Итоги пентестов — 2022 от PT
В Positive Technologies проанализировали состояние защищенности российских компаний1. В ходе пентестов 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
Источник + PDF
Дополнительно:
1. 96% российских компаний не сдали пентест
2. 77% организаций в России недостаточно защищены от взлома
3. Обзор рынка услуг тестирования на проникновение
4. Еще аналитика от PT за 2021год
5. За год компании укрепили внешний периметр, но забыли про внутренние сети
#analytics
В Positive Technologies проанализировали состояние защищенности российских компаний1. В ходе пентестов 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
Источник + PDF
Дополнительно:
1. 96% российских компаний не сдали пентест
2. 77% организаций в России недостаточно защищены от взлома
3. Обзор рынка услуг тестирования на проникновение
4. Еще аналитика от PT за 2021год
5. За год компании укрепили внешний периметр, но забыли про внутренние сети
#analytics
Results_of_pentests_2022_RUS.pdf
4.1 MB
Итоги пентестов — 2022 Подробный отчет от компании PT
ОТЧЁТ_по_исследованию_«Мониторинг_достижения_целей_обучения_выпускников.pdf
533.2 KB
ОТЧЕТ по исследованию о выпускниках Яндекс Практикум от НИУ ВШЭ
Пентест. Практика тестирования на проникновение, учебный видео курс, Александр Колесников, Иван Кудрявин, OTUS, 2019
Цель курса показать на практике, как проводится детальный анализ сетевых ресурсов, программного обеспечения, web-ресурсов на наличие уязвимостей, их эксплуатацию и дальнейшее устранение.
Официальный сайт
О курсе на Хабре
Download with Magnet
!!! Только для ознакомления!!! Всем кому понравилось приобретайте официальный учебный курс у разработчика
#education #pentest
Цель курса показать на практике, как проводится детальный анализ сетевых ресурсов, программного обеспечения, web-ресурсов на наличие уязвимостей, их эксплуатацию и дальнейшее устранение.
Официальный сайт
О курсе на Хабре
Download with Magnet
!!! Только для ознакомления!!! Всем кому понравилось приобретайте официальный учебный курс у разработчика
#education #pentest
Пентест_Практика_тестирования_на_проникновение_OTUS_7z.001
1.9 GB
Пентест. Практика тестирования на проникновение, учебный видео курс, Александр Колесников, Иван Кудрявин, 2019
✅Небольшой список полезных инструментов для теневой части интернета.
Поисковые утилиты:
- OnionSearch
- Darkdump
- Ahmia Search Engine - Ссылка на GitHub
- DarkSearch - Ссылка на GitHub
- Katana
Инструменты для получения onion ссылок:
- Hunchly
- H-Indexer
- Tor66 Fresh Onions
Инструменты для сканирования:
- Onionscan
- Onioff
- Onion-nmap
Краулеры:
- TorBot
- TorCrawl
- VigilantOnion
- OnionIngestor
Поисковые утилиты:
- OnionSearch
- Darkdump
- Ahmia Search Engine - Ссылка на GitHub
- DarkSearch - Ссылка на GitHub
- Katana
Инструменты для получения onion ссылок:
- Hunchly
- H-Indexer
- Tor66 Fresh Onions
Инструменты для сканирования:
- Onionscan
- Onioff
- Onion-nmap
Краулеры:
- TorBot
- TorCrawl
- VigilantOnion
- OnionIngestor
GitHub
GitHub - megadose/OnionSearch: OnionSearch is a script that scrapes urls on different .onion search engines.
OnionSearch is a script that scrapes urls on different .onion search engines. - GitHub - megadose/OnionSearch: OnionSearch is a script that scrapes urls on different .onion search engines.
👍1
Forwarded from Mr. Robot
This media is not supported in your browser
VIEW IN TELEGRAM
| Привет, друг. На связи Эллиот.
1. Sherlock — комплексный инструмент, который на множестве сайтов социальных сетей проверяет, зарегистрирован ли там пользователь с указанным именем, то есть имеется ли учётная запись с таким именем пользователя;2. Wayback Machine — инструмент для скачивания информации из интернет архива;
3. Fluxion — это инструмент аудита безопасности посредством MITM и исследований в области социальной инженерии;
4. Capa — обнаруживает возможности исполняемых файлов. Например, можно предположить, что файл является бэкдором, способен устанавливать службы или использует HTTP для связи;
5. GitLeak — проверяет утечки данных из git репозиториев;
6. Snoop — один из самых перспективных OSINT-инструментов по поиску никнеймов;
7. tangalanga — сканер Zoom конференций, который проверит наличие случайного идентификатора собрания и вернет информацию, если таковая имеется;
8. Airgeddon — это многофункциональный bash-скрипт для систем Linux по аудиту беспроводных сетей;
9. Octosuite — OSINT фреймворк для GitHub аккаунтов, на счёт него процесс изучения учетных записей и репозиториев более эффективный;
10. EagleEye — OSINT инструмент, который производит обратный поиск по фото.
#OSINT #Recon #Web
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Bafoмёд OSINT
Начинающая осинтерша переводит книги по осинту и разведке, прослушке в звуковой формат, постоянно пополняет, библиотека уже не маленькая.
