Ждем всех на VolgaCTF!
Я к сожалению, поехать не смогу, но буду с удовольствием слушать доклады в записи!
И вот вам личное приглашение от Саши))
Я к сожалению, поехать не смогу, но буду с удовольствием слушать доклады в записи!
И вот вам личное приглашение от Саши))
Forwarded from VolgaCTF
Сохраняйте, чтобы удобно было использовать.
Возможные изменения в программе будут оперативно опубликованы, следите за обновлениями в канале
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Небезопасность
Александр Вир про вашу (не)безопасность
Ещё один крутой спикер на VolgaCTF 2025!
В своем докладе «Архитектура утечек в операционной системе Android» Александр расскажет, как телефоны могут шпионить за хозяевами даже без симок и подключения к сети, а также, какие каналы утечек существуют, что может получить потенциальный злоумышленник и как нам с этим жить.
В конце доклада вас ждет обзор мер защиты, которые действительно работают и развенчание самых стойких мифов о настройках конфиденциальности.
Александр — специалист по информационной безопасности и партнер наших соревнований, на своих каналах он будет вести прямую трансляцию с площадки, так что, подписывайтесь 👇👇👇
🔵 IT Мемы -> @theaftertimes
🔵Про безопасность Android -> @rutheniumos
🔵НеБезопасность -> @securenot
Ещё один крутой спикер на VolgaCTF 2025!
В своем докладе «Архитектура утечек в операционной системе Android» Александр расскажет, как телефоны могут шпионить за хозяевами даже без симок и подключения к сети, а также, какие каналы утечек существуют, что может получить потенциальный злоумышленник и как нам с этим жить.
В конце доклада вас ждет обзор мер защиты, которые действительно работают и развенчание самых стойких мифов о настройках конфиденциальности.
Александр — специалист по информационной безопасности и партнер наших соревнований, на своих каналах он будет вести прямую трансляцию с площадки, так что, подписывайтесь 👇👇👇
🔵 IT Мемы -> @theaftertimes
🔵Про безопасность Android -> @rutheniumos
🔵НеБезопасность -> @securenot
В iOS-безопасности нет «поставил и забыл»: инструменты и атаки меняются быстрее релизов.
Если сомневаетесь, что на клиенте всё прикрыто, новый сезон конференции Podlodka iOS Crew 22-26 сентября поможет закрыть дыры.
В программе:
• Региональные ограничения и поведение устройства. Как iPhone определяет доступные фичи для страны, что проверять и как воспроизводить это на практике — со Светославом Карасевым (hh ru).
• Обфускация в iOS. Какие подходы реально мешают реверсу, какие инструменты выбрать и как собрать свой пайплайн на SwiftSyntax — с Павлом Каретниковым (Газпромбанк).
• AppSec для iOS. От ландшафта атак до хранения данных и сети — практики, ошибки и советы, как внедрять безопасную разработку в командах разного размера.
• Финальный разбор мини-CTF. Неделю собираем флаги, в пятницу — разбор находок и выводы для прода — с Никитой Красновым (Альфа-Банк).
🔗 Подробности и регистрация
Если сомневаетесь, что на клиенте всё прикрыто, новый сезон конференции Podlodka iOS Crew 22-26 сентября поможет закрыть дыры.
В программе:
• Региональные ограничения и поведение устройства. Как iPhone определяет доступные фичи для страны, что проверять и как воспроизводить это на практике — со Светославом Карасевым (hh ru).
• Обфускация в iOS. Какие подходы реально мешают реверсу, какие инструменты выбрать и как собрать свой пайплайн на SwiftSyntax — с Павлом Каретниковым (Газпромбанк).
• AppSec для iOS. От ландшафта атак до хранения данных и сети — практики, ошибки и советы, как внедрять безопасную разработку в командах разного размера.
• Финальный разбор мини-CTF. Неделю собираем флаги, в пятницу — разбор находок и выводы для прода — с Никитой Красновым (Альфа-Банк).
🔗 Подробности и регистрация
podlodka.io
Онлайн-конференция Podlodka iOS Crew, сезон #17
Недельное мероприятие от команды Podlodka: ежедневные интерактивные сессии в Zoom по актуальным проблемам iOS-разработки, нон-стоп общение с экспертами и звёздами индустрии, закрытое профессиональное сообщество в Telegram.
🔥4❤1
Внезапно для себя, участвую в Podlodka iOS Crew уже на следующей неделе!
Будем продолжать обсуждение разницы между iOS и Android, и что может быть еще хуже?
