Pull to refresh

Исследователь нашёл уязвимость в IT-системе Toyota, но не получил вознаграждение

Reading time 2 min
Views 1.8K
Information Security *IT systems testing *Transport

Исследователь безопасности смог взломать глобальную систему управления информацией о поставщиках Toyota (GSPIMS) с информацией о 14 тысячах партнёров. Он опубликовал отчёт об уязвимости, но компания отказалась выплачивать вознаграждение.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Comments 1

Приглашаю на хак-квест CRC — турнир по информационной безопасности

Reading time 4 min
Views 24K
КРОК corporate blog Information Security *

«Этичный хакер» ломает сеть

Сразу скажу, что под понятием «хакерский» имеем в виду «для IT-специалистов». Проще говоря, вы не обязаны обладать навыками атаки на компьютерные системы, но должны понимать, как работает защита и сетевые технологии. И, главное — иметь IT-мышление, позволяющее решать нестандартные задачи.

В рамках турнира каждый из участников погружается в имитацию реальной среды (вы будете кем-то вроде одного из сисадминов или IT-консультантов крупной корпорации) и начинает работать над возникающими задачами. Большая часть задач заточена не только под знание серверных ОС и практических ситуаций с ними, но и под умение мыслить и быстро принимать решения. Дело в том, что умение думать, как безопасник, может прийти только с опытом.

Именно этот опыт мы и постараемся дать. Если вы занимаетесь ИБ, серверным администрированием или сисадмините в сети с кучей пользователей — заходите, это точно про вас.
Читать дальше →
Total votes 37: ↑31 and ↓6 +25
Comments 9

Отчёты с прошедших хакерских турниров C^2

Reading time 4 min
Views 22K
КРОК corporate blog Information Security *Sport programming *

С хакерского турнира в Южной Африке

Российский C^2: Cyber Challenge — не первый хакерский турнир в мире. Symantec довольно регулярно проводит Cyber Readiness Challenge в разных странах.

Прямо сейчас идёт онлайн-часть хакерского турнира, плюс продолжается регистрация на оффлайновую часть и конференцию по информационной безопасности. В России Symantec и КРОК организуют это мероприятие впервые. Пока «этичные хакеры» ломают сеть в симуляторе, я расскажу о том, как уже прошли несколько таких турниров по всему миру.
Читать дальше →
Total votes 30: ↑26 and ↓4 +22
Comments 4

Курсы этичного хакинга и тестирования на проникновение. Новый набор

Reading time 4 min
Views 25K
Pentestit corporate blog Information Security *

Открыт набор в новые группы на курсы этичного хакинга и тестирования на проникновение


Рады сообщить о новом наборе на программы практической подготовки в области информационной безопасности: «Zero Security: A» и «Корпоративные лаборатории». Процесс обучения включает в себя теоретическую и практическую подготовку, где опытные инструкторы из компании Pentestit расскажут об УК РФ и ответственности в области информационных технологий, природе и способах обнаружения уязвимостей, продемонстрируют работу профессиональных инструментов пентестеров. Каждое занятие закрепляется практикой и самостоятельными работами. Практическая подготовка проходит в лаборатории и составляет 80% программы обучения. Продолжительность и объем заданий зависят от тарифного плана. Пройдя обучение в Pentestit слушатели узнают практически обо всех этапах работы злоумышленника, закрепив полученные навыки в специально подготовленных пентест-лабораториях, имитирующих работу корпоративной сети реальных компаний. Программа завершается итоговым экзаменом. Для обучения потребуется только доступ в интернет и компьютер.



На протояжении всего процесса подготовки доступен куратор, который в любой момент готов помочь и ответить на любые вопросы на специализированной площадке («Zero Security: A» — сверху слева, «Корпоративные лаборатории» — сверху справа).
Читать дальше →
Total votes 35: ↑30 and ↓5 +25
Comments 6

Как мы впервые в Украине провели мероприятие по безопасности с размахом

Reading time 2 min
Views 14K
Information Security *
Привет всем ИБ'шникам и хакерам, здесь отчет о HackIT с интересными подробностями.

Наверняка многие слышали о том, что в Украине официально проходит набор в киберполицию на позиции инспектора и спецагента. Так вот, это не случайно.

Это мероприятие, которое мы готовили еще с мая 2015, подразумевало собой проведение форума на 3 секции из 21 спикеров и отдельного зала для проведения олимпиады в формате CTF, где 9 лучших по scoreboard награждались призами.

