Добрый вечер, разберём тему, и поставим точку по вопросу бремя доказательств.
В OSINT бремя доказательств всегда на том, кто делает утверждение.
Не на том, кого обвиняют. Не на "жертве", которая должна бегать и доказывать что "это не я" и делать опровержение.
Вы скажите, почему?!
Потому что любой школьник может взять ник, фото, геолокацию и сказать смотрите, это он, я его валиднул!😆. И понеслась. В интернете это называется догсинг (доксинг), и этим любят заниматься те, кому лень докапываться до истины.
Как должно работать по нормальному:
Ты утверждаешь что аккаунт @dude123 принадлежит Ивану Иванычу? Ок, тащи доказательства:
- Совпадение никнеймов на разных платформах
- Привязка к одному мылу (через открытые источники)
- Фото, которые гуглятся на него
- Временные метки, геолокация, пересечения с другими людьми
Только когда фактов достаточно, чтобы исключить случайное совпадение - можно говорить о связи.
Если человек говорит это не я - это не его проблема доказывать обратное. Это проблема того, кто пришёл с обвинением ( догсер ).
В OSINT нет презумпции виновности. Есть презумпция: "данные ничего не значат, пока не подтверждены перекрёстно"
Вопрос закрыт.🙂
В OSINT бремя доказательств всегда на том, кто делает утверждение.
Не на том, кого обвиняют. Не на "жертве", которая должна бегать и доказывать что "это не я" и делать опровержение.
Вы скажите, почему?!
Потому что любой школьник может взять ник, фото, геолокацию и сказать смотрите, это он, я его валиднул!😆. И понеслась. В интернете это называется догсинг (доксинг), и этим любят заниматься те, кому лень докапываться до истины.
Как должно работать по нормальному:
Ты утверждаешь что аккаунт @dude123 принадлежит Ивану Иванычу? Ок, тащи доказательства:
- Совпадение никнеймов на разных платформах
- Привязка к одному мылу (через открытые источники)
- Фото, которые гуглятся на него
- Временные метки, геолокация, пересечения с другими людьми
Только когда фактов достаточно, чтобы исключить случайное совпадение - можно говорить о связи.
Если человек говорит это не я - это не его проблема доказывать обратное. Это проблема того, кто пришёл с обвинением ( догсер ).
В OSINT нет презумпции виновности. Есть презумпция: "данные ничего не значат, пока не подтверждены перекрёстно"
Вопрос закрыт.🙂
❤1
Все же слышали про фаерволл? так вот
Фаерволл: что это и как работает
Фаерволл это фильтр трафика между твоим компом и внешним миром.
Как работает:
Пакеты данных содержат адрес, порт и протокол. Фаерволл сверяет их с правилами: разрешено то пропускает, нет то блокирует.
Схема защиты:
Твой комп <–> Фаерволл <–> Интернет
От чего защищает:
- От сканирования портов
- От доступа к закрытым сервисам извне
- От перебора подключений (при настройке)
- От нежелательного трафика
Важно:
Фаерволл: что это и как работает
Фаерволл это фильтр трафика между твоим компом и внешним миром.
Как работает:
Пакеты данных содержат адрес, порт и протокол. Фаерволл сверяет их с правилами: разрешено то пропускает, нет то блокирует.
Схема защиты:
Твой комп <–> Фаерволл <–> Интернет
От чего защищает:
- От сканирования портов
- От доступа к закрытым сервисам извне
- От перебора подключений (при настройке)
- От нежелательного трафика
Важно:
Фаерволл не спасет от вирусов и тупых действий юзера. Это просто фильтр на входе
❤1
Разбавим контент по плану, инструментарий)
Утилиты из гитхаба для работы с сетевым трафиком. Я разобрал их по задачам.
Для безопасников и пентестеров
Nmap сканирует порты и понимает что за сервис висит с другой стороны.
BetterCAP перехватывает трафик в локальной сети и собирает данные.
Scapy помогает собирать пакеты вручную. Работает через Python.
Mitmproxy показывает весь http и https трафик между клиентом и сервером.
Aircrack-ng проверяет защиту Wi-Fi сетей.
Для сисадминов
Zabbix следит за серверами и сетью. Оповещает если что-то падает.
Ntopng показывает кто сейчас жрет трафик и сколько.
NetMonGuard находит подозрительную активность и открытые порты через bash.
