#вакансия #job #vacancy #remote #parttime #преподаватель #infosec #cybersec #cryptosec #infosecurity

Всем привет! 👋🏻 Время делиться знаниями! 🔥

Компания: OTUS – образовательная платформа. За 6 лет работы мы создали более 130 авторских курсов для IT-специалистов разного уровня от Junior до Senior. У нас есть вступительное тестирование для студентов и 650+ преподавателей-практиков из крупнейших компаний. Мы учимся друг у друга, советуемся, помогаем, делимся опытом и обсуждаем новости как в преподавании, так и в IT.

Вакансия: преподаватель онлайн-курса «Криптографическая защита информации» с опытом работы в предметной области от 3-х лет.

👨‍🏫 Опыт преподавания также будет плюсом, но это совсем не обязательно. Мы с удовольствием поможем Вам освоить Best Practices преподавания: для этого у нас есть вводный курс по преподаванию и пробные уроки с методистом.

Преподаватель раскрывает тему с помощью теории и примеров из практики.
Можно выбрать удобную нагрузку и темы занятий.

Условия:
✅ удаленное сотрудничество, занятость part-time.
✅стандартное занятие длится 1,5 часа с 20:00 до 21:30 по МСК.
✅ уроки проводятся в онлайн формате в Zoom.
✅ на занятиях используется презентация с теорией и практические примеры, чтобы раскрыть тему урока.
✅ наши методисты помогают освоить лучшие инструменты и практики преподавания.

Еще Вы сможете:
✅ внести свой вклад в развитие IT
✅ структурировать свой опыт и знания.
✅ развивать личный бренд.
✅ прокачать софт-скиллы.
✅ получать от 3000 руб. за один вебинар (полтора часа) + отдельно оплачивается проверка ДЗ и разработка материалов к занятиям.

Бонусы 🎁
✅ наши курсы со скидкой/бесплатно.
✅ возможность приглашать в свою команду на работу лучших выпускников.
✅ воркшопы и конференции для наших преподавателей.

Подробнее в telegram: @ElenaAlias

Web Check — универсальный инструмент OSINT для анализа любого веб-сайта. Раскройте потенциальные векторы атак, проанализируйте архитектуру сервера, просмотрите конфигурации безопасности и узнайте, какие технологии использует сайт. https://web-check.as93.net/

Простой инструмент командной строки, с помощью которого вы можете пропустить проверку SMS на основе номера телефона, используя временный номер телефона, который действует как прокси.

https://github.com/Narasimha1997/fake-sms

[Перевод] Концепции атаки на конфиденциальность через устройства Apple.

В этой статье мы исследуем потенциальные уязвимости конфиденциальности в устройствах Apple. В первой части мы расскажем о методике определения региона Apple ID без разрешений при помощи Smart App Banners, а во второй объясним, как можно реализовать утечку реального имени пользователя macOS через браузер без разрешений.

Читать дальше →https://habr.com/ru/companies/ruvds/articles/750016/

🔹Инструмент перечисления коротких имен файлов IIS

Shortscan предназначен для быстрого определения того, какие файлы с короткими именами существуют на веб-сервере IIS. Как только короткое имя файла будет определено, инструмент попытается автоматически определить полное имя файла. https://github.com/bitquark/shortscan

🔹Расширение Burp Suite — запускайте действия и изменяйте форму HTTP-запроса/ответа и трафика WebSocket с помощью настраиваемых правил. https://github.com/synfron/ReshaperForBurp

🔹Расширение Burp Suite, которое предлагает набор инструментов для тестирования конечных точек GraphQL. https://github.com/forcesunseen/graphquail

🔹Сборник инструментов/сервисов для каждого компонента конвейера обнаружения и реагирования, а также примеры из реальной практики.

Цель - создать справочный центр для разработки эффективных конвейеров обнаружения и реагирования на угрозы.
https://github.com/0x4D31/detection-and-response-pipeline

Этот репозиторий представляет собой набор методов атак, специфичных для SaaS. Он предназначен для исследователей безопасности, красно-синих команд и пентестеров, где они могут узнать о методах атак SaaS и поделиться ими. https://github.com/pushsecurity/saas-attacks

Удивительные справочники по кибербезопасности 30 кратких справочников по различным темам кибербезопасности: https://github.com/0xsyr0/Awesome-Cybersecurity-Handbooks/

Нерасшифрованное сообщение «Энигмы».

Как известно, одной из главных уязвимостей шифровальной машины «Энигма» было то, что она никогда не кодировала буквы исходного сообщения в те же самые буквы шифротекста. Именно эта слабость стала ключом для взлома алгоритма и реконструкции хитроумного механизма.

Несмотря на это, до сих пор осталось одно нерасшифрованное сообщение. Оно датируется 1 мая 1945 года (на фото).

