Страница телеграм канала Киберпиздец

cybershit logo

Киберпиздец

5680 подписчиков

Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? О канале: http://telegra.ph/Cybershit-08-14 Связь: @cybrsht_bot


Входит в категории: Технологии
Киберпиздец
12.04.2019 16:04
Многие меня поправляют на счет matrix и правильно делают, поэтому давайте расставим все точки над и: • Атака была не на протокол, а на организацию matrix.org, известная как раз своим одноименным протоколом. Посыпаю голову пеплом, спешил. • Данные все-таки утекли, но их объем пока не уточняется. • Камнем преткновения послужили слишком высокие привелегии в продакшене и непропатченный CI-сервер Jenkins (вспоминается известная шутка про "хуяк-хуяк"). • Скомпроментированы были данные пользователей, GPG ключи и другой незашифрованный контент, включая личные сообщения, хэши паролей и токены доступа. • Не затронуты — исходный код, пакеты, серверы Modular.im и сервер идентификации. Вся последовательность мыслей злоумышленника здесь: https://pastebin.com/3rzCqrFk (спасибо читателю) Официальный репорт с обновлениями тут: https://matrix.org/blog/2019/04/11/security-incident/ Всем спасибо, хорошей пятницы!
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
12.04.2019 15:04
Любопытные, конечно, там дискуссии разворачиваются, но к сожалению все происходит под четким контролем со стороны команды разработки matrix, все неугодные комментарии сразу же летят в корзину, а это определено вызывает недоверие к команде и компании в целом. Вот еще один интересный тред по теме взлома нашел на hackernews > https://news.ycombinator.com/item?id=19642554 А вообще было бы здорово обсуждать подобные инциденты в публичном ключе, где каждый мог поделиться своими best practices и указать на конкретные недочеты в коде или конфигурации.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
12.04.2019 13:04
Был взломан протокол обмена мгновенными сообщениями matrix. Но удивителен не сам факт взлома, а то что взлоумышленник выложил на гитхаб свой секьюрити-репорт. Редкость! https://github.com/matrix-org/matrix.org/issues/created_by/matrixnotorg
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
09.04.2019 15:04
Ресерчеры из Chronicle Security (это дочерняя компания Гугла) с помощью своего нового инструмента для поиска одинаковых кусков кода в разной малвари, показали прямую связь между самыми хитрыми шпионскими программами прошедших лет: Stuxnet, Flowershop и Flame. Судя по всему разработчики этих систем не только работали в одной области но и обменивались частями кода. Или вообще, как метко заметил один умный человек, собирались из единого репозитория :) напомню, все эти малвари предположительно разрабатывались NSA и другими правительственными службами для слежки на территории Африки и восточной Европы. Почитайте статью обязательно, даже если это не ваша тема. Кажется на этой конференции Касперских будет ещё много интересных анонсов. https://motherboard.vice.com/en_us/article/d3maw7/researchers-uncover-new-version-of-the-infamous-flame-malware
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
09.04.2019 12:04
Небольшой CTF для изучения безопасности Android. После регистрации участникам предлагается решить 7 задач разного уровня сложности. Каждое задание — это самостоятельный .apk файл, содержащий флаг. Так что вооружайтесь каким-нибудь Androl4b и вперед, на барикады! CTF: https://challs.reyammer.io/ Androl4b: https://github.com/sh4hin/Androl4b
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
08.04.2019 13:04
Забавные находки с GitHub сейчас не редкость. То креды от облака засветятся, то пароль от тестовой БД (хорошо, если тестовой). И всё ИБ сообщество сидит и ехидно хихикает. Но человеческий фактор может сыграть злую шутку с каждым из нас, и это сложно отрицать. А ведь достаточно просто проверять, а еще лучше ничего не хранить там, что вы планируете отправлять в репозитории. Поэтому, чтобы по ночам вас не мучали кошмары, возьмите и просканируйте свой репозиторий на наличие чувствительной информации в конце концов! Вот вам набор утилит для этого: https://geekflare.com/github-credentials-scanner/ Регулярность - первый шаг к безопасности!
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
05.04.2019 16:04
Так сложилось, что я очень люблю красивый софт. Знаете, вот прям тащусь когда разработчики, помимо базовой функциональности продукта, уделяют внимание внешнему виду и всяким приятным мелочам. К слову это одна из причин, почему я перешел работать на macOS. Поэтому для таких же ненормальных как я, порой буду делиться своими находками. Сегодня вот наткнулся на очень симпатичный перехватывающий прокси для приложений - Proxyman. Полезно, бесплатно, а главное - красиво! :) Web: https://proxyman.app GitHub: https://github.com/ProxymanApp/Proxyman
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
05.04.2019 10:04
Если кто-то до сих пор не придумал себе планы на выходные, то вам на помощь спешат парни из Флориды с их #CTF, который начинается сегодня в час ночи по московскому времени и продлится до понедельника. Обещают интересные задания разных уровней сложности и направлений: Pwn, Reverse, Smart Contracts, Web, Forensics, Crypto и пр. Регистрация еще открыта! ;) https://swampctf.com/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
03.04.2019 22:04
А вот еще русский OWASP TOP 10 Proactive Controls, с техниками, которые должны быть учтены при разработке любого веб-приложения. Распечатайте и положите его на стол своим разработчикам, пусть боятся! :)
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
03.04.2019 22:04
В Москве буквально час назад завершился OWASP Russia Meetup #8, и пока Лука готовит публикацию на хабр, вот вам OWASP TOP 10 на русском языке. Я знаю, многие из вас очень любят все на русском.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
03.04.2019 12:04
Держу вас в курсе — на видео сверху, конечно же, творение, созданное с помощью компьютерной графики одним японским моушен-дизайнером. Но патент на похожую доставку грузов у Amazon все-таки есть. Уже представляю как по земле бегают парни с радиоэлектронными пушками и охотятся за айфонами :D https://gizmodo.com/amazons-flying-warehouse-idea-looks-like-a-total-disast-1790588667
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


03.04.2019 12:04
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
02.04.2019 09:04
Если вы любитель поковырять web-приложения, то рано или поздно приходите к мысли, что хорошо бы разработать собственную методику тестирования, куда войдут только самые необходимые проверки. Для того, чтобы сэкономить время, например можно воспользоваться методикой OWASP: https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents (там же можно скачать pdf). А для тех, кому и этого много, а до собственной разработки еще не доросли, можно воспользоваться чужими наработками вроде https://github.com/Voorivex/pentest-guide
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
01.04.2019 11:04
Пока прекрасная часть ИБ-сообщества отпускает шутки про отключение от интернета, Xiaomi официально пришла на площадку hackerone и предлагает реальные деньги за поиск уязвимостей в своих продуктах. Пока скоуп ограничен доменами *.mi.com и *.xiaomi.com, а также продуктовой линейкой: смартфонами Mi/Redmi, Mi Band, Mi Home Webcam, Mi Robot Vacuum, Mi TV Box, Mi Laser Projector, Mi TV и Mi Electric Scooter, но возможно в ближайшем будущем в программу войдут и другие девайсы компании, чего только стоит их огромная база IoT-устройств. А вообще, когда столь крупный производитель различной электроники начинает задумываться над bug bounty и безопасностью, во мне начинает гореть маленький огонек надежды. <3 https://hackerone.com/xiaomi
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
29.03.2019 17:03
Реверсинг WannaCry с помощью Ghidra, что может быть нагляднее?

Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме