Pull to refresh
1
0
Send message

Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ

Reading time 10 min
Views 22K

Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает 😉

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Добро пожаловать под кат!

Смотреть подборку
Total votes 12: ↑10 and ↓2 +8
Comments 1

Разбор конкурса «Конкурентная разведка» на PHDays 9

Reading time 9 min
Views 8.1K


Восьмой год традиционный конкурс «Конкурентная разведка» предлагает участникам попробовать свои силы в поиске информации и между делом изучить новые техники OSINT. В этом году все задания были сосредоточены вокруг вымышленной ИБ-компании, позиционирующей себя как компанию — эксперта одной уязвимости. Участники конкурса должны были найти информацию о людях, связанных с этой организацией, не прибегая ко взлому, а полагаясь исключительно на помощь различных источников с просторов сети и на собственную смекалку.

Конкурс включал 19 заданий, за каждое из которых начислялось определенное количество баллов по степени сложности. В этой статье мы разберем, как можно было решить каждое задание.
Читать дальше →
Total votes 26: ↑25 and ↓1 +24
Comments 11

Собираем базу людей из открытых данных WhatsApp и VK

Reading time 15 min
Views 218K
Etan Hunt
кадр из фильма Миссия Невыполнима II

Эта история началась пару месяцев назад, в первый день рождения моего сына. На мой телефон пришло СМС-сообщение с поздравлением и пожеланиями от неизвестного номера. Думаю, если бы это был мой день рождения мне бы хватило наглости отправить в ответ, не совсем культурное, по моему мнению, «Спасибо, а Вы кто?». Однако день рождения не мой, а узнать кто передаёт поздравления было интересно.

Первый успех


Было решено попробовать следующий вариант:
  • Добавить неизвестный номер в адресную книгу телефона;
  • Зайти по очереди в приложения, привязанные к номеру (Viber, WhatsApp);
  • Открыть новый чат с вновь созданным контактом и по фотографии определить отправителя.

Мне повезло и в моём случае в списке контактов Viber рядом с вновь созданным контактом появилась миниатюра фотографии, по которой я, не открывая её целиком, распознал отправителя и удовлетворенный проведенным «расследованием» написал смс с благодарностью за поздравления.

Сразу же за секундным промежутком эйфории от удачного поиска в голове появилась идея перебором по списку номеров мобильных операторов составить базу [номер_телефона => фото]. А еще через секунду идея пропустить эти фотографии через систему распознавания лиц и связать с другими открытыми данными, например, фотографиями из социальных сетей.
Далее перебор аккаунтов WhatsApp и VK по Москве и Ненецкому АО и распознание лиц
Total votes 128: ↑127 and ↓1 +126
Comments 34

Сервисы для проверки навыков тестирования на проникновение

Reading time 3 min
Views 88K


В прошлом топике я опубликовал обзор дистрибутива PentestBox со ссылками и описанием входящих в него утилит. Надеюсь вам хватило времени ознакомиться с ними и изучить функционал. Сегодня я предлагаю вам несколько сервисов для тестирования своих навыков на практике. Это специализированные сервисы, абсолютно легальные и позволяющие всем желающим проверить свои знания и умения.
Читать дальше →
Total votes 27: ↑27 and ↓0 +27
Comments 3

Обзор частых вопросов по тестированию ПО на собеседованиях и ответы на них

Reading time 21 min
Views 647K
Главная цель данной статьи – помочь преодолеть страх, который возникает у тестировщиков ПО (как начинающих, так и опытных) к предстоящему интервью в связи с незнанием грядущего.

Второстепенная цель – собрать воедино основные вопросы, которые, вероятней всего, будут заданы на собеседовании. Как у начинающего тестировщика, у меня уже скопился определенный опыт подготовки к собеседованиям на данную должность, и я могу заметить, что даже специализированные QA форумы не справляются с этой целью, а может и не ставят ее перед собой вообще.

Перечень вопросов разумеется не окончательный и не претендует на образцовость, а выступает лишь своеобразным ориентиром при подготовке специалистов с тестирования ПО.
Читать дальше →
Total votes 24: ↑19 and ↓5 +14
Comments 24

Три бюджетных квадрокоптера с камерами в историческом музее «Коломенское»

Reading time 4 min
Views 46K
Недавно я описывал самые бюджетные квадрокоптеры в мире за 20$ без камеры и за 35$ с видео камерой, но сегодня я подготовил материал о трёх очень разных квадрокоптерах:
1. Один немного неуклюжий, скромных размеров, со слабенькой камерой, но зато весьма бюджетный — Top Selling X6.
2. Второй обладает более значительными размерами, имеет на борту достаточно приличную камеру, но всё-таки вписывается в разряд бюджетных квадрокоптеров за 30-60$ — SYMA X5C.
3. Третий же на слуху не первый год и уже успел себя зарекомендовать, это самая бюджетная версия от DJI — Phantom 1, правда его бюджет сразу увеличивает отрыв от второго в 10 раз.

