Иногда чтобы отблагодарить коллег не хватает слов. Мы это исправили.
Создали карточки, так сказать, на случай важных переговоров 💅
Создали карточки, так сказать, на случай важных переговоров 💅
Ребята, тут допиливаем наш курс по веб-пентесту. У нас есть чисто вопрос по первым блокам. Сколько, на ваш взгляд, ок платить за вводные пару уроков с теорией? Без особой практики?
Anonymous Poll
15%
500
3%
750
5%
1000
76%
Мб сделаете бесплатными?
Тут «Коммерсантъ» пишет, что скоро домены будут регистрировать через Госуслуги
Проект закона предполагает использование Единой системы идентификации и авторизации (ЕСИА) для проверки данных тех, кто регистрирует домены, однако это касается исключительно администраторов доменов в российских зонах .ru и .рф.
Депутат Горелкин указал, что предложение направлено на противодействие фишингу, якобы система «Антифишинг», запущенная Минцифры в 2022 году не работает(а кто-то о ней слышал?) .
Сейчас для регистрации доменов .ru и .рф требуют предъявление личных данных администратором, включая удостоверения личности. Но эксперты говорят, что эта информация редко подвергается фактической проверке + может быть основана на украденных данных.
Ну тут нужен опрос...
Проект закона предполагает использование Единой системы идентификации и авторизации (ЕСИА) для проверки данных тех, кто регистрирует домены, однако это касается исключительно администраторов доменов в российских зонах .ru и .рф.
Депутат Горелкин указал, что предложение направлено на противодействие фишингу, якобы система «Антифишинг», запущенная Минцифры в 2022 году не работает
Сейчас для регистрации доменов .ru и .рф требуют предъявление личных данных администратором, включая удостоверения личности. Но эксперты говорят, что эта информация редко подвергается фактической проверке + может быть основана на украденных данных.
Ну тут нужен опрос...
Регистрация доменов через Госуслуги это ок?
Anonymous Poll
18%
Да, станет прозрачнее для государства и поможет бороться с фишингом
56%
Нет, всё станет сложнее и медленнее, а фишеры найдут новые ходы
27%
Без понятия. Просто верните альтушек.
Интересное исследование: ученые нашли способ получать доступ к памяти ядра Linux на компах с процессорами Intel. В условиях виртуализации хакер может проникнуть в память хоста или других виртуальных машин из своей виртуальной среды.
Уязвимость назвали Native BHI (CVE-2024-2201). По сути это развитие уязвимости BHI (Branch History Injection) с обозначением CVE-2022-0001, которую нашли в 2022.
Суть методики в особых последовательностей команд (гаджетов) в коде ядра, которые инициируют спекулятивное выполнение операций (Speculative execution).
Эксперты даже разработали комплект инструментов — InSpectre Gadget (кек), с помощью которого в ядре версии 6.6-rc4 было обнаружено значительное число таких гаджетов. Это позволило создать эксплоит для добычи конфиденциальных данных.
Даже видео есть
Уязвимость назвали Native BHI (CVE-2024-2201). По сути это развитие уязвимости BHI (Branch History Injection) с обозначением CVE-2022-0001, которую нашли в 2022.
Суть методики в особых последовательностей команд (гаджетов) в коде ядра, которые инициируют спекулятивное выполнение операций (Speculative execution).
Эксперты даже разработали комплект инструментов — InSpectre Gadget (кек), с помощью которого в ядре версии 6.6-rc4 было обнаружено значительное число таких гаджетов. Это позволило создать эксплоит для добычи конфиденциальных данных.
Даже видео есть
Атака на 500 млн рублей
Пропустили новость, что Агрокомплекс им. Н. И. Ткачева(всем краснодарским привет) подвергся кибератаки через вирус-шифровальщик. Об этом пишет «Коммерсантъ»
Помимо того, что слетел сайт и серверы, хакеры требует 500 млн за украденные данные. Компания отказалась комментировать вопрос о выплатах.
Как отмечает неназванный эксперт в статье, доступ к данным агрохолдинга мог быть получен через фишинговые рассылки, уязвимости в публичных приложениях или незащищенные RDP-порты.
