Penetration Test
7.63K subscribers
23 photos
5 videos
1 file
397 links
Блог ЦК «Электронное облако» http://cyberskill.net

Информационная безопасность, пентесты, аудиты, консалтинг и обучение.
Подключение защищенного мессенджера Rendall - @rendalll
Download Telegram
to view and join the conversation
Как не потерять деньги при кибератаках на бухгалтерию?
Любая информация о финансовых сделках компании, банковских счетах и движении средств, о людях, имеющих доступ к управлению счетами, является ценной для хакера и может быть использована для хищений средств.

Сегодня на вебинаре в 12:00 Вы узнаете:
- Какие вектора угроз на бухгалтерию существуют?
- От кого и как защищать финансовые операции?
- Как защищать инструменты управления счетами компании?
В Голландии ведется разработка полностью децентрализованного торрента Tribler, работающего без центральных серверов и потому полностью защищенного от санкций государств.

Комментарий ЦК «Электронное облако»:
История идеи создания децентрализованного интернета насчитывает уже более двух десятков лет. И это логичный шаг эволюции сетевых коммуникаций. Особенно, когда все государства стараются так или иначе регулировать привычные каналы интернет коммуникаций. Технология торрент-треккеров как раз была одним из первых шагов в этом направление, и тут она получила свое логичное продолжение. Торрент- файлы, в которых находится информация о местоположение файлов, хранятся не на привычных серверах-порталах, а на online-ресурсах, используя этот же канал и в качестве транспортного. Говорить о какой-то глобальной защищенности я бы не стал, так как деанонимизацией TOR не занимался только ленивый, и эта технология уже давно не про анонимность. Да и вопрос отслеживания (например, для правообладателей) это все-таки вопрос времени и совсем не долгого…
2 новости про Telegram. Первая (на самом деле, далеко не первая) про взлом Telegram, вторая - про то, что Дуров приветствовал действия российских властей в планах антимонопольного преследования Google и Apple. Что общего между этими новостями? Предлагаем читателям решить это самостоятельно.
Находка дня:
PCToolsBot
Несложный скрипт-бот написанный на Python для управления своим компьютером через телеграмм-бота, работающего на основе знаменитого BotFather. Так что, если решите его применять, то вспоминайте про безопасность.
Находка дня
Инструмент исключительно для исследований и pentest (Мы чтим уголовный кодекс)
Ворует куки из Firefox, Chrome, Opera с помощью файла-ярлыка, обходя защитника Windows и UAC (кто его только не обходит в наше-то время)
Против ИТ-директора «Почты России» завели уголовное дело

Комментарий эксперта ЦК «Электронное Облако»:
Крупные, средние и малые российские IT-компании сегодня живут крупными, средними и малыми заказами, которые перепадают им от государственных компаний в рамках бюджетов цифровизации, импортозамещения и прочего. Крупнейшими компаниями владеют капитаны бизнеса с крупными государственными связями, средними компаниями - со средними связями, ну и так далее. Иногда крупные начинают делить рынок, или спорить начинают те, кто призван следить за рынком. Одним словом, кто знает, тот поймет. Это банальная история. А вот еще одна очевидная истина, которая понята еще далеко не всеми IT-шниками. То, что вы честно создаете свой продукт, работаете по-белому, и вам нечего скрывать, не гарантирует вам защиты от обысков, изъятий ваших телефонов, ноутбуков и серверов, неприятнейших допросов, а, может быть, и от уголовного преследования. И наоборот, все это гарантирует вам ваше участие в государственных подрядах. А что же делать, ведь других подрядов нет? Ответ прост: носить маску, чаще мыть руки и серьезно относиться к корпоративной и информационной безопасности. Это помогает даже тем, кому нечего скрывать.
Находка дня
Mailvelope
Расширение браузера для Google Chrome и Firefox, которое поднимает шифрование, основанное на стандарте OpenPGP практически поверх любого публичного почтового сервиса.
Penetration Test pinned «1 июля стартует первый мастер-класс из обучающего трека по этичному хакингу для системных администраторов и ИБ-специалистов - Сбор данных из открытых источников! Программа мастер-класса: 1. Концепции рекогносцировки 2. Методология сбора информации - Использование…»
Находка дня
USBkill
Старенький но полезный скриптик, который выключает компьютер, если вытащить из него usb-флешку. При использовании шифрования диска на компьютере может получиться вполне такой антифорензик panic-button.
Второй практический подкаст Центра Компетенций «Электронное Облако» с Игорем Бедеровым, руководителем компании «Интернет розыск», уже в эту среду - 22 июля в 11:00 по Москве.
Речь пойдет о том, как на практике заниматься разведкой в Telegram. Эксперты разберут деанонимизацию Telegram-каналов и как идентифицировать пользователя по его цифровому следу. Мы попробуем по логину узнать скрытый телефонный номер пользователя и коснёмся темы защиты мессенджеров.
Online-встреча пройдет в Facebook
Данные 20 миллионов пользователей VPN-сервисов попали в открытый доступ

