Этичный Хакер

😈 Можно ли получить рут при помощи одной зажигалки?

Прежде чем писать эксплойт, нам нужен баг. А если багов нет, то приходится быть изобретательными — тут нам на помощь приходит внесение неисправностей

❗️ Цель данной статьи будет заключаться в написании эксплойта повышения локальных привилегий, работающего благодаря внесению аппаратных неисправностей — Автор продемонстрирует, как с помощью щелчков обычной пьезоэлектрической зажигалки (без индукционных катушек) рядом с проводом антенны создать ошибки памяти, которые видны в memtest 🗣 Ссылка на чтиво #Networks #Root #Injection | 🧑‍💻 Этичный хакер

😈 Взлом крупнейшего архива мирового интернета ❗️ Киберпреступникам удалось взломать известный сайт Internet Archive похитив данные 31 миллиона пользователей

Internet Archive — это некоммерческая организация, основанная в 1996 году в Сан-Франциско. Она занимается сохранением цифрового контента, создавая масштабную библиотеку интернета

— В среду, 9 октября, на основном домене веб-архива появился всплывающий баннер с сообщением о «катастрофическом нарушении безопасности» В всплывающем сообщении говорилось: «Чувствуете, что Internet Archive всегда был на грани катастрофического взлома? Что ж, это случилось. Ищите себя на HIBP!» Эксперт по кибербезопасности Трой Хант, основатель HIBP, подтвердил факт взлома. Хакеры самы отправили ему базу данных объёмом 6.4 ГБ, содержащую информацию о 31 миллионе учётных записей 🗣 Ссылка на чтиво #News #InternetArchive #DDoS #HIBP | 🧑‍💻 Этичный хакер

В каждом городе свои легенды: beeline cloud запустил цифровую площадку, чтобы сохранить культурное наследие beeline cloud уделяет особое внимание безопасности и защите данных. Эта философия нашла отражение в проекте «Городские легенды», который стал продолжением миссии компании по сохранению самого ценного. Культурное прошлое в цифровом настоящем Многие исторические здания и архитектурные шедевры исчезли с карт российских городов, а некоторые — утрачены навсегда. В beeline cloud решили воссоздать культурные ценности городов России и сохранить память о них для будущих поколений. Внести вклад может каждый В рамках проекта beeline cloud запустил цифровую площадку, где пользователи могут загружать фотографии и описания утраченных объектов. После чего команда провайдера восстановит их в цифровом виде — создаст 3D-объекты и впишет в современную архитектуру. Больше информации о «Городских легендах» по ссылке #реклама О рекламодателе

😈 Методология баг-баунти: инструкция для охотников за багами — В статье автор поделиться своим опытом веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга

Автор – Киаран (или Monke), занимается баг-баунти уже примерно четыре года, участвовал в четырех мероприятиях Live Hacking Event на разных платформах

Методология состоит из нескольких основных компонентов: 1. Инструменты: чем пользуется хакер, чтобы атаковать цель? 2. Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры? 3. Подход к работе: некоторые хакеры используют чек-листы. Другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике? 4. Опыт: конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта 🗣 Ссылка на чтиво #BugBounty #Info | 🧑‍💻 Этичный хакер

😈 Инструкция по обходу блокировки Discord — GoodbyeDPI и обычный VPN могут помочь открыть сайт Дискорда в браузере, но при подключении к чатам и голосовым каналам отображается сообщение Проверка маршрута Дискорд, а затем не установлен маршрут, т.е. идет бесконечная загрузка чатов ❗️ Но существует другой способ обхода блокировки Дискорд: 1. Скачиваем и устанавливаем вот такую программу по ссылке: https://github.com/amnezia-vpn/amneziawg-windows-client/releases/download/1.0.0/amneziawg-amd64-1.0.0.msi 2. Переходим по ссылке и ждем загрузку консоли: https://shell.cloud.google.com/?pli=1 3. Вставляем в консоль команду и нажимаем Enter: curl -sSL https://raw.githubusercontent.com/ImMALWARE/bash-warp-generator/main/warp_generator.sh | bash 4. Скачиваем файл конфига по ссылке из консоли 5. В Amnezia нажимаем Импорт туннелей из файла и выбираем файл, который скачали на прошлом шаге, нажимаем подключить и запускаем Дискорд #Discord #Info #Lifehack #Blocking | 🧑‍💻 Этичный хакер

