Кибербезопасность

Здравия всем, дамы и господа, раз тема протоколов вам так понравилась – продолжаем. Это будет настоящий спринт – 6 протоколов за 3 дня. В предыдущей статье мы рассматривали pptp только потому, что у меня, что называется “наболело”. Теперь же предлагаю за три дня рассмотреть 6 самых популярных протоколов, которые использовать не стоит.

Сегодня говорим о bgp.




Это такое чудо! Он такой классный! Он такой уникальный! Примерно это я частенько вижу в обзорах других людей, но так ли всё хорошо? Да, он действительно уникален, ведь это EGP (External Gateway Protocol) – протокол, позволяющий общаться между автономными сегментами сети, причём он единственный представитель этого вида. То есть твоя родная 192.168.1.0 связывается с одной из подсетей в датацентре cloudflare в Торронто, в которой находится адрес codeby.net. И представь, всё это происходит через BGP, он сообщает о доступности того или иного сегмента, он сообщает о наиболее оптимальном маршруте и ещё многие многие хорошие вещи делает именно он. Кажется, что это безопасно и всё в порядке? Да, но это не совсем правда)...

Здравствуйте!

Меня зовут Дмитрий Фёдоров, я представляю ООО "Академия Кодебай". Мы создаём курсы с уклоном в информационную безопасность. В настоящее время мы расширяем линейку наших курсов, чтобы охватить также и смежные тематики близкие к сфере ИБ. Предлагаем лицам имеющим опыт, создать курс для нашей школы.

Требования к курсу:

* Предпочтение отдаётся курсам длительностью 3-5 месяцев, но возможны и более короткие узкоспециализированные варианты, длительностью 1,5 - 2 месяца.
* В курсе должны быть подробные методички по темам курса.
* В курсе должны быть видеоматериалы к методичкам.
* В курсе должны быть домашние задания

От вас требуется на начальной стадии план курса и его длительность.

Рассчитать длительность курса можно по следующей схеме - два занятия в неделю. Данный подход мы считаем оптимальным, чтобы и загруженные работой люди смогли уделять время учёбе, и те, у кого времени в достатке. ООО "Академия Кодебай" официально выкупает у вас права на созданный курс, с подписанием договора (Передача исключительных прав на произведение) и выплатой...

Приветствую, друзья! Прошу прощения за долгое молчание! Многое нужно было переосмыслить, прежде чем написать новую статью. В один прекрасный серый день, сидя на Хабре, я случайно попал на старенькую статью 2020 года, если судить по репутации - очень авторитетного поста компании T.Hunter.



Ничего с собой поделать не смог: заголовок так и манил прочитать статью. И, по возможности, несколько раз. И что же мы имеем: автор поверхностно прошелся по интерфейсу Windows 10, если для кого то это важно, сборки 1909 c прикрученным списком софта выкорчеванного из привычного нам Kali Linux и других репозиториев, находящихся в git. Вроде бы, более 800 различных программ для тестирования. Совершенно не понятно, как они там работают. За его красивой обложкой может оказаться не только троянский конь или криптомайнер, а что-то более интересное, чем будет управлять кто-то другой, но точно не ты.

Собственно, данную статью можно было бы не писать. Все, что нужно было сказать об этой системе, уже написали до меня в комментариях на...

О, привет, а ты уже здесь, да? Тогда позволь задать тебе один странный вопрос, дорогой читатель, как ты думаешь, я - реален? Естественно, ты читаешь мои тексты, в скором времени тебе предстоит услышать мой голос, скорее всего ты уже понял сколько мне лет, а каков в этом смысл и что это доказывает?

Истинно это является исключительно показателем, что ты обладаешь сознанием, а это самое сознание толкает тебя на совершение иррациональных поступков: ты способен ощущать любовь, ненависть, есть возможность даже сломать себе палец *хр-у-усь* и ощутить боль… Но вопрос остается открытым, что это доказывает? Ну, по крайней мере ты действительно существуешь, хотя разве это подтверждение того, что реально всё вокруг тебя?

