Информационный портал по безопасности

В шестом выпуске подкаста Habr Weekly прошлись вот по таким темам:

• Подготовлены правила изоляции Рунета.


• Яндекс вывел на дороги Москвы пять беспилотных машин.


• Нейросеть Adobe определяет фотографии, обработанные в Photoshop.


• Mail.ru запустила голосового помощника по имени Маруся.


• В Vim и NeoVim найдена критическая уязвимость, пора обновляться.


• Telegram готовит функцию геочатов с локацией по местности.


• Безлимитный сетевой диск на основе Телеграма. Бесплатный.


• В Дартмуте появился памятник языку программирования BASIC.

Avalonia ui — восхитительный фреймворк, к которому хочется возвращаться снова и снова. Так давайте же вернемся к нему еще раз и рассмотрим некоторые особенности вместе с моим message box.

При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена.



К примеру, по итогам пентеста в одной компании мы пришли к выводу, что все доступные машины в домене были не ниже Windows10/Windows Server2016, и на них стояли все самые свежие патчи. Сеть регулярно сканировалась, машины хардились. Все пользователи сидели через токены и не знали свои «20-символьные пароли». Вроде все хорошо, но протокол IPv6 не был отключен. Схема захвата домена выглядела так:

mitm6 ntlmrelay атака через делегирование получен хеш пароля локального администратора получен хеш пароля администратора домена.

К сожалению, такие популярные сертификации, как OSCP, GPEN или CEH, не учат проведению тестирования на проникновение Active Directory.



В этой статье мы рассмотрим несколько видов атак на Active Directory, которые мы проводили в рамках пентестов, а также используемые инструменты. Это ни в коем случае нельзя считать полным пособием по всем видам атак и инструментам, их действительно очень много, и это тяжело уместить в рамках одной статьи.



Итак, для демонстрации используем ноутбук на Kali Linux 2019 и поднятые на нем виртуальные хосты на VMware. Представим, что главная цель пентеста — получить права администратора домена, а в качестве вводных данных у нас есть доступ в корпоративную сеть компании по ethernet. Чтобы начать тестировать домен, нам понадобится учетная запись.

Подробный обзор от Binance Research долгожданного вхождения Facebook в криптовалютную индустрию.



Перевод выполнен командой проекта INDEX Protocol. Сейчас в новостях очень много шумихи вокруг этого проекта, при этом очень мало реальных данных и хороших разборов. Команда Binance Research смогла подготовить очень качественный, на наш взгляд, материал, который мы перевели. В примечаниях мы отметим моменты, которые дополнились за время, после выхода отчета или же где у нас есть отдельное мнение. Если вам интересно, наш предыдущий перевод был посвящен архитектуре децентрализованных бирж. Перевод выполнен совместно с coolsiu



18 июня 2019 года компания Facebook опубликовала подробную информацию о Libra — стабильной криптовалюте, работающей на собственном блокчейне и поддерживаемой корзиной финансовых активов.



В этом отчете мы рассмотрим детали этой новой, весьма ожидаемой криптовалюты, прежде чем углубляться в технические детали. Также мы обсудим, как это повлияет в разных перспективах на локальные и глобальные рынки.

Много копий сломано в обсуждениях того, почему питон эдакий бяка — не запрещает вызывать непубличные методы. И конечно, не раз звучали объяснения в духе «мы все тут взрослые люди», но похоже их было недостаточно, мне кажется, я наконец понял, как это объяснить более понятно, надеюсь, что это действительно так.

Напомню, что для private методов питон всего-лишь динамически изменяет имя и никак не ограничивает доступ к нему, а для protected не делает и этого, это просто соглашение об именовании методов, для тех кто не очень в курсе, есть дополнительные материалы тут и тут.

12 апреля мы провели эксперимент по раздаче интернета с помощью стратосферных зондов. За ходом эксперимента наблюдало тысяча Хабражителей, многие из вас приняли участие в конкурсе, чтобы угадать куда приземлится наш сервер.



Ближе всех оказался Влад vvzvlad, 20 июля он отправится на Байконур, чтобы увидеть запуск пилотируемого корабля «Союз».