😈 Яндекс увеличивает втрое максимальную награду для охотников за ошибками в мобильных приложениях Яндекс выделил поиск ошибок в мобильных приложениях в отдельное направление. Оно охватывает все приложения, а за найденную уязвимость можно получить до 1 миллиона рублей. Чем глубже спрятана ошибка и чем популярнее приложение – тем выше награда. Охота идет на уязвимости, позволяющие получить доступ к чувствительным данным. Например, URL-фишинг, изменение логики работы приложения и исполнение произвольного кода. Подробнее — здесь. #News #ИБ | 🧑‍💻 Этичный хакер

😈 300 тысяч DDoS-атак: GorillaBot сокрушает сетевое пространство ❗️ Новая волна атак с использованием изменённого варианта Mirai под названием GorillaBot стала причиной более 300 тысяч DDoS-атак, которые затронули в сентябре этого года порядка 20 тысяч организаций по всему миру

Ботнет Mirai — это вредоносное ПО, которое превращает рядовые сетевые устройства в удалённо управляемые «зомби»

— GorillaBot использует 19 различных методов DDoS-атак, включая UDP-флуды и TCP Syn/ACK-флуды, что усложняет процесс защиты для организаций Для управления ботнетом использовалось сразу пять C2-серверов, которые на пике атак генерировали до 20 тысяч команд в сутки 🗣 Ссылка на чтиво #News #DDoS #GorillaBot #Flood #BotNet | 🧑‍💻 Этичный хакер

😈 Инструменты для проведения Brute-force атак Атака Brute-force – это одна из самых опасных кибератак, с которой сложно справиться Ее целями становятся веб-сайты, безопасность устройств, пароли для входа или ключи шифрования 1. Gobuster: один из самых мощных и быстрых инструментов для проведения атак Brute-force. Программа использует сканер каталогов, написанный на языке Go: он быстрее и гибче, чем интерпретируемый скрипт 2. BruteX: это отличный инструмент с открытым исходным кодом для проведения атак Brute-force. Его целью становятся: открытые порты, имена пользователей и пароли 3. Dirsearch: это продвинутый инструмент для атак Brute-forcе. Это сканер веб-путей AKA, который способен перебирать каталоги и файлы на веб-серверах 4. Callow: это удобный и легко настраиваемый инструмент для атак Brute-forcе и получения входа в систему, написанный на Python 3 5. Secure Shell Bruteforcer (SSB): это один из самых быстрых и простых инструментов для проведения атак Brute-forcе SSH-серверов #Tools #Bruteforce | 🧑‍💻 Этичный хакер

Со скоростью света ☀️Именно так стремительно Solar NGFW в виртуальном исполнении ворвался на рынок в 2023 году, став одним из первых российских межсетевых экранов нового поколения для сегмента enterprise ☀️Уже через год Solar NGFW обрел форму в «железе» ☀️А спустя всего лишь 5 месяцев ПАК Solar NGFW стал обладателем сертификата соответствия требованиям ФСТЭК России Теперь Solar NGFW соответствует требованиям к межсетевым экранам по профилю защиты типа «А» четвертого класса и к системам обнаружения вторжений четвертого класса защиты уровня сети Его смогут использовать заказчики, стремящиеся заменить иностранные СЗИ, в том числе для обеспечения безопасности значимых объектов КИИ, государственных информационных систем и АСУ ТП ☀️Скорость реализации – это то, что ждет рынок от российских провайдеров. И «Солар» готов доказывать это на деле Реклама. ООО «Эр Ай Коммуникейшн, ИНН: 7707083893, erid:2VtzqwMjwGm

😒 2 полезных каналов для тех, кто увлекается кибербезом и программированием: ⏺Не хакинг, а ИБ — канал для безопасников. Сетевая разведка, защита устройств, багхантинг, анонимность. ⏺Python и 1000 программ - уроки, практика, тесты по самому востребованному языку программирования в 2024г.