Говоря уже серьёзно, то сейчас я попытаюсь погрузить Вас в мир виртуальной реальности, речь пойдёт от простых, абсурдных и никому непотребных вещей к действительно значимым уязвимостям, а пока Ваше сознание ещё остается относительно невинным в части несанкционированных проникновений, то позвольте же исправить это, исключительно стирая его в прах посредством слов. Статейка...

Бесследная проверка существования email

Давайте ощутим азартные эмоции нетсталкеров/владыки OSINT-a: проверив за 50 секунд существует ли у Codeby почта, например, на Яндексе и Protonmail без отправки писем и лишних следов активности (относительно Codeby).

Для анализа разведданных нам понадобятся два инструмента: Dig в связке с Netcat, которые присутствуют в репозитории Termux.

Код:
$ pkg install dig netcat-openbsd
#Проверка существования emai: codeby@protonmail.com
$ dig protonmail.com MX

<<>> DiG 9.16.11 <<>> protonmail.com MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status...

Нажмите, чтобы раскрыть...

Собираем легендарный инструмент аудит паролей, в основном написанный на Cи — John The Ripper

John The Ripper (далее JTR) — это софт для аудита паролей.

JTR хорош по отношению к любому подобному ПО тем (часть wiki опубликована мной), что он может самостоятельно извлекать хэш любого формата с помощью внутренних скриптов *2john. Например, нужно восстановить пароль от своей забытой keepass БД — для извлечения хэша используем keepass2john и т.д.. В Hashcat, например, на большинстве форматов пользователю необходимо уже иметь готовый хэш на руках, а где его брать, или чем извлекать пользователю киберпанкам из Hashcat не интересно, но в сети встречаются дискуссии: когда таких пользователей Hashcat-овцы отсылают за хэшем к JTR. Кроме того, функционал JTR предназначен в т.ч. и для генерации словарей любой сложности со скоростью Си, а само JTR-ядро made in Russia.

JTR компилируется с оглядкой на...

Программирование на Android

Уметь ловко писать сценарии на bash хороший навык, но ограниченный. В Termux репозитории имеются пакеты языков программирования (ЯП), например, python, php, perl, ruby, а так же scala, elixir, java, go...

«Лошадью ходи, лошадью!»

Однажды по пути в командировку мне на глаза попалась свежая chess-news: во время девятой, зимней, недавно завершившейся, партии за звание ЧМ по шахматам среди мужчин 2021г. наш «декабрист» допустил грубейшую ошибку (на уровне «любителя»), повлиявшую и на окончательный итог турнира не в его пользу. Поискав в сети саму партию в чистом виде для импорта/анализа в шахматном движке на своём Android — столкнулся с проблемой: всякие, разные, шахматные сайты/базы требовали регистрацию/авторизацию что бы поработать с данными. Например, на одном таком, русскоязычном, шахматном сайте партия отображалась, но без аккаунта — скачать её было «невозможно». Расшарив ссылку на 9-партию, её все еще «невозможно» было скопипастить подручными средствами для анализа, самому же «играть в шахматы, угодя в цейтнот», против сайтов по их правилам я не спешил. Расставив...

Эта и другие ниже по тексту gif были созданы в Termux

Статья посвящается любителям CLI в знак солидарности лучшего терминала на OS Android, который испытывает «кошмарную» монополию Google.



Эта диаграмма создана в Termux

Termux — это Android приложение под свободной GPL3+ лицензией: эмулятор терминала для среды GNU/Linux, которое работает напрямую без необходимости рутирования. Минимальный базовый функционал устанавливается автоматически, расширенные возможности подтягиваются с помощью менеджера пакетов и установкой стороннего ПО с git, а продвинутая деятельность на телефоне достигается за счёт рут-прав пользователя и установкой proot дистрибутивов GNU/Linux.

Сам Termux весит ~100 Мб (расширяется на Гб) работает на OS Android v7-11.

Termux-среда — киберпанковские разработки и некоторые пакеты содержат кучу ошибок, исправлением которых при случае занимается сам пользователь или сообщество, что является (по шкале красноглазия) нормой в open source среде (стандартные пакеты так же как и приложение распространяются под свободными...