Path Secure

0xE. Распознавание лиц (!=|==) тотальная слежка Совсем недавно начал осознавать насколько ускорилось развитие технологий. Сегодня поговорим про биг дату и распознавание лиц. * * * Data Science - наука занимающаяся обработкой огромных массивов информации и поиском закономерностей в её распределении. Много статистики и тервера, мат анализа, аналической геометрии и прочего интересного. С одной стороны, это очень полезно, ведь именно с помощью опытных данных и экспериментов выводились физические законы, которыми мы пользуемся по сей день. Но наравне с наукой шагает и бизнес, который хочет заработать больше денег. Грамотный анализ больших данных может дать вам визуальную картинку происходящего, а также спрогнозировать будущие результаты. Бородатый анекдот про пиццерию Google ещё недавно казался анекдотом. Но теперь я понимаю, что это страшная реальность. Корпорации собирают информацию о нас, чтобы затем её монетизировать, предложить лучший для нас товар. Это хорошо или плохо? Мне это чуждо и я выступаю против негласного выдёргивания моих интересов из поиска. Желаю, чтобы человек тоже получал прибыль за то, что его интересны монетизируются, считаю это этичным. А если он выступает против, то и собирать данные должно быть запрещено. Тарасов Валентин, из Newочём, озвучил переведённую статью о будущем персональных данных. Её можно послушать в формате подкаста ( тему подкастов мы затронем позже ). * * * Наряду с развитием науки, развивается и обещанный "искуственный интеллект". Нейронные сети, машинное и глубокое обучение. На данном этапе я далёк от полного понимание механизмов их работы, но я опять же уверен, что это оружие в меркантильных руках. Поговорим, наконец, о распознавании лиц. Его начали повсеместно. Раньше это было не так заметно, как сейчас. Сначала это была китайская народная республика и казалось, что моя хата с краю, но теперь это пришло и в Россию. Ещё несколько лет назад я читал статью о том, что отечественная разработка системы распознавания лиц выиграла какие-то там соревнования, обогнав соперников по скорости и качеству работы. Судя по всему, тех энтузиастов успешно завербовали. И всё бы ничего, я понимаю, что охрана общественного порядка необходима, но в стране с тоталитарным режимом понятие "порядок" может трактоваться по-разному в зависимости от контекста. В интенетах можно найти кучу статей об успешной поимке преступников. Но давайте быть честными с самим собой. Обозвать преступником можно кого угодно и кого неугодно. Этому есть целый ряд подтверждений. Недавний проект Роскомсвободы BanCam надоумил меня высказаться. Это организация старается решать поблемы мирно, но существуют и радикально настроенные личности, например, не менее интересный проект CamOver. И я ни в коем случае не поддерживаю вандализм и порчу иммущества. Это незаконно! Также в сети уже можно найти кучу слитых данных с камер, поскольку люди не очень-то заинтересованы в физической защите камер, но и в защите камер от атак по сети. Shodan тому пример. Подводя итоги, хочу сказать, что за развитием технологий должна стоять этика и понимание последствий. Конечно, ошибок не миновать, но очень уж хочется их минимизировать. И я очень рад, что огромное количество людей разделяет моё мнение.

0xE. Работа с разделами линукс При установке системы я решил разделить свой ssd на два раздела. Рутовый и раздел под файлопомойку. Так как мой ssd довольно небольшой - около 160 гигов - место на файлопомойке быстро кончилось и последнее время мне приходилось качать файлы в рутовую директорию. Решил сжать два раздела в один большой. Я всегда думал, что в линуксе нельзя просто так удалить два раздела и снова склеить их в один без потери данных. Оказывается, можно. И я был очень этому рад. В повседневности я обычно использую тулзу fdisk. Быстро работает, есть горячие клавиши и оно CLIшное. Хотя можно использовать и parted, но я с ним не знаком. Нашёл также крутую статью по расширению диска. Офигенно. До сих пор не разобрался с разметкой под UEFI.