Rclone синхронизирует файлы между облаками и серверами.
Для анализа трафика
Wireshark открывает pcap файлы и показывает каждый пакет.
Tcpdump делает то же самое в консоли.
Malcolm собирает в кучу логи, алерты и весь трафик для расследований.
Netsniff-ng сниффит на высоких скоростях в Linux.
Специфические инструменты
Amnezia VPN поднимает свой сервер для обхода блокировок.
Intercepter-NG ловит пароли и сообщения в локальной сети.
Утилиты из гитхаба для работы с сетевым трафиком. Я разобрал их по задачам.
Для безопасников и пентестеров
Nmap сканирует порты и понимает что за сервис висит с другой стороны.
BetterCAP перехватывает трафик в локальной сети и собирает данные.
Scapy помогает собирать пакеты вручную. Работает через Python.
Mitmproxy показывает весь http и https трафик между клиентом и сервером.
Aircrack-ng проверяет защиту Wi-Fi сетей.
Для сисадминов
Zabbix следит за серверами и сетью. Оповещает если что-то падает.
Ntopng показывает кто сейчас жрет трафик и сколько.
NetMonGuard находит подозрительную активность и открытые порты через bash.
Rclone синхронизирует файлы между облаками и серверами.
Для анализа трафика
Wireshark открывает pcap файлы и показывает каждый пакет.
Tcpdump делает то же самое в консоли.
Malcolm собирает в кучу логи, алерты и весь трафик для расследований.
Netsniff-ng сниффит на высоких скоростях в Linux.
Специфические инструменты
Amnezia VPN поднимает свой сервер для обхода блокировок.
Intercepter-NG ловит пароли и сообщения в локальной сети.
🤔1
Почему меня бесит "км"
Всё, что я скажу дальше, будет только критикой. Никаких компромиссов.
Кто такие "масоны"
Это люди из тиктока. Они нахватались ботов: шерлок, вектор инфо, фанстат. Теперь бегают и пугают валидациями всех подряд.
Они называют себя осинтерами. Создают проекты с пафосными названиями: "белые лебеди", "черные гуси". И доксят людей.
Замечал, что сейчас каждый второй вешает себе этот префикс? От настоящего OSINT у них только слово. Этики нет. Методологии нет. Ничего нет.
При этом у них раздутое эго: "мы, осинтеры, лучше тупых догсеров". Хотя по факту они такие же догсеры.
Про поверхностное мышление
В тиктоке и телеграме много людей, которые мыслят кринжово. Для них хакер — это опасный тип из кино. Обычную DDoS-атаку на Роскомнадзор они называют победой.
То же самое с осинтом: "Они молодцы, дефают мирняк!"
Эти люди вступают в "км" и с гордостью носят префикс "осинтер".
Про сленг
Слышал эти слова: км, деф, газ, кф, урон, каста, сап? Меня от них тошнит. Особенно от "деф".
Про ники
"Кровопролитый #ангел". Звучит оригинально, да? Почему у всех фамилии-конструкторы: Куколдов, Книжков? Обязательно добавляют AFK в ник. Это же пиздец как круто.
А если ещё и "км" приписать — вообще идеально.
Они используют слово "лика" вместо "личность". Лика — это ликвидность, или цветы. Язык сломается сказать нормально?
Про аватарки
У всех "масонов" одинаковые авы: анонимусы, ангелы. Классический догсерский стиль. Даже обсуждать нечего.
Про эдиты
Они называют себя осинтерами и выкладывают эдиты с личными данными людей. Это зашквар. Это нарушение этики.
Эдитов становится всё больше. Они размножаются как микробы.
Про этичность
"Масонам" похую на этику. Они делают то, что хотят.
Их "пасты" с личными данными лежат в телеграм-проектах. Выкладывают их и называют это "работой".
Их отмазка: "Это же открытые источники, значит можно. Мы деаноним плохих людей, разве нельзя?"
Короткий ответ: нельзя.
Догс использует любые источники: открытые, полузакрытые, любые. Если ты публикуешь личную информацию — это догсинг. Открытость данных не отменяет незаконность их сбора и распространения. Это 152-ФЗ.
Не читают этические нормы OSINT. Они даже не знают о них. Но утверждают, что ничего не нарушают.
На это я слышу всё то же "похуй".
Нарушать этику — не похуй. А когда тебе говорят, что ты её нарушаешь — сразу похуй. Логика "кмщиков" работает как-то так.