Призом за 3 место стало участие в групповой экскурсии в Центр подготовки космонавтов в Звездном городке. В прошлую пятницу мы смогли туда попасть, теперь делимся полученными знаниями о подготовке космонавтов, как попасть в отряд, и можно ли вообще стать космонавтом в наше время.






Немного информации о Звездном городке. Это закрытый город (примерно 6000 жителей), здесь находится единственный в России Центр подготовки космонавтов. Предполетную подготовку для полета на МКС все космонавты, включая иностранных, проходят тут. Многие космонавты в Звездном городке не только работают, но и живут.



Центр был создан в 1960 году для подготовки человека к космическому полету, тогда еще городок назывался Зеленым, находится он рядом с городом Щёлково в 25 км от Москвы.

Более 80% компаний подверглись социоинженерным атакам в 2018 году. Отсутствие отработанной методики обучения персонала и регулярной проверки его готовности к социотехническим воздействиям приводят к тому, что сотрудники все чаще становятся жертвами манипуляций злоумышленников.



Cпециалисты направление Аудита и Консалтинга Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Противодействие социоинженерным атакам: как распознать уловки хакеров и защититься от них?».



Вебинар начнется 27-го июня 2019 года в 11:00 (МСК), проведет его Андрей Брызгин, руководитель направления Аудита и Консалтинга.

Что интересного будет на вебинаре?

На вебинаре вы узнаете:

• Основные направления социоинженерных атак: оценка подготовленности сотрудников и средств защиты;


• Как распознать признаки социальной инженерии и защититься от нее;


• Реальные кейсы Group-IB по имитации социоинженерных атак на персонал.

Иногда сядешь за рабочий стол, посмотришь на навороченный ноутбук и думаешь: эх, мне бы его, да 20 лет назад, чтобы за три ночи — и все уровни! И действительно, никак не получается вернуться в прошлое, в котором остались любимые игры и герои, простая графика, увлекательный сюжет. Но, как известно, настоящее искусство не умирает и мы имеем не просто эмуляторы, а самые настоящие релизы тех самых игр, которые прошли вместе с нами сквозь юность и молодость. И, чёрт возьми, как же приятна эта ностальгия, как знакомы герои, как близки места и события. Никогда ещё прошлое не было таким близким — на мгновение мы ощутили: машина времени существует. Поехали?





Найди их всех! Кликнуть для увеличения

Прим. перев.: В сообществе Kubernetes явную популярность набирает тренд под названием GitOps, в чём мы лично убедились, посетив KubeCon Europe 2019. Этот термин был относительно недавно придуман главой компании Weaveworks — Alexis Richardson — и означает применение привычных для разработчиков инструментов (в первую очередь — Git, откуда и само название) для решения задач эксплуатации. В частности, речь об эксплуатации Kubernetes через хранение его конфигураций в Git и автоматического выката изменений в кластер. О двух подходах к этому выкату и рассказывает Matthias Jg в данной статье.






В прошлом году (на самом деле, формально это произошло в августе 2017 г. — прим. перев.) появился новый подход к развёртыванию приложений в Kubernetes. Он называется GitOps, а в его основе лежит базовое представление о том, что отслеживание версий deployment'ов ведется в безопасной среде Git-репозитория.

Сигнал, по которому самолёты находят посадочную полосу, можно подделать при помощи рации за $600

Самолёт в демонстрации атаки на радио из-за поддельных сигналов КГС садится правее посадочной полосы



Практически любое воздушное судно, поднимавшееся в воздух в последние 50 лет – будь то одномоторный самолёт «Сессна» или авиалайнер-гигант на 600 посадочных мест – пользовалось помощью радиостанций для безопасного приземления в аэропортах. Эти курсо-глиссадные системы, КГС (англ. ILS, instrument landing system), считаются системами точного сближения, поскольку, в отличие от GPS и других навигационных систем, они обеспечивают жизненно важную информацию в реальном времени по поводу горизонтальной ориентации самолёта по отношению к посадочной полосе и вертикального угла снижения. Во многих условиях – особенно во время приземлений в тумане или под дождём ночью – эта радионавигация остаётся главным способом гарантировать, что самолёт коснётся земли в начале полосы и ровно посередине.