ОТСЛЕЖИВАНИЕ АВТОТРАНСПОРТА.
#наблюдение
Установив на свой смартфон или планшет программу Mobile LPR (для Android или iOS) вы получите возможность распознавать автомобильные номера со встроенной камеры смартфона, с камеры подключённой по USB и используя сетевые камеры, а так же распознавать номера из видеофайла снятого ранее чем то ещё.
Какие возможности это даёт:
1. Найти машину по регистрационному номеру на парковке или в автомобильном потоке, заранее указав интересующий вас номер. При обнаружении номера из списка (списки тут тоже поддерживаются) программа просигнализирует вам пуш-уведомлением или уведомлением на почту или в облачный сервис. Может быть полезным, например для поиска угнанного автомобиля.
2. Выявить автомобиль, который следует за вами. Выставив количество повторных попаданий в поле видения установленной usb камеры, в качестве видеокамеры заднего вида, ваш смартфон покажет все точки на карте, когда автомобильный номер вашего преследователя попадал в кадр.
3. Контролировать заезд на парковку или определённую территорию определённого транспорта (поддерживаются черные и белые списки) подключившись по сети к установленным на въезде камерам видеонаблюдения.
4. Отслеживать передвижение автотранспорта по уже снятым где-то видеозаписям, просто загрузив эту запись в программу, используя черные и белые списки.
#наблюдение
Установив на свой смартфон или планшет программу Mobile LPR (для Android или iOS) вы получите возможность распознавать автомобильные номера со встроенной камеры смартфона, с камеры подключённой по USB и используя сетевые камеры, а так же распознавать номера из видеофайла снятого ранее чем то ещё.
Какие возможности это даёт:
1. Найти машину по регистрационному номеру на парковке или в автомобильном потоке, заранее указав интересующий вас номер. При обнаружении номера из списка (списки тут тоже поддерживаются) программа просигнализирует вам пуш-уведомлением или уведомлением на почту или в облачный сервис. Может быть полезным, например для поиска угнанного автомобиля.
2. Выявить автомобиль, который следует за вами. Выставив количество повторных попаданий в поле видения установленной usb камеры, в качестве видеокамеры заднего вида, ваш смартфон покажет все точки на карте, когда автомобильный номер вашего преследователя попадал в кадр.
3. Контролировать заезд на парковку или определённую территорию определённого транспорта (поддерживаются черные и белые списки) подключившись по сети к установленным на въезде камерам видеонаблюдения.
4. Отслеживать передвижение автотранспорта по уже снятым где-то видеозаписям, просто загрузив эту запись в программу, используя черные и белые списки.
👎1
Видео с моей лекции про форензику и антифорензику, которую я читал на выставке Страж Экспо в Санкт-Петербурге.
#ЦифроваяКриминалистика
#ЦифроваяКриминалистика
YouTube
"Антифорензика" и "Прикладная форензика" / Борощук Дмитрий
"Антифорензика" и "Прикладная форензика"
Борощук Дмитрий, Руководитель агентства BeholderIsHere Consulting, Криминалист и исследователь в области кибербезопасности
Борощук Дмитрий, Руководитель агентства BeholderIsHere Consulting, Криминалист и исследователь в области кибербезопасности
👍6
ПРОФАЙЛИНГ И ОСОБЕННОСТИ ВОСПРИЯТИЯ ИНФОРМАЦИИ.
#психология
И к счастью и к сожалению, мы не можем быть полностью объективны при анализе другого человека, и, смирившись с этим, надо работать над тем, чтобы снизать зависимость своего анализа от наших субъективных фильтров восприятия. А это невозможно сделать без структурного и четкого понимания когнитивных искажений. Их цель – святая – сэкономить ресурсы нашего мозга, но когда у нас есть профессиональная задача, которая напрямую касается судьбы человека, такая экономия совершенно неуместна.
В ситуациях, когда мы сталкиваемся с переизбытком информации, наш мозг начинает экономить ресурсы, выборочно направляя наше внимание на то, что для него более значимо. А именно:
– мы в основном замечаем лишь то, что хотим заметить, то, что с чем уже знакомы или чаще встречали;
– контрастные, необычные, смешные привлекательные стимулы привлекают наше внимание больше, чем привычные и не смешные;
– наш мозг ориентирован на поиск динамики: мозгу скучна статика и стабильность, он хочет видеть и лучше отмечает изменения.
– мы ориентированы больше видеть и ценить ту информацию, которая подтверждает нашу точку зрения. Остальная информация ценится значительно меньше.
– к себе и к информации о себе мы относимся гораздо менее критично, чем к информации о других. Мы гораздо легче обнаруживаем изъяны в других, чем в себе. Особенно мы любим то, что способствует повышению нашей самооценки и стремимся получать эту информацию как можно больше и чаще.
В ситуациях, когда мы анализируем неоднозначную, сложную информацию, мы склонны:
– мыслить стереотипами и шаблонами. А если их нет или они не работают, то мы сами склонны придумывать ложные закономерности, на которых основываем собственные решения.
– упрощать способ принятия решений, а если это невозможно, то откладываем принятие решения или возлагаем ответственность за него на третью сторону.
– дополнять и самостоятельно додумывать ту часть информации, которая больше согласуется с нашими предпочтениями и предыдущим опытом.
– упрощать числа и вероятности, чтобы ими было легче оперировать.
– думать, что хорошо понимаем себя и других людей, их ценности и причины поступков, хотя это на самом деле далеко не так.
В ситуациях, когда нам необходимо действовать быстро и принимать решения в условиях дефицита времени, мы склонны:
– фокусироваться на близких и измеряемых результатах, вместо отложенных и абстрактных.
– преувеличивать значимость и ценность собственных действий в сравнении с действиями и поведением других участников ситуации.
– завершать то, во что вложили много времени и усилий, отталкиваем от себя новые альтернативы, предпочитая консервативное планирование и решения.
– не принимать решений, имеющие необратимые последствия и сохранять текущий статус ситуации и отношений.
– выбирать простые, понятные и знакомые пути решения ситуации, избегая новых, неоднозначных и сложных способов.
Особенности нашей памяти, которая во многом определяет то, каким образом мы анализируем информацию, заставляют нас:
– редактировать воспоминания для придания им более позитивного и эгоцентричного образа.
– отбрасывать и забывать детали событий, которые не вписываются в текущее понимание ситуации, вычеркивать частности для поиска, построения и закрепления паттернов.
– упрощать и сокращать количество сущностей и категорий до ключевых моментов и элементов.
– по–разному относиться к воспоминаниям в зависимости от их значимости, текущего состояния и настроения.
– достраивать необходимую информацию для ее лучшего соответствия нашему основному мнению.
Это особенности необходимо учитывать всякий раз, когда мы принимаем ответственные решения и анализируем текущие события.
Автор: Алексей Филатов
#психология
И к счастью и к сожалению, мы не можем быть полностью объективны при анализе другого человека, и, смирившись с этим, надо работать над тем, чтобы снизать зависимость своего анализа от наших субъективных фильтров восприятия. А это невозможно сделать без структурного и четкого понимания когнитивных искажений. Их цель – святая – сэкономить ресурсы нашего мозга, но когда у нас есть профессиональная задача, которая напрямую касается судьбы человека, такая экономия совершенно неуместна.
В ситуациях, когда мы сталкиваемся с переизбытком информации, наш мозг начинает экономить ресурсы, выборочно направляя наше внимание на то, что для него более значимо. А именно:
– мы в основном замечаем лишь то, что хотим заметить, то, что с чем уже знакомы или чаще встречали;
– контрастные, необычные, смешные привлекательные стимулы привлекают наше внимание больше, чем привычные и не смешные;
– наш мозг ориентирован на поиск динамики: мозгу скучна статика и стабильность, он хочет видеть и лучше отмечает изменения.
– мы ориентированы больше видеть и ценить ту информацию, которая подтверждает нашу точку зрения. Остальная информация ценится значительно меньше.
– к себе и к информации о себе мы относимся гораздо менее критично, чем к информации о других. Мы гораздо легче обнаруживаем изъяны в других, чем в себе. Особенно мы любим то, что способствует повышению нашей самооценки и стремимся получать эту информацию как можно больше и чаще.
В ситуациях, когда мы анализируем неоднозначную, сложную информацию, мы склонны:
– мыслить стереотипами и шаблонами. А если их нет или они не работают, то мы сами склонны придумывать ложные закономерности, на которых основываем собственные решения.
– упрощать способ принятия решений, а если это невозможно, то откладываем принятие решения или возлагаем ответственность за него на третью сторону.
– дополнять и самостоятельно додумывать ту часть информации, которая больше согласуется с нашими предпочтениями и предыдущим опытом.
– упрощать числа и вероятности, чтобы ими было легче оперировать.
– думать, что хорошо понимаем себя и других людей, их ценности и причины поступков, хотя это на самом деле далеко не так.
В ситуациях, когда нам необходимо действовать быстро и принимать решения в условиях дефицита времени, мы склонны:
– фокусироваться на близких и измеряемых результатах, вместо отложенных и абстрактных.
– преувеличивать значимость и ценность собственных действий в сравнении с действиями и поведением других участников ситуации.
– завершать то, во что вложили много времени и усилий, отталкиваем от себя новые альтернативы, предпочитая консервативное планирование и решения.
