Social Engineering

🔑 10 миллиардов паролей. • 4 июля на одном хакерском форуме была обнаружена самая большая база паролей на сегодняшний день. Файлик под названием rockyou2024.txt включает в себя 10 млрд. уникальных паролей, а его объем составляет 45 гб в архиве (156 гб без архива). • Этот файлик стал продолжением другой компиляции паролей, который слили еще в 2021 году. Тогда в сети была опубликована база RockYou2021 с 8,4 млрд. паролей. За прошедшие три года она выросла на 15%. А содержание файла состоит из более чем 4 тысяч баз данных, созданных за последние два десятилетия. • Так вот, ребята из @securixy_kz скачали архив и вычистили из него весь мусор, которого там оказалось очень много! По итогу они получили отличный вордлист, который весит значительно меньше и содержит только нужные данные. ☁ Ознакомиться с архивом можно по ссылке выше или в нашем облаке: https://t.me/tg_infosec/2294 S.E. ▪️ infosec.work ▪️ VT

Курс "Профессия Пентестер" стартует 22 июля! - Научитесь атаковать сети, WEB-сайты, операционные системы и локальные устройства и проводить внутренний и внешний пентест - Участвуйте в BugBounty программах или постройте карьеру в сфере информационной безопасности Полный цикл обучения: - от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений - от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети Хотите стать пентестером? Присоединяйтесь к нам – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки! Пишите нам @Codeby_Academy или  Узнайте подробнее о курсе

🔐 Шифрование. • Данный материал написан в соавторстве с @mycroftintel • Как я неоднократно говорил, шифрование – это последняя «тихая гавань» с точки зрения информационной безопасности. Все дело в том, что алгоритм AES-256 практически невозможно взломать. Почему практически? Потому что в реальности можно, но при текущем уровне производительности компьютеров, на этой уйдет плюс-минус несколько миллиардов лет. Как вы понимаете, никто столько ждать не готов. • Но все изменится, когда придут они. Квантовые компьютеры. В чем их фишка. Они работают не параллельно, шаг за шагом, как это делает обычный компьютер, а параллельной в каждом кубите. Поэтому квантовый компьютер может проводить сверхбыструю факторизацию больших чисел, что обеспечивает оперативный подбор для асимметричных алгоритмов шифрования. По разным подсчетам для того, чтобы разложить на биты ключ RSA длиной 2048 бит, потребуется компьютер с миллионами кубитов, а пока дай бог 300-400 наберется. Но потенциально это может просто разорвать в клочья всю текущую концепцию анонимности, начиная от простых архивов, заканчивая расшифровкой SSL-соединения в режиме реального времени. • Уже появился термин «квантовое превосходство», которое показывает, как изменится наша жизнь, после того как повсеместно будут реализованы эти машинки. Но и криптография тоже на месте не стоит. Разрабатываются новые виды шифрования, например на основе концепции решеток и векторов. То есть вектор решения задачи из двухмерного становится трехмерным, поэтому подобрать ключик становится на порядок сложнее. Или, например, изогональная криптография. Тут вас уже не логарифмические задачи, а шифрование на основе эллиптических кривых. Это тот еще Борис-хрен-попадешь от мира криптографии. • В общем, не все так плохо, как кажется на первый взгляд. Эксперты вообще говорят, что квантовый бум крипту может вообще не затронет. Новые методы шифрования появляются. Да и вообще, голь на выдумки хитра. Прорвемся! Ну а если честно, то, когда будет распространена расшифровка с помощью квантовых компьютеров, энтузиасты смогут придумать квантовое шифрование. Чтобы на каждый болт была гайка с левой резьбой! • Дополнительная информация доступна в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

📶 Принципы сетевых атак и работа сетей. • Если изучаете сети или давно хотели узнать о принципах сетевых атак, то добро пожаловать на сайт https://netsim.erinn.io, который предлагает ряд интерактивных уроков, а от нас потребуется только следить за перемещающимися пакетами между узлами сети. Там еще можно создавать свои пакеты, прописывать заголовки и даже провести сетевую атаку на определенный узел. • Netsim требует простейшей регистрации (без указания почты и прочей информации, достаточно придумать логин и пароль). После регистрации для нас будут доступны уроки разбитые на 4 части: - Первая часть (Basics) — тут указаны базовые понятия: пакеты, заголовки и т.д. - Вторая часть (Spoofs) — представлены примеры и информация о принципах спуфинга; - Третья часть (Denial of Service) — включает в себя 3 урока об атаках типа «отказ в обслуживании»; - Четвертая часть (Attacks) — описывает принцип работы traceroute, #MITM атаки и обход блокировки ресурсов. ➡ https://netsim.erinn.io • В общем и целом, очередной полезный ресурс для нашей копилочки, которая содержит бесплатные источники для изучения сетей. S.E. ▪️ infosec.work ▪️ VT