Все эти 3 квадрокоптера отправились летать в бывшую царскую резиденцию и вотчину, а нынче — государственный художественный историко-архитектурный и природно-ландшафтный музей-заповедник «Коломенское».



Весна пришла и квадрокоптеры прилетели.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Comments 8

Короткометражный фильм «Амбиции»

Reading time 1 min
Views 28K


«Амбиции» — совместная работа студии Platige Image и Европейского Космического Агентства (ESA). Режиссером выступил Томек Багински, роли исполнили Эйдан Гиллен и Эйслинг Франсиози. Фильм был снят в Исландии и показан 24 Октября 2014 в рамках фестиваля «Научная фантастика: Дни изумления и страха» (Sci-Fi: Days of Fear and Wonder), проводимого Британским Институтом Кинематографии, Саут Бэнк, Лондон.
Читать дальше →
Total votes 64: ↑62 and ↓2 +60
Comments 15

Брюс Шнайер: Иллюзия безопасности

Reading time 12 min
Views 45K
image
Брюс Шнайер не нуждается в представлениях. На Хабрахабре можно найти много статей, касающихся деятельности этого «гуру криптографии». Под катом — текстовая расшифровка видеолекции Брюса Шнайера «The security mirage» («Иллюзия безопасности»).
Эта лекция доступна на YouTube, на Amara её можно посмотреть с субтитрами на 28-ми языках (включая русский). Что же заставило меня отнимать твоё время, хабрачитатель?
Ну и что же там?
Total votes 80: ↑77 and ↓3 +74
Comments 25

Работаем с EMS по нарушению сроков доставки посылок — инструкция

Reading time 4 min
Views 212K
Недавний пост в «Я негодую» о работе EMS в нашей стране и полном пофигизме почтовых работников выявил потребность в инструкции о том, что можно сделать, чтобы когда-нибудь проблемы с посылками у EMS прекратились.

Сходу расстрою — посылкой управлять никак нельзя. Если она долго не «прилетает» в Россию (т.е. статус Экспорт стоит, а Импорт — нет) — тут вряд ли что-то поможет. Однако страхуемся, делаем по шагам, описанным ниже.
Порадовать тоже могу: процентов 95 посылок все-таки доходят. Объем для сравнений — порядка 10 посылок в месяц из США и Европы.
Обращаю внимание, что многие посылки (процентов 60 всех отправлений) я получаю «от себя», используя сервисе вроде Шипито. В некоторых случаях это означает, что почта не может отказать в претензиях по причине того, что они представляются «не отправителем». Однако во многих случаях рекомендую идти и биться за свою посылку при помощи процессов и документов, представленных ниже.
Читать дальше →
Total votes 175: ↑171 and ↓4 +167
Comments 108

Ускорение загрузки Windows for fun and profit

Reading time 4 min
Views 802K
image Пожалуй, начну с того, что если перегружаться 15 раз в год, то любой «тюнинг» процесса загрузки отнимает больше времени, чем будет выиграно на перезагрузках за все время жизни системы. Однако, спортивный интерес берет свое, тем более, что люди интересуется процессом оптимизации быстродействия. А загрузка оказалась самым очевидным кандидатом в примеры того, как на мой взгляд должен выглядеть этот самый процесс. Сразу скажу, что грузиться будем с 5400 rpm винта, грузиться будем в «рабочую» систему: помимо недобитой вендорской крапвари там стоит еще куча всякого типа вижуал студии, антивируса, скайпа, стима, гуглапдейтера и пр…

Про то, почему отключение pagefile-а скорее вредно, чем полезно — как нибудь в другой раз, а пока…
Под катом много однообразных картинок и немножко унылого текста
Total votes 532: ↑516 and ↓16 +500
Comments 365

Поиск жилья без посредников в 21-м веке

Reading time 6 min
Views 168K
Полагаю, все мы однажды искали себе жилье. Кто-то — в собственность, большинство, вероятно, в аренду. Все, кто хоть раз пытался найти реальные предложения на досках объявлений, знают — это нереально. Такого количества спама нет, пожалуй, ни в одной другой сфере. После того, как окунешься в этот ад, обычно руки начинают чесаться применить свою IT-шность на благо ближнему. Результатом для меня стал проект Sobnik, о котором я и хочу рассказать.