– не принимать решений, имеющие необратимые последствия и сохранять текущий статус ситуации и отношений.
– выбирать простые, понятные и знакомые пути решения ситуации, избегая новых, неоднозначных и сложных способов.
Особенности нашей памяти, которая во многом определяет то, каким образом мы анализируем информацию, заставляют нас:
– редактировать воспоминания для придания им более позитивного и эгоцентричного образа.
– отбрасывать и забывать детали событий, которые не вписываются в текущее понимание ситуации, вычеркивать частности для поиска, построения и закрепления паттернов.
– упрощать и сокращать количество сущностей и категорий до ключевых моментов и элементов.
– по–разному относиться к воспоминаниям в зависимости от их значимости, текущего состояния и настроения.
– достраивать необходимую информацию для ее лучшего соответствия нашему основному мнению.
Это особенности необходимо учитывать всякий раз, когда мы принимаем ответственные решения и анализируем текущие события.
Автор: Алексей Филатов
Telegram
Профайлинг, нейротехнологии и детекции лжи
Канал Алексея Филатова, посвященный небанальным новостям профайлинга, верификации лжи и нейротехнологий.
Сайт www.ProProfiling.com
Чат канала: T.me/ProProfilingChat
Сайт www.ProProfiling.com
Чат канала: T.me/ProProfilingChat
👍2
Видео с моей лекции про форензику дронов, которую я читал на выставке Страж Экспо в Санкт-Петербурге.
#ЦифроваяКриминалистика
#ЦифроваяКриминалистика
👍3
ШПАРГАЛКИ_РАЗВЕДЫВАТЕЛЬНЫЕ_ЦИКЛЫ_OSINT.pdf
331 KB
#osint
Когда мы говорим про любое информационно-аналитическое исследование, то подразумеваем целый ряд мероприятий. В этой шпаргалке вы найдете все эти мероприятия разделенные на циклы с описанными требованиями к ним.
Когда мы говорим про любое информационно-аналитическое исследование, то подразумеваем целый ряд мероприятий. В этой шпаргалке вы найдете все эти мероприятия разделенные на циклы с описанными требованиями к ним.
👍3
КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ.
#расследования
Для начала давайте попробуем уложить все наши действия в простой алгоритм из трех шагов:
ШАГ 1. Поскольку чаще всего об утечке мы узнаем постфактум, когда она уже появляется на чёрном рынке, начнём с простого - исследования того, в каком виде она попала в публичное поле. На что стоит обратить внимание:
📡 Канал распространения:
- Место публикации утечки
- Дата и время публикации
- Кто опубликовал
- Кошелёк для покупки (если платно)
Для чего это? Для поиска места первоначального размещения и идентификации того, кто является потенциальным выгодоприобретателем.
💾 Файл, в который упакована утечка:
- Формат файла
- Метаданные полученного файла.
- Даты создания и изменения.
- Хэш сумма файла.
Для чего? Для идентификации файлов в различных источниках, возможные паттерны изменения в зависимости от миграции и сравнения разных версий.
🗂 Содержимое файла:
- Используемые поля
- Формат их записи
- Полнота присутствующих полей
- Дата/время первой записи
- Дата/время последней записи
Для чего? Для получения информации о "срезе" данных их полноте и возможно времени получения "среза". На этом этапе мы стараемся понять, когда фактически произошла утечка, не является ли она компиляцией и кто гипотетически мог иметь доступ исходя из формата записей.
ШАГ 2. Исследуем легитимный источник данных, находящийся в утечке. Со следующими точками интереса:
• Основной формат хранения данных
• Возможные форматы получения данных при условии различных условиях их копирования (бэкап, экспорт, парсинг и т.д.)
Для чего? Для поиска возможного способа и формы полученной утечки.
Далее мы должны посмотреть на нашу систему, из которой могла произойти утечка данных и выявить следующие:
• Перечень уровней доступа.
• Перечень доступных полей для каждого уровня доступа.
• Перечень пользователей с доступом к утекшим данных.
Целью этих действий для нас будет фиксации возможных причастных учетных записей пользователей и способов доступа к данным, которые могут находится в «срезе» опубликованной утечки.
• Фиксация временного отрезка по полноте данных в утечке.
Для чего? Для формирования временных рамок поискового ландшафта. Как правило, отсчёт ведётся в обратном порядке от момента первичного размещения в публичном поле до (примерно) минус 60 суток от даты последних внесённых данных в "срезе"
• Логи доступа к целевым данным пользователей
• Логи изменений в целевом источнике данных.
Это нужно для реконструкции истории обращений к источнику целевых данных пользователей системы.
ШАГ 3. Ну и в заключительном шаге нам предстоит самое интересное – выявление и фиксация аномалий в поведенческих паттернах пользователей.
#расследования
Для начала давайте попробуем уложить все наши действия в простой алгоритм из трех шагов:
ШАГ 1. Поскольку чаще всего об утечке мы узнаем постфактум, когда она уже появляется на чёрном рынке, начнём с простого - исследования того, в каком виде она попала в публичное поле. На что стоит обратить внимание:
📡 Канал распространения:
- Место публикации утечки
- Дата и время публикации
- Кто опубликовал
- Кошелёк для покупки (если платно)
Для чего это? Для поиска места первоначального размещения и идентификации того, кто является потенциальным выгодоприобретателем.
💾 Файл, в который упакована утечка:
- Формат файла
- Метаданные полученного файла.
- Даты создания и изменения.
- Хэш сумма файла.
Для чего? Для идентификации файлов в различных источниках, возможные паттерны изменения в зависимости от миграции и сравнения разных версий.
🗂 Содержимое файла:
- Используемые поля
- Формат их записи
- Полнота присутствующих полей
- Дата/время первой записи
- Дата/время последней записи
Для чего? Для получения информации о "срезе" данных их полноте и возможно времени получения "среза". На этом этапе мы стараемся понять, когда фактически произошла утечка, не является ли она компиляцией и кто гипотетически мог иметь доступ исходя из формата записей.
ШАГ 2. Исследуем легитимный источник данных, находящийся в утечке. Со следующими точками интереса:
• Основной формат хранения данных
• Возможные форматы получения данных при условии различных условиях их копирования (бэкап, экспорт, парсинг и т.д.)
Для чего? Для поиска возможного способа и формы полученной утечки.
Далее мы должны посмотреть на нашу систему, из которой могла произойти утечка данных и выявить следующие:
• Перечень уровней доступа.
• Перечень доступных полей для каждого уровня доступа.
• Перечень пользователей с доступом к утекшим данных.
Целью этих действий для нас будет фиксации возможных причастных учетных записей пользователей и способов доступа к данным, которые могут находится в «срезе» опубликованной утечки.
• Фиксация временного отрезка по полноте данных в утечке.
Для чего? Для формирования временных рамок поискового ландшафта. Как правило, отсчёт ведётся в обратном порядке от момента первичного размещения в публичном поле до (примерно) минус 60 суток от даты последних внесённых данных в "срезе"
• Логи доступа к целевым данным пользователей
• Логи изменений в целевом источнике данных.
Это нужно для реконструкции истории обращений к источнику целевых данных пользователей системы.
ШАГ 3. Ну и в заключительном шаге нам предстоит самое интересное – выявление и фиксация аномалий в поведенческих паттернах пользователей.
👍11
КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ. ЧАСТЬ 2
#расследования
Безусловно, на рынке масса решений призванных помочь с расследованием утечек данных. Конечно же на ум сразу приходят коммерческие deception решения типа Xello, R-TDP или разработки от той же AVsoft. И это я только российские вспомнил. Но мы будем стараться решать задачи с минимумом бюджета или полным его отсутствием. Знакомая история, ведь правда?
Одним из основных способов отслеживания утечек является маркировка данных, собственно, для дальнейшего их отслеживания. И тут вариантов может быть масса- и «контролируемые утечки» в стиле романа «Статский советник» (помните, как Фандорин, назначил встречу в банях всем подозреваемым, но в разных номерах?) и отслеживания факта открытия или редактирования файла используя различные «маяки» и применение различной «дополнительной нагрузки» которая бы вела различную контрразведывательную деятельность уже на стороне злоумышленника и еще много чего того на что будет способна ваша фантазия и оперативный опыт.
Сегодня я остановлюсь на трех методах из собственного арсенала:
Метод №1 «Водяные знаки»
Физические объекты (ценные бумаги, документы и тп) всегда можно отмаркировать, чтобы сделать их в своем роде уникальными носителями идентифицируемых признаков. То же самое можно сделать с файлами при помощи «стеганографии» - методики помещения одной информации в другую. Тут конечно же приходит на ум старички OpenStego и OpenPuff которые из удобного и лаконичного интерфейса позволяет проводить все операции с файлами и их маркировкой.
Есть одно «но» - детектируется антивирусами уже достаточно регулярно, но вы всегда можете найти альтернативу или свежий форк.