Комментарий эксперта ЦК «Электронное облако»: К сервисам VPN, как и ко многим другим «безопасным» решеним, стоит относиться критически разумно. Нужно обойти региональный запрет? Ок! Нужна анонимность и прочая безопасность? Стоит выбирать тщательно и обращаться за советом к специалистам. Если их нет под рукой - выбирайте платные сервисы с максимальным числом положительных отзывов и внятной историей производителя.
Находка дня:
n8n
Бесплатный инструмент автоматизации рабочих процессов.
n8n (произносится как нодментация) помогает вам связать различные приложения через собственные API, чтобы обмениваться данными и манипулировать ими без единой строки кода (Вспомните тот же IFTTT). Это простой в использовании, удобный и легко настраиваемый инструмент с интуитивно понятным пользовательским интерфейсом, позволяющим быстро создавать уникальные рабочие процессы взаимодействий между приложениями.
Размещенный на вашем сервере и не базирующийся в облаке, в отличии от того же IFTTT, он обеспечивает безопасность ваших данных в вашей собственной системе. Пока поддерживается около 100 узлов для автоматизации рабочих процессов, но их число постоянно растет.
Находка дня
Pi-KVM
Реализация IP KVM «на коленке» из Raspberry Pi. Все это работает на Arch Linux ARM, VNC сервер, web ui, ipmitool. Программная часть работает «из коробки», а вот чтобы обеспечить физическое подключение, нужно будет чуть-чуть поработать руками.
Находка дня:
OpenStego
Приложение, хорошо делающее 2 вещи:
- Для параноиков - Сокрытие данных под видом картинки или фотографии (тексты, файлы и тп)
- Для прикладных задач - «Водяные знаки» - файлы водяных знаков с невидимой подписью. Хороший вариант для того, чтобы отслеживать несанкционированное копирование и скрыто отслеживать распространение
Garmin заплатила хакерам несколько миллионов долларов за возвращение доступа к своим сервисам.

Интересно, о чем вы подумали, прочитав новость об очередном громком успехе хакеров? Мы подумали, что неплохо бы повысить квалификацию в области этичного хакинга и запустили новый формат обучения - мастер-классы. Трек состоит из 10 занятий:
1. Сбор данных из открытых источников
2. Сканирование
3. Перечисление
4. ОС Linux
5. ОС Windows
6. Active Directory
7. Прослушивание и анализ траффика
8. Социальная инженерия
9. Повышение привилегий
10. Атаки на Web-Server

Запишись сейчас, чтобы получить бесплатный доступ к ознакомительному фрагменту трека
На видео пример того, как не надо настраивать гостевую сеть wi-fi.
На первый взгляд все хорошо - и оборудование правильное, позволяющее за полчаса поднять защищенную бесшовные сеть для большого пространства, и портал с регистрацией пользователя, и скорость стабильная в разных сегментах сети.
Но, запустив сетевой сканер, мы понимаем, что все почти 540 подключённых устройств находятся в одном сегменте сети. И компьютеры отеля, и гостевые пользовательские устройства, и система охранной сигнализации... сеть прекрасно позволяет манипулировать информацией и, конечно, полностью мониторить трафик. И вся безопасность постояльцев отеля возложена на собственные плечи, а безопасность и работоспособность отеля - на совести местного админа.
Чем это грозит? Например, можно легко вывести сеть отеля из строя, или утащить данные постояльцев, или просто наблюдать за происходящим вокруг через камеры отеля. Не говоря об отключении сетевого интерфейса...
К чему это может привести? Тут все зависит от фантазии и целей злоумышленника...
Как этого избежать? Центр Компетенций «Электронное облако» проводит обучение по CEH и CND, что позволяет полностью понимать все угрозы при пренебрежение информационной безопасности в компаниях и, конечно же, научиться им противостоять!
Способы оставаться на связи даже без интернета.

