Pull to refresh
1
0
Send message

Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ

Reading time10 min
Views25K

Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает ?

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Добро пожаловать под кат!

Смотреть подборку
Total votes 12: ↑10 and ↓2+8
Comments1

Виртуальная пентест лаборатория

Reading time4 min
Views11K

Постановка проблемы



Некоторое время назад я решил актуализировать свои знания в пентесте (pentest).

Составил план, который включал, как теоретический аспект, так и практический: применение полученных знаний на практике и закрепление их. С теоретической частью было все понятно: книги, курсы и т.д., в интернете масса материалов и ресурсов – читай не хочу.

Практическая часть должна быть в виде пентест лаборатории с блэк-джеком и непотребствами из нескольких машин с различными уязвимостями.
It all began with this white rabbit...
Total votes 6: ↑6 and ↓0+6
Comments8

Когда запустил стартап и узнаешь, что это уже и не стартап вовсе

Reading time7 min
Views21K
Вот бывает же так, собираешь команду ребят, вкладываешь деньги и/или привлекаешь партнера-инвестора в свой проект, денно и ночно трудишься почти год, чтобы предложить миру, в моём случае конечно же городу своё уникальное изобретение и вуаля!

Приходишь такой со своим проектом в виде работающего прототипа защищаться на краш-тест организованный какой либо предпринимательской тусовкой и тебе там говорят — «Ребят, да вы чё, такое уже есть, в Европе аналогичное мобильное приложение „meetap“ распространенно и все ими пользуются, зачем вы вообще что то делаете по своему, просто берите и копируйте!

Честно, глаз чуть не выпал, когда услышал такие слова от приглашенных в Новосибирске жюри данного краш-теста по стартапам, т.е. человек априори считает, что нельзя сделать что то лучше зарубежных проектов и надо все просто копировать!

Позиция замечательная, но речь конечно не о ней, речь о том, что у еще не родившегося стартапа уже возник некий конкурент западный, который и в России оказывается присутствует.

Наверное сейчас возникают мысли у вас, а чего же вы сразу конкурентов не погуглили до начала работы над стартапом? Чему же тут удивляться если сами плохо искали, да? Такие у вас мысли?
Читать дальше →
Total votes 31: ↑24 and ↓7+17
Comments29

Как расправиться с читерами и не переписать весь код

Reading time4 min
Views31K


Несколько лет назад появился прототип игры War Robots (тогда она еще называлась Walking War Robots). Это был первый опыт Pixonic в жанре тактического PvP, поэтому многие будущие проблемы были заложены в коде изначально. Но несмотря на ряд трудностей (популярность проекта стремительно росла, небольшая команда не могла полностью изменить архитектуру игры в краткие сроки), нам в итоге удалось свести к минимуму количество читеров, а также исправить другие недостатки оригинального кода. Расскажу немного подробнее.
Читать дальше →
Total votes 36: ↑33 and ↓3+30
Comments72

Как ты реализуешь аутентификацию, приятель?

Reading time10 min
Views121K


Все знают о стандартной аутентификации пользователя в приложении. Это олдскульная процедура регистрации — пользователь вводит адрес почты, пароль и т. д., — а затем при входе мы сравниваем почту и/или пароль с сохранёнными данными. Если совпадает, даём доступ. Но времена изменились, и сегодня появилось много других методов аутентификации. Если хотите оставаться востребованным программистом/разработчиком в этом меняющемся, словно калейдоскоп, мире разработки ПО, то вы должны знать обо всех этих новых методах.


Нельзя отрицать, что в любых приложениях и ОС «аутентификация» — крайне важный элемент обеспечения сохранности пользовательских данных и регулирования доступа к информации. Чтобы понять, какой метод аутентификации для вас лучше, нужно разбираться в достоинствах и недостатках всех методов, а также неплохо представлять, как же они работают.


Здесь я постараюсь рассказать о большинстве распространённых сегодня методов аутентификации. Это не подробное техническое руководство, а лишь способ познакомить вас с ними. Хотя методы описаны с учётом применения в вебе, эти идеи можно реализовать и в других условиях.

Читать дальше →
Total votes 89: ↑82 and ↓7+75
Comments94

У CDROM’а век не долог?

Reading time4 min
Views38K
DVD [диск] начнет умирать уже лет через 5. […] Я опираюсь на информацию из сети про условия и максимальный срок жизни, вполне может быть и лажа. Но фильмы на DVD[,] купленные ~10 лет назад[,] сейчас не запускаются ни один из нескольких десятков.