Основываясь на этом же методе, работает решение wholaked получая файл, который будет использоваться совместно, и список получателей оно создает уникальную подпись для каждого получателя и скрыто добавляет ее в файл. После этого wholaked автоматически отправляет файлы соответствующим получателям с помощью интеграции Sendgrid, AWS SES или SMTP, ну или по старинке «вручную»
Метод №2 «Маяки»
Тут во всю правит бал знаменитая «канарейка» и ее различные вариации с открытым исходным кодом. Штука хорошая и удобная, ввиду своей формы - может быть как внешний сервис, а может быть и развернута где-нибудь у вас на сервере. И содержания – повесить «маяк» можно на очень разные действия.
Метод №3 «Хакерский»
Тут уже на свой страх и риск, ибо законодательство той страны в которой вы находитесь может это расценивать не в вашу пользу. Я же плохому вас не учу и всячески это порицаю, но про способ рассказать должен.
К вашему документу вполне может быть прикреплен микро сервис, который при открытии документа будет захватывать например доступ к микрофону или камере на компьютере злодея как это делают SayHello или CamPhish
#расследования
Безусловно, на рынке масса решений призванных помочь с расследованием утечек данных. Конечно же на ум сразу приходят коммерческие deception решения типа Xello, R-TDP или разработки от той же AVsoft. И это я только российские вспомнил. Но мы будем стараться решать задачи с минимумом бюджета или полным его отсутствием. Знакомая история, ведь правда?
Одним из основных способов отслеживания утечек является маркировка данных, собственно, для дальнейшего их отслеживания. И тут вариантов может быть масса- и «контролируемые утечки» в стиле романа «Статский советник» (помните, как Фандорин, назначил встречу в банях всем подозреваемым, но в разных номерах?) и отслеживания факта открытия или редактирования файла используя различные «маяки» и применение различной «дополнительной нагрузки» которая бы вела различную контрразведывательную деятельность уже на стороне злоумышленника и еще много чего того на что будет способна ваша фантазия и оперативный опыт.
Сегодня я остановлюсь на трех методах из собственного арсенала:
Метод №1 «Водяные знаки»
Физические объекты (ценные бумаги, документы и тп) всегда можно отмаркировать, чтобы сделать их в своем роде уникальными носителями идентифицируемых признаков. То же самое можно сделать с файлами при помощи «стеганографии» - методики помещения одной информации в другую. Тут конечно же приходит на ум старички OpenStego и OpenPuff которые из удобного и лаконичного интерфейса позволяет проводить все операции с файлами и их маркировкой.
Есть одно «но» - детектируется антивирусами уже достаточно регулярно, но вы всегда можете найти альтернативу или свежий форк.
Основываясь на этом же методе, работает решение wholaked получая файл, который будет использоваться совместно, и список получателей оно создает уникальную подпись для каждого получателя и скрыто добавляет ее в файл. После этого wholaked автоматически отправляет файлы соответствующим получателям с помощью интеграции Sendgrid, AWS SES или SMTP, ну или по старинке «вручную»
Метод №2 «Маяки»
Тут во всю правит бал знаменитая «канарейка» и ее различные вариации с открытым исходным кодом. Штука хорошая и удобная, ввиду своей формы - может быть как внешний сервис, а может быть и развернута где-нибудь у вас на сервере. И содержания – повесить «маяк» можно на очень разные действия.
Метод №3 «Хакерский»
Тут уже на свой страх и риск, ибо законодательство той страны в которой вы находитесь может это расценивать не в вашу пользу. Я же плохому вас не учу и всячески это порицаю, но про способ рассказать должен.
К вашему документу вполне может быть прикреплен микро сервис, который при открытии документа будет захватывать например доступ к микрофону или камере на компьютере злодея как это делают SayHello или CamPhish
👍6
ПОРЯДОК_РАЗРАБОТКИ_ПАСПОРТА_АНТИТЕРРОРИСТИЧЕСКОЙ_ЗАЩИЩЕННОСТИ_ОБЪЕКТА.pdf
250.6 KB
#безопасность
Паспорт антитеррористической безопасности - один из основных документов, действительно необходимых для поддержания этой самой безопасности!
И дело тут не в регуляторе как таковом- поддерживая этот документ в актуальном состояние, вы получите великолепный инструмент показывающий "куда бежать, чем пользоваться, и что делать" в случае наступления ситуации "Арктический пушной зверек постучался в наши двери."
Паспорт антитеррористической безопасности - один из основных документов, действительно необходимых для поддержания этой самой безопасности!
И дело тут не в регуляторе как таковом- поддерживая этот документ в актуальном состояние, вы получите великолепный инструмент показывающий "куда бежать, чем пользоваться, и что делать" в случае наступления ситуации "Арктический пушной зверек постучался в наши двери."
👍7👎1
САМОАУДИТ СОБСТВЕННОЙ ИТ ИНФРАСТРУКТУРЫ.
#ИБ
Часто так случается, что клиент из небольшой компании приходит с запросом на аудит ИБ, без понимания того, а что у него творится в IT инфраструктуре на самом деле. И тут чаще всего нужно не "тестирование на проникновение" ибо чего тестировать, если оно держится на молитвах и честном слове системного администратора, а просто понимание того, как оно все работает и как это для начала просто причесать.
Сам я использовал опросник, который вы видите в приложение к этому посту - около сотни вопросов, которые дают первичное понимание положению вещей. А вот команда Expel, несколько лет назад, сделала прекрасную экселевскую табличку (а Уважаемый EntryP0int ее перевел специально для канала) предназначенную именно для самодиагностики, с красивыми диаграммами, которые визуализируют концептуальное состояние вашего IT-хозяйства. Просто, недорого и практично! Да и мы часто забываем, что безопасность начинается с простого понимания реального положения дел...
#ИБ
Часто так случается, что клиент из небольшой компании приходит с запросом на аудит ИБ, без понимания того, а что у него творится в IT инфраструктуре на самом деле. И тут чаще всего нужно не "тестирование на проникновение" ибо чего тестировать, если оно держится на молитвах и честном слове системного администратора, а просто понимание того, как оно все работает и как это для начала просто причесать.
Сам я использовал опросник, который вы видите в приложение к этому посту - около сотни вопросов, которые дают первичное понимание положению вещей. А вот команда Expel, несколько лет назад, сделала прекрасную экселевскую табличку (а Уважаемый EntryP0int ее перевел специально для канала) предназначенную именно для самодиагностики, с красивыми диаграммами, которые визуализируют концептуальное состояние вашего IT-хозяйства. Просто, недорого и практично! Да и мы часто забываем, что безопасность начинается с простого понимания реального положения дел...
👍7
ЧЕМ ПРАВИЛЬНО РАСЧИТАТЬ ПАРАМЕТРЫ ВИДЕОКАМЕР ДЛЯ СИСТЕМ ВИДЕОНАБЛЮДЕНИЯ.
#наблюдение
Правильное проектирование системы видеонаблюдения- 80% успеха в проведение расследований с ее использованием. Ведь важно понимать, в каких местах будет уместна обзорная камера, показывающая общую картину происходящего, в каких видеокамера для идентификации лиц или номеров автомобилей, а в каких будет эффективна интеллектуальная система видео детекторов (чтоб без ложных срабатываний даже на смену освещения или качающейся листвы) Для этого существуют специальные программные конструкторы, которые очень сильно облегчают работу не только инженеру проектировщику, но и самому «безопаснику» компании.
[IPVM] - достаточно простенький но очень удобный проектировщик в первую очередь уличного видеонаблюдения с привязкой к Google картам
[JVSG] ЗD моделирование видимости объектов для подбора нужной высоты установки и выбора правильных объективов для видеокамер.
[IPDROM] - Комплексный калькулятор для подбора серверного оборудования для систем одного из лидеров российских систем видеонаблюдения Axxon
#наблюдение
Правильное проектирование системы видеонаблюдения- 80% успеха в проведение расследований с ее использованием. Ведь важно понимать, в каких местах будет уместна обзорная камера, показывающая общую картину происходящего, в каких видеокамера для идентификации лиц или номеров автомобилей, а в каких будет эффективна интеллектуальная система видео детекторов (чтоб без ложных срабатываний даже на смену освещения или качающейся листвы) Для этого существуют специальные программные конструкторы, которые очень сильно облегчают работу не только инженеру проектировщику, но и самому «безопаснику» компании.
[IPVM] - достаточно простенький но очень удобный проектировщик в первую очередь уличного видеонаблюдения с привязкой к Google картам
[JVSG] ЗD моделирование видимости объектов для подбора нужной высоты установки и выбора правильных объективов для видеокамер.
[IPDROM] - Комплексный калькулятор для подбора серверного оборудования для систем одного из лидеров российских систем видеонаблюдения Axxon
👍6
ЗАЩИЩАЕМСЯ ОТ ПРОСЛУШКИ. ДИКТОФОНЫ. ЧЕМ И КАК ИСКАТЬ.
#антишпионаж
Начнем с самого простого и распространённого, по моей личной статистике. Самый распространённый инструмент для прослушки (и не только в корпоративной среде) -диктофон. Что и не удивительно – продается везде легально, размеры могут быть совершенно микроскопические, может включаться по звуку, а писать на одном заряде батарейки может спокойно около недели (а если не особо интенсивно разговаривают, то и до месяца) при этом не выдавая в радиоэфир каких-либо сигналов. В этом посте я постараюсь разобрать как и чем искать подобный вид прослушки.
