Codeby

​🎉 "Яндекс" увеличил выплаты за уязвимости в 10 раз Компания «Яндекс» сообщила, что программе вознаграждения белых хакеров «Охота за ошибками» исполняется 10 лет. В честь этого события компания увеличивает выплаты за найденные уязвимости в сервисах компании в 10 раз. Денежное вознаграждение можно будет получить в период с 20 сентября по 19 октября включительно. Например, за критичный баг в умных устройствах с голосовым помощником «Алисой» выплата составляла 300 тыс. рублей. Сейчас же, в период увеличенного денежного вознаграждения, она будет в 10 раз больше — 3 млн. рублей. «Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров за сообщение об уязвимости в продуктах IT-компании. В 2012 году «Яндекс» первым в России запустил подобную программу. С этого времени в программе поучавствовало около 4.5 тысяч исследователей, которые сообщили о более чем 16 тыс. уязвимостях. 🗞 Блог Кодебай #news #yandex #bounty

​🐧 Rust будет использоваться в ядре Linux На конференции Kernel Maintainers Summit Линус Торвальдс рассказал, что в состав ядра Linux 6.1 войдёт поддержка разработки драйверов на языке Rust. Добавление Rust поможет уменьшить количество потенциальных ошибок и уязвимостей в коде ядра. Также, использование Rust поможет избежать утечек памяти и привлечь внимание новых разработчиков для Linux. Появление языка программирования Rust в ядре Linux ожидалось уже давно. Еще в 2020 году на конференции Linux Plumbers Conference разработчики начали рассматривать возможность использования языка Rust для написания нового кода в Linux. Релиз ядра Linux 6.1 запланирован на декабрь 2022 года. Торвальдс сообщил, что если всё пойдёт по плану, то новое ядро выйдет с поддержкой Rust для разработки драйверов наравне с C. 🗞 Блог Кодебай #news #linux #rust

​❗️SQL Injection Master - самый полный курс по SQL инъекциям Старт: 10 октября 3-месячный онлайн-курс SQL Injection Master позволит вам изучить: ✔️ Базовые навыки работы с SQL; ✔️ Поиск уязвимостей в базах данных; ✔️ Внедрение произвольного SQL-кода в уязвимые приложения. 👍 Курс от Codeby School будет полезен как начинающим специалистам в сфере информационной безопасности, так и новичкам! Преимущества онлайн-курса SQL Injection Master: ። Уникальность – у данного курса нет аналогов в СНГ и англоязычном пространстве; ። Максимум практики – выполнение заданий на тестовом стенде и проверка ДЗ; ። Обучение в любое время благодаря методичкам и видеоурокам в записи; ። Обратная связь от других учеников и преподавателя в чате и на форуме. 🔥 Также мы ведем мониторинг успеваемости – в зависимости от вашего рейтинга в таблице мы вернем вам до 100% средств за обучение. Узнать подробнее о курсе: https://sql-injection.codeby.school/

​Хищник среди нас. Учимся реверсить на примере Predator Наверное тебе всегда было интересно, как работают современные малвари. Шифровальщики, ратники, стиллеры и другие популярные вирусы это всего лишь разновидность программ заточенные под определенные задачи. Описывать каждый из них я не стану, а лучше расскажу тебе как специалисты по информационной безопасности вскрывают такое. Для примера я взял когда-то знаменитый стиллер Predator. Он имеет обширный арсенал функций и конечно же крякнутую версию по которой будет проще ориентироваться. Давай приступим к делу. 📌 Читать далее #malware #reverse

​Инструменты для пентеста “Умных вещей” (IoT) Интернет вещей (IoT) - это то, что большинство экспертов считают следующим шагом интернет-революции, когда физические объекты неизменно связаны с реальным и виртуальным миром одновременно. Подключенные устройства теперь имеют возможность общаться друг с другом по беспроводным каналам, и ZigBee является ведущим стандартом беспроводной связи, применимым к устройствам IoT. ZigBee и протокол 802.15.4 были разработаны с учетом безопасности, но разработчики иногда не очень хорошо её внедряют. Возможные атаки обычно можно разделить на три категории: физические, ключевые и повтор / инъекция. 📌 Читать далее #pentest #network

​🔏 Google и Microsoft могут получить доступ к вашим паролям Расширенные функции проверки орфографии в браузерах Google Chrome и Microsoft Edge передают введённые данные в формах, включая персональную информацию для идентификации (PII) и, в некоторых случаях, пароли. Несмотря на то, что это известная и предусмотренная функция браузеров, она вызывает опасения относительно того, что происходит с данными после передачи. Такие функции, как расширенная проверка орфографии Chrome Enhanced Spellcheck или Microsoft Editor, когда пользователь вручную включает их, демонстрируют потенциальный угрозу конфиденциальности. В зависимости от того, на каком веб-сайте вы вводите информацию, в руки разработчиков могут попасть конфиденциальные данные: номера социального страхования, имена, адреса, электронная почта, данные банковских карт и т.д. Единственным выходом из ситуации является отключение функции расширенной проверки правописания. 🗞 Блог Кодебай #news #google #data

