Codeby

​​Лучший фишинг для ВК Где-то год назад у меня возникла потребность в хорошем фишинге для вк. Спустя некоторое время поиска, я все же нашел несколько достойных, но вспомнил о том, что я немного забыл об анонимности. Ведь фишинг надо ставить на хост, а это небольшой удар по конфиденциальности. И тогда-то я задумался, как же пользоваться фишингом, не тратить на хороший хост деньги и оставаться анонимным? Читать: https://codeby.net/threads/luchshij-fishing-dlja-vk.75401/?amp=1 #phishing #vk #hacking

LulzSec - Часть 2 📺 Вторая часть, в которой рассказывается про хакерскую группировку "ЛоЛзСек" Первая часть 📖Статья про сабу 🔗Источник #other

​Шифрование iCloud не будет доступно для России Apple на недавней презентации представила услугу "iCloud+", которая добавила новые функции в платные тарифные планы облачного сервиса. Одна из этих функций - "Частный узел" (Private Relay) стала недоступна в России. "Частный узел" позволяет скрывать ваш настоящий IP-адрес и ресурсы, на которые вы заходите, от всех, включая провайдера. Apple воздерживается от комментариев с официальными заявлениями, просто констатируя через интерфейс факт отсутствия поддержки в России. Специально для surfIT #apple #icloud

​​Ещё одна тема про сдачу экзамена OSCP Наконец-то нашёл время и структурировал свои мысли по подготовке и сдаче экзамена на сертификацию OSCP. Информации в интернете о курсе «Penetration Testing with Kali Linux» (PWK) и экзамене «Offensive Security Certified Professional» (OSCP) довольно много, но ещё одна статья, я думаю, никому не повредит. Читать: https://codeby.net/threads/eschjo-odna-tema-pro-sdachu-ehkzamena-oscp.75575/?amp=1 #exam #oscp

​​Использование открытых данных (OSINT) в части геолокации Существуют специально созданы, открытые и бесплатные сервисы по анализу данных геолокации пользователей. Такие сервисы работают примерно по одному и тому же принципу, данные собираются с размещенных пользователем в социальной сети публикации. Для использования необходимо выбрать местоположение, радиус и дату, а сервис вам выдает профиль в социальной сети, пост (видео, твит, фото и т.д.) и время публикации (если информация содержится в базе данных). Читать: https://codeby.net/threads/ispolzovanie-otkrytyx-dannyx-osint-v-chasti-geolokacii.76040/?amp=1 #osint #soft

​Заражение Windows через WSL Исследователи из Black Lotus Labs обнаружили вредоносное ПО, предназначенное для заражения WSL (Windows подсистемы для Linux) с последующим перемещением в основную среду Windows. Данное ПО является первым в своём роде, а первые образцы были обнаружены ещё в мае. Образцы вредоносного ПО написаны на Python и были подготовлены для работы на Debian. Источник #infosec #windows #linux

​IT-директор ExpressVPN участвовал в организации кибератак Согласно данным Министерства юстиции США, IT-директор ExpressVPN и ещё два его помощника помогали Объединённым Арабским Эмиратам (ОАЭ) организовать взломы аккаунтов и электронных устройств. Министерство утверждает, что в результате этих атак ОАЭ получила доступ к аккаунтам и электронным устройствам по всему миру. Также, в числе разработанных злоумышленниками систем есть KARMA и KARMA 2. По итогам расследования атакующим назначили штраф на сумму $1,7 млн. и запретили работать в компьютерных организациях, специализирующихся на шпионаже или экспорте оборонных устройств. Источник #vpn #espionage #uae

​​История об одной CVE Приветствую всех, кто читает эту статью. Это время я бы хотел уделить одной очень интересной уязвимости на мой взгляд. Была открыта она еще в начале наших изоляционных дней. Когда все проблемы оставались в Китае :) Но сейчас не об этом. Под угрозу было поставлено достаточное количество устройств и решил ее рассмотреть так как с помощью нее возможно было распространение червя, похожего по архитектуре на WannaCry. Теперь я разбудил ваш интерес? Тогда давайте разберемся, что к чему. Читать: https://codeby.net/threads/istorija-ob-odnoj-cve.75931/?amp=1 #cve #netcat

​​Взлом посредством CVE-2021-40444 Сегодня хочу наглядно показать и рассказать о CVE-2021-40444. Если коротко, то это уязвимость в MSHTML (движок Internet Explorer который используется в ворде) она даёт нам возможность исполнить код на системе жертвы. Сама реализация взлома похожа на CVE-2017-11882, про которую уже писали на Codeby. Читать: https://codeby.net/threads/vzlom-posredstvom-cve-2021-40444.78576/?amp=1 #cve #word #hacking

​Сбор биометрических данных в спортивных школах Москвы Спортивные школы Москвы отказываются зачислять детей, если родители не соглашаются на сбор их персональных данных. Как заявил источник, сейчас камеры устанавливаются во всех московских школах. В конце августа Департамент информационных технологий объявил тендер на установку более 13.000 видеокамер в школах общей стоимостью на 2,8 млрд. рублей. Также департамент планирует к 2022 году подключить камеры в школах к системам распознавания лиц. Источник #school #cctv #biometric