😈 Cloudflare отразила рекордную DDoS-атаку мощностью 3,8 Тбит/сек ❗️ Специалисты Cloudflare сообщили, что недавно отразили DDoS-атаку, мощность которой достигла 3,8 Тбит/с и 2,14 млрд пакетов в секунду (PPS)

Атака была направлена на неназванного клиента неназванного хостинг-провайдера, который пользуется услугами Cloudflare

— Для сравнения напомним, что предыдущий рекорд в этой области был установлен еще в конце 2021 года, мощностью 3,47 Тбит/с и 340 млн PPS 🗣 Ссылка на чтиво #News #DDoS #Cloudflare | 🧑‍💻 Этичный хакер

😒 Подборка каналов для каждого безопасника и хакера ⏺No system is safe — ИБ-медиа об актуальном. ⏺Бэкап — канал с исходниками популярных проектов. Здесь вы найдёте инструменты по ИБ, исходные коды нейросетей, ботов, сайтов.

😈 USB Army Knife: компактный инструмент для взлома сетей — В начале октября 2024 года состоялся первый значительный релиз открытого проекта USB Army Knife версии 1.0, который предназначен для тестировщиков и специалистов по пентесту

Проект, разработанный на JavaScript и C++, уже доступен на GitHub под лицензией MIT, что позволяет свободно его использовать и модифицировать

USB Army Knife — это универсальное программное обеспечение, предназначенное для работы на компактных устройствах, таких как платы ESP32-S3. Оно поддерживает широкий спектр инструментов для проведения тестирования безопасности Среди основных функций проекта — поддержка BadUSB, эмуляция запоминающих устройств, имитация сетевых устройств, а также эксплуатация уязвимостей для WiFi и Bluetooth с помощью библиотеки ESP32 Marauder 🗣 Ссылка на чтиво #News #Tools #USB #WiFi #Bluetooth #Testing | 🧑‍💻 Этичный хакер

😈 Глубокое погружение в расследование фишинга с помощью OSINT В этой статье подготовили для вас пошаговое руководство, которое описывает OSINT методы для получения информации об отправителе фишинговой рассылки. — В статье описана методология, разбор реального кейса c раскрытием информации о веб-сайте, включая IP-адреса, URL-адреса, DNS и др., а также полезные ресурсы и инструменты для расследований. 🗣 Ссылка на чтиво #OSINT #Recon #Phishing | 🧑‍💻 Этичный хакер

😈 Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent» — В статье специалисты Центра Кибербезопасности компании F.A.C.C.T. подробно рассмотрят QwakMyAgent, который был выявлен в атаке на российскую компанию во второй половине сентября QwakMyAgent — PowerShell-сценарий, являющийся ранее необнаруженным непубличным модульным агентом Mythic. В ходе своего исполнения данный сценарий отправляет информацию о зараженной системе, циклично получает и обрабатывает команды от сервера Изначальный вектор заражения обнаружен не был. Известно, что после того, как были скомпрометированы хост-системы администраторов, злоумышленники выполняли подключения к хостам через системную службу WinRM и выполняли доступные по URL-ссылкам HTA-сценарии с помощью системной утилиты mshta.exe Под катом читайте о цепочке заражения QwakMyAgent, что из себя представляет QwakMyAgent, checkin и get_tasking запросах, дополнительном PowerShell-модуле 🗣 Ссылка на чтиво #Networks #QwakMyAgent #Vulnerability #PowerShell #Study | 🧑‍💻 Этичный хакер