Про внекмщиков
Они делают то же самое. Все пункты выше про них тоже. Но при этом говорят: "кмщики фу, какахи, а я не кмщик, я крутой". Хотя по факту они такие же догсеры.
Про тупые вопросы
Меня заебали вопросы в стиле:
"Назови 5 веток осинта"
"Какие основные порты"
"Как закрыть 5000 порт" (зачем?)
"Сколько всего веток осинта"
Какой смысл в этих вопросах? Спроси их, как работает методология OSINT. Они полезут в гугл. Потому что слышат это слово впервые. Они не знают, как устроен настоящий OSINT. Только тот, что навязали в тиктоке.
Если еще что-то придет в голову, допишу, а так основную критику выписал.
Всё, что я скажу дальше, будет только критикой. Никаких компромиссов.
Кто такие "масоны"
Это люди из тиктока. Они нахватались ботов: шерлок, вектор инфо, фанстат. Теперь бегают и пугают валидациями всех подряд.
Они называют себя осинтерами. Создают проекты с пафосными названиями: "белые лебеди", "черные гуси". И доксят людей.
Замечал, что сейчас каждый второй вешает себе этот префикс? От настоящего OSINT у них только слово. Этики нет. Методологии нет. Ничего нет.
При этом у них раздутое эго: "мы, осинтеры, лучше тупых догсеров". Хотя по факту они такие же догсеры.
Про поверхностное мышление
В тиктоке и телеграме много людей, которые мыслят кринжово. Для них хакер — это опасный тип из кино. Обычную DDoS-атаку на Роскомнадзор они называют победой.
То же самое с осинтом: "Они молодцы, дефают мирняк!"
Эти люди вступают в "км" и с гордостью носят префикс "осинтер".
Про сленг
Слышал эти слова: км, деф, газ, кф, урон, каста, сап? Меня от них тошнит. Особенно от "деф".
Про ники
"Кровопролитый #ангел". Звучит оригинально, да? Почему у всех фамилии-конструкторы: Куколдов, Книжков? Обязательно добавляют AFK в ник. Это же пиздец как круто.
А если ещё и "км" приписать — вообще идеально.
Они используют слово "лика" вместо "личность". Лика — это ликвидность, или цветы. Язык сломается сказать нормально?
Про аватарки
У всех "масонов" одинаковые авы: анонимусы, ангелы. Классический догсерский стиль. Даже обсуждать нечего.
Про эдиты
Они называют себя осинтерами и выкладывают эдиты с личными данными людей. Это зашквар. Это нарушение этики.
Говоришь им об этом. Слышишь в ответ: "похуй".
Эдитов становится всё больше. Они размножаются как микробы.
Про этичность
"Масонам" похую на этику. Они делают то, что хотят.
Их "пасты" с личными данными лежат в телеграм-проектах. Выкладывают их и называют это "работой".
Их отмазка: "Это же открытые источники, значит можно. Мы деаноним плохих людей, разве нельзя?"
Короткий ответ: нельзя.
Догс использует любые источники: открытые, полузакрытые, любые. Если ты публикуешь личную информацию — это догсинг. Открытость данных не отменяет незаконность их сбора и распространения. Это 152-ФЗ.
Не читают этические нормы OSINT. Они даже не знают о них. Но утверждают, что ничего не нарушают.
На это я слышу всё то же "похуй".
Нарушать этику — не похуй. А когда тебе говорят, что ты её нарушаешь — сразу похуй. Логика "кмщиков" работает как-то так.
Про внекмщиков
Они делают то же самое. Все пункты выше про них тоже. Но при этом говорят: "кмщики фу, какахи, а я не кмщик, я крутой". Хотя по факту они такие же догсеры.
Про тупые вопросы
Меня заебали вопросы в стиле:
"Назови 5 веток осинта"
"Какие основные порты"
"Как закрыть 5000 порт" (зачем?)
"Сколько всего веток осинта"
Какой смысл в этих вопросах? Спроси их, как работает методология OSINT. Они полезут в гугл. Потому что слышат это слово впервые. Они не знают, как устроен настоящий OSINT. Только тот, что навязали в тиктоке.
Если еще что-то придет в голову, допишу, а так основную критику выписал.