Из обсуждения


За многие годы у меня скопилась значительная коллекция CD и DVD ROM, выпущенных массовыми тиражами, кроме того, периодически архивирую на одноразовые болванки свои файлы. Поэтому утверждение, приведенное в эпиграфе, не могло меня не заинтересовать.
Читать дальше →
Total votes 58: ↑46 and ↓12+34
Comments255

Туториал: создаём простое приложение для watchOS 4

Reading time24 min
Views8.8K
image

В этом туториале мы создадим простое, но полнофункциональное приложение под watchOS 4. А конкретнее, мы будем работать над приложением придуманной авиакомпании Air Aber для Apple Watch.

Из этого туториала вы узнаете:

  • Как добавлять целевую сборку watchOS 4 в приложение iOS.
  • Как обмениваться данными между двумя целевыми сборками.
  • Как добавить в Storyboard контроллер интерфейса watchOS и расположить объекты интерфейса.
  • Как создать подкласс WKInterfaceController и соединить всё вместе.
  • Как добавить новый контроллер интерфейса, добавить к нему таблицу и создать прототип из строк.
  • Как создать подкласс класса WKInterfaceController, чтобы заполнить таблицу, настроить строки и обрабатывать выбор.
  • Как сделать контроллер интерфейса модальным и передавать ему данные для отображения.
  • Как создавать анимации на основе изображений.
  • Как использовать API анимации watchOS 4.
Читать дальше →
Total votes 13: ↑12 and ↓1+11
Comments1

Почему умирают российские выставки по кибербезопасности

Reading time9 min
Views16K
В 1851 году в Лондоне прошла первая Всемирная выставка, которую посетили более шести миллионов человек. В проработке проекта активно участвовало британское Королевское общество ремесленников, их задачей было создать инструмент поддержки торговли и предпринимательства. Результат оказался ошеломительным – выручка оказалось такой большой, что часть ее пошла на обустройство музейного города Альбертополь. Следующую Всемирную выставку всего через два года организовали в США, а в 2020 году очередное мероприятие в серии проведет Дубай. Причина, по которой глобальные и отраслевые мероприятия остаются популярными вот уже полторы сотни лет, очевидна: именно в формате выставок получается организовать интенсивный и эффективный обмен информацией между людьми.

Тем не менее, не все выставки по информационной безопасности одинаково полезны. В этом году я побывал на выставках RSA Asia Pacific & Japan и Government Ware, что позволило не только окунуться в тренды кибербезопасности в прогрессивном регионе APAC, но и сравнить подходы к организации мероприятий за рубежом и у нас. Сегодня хотелось бы поделиться выводами и размышлениями о том, что мешает российским выставкам, посвященным информационной безопасности, расцвести пышным цветом (осторожно, под катом много картинок).


Читать дальше →
Total votes 29: ↑24 and ↓5+19
Comments13

Ретроспектива: Heroes of Might & Magic III

Reading time23 min
Views73K
image

Heroes of Might & Magic III через полтора года исполняется 20 лет. Игра, покорившая не одно поколение своим волшебством, не потеряла своей привлекательности и сегодня — многие называют её «новыми шахматами», утверждая, что превзойти «магическую» формулу третьих «Героев» с тех пор так никому и не удалось.

Сегодня вашему вниманию предлагается рассказ о том, как появились на свет HoMM III и её наследники. Учитывая, что знания, проливающие свет на события тех дней, всегда могут кануть в Лету, и их не спасет даже The Internet Archive (что уже произошло с некоторыми интервью) — а сама серия, по слухам, волей Ubisoft отправлена в глубокую «заморозку» из-за неважных финансовых показателей последней части франшизы — лучше сделать это сегодня, чем завтра.