0xD. Пентест на практике Хотел бы опубликовать несколько очень интересных статей касаемо пентеста и редтима. Из них можно почерпнуть мотивацию или же развеять некоторые мифы касаемо данной профессии. [0x0] "Мамкины хакеры" на официальной работе: чем занимаются пентестеры [0x1] Враг внутри:как я попался на инсайдерском редтиминге

0xC. Penetration Testing Пентест или же тестирование на проникновение - документированный анализ системы безопасности компании или предприятия с целью выявления уязвимостей, утечек информации, ошибок. Пентест подразделяется на несколько категорий: * WhiteBox - знаём всё о системе безопасности; * GrayBox - некоторые части неизвестны; * BlackBox - полностью слепое тестирование. Средним и крупным корпорациям пентест жизненно необходим, так как внезапная кибер атака может повлечь немыслимые убытки. Некоторые компании проводят тестирование на постоянной основе в качестве профилактики, но некоторые уязвимости так и остаются ненайденными и это нормальное явление. Пентест также можно разделить по типу тестируемое инфраструктуры: * Веб ( вебсайт ); * Сеть ( локальная проводная и беспроводная сеть ); * Проникновение во внутренний периметр ( СКУД, Социальная инженерия ). Red Team - ребята, которые занимаются полным пентестом, на всех уровнях инфраструктуры. В задачи пентестеров входят непосредственный анализ, формирование отчёта о проделанной работе, а также предоставление рекомендаций по закрытии существующих дыр. To Be Continued [0x0] Работа RedTeam [0x1] Публичные отчёты о пентесте [0x2] Аудит беспроводных сетей

0xB. Reverse SSH Иногда возникает необходимость прокинуть себе ssh до сервера, который находится за NATом. Ниже проверенный способ это сделать. [0x0] https://www.howtoforge.com/reverse-ssh-tunneling/amp/

#криптоанархизм 0xA. Криптоанархизм. Логическим продолжением постов выше является философия криптоанархизма. В общем смысле, это движение за свободу приватности и свободу слова криптографическими методами. Криптоанархисты считают, что законы математики сильнее человеческих законов, и поэтому критоанархизм бессмертен. Ниже оставляю несколько очень интересных ссылок: [0x0] Стартовая страница [0x1] Повареная книга криптоанархиста [0x2] Криптоанархизм по версии википедии

0x9. Этичное ПО Читателям моего канала, скорее всего, известно о том, что в любом софте можно оставить программные закладки ( бекдоры ) или трекеры, которые будут сливать данные о вас и продавать их. В связи с этим и появился термин " Этичное ПО ". Наровне в этичный взломом, данный тип приложений разрабатывается во благо сообщества и людей, которые ими пользуются. Вчера наткнулся на интересный сайт, который предоставляет информацию об альтернативах для всем известных неэтичных сервисов. Также оставлю ссылку на давно мне известный канал о приватности и информационной безопасности SunandreaS В дополнение к этичным сервисам, предоставляю ссылку на отечественную разработку - открытый сервер Mastodon [0x0] Альтернативы [0x1] SunandreaS [0x2] Mastodon

#privacy #peer_tube #рекомендация 0x8.1 Продолжая тему приватности. Наткнулся на интересный фильм "Nothing to Hide" - Нечего скрывать. Смотрю в оригинале на децентрализованном видеохостинге PeerTube. В дальнейшем будет много постов про децентрализованные сервисы, так как увлёкся их изученим :) [0x0] PeerTube [0xx] Фильм

#privacy #nothing_to_hide 0x8. Мне нечего скрывать. Насколько часто вы слышите эту фразу от своих знакомых или родственников? Не скажу, что я слышу подобное каждый день, но такие случаи бывали. Насколько же это иронично. Тем более, в наше время. Эдвард Сноуден ещё несколько лет назад высказывался по этому поводу: " Аргументировать незаинтересованность в личной приватности лишь потому, что Вам нечего скрывать, сродни незаинтересованности в свободе слова лишь потому, что Вам нечего сказать ". Да, я могу понять людей, которые привыкли делиться своей жизнью в социальных сетях. В этом нет ничего плохого. Плохо, когда распространяется действительно важная информация, касающаяся твоего близкого окружения. Плохо, когда опускаешь руки перед тем, что тебя и твои интересы монетизируют, а затем продают тебе же. Плохо, когда нарушаются базовые права на свободу переписки и личной жизни. Плохо, когда существуют единые центры обработки данных, которые очень просто скомпрометировать. Тебе нечего скрывать? - Скажи свои паспортные данные и я возьму на тебя кредит. - Дай мне доступ к своим социальным сетям и я почитаю твои диалоги. - Скажи мне свой пин код от карты или cvv код и куплю себе пару шмоток. - Расскажи мне пару офигительным историй, за которые я могу тебя посадить. Данный список можно продолжать бесконечно. И дело здесь даже не в том, что я преследую какую-то корыстную цель. А в том, чтобы научить тебя беречь свои персональные данные. Маленькая тайна - это всё, что остаётся у такого же маленького человека перед лицом огромных корпораций. Сложно и невероятно страшно представить мир, в котором о тебе будуть знать совершенно всё. Мы не должны этого допустить ни коем образом. [0x0] https://habr.com/ru/company/medium-isp/blog/463937/

