в Standoff начитать турнир за два дня до конфы, собирать всех хакеров в оффлайн и кормить вкусняшками. А на конфу уже выносить все результаты, с разборами, с видеомонтажем всех горбатых пацанов сидящих за экраном монитора и пр.
В итоге можно было и на турнирной табличке выебнуться, и не потратить на сидение в неудобном людном месте пару дней, пропустив конфу.
Расскажу про одну штуку, которую я бы исправил во всех хакерских конфах.
Ты типикал хацкер, приходишь на типикал хакерскую конфу OFFZONE, Standoff, ZeroNights (когда-то). Конфа крутая: куча движа, квесты, CTFы. Все збс, и естественно ты участвуешь во всех активностях для хака.
Но есть одно но!
НАХУЯ делать турнир на самой конфе, а мне сидеть все два дня и лупить в моник, пока вокруг тусуются тысячи людей, которые собрались ради движа?! Зачем собирать тонну хакеров, чтобы рассадить их по углам конфы, где они всю дорогу гнули спину и пообщались только на афтерпати.
На конфе здорового человека (тот же ZeroNights) можно за неделю или за несколько дней отфигачить даже не один турнир и прийти на тусовку, чтобы обмениваться опытом, нетворчиться, слушать выступления, общаться со спикерами. Как раз будет что обсудить на конфе, все уже все порешали и всю дорогу обсуждают как это было.
Охуенная идея для оргов
В итоге можно было и на турнирной табличке выебнуться, и не потратить на сидение в неудобном людном месте пару дней, пропустив конфу.
2👍74💯25🔥18🤡4❤1👏1🗿1
Через 40 минут, буду в эфире!
Веду дискуссию на тему Импостеров в инфраструктуре.
Ссылка для тех, кто любит AmongUs: https://revolutionconf.ru
Веду дискуссию на тему Импостеров в инфраструктуре.
Ссылка для тех, кто любит AmongUs: https://revolutionconf.ru
R-EVOlution Conference
Конференция, посвящённая ИБ и ИТ-технологиям, где обсуждаются актуальные вопросы, демонстрируются решения и запускаются продукты, меняющие правила игры
👍13❤1🤡1
Какие уязвимости мы чаще всего находим в веб-приложениях
Мой коллега, специалист по анализу защищённости приложений @DikiDart собрал самые попсовые уязвимости веб-приложений на основе нашей практики в Singleton Security.
Если коротко — да, 2025 год, а набор популярных болячек максимально прост. На сотнях проектов — от банков до госов — повторяются одни и те же истории. Вот 6 уязвимостей, которые мы ловим чаще всего:
1. Client Side баги
Clickjacking, Form Hijacking, XSS, CSP дырявый или вообще отсутствует. Хочешь атаковать? Просто вставь payload — и смотри, где он отобразился.
2. IDOR
Подставляешь ID — и получаешь чужие данные — просто подарок пентестеру.
3. Атаки на пароли
Разный ответ на неверный логин и пароль — уже полдела. Дальше — Password Spraying, брутфорс, сбор почт через восстановление пароля.
4. Проблемы в загрузке файлов
Картинка с <script> в названии превращается в XSS. А если файлы не изолированы и плохо проверяются — можно дорасти и до RCE.
5. Race Condition
Отправляешь пачку запросов — и у тебя 99999 бонусов, три бесплатные покупки и чужой аккаунт. Если нет блокировок и контроля состояний — ждём логических уязвимостей.
6. Исходники на GitHub
Разработчик что-то выложил, а ты нашёл ключи, конфиги, логины. Да, такое до сих пор бывает. И пусть будет, а то деньги на еду кончатся.
Мой коллега, специалист по анализу защищённости приложений @DikiDart собрал самые попсовые уязвимости веб-приложений на основе нашей практики в Singleton Security.
Если коротко — да, 2025 год, а набор популярных болячек максимально прост. На сотнях проектов — от банков до госов — повторяются одни и те же истории. Вот 6 уязвимостей, которые мы ловим чаще всего:
1. Client Side баги
Clickjacking, Form Hijacking, XSS, CSP дырявый или вообще отсутствует. Хочешь атаковать? Просто вставь payload — и смотри, где он отобразился.
2. IDOR
Подставляешь ID — и получаешь чужие данные — просто подарок пентестеру.
3. Атаки на пароли
Разный ответ на неверный логин и пароль — уже полдела. Дальше — Password Spraying, брутфорс, сбор почт через восстановление пароля.
4. Проблемы в загрузке файлов
Картинка с <script> в названии превращается в XSS. А если файлы не изолированы и плохо проверяются — можно дорасти и до RCE.
