⁤На прошлой неделе H&M выпилили изо всех китайских сервисов из-за того, что компания присоединилась к заявлению "мы поддерживаем требования перестать угнетать уйгуров в Китае".

Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.

Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.

Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.

Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.

phonerator - инструмент от создателя утилиты email2phonenumber, позволяющий генерировать реально существующие номера телефонов по маске. Поддерживает фильтрацию по местоположению и оператору, а также экспорт в .vcf для дальнейшего импорта в телефонную книгу.

Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅

Пока что только американские номера.

Обзор кастомных протоколов общения с c2 популярных rat

https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols

Выпуск 3.2021

Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».

Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU

⁤Некоторое время назад в одном из каналов я наткнулся на крякнутую программу для распознавания каптч. К тому моменту, как я ее скачал, разработчик кряка уже успел отключить его и добавить редирект на свой канал, в котором он, за значительно меньшую стоимость предлагал купить свой "кряк с долгоиграющей поддержкой".

На русскоязычном рынке существует две известные программы для распознавания каптч: CapMonster и Xevil. Стоят они около 40$ за младшую версию с некоторыми ограничениями и, как утверждают разработчики, помогают экономить на сервисах ручного распознавания. Работу, к слову, на таких сайтах, кроме как энтузиазмом никак не назовешь - 20 рублей платят "работникам" за 1000 разгаданных каптч.

Сами же программы можно разделить на два модуля - модуль распознавания (OCR) и сервер, эмулирующий вышеназванные сервисы. Каждая из программ, после запуска вносит соответствующие правки в файл hosts, чтобы перенаправлять запросы, отправляемые к API Antigate или Rucaptcha, на себя.

Вместо того, чтобы платить за полную версию, "ознакомиться" предварительно со всем функционалом можно, указав торчащие наружу IP серверов уже купленных программ:

http.html:"Здесь живёт Xevil!"

hosts
<IP> api.antigate.com
<IP> api.anti-captcha.com
<IP> antigate.com
<IP> www.antigate.com
<IP> anti-captcha.com
<IP> www.anti-captcha.com

Руководство по реагированию на инциденты в облачной среде AWS Cloud. Основное внимание уделяется обзору встроенных механизмов для решения проблем безопасности клиентов.

Один из самых больших чеклистов в интернете по тестированию веб-приложений.

⁤Представим ситуацию: на прикрепленном скриншоте изображен твит цели, пароль к профилю которой нам необходимо подобрать. Как это сделать?

Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.

В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?

Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.

Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?

Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.

Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.

Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.

https://github.com/utkusen/rhodiola

Cheatsheet по smali-коду.

Скрипты TamperMonkey/Greasemonkey, добавляющие отдельное боковое меню для парсинга пользователей и сообщений из чатов и каналов Telegram. Собранные данные можно экспортировать в .csv для дальнейшего анализа.

https://gist.github.com/fabledowl/

⁤Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.

В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.

Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.

Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf

Шпаргалка по Smali на русском:
*выше на канале*

Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ

Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos

Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b

Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets

Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)

Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/

Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/

Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html

Райтапы ØxＯＰＯＳɆＣ, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/

Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/

Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.

⁤Квантовые компьютеры вскоре могут быть использованы для взлома биткоин-кошельков

В прошлом году случилось неприятное - Стефану Томасу, программисту и основателю нескольких IT-компаний из Сан-Франциско, «посчастливилось» утерять пароль от своего зашифрованного IronKey.

По словам Томаса, на зашифрованном usb-носителе, помимо исходников Анубиса и отчета о независимой экспертизе (нет), находились и приватные ключи от личного электронного кошелька с 7002 биткоинами на счету.

IronKey дает 10 попыток на то, чтобы ввести правильный пароль, иначе - самоуничтожается: память подчистую очищается, а сам накопитель становится непригоден для использования.

Стефан Томас потратил 8 из 10 возможных попыток на то, чтобы подобрать пароль, но ни одна из них не увенчалась успехом: «Я просто лежал в постели и думал об этом», - сказал Стефан. «В перерывах я подходил к компьютеру с какой-нибудь новой стратегией, она не срабатывала, и я снова впадал в отчаяние».

Однако скоро ситуация может измениться. Хотя квантовые вычисления все еще находятся в зачаточном состоянии, правительства и частные компании, такие как Microsoft и Google, работают над тем, чтобы воплотить их в жизнь.

В течение десятилетия квантовые компьютеры могут стать достаточно мощными, чтобы взломать криптографическую безопасность, которая защищает сотовые телефоны, банковские счета, адреса электронной почты и - да - биткойн-кошельки.

«Если бы у вас сегодня был квантовый компьютер, и вы были бы государственным спонсором - например, Китаем - скорее всего, лет через восемь вы смогли бы взломать кошельки на блокчейне» - сказал Фред Тиль, генеральный директор компании Marathon Digital Holdings, специализирующейся на добыче криптовалюты.

Не смотря на то, что, по словам Тиля «Национальный институт науки и технологий (NIST) работает над новым стандартом шифрования будущего, который является квантовым доказательством», остается надежда, что Стефан через пару лет выложит свою счастливую фотографию (в статье от NT он очень взгрустнул), взломав флешку с устаревшими, к тому времени, криптографическими алгоритмами.