Мой рассказ является реконструкцией событий, происходивших два десятилетия назад, и в его основе лежат десятки источников — поэтому он может содержать некоторые неточности; к счастью, история пока сохранила для нас достаточно сведений про то, как New World Computing и 3DO смогли произвести на свет игру, удавшуюся настолько, что мы годы спустя продолжаем в неё играть. Узнаете вы и про то, что произошло после выпуска третьих «Героев».
Когда всё закончится, ты забудешь о том, как тяжело тебе было, и захочешь повторить это снова.
Джон Ван Канегем, «Напутствие тем, кто переживает кранч»

Дисклеймер: каждый раз, когда речь заходит про «Героев», обязательно находится человек, который сразу же идёт их устанавливать. Вот почему лучшего дня для публикации этого поста, чем пятница, попросту не существует — чтобы к утру понедельника абсолютно все успели прийти в себя.
Total votes 60: ↑60 and ↓0+60
Comments51

Биороботы нашего времени — избавляемся от рутины вместе с Telegram. Реальный кейс без фантазий

Reading time5 min
Views28K
В интернетах не прекращается хайп вокруг чат-ботов (в частности, Telegram) благодаря шуму в СМИ, неоспоримых достоинствах платформы, политике продвижения, средствам разработки и т.д.

Смотришь новости: ну жизни нет без чат-ботов!
Да если их не будет, поезда с рельс сойдут, упадут самолеты, погибнут люди от тоски, когда не смогут найти картинки с котиками.

Но давайте положим руку на сердце: когда последний раз вы что-то заказывали в интернет-магазине через чат-бот?

Кто все эти люди, которые заказывают разработку ботов для своих магазинов?


Типичный чат-бот магазина Vasya Limited:
>> автоматизирует поток водопад заявок из 5 человек в день,
>> сливает 4 из 5 заявок, кровью добытых через Яндекс-Директ,
>> если повезет, человек найдет номер телефона и позвонит,
>> но, вероятней всего, «Эээ, куда жать?», а потом закроет и уйдет гуглить дальше.

Чем занят владелец, когда продажи «автоматизированы»:
>> вносит заказы в excel-таблицу
>> заполняет почтовые бланки на посылках
>> стоит в очереди на почте с кучей посылок (каждый день!)
>> вносит трек номера в excel-таблицу, затем рассылает клиентам

Может, хватит на ровном месте встраивать «технологии» туда, где действительно нужен человек, в то время как люди загружены рутиной для роботов?
Читать дальше →
Total votes 80: ↑73 and ↓7+66
Comments29

Как мы построили программно-определяемый дата-центр в ящике стола

Reading time6 min
Views33K
Проснулся я однажды пораньше и подумал: а чего бы не построить дата-центр? Свой собственный, на Intel NUC — мини-ПК, на которых крутится половина нашего центра технологий Intel.

Наш кабинет по пути из офисной столовой, и кто-то сболтнул, что я делаю. Поэтому начали заходить коллеги поржать. Заглядывали, спрашивали, где я прячу дата-центр, потом смеялись.

На третий день смех внезапно прекратился, и многие начали чесать голову. Потому что получился мобильный ЦОД для демонстраций и обучения, который можно принести к заказчику в чемодане. Или установить на танк.



Эпопея строителя дата-центра — ниже.
Читать дальше →
Total votes 36: ↑36 and ↓0+36
Comments45

Kali Linux: оценка защищённости систем

Reading time7 min
Views19K
→ Часть 1. Kali Linux: политика безопасности, защита компьютеров и сетевых служб
→ Часть 2. Kali Linux: фильтрация трафика с помощью netfilter
→ Часть 3. Kali Linux: мониторинг и логирование
→ Часть 4. Kali Linux: упражнения по защите и мониторингу системы

Сегодня мы продолжаем публиковать перевод избранных глав книги «Kali Linux Revealed». Перед вами — первый раздел главы 11: «Применение Kali Linux для оценки защищённости информационных систем».


Читать дальше →
Total votes 19: ↑19 and ↓0+19
Comments1

Kali Linux: модификация пакетов

Reading time18 min
Views15K
Продолжаем переводить книгу «Kali Linux Revealed». Девятая глава посвящена расширенному использованию системы. В частности, изучив её, можно узнать о том, как создать из базового дистрибутива Kali именно то, что вам нужно. Сегодня мы публикуем перевод первого раздела этой главы. Речь пойдёт о модификации пакетов Kali.


Читать дальше →
Total votes 17: ↑17 and ↓0+17
Comments0

Бэкдор OSX/Proton распространяется с троянизированным приложением Elmedia Player

Reading time4 min
Views3K
19 октября наши специалисты заметили, что Eltima, разработчик популярного бесплатного плеера Elmedia Player, распространяет с официального сайта зараженную OSX/Proton версию приложения. Мы обратились в Eltima, как только наличие проблемы подтвердилось, и сотрудники компании оставались на связи на протяжении инцидента.



Публикуем пост, несмотря на то, что исследование не завершено. Информация является предварительной и, возможно, будет дополняться по мере поступления новых данных.