1. Если вы предполагаете, что во время переговоров ваш «визави» может ваш записывать, то для личного досмотра вполне подойдет обычный металлодетектор с высокой чувствительностью (обычные досмотровые могут быть не пригодны для этого). Тут стоит обращать внимание на отвороты одежды, область брючного ремня, область лодыжек. Конечно же обращайте внимание на внутренние и внешние карманы одежды. Так же помните, что для более качественной записи может быть использован выносной микрофон. Если ваша визави – легко одетая девушка, то тут стоит обратить внимание на зону бюста, а также на сумку либо клатч. И если честно лучше вообще исключить нахождение сумок, портфелей, рюкзаков, клатчей и т.п. в зоне, где вы ведете конфиденциальные разговоры.
Отдельно обратите внимание на аксессуары: мало того, что большинство умных устройств могут выступать в качестве звукозаписывающего устройства (помните про стандартные программы-диктофоны в часах), так еще и благодаря китайской промышленности существует множество вариантов маскировки в вполне безобидных предметах. На что стоит обращать внимание: Очки- толщина дужек, автомобильные ключи – универсальный корпус из черного пластика, большие брелки (зайдите на любой маркетплейс и забейте в поиск «диктофон-брелок» и получите справочник по внешнему виду подобных изделий.
2. Диктофон, установленный в кабинете. Идеальным вариантом мог бы быть локатор нелинейных переходов, но стоимость его начинается от 140к рублей и вряд ли он у вас будет в свободном доступе, если вы не практикуете регулярные проверки подобного толка. Поэтому искать мы будем исходя из особенностей подобного вида прослушки и его особенностей:
- Батарейка. Длительность работы закладки в первую очередь зависит от АКБ. Да, его размер будет не такой большой, как в передающих закладках, но и не такой маленький как в диктофоне, который может быть установлен на живом человеке.
- Способ крепления. Чаще всего для фиксации диктофона на местности используются неодимовые магниты (вот тут как раз нам может быть хорошим подспорьем металлодетектор либо программа металлодетектора на телефоне)
- Необходимость периодического обслуживания. Менять диктофоны, АКБ или память в нем нужно быстро и не привлекая особого внимания, поэтому диктофон будет установлен хоть и в скрытом, но легко доступном месте.
Исходя из всего этого из простого оборудование используем:
- Фонарик
- Камеру-эндоскоп (любую с встроенной подсветкой на камере)
- Металлодетектор с высокой чувствительностью для поиска магнитов- креплений (или программу-металлодетектор для телефона, но тут стоит внимательно отнестись к модели самого телефона, ибо магнитометр у разных моделей разный, по чувствительности и расположению).
И начинаем искать! Обращая внимание в первую очередь на подоконники, экраны закрывающие батареи отопления, сами батареи отопления, нижняя часть мягкой мебели, задняя часть шкафов, тумб, телевизионных панелей. Реже размещение – в вентиляции (по причине - грязи и шума воздуха на записи) и подвесной потолок (по причине сложности смены и высокой вероятности демаскировки в процессе смены.
#антишпионаж
Начнем с самого простого и распространённого, по моей личной статистике. Самый распространённый инструмент для прослушки (и не только в корпоративной среде) -диктофон. Что и не удивительно – продается везде легально, размеры могут быть совершенно микроскопические, может включаться по звуку, а писать на одном заряде батарейки может спокойно около недели (а если не особо интенсивно разговаривают, то и до месяца) при этом не выдавая в радиоэфир каких-либо сигналов. В этом посте я постараюсь разобрать как и чем искать подобный вид прослушки.
1. Если вы предполагаете, что во время переговоров ваш «визави» может ваш записывать, то для личного досмотра вполне подойдет обычный металлодетектор с высокой чувствительностью (обычные досмотровые могут быть не пригодны для этого). Тут стоит обращать внимание на отвороты одежды, область брючного ремня, область лодыжек. Конечно же обращайте внимание на внутренние и внешние карманы одежды. Так же помните, что для более качественной записи может быть использован выносной микрофон. Если ваша визави – легко одетая девушка, то тут стоит обратить внимание на зону бюста, а также на сумку либо клатч. И если честно лучше вообще исключить нахождение сумок, портфелей, рюкзаков, клатчей и т.п. в зоне, где вы ведете конфиденциальные разговоры.
Отдельно обратите внимание на аксессуары: мало того, что большинство умных устройств могут выступать в качестве звукозаписывающего устройства (помните про стандартные программы-диктофоны в часах), так еще и благодаря китайской промышленности существует множество вариантов маскировки в вполне безобидных предметах. На что стоит обращать внимание: Очки- толщина дужек, автомобильные ключи – универсальный корпус из черного пластика, большие брелки (зайдите на любой маркетплейс и забейте в поиск «диктофон-брелок» и получите справочник по внешнему виду подобных изделий.
2. Диктофон, установленный в кабинете. Идеальным вариантом мог бы быть локатор нелинейных переходов, но стоимость его начинается от 140к рублей и вряд ли он у вас будет в свободном доступе, если вы не практикуете регулярные проверки подобного толка. Поэтому искать мы будем исходя из особенностей подобного вида прослушки и его особенностей:
- Батарейка. Длительность работы закладки в первую очередь зависит от АКБ. Да, его размер будет не такой большой, как в передающих закладках, но и не такой маленький как в диктофоне, который может быть установлен на живом человеке.
- Способ крепления. Чаще всего для фиксации диктофона на местности используются неодимовые магниты (вот тут как раз нам может быть хорошим подспорьем металлодетектор либо программа металлодетектора на телефоне)
- Необходимость периодического обслуживания. Менять диктофоны, АКБ или память в нем нужно быстро и не привлекая особого внимания, поэтому диктофон будет установлен хоть и в скрытом, но легко доступном месте.
Исходя из всего этого из простого оборудование используем:
- Фонарик
- Камеру-эндоскоп (любую с встроенной подсветкой на камере)
- Металлодетектор с высокой чувствительностью для поиска магнитов- креплений (или программу-металлодетектор для телефона, но тут стоит внимательно отнестись к модели самого телефона, ибо магнитометр у разных моделей разный, по чувствительности и расположению).
И начинаем искать! Обращая внимание в первую очередь на подоконники, экраны закрывающие батареи отопления, сами батареи отопления, нижняя часть мягкой мебели, задняя часть шкафов, тумб, телевизионных панелей. Реже размещение – в вентиляции (по причине - грязи и шума воздуха на записи) и подвесной потолок (по причине сложности смены и высокой вероятности демаскировки в процессе смены.
ПРО ВСЯКУЮ "ПРОСЛУШКУ" И ОТВЕТСТВЕННОСТЬ.
#законодательство
Обязательным долгом считаю напомнить, что как только вы начинаете скрыто использовать диктофоны, видеокамеры, трекеры, радиомикрофоны и подобное оборудование вы попадаете под ответственность уголовного законодательства той страны, в которой вы это делаете. В России это - статья УК РФ 138 части 1, 2 и 3. Даже если это находится в свободной продаже, даже если вам кажется все максимально законным.
Почему в свободной продаже? Потому, что обладает рядом демаскирующих признаков, типа световых индикаторов работы и большой надписи о "мирном" предназначение. Как только, вы заклеите, например, индикатор работы устройства скотчем, то моментально дадите парням из отдела "К" возможность повесить на вас весь набор частей 138 статьи.
Парням из Управления "К" - кого знаю и кто знает меня: Привет! :)
Законодательство разрешает описывать подобные способы и действия с устройствам являющимися как СТС (специальными техническим средствами), так и с устройствам двойного назначения, с целью описания способов и методов продиводействия и защиты от них.
Другими словами: Чтите Уголовный Кодекс и не нарушаете его! А если вдруг вам пришло в голову его нарушить, то лично я против, всячески это порицаю и никакой ответственности за вашу бурную фантазию и пытливый ум - не несу!
ВСЯ ИНФОРМАЦИЯ ПРЕДСТАВЛЕННАЯ В ЭТОМ КАНАЛЕ НОСИТ ИСКЛЮЧИТЕЛЬНО ИНФОРМАЦИОННЫЙ ХАРАКТЕР И ПРЕДСТАВЛЕНА С ЦЕЛЬЮ ИНФОРМИРОВАНИЯ О СПОСОБАХ И МЕТОДАХ ЗАЩИТЫ И ПРОТИВОДЕЙСТВИЯ НЕЗАКОННЫМ ДЕЙСТВИЯМ!
#законодательство
Обязательным долгом считаю напомнить, что как только вы начинаете скрыто использовать диктофоны, видеокамеры, трекеры, радиомикрофоны и подобное оборудование вы попадаете под ответственность уголовного законодательства той страны, в которой вы это делаете. В России это - статья УК РФ 138 части 1, 2 и 3. Даже если это находится в свободной продаже, даже если вам кажется все максимально законным.
Почему в свободной продаже? Потому, что обладает рядом демаскирующих признаков, типа световых индикаторов работы и большой надписи о "мирном" предназначение. Как только, вы заклеите, например, индикатор работы устройства скотчем, то моментально дадите парням из отдела "К" возможность повесить на вас весь набор частей 138 статьи.
Парням из Управления "К" - кого знаю и кто знает меня: Привет! :)
Законодательство разрешает описывать подобные способы и действия с устройствам являющимися как СТС (специальными техническим средствами), так и с устройствам двойного назначения, с целью описания способов и методов продиводействия и защиты от них.