Sobnik — это плагин для Chrome, который помечает посредников на досках объявлений. Пока работает только с Avito.ru, в ближайшем будущем я добавлю Irr.ru и другие крупные доски. Всех, кто сидит на чемоданах и кому не терпится попробовать, прошу в Google Web Store. Под катом я расскажу о технической стороне проекта, о его перспективах и о моих наблюдениях за противником посредниками. Любители критиковать чужой JS-код также велкам, исходник клиентской части плагина доступен на github.

Читать дальше →
Total votes 106: ↑104 and ↓2 +102
Comments 103

В поисках лазеек: гид по DOM Based XSS

Reading time 13 min
Views 63K


XSS неспроста стоит в верхней части списка опасностей OWASP TOP 10. Любой толковый программист о них знает. Но это не мешает статистике: восемь из десяти веб-приложений имеют XSS-уязвимости. А если вспомнить личный опыт пентестов банков, то более реальной представляется картина «десять из десяти». Кажется, тема изъезжена от и до, однако есть подвид XSS, который по разным причинам потерялся. Это — DOM Based XSS. И как раз о нем я сегодня пишу.

Подробности
Total votes 53: ↑47 and ↓6 +41
Comments 11

Обзор и разбор игровой приставки-планшета Exeq Aim Pro [часть первая]

Reading time 6 min
Views 23K
Здравствуйте, в этой статье я попытаюсь рассказать о моём опыте эксплуатации игровой консоли EXEQ AIM Pro.

Содержание


Внешний вид — первое знакомство с консолькой.
Обзор — Видеоролик с официального канала EXEQ.
Технические характеристики — постараюсь осветить всё.
Тесты — бенчмарки.
Органы управления — субъективное мнение.
Игры — чутка игр, размышления.
Софт — Что есть.
Батарея — тесты уже не новой батареи.
Аксессуары — Чехол.
Итоги — немного ля-ля.

Итак, начнём. EXEQ AIM Pro, она же JXD S7800B с той лишь разницей, что EXEQ сделала спецзаказ, увеличив память устройства в 2 раза:
«Выход приставки несколько раз переносился и становился всё более желанным.
Но нужно отдать должное производителям, несмотря на все неспрогнозированные издержки,
компания Exeq не только удержала стоимость приставки на уровне 6 490 рублей,
но и подарила всем своим покупателям бонус в виде увеличенной встроенной памяти консоли 16 Гб, вместо 8 Гб.»
И буквально через полгода, или около того, появилась китайская версия с 16 Гб накопителем. Стоит ли свеч игра с заказом приставки из Китая — решать вам, я же, имея небольшой опыт с подобными устройствами, предположил, что, переплатив немного, я только выиграю. Гарантийное обслуживание действительно есть, по отзывам приставки либо чинят, либо просто меняют на новую после экспертизы в СЦ.

Внешний вид


image
Читать дальше →
Total votes 13: ↑8 and ↓5 +3
Comments 14

Как купить акции ИТ-компаний до, во время и после IPO

Reading time 4 min
Views 57K
image

В комментариях к нашим прошлым материалам (об IPO и выходе на биржу концерна Alibaba) читатели задавали вопросы о том, как можно поучаствовать в этих размещениях и стать владельцем акций известных компаний. Сегодня мы рассмотрим данный вопрос подробнее.
Читать дальше →
Total votes 37: ↑34 and ↓3 +31
Comments 12

Еще 5 макетов от VWO

Reading time 2 min
Views 5.8K
Несмотря на небольшие размеры выборки, народное голосование решило, что второй выкладке с пятью макетами от VWO быть.

Вся дополнительная информация представлена в первой части.

Кроме того, UglyKid подсказал, что неплохо было бы сделать привязку макетов к товарным группам, но для этого нам понадобится немного больше времени. Если мы найдем соответствующую информацию — обязательно представим ее в третьей части.

Картинки кликабельны, открываются в текущей вкладке
Читать дальше →
Total votes 25: ↑17 and ↓8 +9
Comments 3

5 макетов лендингов от VWO

Reading time 3 min
Views 15K
Примечание от нас:

Не так давно на Хабре встретился комментарий о том, что целевые страницы начинают себя изживать. Но как кажется нам, учитывая тенденции забугорного интернета, этот вывод немного преждевременен. LP переживают период бурного расцвета и считаются чуть ли не панацеей для электронной коммерции, как B2C, так и B2B формата.

Под катом пять макетов, немного общей информации о том, что должно быть в каждом лендинге и маленький опрос.

Немного об источнике.