Надеюсь данный пост не сочтут за рекламу, т.к. мероприятие уже прошло, а цель публикации — собрать не безраличных людей к кибербезопасности в Украине.



Дальше — фото и видео.
Читать дальше →
Total votes 33: ↑21 and ↓12 +9
Comments 10

Почему в Украине всё-таки есть белые хакеры

Reading time 8 min
Views 18K
Information Security *Website development *Payment systems *Web services testing *
Эта статья будет ответом на недавнюю публикацию Владимира Таратушка.
Причин написания статьи у меня было несколько.
Первая — это показать, что белые хакеры в Украине есть. Существуют они благодаря одной из программ поощрения поиска уязвимостей, которую проводит Приватбанк.
Следующая причина — это рассказать свою success story работы с одним из крупнейшим банком Украины в рамках данной программы.
Так же я хочу показать эффективность работы такой программы на реальном примере и сподвигнуть к организации таких программ те компании, которые по каким то причинам сомневаются или не видят в них реальных плюсов.
Ну и последняя причина — показать будущим и настоящим ресёчерам, что участие в баг-баунти программах интересно, этично и материально выгодно.
Читать дальше →
Total votes 37: ↑30 and ↓7 +23
Comments 20

Этичный хакинг: как заработать денег, а не проблемы с законом

Reading time 6 min
Views 37K
CyberEd corporate blog Studying in IT


Поиск уязвимостей напоминает лотерею, в которой можно как сорвать джекпот с кругленькой суммой, так и потерять все, включая свободу. И это вопрос не везения, а четкого понимания границ этичного хакинга. Решили для вас разобрать на пальцах, как ковырять баги в чужих системах легально.
Читать дальше →
Total votes 14: ↑10 and ↓4 +6
Comments 12

Демо-хак: на PenTest Show покажут, как легко взломать офисную сеть и системы безопасности, чтобы похитить что угодно

Reading time 2 min
Views 10K
Information Security *
Отправьте эту ссылку вашему начальнику, потому что в среду, 6 июня, в Москве пройдёт живое Penetration Test Show, по легенде которого хакеры взломают компьютер топ-менеджера, используя многоступенчатую и многоканальную атаку с элементами социальной инженерии. Это будет весьма поучительное зрелище для любого, кто когда-либо осознавал необходимость защитить свой компьютер паролем.

image
Специалисты по безопасности покажут, как делают «это» на Penetration Show

Живая демонстрация этапов взлома локальной сети, систем видеонаблюдения и контроля доступа в офис, и итоговый взлом компьютера руководителя компании пройдёт на территории DIGITAL OCTOBER.
Total votes 30: ↑27 and ↓3 +24
Comments 16

Искусство подбирать чужие пароли

Reading time 8 min
Views 35K
Эшелон corporate blog Information Security *
Tutorial

В культовом фильме начала двухтысячных «Пароль «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В этом ему помогает приятель, который заботливо держит пистолет у виска и темпераментная блондинка, прячущаяся под столом. Что делать, если таких друзей поблизости нет, а пароль подобрать необходимо? Например, в ходе тестирования на проникновение…



Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).

Читать дальше →
Total votes 31: ↑27 and ↓4 +23
Comments 65

Пентест. Практика тестирования на проникновение или «этичный хакинг». Новый курс от OTUS

Reading time 2 min
Views 8.3K
OTUS corporate blog Information Security *Studying in IT
Внимание! Данная статья не является инженерной и предназначается читателям, которым интересен этичный хакинг и обучение в этом направлении. Вероятнее всего, если Вы не заинтересованы в обучении, данный материал не будет Вам интересен.




Тестирование на проникновение – это процесс легального взлома информационных систем с целью выявить уязвимости информационной системы. Пентест (то есть тестирование на проникновение) происходит по просьбе заказчика, а по окончании исполнитель дает ему рекомендации по устранению уязвимостей.

Если вы хотите уметь распознавать различные виды уязвимостей и защищать сетевые и веб-ресурсы от атак злоумышленников, то в Otus вас научат этому. Запущен набор на курс «Пентест. Практика тестирования на проникновение»
Total votes 8: ↑7 and ↓1 +6
Comments 0

Этичный хакинг: как взламывать системы и при этом зарабатывать легально

Reading time 10 min
Views 38K
SkillFactory corporate blog Information Security *IT systems testing *Web services testing *
image

Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль — “Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Здесь сосредоточимся на правовой стороне взлома, а если ваши представления навеяны именно фильмами, для вас мы подготовили подробный обзор профессии специалиста по кибербезопасности.

