Наша команда проводит много red-team-проектов и, как следствие, постоянно имеет дело с различными системами мониторинга сетевого трафика. Вопрос «Как не спалиться?» в такой работе почти так же важен, как проникновение в инфраструктуру. Поэтому сегодня я хочу поговорить о маскировке сетевого трафика между С2-агентом и сервером — посмотрим на нетривиальные и даже забавные способы это сделать.

Пережив недавно небольшой security-испуг — мне пришла SMS с кодом «Гугла» вида G-******, я отправился искать, что это может значить. Не знаю, как у вас, а у меня это уже не первый случай, правда, после этого обычно больше ничего не происходит. Понятно, что это какой-то код авторизации, но понять, случайно пришла SMS или намеренно, и куда именно пытались попасть злоумышленники, в сам аккаунт или какой-то привязанный к нему сервис? Хотя я и подозреваю, что это была попытка взлома, какова именно схема взлома, «Гугл» мне не подсказал — а, значит, какие узкие места мне надо застраховать, я так и не понял. В итоге, прочитав форумы, проверив все авторизованные устройства, и сменив пароль, я вынужден был успокоиться. 

Зато в процессе поисков я нашёл то, чего не искал: пример угона «Инстаграма» (запрещённого в РФ сервиса, признанного экстремистским) в 2015 году, используя дыры в поддержке Apple и Amazon. Кейс показывает пример простоты взлома при наличии знаний алгоритмов работы поддержки сторонних сервисов. Этот конкретный пример взлома сегодня безопасен для публикации, но принцип в его основе сохраняет актуальность.

За последние два года я создал и запустил восемь небольших онлайн-проектов — от приложений до сайтов. Большинство из них провалились, но в целом мой разношерстный портфель проектов можно назвать прибыльным — на хлеб хватает. Мое последнее начинание, Paper Website, дает возможность вести блог, используя бумагу и ручку. Идея странная, но и у нее нашлись свои немногочисленные ярые поклонники, готовые каждый месяц платить за этот сервис.

Обычно сторонним проектом или сайд-проектом называют проект-хобби, который разработчик развивает параллельно с основной работой (я, например, сооснователь и технический директор финтех-стартапа), вроде робота на Raspberry Pi, приложения для ведения списка дел или игры на iOS, приносящей какие-то деньги. Но я заметил, что все больше разработчиков идут тем же путем, что и я, — запускают не один большой сайд-проект, а много маленьких. 

Почему так происходит? Конечно, no-code-платформы, Codecademy и инструменты вроде Stripe помогают запускать проекты, как бумажные самолётики. Это объясняет, как делаются эти проекты и почему такая тенденция возникла именно сейчас. Но почему разработчики развивают так много сторонних проектов? В этом посте я расскажу о некоторых наиболее интересных причинах.

Про Google доркинг написано и сказано много. Косвенно данной темы мы касались в статье: как проверяют физических лиц в СБ компаний методом OSINT. Ну и самой, на мой взгляд, толковой статьей на просторах Хабр по вопросу доркинга является статья: Google Dorking или используем Гугл на максимум.

В данной статье мы решили углубиться в тему доркинга и рассмотреть вопрос его применения при проверке контрагентов.

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Таков путь

Кроме огромных репозиториев с источниками для подготовки к интервью, здесь много чего интересного

Я собрал список из десяти отличных репозиториев на Github, которые помогут вам существенно расширить свои знания.

А я его перевел, т.к. показалось, что пост многим будет интересен. Перевод очень вольный: я опустил нерелевантные промо-ссылки и гипер эмоциональные похвалы автора оригинала, чтобы оставить только суть. Еще, обновил цифры, чтобы информация была более актуальной к моменту публикации этого перевода. Итак, перейдем к списку.

Всем привет, меня зовут Алексей Федоров, я тимлид команды финансов в Ситимобил. В этой статье я хочу поделиться тем, как устроен процесс гибкой разработки в нашей команде.

Добрый день!

Хочу предложить небольшой экскурс в практическое применение теории ограничений для ИТ. А именно — в вопросе расчета "прохода" (throughput) отдела по разработке внутрикорпоративного ПО.

Про то, как в Avito работает performance review, я очень много раз рассказывал внутри компании, а этой весной ещё и на двух конференциях — TeamLeadConf и CodeFest. Мы активно вкладываемся в доработку процесса, проводим много экспериментов и собираем кучу полезных данных, поэтому каждое новое выступление стабильно включает в себя какой-то новый контент. Цель этой статьи — не выдать вам готовое коробочное решение, а поделиться всеми практиками и инсайтами, которые мы обнаружили на своем пути.