Актуальные вакансии, стажировки, лучшее из сферы ИТ.  Ищи новую работу с удовольствием. Переходи на канал Лиги Цифровой Экономики. Там мы говорим о технологиях и предлагаем актуальные вакансии в ИТ. Если ты новичок, хочешь удачно и быстро стартовать в ИТ-карьере — приходи к нам на стажировку с возможным трудоустройством. Все подробности ищи у нас в канале. https://tglink.io/f7044e16dbc1 Реклама. ООО "ЭЙТИ КОНСАЛТИНГ". ИНН 7715744096. erid: LjN8KAT3D

👨‍💻 Руководство по пентесту с использованием Nmap, OpenVAS, Metasploit. • Существует отличная книга "Quick Start Guide to Penetration Testing", которая распространяется только на английском языке. Наш читатель проделал огромную работу, перевел эту книгу на русский язык и предоставил ее нам на безвозмездной основе. • В книге описаны варианты использования #NMAP, OpenVAS и #Metasploit, подробное описание этих инструментов, создание собственной лаборатории для практических занятий и подробное описание различных этапов пентеста. ☁️ Руководство можно скачать бесплатно в нашем облаке. S.E. ▪️ infosec.work ▪️ VT

❤️ S.E. Полный список проектов. • Мало кто знает, что S.E. не является моим единственным проектом. На самом деле есть и другие полезные ресурсы, которые содержат очень много уникальных мануалов, литературы, курсов и другого материала: • infosec — сюда публикую интересные новости, уникальную литературу (в основном переводы книг), курсы и немного юмора. Ламповое сообщество, которое обязательно Вам понравится. • Virus Detect bot — этот бот был реализован исключительно для нашего сообщества. Он полностью бесплатный, без рекламы, без спама и не требует каких-либо обязательных подписок. Он реализован на API Virus Total, что дает каждому из Вас возможность проверять файлы более чем 70 антивирусами одновременно, с максимальной скоростью и не выходя из Telegram. Подробнее писал об этом вот тут. • Вакансии в ИБ — здесь публикуются актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности. • S.E.Reborn — помимо публикации собственного материала, я стараюсь поддерживать ИБ сообщество в Telegram и репостить качественный контент с других каналов. В общем и целом, тут Вы найдете много всего интересного. • S.E.Stickers — самый популярный стикерпак в ИБ и дарк сегменте Telegram. Тут Вам и пасхалочки, и хакерская тематика, и большой выбор. • S.E.infosecurity — всё, что не входит в infosec, публикуется именно здесь. История ИТ, конкурсы с книгами по информационной безопасности и многое другое. • S.E.Relax — когда всё надоело, то можно запустить приятную музычку и получить визуальное наслаждение от крутых артов. Это Relax проект, а значит никакой рекламы и спама. ▫️ S.E.

🌐 Коллекция готовых VM для быстрого развертывания и экспериментов. • Интересный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов. - Подборка различных образов для VirtualBox. - Free VirtualBox Images от разработчиков VirtualBox. - Коллекция готовых VM от Oracle. - Абсолютно любые конфигурации VM на базе Linux и Open Sources. - Подборка различных образов для VMware. - VM на iOS и MacOS: getutm и mac.getutm. - Образы для Mac: mac.getutm и utmapp. • А еще у меня в закладках есть один интересный сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix. Обязательно ознакомьтесь: https://instantworkstation.com/virtual-machines S.E. ▪️ infosec.work ▪️ VT

Вы специалист по информационной безопасности и часто сталкиваетесь с проблемами в конфигурации Windows AD? Вы чувствуете, что вам не хватает глубинных знаний о механизмах Kerberos и Acl-атаках, поэтому сложно своевременно обнаруживать и устранять ошибки? Хорошие новости — после прохождения открытого урока «Acl атаки в Windows AD: теоретические основы» вы сможете находить и исправлять простые ошибки в конфигурации Windows AD. Вы будете понимать основные механизмы работы Kerberos, что значительно усилит вашу эффективность и повысит уровень вашей профессиональной компетенции. Встречаемся 9 июля в 20:00 мск в преддверии старта курса «Пентест. Практика тестирования на проникновение». Все участники вебинара получат специальную цену на обучение! Спикер — вирусный аналитик в международной компании. Записывайтесь сейчас, а мы потом напомним. Участие бесплатно. https://vk.cc/cxZdSA Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

👩‍💻 Linux под ударом. • Небольшое руководство, которое подсвечивает некоторые слабые места #Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин. Содержание следующее: • RECON: - Info; - Открытые источники. • SCAN: - Info; - Скан nmap; - Скан средствами OC; - Обфускация IP; - Скан директорий сайта; - Cкан поддоменов; - Скан WordPress. • VULNERABILITY ANALYSIS: - Анализ. • EXPLOITATION: - Info; - BruteForce; - Local Enumeration. • PRIVILEGE ESCALATION: - Info; - Локальные аккаунты; - Crack hash; - Misconfig; - Kernel exploits. • PERSISTENCE: - info; - SSH Keys; - ПсевдоROOT аккаунт; - bashrc; - Cron Jobs; - Systemd; - Systemd Timers; - rc.local; - MOTD; - APT; - Git hook; - Git config; - PAM backdoor; - Заключение. S.E. ▪️ infosec.work ▪️ VT