В этом выпуске мы рекламируем конференции Pentestit Security Conference и Vulners и придумываем, как назвать русскую сборку linux для хакеров в противовес Kali.
В этом выпуске мы рекламируем конференции Pentestit Security Conference и Vulners и придумываем, как назвать русскую сборку linux для хакеров в противовес Kali. Никита расстраивается по поводу «Менеджерские доклады слишком интересные, поэтому их на конференции не будет» (с)
Кому интересно почуствовать свежую конференционную струю и отвлечься от ожидания привычных PHD и ZN - welcome!
http://www.kommersant.ru/doc/3254225 - промокод securitylab
https://habrahabr.ru/company/pentestit/blog/324886/ - Pentestit
Так-же Никита поливает гуано на блог-пост и “книжку” от CoreSecurity с рекомендациями по управлению уязвимостями. Совет - не читайте их, лучше пропустите и почитайте что-то иное.
Обсуждаем, как Google выполняет роль интернет-полицейского, и каким образом он планирует снизить доверие к сертификатам от Symantec (hint: Extended Validation сертификаты станут обычными, а приблизительно с начала 2018 сертификаты с длинным сроком действия будут красными)
С опасением рассматриваем практический туториал (и тулкит Evilginx) по фишингу гугловых аккаунтов с учетом двух-факторной аутентификации.
Демонстрируем незнание технических деталей в попытках обсудить уязвимость DoubleAgent - все как-то страшно и непонятно, с использованием этой уязвимости можно реализовать почти идеальный руткит. Может нам кто-то на пальцах рассказать, в чем проблема?
Вторая бесполезная вещь (кроме Core Impact) - это “6 самых важных Ted Talks для информационного безопасника” - таких бесполезных видео я уже давно не видел….
Кратко обсуждаем довольно большое событие Pwn2Own 2017 от ZeroDayInitiative в рамках которого 2 китайские команды смогли поломать браузер MS Edge, Office, Win10 и гипервизор VmWare.
Таймлайн:
1:03 Анонс Pentestit Security Conference - 15 июля Орел, 4500-7500 рублей
13:17 Анонс мероприятие от Vulners - 21 апреля Москва, 11800
18:18 Запись в блоге Core Security
26:48 Война Google с Symantec
36:40 Evilginx
43:15 6 минут позора или “сказ про Double Agent”
49:41 Проходим мимо статьи с LinkedIn
50:49 Pwn2Own 2017 и вопросы о безопасности гипервизоров
Конференция PenTestit Security Conference - 15 июля (Орел, 4500-7500 рублей)
https://habrahabr.ru/company/pentestit/blog/324886/
Анонс мероприятие от Коммерсант
http://www.kommersant.ru/doc/3254225 - промокод securitylab
Управление уязвимостями от CoreImpact
https://www.coresecurity.com/blog/4-steps-building-vulnerability-management-program
https://www.dropbox.com/s/481613nb5f10xn3/Threat_Vulnerability_Management_Best_Practices.pdf?dl=0
Google снижает доверие к сертификатам Symantec
http://www.infoworld.com/article/3184482/security/google-to-symantec-we-dont-trust-you-anymore.html
Advanced Phishing with Two-factor Authentication Bypass - Evilginx
https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/
Уязвимость DoubleAgent
http://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/
http://cybellum.com/doubleagent-taking-full-control-antivirus/
6 самых важных Ted Talks для информационного безопасности
https://www.linkedin.com/pulse/6-ted-talks-every-cybersecurity-professional-must-watch-max-dalziel
Результаты Pwn2Own 2017
На перекрестке науки и фантазии — наш канал