Лица счастливые, ситуация страшная
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
На прошлой неделе H&M выпилили изо всех китайских сервисов из-за того, что компания присоединилась к заявлению "мы поддерживаем требования перестать угнетать уйгуров в Китае".
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Medium
Open-source satellite data to investigate Xinjiang concentration camps
The second part of a series discussing techniques on how to analyse the dire human rights situation in Xinjiang’s camps
phonerator - инструмент от создателя утилиты email2phonenumber, позволяющий генерировать реально существующие номера телефонов по маске. Поддерживает фильтрацию по местоположению и оператору, а также экспорт в .vcf для дальнейшего импорта в телефонную книгу.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Hunter.io обновился и теперь поддерживает поиск Email'а автора конкретной публикации.
Указываете URL какой-либо статьи и на выходе получаете имя и фамилию автора вместе с его корпоративным ящиком.
Работает как с англоязычными публикациями, так и публикациями на других языках. Затестил на рандомной статье с bellingcat.com и ее эквиваленте на русском.
Вместе с тем обнаружил странность самого сайта bellingcat - в русскоязычной версии по какой-то причине не отображается аватарка автора.
На статье Левиева из Conflict Intelligence Team сервис тоже исправно отработал, даже подтянул и другие публикации из его старого бложика на livejournal - источники, из которых удалось спарсить Email.
Указываете URL какой-либо статьи и на выходе получаете имя и фамилию автора вместе с его корпоративным ящиком.
Работает как с англоязычными публикациями, так и публикациями на других языках. Затестил на рандомной статье с bellingcat.com и ее эквиваленте на русском.
Вместе с тем обнаружил странность самого сайта bellingcat - в русскоязычной версии по какой-то причине не отображается аватарка автора.
На статье Левиева из Conflict Intelligence Team сервис тоже исправно отработал, даже подтянул и другие публикации из его старого бложика на livejournal - источники, из которых удалось спарсить Email.
Forwarded from Order of Six Angles
Обзор кастомных протоколов общения с c2 популярных rat
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
Zscaler
Analysis of top non-HTTP/S threats | Zscaler Blog
In this article, Zscaler security research team dissect the custom protocols used in some of the most prevalent RATs seen in recent campaigns. Read more.
Forwarded from Inside
Выпуск 3.2021
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Некоторое время назад в одном из каналов я наткнулся на крякнутую программу для распознавания каптч. К тому моменту, как я ее скачал, разработчик кряка уже успел отключить его и добавить редирект на свой канал, в котором он, за значительно меньшую стоимость предлагал купить свой "кряк с долгоиграющей поддержкой".
На русскоязычном рынке существует две известные программы для распознавания каптч: CapMonster и Xevil. Стоят они около 40$ за младшую версию с некоторыми ограничениями и, как утверждают разработчики, помогают экономить на сервисах ручного распознавания. Работу, к слову, на таких сайтах, кроме как энтузиазмом никак не назовешь - 20 рублей платят "работникам" за 1000 разгаданных каптч.
Сами же программы можно разделить на два модуля - модуль распознавания (OCR) и сервер, эмулирующий вышеназванные сервисы. Каждая из программ, после запуска вносит соответствующие правки в файл hosts, чтобы перенаправлять запросы, отправляемые к API Antigate или Rucaptcha, на себя.
Вместо того, чтобы платить за полную версию, "ознакомиться" предварительно со всем функционалом можно, указав торчащие наружу IP серверов уже купленных программ:
<IP> api.antigate.com
<IP> api.anti-captcha.com
<IP> antigate.com
<IP> www.antigate.com
<IP> anti-captcha.com
<IP> www.anti-captcha.com
На русскоязычном рынке существует две известные программы для распознавания каптч: CapMonster и Xevil. Стоят они около 40$ за младшую версию с некоторыми ограничениями и, как утверждают разработчики, помогают экономить на сервисах ручного распознавания. Работу, к слову, на таких сайтах, кроме как энтузиазмом никак не назовешь - 20 рублей платят "работникам" за 1000 разгаданных каптч.
Сами же программы можно разделить на два модуля - модуль распознавания (OCR) и сервер, эмулирующий вышеназванные сервисы. Каждая из программ, после запуска вносит соответствующие правки в файл hosts, чтобы перенаправлять запросы, отправляемые к API Antigate или Rucaptcha, на себя.
Вместо того, чтобы платить за полную версию, "ознакомиться" предварительно со всем функционалом можно, указав торчащие наружу IP серверов уже купленных программ:
http.html:"Здесь живёт Xevil!"hosts
<IP> api.antigate.com
<IP> api.anti-captcha.com
<IP> antigate.com
<IP> www.antigate.com
<IP> anti-captcha.com
<IP> www.anti-captcha.com
Представим ситуацию: на прикрепленном скриншоте изображен твит цели, пароль к профилю которой нам необходимо подобрать. Как это сделать?
Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.
В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?
Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.
Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?
Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.
Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.
Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.
https://github.com/utkusen/rhodiola
Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.
В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?
Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.
Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?
Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.
Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.
Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.
https://github.com/utkusen/rhodiola
Скрипты TamperMonkey/Greasemonkey, добавляющие отдельное боковое меню для парсинга пользователей и сообщений из чатов и каналов Telegram. Собранные данные можно экспортировать в
https://gist.github.com/fabledowl/
.csv для дальнейшего анализа.https://gist.github.com/fabledowl/
Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