Другими словами: Чтите Уголовный Кодекс и не нарушаете его! А если вдруг вам пришло в голову его нарушить, то лично я против, всячески это порицаю и никакой ответственности за вашу бурную фантазию и пытливый ум - не несу!
ВСЯ ИНФОРМАЦИЯ ПРЕДСТАВЛЕННАЯ В ЭТОМ КАНАЛЕ НОСИТ ИСКЛЮЧИТЕЛЬНО ИНФОРМАЦИОННЫЙ ХАРАКТЕР И ПРЕДСТАВЛЕНА С ЦЕЛЬЮ ИНФОРМИРОВАНИЯ О СПОСОБАХ И МЕТОДАХ ЗАЩИТЫ И ПРОТИВОДЕЙСТВИЯ НЕЗАКОННЫМ ДЕЙСТВИЯМ!
Кажется, нам пора познакомиться...
Меня зовут Дмитрий Борощук, я тот, кто подписывается уже около 15 лет как BeholderIsHere, и тот, кто создал «BEHOLDERISHERE consulting».
🔻Что это такое?
Это маленькое консалтинговое агентство, помогающее решать задачи, связанные с непрерывностью и безопасностью бизнеса. От вопросов физической безопасности до аспектов информационной безопасности.
🔻На чём специализируется?
- Аудит состояния всех направлений безопасности компании.
- Выстраивание бизнес-процессов, связанных с обеспечение безопасности бизнеса.
- Информационно-аналитическая поддержка.
- Расследование инцидентов.
- Поиск уязвимостей в людях, оборудование, системах.
- Обучение.
... ну и, собственно, сам консалтинг.
🔻Что это за канал?
По сути, это описание того, с какими задачами, я и мои коллеги, регулярно сталкиваемся и на какие вопросы чаще всего отвечаем, но в формате "одна тема - один пост" исходя исключительно из личного опыта.
🔻Для кого это все?
- Владельцев бизнеса
- Управляющих директоров
- Руководителей и сотрудников служб безопасности.
- Коллег, решающих подобные же задачи
- Просто интересующихся и возможно, будущих коллег.
Все ещё остались вопросы? Напишите!
Искренне ваш, @BeholderIsHere
Меня зовут Дмитрий Борощук, я тот, кто подписывается уже около 15 лет как BeholderIsHere, и тот, кто создал «BEHOLDERISHERE consulting».
🔻Что это такое?
Это маленькое консалтинговое агентство, помогающее решать задачи, связанные с непрерывностью и безопасностью бизнеса. От вопросов физической безопасности до аспектов информационной безопасности.
🔻На чём специализируется?
- Аудит состояния всех направлений безопасности компании.
- Выстраивание бизнес-процессов, связанных с обеспечение безопасности бизнеса.
- Информационно-аналитическая поддержка.
- Расследование инцидентов.
- Поиск уязвимостей в людях, оборудование, системах.
- Обучение.
... ну и, собственно, сам консалтинг.
🔻Что это за канал?
По сути, это описание того, с какими задачами, я и мои коллеги, регулярно сталкиваемся и на какие вопросы чаще всего отвечаем, но в формате "одна тема - один пост" исходя исключительно из личного опыта.
🔻Для кого это все?
- Владельцев бизнеса
- Управляющих директоров
- Руководителей и сотрудников служб безопасности.
- Коллег, решающих подобные же задачи
- Просто интересующихся и возможно, будущих коллег.
Все ещё остались вопросы? Напишите!
Искренне ваш, @BeholderIsHere
КАК ЗАЩИТИТЬ СЕБЯ ОТ УТЕЧКИ РАЗГОВОРА В ZOOM КОНФЕРЕНЦИИ.
#расследования
Как я уже писал ранее, одним из немногочисленных способов защитить (вернее не защитить, а облегчить расследование по выявлению источника протечки) информацию от сливов – использовать «Водяные знаки». Но что делать, когда вы находитесь в не совсем контролируемой среде? Например, разговор в zoom – как самом популярном сервисе дистанционного взаимодействия. Ведь всегда может случится так, что кому-то из участников захочется поделиться содержанием этого разговора ну или просто слить не конфиденциальный, а какой-нибудь платный контент типа консультации или тренинга.
На самом деле все очень просто- ведь сам сервис подумал за вас и внедрил целых два способа маркировки того, что происходит внутри него:
1. Video Watermark – функция, которая выводит на изображение на экране и (или) его запись, электронную почту или никнейм участника который эту запись производил.
2. Audio Watermark – функция которая подмешивает в звуковую дорожку аудио метку, по которой вы так же сможете отследить источник протекания.
Как это включить?
• Вы должны быть администратором встречи либо владельцем учетной записи, который инициирует встречу.
• На вашем zoom аккаунте должен быть включен режим «Only authenticated users can join meetings» для того, что все пользователи могли быть идентифицированы. Включается это через настройки вашей учетной записи на самом web портале zoom через навигационное меню через пункты Account Management - Account Settings – вкладка Meetings – Security и выбрать пункты Only authenticated panelists can join webinars или Only authenticated meeting participants and webinar attendees can join meetings and webinars. После чего нужно будет подтвердить изменения.
Включение водяных знаков:
• На веб портале zoom входим в учетную запись.
• В меню навигации Account Management - Account Settings – вкладка Meetings – выбираем раздел Schedule Meeting
• Включаем пункты Add watermark и Add audio watermark.
• Подтверждаем действия и нажимаем на иконку с замком чтобы исключить возможность выключения этих функций пользователями.
Теперь у всех пользователей на экране и в записи на видео будет отображаться адрес электронной почты того кто смотрел.
Что касается аудио метки, то для того, чтобы идентифицировать пользователя, надо будет отправить в службу поддержки Zoom запрос, в котором надо будет указать ID встречи, дату и время его проведения приложив сам аудио /видео файл, который вы обнаружили в утечке.
#расследования
Как я уже писал ранее, одним из немногочисленных способов защитить (вернее не защитить, а облегчить расследование по выявлению источника протечки) информацию от сливов – использовать «Водяные знаки». Но что делать, когда вы находитесь в не совсем контролируемой среде? Например, разговор в zoom – как самом популярном сервисе дистанционного взаимодействия. Ведь всегда может случится так, что кому-то из участников захочется поделиться содержанием этого разговора ну или просто слить не конфиденциальный, а какой-нибудь платный контент типа консультации или тренинга.
На самом деле все очень просто- ведь сам сервис подумал за вас и внедрил целых два способа маркировки того, что происходит внутри него:
1. Video Watermark – функция, которая выводит на изображение на экране и (или) его запись, электронную почту или никнейм участника который эту запись производил.
2. Audio Watermark – функция которая подмешивает в звуковую дорожку аудио метку, по которой вы так же сможете отследить источник протекания.
Как это включить?
• Вы должны быть администратором встречи либо владельцем учетной записи, который инициирует встречу.
• На вашем zoom аккаунте должен быть включен режим «Only authenticated users can join meetings» для того, что все пользователи могли быть идентифицированы. Включается это через настройки вашей учетной записи на самом web портале zoom через навигационное меню через пункты Account Management - Account Settings – вкладка Meetings – Security и выбрать пункты Only authenticated panelists can join webinars или Only authenticated meeting participants and webinar attendees can join meetings and webinars. После чего нужно будет подтвердить изменения.
Включение водяных знаков:
• На веб портале zoom входим в учетную запись.
• В меню навигации Account Management - Account Settings – вкладка Meetings – выбираем раздел Schedule Meeting
• Включаем пункты Add watermark и Add audio watermark.
• Подтверждаем действия и нажимаем на иконку с замком чтобы исключить возможность выключения этих функций пользователями.
Теперь у всех пользователей на экране и в записи на видео будет отображаться адрес электронной почты того кто смотрел.
Что касается аудио метки, то для того, чтобы идентифицировать пользователя, надо будет отправить в службу поддержки Zoom запрос, в котором надо будет указать ID встречи, дату и время его проведения приложив сам аудио /видео файл, который вы обнаружили в утечке.
КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ. ЧАСТЬ 3.
1/2
#криминалистика
Ну что ж, продолжим про расследования утечек (и не только) и в этой части поговорим про криминалистику. Предположим, вы почти нашли злодея у себя в компании, но вам надо собрать какие-то доказательства его вины, а кроме как доступа к служебным(!) ноутбуку и смартфону предполагаемого злоумышленника у вас больше ничего нет. И конечно никаких DLP, SIEM, и подобным заранее устанавливаемых инструментов у вас нет- Ну, потому что «долго, дорого и с нами такого вряд ли когда-то случится!»
Что же делать руководителю службы безопасности, когда кажется, что вот он наш корпоративный шпион и остаётся только подтвердить это фактами?
Разберём по пяти шагам:
Шаг первый! Организационный.
🔻 Соберите все носители информации и электронику, которая располагалась на рабочем месте предполагаемого злодея. Флешки, внешние жёсткие диски, ноутбуки, компьютеры, планшеты и телефоны. Конечно же, чтобы находится в рамках правового поля — это все должно было быть выдано компанией, являться собственностью компании и передано «под роспись» сотрудника.