Если хочется поучаствовать, есть чем порадовать:
1. Промокод на скидку:
mobile_appsec_world16
2. Разыграем до пятницы проходку на конференцию.
Для того, чтобы участвовать в розыгрыше, нужно оставить комментарий и ответить на вопрос, какие приложения более защищены, на Android или на iOS? и оставить тэг #podlodka
Погнали! В пятницу проведу розыгрыш!
Будем продолжать обсуждение разницы между iOS и Android, и что может быть еще хуже?
Если хочется поучаствовать, есть чем порадовать:
1. Промокод на скидку:
mobile_appsec_world16
2. Разыграем до пятницы проходку на конференцию.
Для того, чтобы участвовать в розыгрыше, нужно оставить комментарий и ответить на вопрос, какие приложения более защищены, на Android или на iOS? и оставить тэг #podlodka
Погнали! В пятницу проведу розыгрыш!
🔥7
Forwarded from Yury Shabalin
Конференция SafeITConf на Стачке
Всем привет! Осень какая-то очень богатая на доклады и конференции вышла. Все вернулись с отпусков, с загородных резиденций и сразу в бой)
И следующая конференция пройдет 2-го октября в Санкт-Петербурге и называется она SafeIT
По программе SafeITConf планируются доклады по 30-40 минут (программу можно посмотреть на сайте). По тематикам планируем поговорить про Искусственный Интеллект в кибербезопасности, кибербезопасность и защита информации, современные технологии и инновации в IT-безопасности, шпионаж, ux в безопасности, уязвимости, безопасности ии для IoT, TDir, cybercrAIm.
Ну и по случаю разыграем проходку на это мероприятие!
Для того, чтобы поучаствовать в розыгрыше напишите #safeitconf и перешлите это сообщение друзьям/коллегам) Перед тем как вручить победителю проходку попрошу скрин =)
#saeitconf #conference #security
Всем привет! Осень какая-то очень богатая на доклады и конференции вышла. Все вернулись с отпусков, с загородных резиденций и сразу в бой)
И следующая конференция пройдет 2-го октября в Санкт-Петербурге и называется она SafeIT
По программе SafeITConf планируются доклады по 30-40 минут (программу можно посмотреть на сайте). По тематикам планируем поговорить про Искусственный Интеллект в кибербезопасности, кибербезопасность и защита информации, современные технологии и инновации в IT-безопасности, шпионаж, ux в безопасности, уязвимости, безопасности ии для IoT, TDir, cybercrAIm.
Ну и по случаю разыграем проходку на это мероприятие!
Для того, чтобы поучаствовать в розыгрыше напишите #safeitconf и перешлите это сообщение друзьям/коллегам) Перед тем как вручить победителю проходку попрошу скрин =)
#saeitconf #conference #security
Чуствую, будет очень круто!!
Очень хотелось бы приехать, но не уверен, что получится, но в любом случае я очень постараюсь)
И всех тоже приглашаю посетить сие офигенное мероприятие)
Очень хотелось бы приехать, но не уверен, что получится, но в любом случае я очень постараюсь)
И всех тоже приглашаю посетить сие офигенное мероприятие)
Forwarded from Небезопасность
Помните, как на больших ИБ-конференциях приходили на стенды сообществ - открывали там замки отмычками, общались с настоящими энтузиастами аппаратного хакинга, слушали уникальные доклады "off-grid", которые часто читались даже без микрофона?
Все можно было потрогать и многому научиться на практике...
Мы сохранили дух старой школы, и зовем всех 28 сентября в Москве, на конференцию сообществ UnderConf2!
Что будет:
Люди, прежде всего. Придут многие ОЧЕНЬ ИЗВЕСТНЫЕ🏆 в узких и не очень кругах, будет много ибэшников и айтишников, и минимум "левого народа"
Воркшопы - как всегда, локпикинг, но кроме этого - полноценный стенд hardware-хакинга, где проведут полный анализ настоящего промышленного 🏭 девайса и покажут reverse engineering прямо на ваших глазах, от слива прошивки до полного управления устройством
Кроме того, приходите с💻 ноутбуком - и сможете поучаствовать в соревнованиях формата Pentest Lab, и не просто так, а выиграть неплохие призы
Будут викторины на знание ИБ с роботом🤖 Бендером, мастер-классы по использованию ML в работе безопасника, и даже выездной сетап винтажных компов от Лунохода в формате игрового клуба 90-х (да, будем резаться в Кваку)! И даже настолка по ИБ у нас планируется
БОНУС: На стенде @theaftertimes (да, будет стенд!) можно будет потрогать древнее📲 телефонное, очень редкие модели на старинных операционках. Также автор @rutheniumos откроет посетителям тайну, почему выжили только Android и iOS
Но самое главное - это 🎤 доклады. Мы сумели собрать трек докладчиков, каждый из которых знает в своем деле очень многое. И расскажет вам.
