Path Secure

#laws #security #administration #wisdom Недавно наткнулся на "10 незыблемых законов безопасности" с сайта мелкомягких. Был приятно удивлен наличию столь простых, но настолько глубинных и мудрых истин: Закон № 1: Если плохой парень может убедить вас запустить свою программу на вашем компьютере, это уже не ваш компьютер; Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это уже не ваш компьютер; Закон № 3: Если у плохого парня есть неограниченный физический доступ к вашему компьютеру, это уже не ваш компьютер; Закон № 4: Если вы позволите плохому парню загружать программы на ваш сайт, это уже не ваш сайт; Закон № 5: Слабые пароли разрушают стойкую безопасность; Закон № 6: Компьютер всегда настолько же безопасен, насколько администратору можно доверять; Закон № 7: Хранение зашифрованных файлов настолько безопасно, насколько безопасно хранения ключа расшифрования; Закон № 8: Даже наличие антивируса с устаревшей базой данных лучше, чем отсутствие антивируса; Закон № 9: Абсолютная анонимность практически нереализуема, будь то в сети или в реальной жизни; Закон № 10: Технологии не являются панацеей. И еще более интересно посмотреть на 10 законов безопасного администрирования: Закон № 1: Никто не верит, что с ними может случиться что -то плохое, пока плохое не случилось; Закон № 2: Безопасность работает только в том случае, если безопасность удобна; Закон № 3: Если вы не будете планомерно применять патчи безопасности к вашей сети, то скора эта сеть перестанет быть вашей; Закон № 4: Это не очень хорошая практика устанавливать исправления безопасности на компьютере, который не был защищен с самого начала; Закон № 5: Вечная бдительность - это цена безопасности; Закон № 6: На самом деле сейчас есть кто-то, кто подобрать угадать ваши пароли; Закон № 7: Самая безопасная сеть - это хорошо администрируемая сесть; Закон № 8: Сложность защиты сети прямо пропорциональна ее размерам; Закон № 9: Безопасность - это не про избегания риска, но управление рисками; Закон № 10: Технологии не являются панацеей. Выше мой вольный перевод. Советую обратиться к первоисточникам. Каждый пункт расписан более подробно.

С новым годом, котики ❤️ Желаю всем саморазвития, личностного и профессионального роста!

#info #content Коллега по цеху Inguz опубликовал на канале пост на тему кражи контента без указания авторства. Полностью согласен с Магой. Кража годного контента без указания авторства - это очень неприятно. То же самое случилось со мной. Летом этого года моя вручную обновляемая подборка инфосек каналов разлетелась по комьюнити. Было невероятно приятно видеть обратную связь и в целом я люблю делиться инфой. Но автор канала Gebutcher нагло крадет мою подборку без указания авторства (еще и недавно запостил обновленную версию). Он исключил меня из этого списка и забанил (Магу тоже). Если мои подписчики как-то могут повлиять на автора канала Gebuther, то буду очень признателен. Требую от создателя указания авторства краденых постов. Расскажите в комментах, если тоже сталкивались с такими случаями. Всем добра, позитива и свободно распространяемой информации :) Пруфы: * мой пост с подборкой (13 мая), TGStat * первая версия краденного поста (21 июня), TGStat * вторая версия краденного поста (20 ноября), TGStat

#ad #pentest #kerberos #crypto На канале Внутрянка вышла новая статья из цикла по атакам на керберос. На этот раз Автор разобрал PKINIT, расширение протокола Kerberos. В статье довольно хорошо написано про криптографические основы расширения, и рассмотрены механизмы работы основных атак на PKINIT. Также приведены практические примеры реализации атак. В том числе и популярные ShadowCredentials и PassTheCertificate. Очень рекомендую ознакомиться :)

Уже через 40 минут, в 18:00 по Мск начинается мой доклад про внутрянку с точки зрения пентестера. Концептуально пробежимся по основным векторам. Выше мем из слайдов. Люблю мемы :)

#talk #pentest 10 декабря буду выступать у коллег с темой по внутрянке. Рассмотрим основы :) Расскажу о том, что делать и куда смотреть. Основная целевая аудитория коллег - это веберы, так что доклад рассчитан на новичков.

