⁤На прошлой неделе H&M выпилили изо всех китайских сервисов из-за того, что компания присоединилась к заявлению "мы поддерживаем требования перестать угнетать уйгуров в Китае".

Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.

Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.

Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.

Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.

phonerator - инструмент от создателя утилиты email2phonenumber, позволяющий генерировать реально существующие номера телефонов по маске. Поддерживает фильтрацию по местоположению и оператору, а также экспорт в .vcf для дальнейшего импорта в телефонную книгу.

Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅

Пока что только американские номера.

Обзор кастомных протоколов общения с c2 популярных rat

https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols

Выпуск 3.2021

Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».

Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU

⁤Некоторое время назад в одном из каналов я наткнулся на крякнутую программу для распознавания каптч. К тому моменту, как я ее скачал, разработчик кряка уже успел отключить его и добавить редирект на свой канал, в котором он, за значительно меньшую стоимость предлагал купить свой "кряк с долгоиграющей поддержкой".

На русскоязычном рынке существует две известные программы для распознавания каптч: CapMonster и Xevil. Стоят они около 40$ за младшую версию с некоторыми ограничениями и, как утверждают разработчики, помогают экономить на сервисах ручного распознавания. Работу, к слову, на таких сайтах, кроме как энтузиазмом никак не назовешь - 20 рублей платят "работникам" за 1000 разгаданных каптч.

Сами же программы можно разделить на два модуля - модуль распознавания (OCR) и сервер, эмулирующий вышеназванные сервисы. Каждая из программ, после запуска вносит соответствующие правки в файл hosts, чтобы перенаправлять запросы, отправляемые к API Antigate или Rucaptcha, на себя.

Вместо того, чтобы платить за полную версию, "ознакомиться" предварительно со всем функционалом можно, указав торчащие наружу IP серверов уже купленных программ:

http.html:"Здесь живёт Xevil!"

hosts
<IP> api.antigate.com
<IP> api.anti-captcha.com
<IP> antigate.com
<IP> www.antigate.com
<IP> anti-captcha.com
<IP> www.anti-captcha.com

Руководство по реагированию на инциденты в облачной среде AWS Cloud. Основное внимание уделяется обзору встроенных механизмов для решения проблем безопасности клиентов.

Один из самых больших чеклистов в интернете по тестированию веб-приложений.

⁤Представим ситуацию: на прикрепленном скриншоте изображен твит цели, пароль к профилю которой нам необходимо подобрать. Как это сделать?

Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.

В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?

Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.

Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?

Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.

Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.

Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.

https://github.com/utkusen/rhodiola