😈 Дуров снимает маску: Telegram уже 6 лет раскрывает данные преступников — Павел Дуров в своем телеграм-канале пояснил детали политики мессенджера в отношении раскрытия данных пользователей властям В сообщении он подчеркнул, что существенных изменений в работе Telegram не произошло, несмотря на недавние публикации, которые могли вызвать подобное впечатление ❗️ Согласно Политике конфиденциальности, действующей с 2018 года, Telegram имеет право передавать IP-адреса и номера телефонов преступников государственным органам

Такие меры применяются только при наличии правильно оформленного юридического запроса

🗣 Ссылка на чтиво #News #Telegram #Durov #Confidentiality | 🧑‍💻 Этичный хакер

😈 Самые опасные сетевые порты: как найти и закрыть все лазейки — В этом материале разберем, какие порты наиболее интересны хактивистам и как быть в курсе актуальных уязвимостей

Открытый порт — это не только потенциальная уязвимость, но и маяк, который напоминает, что вашим сервисом могут интересоваться здесь и сейчас

А в конце поделюсь чек-листом с планом действий при обнаружении открытых портов в своей инфраструктуре Используйте навигацию, чтобы удобнее читать: — Какие порты опасно открывать — Как быть в курсе актуальных уязвимостей — Чек-лист: что делать при обнаружении открытого порта 🗣 Ссылка на чтиво #Port #CVE #Shodan | 🧑‍💻 Этичный хакер

📚 Коллекция книг для ИБ специалистов. • В нашем втором канале проходит небольшой розыгрыш, где победители смогут получить коллекцию актуальных и полезных книг для ИБ специалистов: - Сети глазами хакера; - Контролируемый взлом. Библия социальной инженерии; - Хакерство. Секреты мастерства; - Тестирование на проникновение с Kali Linux; - Хакерство. Физические атаки с использованием хакерских устройств. • Каждый победитель получит сразу весь пул книг в бумажном варианте, которые перечислены выше. Принять участие можно тут: https://t.me/it_secur/2235 S.E. ▪️ infosec.work ▪️ VT

😈 Как взломать самолет? В марте пилот American Airlines Дэн Кэри столкнулся с неожиданным сигналом тревоги «поднимайтесь!», когда его Boeing 777 находился над Пакистаном на высоте более 9700 километров ❗️ Причиной стал GPS-спуфинг, который создал ложные сигналы для систем навигации

GPS-спуфинг — это метод кибератаки, при котором злоумышленники подменяют реальные сигналы GPS поддельными данными Это позволяет обмануть навигационные системы и изменить их геолокацию, маршруты или время

— По данным компаний SkAI Data Services и Цюрихского университета прикладных наук, число рейсов, подвергшихся спуфингу, увеличилось с нескольких десятков в феврале до более чем 1100 в августе 2024 года 🗣 Ссылка на чтиво #News #Attack #Spoofing | 🧑‍💻 Этичный хакер

😈 История жизни и смерти хакера, взломавшего пентагон и NASA в 15 лет Джонатан Джозеф Джеймс (12 декабря 1983 — 18 мая 2008) — американский хакер, который был первым несовершеннолетним, заключенным в тюрьму за киберпреступность в Соединенных Штатах

«Признаюсь, в тот день я стал очень популярным чуваком в колледже, когда ко мне в дом вломились эти парни в бронежилетах и с автоматами», — с улыбкой рассказывал потом журналистам Джонатан Джеймс

❗️ Джонатану удалось проникнуть на серверы NASA, взломать Пентагон, похитить программное обеспечение, управляющее МКС, и установить бекдор на серверах одного из американских военных ведомств. И все это — в пятнадцатилетнем возрасте — 18 мая 2008 года Джонатан Джеймс был найден мертвым в своем доме от огнестрельного ранения, нанесённого самому себе Под катом читайте его историю становления хакером и полную биографию 🗣 Ссылка на чтиво #History #Biography #Jonathan | 🧑‍💻 Этичный хакер