Слушать: https://t.me/osint_sound
Слушать: https://t.me/osint_sound
Разбор GEOINT-задачки по поиску датской военной техники
https://telegra.ph/Kejs--Voennaya-tehnika-i-geolokaciya-09-10
https://telegra.ph/Kejs--Voennaya-tehnika-i-geolokaciya-09-10
Telegraph
Кейс — Военная техника и геолокация
Оригинал статьи 25-го августа 2019 года пользователь «Doxsor» опубликовал следующее изображение и спросил, куда направляется это военное средство и какие бараки находятся ближе всего к месту съемки: Это была отличная возможность попрактиковаться в идентификации…
👍1
Автосохранение сторис с геометками
Нашёл удобный тул на гитхабе, который будет мониторить сторис пользователей, скачивать их и сохранять геометки (если имеются). Это всё потом можно просмотреть на красивом локальном веб-интерфейсе.
Нашёл удобный тул на гитхабе, который будет мониторить сторис пользователей, скачивать их и сохранять геометки (если имеются). Это всё потом можно просмотреть на красивом локальном веб-интерфейсе.
Named Entity Recognition (NER) или как выявить сущности из текста
Дизайнеры учат — люди не читают, они сканируют. А ОСИНТеры учат — купи телесинт.
NER технология хайлайтит сущности и места в тексте (имена, организации, страны/города и т.п.) что бы выделить важные элементы и помочь быстро пробежаться через текст.
Полезно что бы выделить действующих лиц, где они находятся, и прочее.
Дизайнеры учат — люди не читают, они сканируют. А ОСИНТеры учат — купи телесинт.
NER технология хайлайтит сущности и места в тексте (имена, организации, страны/города и т.п.) что бы выделить важные элементы и помочь быстро пробежаться через текст.
Полезно что бы выделить действующих лиц, где они находятся, и прочее.
👍2
😌😙🥸😍 Армия будет рассматривать OSINT как «разведывательную дисциплину первой инстанции» в соответствии с новой стратегией
Руководители армейской разведки отдают приоритет использованию «разведывательных данных с открытыми источниками» в рамках стратегии, опубликованной ранее в этом году, поскольку служба расширяет обучение с использованием открытых источников и планирует сделать свои курсы OSINT более широко доступными для всего разведывательного сообщества.
Спецслужбы пытаются определить приоритеты стремительного роста общедоступной информации и коммерческих данных, часто доступных в Интернете и с помощью других цифровых средств. Национальная разведывательная стратегия на 2023 год призывает разведывательное сообщество использовать данные из открытых источников наряду с другими высокоприоритетными областями, такими как искусственный интеллект и передовая аналитика.
Ранее этим летом армия опубликовала свою стратегию OSINT. Документ не является общедоступным, но представители службы говорят, что работают над опубликованием общедоступной версии стратегии.
Генерал-лейтенант Лора Поттер , заместитель начальника штаба сухопутных войск по разведке, сказала, что она на собственном опыте убедилась в том, насколько неоценима эффективность OSINT в современном понимании, начиная с возвращения Крыма Россией в 2014 году, а также во время конфликта. в Афганистане и вплоть до нынешней войны на Украине.
♾️ https://federalnewsnetwork.com/inside-ic/2023/09/army-to-treat-osint-as-intelligence-discipline-of-first-resort-under-new-strategy/
Руководители армейской разведки отдают приоритет использованию «разведывательных данных с открытыми источниками» в рамках стратегии, опубликованной ранее в этом году, поскольку служба расширяет обучение с использованием открытых источников и планирует сделать свои курсы OSINT более широко доступными для всего разведывательного сообщества.
Спецслужбы пытаются определить приоритеты стремительного роста общедоступной информации и коммерческих данных, часто доступных в Интернете и с помощью других цифровых средств. Национальная разведывательная стратегия на 2023 год призывает разведывательное сообщество использовать данные из открытых источников наряду с другими высокоприоритетными областями, такими как искусственный интеллект и передовая аналитика.