​🕹 VK разрабатывает российский аналог Steam Холдинг VK ведет переговоры с рядом студий по разработке игр о заключении договоров на эксклюзивное представление игр на игровой платформе VK Play в России и СНГ. Таким образом, VK рассчитывает создать российский аналог платформ Steam и Epic Games. Во многих источниках сообщается, что первым эксклюзивом может стать игра от Owlcat Games — Atomic Heart. Сама компания информацию опровергла: «Мы стремимся, чтобы наши игры были доступны на разных платформах». Эксперт по видеоиграм Александр Кузьменко допускает, что другими потенциальными партнерами VK могут быть Playrix, Wargaming (World of Tanks) и Cyberia Limited. VK планирует занять освободившийся рынок игровых онлайн-сервисов. Это связано тем, что игроки из России испытывают трудности с покупкой игр, так как оплата с помощью российских Visa, Mastercard и МИР в западных сервисах теперь недоступна. 🗞 Блог Кодебай #news #vk #games

​🔐 Выпущен бесплатный дешифратор для жертв LockerGoga Специалисты компании Bitdefender, совместно с Европолом, проектом NoMoreRansom, прокуратурой и полицией Цюриха, создали универсальный дешифратор для восстановления данных, зашифрованных вредоносной программой LockerGoga. Доступ к инструменту предоставляется бесплатно. Расшифровщик предусматривает автоматический поиск и обработку необходимых файлов (с расширением .locked) в корпоративной сети. Инструмент запускается из консоли и работает в фоновом режиме. В случае возникновения проблем с расшифровкой у пользователя есть возможность резервного копирования файлов, которая включена по умолчанию. Впервые шифровальщик LockerGoga был замечен в январе 2019 года и стал известен после разрушительной атаки на компанию Norsk Hydro. Преступная группа, которая также использовала MegaCortex и Dharma, была раскрыта в октябре 2021 года. Возможно, скоро появится и бесплатный дешифратор для жертв MegaCortex. 🗞 Блог Кодебай #news #encryptor #data

21 сентября на Международном форуме Kazan Digital Week состоится премьера Kaspersky Secure Remote Workspace (KSRW) - решения для построения кибериммунной инфраструктуры тонких клиентов с удобным централизованным управлением. Решение уже внедрили в Министерстве цифрового развития и связи Оренбургской области, это помогло сократить издержки на обслуживание ИТ-инфраструктуры. Secure Remote Workspace идеально подойдет, если: - у вас разветвленная сеть филиалов и типовые рабочие места (гос. учреждения, вузы, банки, торговые сети); - работаете с объектами критической информационной инфраструктуры - внедряете типовые рабочие места в соответствии с требованиями Правительства РФ к обеспечению безопасной удаленной работы; - планируете оптимизировать расходы на оборудование и ИТ-инфраструктуру. Оставьте заявку на консультацию на сайте #спонсорский

​🌍 Новостной дайджест по ИБ/IT за 12.09-19.09 📆 В этом выпуске: ✔️ Uber был взломан ✔️ Подмена номера с помощью Firefox Relay​ ✔️ Starbucks Odyssey​ ✔️ Игровой движок VCMI 1.0.0​ ✔️ EA AntiCheat​ ✔️ DJ Алиса​ ✔️ PyTorch Linux Foundation​ ✔️ Яндекс плюс теперь мульти​ ✔️ Lenovo исправила уязвимости в BIOS​ ✔️ Ethereum The Merge​ ✔️ Adobe покупает Figm’у​ ✔️ VK сервисы будут интегрированы в образование​ ✔️ Сбер переходит на российские TLS​ ✔️ Google по ошибке выплатила $250 тыс.​ ✔️ Новый алгоритм рейтинга приложений​ ✔️ Интересное на Codeby ✔️ Очередные ограничения и блокировки ✔️ Блиц 📌 Читать статью #news #digest

​Автоматизация OWASP ZAP, Часть 3, Автоматизация тестирования через API Приветствую снова всех. Итак в данной части постараюсь кратко пробежать по основным понятиям, структуре кода автоматизации, ну и по нескольким своим скриптам, на примере которых вы уже можете создавать что-то свое. 📌 Читать далее #owasp #pentest