😶🌫️ Гвоздь программы - кальянная зона для всех желающих (строго 18+)
Приходите к нам, будет весело и 100% познавательно!
Когда и где?🗺
Купить билет 🎫
Видео с прошлого UnderConf'а 🎞
📅 28 сентября с 8:30 до 20:00
📍 Quattro Space, Мясницкая, 13, стр. 20
Все можно было потрогать и многому научиться на практике...
Мы сохранили дух старой школы, и зовем всех 28 сентября в Москве, на конференцию сообществ UnderConf2!
Что будет:
Люди, прежде всего. Придут многие ОЧЕНЬ ИЗВЕСТНЫЕ
Воркшопы - как всегда, локпикинг, но кроме этого - полноценный стенд hardware-хакинга, где проведут полный анализ настоящего промышленного 🏭 девайса и покажут reverse engineering прямо на ваших глазах, от слива прошивки до полного управления устройством
Кроме того, приходите с
Будут викторины на знание ИБ с роботом
БОНУС: На стенде @theaftertimes (да, будет стенд!) можно будет потрогать древнее
Но самое главное - это 🎤 доклады. Мы сумели собрать трек докладчиков, каждый из которых знает в своем деле очень многое. И расскажет вам.
Приходите к нам, будет весело и 100% познавательно!
Когда и где?
Купить билет 🎫
Видео с прошлого UnderConf'а 🎞
📅 28 сентября с 8:30 до 20:00
📍 Quattro Space, Мясницкая, 13, стр. 20
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6🌭1
Стоило мне рассказать про то какой нехороший iOS и на тебе))
😁3
Forwarded from Fly Dragon Fly
CVE-2025-10184 is permission bypass that affects multiple OnePlus devices running OxygenOS 12–15 (NOT FIXED) with PoC
This vulnerability allows any application installed on the device to read SMS/MMS without permission, user interaction, or consent.
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
This vulnerability allows any application installed on the device to read SMS/MMS without permission, user interaction, or consent.
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
🔥9❤3❤🔥2😢2😱1
Forwarded from Fly Dragon Fly
CPBlindSQLi.apk
3 MB
PoC works on fully patched Android 15 device.
🔥5❤2😁2
AppCenter от Microsoft кончился?
Уважаемые разработчики, кто использовал AppCenter, я же правильно понимаю, что он все, мертв и с 31 марта все уважающие себя люди переехали в Firebase/Testflight? Или это касается чего-то другого, потому что я по прежнему могу войти в систему, но вроде как скачать/загрузить приложения больше нельзя.
Как-то эта новость вообще мимо меня прошла, помогите понять, пожалуйста) А то я немного слоупок похоже)
https://learn.microsoft.com/ru-ru/appcenter/retirement
Уважаемые разработчики, кто использовал AppCenter, я же правильно понимаю, что он все, мертв и с 31 марта все уважающие себя люди переехали в Firebase/Testflight? Или это касается чего-то другого, потому что я по прежнему могу войти в систему, но вроде как скачать/загрузить приложения больше нельзя.
Как-то эта новость вообще мимо меня прошла, помогите понять, пожалуйста) А то я немного слоупок похоже)
https://learn.microsoft.com/ru-ru/appcenter/retirement
Docs
Прекращение работы Центра приложений Visual Studio - Visual Studio App Center
Центр приложений Visual Studio планируется вывести из эксплуатации
😱2🤨1
Forwarded from Дневник Комбеза
Подпиши APK по братски
Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.
Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.
Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся
Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.
Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.
Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся
Android Developers Blog
Let's talk security: Answering your top questions about Android developer verification
News and insights on the Android platform, developer tools, and events.
👍5
Mobile AppSec World
Встречаемся через час на Mobile Appsec Club Всем привет! Уже через час жду всех, кто хочет в Wino bar! Прихватите с собой отличное настроение и парочку классных историй :)
а ровно два года назад в это самое время :)
Мы первый раз встречались на небольшом междусобойчике) было оч классно!)😀
Мы первый раз встречались на небольшом междусобойчике) было оч классно!)😀
🔥2❤1
Подборочка каналов про ИБ
Я тут недавно вписался в подборку каналов по ИБ и обнаружил внутри много интересных, о которых не знал раньше.