Ранее этим летом армия опубликовала свою стратегию OSINT. Документ не является общедоступным, но представители службы говорят, что работают над опубликованием общедоступной версии стратегии.
Генерал-лейтенант Лора Поттер , заместитель начальника штаба сухопутных войск по разведке, сказала, что она на собственном опыте убедилась в том, насколько неоценима эффективность OSINT в современном понимании, начиная с возвращения Крыма Россией в 2014 году, а также во время конфликта. в Афганистане и вплоть до нынешней войны на Украине.
♾️ https://federalnewsnetwork.com/inside-ic/2023/09/army-to-treat-osint-as-intelligence-discipline-of-first-resort-under-new-strategy/
Federal News Network - Helping feds meet their mission.
Army to treat OSINT as ‘intelligence discipline of first resort’ under new strategy
The Army's deputy chief of staff for intelligence says military leaders need to understand both the value of OSINT, as well as "how carefully it has to be managed and implemented."
👍2
22 года назад — 11 сентября 2001 произошло событие, оказавшее огромное влияние на мировую политику. Возможно, планировщики этого акта не случайно выбрали дату 11 сентября — взрыв башен-близнецов должен был навсегда закрыть страницу преступлений в Чили.
РФ – одна из немногих стран, в которых можно обсуждать разные версии событий 11/9. Хотя в большинстве СМИ до сих пор звучит официальная версия. В 2019 г. Институт системно-стратегического анализа (ИСАН) издал уникальную работу «Немыслимое». Системный анализ событий 11 сентября потребовал обеспечения безопасности авторского коллектива – на обложке указан Аноним. Эта книга – беспрецедентное по своей точности, объективности и полноте исследование механизмов реализации самой грандиозной провокации нашего времени, убедительное свидетельство заговора американской верхушки против собственных граждан и мира в целом.
С директором ИСАН А.И. Фурсовым и издательством КМК мы решили выложить в открытом доступе облегченную версию👇🏻. Изучайте и анализируйте.
РФ – одна из немногих стран, в которых можно обсуждать разные версии событий 11/9. Хотя в большинстве СМИ до сих пор звучит официальная версия. В 2019 г. Институт системно-стратегического анализа (ИСАН) издал уникальную работу «Немыслимое». Системный анализ событий 11 сентября потребовал обеспечения безопасности авторского коллектива – на обложке указан Аноним. Эта книга – беспрецедентное по своей точности, объективности и полноте исследование механизмов реализации самой грандиозной провокации нашего времени, убедительное свидетельство заговора американской верхушки против собственных граждан и мира в целом.
С директором ИСАН А.И. Фурсовым и издательством КМК мы решили выложить в открытом доступе облегченную версию👇🏻. Изучайте и анализируйте.
👍3
Maltego_Handbook_for_Social_Media_Investigations.pdf
3.7 MB
📓 HANDBOOK FOR SOCIAL MEDIA INVESTIGATIONS
#news Исследователи разработали атаку для кражи числовых паролей через Wi-Fi. Названная WiKI-Eve атака может перехватывать пароли простым текстом со смартфонов с точностью до 90 процентов. 6-значные расшифровывает с точностью до 85%, более сложные от приложений – около 66%. При этом в 16 из 20 самых распространённых паролей только цифры.
WiKI-Eve утилизирует BFI (Beamforming Feedback Information) – функцию в Wi-Fi-протоколе, появившуюся с выходом 802.11ac и отправляющую обратную связь о местоположении на роутеры. Атак перехватывает пароль во время его ввода и нужно сначала выяснить MAC-адрес жертвы. Но при этом не требует взлома железа или ключа шифрования. Нажатие клавиш создаёт изменения в сигнале, а далее в ход идёт машинное обучение и алгоритм под атаку. В общем, у нас очередной серьёзный вызов для инфобез-индустрии, возможно, криминал и головная боль для разработчиков. Подробнее об атаке в отчёте.
@tomhunter
WiKI-Eve утилизирует BFI (Beamforming Feedback Information) – функцию в Wi-Fi-протоколе, появившуюся с выходом 802.11ac и отправляющую обратную связь о местоположении на роутеры. Атак перехватывает пароль во время его ввода и нужно сначала выяснить MAC-адрес жертвы. Но при этом не требует взлома железа или ключа шифрования. Нажатие клавиш создаёт изменения в сигнале, а далее в ход идёт машинное обучение и алгоритм под атаку. В общем, у нас очередной серьёзный вызов для инфобез-индустрии, возможно, криминал и головная боль для разработчиков. Подробнее об атаке в отчёте.
@tomhunter