Pull to refresh

Роскомнадзор разместил вакансию «хакера»

Legislation in IT


В эту пятницу, 16 сентября, на ресурсе Superjob.ru с аккаунта Роскомнадзора была размещена вакансия по найму «хакера». Подлинность учетной записи (была зарегистрирована в день размещения вакансии), с которой было оставленно объявление о поиске работника, подтвердили как сами представители superjob, так и Роскомнадзор.

Ведомство в тексте вакансии прямо сообщает, что на работу требуется не просто специалист в области информационной безопасности, а именно хакер, желательно с опытом «black hat», т.е. незаконного взлома. В тоже время опыт работы в качестве «White hat» обязателен.
Читать дальше →
Total votes 37: ↑34 and ↓3 +31
Views 28K
Comments 94

Google просит ИБ-сообщество отказаться от терминов Black\White Hat и заменить их на нейтральные

Information Security *IT Terminology History of IT IT-companies


4 июля 2020 года изданию ZDNet стало известно, что при обсуждении моментов проведения августовской онлайн ИБ-конференции по безопасности Black Hat (Black Hat USA 2020) ИБ-исследователь Google Дэвид Клейдермахер (David Kleidermacher), который также является вице-президентом по инженерным разработкам в Google и отвечает за безопасность Android и Google Play Store, поднял вопрос в сообществе о прекращении использования терминов «черная\белая шляпа» (Black\White Hat) и предложил заменить их на более нейтральные, например, PITM (people-in-the-middle) или MITM (man-in-the-middle).
Total votes 24: ↑22 and ↓2 +20
Views 16K
Comments 212

Firestarter! Part#1 White Hat

Lumber room
Хотелось начать серию статей о хакинге. Можно начать писать, о разнообразных уязвимостях, ньюансах Penetration test'инга. Но хакинг начинается с людей. И как написал в своем «Манифесте Хакера» The Mentor (Loyd Blankenship):
Yes, I am a criminal. My crime is that of curiosity. My crime is
that of judging people by what they say and think, not what they look like.


хакер — преступник, но не все так просто…
Читать дальше →
Total votes 27: ↑16 and ↓11 +5
Views 399
Comments 10

Нидерланды утвердили рекомендации для белых хакеров

Information Security *
Нидерландское правительство на прошлой неделе выпустило официальные рекомендации по «хактивизму» с целью поощрить белых хакеров раскрывать бреши в безопасности ответственно. Эти рекомендации устанавливают для этических хакеров формальную процедуру сообщения об ИТ-уязвимостях, пишет The Verge.

«Лица, которые сообщают об ИТ-уязвимостях, несут важную социальную ответственность», — подчёркивается в заявлении Национального центра кибербезопасности Нидерландов. В заявлении говорится, что некоторые хакеры, обнаруживая бреши в безопасности, не уведомляют непосредственно организацию, вместо этого сообщая об уязвимостях публично на форумах или в медиа. Такой подход, как заявляется, может только усугубить проблему.
Читать дальше →
Total votes 55: ↑53 and ↓2 +51
Views 16K
Comments 12

Особенности национальной охоты на баги или Bug Bounty по-славянски

Information Security *


Почему крупнейший мобильный оператор платит за критические уязвимости 3-мя месяцами бесплатного интернета, государственная авиакомпания считает паспортные данные и дату рождения не конфиденциальной информацией, а служба доставки №1 в стране по скриншотам отрицает утечку данных?

А тем временем, на другом континенте, Пентагон собирает 1410 фрилансеров ИБ-шников и выплачивает 75 000 долларов за найденные уязвимости. Министерство Обороны США так же запускает программу вознаграждения и выплачивает более 100 000 долларов за 118 найденных уязвимостей (багов) на всех официальных сайтах департамента.