Visual Website Optimizer – компания, которая занимается анализом и оптимизацией сайтов. Основным направлением деятельности является A/B тестирование, в ходе которого осуществляется комплексный анализ различных сторон процесса конвертации и всех факторов, которые на него влияют. Компания имеет огромный опыт и приличную клиентскую базу, в которой замечены Microsoft, Logitec и даже российский ресурс Ichance.

Дизайн разработанных макетов основан на многолетнем опыте компании и их знаниях о влиянии дизайна на уровень конверсии.

Картинки кликабельны, открываются в текущей вкладке
Читать дальше →
Total votes 30: ↑21 and ↓9 +12
Comments 10

Мой опыт обучения детей 8-10 лет программированию на Scratch

Reading time 8 min
Views 269K
Давно собирался написать об этом, но, модная болезнь прокрастинация брала вверх…

Знакомство со Scratch


Когда сыну Артёму исполнилось 7 лет и он пошел в школу, мы ему подарили компьютер, чтобы он не отставал от жизни. Несколько месяцев он играл в разные игры, наслаждался, развлекался и т.п. Мне стало немного обидно, что такой дорогой и сложный прибор как компьютер используется только для развлечений, и я решил придумать, как использовать компьютер для обучения. А чему можно научиться на компьютере? Конечно, программированию! Тут я и вбил в «Яндекс» заветную фразу «обучение детей программированию».
Читать дальше →
Total votes 77: ↑74 and ↓3 +71
Comments 62

Исследование: самыми уязвимыми для хакеров оказались сайты на PHP

Reading time 3 min
Views 14K
Атака на корпоративный сайт не только нарушает работу онлайновых услуг и подрывает репутацию владельцев, но зачастую становится первым этапом взлома внутренних сетей крупных компаний. При этом, согласно исследованию компании Positive Technologies, в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Исследователи выявили самые распространенные уязвимости и оценили, насколько эффективны методы их обнаружения.

Всего в ходе тестов по анализу защищенности, проводившихся компанией в 2013 году, было изучено около 500 веб-сайтов, для 61 из них проводился более углубленный анализ.

Значительная часть исследованных порталов принадлежала банкам — из-за участившихся атак в этой сфере. Также увеличился спрос на анализ безопасности сайтов СМИ, что связано с громкими случаями их взломов и распространения дезинформации. Кроме того, исследовались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.

Выяснилось, что 62% сайтов в 2013 году содержали уязвимости высокой степени риска. Данный показатель существенно выше прошлогоднего (45%). Больше всего приложений с уязвимостями высокой степени риска было выявлено на сайтах СМИ (80%). Что касается сайтов дистанционного банковского обслуживания, то ни одна из исследованных систем ДБО не соответствовала полностью требованиями стандарта безопасности PCI DSS.

image

Наиболее распространенные уязвимости (доля сайтов, %)
Читать дальше →
Total votes 33: ↑18 and ↓15 +3
Comments 21

Секреты Metasploit

Reading time 4 min
Views 226K

Вступление


В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплоитов. Так был рожден хорошо известный во всех кругах проект Metasploit. Первая версия фреймфорка была написана на языке Perl, содержавшая псевдографический интерфейс на базе библиотеки curses.

К 2007 году разработчики консолидировались, основав компанию Metasploit LLC; в это же время проект полностью переписали на Ruby и, частично на Си, Python и Ассемблер.

В октябре 2009 года, проект Metasploit был приобретен компанией Rapid7 с условием, что HD Moore останется техническим директором фреймворка, на что согласилась компания Rapid7.
Читать дальше →
Total votes 91: ↑70 and ↓21 +49
Comments 18

Оптимизация Linux для desktop и игр

Reading time 8 min
Views 173K
В этой статье я хочу поделиться почти 10-летним опытом использования Linux на домашнем компьютере. За это время я провел много экспериментов над ядром, испробовал различные конфигурации для разных применений и теперь хочу все это систематизировать в длинный пост с рекомендациями как выжать из linux максимум и добиться отличной производительности, без необходимости покупать мощное железо.

Лично я считаю часть, где я написал про тюнинг ядра все же немного устарела и современное железо уже априори выдает необходимую производительность для нормальной работы, но, как мне удалось заметить недавно, с играми все равно, даже сейчас, есть проблемы, даже на мощном железе.

Хоть я и пообещал, что после прочтения этой статьи, можно будет играть в Metro 2033 на калькуляторе (шутка, такого не будет), все же она начнется с рекомендации купить кое-что из железа, если у вас этого еще нет.
Читать дальше →
Total votes 132: ↑99 and ↓33 +66
Comments 296

Information

Rating
Does not participate
Registered
Activity