Форум информационной безопасности - Codeby.net

Заранее скажу, что систематизация и сбор всех данных, которые разбросаны то в английском сегменте интернета, то в русском, то в китайско-японском, была очень сложным заданием, возможно, моя версия будет слегка отличаться...

Еще пару-тройку лет назад стеганография вызвала довольно большой интерес у интернет-аудитории. И инструкций о том, как скрыть сообщения и даже файлы в картинке, а то и в аудиозаписи, было довольно много. Но, постепенно интерес поубавился. И, хотя это все еще довольно популярная тема, но, она была вытеснена другими новостями и событиями. Я же решил сделать для себя небольшой «комбайн», который скрывает простой текст в изображении с помощь Python. И то, что у меня получилось, будет описано ниже.


Для начала я определил, что это должно быть приложение с пользовательским интерфейсом, а значит, его нужно на чем-то делать. Либо это будет Tkinter, либо PyQt. Выбор пал на последний, так как Qt Designer очень похож на визуальный редактор, который использовался в Delphi. Да и в целом легче накидать элементов на форму, а потом уже описывать логику их работы. Ну, или так для...

Всем доброго времени суток. Давайте поговорим сегодня о простой, но далеко не самой очевидной вещи, которая не лежит не виду, а когда с ней сталкиваешься, приходиться некоторое время гуглить информацию. О всплывающих сообщениях. Ведь порою в скриптах нужно отображать информацию не только в консоли. А если приложение имеет еще и пользовательский интерфейс, то сообщения, конечно же, лучше выводить без ее использования.


Что потребуется?

Тут все зависит от операционной системы и способа, которым вы выберете выводить сообщение. Если операционная система Linux, то здесь может не потребоваться ничего, так как будет использоваться функция операционной системы. А можно установить специальную библиотеку notify2. Установка происходит через терминал с помощью команды pip:

pip install notify2

А дальше импортируем в скрипт.

import notify2

Всплывающие сообщения в Linux

Давайте...

Приветствую, Codeby!

В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.

Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.



Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.

Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен...

Курс «Введение в Реверс инжиниринг» научит вас изучать готовые исполняемые файлы без наличия исходного кода на компилируемых языках, используя интерактивный дизассемблер IDA. Упрощённо это называется реверс-инжиниринг. Самые главные темы в курсе - это реверс-инжиниринг программ, написанных на языке ассемблера и Си. Программы на интерпретируемых языках рассмотрены не будут.

Вы узнаете, как выглядит ассемблерный код готовых программ, научитесь различать многие конструкции языка Си. Также вы получите навык работы с интерактивным дизассемблером IDA, который является стандартом во многих компаниях, через практику на готовых приложениях! Кроме IDA вы будете знать про другие инструменты, которые помогут вам при анализе приложений.

Внимание! для прохождения курса очень желательно знать основы программирования до...

Дата: 16 июня
Место: Москва
Сайт:

Ссылка скрыта от гостей

16 июня в Москве состоится конференция Security Summit - 2022. Это мероприятие, на котором руководители отделов информационной безопасности крупных и средних российских компаний и поставщики ИБ-решений и услуг поделятся опытом и мнением по текущим задачам по защите корпоративной информации и безопасного доступа к ресурсам.

Ключевые темы Security Summit:

• Как построить эффективную стратегию информационной безопасности в 2022 году.
• Роль департамента информационной безопасности в поддержке кризисных ситуаций.
• Управление доступом.
• Защита от внешних угроз: кибератаки, фишинг, вирусы, сетевые угрозы.
• Мониторинг внутренних угроз и обеспечение безопасности.
• Регламенты информационной безопасности и защита персональных данных.
• Защита...

Привет Codeby !



Интро

Надумал сделать удобную программу для шифрования файлов без паролей, с использованием ключа, чтобы он хранился на носителе, таким образом чтобы шифровать/дешифровать файлы/директории было удобно и просто, запустил экзешник, засунул флешку, и готово. Алгоритм симметричного шифрования работает достаточно быстро, да и к слову совсем изголяться и от кого то прятаться не является целью данной статьи. Но у меня есть доки и файлы, в которых я могу писать пароли к некоторым сервисам и тд. т.к. всего не упомнишь и хотелось бы чтобы эти данные были скрыты от чужих глаз, если что. Фотки видосы скрипты - все что угодно. Мне понравилась функциональность данного скрипта и я использую его в своих целях, именно поэтому решил написать тут, кто то может использовать его или допилить и сделать более...

Доброго времени суток, уважаемые форумчане! За прошедшую неделю произошло много всего интересного. Сегодня начнём с блокировок и ограничений. Чтож, перейдём к новостям!




Netflix подтвердил отключение онлайн-кинотеатра на территории Российской Федерации.


Luxoft прекращает свою деятельность на территории России.
Luxoft прекращает деятельность в России

Платформа для графических дизайнеров Canva закрыла доступ пользователям из России.


Мобильное приложение для заказа такси и доставки Gett перестало быть доступно для пользователей и водителей...

Доброго времени суток.
SDLC
Продолжение статьи про DevSecOps.
Код проекта специально представлен в виде скриншотов, так как код не имеет значения в этой статье.
Кроме того, в этой статье будет рассмотрен только этап создания Pipeline, а IaC будет рассмотрен дальше.

Любой бизнес построен на одной цели - удовлетворение конечного пользователя. Если посмотреть на флоу из предыдущей главы, то можно заметить, что он занимает довольно много времени. И это особенно заметно, когда наступает время апдейтов и/или хотфиксов.
Рассмотрим ситуацию с хотфиксом:

1. Программист целый день пытался понять как же ему поправить баг, чтобы при этом еще и ничего не сломать. Но решение пришло только поздним вечером. Вот он все поправил, залил на офис, но дальше дело не двигается, т.к. инженер по развертыванию по ночам не работает.
2. Наступает утро инженер развертывает фикс на тестовом стенде, но тестировщик занят проверкой другого...

Доброго времени суток.
Решил написать статью про внедрение одной из самых современных практик продуктовой ИБ - DevSecOps.
Так как информации очень много, материал будет представлен в виде нескольких статей. Надеюсь информация будет полезна людям, которые выстраивают безопасную разработку у себя в компании.

О чем будет в статьях?

Начнем с определений и общей информации, что есть SDLC ( Software Development LifeCycle ) - Цикл Разработки Программного Обеспечения. Состоит он из 6-и пунктов:

1. Планирование
2. Анализ требований
3. Проектирование и дизайн
4. Разработка ПО
5. Тестирование
6. Поддержка и сопровождение

DevOps - методология и техники по автоматизации этапов SDLC и ускорению доставки готового продукта пользователю.
SSDLC ( Secure Software Development LyfeCycle) - цикл разработки ПО с поправкой на безопасность на каждом этапе разработки ПО
DevSecOps - методология и техники по автоматизации этапов SSDLC и ускорению доставки готового продукта пользователю...