Читать дальше → https://habr.com/ru/companies/globalsign/articles/751158/

Этот репозиторий содержит 90-дневный план изучения кибербезопасности, а также ресурсы и материалы для изучения различных концепций и технологий кибербезопасности. План состоит из ежедневных задач, охватывающих такие темы, как Network+, Security+, Linux, Python, анализ трафика, Git, ELK, AWS, Azure и взлом.

https://github.com/farhanashrafdev/90DaysOfCyberSecurity

fsociety Hacking Tools Pack — платформа для тестирования на проникновение

https://github.com/Manisso/fsociety

Тщательно подобранный список материалов и ресурсов по безопасности Android для пентестеров и охотников за ошибками https://github.com/saeidshirazi/awesome-android-security

fsociety Hacking Tools Pack — платформа для тестирования на проникновение
https://github.com/Manisso/fsociety

OpenSSH против SSH.

Формально протокол SSH определён в ряде стандартов RFC (список ниже). В то же время есть много реализаций этого протокола. OpenSSH — самая популярная из них, хотя не единственная. Например, вот альтернативная реализация SSH на Go (и несколько примеров кастомных серверов на её основе). По статистике Shodan, вторым по популярности демоном SSH является Dropbear SSH (рис. 1). Все остальные далеко позади, если судить по количеству адресов на порту 22.

На практике спецификации OpenSSH содержат в себе все стандарты RFC для SSH, включая черновики, а также немножко сверх этого. Читать дальше →https://habr.com/ru/companies/ruvds/articles/751756/

Когда вам достаточно базового файрвола.

Безопасность проекта может обрушиться, как в дженге, от одного халатно не закрытого порта. Тысячи ботов обшаривают интернет в поисках таких лазеек, чтобы угнать доступы. Для фильтрации трафика между зонами сети провайдеры внедряют межсетевые экраны (МЭ). Они помогают разграничивать права доступа, защищают от кибератак и сканирования. В пару к этому решению выпустили бесплатный базовый файрвол для всех пользователей.

Рассказываем, как это работает и в чем разница с нашим межсетевым экраном.

Читать дальше →https://habr.com/ru/companies/selectel/articles/752312/

Хотите стать этичным хакером? 🥷Вот список моих любимых [в основном практических] ресурсов. 📚

Все они бесплатны (или имеют бесплатную опцию)

https://github.com/Crypto-Cat/CTF#readme

Это называется ТРИАНГУЛЯЦИЯ. Именно так русские хакеры в (Лаборатории Касперского) смогли узнать, что за ними следят; они использовали wirehark и MVT. Я призываю каждого специалиста по кибербезопасности и энтузиаста научиться использовать эти два инструмента: они помогают в мобильной криминалистике.

Инструмент с открытым исходным кодом для обеспечения соблюдения передовых методов обеспечения конфиденциальности и безопасности в Windows и macOS https://github.com/undergroundwires/privacy.sexy

Отечественные платформы виртуализации и их безопасность.

Виртуализация стала главным трендом информационных технологий. Сейчас уже сложно найти сервер, который используется в промышленной эксплуатации без виртуализации, и даже малые предприятия осознали выгоду подобных решений для бизнеса. В этой статье мы рассмотрим, какие решения виртуализации сегодня существуют на отечественном рынке, расскажем, на что стоит обращать внимание при выборе оптимальной платформы и какие требования предъявляются к безопасности таких систем. 

Читать далее https://habr.com/ru/companies/lanit/articles/752494

Если вы думали, что стать жертвой программы-вымогателя или хакера, захватившего вашу рабочую станцию, было кошмаром, подумайте о потенциальной катастрофе, связанной с захватом вашего кластера Kubernetes (k8s). Это может быть катастрофа, увеличенная в миллион раз.

В последние годы Kubernetes приобрел огромную популярность среди предприятий благодаря своему бесспорному мастерству в организации и управлении контейнерными приложениями. Он объединяет ваш исходный код, облачные учетные записи и секреты в единый центр. Однако в чужих руках доступ к кластеру k8s компании может быть не только вредным, но и потенциально катастрофическим.

В ходе нашего расследования мы обнаружили кластеры Kubernetes, принадлежащие более чем 350 организациям, проектам с открытым исходным кодом и частным лицам, которые находятся в открытом доступе и в значительной степени незащищены.

https://blog.aquasec.com/kubernetes-exposed-one-yaml-away-from-disaster

Как мы учились обходить блокировки VPN в Китае, чтобы быть готовыми к РКН

В понедельник 7 августа пользователи VPN-сервисов из России заметили проблемы с подключением к серверам. По собранной в соцсетях и Телеграме информации, ограничения затронули наиболее распространенные VPN-протоколы OpenVPN, L2TP, PPTP и WireGuard. На сбои в работе VPN-сервисов жаловались клиенты мобильных операторов — Мегафон, МТС, Билайн, Tele2, Yota, Тинькофф Мобайл.

В этот же день на Xeovo обвалилось огромное количество тикетов, но к вечеру, когда инеформация о новой волне блокировок VPN ещё продолжала расходиться по рунету, и СМИ ещё собирали статистику, которую мы здесь приводим, мы уже закрыли большую часть из них и соединение наших клиентов было восстановлено. Как нам это удалось? Дело в том, что весь последний год мы посвятили борьбе с Великим Китайским файерволлом, а именно — с блокировками VPN в Китае. https://habr.com/ru/companies/xeovo/articles/753834/