Физический пентест похож на привидение: все о нем говорят, но мало кто его видел.
А мы записали подкаст с человеком, который не просто видел, но и тысячу раз его делал, преисполнился в познании фишек и инструментов настолько, что написал книгу «Хакерство. Физические атаки с использованием хакерских устройств». Гость этого выпуска - Андрей Жуков, lead pentester УЦСБ, автор канала @s0i37_channel. Ведущий - Александр Герасимов, CISO Awillix, этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности.
Книга: bhv.ru/product/hakerstvo-fizi...
Канал: t.me/s0i37_channel
О подкасте:
Подкаст Just Security - продолжение телеграм-канала (t.me/justsecurity), известного на рынке ИБ. Авторы канала - команда Awillix, главная экспертиза которой, тесты на проникновения, анализ защищенности, анализ исходного кода.
За 5 лет существования компании мы провели более 300 аудитов, нашли около 10 000 уязвимостей для разных российских компаний, сделали свой продукт для регулярного мониторинга уязвимостей (cvm.awillix.com/) и разработали отечественный киберполигон - симулятор для отработки практических навыков специалистов SOC и Blue Team.
В 2023 году Awillix учредили первую ежегодную всероссийскую премию для пентестеров - award.awillix.ru/.
Тайм-коды:
00:00 - Бэкграунд Андрея
04:00 - Как развиться пентестеру в любой компании
05:15 - Что такое физический пентест, зачем он нужен
09:01 - Пример атаки в радиусе действия злоумышленника
10:57 - Атаки на WiFi
16:20 - Проверки, которые чаще всего проводятся
23:02 - Пробитие через принтер
25:08 - Поиск открытых сетей компании
28:16 - Подключение к IP камерам
30:00 - Предприятия с запретом на использования интернета
32:00 - Captive portal
34:12 - Мouse jack
34:46 - Crazy Radio
41:35 - Кейс оборонного предприятия
44:19 - Инструменты разведки и построение тепловой карты точек доступа
47:10 - Атаки с телефона
55:45 - Raspberry Pi Zero
58:20 - Атаки с дронами
59:59 - Аудит в аэропорту