#podcast #НеДляГалочки

Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄

ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.

💡Apple, Яндекс

🎤Ведущие выпуска:

🔵Кристина Боровикова, со-основатель RPPA, Kept Privacy Team Lead

🔵Елизавета Дмитриева, data privacy engineer в российском инхаусе

🆕Помогали справиться с кошмаром:

🔵Александр Герасимов — этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности. Директор по информационной безопасности и сооснователь Awillix.

🔵Елизавета Никулина — директор по маркетингу и PR в Awillix

Обсудили:

⬇️Векторы атак
⬇️Жизненный цикл утечек данных
⬇️Последствия утечек для человека
⬇️Реагирование на инциденты, а том числе PR-позиция компании
⬇️Немного коснулись базовой инфобезной терминологии

🪲 Охота за багами Минцифры: версия 2.0

Сегодня у нас большое и очень значимое событие: Минцифры запускает второй этап поиска уязвимостей в ресурсах электронного правительства.

Искать их можно везде практически везде: на Едином портале государственных услуг («Госуслуги»), в Единой биометрической системе (ГИС ЕБС) и многих других сервисах. Помимо этого, в скоуп входят мобильные приложения для iOS и Android.

За найденные баги вас ждут выплаты до 1 млн рублей в зависимости от уровня критичности уязвимости. 

Все подробности уже на нашей платформе.

Удачного вам багхантинга!

Please, provide command…

Когда-то я собирал список инструментов для проксирования трафика. В этот раз я посмотрел некоторые C2 и решил поделиться небольшим списком. 🔥

Sliver - это пожалуй один из самых популярных C2 на данный момент. Он поддерживает различные протоколы, включая HTTP, WireGuard, DNS и т.д. Плюс, был недавно набор статей по его кастомизации 👍

Mythic - как и Sliver, Mythic является достаточно популярным C2, плюс у него очень приятный UI. Для Mythic есть много различных агентов. Ну и никто не мешает написать собственный агент, а документация у данного инструмента приятная

Merlin - данный C2 популярен за обширность предоставляемых модулей для AD, но только не каждый из них корректно работает. Автор заявлял, что агент можно легко модифицировать под себя, но в пабликах не видел агентов, основанных на нем

Godoh - самый простой C2, однако для коннекта использует протокол DNS-over-HTTPS 🙂

Havoc - очень похож на Cobalt Strike, имеет в себе много различных модулей. Его фичей считают Sleep obfuscation, основанный на Ekko (thx to D00Movenok )

PoshC2 - тулза немного устаревшая, но показалось интересной за счет модулей, основанных на C# (хотя поддерживает еще модули, основанные на Python)

По детекту понравилась статья от ProjectDiscovery

Наверно все 🚶‍♀️

Пока писал, то тут выкатили статью по C2C

Слово «пивотинг» (от англ. pivoting) не имеет ничего общего с названием пенного напитка 🍻

Так называется набор техник, которые дают атакующему возможность получить доступ к внутренним ресурсам компании, ловко минуя сетевые средства защиты. Как это работает, 25 ноября на Standoff Talks расскажет и покажет Сергей Зыбнев, специалист по анализу защищенности компании Awillix и автор телеграм-канала «Похек».

В программе:

📹 обзор инструментов пивотинга (с видеодемонстрацией из лаборатории)
🧐 антисоветы по pivoting
🧩 разбор типичных ошибок атакующих и их неверных действий при срабатывании политик безопасности

Подключайтесь онлайн, будет интересно.

🪲 MythBusters: большой обзор BI.ZONE Bug Bounty

Наш product owner Андрей Лёвкин рассказал информационной службе «Хабра» о запуске нашей платформы: когда он планировался изначально и с какими трудностями мы столкнулись.

Советуем прочитать, чтобы понять, каков багхантинг на самом деле и почему не стоит бояться конкуренции.

А еще вы узнаете, каким видит портрет багхантера Андрей и почему он сравнивает исследователей с художниками ;)

Читать