InfoSec Community

📰 Как мессенджеры шифруют сообщения на самом деле Что на самом деле происходит, когда мессенджер пишет: «сообщения защищены сквозным шифрованием»? В этой статье — пошаговый разбор того, как устроен настоящий end-to-end обмен на примере Web Crypto API. Автор показывает, как реализовать передачу сообщений на стороне клиента — с использованием ECDH, AES-GCM и встроенных средств браузера, без сторонних библиотек. Что внутри:

▶️ Как устроен обмен ключами через эллиптические кривые (ECDH)? ▶️ Как работает шифрование сообщений с помощью AES-GCM? ▶️ Как Web Crypto API позволяет реализовать это прямо в браузере? ▶️ Как устроен реальный end-to-end, без серверной логики? ▶️ Какие проблемы безопасности нужно учитывать в клиентской реализации?

Хороший разбор для тех, кто хочет в деталях разобраться, как устроена передача зашифрованных сообщений на уровне протокола. ➡ Читать статью tags: #статья 💀 InfoSec Community | Чат

📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена» Хотите автоматизировать деплой, управлять инфраструктурой как кодом и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера. • CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, стратегии развёртывания (Blue-Green, Canary), rollback • Контейнеризация: Docker (образы, Compose, networking), Podman, оптимизация и безопасность контейнеров • Kubernetes: архитектура, Pods, Services, Deployments, Helm, RBAC, Service Mesh (Istio/Linkerd) • Infrastructure as Code: Terraform, Ansible (playbooks, vault), Packer, ArgoCD и Flux для GitOps • Облака: AWS (EC2, EKS, Lambda), GCP, Azure, Yandex Cloud, cost optimization• Мониторинг: Prometheus, Grafana, ELK Stack, Jaeger, OpenTelemetry, SLI/SLO/SLA • Безопасность: SAST/DAST, Vault, Zero Trust, Policy as Code, incident response • Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering, on-call management 🎓 Сертификат — добавьте в резюме или LinkedIn 🚀 Скидка 25%, действует 48 часов 👉 Пройти курс на Stepik

🔖 Какие профессии есть в сфере информационной безопасности Информационная безопасность — это не только про взлом и защиту, но и про десятки реальных профессий с разной специализацией. В видео автор подробно разбирает направления внутри «красной» и «синей» команды, а также объясняет, с чего начать карьеру в ИБ. Что вы узнаете в видео:

▶️ Чем отличаются пентестеры, аналитики, архитекторы и админы безопасности; ▶️ Как устроена работа в «красной» команде (взлом систем); ▶️ Какие задачи решает «синяя» команда (обеспечение защиты); ▶️ Что такое бумажная безопасность и кому она подходит; ▶️ Почему в сфере ИБ дефицит кадров и как это использовать новичкам.

Хорошее видео для тех, кто только начинает путь в ИБ или хочет определиться с направлением. 📱 Смотреть на YouTube tags: #полезное 💀 InfoSec Community | Чат

📰 Брутфорс телефонного номера любого пользователя Google Уязвимость в форме восстановления имени пользователя Google позволяет проверить, связан ли номер телефона с аккаунтом — без авторизации и даже без включённого JavaScript. В статье показано, как с помощью обхода BotGuard и утечек отображаемых имён через Looker Studio можно восстанавливать полные номера пользователей Google. Что внутри:

▶️ Как работает форма usernamerecovery и какие два запроса в ней используются ▶️ Почему отключение JavaScript открывает возможность массовой проверки ▶️ Как использовать BotGuard-токен для обхода ограничений ▶️ Как IPv6 помогает обойти лимиты и капчи ▶️ Как через Looker Studio получить отображаемое имя жертвы ▶️ Как по маске номера определить страну и сузить диапазон ▶️ Как собрать рабочую цепочку атаки с валидными номерами

Этот метод иллюстрирует, как комбинация «незначительных» уязвимостей может в итоге стать мощным инструментом деанонимизации. ➡ Читать статью tags: #статья 💀 InfoSec Community | Чат

🗂 Awesome Security: справочник по всем ключевым темам инфобеза Awesome Security — это масштабная коллекция ресурсов по информационной безопасности. В ней собраны десятки топовых инструментов, статей, учебников и фреймворков для работы в разных направлениях: от пентестов до безопасности инфраструктуры и приложений. Что внутри и зачем это нужно:

▶️ Быстрый доступ к топовым тулзам по реверсу, анализу трафика, криптографии и защите сетей ▶️ Подборки по DevSecOps, mobile/web security, SIEM и IDS-системам ▶️ Списки образовательных курсов, книг и публикаций для постоянной прокачки навыков ▶️ Ресурсы для внедрения безопасной разработки, управления уязвимостями и анализа инцидентов ▶️ Универсальный список ссылок, который удобно использовать как базу в работе или обучении команды

Идеальный репозиторий, чтобы держать всю инфобез-практику под рукой — без воды, без рекламы, с прямыми ссылками и хорошей структурой. ➡ Ссылка на GitHub tags: #полезное 💀 InfoSec Community | Чат

📰 Они взломали пылесос, принтер и даже зубную щетку: пять реальных кейсов Смарт-устройства давно вышли за рамки телефонов и ноутбуков — теперь в ботнет можно завербовать даже зубную щётку. Атаки на IoT становятся всё изощрённее, а защита у большинства девайсов оставляет желать лучшего. В статье собраны реальные кейсы: от взлома принтеров через открытые порты до использования умных пылесосов для шпионажа. Хорошее напоминание о том, что любое подключённое к сети устройство — потенциальная точка входа. Что вы узнаете из статьи:

▶️ Как с помощью открытого порта распечатать сообщение на тысячах принтеров по всему миру? ▶️ Почему пылесос с камерой — это не про чистоту, а про угрозу приватности? ▶️ Как ботнет из умных зубных щёток стал участником DDoS-атаки? ▶️ Какие уязвимости часто остаются в IoT-устройствах без внимания? ▶️ Что нужно делать, чтобы смарт-техника не работала против вас?

Полезный материал для всех, кто работает с IoT, сопровождает корпоративную сеть или просто не хочет, чтобы его тостер сливал трафик на C2. ➡ Читать статью tags: #статья 💀 InfoSec Community | Чат

🗂 Awesome Bug Bounty: полный набор ресурсов для охоты на уязвимости Awesome Bug Bounty — это одна из самых полных подборок для тех, кто занимается поиском уязвимостей в рамках bug bounty и VDP. Здесь собраны инструменты, платформы, чеклисты и гайды, которые реально ускоряют и упрощают работу. Что внутри:

▶️ Платформы для участия: HackerOne, Bugcrowd, Integrity, Synack и другие ▶️ Инструменты для разведки, сканирования, фаззинга, обхода фильтров и атак на веб-приложения ▶️ Полезные статьи, write-up’ы и стратегии от топовых багхантеров ▶️ Гайды по составлению отчётов и коммуникации с заказчиками ▶️ Юридические аспекты, советы по этике и безопасной работе в bounty-программах

Если ты занимаешься багхантингом или только собираешься вкатиться — это отличный стартовый и референс-ресурс. ➡️ Ссылка на GitHub tags: #полезное 💀 InfoSec Community | Чат

👨‍✈️ Cyber Security вакансии всех грейдов: удалёнка, реклок, щедрый оффер! Только с прямыми контактами в Telegram! Ноль автоотказов — живой диалог и быстрые объективные решения. 👨‍✈️ CyberSec 👩‍💻 Python 👩‍💻 Java 👣 Go 🤖 ML & DS 👩‍💻 DevOps 🔎 QA 👩‍💻 Frontend 👩‍💻 Node.js 🖥 SQL 👩‍💻 UX/UI 🖼️ PHP 👩‍💻 Mobile 📋 Analyst 💼 1C 👩‍💻 C# 👩‍💻 IT HR Подпишись чтобы не упустить свой шанс получить лучший оффер!

📰 Жизнь и смерть Карла Коха: первый хакер на службе КГБ В 80-х киберпространство было диким западом, где одни искали знания, а другие — деньги и власть. Молодые хакеры могли взламывать военные системы, оставаясь в тени, но иногда их находили раньше, чем они сами осознавали, во что ввязались. Карл Кох был одним из тех, кто перешёл черту, взламывая сети и передавая данные КГБ. В статье рассказывается, как он оказался в центре международного скандала и почему его смерть до сих пор остаётся загадкой. ➡ Читать статью tags: #статья 💀 InfoSec Community | Чат

⚡️ Специалисты по кибербезопасности из команды CodeGuard слили в телеграмм тонны инфы 🔥 Всё, что нужно для прогресса — в одном месте: |- - - 📂 Хакинг & infosec — 573ГБ | |- - - 📂 Linux & Bash — 652ГБ | |- - - 📂 Работа ИБ — 356ГБ | |- - - 📂 Python — 428ГБ | |- - - 📂 Общее IT — 1526ГБ 📌 Гайды, шпаргалки, книги, задачи и ресурсы для каждого.