#vim #obsidian Начал осваивать obsidian. Несколько месяцев им пользовался, но только в контексте конспектирования лекций. Но вдруг решил начать писать в нем отчеты по пентестам, заметки, ресерчи. Пока изучаю этот инструмент, очень радуют возможности и community плагины. Поделитесь своим опытом использования в комментариях. Очень интересно! К посту прикрепляю картинку. Вы же знаете ответ на вопрос?

#self #talk Сегодня мне посчастливилось выступить с лекцией в стенах родного университета. Рассказывал молодым студентам-ИТшникам про компьютерную безопасность как профессию. Вот решил поделиться своей рефлексией. Это выступление почему-то отличалось других, настолько привычных мне, ощущалось как-то иначе. В аудитории было ~50 человек и основную часть слушателей составляли студенты 1-2 курса, то есть ребята еще в самом начале своего пути. Но они были настолько активны, откровенны в своих вопросах и эмоциях. Ощущался здоровый интерес ко мне, как к спикеру. И вы не представляете насколько приятно видеть обратную связь в кивках, улыбках и поднятых руках. Одна из ключевых причин для выступлений. Признание. Возможно, мне уже удалось прокачать навык публичных выступлений до определенного уровня и я могу заражать аудиторию своим позитивным настроем. Для меня публичные выступление - это возможность поделиться опытом, переживаниями, будто рассказать историю в компании товарищей. В программе выступления я рассказал про свой личный опыт обучения в вузе. Подробный пост можно найти на канале в закрепе. Судя по реакциям ребятам зашло. Я был очень рад этому. Также рассказал о различных направлениях и профессиях в безопасности. Рассказал о CTF соревнованиях и о том, как они повлияли на мою жизнь, и многое другое. В конце я раздавал мерч. Я выступал от лица компании и мы подготовили индивидуальные заданий. Совсем не сложные. Я был приятно удивлен, что студенты смогли решить 65-70% наших заданий. Это невероятно круто. А после мы мило и приятно пообщались с глазу на глаз, в тесном кругу, без рамок в виде слушатель/спикер. Я получил очень теплые и приятные эмоции от выступления. Надеюсь, я смог дать им заряд мотивации и зажечь в их сердцах огонь.

#video #classes #yt #education Еще пока не препод, но всё впереди :) А пока делюсь со всем миром записями своих занятий! За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать. На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎 Делитесь видео с друзьями :) Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.

#recomendation #pentest Хочу поделиться инфой про канал «Just Security». Личный блог. Люблю личные блоги. Посвящён пентестам и построению защиты. Автор публикует информацию о ресерчах и трендах кибербезопасности, рассказывает про свой опыт и опыт ребят из компании Awillix. Я сам давно подписан на этот канал и иногда заглядываю. Среди основных тем: • техники защиты и взлома различных систем • новости сферы кибербезопасности • практические советы и обзоры инструментов • видосики и мемасики по теме ИБ :) Вот несколько крутых актуальных постов: ▫️ Познай свой Exchange сервер и OWA (какие недостатки и уязвимости могут существовать в Exchange и OWA) ▫️ С чего начать выстраивать процесс безопасной разработки (этапы и инструменты) ▫️ Как-то раз мы задумались про Endpoint Security (требования для защиты хостов в инфраструктуре) Добро пожаловать — https://t.me/justsecurity

#recomendation #phishing #pentest #apt #redteam #blueteam Мой коллега @wdd_adk, автор канала Cyber Security for All, собрал подборку фишинговых писем от различных APT-группировок в одном месте. Полезная инфа как для блютим, так и редтим. Что-то можно взять к себе на вооружение и использовать в реальных проектах по социотехническому тестированию. А в качестве бонуса хочу поделиться классным инструментом для проведения фишинговых компаний - gophish. Один бинарь на Go для запуска, отличная документация, удобство использования, красивые графики, гибкость настройки - в общем всё необходимое уже под капотом. Советую взять на вооружение.