Читать дальше →
Total votes 8: ↑6 and ↓2+4
Comments1

Три ошибки iOS-разработчика, которые могут дорого стоить

Reading time5 min
Views15K

 
Создание iOS-приложения – непростая задача. Разработчикам хочется как можно быстрее завершить этот процесс и наконец запуститься в AppStore. Но на этом все не заканчивается: впереди у создателей долгие годы исправления ошибок, улучшения функций и совместной работы с другими разработчиками. Мы бы хотели немного облегчить им жизнь и для этого решили разобрать три вещи, которые нужно избегать при iOS-разработке (спасибо Envato Tuts+ за информацию).
Читать дальше →
Total votes 30: ↑20 and ↓10+10
Comments24

SMS в Telegram или интеграция мессенджеров и IP-телефонии

Reading time2 min
Views21K
Замечая, что уже каждый второй использует мессенджеры для работы, мы решили интегрировать облачную АТС с мессенджерами. Теперь, можно мгновенно узнать о пропущенном звонке важного клиента в Telegram или чате Slack. Либо получить SMS уведомление туда же. Если вам это может быть полезно, приглашаем под кат.


Читать дальше →
Total votes 15: ↑13 and ↓2+11
Comments6

Расширения Burp Suite для эффективного тестирования веб-приложений

Reading time3 min
Views20K
image
 
Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и многое другое. Также существует магазин дополнений BApp store, содержащий дополнительные расширения, увеличивающие функционал приложения. В этой статье будут рассмотрены инструменты, повышающие эффективность Burp Suite при тестировании на проникновение веб-приложений.
Читать дальше →
Total votes 23: ↑21 and ↓2+19
Comments3

Парсинг сайтов: как с точки зрения закона выглядит один из самых полезных ИТ- инструментов по миру (и в России)?

Reading time7 min
Views50K
image

Попробуем рассмотреть один из лучших способов сбора информации в интернете – парсинг – с юридической точки зрения. Внимание! Эта публикация касается некоторых обще-правовых вопросов, связанных с парсингом, но не является юридической консультацией. Статья является продолжением публикации "10 инструментов, позволяющих парсить информацию с веб-сайтов, включая цены конкурентов + правовая оценка для России"

Парсинг – это автоматизированный процесс извлечения данных с чужого веб-сайта. Но стоит разобраться, действительно ли это один из самых полезных инструментов ИТ для сбора данных или ловушка, влекущая неизбежные проблемы с законом? Парсинг мог бы непременно стать одним из совершеннейших способов добычи контента по всей сети, но к нему прилагается оговорка: с этим инструментом очень сложно разобраться с юридической стороны. Парсинг – это процесс, посредством которого автоматизированная часть программного обеспечения извлекает данные веб-сайта, «прочесывая» многочисленные страницы. Поисковые системы как Google и Bing делают нечто подобное, когда индексируют веб-страницы, а парсинговые механизмы идут дальше и преобразовывают информацию в формат, который позволяет этими данными пользоваться, заносить в базы или электронные таблицы.
Читать дальше →
Total votes 9: ↑9 and ↓0+9
Comments24

История взлома всех игр в Telegram

Reading time14 min
Views203K
Сейчас компьютерные игры везде. Присутствуют они и в Telegram. Расскажу о том, как были взломаны практически все игры этого мессенджера, обойдя самых первоклассных игроков, находящихся в топах скорбордов. Хочу поделится результатами исследований. О различных методиках взлома, читинга и путях обхода логики игр под катом.


Читать дальше →
Total votes 34: ↑29 and ↓5+24
Comments29

Kali Linux: виды проверок информационных систем

Reading time21 min
Views22K
→ Часть 1. Kali Linux: политика безопасности, защита компьютеров и сетевых служб
→ Часть 2. Kali Linux: фильтрация трафика с помощью netfilter
→ Часть 3. Kali Linux: мониторинг и логирование
→ Часть 4. Kali Linux: упражнения по защите и мониторингу системы
→ Часть 5. Kali Linux: оценка защищённости систем

Продолжаем публикацию перевода 11-й главы книги «Kali Linux Revealed». Сегодня хотим познакомить вас с разделом 11.2, который посвящён видам мероприятий, направленных на оценку защищённости информационных систем.


Читать дальше →
Total votes 20: ↑20 and ↓0+20
Comments0

Information

Rating
Does not participate
Registered
Activity