#security 0x7. Реверс шелл. Часто бывает, что удалось залить веб шелл на удалённый сервер, выполнить ls или whoami или даже поднять nc -l -e /bin/bash 1337. Но вот неудача: не работает исправление, не отчищается экран да и вообще недобно продолжать работать. Здесь к вам на помощь придёт отличная статья о том, как "прокачать" свой терминал до более приятного вида. [0x0] https://medium.com/bugbountywriteup/pimp-my-shell-5-ways-to-upgrade-a-netcat-shell-ecd551a180d2 PS. Шорткат для ленивых: python -c 'import pty; pty.spawn("/bin/bash")' python3 -c 'import pty; pty.spawn("/bin/bash")' <CTRL+Z> stty raw -echo fg + [Enter x 2] export TERM=screen

#mesh #network #telecom 0x6. Mesh-сети Слышал об этом термине довольно давно и особо не вникал в смысл. Однако на прошлой неделе услышать снова и вдруг заинтересовался. Mesh-сети - особый вид топологии сети, в котором существует множество нод (мостов), связанных между собой огромным количеством путей. Каждая нода участвует в процессе передачи данных. Mesh сети удобны для децентрализованной модели интернета, другими словами, в этом случает отпадает необходимость единых центров обработки данных, так как каждый участник этой сети по своей сути является дата центром. На данный момент Mesh-сети активно развиваются. Довольно актуально при нынешнем критическом положении рунета, не так ли? Ниже прикреплю несколько полезных ссылок. [0x0] https://www.youtube.com/watch?v=03ffhMyndx8 [0x1] https://www.youtube.com/watch?v=ehM11MJVYNo UPD: 16.10.2020 [0x3] https://www.youtube.com/watch?v=Je9LBq6WDp8

#pentest #security 0x5. Pentest Пентест - penetration testing, тестирование на проникновение. Вид деятельности в сфере ИБ, направленной на легальный поиск уязвимостей в информационных системах. Очень интересная и полезная работа. Подумайте сами, Вы бы предпочли заплатить специалисту N-ную сумму за поиск уязвимости и консультацию по латанию дыр, чем понести бесконечные убытки от атак киберпреступников? Пентестить можно всё, что угодно. От веб приложений и банковских терминаров до критической инфраструктуры. Конечно, среди специалистов бродят шутки о том, что пентестеры всего лишь используют готовые инструменты и особо ничего не придумывают, но это во многом зависит от компании.

#ctf 0x4. Attack &Defence CTF. И снова здравствуйте. В прошлом посте я осветил тему task based CTF. Однако сейчас я расскажу о другом подобном подмножестве. Attack & Defence, натурально атака и защита - подвид соревнований по кибербезопасности, но основное отличие здесь в динамике. Участвует какое-то количество команд. Каждая имеет в своём распоряжении уязвимые сервисы в разном их проявлении ( чат-бот, вебсайт, калькулятор и т.д ). Каждая команда может как атаковать другие - красть флаги, используя уязвимости, так и защищаться - исправлять найденные у себя уязвимости. A&D CTF является идеальным вариантом для симуляции реальных отношений в информационной сфере. Кроме того, участие в таких соревнованиях очень позитивно сказывается и на практических навыках. Сложность организации таких соревнований значительно выше, чем у task based, однако это совершенно другой опыт, более прикладной. RuCTF, RuCTFE, SpbCTF и другие - русскоязычные организации, которые проводят A&D соревнования.

