"Чтобы поймать преступника, нужно мыслить как преступник". В эпоху Интернета киберпреступников можно назвать неуловимыми злодеями, которым для совершения преступлений не требуется показывать своего лица, и даже не обязательно находиться в одной стране с жертвой атаки, а все их действия могут остаться анонимными. Чтобы понять как действует злоумышленником, нужно самому стать им. Но как быть в этом случае специалисту по информационной безопасности, если нарушать законодательство - плохая идея, а понять как мыслит злоумышленник все же необходимо?

Управление уязвимостями в маленьких компаниях отличается от управления уязвимостями в многочисленных компаниях. Ситуация может ухудшаться если большая компания является разработчиком множества продуктов, предоставляет услуги аутсорсинга, при этом все это реализуют микро и макрокоманды со своим стеком, своим железом, своими админами.

Мне как безопаснику, который решил взяться за централизованное, удобное для всех и не бесящее устранение уязвимостей с возможностью отчетности для руководства, предстояло изменить само видение процесса устранения уязвимостей.

Статья покажет, как достаточно дешево, без покупки дорогостоящих систем управления уязвимостями на базовом уровне реализовать эффективный процесс управления уязвимостями.

Конечно, можно помимо сканера уязвимостей купить к нему и систему управления уязвимостями и платить десятки тысяч долларов в год за лицензирование данной системы.

Карлсон знаком нам всем с детства, а вы когда-нибудь задумывались, как он был устроен?
Из чего был сделан пропеллер на его спине? Откуда взялся человек, обладающий недоступной для всех нас возможностью парить в воздухе? Как винт крепился к человеческому телу и вращался в нём? Почему весёлый человек был такого маленького роста?

Кем же он был: человек, робот или, может быть, кибернетический организм с электронным мозгом?

Проще всего его необычность списать на фантазию ребенка или писательницы Астрид Линдгрен, но не будем с этим спешить. Есть и доводы в пользу его реального существования.

Как, вы думаете, на самом деле был устроен странный незнакомец, так ловко жонглирующий законами физики? Давайте сегодня, 1 Апреля 2021 года, вместе найдем ответ на этот животрепещущий вопрос.

Всем привет, я Java-разработчик в ЮMoney.

В этой статье я хочу поговорить о том, какой профит можно получить от оптимизации действующих в компании инструментов, почему это стоит делать и с чего лучше начинать. На примере стека Atlassian и Bitbucket-плагина, который мы используем в ЮMoney, я расскажу и покажу всё в деталях.

Вот уже пару лет, как я рекомендую всем моим знакомым использовать Firefox, как браузер для повседневного серфинга в интернете. Я люблю этот браузер за его гибкость в настройке, скорость и заботу о приватности. Много раз на форумах меня спрашивали про какие-то отдельные случаи по настройке, поэтому я решил написать статью с подробным описанием настроек, как шпаргалку для себя и чтобы делится ею, в случае новых вопросов.

Надеюсь она немножко поможет в популяризации этого чудесного браузера.

Давно хотели что-то хакнуть? Да не было возможности? Представляю вашему вниманию крайне полный список площадок для пентеста и самостоятельного обучения.

Привет, Хабр! В этот пост я хочу вынести опыт на тему начинания в сфере тестирования. Здесь не будут описаны техники и правила.

Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.

Начну с того что понятие "этичный хакер" - для меня это что-то вроде слова "маркетолог". То есть в общем обо всем и ни о чем вообще. В хакинге как и во многих отраслях нужна специализация. Когда приходят какие то заказы на этичный взлом они, как правило приходят на команду, и в этой команде есть уже какая-то специализация.

Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов

Начну с того что Хакинг делится на следующие области:

Autopsy — это программа с открытым исходным кодом, которая используется для выполнения криминалистических операций с жесткими дисками и смартфонами.

Этот инструмент применяется:

• правоохранительными органами
• местной полицией
• корпоративными отделами безопасности

Основное предназначение программы — расследование улик киберпреступлений, но также Autopsy может использоваться для восстановления удаленной информации.

Содержание:

• Создание нового проекта
• Источники данных
• Просмотр содержимого
  
  • Типы файлов:
    
    • По расширению
    • Документы
    • Исполняемые файлы
  • По типам MIME
• Удаленные файлы
• Файлы по размеру
• Полученные результаты
  
  • Извлеченный контент
    
    • Метаданные
    • Корзина
    • Загрузки из интернета
  • Ключевые слова
• Timeline
• Discovery
• Изображения/Видео
• Тегирование
• Создание отчетов

Первым делом скачаем Autopsy.

Создание нового проекта

Запускаем Autopsy в Windows и нажимаем "New Case".

Вводим название проекта, а также выбираем базовый каталог, чтобы все данные сохранялись в одном месте.

На сегодняшний день сетевой администратор или инженер ИБ тратит уйму времени и сил, чтобы защитить периметр сети предприятия от различных угроз, осваивает все новые системы предотвращения и мониторинга событий, но даже это не гарантирует ему полной защищенности. Социальная инженерия активно используется злоумышленниками и может нести за собой серьезные последствия.

Как часто вы ловили себя на мысли: “Хорошо бы устроить проверку для персонала на предмет грамотности в ИБ”? К сожалению, мысли упираются в стену непонимания в виде большого числа задач или ограниченности времени рабочего дня. Мы планируем рассказать вам о современных продуктах и технологиях в области автоматизации обучения персонала, которые не будут требовать длительной подготовки для проведения пилотов или внедрения, но обо всем по порядку.

Продолжаем делиться с вами крутыми материалами по теме информационной безопасности, которые обнаружили в сети. И не могли обойти вниманием достойный англоязычный подкаст Darknetdiaries. Один из его эпизодов – это разговор двух опытных пентестеров (Гари и Джастина). 

Они рассказывают историю о том, чем для них обернулся однажды аудит безопасности. Пентестеры взломали входы в помещения и ИТ-инфраструктуру суда, а всего несколько часов спустя оказались там же, но как подсудимые. Доказать невиновность им удалось только месяцы спустя, так что историю можно вполне считать драматичной, если бы не чувство юмора рассказчиков.

Делимся находкой и для удобства пересказываем историю от третьего лица. Пентестеры раскрывают лишь малую часть приемов, которые используют в работе, чтобы не дарить информацию тем, кто решит воспользоваться ею в преступных целях.

Оригинал для желающих тут – и в аудио, и в текстовом формате.