За последние 15 лет мы привыкли всегда оставаться на связи. Мы не мыслим себя без связи в любой точке мира и при любых обстоятельствах. И когда интернет пропадает, большинство из нас оказывается беспомощными, а с учетом того, что вся наша жизнь завязана на коммуникациях, это еще больше дезориентирует современного человека. Этим постом мы открываем цикл мини-обзоров на технические решения, позволяющие с легкостью поднять связь в любом месте - будь то нетронутые уголки мира, места природных катастроф или места охваченные социально-политическими волнениями.

Сегодня поговорим о децентрализованных мессенджерах и социальных сетях работающих без интернета, как о самом простом способе.

1. Проект Briar. Мессенджер с упором в конфиденциальность оперирующий только текстовыми сообщениями. В обычном режиме работает через привычные мобильные сети, но если связь в них заканчивается то, при помощи wifi и Bluetooth вашего смартфона он, поднимает mesh сеть позволяющую использовать смартфоны как ноды для собственной сети. Для безопасности - использует qr-коды для подтверждения контакта с которым вы будете общаться в сети. Так же можно создать общую ссылку для добавления контактов, которые находятся далеко от вас. В дополнение к обмену сообщениями можно создавать форумы для вопросов и создавать сообщения в блоге, не выходя из приложения. Просто и безопасно. Найти его можно тут- https://briarproject.org/

2. Еще один проект с открытым кодом Rumble. Позиционирует себя как полностью независимое от внешних каналов связи решение для микроблогинга. По механике так работает абсолютно так же как и Brear - WIFI+BT интерфейсы. Жаль только что проект не обновляется уже достояно долгое время. Исходники лежат тут: https://github.com/Marlinski/Rumble Ссылка на F-DROID репозиторий: https://f-droid.org/en/packages/org.disrupted.rumble/

3. Serval Mesh. К сожалению тоже заброшенный разработчиками перспективный проект, но не перестающий быть интересным. К сожалению. Может работать не особо стабильно. А вот функционал достаточно широк- звонки, видео, фото, данные и конечно- просто текстовые сообщения. Исходники: https://github.com/servalproject/batphone Скачать: https://f-droid.org/en/packages/org.servalproject/

4. Meshenger. Позволяет поднять аудио/видео связь организуя сеть из смартфонов с установленным приложением. Поддерживает шифрование. Исходный код: https://github.com/meshenger-app/meshenger-android Скачать: https://f-droid.org/en/packages/d.d.meshenger/

Берегите себя. И всегда оставайтесь на связи.
Продолжаем тему альтернативных децентрализованных сервисов, которым не нужен интернет для связи:

Manyverse - на первый взгляд типичная социальная сеть: профили, посты, лайки и тп. С одним только отличием, в ней не используется ни облаков, ни серверов- все данные находятся исключительно в телефонах пользователей. Когда находитесь оффлайн, вы спокойно можете читать сообщения, посты, разметаю фото и видео и лайкать, но как только появится связь- Manyverse синхронизирует все телефоны в сети меду собой и все ваши друзья получат обновления своих новостных лент и сообщений. И все это работает в wifi сети или в привычных мобильных сетях ну и конечно может поднимать mesh-сеть.

Сайт проекта: https://www.manyver.se/
Исходники: https://gitlab.com/staltz/manyverse
Подкаст Центра Компетенций «Электронное Облако» - «Обучение сотрудников компании информационной безопасности».
Проблема всех директоров по информационной безопасности в том, чтобы добиться от обычных сотрудников соблюдения требований цифровой гигиены. Это непросто, потому что большинству сотрудников чужды ценности корпоративной безопасности . К сожалению, уроки даже таких больших корпораций как GARMIN показывают, что на эту проблему обращают серьезное внимание только тогда, когда ущерб уже нанесен как критическим бизнес процессам, так и репутации.
Завтра 18 августа в 12.00 в нашем сообществе на Facebook традиционный подкаст, на этот раз с Татьяной Вавиловой , одним из авторов обучающе-тестовой платформы, которая помогает как раз в таких ситуациях. Спикер ответит на вопросы Дмитрия Борощука и. конечно же, на вопросы зрителей.
Мы поделимся опытом, как управлять знаниями сотрудников: тестировать знания, обучать, проводить экзамены, проводить стресс-тесты на регулярной основе, получать аналитику и, главное, добиваться результата. Ведущий расскажет о применении психометрических тестов, позволяющих составить более глубокое понимание поведения сотрудников, факторы риска и способы мотивации >>>
Готова видеозапись подкаста про обучение сотрудников вашей компании Информационной безопасности
————————————
Также вы можете протестировать обучающую online-платформу, оставив заявку