Codeby

​Bad Usb или как я уток разводил, Практическое пособие по Rubber Duck Решил я как-то хозяйство дома завести, благо земли хватает вдоволь. Выбор остановил на утках. Знающие люди сказали, что от них куда больше пользы, чем от кур, да и вкуснее они. Началось с того (как это частенько бывает), что узнал я про этих уток не из новостных лент, я практически от первоисточника, а точнее всеми любимого DEFCON-а. Заинтересовало меня их послание, хотя, если честно, не скажу, что я да и другие разработчики не догадывались об этом раньше, но ребята потрудились на славу и выдали миру весьма полезную информацию, касаемо этих самых уток и дали им звучное имя Rubber Duck. Как Вы догадались, эта порода уток ни что иное, как Bad Usb. 📌 Читать статью #arduino #usb

​🎣 PyPI предупреждает о первой в истории фишинговой кампании Крупнейший каталог Python-пакетов PyPI разместил предупреждение о фишинговой атаке, направленной на разработчиков, использующих этот сервис. Это первая известная фишинговая атака на пользователей PyPI. К сожалению, учётные записи некоторых пользователей уже были скомпрометированы. «В фишинговом сообщении утверждается, что осуществляется обязательный процесс «валидации» и пользователям предлагается перейти по ссылке для подтверждения пакета, иначе пакет может быть удален из PyPI», — говорится в сообщении PyPI. Фишинговое предложение выглядит очень правдоподобным, потому что многие популярные реестры пакетов (npm, RubyGems и PyPI) действительно добавили подобные требования безопасности. Фишинговая страница, которую оперативно удалили, была размещена на Google Sites и отправляла украденные учетные данные на другой домен. Для некоторых официальных пакетов были выпущены новые версии, которые содержали вредоносное ПО — exotel 0.1.6, spam 2.0.2а и spam 4.0.2. Эти версии были удалены из PyPI, а учетные записи разработчиков временно заблокированы. В результате, PyPI объявила, что раздает бесплатные аппаратные ключи безопасности тем, кто занимается сопровождением критически важных проектов — 1% проектов, загруженных за последние шесть месяцев. Есть около 3500 соответствующих требованиям проектов. 🗞 Блог Кодебай #news #python #phishing

​ZIP'аем файл вручную (часть.1. упаковщик) Допустим имеем файл и нужно перенести его в своей программе на чужую машину. Если этот файл будет внешним (на подобии библиотеки или драйвера), то сразу бросится в глаза. А что если зашить его в своё тело и создавать при запуске основного приложения? Благо производительность современных процессоров это позволяет и жертва даже не успеет понять в чём дело. Другими словами получим матку, которая будет порождать файлы. Всё-бы хорошо, только таскать в себе готовые бинарники типа exe\dll в несжатом виде тоже не лучшая идея – одних только "байтов выравнивания" в них под 50%, а для использования готовых архиваторов нужен к нему распаковщик. Так-что иметь в запазухе обычный зиппер это всегда гуд, а данная статья (надеюсь) поможет вам разобраться в его деталях. Буду использовать ассемблер FASM, двоичный редактор HxD, ну и виндовый кальк в инженерном виде. 📌 Читать статью #asm #zip #data

Родина должна знать в лицо героев. Эти ребята заслуженно получили наши главные призы. Парни, вы крутые :)

В 16:00 ждём

Через 5 минут запускаем последний криз на площадке offzone Поторопитесь. Напоминаем, что через час разыгрываем 2 электросамоката на своём стенде.