🐳1🏆1
Первый опыт в SOC: как я чинил интернет и понял, что такое настоящая диагностика
После установки VirtualBox и ProtonVPN на новый ноутбук интернет перестал работать на следующий день. Ноут видел сеть, получал IP, но пакеты не уходили. Пинг до роутера выдавал "Общий сбой". Обычные методы вроде перезагрузки роутера и ipconfig /renew не помогали.
Диагностика показала, что проблема не в роутере и не в системе: ARP-запросы проходили, но одноадресные пакеты (ICMP, UDP, TCP) не отправлялись. Чип Wi-Fi (Realtek 8852BE) получал команды, но не мог их выполнить. Оказалось, что VirtualBox и ProtonVPN оставили сетевые фильтры, которые заблокировали передачу данных на уровне драйверов.
Что делал: сброс сетевого стека, переустановка драйверов, правка реестра, анализ трафика в Wireshark, глубокое восстановление системы через DISM и SFC. Ничего не помогало, пока я не сделал полный сброс Windows с очисткой диска. ( очистка была где-то 2 часа или больше ) После этого интернет заработал. Виртуалку и VPN решил пока не ставить, чтобы не рисковать.
После установки VirtualBox и ProtonVPN на новый ноутбук интернет перестал работать на следующий день. Ноут видел сеть, получал IP, но пакеты не уходили. Пинг до роутера выдавал "Общий сбой". Обычные методы вроде перезагрузки роутера и ipconfig /renew не помогали.
Диагностика показала, что проблема не в роутере и не в системе: ARP-запросы проходили, но одноадресные пакеты (ICMP, UDP, TCP) не отправлялись. Чип Wi-Fi (Realtek 8852BE) получал команды, но не мог их выполнить. Оказалось, что VirtualBox и ProtonVPN оставили сетевые фильтры, которые заблокировали передачу данных на уровне драйверов.
Что делал: сброс сетевого стека, переустановка драйверов, правка реестра, анализ трафика в Wireshark, глубокое восстановление системы через DISM и SFC. Ничего не помогало, пока я не сделал полный сброс Windows с очисткой диска. ( очистка была где-то 2 часа или больше ) После этого интернет заработал. Виртуалку и VPN решил пока не ставить, чтобы не рисковать.
Вывод: проблема не в программах, а в их конфликте на капризном чипе. Главный урок для меня — перед установкой любого софта, который лезет в сеть, нужно создавать точку восстановления. А ещё — настоящий SOC-специалист начинается с умения спокойно разбираться в том, что пошло не так, и доводить дело до конца.
Главная ошибка новичков — сразу лезть с брутом и сканерами. Это путь в никуда.
Без этого ты как слепой котенок. Будешь долбиться в закрытую дверь, поднимешь шума на всю сетку, потратишь время на то, что клиент уже выпилил год назад. А реально слабое место так и останется незамеченным, потому что оно лежит не в главном домене, а где-то на test.admin.старый-сервер.com
Хороший пентестер 70% времени собирает информацию. И только 30% атакует. Потому что знает: если правильно подготовиться, то на атаку много времени уже не нужно. Все слабые места уже на карте.
Веб-рекон — это когда ты сначала узнаешь о цели всё, что можно узнать публично. Поддомены, которые давно забыты. Старые версии на S3. Утечки в гитхабе. Кто там вообще работает и на чем. А уже потом начинаешь трогать.
Без этого ты как слепой котенок. Будешь долбиться в закрытую дверь, поднимешь шума на всю сетку, потратишь время на то, что клиент уже выпилил год назад. А реально слабое место так и останется незамеченным, потому что оно лежит не в главном домене, а где-то на test.admin.старый-сервер.com
Пентест без рекона — это не проверка безопасности, а лотерея. Повезет — найдешь что-то поверхностное. Не повезет — просто пошумишь и уйдешь.
Хороший пентестер 70% времени собирает информацию. И только 30% атакует. Потому что знает: если правильно подготовиться, то на атаку много времени уже не нужно. Все слабые места уже на карте.
❤1
Фактчекинг в OSINT - это охота. Ты не проверяешь информацию, ты пытаешься её убить. Если выжила - значит, правда.
Лучше всего это видно на примере GEOINT. В телеграм-канале летит видео: колонна техники вошла в город N. Твоя задача — подтвердить или нет.
Начинаешь с геолокации. Вытаскиваешь стоп-кадр, лезешь в Google Earth. Дома, перекресток, вывески - всё совпадает. Город действительно N. Но это не значит, что видео свежее.