#crypto #education #recomendation Наверняка среди моих подписчиков есть студенты, которым интересна тема криптографии. Если бы я был преподом по криптографии, то выдал бы такие темы курсовых: 1. Исследование алгоритмов постквантового шифрования 2. Исследование алгоритмов электронного голосования 3. Исследование алгоритмов хеширования паролей в GNU/LINUX 4. Исследование алгоритмов хеширования паролей в MS Windows 5. Исследование алгоритмом конфиденциальных вычислений 6. Исследование приложений гомоморфного шифрования 7. Исследование приложений алгоритмов доказательства с нулевым разглашением 8. Исследование алгоритмов слепой подписи 9. Исследование механизмов атак на понижение безопасности протоколов 10. Исследование механизмов Chain of Trust в инфраструктуре открытых ключей

#talks Ееееее, наконец появились записи с конференций 🔥 В ниже по ссылке оба моих доклада про приватность: 1) У стен есть уши, а у домов — глаза. Доклад посвящен теме приватности и анонимности криптовалют. Новичкам будет полезно узнать о принципах работы блокчейна, а продвинутым юзерам — больше об обеспечении собственной приватности. Curiv. Сryptocurrencies and Privacy Аspects 2) Слово «паноптикум» буквально переводится с греческого как «пространство, в котором видно все». Из доклада слушатели смогут узнать про технологии для обеспечения собственной приватности. В основном будут рассмотрены криптографические методы защиты. Curiv. Anti Panopticum & Privacy Problems Также зацените остальные доклады с других зон. Все они офигенные! Огромная благодарность организаторам, вы лапочки! Также благодарю слушателей на моих докладах. Очень приятно было видеть полный зал и кучу вопросов. Благодарю @wdd_adk за инфу про залитые видосы ❤️

Митап прошел на 10/10. Мне очень понравилось. Судя по обратной связи, посетителям тоже зашло. Это мой первый опыт модерирования митапов/конференций. Было очень интересно и забавно. Интересно тем, что ранее я выступал только в роли слушателя или спикера, а в этот раз я смог выступить с приветственным и заключительным словом, мог управлять сессией вопросов, организовывал и искал спикеров. Забавно тем, что от меня зависел ход проведения мероприятия. Если бы я где-то залажал с таймингами или некорректно себя повёл, то всё пошло бы насмарку. Большая ответственность, но я не чувствовал волнения. Разве что в самом начале. Большое спасибо ребятам из Спектра за то, что взяли на себя большинство организационных проблем. Без Вашей помощи я бы не справился. Со времен PermCTF2019 в Перми не было подобных конференций по безопасности и DevTalks прервал затишье. Очень хочу в ближайшем будущем организовывать больше мероприятий посвященных практической безопасности. Пишите в @pathsecure_bot, если хотите помочь.

Ardent101 пишет охуительные статьи по безопасности AD, моё почтение. @internal_pentest ardent101.github.io

Ardent101 пишет охуительные статьи по безопасности AD, моё почтение. @intenal_pentest ardent101.github.io

Hacking, web3, crypto, CTF and yachts in Dubai: Six and Silur talk about how CCTF started. Six is a web3 security researcher who founded CCTF, co-founded QRUCIAL and the Polkadot Head Ambassador of Eastern Europe. He started his cryptocurrency journey around 2013. Silur is a cryptographer, blockchain architect who created the core systems of QAN and NextEarth; in the past an early Ethereum Foundation developer. He started his cryptocurrency journey around 2013. https://www.youtube.com/watch?v=gdD73HAVofU https://cryptoctf.org/2022/08/22/decentralized-ctf/ Вкатываемся в web3.0 😎

Стрим поднялся! Подключайтесь: https://t.me/pathsecure?livestream

Всем привет! 8 октября (сегодня) в 10:00 Мск присоединяйтесь к видеотрансляции митапа #DevTalks. Безопасная разработка: лучшие практики, DevSecOps, пентест, взаимодействие IT и Security. Не пропустите доклады Вячеслава Бессонова (Hilbert Team), Олега Казакова (Spectr), Антона Тиунова (LMSecurity), Алексея Шайдокова (LMSecurity). Ссылка на трансляцию: https://www.youtube.com/watch?v=vBUymWnTB9s Ссылка на программу: https://digital-spectr.ru/event/dev-talks-devsecops-secure-development Официальный чат митапа (можно задавать вопросы): https://t.me/+X4DZg7ma1DdlM2I6