​Подборка виртуальных машин Виртуальные машины предназначены для выполнения определенных задач: работы с зараженными данными, тестирования операционных систем, автоматизации т.д. Виртуальная машина изолирована от остальной системы, поэтому ПО виртуальной машины не может нарушить работу компьютера. Рассмотрим несколько популярных эмуляторов. 📦 VirtualBox - это бесплатная программа с открытым исходным кодом, обладающая множеством функций. В ней есть возможность ограничить ресурсы процессора и видеопамять. ☁️ VMWare Workstation - обеспечивает безопасную и изолированную среду для виртуализации, например, для оценки новых операционных систем или тестирования исправлений. Достаточно много возможностей для поддержки 3D-графики и защиты виртуальных машин. Есть бесплатная и платная версии 🦜 QEMU - имеет открытый исходный код и эмулирует процессор x86, а не использует настоящий. Поэтому он потребляет на порядок больше ресурсов, чем его конкуренты, но QEMU можно запустить даже на ARM. #useful #hardware

​Анализ вируса Chromeloader: что, как и с чем едят или чем опасно пиратство Наверное каждому современному интернет-пользователю известно, что такое удовольствие как "скачать бесплатно без смс и регистрации" может понести за собой некие последствия. И дело даже не в том, что во многих странах это уголовно наказуемо, и не в том, что разработчики тратят годы на создание того, на что вы пожалеете 5 условных единиц. Проблема, собственно, в том, что шло "бонусом" вместе со спёртой игрой, крякнутым ПО или фильмом в качестве 8К миллион FPS. Об одном из многочисленных вариантов такого подарка судьбы пойдёт речь сегодня, имя ему - ChromeLoader. Самым близким к истине будет его определение как вирус-троян. 📌 Читать далее #malware #powershell

​BruteForce, как недооцененный вид атаки (Account TakeOver) Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д. Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки. Главное научиться, где и как её правильно применять. Не буду философствовать, сразу перейдем к делу. 📌 Читать далее #pentest #bruteforce

​Google заплатила $250 тыс. не тому хакеру Исследователь безопасности Сэм Карри рассказал, что получил неизвестный платеж в размере $250 тыс. долларов от Google. Исследователь занимается поиском различных уязвимостей и уже довольно давно работает инженером по безопасности в Yuga Labs. Сэм не потратил полученные деньги, потому что был уверен, что перевод был ошибочным. «Прошло чуть больше 3 недель с тех пор, как Google случайным образом отправил мне 249 999 долларов, а я до сих пор ничего не узнал от службы поддержки. Есть ли какой-нибудь способ связаться с Google?», — написал Карри в Twitter. После огласки инцидента, представитель корпорации сообщил, что платёж был ошибочно произведён «в результате человеческого фактора». Компания оценила то, что Карри сообщил об этом, и уже работает над исправлением ситуации. 🗞 Блог Кодебай #news #google

​🧩 Расширяем функционал вашего браузера 🔎 Overload Search - предоставляет графический интерфейс, с помощью которого можно задать параметры для расширенного поиска информации в Google. 🖼 EXIF Viewer Pro - инструмент для быстрого исследования метаданных фотографий, размещённых на веб-сайтах. 🌐 Chaff - генерирует случайный трафик для просмотра веб-страниц чтобы скрыть реальное поведение пользователя от мониторинга. 🎭 User-Agent Switcher - с помощью этого расширения можно быстро и легко изменять свой User-Agent для разных сайтов. Кроме этого, можно установить определённые URL, при посещении которых каждый раз будет новый User-Agent. 🧰 Wappalyzer - определяет технологии, используемые на веб-сайтах: CMS, JS-библиотеки, фреймворки и т.д. #useful #browser #extension

​bWaPP #1 HTMl Injection — Reflected (GET) сложность (medium). Боль, слезы и этичный хакинг Доброго дня! Я уже написал статью по open source проекту bWaPP, его установке и настройке. Ну а теперь давайте начнем набивать опыт и развивать знания в прохождении различных задачек в bWapp. Начнем с уязвимости HTMl Injection — Reflected (GET) уровень (medium) 📌 Читать далее #beginner #pentest #bwapp

​Автоматизация Boolean-based Blind SQLi на Python Приступим. Для начала давайте в очередной раз разберём основополагающую теорию по SQL функциям. Нас интересуют такие функции как Sleep(), Substring(), Ascii(). Данной статьи будет достаточно для понимания общей концепции данной автоматизации. 📌 Читать далее #python #pentest #sqli

​🚕 Хакеры получили доступ к системам Uber Компания Uber стала жертвой кибератаки, в результате которой злоумышленники смогли получить доступ к отчетам об уязвимостях. Судя по выложенной информации, хакеры смогли получить полный доступ ко многим системам Uber, например: Windows-домен, консоль Amazon Web Services, виртуальные машины VMware ESXi, панель администратора электронной почты в Google Workspace и доступ к Slack-серверу. По словам киберпреступников, доступ к системам был получен после атаки на одного из сотрудников компании. С помощью социальной инженерии злоумышленники украли у него пароль. В Uber подтвердили факт атаки и отметили, что для расследования уже привлечены правоохранительные органы. 🗞 Блог Кодебай #news #uber #data