В данной статье мы рассмотрим особенности внедрения и обслуживания одного из самых эффективных мер в сфере безопасности (security) — программа поиска и выявления уязвимостей (bug bounty).
Читать дальше →
Total votes 31: ↑28 and ↓3 +25
Views 12K
Comments 22

HackerQuest v0.97: квест-комната уровня сложности «Nightmare»

Gadgets Popular science DIY
«Революция будет игрой.» Гейб Зикерманн



Привет.

Сегодня хочу немного рассказать про свои впечатления после плей-теста «хакерской» квест-комнаты.
Очень трудно побороть щемящее чувство ностальгии, когда видишь экран загрузки DOS и слышишь звуки DOOM, но надо сосредоточиться и напрягать извилины. Потому что времени дается час и нужно собрать как можно больше флагов.

По легенде, у вашей команды (3-5 чел) есть 60 минут до прихода полиции, и вам нужно собрать как можно больше улик и зацепок в комнате исчезнувшего хакера, чтобы понять, куда он пропал и почему.

И тут встает дилемма, как поделиться интересненьким и не заспойлерить. Попробую походить вокруг да около и кое о чем рассказать, потому что было интересно.

Здесь можно пользоваться фотиком (если поможет), смартфоном и интернетом (если сможете обойти глушилку), а после прохождения квеста поят «нитрочаем» (с жидким азотом) и посвящают в криобратство (льют на руки жидким азотом, девчонки в восторге). Я предложил сделать 2 коктейля для взрослых — «Overclocking» (вискарь с азотом) и «Сверхпроводник» (азот с вискарем).

Тут много старинной техники (почти музей), и я им подогнал пару завалявшихся девайсов из своей коллекции (если у вас что завалялось — приносите) и несколько идей для заданий (у каждого ведь есть десяток таких идей в запасе), а так же договорился, что можно привести старшеклассников на облегченный вариант (а может, наоборот, на усложненный, сейчас такая молодежь пошла) дабы приучить их к хорошему и спрофориентировать на ИТ (есть нехилый блок про историю криптографии и стеганографии с практикой, ну, и социнженерии немного). Мне сказали, главное, чтобы взрослых не было с ними, потому что в тексте заданий есть слово «жопа». (Я спросил, а есть ли у них «Swordfish hacking»?)

Что прикольно, что квестоделы сумели сделать так, чтоб и хардкорщик голову поломал, и девчонки смогли посмеяться от души («да пофиг нам на ваши железки, вот коробочка интересная»).
Читать дальше →
Total votes 15: ↑13 and ↓2 +11
Views 15K
Comments 10

Как выжить охотнику за багами: ежедневная борьба за доход

Information Security *IT career
Translation

В принципе, можно сделать карьеру независимой киберищейки – если вы достаточно непритязательны




Эван Рикафорт работает из дома, и его офис занимает одну комнату в доме, расположенном на шоссе в Филиппинах, где вместе с ним живёт его семья. Родители 22-летнего компьютерщика работают в продуктовом магазинчике, принадлежащем его семье, и расположенном в южном городе Ипиль, а он сам проводит до 75 часов в неделю взаперти, вкалывая на своём компьютере. И здесь, среди какофонии мотоциклов, лая собак и плача детей, он может заниматься спасением ваших персональных данных.

Рикафорт – охотник за багами, принадлежащий к определённому типу положительных хакеров, ищущих уязвимости в безопасности ПО, созданного крупнейшими технокомпаниями мира, пытаясь опередить плохих хакеров, которые могли бы воспользоваться этими уязвимостями. Делают они это не бесплатно, естественно: многие компании платят (иногда прилично) за вклады, помогающие компаниям исправлять код, от которого зависит их бизнес. И таких предложений достаточно, чтобы охота за багами стала одной из нарождающихся профессий.
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views 5.6K
Comments 5

Инстансы по информационной безопасности на платформе attackdefense.com

Information Security *Growth Hacking *CTF *
Sandbox


… Мы живем в эпоху больших событий и маленьких людей
… Уинстон Черчилль

Сегодня вашему вниманию представляем первую статью из цикла о разборе и прохождении лабораторных работ с ресурса attackdefense.com с поддержкой известного организатор конференций (Black Hat и Pentes Академии) — проект, который позволяет разобраться во многих аспектах атак на различные протоколы, службы, системы. В большей части данный ресурс представляет собой платформу с лабораторными работами по самым актуальным тематикам.