​DuckDuckGo открывает сервис конфиденциальной электроной почты В прошлом году компания DuckDuckGo анонсировала сервис бесплатной конфиденциальной электронной почты, которая будет защищена от отслеживания. Теперь версия Email Protection находится в стадии открытого бета-тестирования. DuckDuckGo Email Protection — это служба пересылки писем на настоящий адрес электронной почты, которая удаляет отслеживающие трекеры из сообщений. Компания утверждает, что сервис обнаруживает трекеры в 85% случаев. Любой желающий может зарегистрировать адрес электронной почты @duck.com. Количество создаваемых адресов неограничено. Также, в любое время вы можете деактивировать полученный адрес. Функция доступна в браузере DuckDuckGo Privacy Browser для iOS и Android в разделе «Защита электронной почты». На компьютере потребуется установить расширение для браузера DuckDuckGo Privacy Essentials и перейти в раздел E-Mail на сайте компании. 🗞 Блог Кодебай #news #duckduckgo #email

​🔑 LastPass заявила о взломе и краже исходного кода Компания LastPass заявила о взломе, произошедшем две недели назад, и краже исходного кода менеджера паролей. Атаку удалось осуществить через скомпрометированную учётную запись одного из разработчиков. Компания заявляет, что нет никаких доказательств компрометации данных клиентов или зашифрованных хранилищ паролей. 🗞 Блог Кодебай #news #lastpass #security

​Историческая вирусология: хронология вирусов мобильных устройств - CommonWarrior: история, хронология, анализ Приветики. Сегодня у нас будет что-то новое, точнее это новое в старом облике, но все таки о таком еще я не писал. Стартует очередной подцикл внутри цикла Исторической вирусологии, в котором будем разбирать различные исторические вредоносы и уязвимости для мобильных телефонов. От стареньких на Java, до современных на Андроид 12 и IOS 16. Ведь так пошло дело, как бы не старались разработчики: латая дыры, изобретая что-то новое, неизбежно оно будет уязвимо, а когда мы об этом узнаем - вопрос времени. 📌 Читать статью #history #malware #wpa

OFFZONE + CODEBY (Loft 3, второй этаж) 26 августа 1. Сфотографируйся с девушками на стенде и выложи в любую соц. сеть с хэштегами #Codeby #OFFZone и получи подарок. Количество подарков ограничено. 2. Участвуй в КВИЗЕ в 13:00 и в 15:00 и выиграй мерчпакет от Codeby Квиз займет 5-10 минут вашего времени. Призы дарим сразу: кружки, футболки, повербанки, рюкзаки. 3. Реши минимум 8 тасков @CodebyCTFbot и покажи на стенде флаги. Сделай фотку с девушками на стенде и выложи в любую соц. сеть. с хэштегами #Codeby #OFFZone. Получи приз и шанс выиграть электросамокат. Розыгрыш двух электросамокатов в 16:00

​Введение в пентест веб-приложений: поиск утечек информации с помощью поисковых систем Привет, Codeby! Я уже рассматривал общий подход к тестированию веб-приложений, основанный на OWASP Testing Guide. Сегодня получим еще небольшую дозу теории и уже приступим к практической части. В ходе тестирования важно документировать все действия и результаты этих действий. Вы можете создать таблицу в Excel, или использовать записную книжку. Мне нравится приложение CherryTree - записная книжка с иерархической структурой. 📌 Читать статью #pentest #owasp

Через 5 минут, в 17:00, ждём вас около стенда Кодебай на OFFZONE Сканируйте qr код с экрана для участия в квизе. Заберите наш мерч! Рюкзаки, кружки, повербанки

Через 10 минут, в 15:00 проводим конкурс у своей стойки. Участвуй в квите и получи рюкзак и повербанк

Ссылку на бота для решения тасков разместим в 13:10

OFFZONE ВЫИГРАЙ ЭЛЕКТРОСАМОКАТ 1) Реши минимум 8 тасков и покажи на стенде флаги. Сделай фотку с девушками на стенде и выложи в любую соц. сеть. с хэштегами #Codeby #OFFZone. Получи приз и шанс выиграть электросамокат. 2) Участвуй в КВИЗЕ в 15:00 и в 17:00 и выиграй мерчпакет от Codeby. 3) Сфотографируйся с девушками на стенде и выложи в любую соц. сеть с хэштегами #Codeby #OFFZone и получи подарок.