Надеюсь и каждый из вас найдет что-то интересное.
Ну а пока смотрите подборку из поста, напишите в комментариях, какие каналы читаете вы по безопасности (лучше про мобилки, но и остальные подойдут). Вполне вероятно, что кто-то найдет для себя крайне полезный контент)
И да, всем отличного вечера пятницы!
Я тут недавно вписался в подборку каналов по ИБ и обнаружил внутри много интересных, о которых не знал раньше.
Надеюсь и каждый из вас найдет что-то интересное.
Ну а пока смотрите подборку из поста, напишите в комментариях, какие каналы читаете вы по безопасности (лучше про мобилки, но и остальные подойдут). Вполне вероятно, что кто-то найдет для себя крайне полезный контент)
И да, всем отличного вечера пятницы!
🔥7❤3👍2💩1
Forwarded from Pavel Vasiliev
Наброшу небольшой оффтоп от темы по мобилкам про хранилища сертификатов - я большой сторонник того что системному хранилищу сертов доверять не стоит вообще, причём на любой ОС. Лучше иметь своё хранилище, или же сильно ограничить системное.
И даже более того - я активно пропагандирую, в том числе и своим личным примером, отказываться от большинства сертификатов, которые нам по умолчанию поставляют в ОС, и разные продукты, потому что 80% из них - разный мутный шлак: разные государственные сертификаты, сертификаты мутных конторок, сертификаты контор которые занимаются разработкой DLP систем, сертфикаты ОПСОСов, сертификаты мутных типов которые поставляли решения о точечном перехвате и расшифровке https трафика на лету для правительств по всему миру, разные странные конторы, которые фактически вообще не занимаются инфраструктурой открытых ключей, и т.д.
ВСЕ эти странные ребята имеют возможность перехватывать, расшифровывать и подменять по сути ЛЮБОЙ трафик любого устройства в любой точке на планете, в том числе и ваш. Для меня это не окей. Благо сертификаты из системного хранилища можно отключать на всех ОС (кроме болезной iOS). У меня у самого на компудахтере и телефоне выключено порядка 60-80 процентов всех сертов, и я так отлично живу уже почти 2 года, а для собственных важных селфхостед сервисов у меня свой корневой серт и mtls 🌚
Всем рекомендую задуматься об этом и возможно делать также как я)
И даже более того - я активно пропагандирую, в том числе и своим личным примером, отказываться от большинства сертификатов, которые нам по умолчанию поставляют в ОС, и разные продукты, потому что 80% из них - разный мутный шлак: разные государственные сертификаты, сертификаты мутных конторок, сертификаты контор которые занимаются разработкой DLP систем, сертфикаты ОПСОСов, сертификаты мутных типов которые поставляли решения о точечном перехвате и расшифровке https трафика на лету для правительств по всему миру, разные странные конторы, которые фактически вообще не занимаются инфраструктурой открытых ключей, и т.д.
ВСЕ эти странные ребята имеют возможность перехватывать, расшифровывать и подменять по сути ЛЮБОЙ трафик любого устройства в любой точке на планете, в том числе и ваш. Для меня это не окей. Благо сертификаты из системного хранилища можно отключать на всех ОС (кроме болезной iOS). У меня у самого на компудахтере и телефоне выключено порядка 60-80 процентов всех сертов, и я так отлично живу уже почти 2 года, а для собственных важных селфхостед сервисов у меня свой корневой серт и mtls 🌚
Всем рекомендую задуматься об этом и возможно делать также как я)
👍3🫡3😁1
Forwarded from Pavel Vasiliev
Кстати, насчёт той темы с сертами - тут пару недель назад выложили моё выступление по этой теме)
https://www.youtube.com/watch?v=EsaaEGoU4Ag
https://www.youtube.com/watch?v=EsaaEGoU4Ag
YouTube
Павел Васильев. Доверяй, но проверяй: про корневые сертификаты в Android и не только
Тезисы
В докладе поделюсь историей одного спонтанного исследования корней доверия в ОС Андроид.
Объясню, как работают цепочки доверия сертификатов и защита https от перехвата. Расскажу, как пентестеры перехватывают и расшифровывают https-трафик мобильных…
В докладе поделюсь историей одного спонтанного исследования корней доверия в ОС Андроид.
Объясню, как работают цепочки доверия сертификатов и защита https от перехвата. Расскажу, как пентестеры перехватывают и расшифровывают https-трафик мобильных…
👍4