#ctf 0x3: CTF. Cyber Security Challenge Приветствую, друзья. А знаете ли Вы о таком виде соревнований, как CTF? Capture The Flag - соревнования по кибербезопасности, популярность которых возрастает во всём мире. Здесь Вы сможете испытать частицу рутины безопасника, а именно: анализ веб приложений, поиск уязвимостей в исполняемых файлах, расследование кибер инцедентов, поиск информации, элементы администрирования серверов и, конечно же, программирование. Что примечательно, так это то, что игроку в CTF всё подаётся в виде заданий, тасков, распределённых по категориям. Это называется Task Based CTF. Хочешь опробовать себя? Почти каждую неделю стартует новый ивент. Узнать больше можно на ctftime.org

#безопасность #приватность #криптография #pgp 0x2: GPG Здравствуйте. Познакомился вчера с GPG шифрованием. Конечно, раньше об этом слышал, но использовать не доводилось. GPG (GnuPG) - это свободная реализация стандарта PGP (Pretty Good Privacy), которая основана на ассиметричной криптографии. С помощью GPG можно вести защищённую беседу, но только при условии, что подобран длинный ключ и канал связи является защищённым. Much Secure

#фактчекинг Нахожу это иллюстрацию весьма полезной. Особенно в наше время. Рекомендую ознакомиться и не принимать факты на веру. src: https://africacheck.org/factsheets/guide-the-five-step-fact-check/

#интервью 0x1: Интервью с HackerSploit Добрый вечер. На днях послушал интервью с HackerSploit, которое проходило в дискорде, на канале hackthebox. Очень понравилось. HackerSploit - это человек, занимающийся пентестом сетей и ред тимингом. У него есть свой собственный ютуб канал, который заслуживает отдельного внимания. А также вебсайт. Ему был задан вопрос. А чего же всё-таки начать изучать кибербезопасность? Он порекомендовал две книги: * The Hacker's Handbook * Hacking: The Art of Exploitation, 2nd Edition Они обе являются источниками основ кибербезопасности, однако первая имеет больший уклон в сторону WEBа и сетей. Кстати, HackerSploit также отменил, что знание и понимание работы сетей является важнейшим аспектом в безопасности систем. Запись: https://www.youtube.com/watch?v=-E7pA_q-Myo

0x0: Hello world! Всем привет. Это мой блог. Здесь я буду высказывать свои мысли, а также буду делиться полезными материалами , которые так или иначе связаны с областью информационной безопасности, информационных технологий и, возможно, психологии. С какой целью я создал этот канал? Мне интересно наблюдать за моим путём развития от текущего уровня до уровня квалифицированного специалиста по ИБ, и конечно же, хочу поделиться этим опытом и знаниями с другими людьми. UPD 24.03.2021 00:33:24 Не раз уже думал о целях этого канала. Теперь они гораздо глобальнее. Теперь мне интересны темы защиты приватности и свободы. Поэтому дополнительной целью этого канала будет формирование информационной базы/гайдов/лайфхаков для заинтересованных в личной безопасности людей. Вот так Не уверен, что записи будут выходить периодично, и что я вообще не заброшу это дело, но попробовать стоит. Важные посты: [1] Высшее образование в ИБ [2] Offensive Active Directory [3] Альтруизм, обмен информацией, софт скиллы [4] Угон домена и перехват NTLMv2 хешей [5] О работе в сфере ИБ, мотивации и самообразовании (аудио) [6] Как я попал в ИБ/пентесты. Трудоустройство в компанию. Практика+теория ИБ. Связь: @pathsecure_bot Теги: #vpn #wireguard #ethical #software #анонимность #слежка #приватность #криптовалюты #cryptoparty #безопасность #криптоанархизм #криптография #шифропанки #ethical #software #восстановление #photorec #testdisk #forensics #бекапы #proxmox #rescue #speedtest #NAT #telecom #капитализм #сети #forward #ssh #тоннели #фестивали #технические_коммуны #Decentralize #этичные_сети #федерации #linux #oldpc #justbrowsing #distro #обзор #искусство #антиуниверситет #история #архив #история #хакеры #манифест #jargon #книга #book #обзор #рекомендация #vim #макросы #riseup #privacy #security #email #alternative #xmpp #cloud #encryption #opensource #tool #ликбез #пентест #основы #ликбез #информационная_безопасность #camera #public #surveillance #openstreetmap #opensource #face_recognition #pgp #ликбез #шифрование #enigmail #messages #атаки #blockchain #crypto #mining #pow #криптография #чтопосмотреть