🔻 Осмотрите рабочее место на предмет записок, блокнотов и всяких бумаг, на которых может содержаться не только повседневно рабочие записи, но и что-то относящиеся к делу.
🔻 Сделайте выгрузку из системы СКУД о присутствии сотрудника на рабочем месте в предполагаемый временной отрезок произошедшего инцидента. (если доступ к утёкшим данным был в физическом периметре компании)
🔻 Сделайте выгрузку из системы видео наблюдения так же на временной отрезок предполагаемого инцидента (+- 15 дней). Хоть это и может казаться архаичным, но как показывает моя практика это может быть хорошим подспорьем в вашем расследование.
🔻 Блокируйте доступ из вне к исследуемой электронике – ни в коем случае не давайте возможности устройствам подключится к интернет чтобы у предполагаемого злоумышленника не было той самой возможности удалённо уничтожить следы своей деятельности.
Шаг второй! Подготовительный.
Тут стоит сделать маленькую ремарку. Как правило все эти действия предназначены для внутренних расследований и в судебных разбирательствах не используются, в этой связи я допущу в описание следующих шагов ряд вольностей, которые в судебной криминалистике недопустимы.
⏺ Если все серьёзно и вы планируете довести дело до суда или вы не уверены в том что вы делаете – то обращайтесь сразу к специалистам!!!
Иначе вы можете повредить, нечаянно безвозвратно удалить или испортить важные данные.⏺
(Ну вы поняли, это такая скрытая реклама - если что зовите!😎 Мы этим занимаемся.)
🔻 Создание копии носителя информации и дальнейшее развёртывание.
Этот шаг всегда необходим для того, чтобы в процессе исследования мы случайно не испортили или уничтожили по неосторожности очень важную информации и смогли из копии даже восстановить ранее удалённые файлы. Сделать это можно при помощи бесплатного инструмента “OSFСlone” который представляет из себя образ загрузочной флешки. Кстати, для создание загрузочной флешки можно использовать “Rufus” И обратите внимание что внешний носитель, который вы будете использовать для сохранения, копии должен быть несколько больше того с которого вы эту копию снимаете.
После этого эту копию вам нужно будет уже развернуть на компьютере предназначенном для изучения – для этого мы можем воспользоваться утилитой от тех же ребят из PassMark называемую “OSFMount”
1/2
#криминалистика
Ну что ж, продолжим про расследования утечек (и не только) и в этой части поговорим про криминалистику. Предположим, вы почти нашли злодея у себя в компании, но вам надо собрать какие-то доказательства его вины, а кроме как доступа к служебным(!) ноутбуку и смартфону предполагаемого злоумышленника у вас больше ничего нет. И конечно никаких DLP, SIEM, и подобным заранее устанавливаемых инструментов у вас нет- Ну, потому что «долго, дорого и с нами такого вряд ли когда-то случится!»
Что же делать руководителю службы безопасности, когда кажется, что вот он наш корпоративный шпион и остаётся только подтвердить это фактами?
Разберём по пяти шагам:
Шаг первый! Организационный.
🔻 Соберите все носители информации и электронику, которая располагалась на рабочем месте предполагаемого злодея. Флешки, внешние жёсткие диски, ноутбуки, компьютеры, планшеты и телефоны. Конечно же, чтобы находится в рамках правового поля — это все должно было быть выдано компанией, являться собственностью компании и передано «под роспись» сотрудника.
🔻 Осмотрите рабочее место на предмет записок, блокнотов и всяких бумаг, на которых может содержаться не только повседневно рабочие записи, но и что-то относящиеся к делу.
🔻 Сделайте выгрузку из системы СКУД о присутствии сотрудника на рабочем месте в предполагаемый временной отрезок произошедшего инцидента. (если доступ к утёкшим данным был в физическом периметре компании)
🔻 Сделайте выгрузку из системы видео наблюдения так же на временной отрезок предполагаемого инцидента (+- 15 дней). Хоть это и может казаться архаичным, но как показывает моя практика это может быть хорошим подспорьем в вашем расследование.
🔻 Блокируйте доступ из вне к исследуемой электронике – ни в коем случае не давайте возможности устройствам подключится к интернет чтобы у предполагаемого злоумышленника не было той самой возможности удалённо уничтожить следы своей деятельности.
Шаг второй! Подготовительный.
Тут стоит сделать маленькую ремарку. Как правило все эти действия предназначены для внутренних расследований и в судебных разбирательствах не используются, в этой связи я допущу в описание следующих шагов ряд вольностей, которые в судебной криминалистике недопустимы.
Иначе вы можете повредить, нечаянно безвозвратно удалить или испортить важные данные.
(Ну вы поняли, это такая скрытая реклама - если что зовите!
🔻 Создание копии носителя информации и дальнейшее развёртывание.
Этот шаг всегда необходим для того, чтобы в процессе исследования мы случайно не испортили или уничтожили по неосторожности очень важную информации и смогли из копии даже восстановить ранее удалённые файлы. Сделать это можно при помощи бесплатного инструмента “OSFСlone” который представляет из себя образ загрузочной флешки. Кстати, для создание загрузочной флешки можно использовать “Rufus” И обратите внимание что внешний носитель, который вы будете использовать для сохранения, копии должен быть несколько больше того с которого вы эту копию снимаете.
После этого эту копию вам нужно будет уже развернуть на компьютере предназначенном для изучения – для этого мы можем воспользоваться утилитой от тех же ребят из PassMark называемую “OSFMount”
Please open Telegram to view this post
VIEW IN TELEGRAM
10
КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ. ЧАСТЬ 3.
2/2
#криминалистика
Шаг третий! Восстановление данных.
Естественно, важные данные могут быть удалены на системном диске или каком то носителе который попал в поле ваших интересов и для того чтобы ничто не скрылось от вашего взора есть прямо ультимативный инструмент который может восстановить практически все что угодно – “R-STUDIO” – это единственное платное приложение в этих двух постах, но поверьте это того достойно. Да и стоит очень недорого для своих возможностей.
И не лишним будет напомнить – ни в коем случае не восстанавливайте данные на тот же носитель, с которого вы восстанавливаете. Это может привести к порче следов.
Шаг четвёртый! Сбор и поиск содержимого.
Тут из признанного, общедоступного, бесплатного и полезного конечно же стоит отметить “AUTOPSY” – прекрасный криминалистический комбайн для анализа содержимого носителей информации и представляющий следующие возможности:
🔻Анализ файловой системы:
- Просмотр и навигация по файловой структуре исследуемого устройства.
- Восстановление удалённых файлов и папок.
- Анализ метаданных файлов, таких как время создания, изменения, доступа.
🔻 Работа с разделами и томами:
- Определение типа и структуры разделов на исследуемом устройстве.
- Монтирование разделов для дальнейшего анализа.
- Извлечение информации из "скрытых" или "неразмеченных" разделов.
🔻 Поиск и фильтрация данных:
- Полнотекстовый поиск по содержимому файлов.
- Фильтрация файлов по различным критериям (имя, расширение, размер, дата и т.д.)
- Создание пользовательских фильтров для выборки интересующих данных.
🔻Анализ артефактов:
- Извлечение и анализ артефактов из различных источников, таких как браузеры, электронная почта, мессенджеры, облачные сервисы.
- Восстановление истории активности пользователя на исследуемом устройстве.
🔻 Визуализация данных:
- Построение временных шкал для визуализации активности пользователя.
- Создание диаграмм, графиков и отчетов для наглядного представления результатов анализа.
А когда перед нами возникает потребность найти что-то конкретное, например по ключевым словам (например словосочетания содержащиеся в утечке или конкретные номера, email, имена, названия и т.п.) то хочется посоветовать инструмент так любимый всеми исследователями - осинтерами “АРХИВАРИУС-3000” – ищет лучше Autopsy особенно если содержимое написано кирилицей и позволяет проводить поиск по любым массивам данных после процесса индексации буквально так как будто в вашем компьютере живут свои собственные яндекс с гуглом. Эта программа не поддерживается и не продаётся создателями с 2018 года, но вы наверняка сможете найти на разных ресурсах полнофункциональную версию для того, чтобы попробовать все ее обширные возможности в локальном поиске (И только попробовать! Ибо мы против пиратства!)
Шаг пятый! Анализ логов работы системы.
Конечно же можно использовать инструменты, встроенные в тот же самый AUTOPSY или любой другой криминалистический комбайн, но часто случается так, что проще, удобнее и проще использовать какие-то отдельные утилиты для решения конкретной задачи в определённом контексте.
- NirSoft Utilities – набор утилит для просмотра всего многообразия логов Windows компьютеров.
Например:
чтобы посмотреть к каким сетям wifi подключался компьютер (а вдруг это wifi принадлежащий конкурентам? Или домашняя точка доступа, того кто может точить на вашу компанию зуб воспользуйтесь NirSoft wifi history – вытаскивающая всю историю подключений к wifi точкам доступа. А при помощи сервиса Wigle можно посмотреть, где эта точка расположена фактически на карте.
Или NirSoft usb device view – позволяющий вытащить логи подключения usb устройств. Ну а вдруг наш «корпоративный шпион» втыкал флешку туда куда ее втыкать не нужно было.
- Shellbag Analizer небольшая утилита показывающая всю историю создания удаления и копирования файлов в системе.