Сразу ответим на часть вопросов, которые могут появиться в ходе чтения данного материала:

Под спойлером
  1. Чем понравился данный ресурс? (Своей простотой использования. Не нужно иметь целый комплекс программ и сервисов для оттачивания своих «скилов», тут уже есть много.)
  2. Эта статья рекламная? (Данный цикл статей будет носить исключительно технический характер, нацеленный на прохождение лабораторных работ, а не на пиаре ресурса. Но мы не исключаем, что интерес к данному сайту может возрасти. )
  3. «Сразу кстати от сообщества поступит вопрос, а насколько этично описывать решения чужих задач и получили ли мы акцепт на подобный цикл статей от авторов ресурса»
    (К сожалению, но нет, мы пытаемся выйти на связь с ними через публичные почтовые адреса. Но ответа пока что нет.)

Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 4.4K
Comments 1

Как «этичный взлом» производителя ПО для азартных игр обернулся полным кошмаром

Information Security *
Translation

«Этичные хакеры» пытались раскрыть глаза компании, делающей программы для азартных игр, на ошибки в её продуктах – но в итоге всё полетело к чертям




Люди, обнаруживающие проблемы с безопасностью у компании, часто сталкиваются с трудностями, пытаясь сообщить ей об этом. Однако гораздо реже подобные ситуации приобретают характер ярмарочных противостояний и обоюдных обвинений в атаках и шантаже.

И всё же, именно это произошло, когда менеджмент высшего звена компании Atrient, специализирующейся на технологиях казино, и имеющей штаб-квартиру в городе Вест-Блумфилд (Мичиган), перестал отвечать на сообщения двух исследователей из Британии, работающих в области кибербезопасности, и сообщивших о якобы имевших место недостатках в защите компании. Исследователи думали, что договорились об оплате их работы, но так ничего и не получили. 5 февраля 2019 года один из них, Дилан Уилер, 23-летний австралиец, живущий в Британии, пришёл на стенд Atrient на лондонской выставке, чтобы лично разобраться с главным операционным директором компании.
Читать дальше →
Total votes 28: ↑24 and ↓4 +20
Views 19K
Comments 16

Winning PHDays 9 The Standoff: The chronicle by the True0xA3 team

Information Security *CTF *Cybersport
Sandbox
This is an English-language summary of two absolutely outstanding articles written by Vitaliy Malkin from «Informzashita» whose team, True0xA3, became the winners of the prestigious black hat competition The Standoff during Positive Hack Days 9 in May of 2019.

Vitaliy has published three detailed articles on Habr, two of which were dedicated to the description of the strategies that True0xA3 team used before and during the competition to secure this team the title of the winners. I felt that the only thing that those two articles were lacking was a summary in English so that a wider audience of readers could enjoy them. So, below is the summary of two articles by Vitaliy Malkin, together with images Vitaliy published to clarify his points. Vitaliy has OKed me doing the translation and publishing it.
Read more →
Total votes 8: ↑8 and ↓0 +8
Views 1.3K
Comments 0
Привет, %username%! Кибербезопасность — одна из самых интересных и захватывающих сфер IT. Даже сухие отчеты о взломах и утечках иногда читаются как увлекательные романы, не говоря уже о биографиях тех, кто засветился на этом фронте. Сегодня мы с командой Сколково решили окунуться в историю кибербезопасности и взвесить на весах Хабра «черный» и «белый» хакинг. Для этого мы подготовили небольшой тест, в котором можно проверить свои знания достижений хакеров обеих сторон. Кому интересно, просим под кат.
Let's do it!
Total votes 21: ↑21 and ↓0 +21
Views 16K
Comments 4