5. Race Condition
Отправляешь пачку запросов — и у тебя 99999 бонусов, три бесплатные покупки и чужой аккаунт. Если нет блокировок и контроля состояний — ждём логических уязвимостей.
6. Исходники на GitHub
Разработчик что-то выложил, а ты нашёл ключи, конфиги, логины. Да, такое до сих пор бывает. И пусть будет, а то деньги на еду кончатся.
🔥31❤6👍4🤡2😴1
Про навыки, которые я притащил из пентеста в предпринимательство
Мало кого интересует этот вопрос, но мне кажется реально крутым, что хакерская практика, может прокачать бизнес скиллс. Делюсь наблюдением. Упорный хеккинг помогает:
1. Не бояться ошибаться.
Такая прям толерантность к факапам, которая вроде как приписывается предпринимателям, но на самом деле она из хакинга идёт ещё лучше. Потому что когда ты решаешь какие-то задачи, турниры, делаешь ресёрчи — у тебя всё постоянно не получается, ты по 10 раз что-то пробуешь, жопа горит из-за того, что все смогли, а ты один ковыряешься ещё. И ты живёшь в этой среде, где все кроме первого места лажают. А побеждают только те, кто постоянно пытаются. Это же в чистом виде тренировка предпринимательских начинаний.
2. Прокачать тех. эрудицию.
Теперь ты понимаешь, насколько сложно что-то сделать. Сколько стоит фича, сколько времени на неё уйдёт, как накостылить быстро MVP. И это супер помогает на ранних стадиях бизнеса, когда у тебя нет команды или она маленькая, и ты всё руками делаешь. Потому что пока ты сам не сделаешь, ничего не поедет.
3. Прокачать навык быстро учиться.
Просто садиться и разбираться в новой теме. В хакинге ты привыкаешь рыть мануалы, разбираться в каких-то ебаных фреймворках, JVM-ках, десериализациях, чужом говнокоде... И потом, когда ты лезешь в продажи, в маркетинг, в рынок — тебя уже ничем не удивить. Ты такой: ну типа, изи таска за 50…
Короче, хакер - это почти прирождённый предприниматель. По сути это он и есть, только в виртуальном мире, остаётся только научиться под свои больные идеи ещё и людей подтягивать.
Мало кого интересует этот вопрос, но мне кажется реально крутым, что хакерская практика, может прокачать бизнес скиллс. Делюсь наблюдением. Упорный хеккинг помогает:
1. Не бояться ошибаться.
Такая прям толерантность к факапам, которая вроде как приписывается предпринимателям, но на самом деле она из хакинга идёт ещё лучше. Потому что когда ты решаешь какие-то задачи, турниры, делаешь ресёрчи — у тебя всё постоянно не получается, ты по 10 раз что-то пробуешь, жопа горит из-за того, что все смогли, а ты один ковыряешься ещё. И ты живёшь в этой среде, где все кроме первого места лажают. А побеждают только те, кто постоянно пытаются. Это же в чистом виде тренировка предпринимательских начинаний.
2. Прокачать тех. эрудицию.
Теперь ты понимаешь, насколько сложно что-то сделать. Сколько стоит фича, сколько времени на неё уйдёт, как накостылить быстро MVP. И это супер помогает на ранних стадиях бизнеса, когда у тебя нет команды или она маленькая, и ты всё руками делаешь. Потому что пока ты сам не сделаешь, ничего не поедет.
3. Прокачать навык быстро учиться.
Просто садиться и разбираться в новой теме. В хакинге ты привыкаешь рыть мануалы, разбираться в каких-то ебаных фреймворках, JVM-ках, десериализациях, чужом говнокоде... И потом, когда ты лезешь в продажи, в маркетинг, в рынок — тебя уже ничем не удивить. Ты такой: ну типа, изи таска за 50…
Короче, хакер - это почти прирождённый предприниматель. По сути это он и есть, только в виртуальном мире, остаётся только научиться под свои больные идеи ещё и людей подтягивать.
❤34🥴17❤🔥10😁8🔥4🤡2👍1🤮1💩1
Всем привет с полей крупнейшей cybersecurity конференции в заливе!
В ближайшие пару дней набросаю вам моих мыслей про тренды в мировой сайберсекьюрити и подготовке спецов во все той же родимой, а пока вот вам пачечка давно забытых вашим глазом любимчиков.
В ближайшие пару дней набросаю вам моих мыслей про тренды в мировой сайберсекьюрити и подготовке спецов во все той же родимой, а пока вот вам пачечка давно забытых вашим глазом любимчиков.
🔥31👍5🤡2