Проверяешь время по теням - падают на северо-восток, солнце на юго-западе, значит, утро. Смотришь погоду: лужи и снег. Лезешь в архив - такие условия были три месяца назад. Детали: на машинах нет зимней резины, баннер на здании сняли полгода назад.
Видео настоящее, геолокация верная, но старое. В канале выдали за свежее. Факт правдивый, картина - ложь.
Если у тебя только видео и вера - ты не фактчекер. Сомневайся во всем. Ищи подтверждения из трех мест. Даже реальное видео может врать контекстом
Лучше всего это видно на примере GEOINT. В телеграм-канале летит видео: колонна техники вошла в город N. Твоя задача — подтвердить или нет.
Начинаешь с геолокации. Вытаскиваешь стоп-кадр, лезешь в Google Earth. Дома, перекресток, вывески - всё совпадает. Город действительно N. Но это не значит, что видео свежее.
Проверяешь время по теням - падают на северо-восток, солнце на юго-западе, значит, утро. Смотришь погоду: лужи и снег. Лезешь в архив - такие условия были три месяца назад. Детали: на машинах нет зимней резины, баннер на здании сняли полгода назад.
Видео настоящее, геолокация верная, но старое. В канале выдали за свежее. Факт правдивый, картина - ложь.
Главный принцип: один источник - не источник. Ты использовал снимки, архив погоды, тени.
Если у тебя только видео и вера - ты не фактчекер. Сомневайся во всем. Ищи подтверждения из трех мест. Даже реальное видео может врать контекстом
❤1
Прозрачность в интернете для OSINT - как открытая дверь, в которую даже ломаться не надо.
Люди сами выкладывают всё. Геолокации в сторис, фото паспортов, чеки из кафе, названия проектов в LinkedIn. Не потому что глупые, а потому что не думают, кто это читает. Для сбора данных это рай.
Компании тоже раскрывают себя. WHOIS, реестры, открытые API. Но здесь прозрачность часто fake - данные прячут за прокси, регистрируют на подставных.
Смешно другое. Чем прозрачнее мир, тем проще собирать досье. Не потому что там секреты. А потому что люди сами собирают пазл из своих же публичных действий. И даже не замечают этого.
Для OSINT прозрачность - это не про честность. Это про доступность. Что видно, то и используем. А видно сегодня почти всё.
Люди сами выкладывают всё. Геолокации в сторис, фото паспортов, чеки из кафе, названия проектов в LinkedIn. Не потому что глупые, а потому что не думают, кто это читает. Для сбора данных это рай.
Компании тоже раскрывают себя. WHOIS, реестры, открытые API. Но здесь прозрачность часто fake - данные прячут за прокси, регистрируют на подставных.
Смешно другое. Чем прозрачнее мир, тем проще собирать досье. Не потому что там секреты. А потому что люди сами собирают пазл из своих же публичных действий. И даже не замечают этого.
Для OSINT прозрачность - это не про честность. Это про доступность. Что видно, то и используем. А видно сегодня почти всё.
❤1👍1🏆1
Сменить аватарку и включить VPN - это не анонимность. Анонимность - это сломать свой стиль.
Каждый человек пишет уникально. Длина предложений, запятые, любимые слова, привычка ставить пробел после тире или нет - это цифровой почерк. Сменить его сложнее, чем отпечатки пальцев.
Завел новый аккаунт, но оставил старые речевые привычки? Тебя вычислят не по IP, а по трем восклицательным знакам подряд.
С голосом то же самое. Один сторис - и твой темп речи, паузы, акцент уже в базе.
Хочешь быть невидимым - меняй не маску, а себя. Иначе никакой VPN не спасет.
Каждый человек пишет уникально. Длина предложений, запятые, любимые слова, привычка ставить пробел после тире или нет - это цифровой почерк. Сменить его сложнее, чем отпечатки пальцев.
Завел новый аккаунт, но оставил старые речевые привычки? Тебя вычислят не по IP, а по трем восклицательным знакам подряд.
С голосом то же самое. Один сторис - и твой темп речи, паузы, акцент уже в базе.
Хочешь быть невидимым - меняй не маску, а себя. Иначе никакой VPN не спасет.
❤1
Пока что нет времени на постов, я прохожу курсы по кибербезопасности от cisco, если что, потому накину вам материала из курса, почитаете по желанию👌