2/2
#криминалистика
Шаг третий! Восстановление данных.
Естественно, важные данные могут быть удалены на системном диске или каком то носителе который попал в поле ваших интересов и для того чтобы ничто не скрылось от вашего взора есть прямо ультимативный инструмент который может восстановить практически все что угодно – “R-STUDIO” – это единственное платное приложение в этих двух постах, но поверьте это того достойно. Да и стоит очень недорого для своих возможностей.
И не лишним будет напомнить – ни в коем случае не восстанавливайте данные на тот же носитель, с которого вы восстанавливаете. Это может привести к порче следов.
Шаг четвёртый! Сбор и поиск содержимого.
Тут из признанного, общедоступного, бесплатного и полезного конечно же стоит отметить “AUTOPSY” – прекрасный криминалистический комбайн для анализа содержимого носителей информации и представляющий следующие возможности:
🔻Анализ файловой системы:
- Просмотр и навигация по файловой структуре исследуемого устройства.
- Восстановление удалённых файлов и папок.
- Анализ метаданных файлов, таких как время создания, изменения, доступа.
🔻 Работа с разделами и томами:
- Определение типа и структуры разделов на исследуемом устройстве.
- Монтирование разделов для дальнейшего анализа.
- Извлечение информации из "скрытых" или "неразмеченных" разделов.
🔻 Поиск и фильтрация данных:
- Полнотекстовый поиск по содержимому файлов.
- Фильтрация файлов по различным критериям (имя, расширение, размер, дата и т.д.)
- Создание пользовательских фильтров для выборки интересующих данных.
🔻Анализ артефактов:
- Извлечение и анализ артефактов из различных источников, таких как браузеры, электронная почта, мессенджеры, облачные сервисы.
- Восстановление истории активности пользователя на исследуемом устройстве.
🔻 Визуализация данных:
- Построение временных шкал для визуализации активности пользователя.
- Создание диаграмм, графиков и отчетов для наглядного представления результатов анализа.
А когда перед нами возникает потребность найти что-то конкретное, например по ключевым словам (например словосочетания содержащиеся в утечке или конкретные номера, email, имена, названия и т.п.) то хочется посоветовать инструмент так любимый всеми исследователями - осинтерами “АРХИВАРИУС-3000” – ищет лучше Autopsy особенно если содержимое написано кирилицей и позволяет проводить поиск по любым массивам данных после процесса индексации буквально так как будто в вашем компьютере живут свои собственные яндекс с гуглом. Эта программа не поддерживается и не продаётся создателями с 2018 года, но вы наверняка сможете найти на разных ресурсах полнофункциональную версию для того, чтобы попробовать все ее обширные возможности в локальном поиске (И только попробовать! Ибо мы против пиратства!)
Шаг пятый! Анализ логов работы системы.
Конечно же можно использовать инструменты, встроенные в тот же самый AUTOPSY или любой другой криминалистический комбайн, но часто случается так, что проще, удобнее и проще использовать какие-то отдельные утилиты для решения конкретной задачи в определённом контексте.
- NirSoft Utilities – набор утилит для просмотра всего многообразия логов Windows компьютеров.
Например:
чтобы посмотреть к каким сетям wifi подключался компьютер (а вдруг это wifi принадлежащий конкурентам? Или домашняя точка доступа, того кто может точить на вашу компанию зуб воспользуйтесь NirSoft wifi history – вытаскивающая всю историю подключений к wifi точкам доступа. А при помощи сервиса Wigle можно посмотреть, где эта точка расположена фактически на карте.
Или NirSoft usb device view – позволяющий вытащить логи подключения usb устройств. Ну а вдруг наш «корпоративный шпион» втыкал флешку туда куда ее втыкать не нужно было.
- Shellbag Analizer небольшая утилита показывающая всю историю создания удаления и копирования файлов в системе.
11
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ПРОВОДИТЬ УСПЕШНЫЕ УЧЕБНЫЕ ФИШИНГОВЫЕ АТАКИ.
#тестирование
1. Определите "флаги" - фактическое действие или факт предоставления доступа к определённой информации. Разделите их по уровня критичности для вашего бизнеса
Например:
- переход по ссылке
- загрузка и запуск файла
- ввод пары логини/пароль в фишинговой форме.
- факт предоставления внутренней информации стороннему лицу в переписке или телефонном разговоре.
2. Определите модель угроз и вероятность фактического наступления недопустимого события через тот вид учебной фишинговой атаки, которую вы проводите. Чтобы не допустить надуманности и бессмысленности проводимых мероприятий.
3. Определите «цели» — человека или группы людей, которые будут являться объектами тестирования. Сгруппируйте их по возможности доступа к внутренней информации и возможной критичности их действий относительно проводимой фишинговой атаки.
Пример
Цель: Бухгалтер (финансовый отдел)
Флаг: Ввод пары логин/пароль в фишинговую форму CRM-системы.
Угроза: Предоставление доступа к финансовой информации компании.
4. Создайте сценарий-легенду проведения каждого вектора атаки для каждой целевой группы.
Пример
Флаг: загрузка и запуск файла
Цель: Юрист (юридический департамент)
Легенда: файл содержащий договор с контрагентом (и гипотетически вредоносную нагрузку) преданный с курьером (присланный по почте) , требующего срочного открытия или рецензия.
5. Подберите инструментарий для проведения учебной атаки, фиксации "флагов" и фиксации хода событий для дальнейшего разбора.
Из бесплатных и с открытым кодом:
- SocialFish
- Gophish
- King Phisher
(подробнее о каждом инструменте можно прочитать тут.)
#тестирование
1. Определите "флаги" - фактическое действие или факт предоставления доступа к определённой информации. Разделите их по уровня критичности для вашего бизнеса
Например:
- переход по ссылке
- загрузка и запуск файла
- ввод пары логини/пароль в фишинговой форме.
- факт предоставления внутренней информации стороннему лицу в переписке или телефонном разговоре.
2. Определите модель угроз и вероятность фактического наступления недопустимого события через тот вид учебной фишинговой атаки, которую вы проводите. Чтобы не допустить надуманности и бессмысленности проводимых мероприятий.
3. Определите «цели» — человека или группы людей, которые будут являться объектами тестирования. Сгруппируйте их по возможности доступа к внутренней информации и возможной критичности их действий относительно проводимой фишинговой атаки.
Пример
Цель: Бухгалтер (финансовый отдел)
Флаг: Ввод пары логин/пароль в фишинговую форму CRM-системы.
Угроза: Предоставление доступа к финансовой информации компании.
4. Создайте сценарий-легенду проведения каждого вектора атаки для каждой целевой группы.
Пример
Флаг: загрузка и запуск файла
Цель: Юрист (юридический департамент)
Легенда: файл содержащий договор с контрагентом (и гипотетически вредоносную нагрузку) преданный с курьером (присланный по почте) , требующего срочного открытия или рецензия.
5. Подберите инструментарий для проведения учебной атаки, фиксации "флагов" и фиксации хода событий для дальнейшего разбора.
Из бесплатных и с открытым кодом:
- SocialFish
- Gophish
- King Phisher
(подробнее о каждом инструменте можно прочитать тут.)
11
This media is not supported in your browser
VIEW IN TELEGRAM
КАК ПРОВОДИТЬ ОПЕРАТИВНЫЙ МОНИТОРИНГ ИНФОРМАЦИОННОГО ПРОСТРАНСТВА. ЧАСТЬ 1/2. ПОДБОР СЛОВ ТРИГГЕРОВ.
#osint
Потребность постоянно мониторить сеть на предмет появления какой-либо информации может быть полезным совершенно для разных целей. Например, в наше неспокойное время это может быть важным для оперативного обнаружения утечек из вашей компании, или начавшуюся информационную атаку против вас или все той же вашей компании, ну и до кучи много чего ещё полезного в плане быть в курсе какой-то темы. Как обычно кратко и по пунктам:
🔻Определить набор ключевых слов и словосочетаний:
Выпишите в столбик все слова и наборы слов, которые могут употребляться для поиска искомой вами темы. Обратите внимание они могут отличаться от тех, которые вы используете в поисковых запросах. Например, один из моих личных маяков, при помощи которого я оперативно получаю всю информацию о себе и упоминание своих медиа содержит вот такие триггеры и причины того, почему использую именно их:
• Борощук – фамилия достаточно редкая в инфополе, поэтому можно использовать это как слово-триггер относительно самого себя. Но могут быть периодические совпадения.
• "Дмитрий Борощук" – так обычно пишут моё имя в сочетание с фамилией. Обратите внимание на кавычки — это оператор, указывающий на то, чтобы было точное совпадение в расстановке слов.
• "Борощук Дмитрий" – в таком порядке тоже часто указывают моё имя и фамилию, поэтому так же добавим в перечень.
• BeholderIsHere – мой ник или юзернейм, которым я подписываюсь достаточно давно в публичном поле. Здесь надо сделать маленькую ремарку- часто его сокращают до просто Beholder или транслитерацию Бехолдер или Бихолдер, но ввиду того, что Бехолдеров много, то использование этих слов можно считать излишним в качестве триггера, так как это будет причиной большого количества ложных срабатываний.
• Forensictools – название моего популярного телеграмм канала, на который я часто ссылаюсь и который может ассоциироваться со мной.