Прикиньте, вы просто открыли письмо от вашего брата-принца из Конго и теперь ваша организация должна пол ярда 💀
Что же, будем наблюдать.
Пропустили новость, что Агрокомплекс им. Н. И. Ткачева
Помимо того, что слетел сайт и серверы, хакеры требует 500 млн за украденные данные. Компания отказалась комментировать вопрос о выплатах.
Как отмечает неназванный эксперт в статье, доступ к данным агрохолдинга мог быть получен через фишинговые рассылки, уязвимости в публичных приложениях или незащищенные RDP-порты.
Прикиньте, вы просто открыли письмо от вашего брата-принца из Конго и теперь ваша организация должна пол ярда 💀
Что же, будем наблюдать.
Трепещите! Почти ИИ пишет скрипты атак, и их успешно применяют 💀
Детали раскрывать не будем, потому что вы сможете перейти по ссылке, включить онлайн-переводчик и всё прочитать. После пойти в телеграм-боты, что пользуются GPT разных версий и проверить, что они смогут сделать для вас. Скорее всего у вас не получится, поэтому вы попросите другие сервисы составить для вас подробные обходящие промты.
С пятницей!
Мем, кстати, мы тоже сделали с помощью АI. И этот текст тоже! Трепещите!
Детали раскрывать не будем, потому что вы сможете перейти по ссылке, включить онлайн-переводчик и всё прочитать. После пойти в телеграм-боты, что пользуются GPT разных версий и проверить, что они смогут сделать для вас. Скорее всего у вас не получится, поэтому вы попросите другие сервисы составить для вас подробные обходящие промты.
С пятницей!
Мем, кстати, мы тоже сделали с помощью АI. И этот текст тоже! Трепещите!
В блоге «Яндекс Практикума» на Хабре написали статью про безопасную разработку. Можно считать это одним из финальных шагов нашего цикла материалов за последние пару неделей.
В материале сделали упор на инструменты: создали мастхэв список, без которого будет тяжко систематически проверять веб-ресурс на уязвимости.
В материале сделали упор на инструменты: создали мастхэв список, без которого будет тяжко систематически проверять веб-ресурс на уязвимости.
Хабр
Безопасная разработка: обзор основных инструментов
Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест» . В этой сфере я уже около шести лет. ...
🏴☠️ Подборка полезных материалов за эту неделю.
На это неделе почти завершили на цикл про безопасную разработку:
— ХХE
— HOST HEADER INJECTION
— SSRF
— OS COMMAND INJECTION
— FILE UPLOAD
— Обзор основных инструментов для безопасной разработки
Напоследок немного другого контента: вот руководство по Linux для начинающих и жиза-открытки для коллег, которые уже разнесли по рабочим чатам.
На это неделе почти завершили на цикл про безопасную разработку:
— ХХE
— HOST HEADER INJECTION
— SSRF
— OS COMMAND INJECTION
— FILE UPLOAD
— Обзор основных инструментов для безопасной разработки
Напоследок немного другого контента: вот руководство по Linux для начинающих и жиза-открытки для коллег, которые уже разнесли по рабочим чатам.
Я в своем познании настолько преисполнился, что я как будто бы уже сто триллионов миллиардов лет нахожу уязвимости на триллионах и
триллионах таких же контейнеров, как эта Земля. Мне этот инцидент абсолютно понятен, и я здесь ищу только одного: покоя, умиротворения и вот этих цифровых следов, от слияния с бесконечно вечным, от созерцания великого фрактального подобия и от вот этого замечательного всеединства ИБ: бесконечно вечного, куда ни посмотри, хоть вглубь — бесконечно малое, хоть ввысь — бесконечное большое, понимаешь?
триллионах таких же контейнеров, как эта Земля. Мне этот инцидент абсолютно понятен, и я здесь ищу только одного: покоя, умиротворения и вот этих цифровых следов, от слияния с бесконечно вечным, от созерцания великого фрактального подобия и от вот этого замечательного всеединства ИБ: бесконечно вечного, куда ни посмотри, хоть вглубь — бесконечно малое, хоть ввысь — бесконечное большое, понимаешь?