Хакером можно быть и легально. Легальных хакеров называют пентестеры, или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом. Совсем недавно мы запустили курс «Этичный хакер», и в этой статье мы поговорим, как заниматься хакингом, зарабатывать на этом неплохие деньги и при этом не иметь проблем с законом. Поехали.
Приятного чтения!
Total votes 11: ↑11 and ↓0 +11
Comments 3

Почему этичным хакерам следует взламывать корпорации сообща. Интервью с баг-хантером Алексом Чапманом

Reading time 4 min
Views 2.3K
ГК ITGLOBAL.COM corporate blog Information Security *
Translation
Алекс Чапман, работающий в сфере этичного хакинга 13 лет, рассказал изданию The Daily Swig о будущем кибербезопасности, принципах, благодаря которым он остается успешным и востребованным хакером, и о том, почему он верит в сотрудничество между баг-хантерами.


Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Comments 2

Как стать этичным хакером в 2022 году

Reading time 4 min
Views 137K
Information Security *Web services testing *CTF *Cyberpunk
Recovery mode
Sandbox

Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.

Начну с того что понятие "этичный хакер" - для меня это что-то вроде слова "маркетолог". То есть в общем обо всем и ни о чем вообще. В хакинге как и во многих отраслях нужна специализация. Когда приходят какие то заказы на этичный взлом они, как правило приходят на команду, и в этой команде есть уже какая-то специализация.

Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов

Начну с того что Хакинг делится на следующие области:

Стать хакером
Total votes 23: ↑9 and ↓14 -5
Comments 60

Ontol про пентест и этичное хакерство: подборка лучших бесплатных курсов на YouTube

Reading time 9 min
Views 17K
Information Security *Python *Studying in IT
image

Анджелина как бы намекает, что пора стать этичным хакером.

Чтобы YouTube не банил обучающие курсы по хакерству, их назвали курсами этичного хакерства.

Этичный хакер — это добрый и пушистый, очень законопослушный высококвалифицированный специалист, который с письменного разрешения заказчика проверяет защищенность информационных систем этого же заказчика. Потом пишет отчет о выявленных уязвимостях и больше никому ничего не рассказывает, даже если очень хочется. Если хакер вдруг перестал быть этичным, его тут же ловят другие этичные хакеры, потому что сила в правде.

Есть очень дорогие курсы, есть не очень дорогие, а есть бесплатные. Вообще-то, тру хакер всё должен выучить самостоятельно по книгам, но иногда можно и на YouTube подсмотреть.

Предлагаем вашему вниманию подборку 20+ самых популярных обучающих видеокурсов на YouTube.
Читать дальше →
Total votes 37: ↑25 and ↓12 +13
Comments 8

Как я хакнул все районные школы, чтобы показать рикролл, и что из этого вышло

Reading time 10 min
Views 19K
SkillFactory corporate blog Information Security *IPTV *Network technologies *Reading room
Translation

30 апреля 2021 года автор проделал рикролл по своему школьному округу. Это не только моя школа, но и весь школьный городской округ 214 (далее — D214), один из крупнейших школьных округов в Иллинойсе, состоящий из 6 школ, в которых учатся более 11 000 человек.

Подробности рассказываем в этом пятничном посте к старту курса по этичному хакерству.

Читать далее
Total votes 27: ↑24 and ↓3 +21
Comments 22

Как получить пароль WPA2 WiFi с помощью Aircrack-ng?

Reading time 2 min
Views 30K
Information Security *IT systems testing *Wireless technologies *
Tutorial
Sandbox
Translation

Друзья, всех приветствую!

В этой статье я покажу вам как использовать airmon-ng (скрипты из пакета aircrack-ng) для обнаружения беспроводных сетей вокруг нас. Затем мы деаутентифицируем клиентов определенной беспроводной сети, чтобы перехватить handshake, а затем расшифруем его, чтобы найти пароль WiFi.

Сеть, которую я буду атаковать, является моей собственной сетью, я не буду атаковать чужую сеть. Пожалуйста, не используйте эту информацию в неэтических целях. То, чем я здесь делюсь, предназначено только для образовательных целей.