• "Форензик тулз" – используемое словосочетание в разговорной форме чатах, пабликах и группах.
• BIHconsulting – имя ТГ канала (в котором вы все это читаете) и который так же ассоциируются со мной.
• BEHOLDERISHEREconsulting – так я обычно сам пишу название своей компании в текстах которые могут репостить.
• “Beholderishere consulting” – а так, обычно пишут в медиа, где меня упоминают относительно компании.
В итоге мы имеем набор слов-триггеров для формирования поискового маяка.
🔻Откуда брать вдохновение для подобного списка:
- Сервис подбора слов для поиска Яндекс Вордстат
- Смотрим, как и в какой форме употребляют в разговорной речи вас или название вашей компании в прессе, официальных каналах, в разговорной форме в социальных сетях в группах и чатах.
Ну а дальше сформировать сам маяк используя оператор OR или вертикальную черту |
🔻По итогам ваш маяк будет выглядеть примерно так, как у меня:
Борощук | "Дмитрий Борощук" | "Борощук Дмитрий" | BeholderIsHere | Forensictools | "Форензик тулз" | BIHconsulting | "Beholderishere consulting" | BEHOLDERISHEREconsulting
При этом учитывайте что "маяки" создаютсяс такими же примерно базовыми логическими операторами как и dork - и. И вы, в едином запросе можете уместить относительно сложную логику с использованием слов- триггеров, слов исключений и их взаимодействие между собой.
часть вторая.
#osint
Потребность постоянно мониторить сеть на предмет появления какой-либо информации может быть полезным совершенно для разных целей. Например, в наше неспокойное время это может быть важным для оперативного обнаружения утечек из вашей компании, или начавшуюся информационную атаку против вас или все той же вашей компании, ну и до кучи много чего ещё полезного в плане быть в курсе какой-то темы. Как обычно кратко и по пунктам:
🔻Определить набор ключевых слов и словосочетаний:
Выпишите в столбик все слова и наборы слов, которые могут употребляться для поиска искомой вами темы. Обратите внимание они могут отличаться от тех, которые вы используете в поисковых запросах. Например, один из моих личных маяков, при помощи которого я оперативно получаю всю информацию о себе и упоминание своих медиа содержит вот такие триггеры и причины того, почему использую именно их:
• Борощук – фамилия достаточно редкая в инфополе, поэтому можно использовать это как слово-триггер относительно самого себя. Но могут быть периодические совпадения.
• "Дмитрий Борощук" – так обычно пишут моё имя в сочетание с фамилией. Обратите внимание на кавычки — это оператор, указывающий на то, чтобы было точное совпадение в расстановке слов.
• "Борощук Дмитрий" – в таком порядке тоже часто указывают моё имя и фамилию, поэтому так же добавим в перечень.
• BeholderIsHere – мой ник или юзернейм, которым я подписываюсь достаточно давно в публичном поле. Здесь надо сделать маленькую ремарку- часто его сокращают до просто Beholder или транслитерацию Бехолдер или Бихолдер, но ввиду того, что Бехолдеров много, то использование этих слов можно считать излишним в качестве триггера, так как это будет причиной большого количества ложных срабатываний.
• Forensictools – название моего популярного телеграмм канала, на который я часто ссылаюсь и который может ассоциироваться со мной.
• "Форензик тулз" – используемое словосочетание в разговорной форме чатах, пабликах и группах.
• BIHconsulting – имя ТГ канала (в котором вы все это читаете) и который так же ассоциируются со мной.
• BEHOLDERISHEREconsulting – так я обычно сам пишу название своей компании в текстах которые могут репостить.
• “Beholderishere consulting” – а так, обычно пишут в медиа, где меня упоминают относительно компании.
В итоге мы имеем набор слов-триггеров для формирования поискового маяка.
🔻Откуда брать вдохновение для подобного списка:
- Сервис подбора слов для поиска Яндекс Вордстат
- Смотрим, как и в какой форме употребляют в разговорной речи вас или название вашей компании в прессе, официальных каналах, в разговорной форме в социальных сетях в группах и чатах.
Ну а дальше сформировать сам маяк используя оператор OR или вертикальную черту |
🔻По итогам ваш маяк будет выглядеть примерно так, как у меня:
Борощук | "Дмитрий Борощук" | "Борощук Дмитрий" | BeholderIsHere | Forensictools | "Форензик тулз" | BIHconsulting | "Beholderishere consulting" | BEHOLDERISHEREconsulting
При этом учитывайте что "маяки" создаютсяс такими же примерно базовыми логическими операторами как и dork - и. И вы, в едином запросе можете уместить относительно сложную логику с использованием слов- триггеров, слов исключений и их взаимодействие между собой.
часть вторая.
5
КАК ПРОВОДИТЬ ОПЕРАТИВНЫЙ МОНИТОРИНГ ИНФОРМАЦИОННОГО ПРОСТРАНСТВА. ЧАСТЬ 2/2. СЕРВИСЫ И ПРОГРАММЫ.
#osint
🔻МОНИТОРИМ GOOGLE. Сервис Google Alerts - прекрасный бесплатный инструмент для оповещения вас тогда, когда в поисковую выдачу Google попадают материалы содержащие слова-триггеры или словосочетания, которые вы поставили на мониторинг.
🔻МОНИТОРИМ ТЕЛЕГРАМ. Сервис Tgstat Alerts - сервис позволяющий отслеживать словосочетания, слова-триггеры, упоминания каналов, группы и отдельные юзернеймы. Упоминания шлёт в своего бота, на который вы должны быть подписаны, в указанную вами группу, либо в виде ссылки. Сервис платный – 450 рублей за отслеживание.
🔻МОНИТОРИМ НОВОСТНЫЕ ЛЕНТЫ. RSS-сервис – если вы сформировали пул источников данных то вы можете отлеживать их через агрегаторы RRS потоков. Их достаточно большое количество, поэтому тут все на ваш вкус, только обращайте внимание, чтобы у него был функционал позволяющий отслеживать по ключевым словам. Лично я использую мультиплатформенный Feedly. Есть бесплатная и платная версия.
🔻МОНИТОРИМ ИЗМЕНЕНИЯ НА САЙТЕ. Детектор изменений – решения, связанные с отслеживанием изменений на отдельном сайте. Я использую для этого сервис CHANGEDETECTION который позволяет отслеживать не только изменения в тактовом виде, но и изменение файлов, фото и отдельных элементов. Бесплатен если вы его сможете развернуть сами внутри собственной инфраструктуры, либо в виде сервиса за небольшие деньги.
🔻МОНИТОРИМ СОЦИАЛЬНЫЕ МЕДИА. Сервис BABKEE позволяющий мониторить социальные медиа. Своеобразный дизайн, но полностью бесплатный, хоть и с ограничениями - двумя объектами мониторинга.
Ну и конечно же логично использовать таких монстров информационного мониторинга как:
- Крибрум
- Медиалогия
Но тут уже совсем другой порядок цен, хотя и возможностей гораздо больше. И если ты солидный парень или девушка при бюджете, то можно только порадоваться, за тебя и посоветовать использовать этих двоих.)
часть первая.
#osint
🔻МОНИТОРИМ GOOGLE. Сервис Google Alerts - прекрасный бесплатный инструмент для оповещения вас тогда, когда в поисковую выдачу Google попадают материалы содержащие слова-триггеры или словосочетания, которые вы поставили на мониторинг.
🔻МОНИТОРИМ ТЕЛЕГРАМ. Сервис Tgstat Alerts - сервис позволяющий отслеживать словосочетания, слова-триггеры, упоминания каналов, группы и отдельные юзернеймы. Упоминания шлёт в своего бота, на который вы должны быть подписаны, в указанную вами группу, либо в виде ссылки. Сервис платный – 450 рублей за отслеживание.
🔻МОНИТОРИМ НОВОСТНЫЕ ЛЕНТЫ. RSS-сервис – если вы сформировали пул источников данных то вы можете отлеживать их через агрегаторы RRS потоков. Их достаточно большое количество, поэтому тут все на ваш вкус, только обращайте внимание, чтобы у него был функционал позволяющий отслеживать по ключевым словам. Лично я использую мультиплатформенный Feedly. Есть бесплатная и платная версия.
🔻МОНИТОРИМ ИЗМЕНЕНИЯ НА САЙТЕ. Детектор изменений – решения, связанные с отслеживанием изменений на отдельном сайте. Я использую для этого сервис CHANGEDETECTION который позволяет отслеживать не только изменения в тактовом виде, но и изменение файлов, фото и отдельных элементов. Бесплатен если вы его сможете развернуть сами внутри собственной инфраструктуры, либо в виде сервиса за небольшие деньги.
🔻МОНИТОРИМ СОЦИАЛЬНЫЕ МЕДИА. Сервис BABKEE позволяющий мониторить социальные медиа. Своеобразный дизайн, но полностью бесплатный, хоть и с ограничениями - двумя объектами мониторинга.
Ну и конечно же логично использовать таких монстров информационного мониторинга как:
- Крибрум
- Медиалогия
Но тут уже совсем другой порядок цен, хотя и возможностей гораздо больше. И если ты солидный парень или девушка при бюджете, то можно только порадоваться, за тебя и посоветовать использовать этих двоих.)
часть первая.
10