​Данные клиентов «Вымпелкома» оказались в свободном доступе Персональные данные почти 2 млн из 2,86 млн абонентов проводного широкополосного интернета «Вымпелкома» (бренд «Билайн») были в свободном доступе с 27 августа по 13 сентября. По объему инцидент может стать одной из крупнейших утечек персональных данных в этом году. В «Вымпелкоме» проводят расследование и заверяют, что все данные уже под защитой и клиентам ничего не угрожает. На продажу на теневых форумах база пока не выложена, но, по мнению экспертов, «ее скачали не один раз». Представитель РКН посоветовал всем пострадавшим абонентам требовать от оператора связи соразмерной компенсации как в досудебном, так и в судебном порядке. Источник #infosec #beeline #leak

Приглашаем на ИБ-конференцию по защите от инсайдерства. «Road Show SearchInform 2021: жизненный цикл инсайдера – от найма до увольнения» стартует уже 21 сентября и пройдет в 25 городах России и СНГ. Это серия практических конференций для владельцев бизнеса, руководителей, ИT- и ИБ-специалистов. В этом году изучаем тему буквально изнутри: лезем инсайдерам в голову и отслеживаем их жизненный цикл в компании. Эксперты «СёрчИнформ» расскажут новые кейсы и сделают подробный разбор громкого инцидента. Приходите, порассуждаем, куда мир ИБ движется. В программе: 📌 Психология инсайдера: опасные черты личности и факторы, толкающие на нарушение 📌 Тренды в ИБ 2021: облака, интеграция и повышение ИБ-грамотности 📌 Разбор громкого ИБ-инцидента 📌 Обсуждение кейсов и море практики Участие бесплатное, регистрация уже началась! Найдите свой город: https://bit.ly/2VubLWe

​​RustScan — современный взгляд на сканер портов RustScan - это современный взгляд на сканер портов. Изящный и быстрый. Не говоря уже о том, что RustScan использует Adaptive Learning, чтобы совершенствоваться по мере использования. Читать: https://codeby.net/threads/rustscan-sovremennyj-vzgljad-na-skaner-portov.75930/?amp=1 #soft #port #scanner

Видео-новостной дайджест № 26 По оригинальной статье от dieZel link: Новостной дайджест по ИБ/IT за 6.09-13.09 📺 В этом выпуске : ✔️ 8.8.8.8 ✔️ «Иностранное лицо, владеющее информационным ресурсом, является нарушителем законодательства Российской Федерации» ✔️ Прощай VPN ✔️ Найдите школьника ✔️ Вы думаете ваши данные защищены от утечек? ✔️ REvil, опять?? ✔️ Утечка полумиллиона учётных записей Fortinet 🔗 Источник #news

​​Собери себе BadUsb, не хуже, чем Rubber Ducky от Hak5 Всем привет! Представляю вашему вниманию статью из разряда “очумелые ручки”. С помощью платы с микроконтроллером Atmega32u4 и паяльника сделаем BadUSB. Читать: https://codeby.net/threads/soberi-sebe-badusb-ne-xuzhe-chem-rubber-ducky-ot-hak5.74984/?amp=1 #badusb #hid #key

W2 conference Moscow 2021: благополучие сотрудников как основа успешного бизнеса Осенью пройдет W2 conference Moscow 2021 о влиянии благополучия сотрудников на успешность бизнеса​ Workplace Wellness – трендовое направление в области управления человеческими ресурсами и повышения эффективности бизнес-команд. Соблюдение его принципов позволяет повысить уровень благополучия сотрудников и улучшить их продуктивность, что напрямую влияет на успешность и прибыльность компании. Узнать подробности

​Обновляем iOS. Apple исправили серьёзную уязвимость В системе исправили серьёзную уязвимость, которая позволяла получить контроль над устройством при использовании вредоносного ПО. Впервые уязвимость под названием ForcedEntry обнаружили на смартфоне активиста из Саудовской Аравии. Смартфон был заражён ПО Pegasus, принадлежащим компании NSO Group. Вредоносный код можно запустить не только на смартфонах, но также на планшетах и компьютерах Mac. Достаточно было загрузить PDF-файл с вредоносным кодом. В израильской компании NSO Group не подтвердили, что имеют к уязвимости какое-либо отношение, однако и не опровергли этого. Источник #apple #ios #exploit

​OWASP TOP 10 2021 Вот и обновился OWASP TOP 10. Broken-Acces Control сместил с первого места Injection и теперь возглавляет список. Понятное дело что на это повлияла пандемия. Так что следите за настройками доступа для своих сотрудников на удалёнке. Подробный отчет ТУТ. Источник #infosec #top #owasp

​​Новостной дайджест по ИБ/IT за 6.09-13.09 Здравия всем дамы и господа, на моём календаре сейчас пятница, а на ваших экранах новости. Перед тем, как начать повествование сие, скажу, что прошла уже неделя учёбы и я, честно говоря, уже устал. Не удивительно, с непривычки-то. Читать: https://codeby.net/threads/novostnoj-dajdzhest-po-ib-it-za-6-09-13-09.78538/?amp=1 #news #it #digest

Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей: https://www.youtube.com/watch?v=q0Q7BLN7Vq0