Прежде чем приступить к работе, давайте посмотрим, что нам понадобится.

Читать далее
Total votes 45: ↑27 and ↓18 +9
Comments 31

Что такое Netcat? Bind Shell и Reverse Shell в действии

Reading time 5 min
Views 20K
Information Security *System administration *
Tutorial

Друзья, всех приветствую!

В этой статье мы поговорим о том, что такое Netcat и с помощью него реализуем Bind и Reverse Shell соответственно.

Netcat

Netcat, впервые выпущенный в 1995 году (!), является одним из "оригинальных" инструментов тестирования на проникновение в сеть. Netcat настолько универсален, что вполне оправдывает авторское название "швейцарский армейский нож" хакера. Самое четкое определение Netcat дают сами разработчики: "простая утилита, которая считывает и записывает данные через сетевые соединения, используя протоколы TCP или UDP".

Подключение к порту TCP/UDP

Как следует из описания, Netcat может работать как в режиме клиента, так и в режиме сервера. Для начала давайте рассмотрим клиентский режим. Мы можем использовать клиентский режим для подключения к любому порту TCP/UDP, что позволяет нам: Проверить, открыт или закрыт порт или подключиться к сетевой службе.

Давайте начнем с использования Netcat (nc), чтобы проверить, открыт ли порт 80 на тестируемой машине (в качестве тестируемой машины мы будем использовать основную машину на которой установлена ВМ !!!).

Мы введем несколько аргументов: опцию -n, чтобы отключить DNS и поиск номеров портов по /etc/services; -v для вывода информации о процессе работы; IP-адрес назначения; и номер порта назначения:

P.S. Чтобы узнать IP-адрес основной машины выполните команду ipconfig в командной строке если у вас основная машина Windows, и ifconfig если у вас Linux или MacOS.

Читать далее
Total votes 10: ↑8 and ↓2 +6
Comments 7

Маленький хакер. Первый шаг

Reading time 3 min
Views 2.9K
Information Security *CTF *
Tutorial

В этой статье вы получите минимально необходимую теорию для вашего первого шаг на пути обучения этичному хакеру. Для тренировки мы будем использовать сервис HTB. Темы которые мы бегло рассмотрим: Kali Linux, SSH, FTP, Telnet. Статья будет разделена на две части: Необходимая теория, Где применять.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Comments 3

Кто такой этичный хакер?

Reading time 4 min
Views 3.7K
Information Security *

Друзья, всех приветствую!

В этой статье мы поговорим о том, кто такие на самом деле этичные хакеры.

Этичный хакер, также называемый "белой шляпой", - это эксперт по информационной безопасности (инфобезопасности), который проникает в компьютерную систему, сеть, приложение или другой вычислительный ресурс от имени владельцев - и с их разрешения. Организации обращаются к этичным хакерам для выявления потенциальных уязвимостей безопасности, которыми могут воспользоваться злонамеренные хакеры.

Целью этичного хакинга является оценка безопасности и выявление уязвимостей в целевых системах, сетях или системной инфраструктуре. Этот процесс подразумевает поиск и последующую попытку использования уязвимостей для определения возможности несанкционированного доступа или других вредоносных действий.

Читать далее
Total votes 6: ↑0 and ↓6 -6
Comments 3

Как подобрать пароль к аккаунту/странице/сайту

Reading time 2 min
Views 6.5K
Information Security *
Tutorial
Recovery mode
Translation

Друзья, всех приветствую!

В этой статье мы поговорим о том, как подбирать пароли к учетным записям, сайтам, страницам, аккаунтам с помощью Burp Suite.

Аутентификация лежит в основе защиты приложения от несанкционированного доступа. Если злоумышленнику удастся нарушить функцию аутентификации приложения, то он сможет завладеть всем приложением.

В следующем примере демонстрируется техника обхода аутентификации с использованием имитированной страницы входа в систему из учебного инструмента "Mutillidae". Версия "Mutillidae", которую мы используем, взята из проекта OWASP "Broken Web Application Project". Скачать проект BWAP вы можете здесь.

Во-первых, убедитесь, что Burp Suite правильно настроен в вашем браузере. Во вкладке Burp Proxy убедитесь, что "Перехват выключен" ("Intercept is off") и посетите страницу входа (login page) в WEB-приложение, которое вы тестируете в вашем браузере.

Читать далее
Total votes 21: ↑1 and ↓20 -19
Comments 18