Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.

В Читать далее →

В этой статье я покажу, как получить права суперпользователя на виртуальной машине Mischief с CTF-площадки Hack The Box. Этот забег даст нам навыки работы с протоколом SNMP, поможет понять принцип IPv6-маршрутизации и разобраться с механизмом распределения прав доступа ACL, а под занавес Читать далее →

Apple Watch — одна из самых популярных в мире марок умных часов. Последняя их версия оснащена полным набором датчиков и процессором, мощность которого превосходит бюджетные (и даже не очень бюджетные) модели смартфонов. При помощи часов Apple собирает огромные массивы данных. Читать далее →

У моего сына как-то спросили в школе: «Кем работает твоя мама?» Он сказал — медсестрой. А когда спросили про папу, он ответил: «Мой папа крадет вещи, но это нормально, потому что ему за это платят!» Как видите, работать в красной команде — это не самая обыкновенная карьера. Я Читать далее →

17 и 18 июня Москва принимала уже вторую международную конференцию по кибербезопасности Offzone. За время конференции одни набили руку в написании бинарных эксплоитов, другие набили на руке хакерское тату. Кто-то прокачался в пайке, а кто-то — в плойке. Шесть треков докладов, Читать далее →

В мае-июне 2019 года произошли утечки секретных данных, проливающие свет на недавние кибератаки неизвестных групп. Сопоставив их с отчетами аналитиков из CyberSky, FireEye, Cisco Talos и Symantec, можно выделить три хакерские группы, явно действующие в интересах правительства Ирана. Они Читать далее →

В этой статье я покажу, как пройти путь с нуля до полноценного администратора контроллера домена Active Directory, а поможет нам одна из виртуалок, доступных для взлома на CTF-площадке HackTheBox. Пусть это и не самая сложная машина, но овладеть навыками работы с AD крайне важно, если ты Читать далее →

Содержание статьи

• К истории вопроса
• Под капотом
• Угнать за шестьдесят секунд
• Большие игрушки
• Выводы

Одновременно с развитием интернета вещей эволюционируют и методы взлома умных девайсов. Уже сейчас существует целый зоопарк троянов для IoT, но одними только Читать далее →

В этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на незапатченном Drupal. Мы Читать далее →

Конфликт между Роскомнадзором и Telegram в прошлом году — далеко не первая попытка правительства получить доступ к шифрованным цифровым коммуникациям. О самом жарком и показательном примере противостояния властей и поборников приватности у нас мало кто знает, поскольку Читать далее →