Мы можем арестовать для допроса уже лишь за использование Telegram или Mmail. Он многое скрывает. Ведь если он не намерен терроризировать нашу нацию, почему он отказывается пользоваться одобренным государством ChatIm?
Нашел на канале у Лукацкого, купил и не пожалел
https://store.steampowered.com/app/496890/Replica/
Нашел на канале у Лукацкого, купил и не пожалел
https://store.steampowered.com/app/496890/Replica/
Представим ситуацию: на прикрепленном скриншоте изображен твит цели, пароль к профилю которой нам необходимо подобрать. Как это сделать?
Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.
В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?
Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.
Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?
Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.
Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.
Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.
https://github.com/utkusen/rhodiola
Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.
В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?
Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.
Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?
Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.
Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.
Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.
https://github.com/utkusen/rhodiola
Задолго до того, как появился LeakCheck и другие подобные ему сайты (кроме have i been pwned), боты и Ашоты, никто и не думал, что поиск по почте можно монетизировать, и притом успешно.
Многие сами сливали базы и делились ими на теневых форумах, а чтобы при их коллекционировании не забивать жесткий диск повторяющимися почтами, буквально у каждого был свой аналогичный локальный сервис, предназначенный для сравнения свежих строк с уже имеющимися, и оценки процента уникальности.
Самой известной программой был и остается Archivar, и как можно предположить, отличался он не только простотой интерфейса, но и своей медлительностью (прям как я с публикацией постов).
Ни с какими СУБД он не работал, каждый текстовик с раздачи ложился в общую папку, а софт каждую новую проверку рекурсивно обходил ее и все подпапки, открывал файлы вновь и вновь, сравнивая каждую строчку с почтами из свежего файла.
Тогда я задумался о написании клиент-серверного приложения с подписочной моделью, которое облегчило бы процесс сравнения, агрегируя все базы с раздач в единой месте.
API написал, а вот до клиента так и не дошло. Разгребая завал на жд'шнике, обнаружил старые php-шные файлы, в связи с чем делюсь находкой с вами, смахивая слезу ностальгии ;)
Многие сами сливали базы и делились ими на теневых форумах, а чтобы при их коллекционировании не забивать жесткий диск повторяющимися почтами, буквально у каждого был свой аналогичный локальный сервис, предназначенный для сравнения свежих строк с уже имеющимися, и оценки процента уникальности.
Самой известной программой был и остается Archivar, и как можно предположить, отличался он не только простотой интерфейса, но и своей медлительностью (прям как я с публикацией постов).
Ни с какими СУБД он не работал, каждый текстовик с раздачи ложился в общую папку, а софт каждую новую проверку рекурсивно обходил ее и все подпапки, открывал файлы вновь и вновь, сравнивая каждую строчку с почтами из свежего файла.
Тогда я задумался о написании клиент-серверного приложения с подписочной моделью, которое облегчило бы процесс сравнения, агрегируя все базы с раздач в единой месте.
API написал, а вот до клиента так и не дошло. Разгребая завал на жд'шнике, обнаружил старые php-шные файлы, в связи с чем делюсь находкой с вами, смахивая слезу ностальгии ;)
Скрипты TamperMonkey/Greasemonkey, добавляющие отдельное боковое меню для парсинга пользователей и сообщений из чатов и каналов Telegram. Собранные данные можно экспортировать в
https://gist.github.com/fabledowl/
.csv для дальнейшего анализа.https://gist.github.com/fabledowl/
Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
Квантовые компьютеры вскоре могут быть использованы для взлома биткоин-кошельков
В прошлом году случилось неприятное - Стефану Томасу, программисту и основателю нескольких IT-компаний из Сан-Франциско, «посчастливилось» утерять пароль от своего зашифрованного IronKey.
По словам Томаса, на зашифрованном usb-носителе, помимо исходников Анубиса и отчета о независимой экспертизе (нет), находились и приватные ключи от личного электронного кошелька с 7002 биткоинами на счету.
IronKey дает 10 попыток на то, чтобы ввести правильный пароль, иначе - самоуничтожается: память подчистую очищается, а сам накопитель становится непригоден для использования.
Стефан Томас потратил 8 из 10 возможных попыток на то, чтобы подобрать пароль, но ни одна из них не увенчалась успехом: «Я просто лежал в постели и думал об этом», - сказал Стефан. «В перерывах я подходил к компьютеру с какой-нибудь новой стратегией, она не срабатывала, и я снова впадал в отчаяние».
Однако скоро ситуация может измениться. Хотя квантовые вычисления все еще находятся в зачаточном состоянии, правительства и частные компании, такие как Microsoft и Google, работают над тем, чтобы воплотить их в жизнь.
В течение десятилетия квантовые компьютеры могут стать достаточно мощными, чтобы взломать криптографическую безопасность, которая защищает сотовые телефоны, банковские счета, адреса электронной почты и - да - биткойн-кошельки.
«Если бы у вас сегодня был квантовый компьютер, и вы были бы государственным спонсором - например, Китаем - скорее всего, лет через восемь вы смогли бы взломать кошельки на блокчейне» - сказал Фред Тиль, генеральный директор компании Marathon Digital Holdings, специализирующейся на добыче криптовалюты.
Не смотря на то, что, по словам Тиля «Национальный институт науки и технологий (NIST) работает над новым стандартом шифрования будущего, который является квантовым доказательством», остается надежда, что Стефан через пару лет выложит свою счастливую фотографию (в статье от NT он очень взгрустнул), взломав флешку с устаревшими, к тому времени, криптографическими алгоритмами.
В прошлом году случилось неприятное - Стефану Томасу, программисту и основателю нескольких IT-компаний из Сан-Франциско, «посчастливилось» утерять пароль от своего зашифрованного IronKey.
По словам Томаса, на зашифрованном usb-носителе, помимо исходников Анубиса и отчета о независимой экспертизе (нет), находились и приватные ключи от личного электронного кошелька с 7002 биткоинами на счету.
IronKey дает 10 попыток на то, чтобы ввести правильный пароль, иначе - самоуничтожается: память подчистую очищается, а сам накопитель становится непригоден для использования.
Стефан Томас потратил 8 из 10 возможных попыток на то, чтобы подобрать пароль, но ни одна из них не увенчалась успехом: «Я просто лежал в постели и думал об этом», - сказал Стефан. «В перерывах я подходил к компьютеру с какой-нибудь новой стратегией, она не срабатывала, и я снова впадал в отчаяние».
Однако скоро ситуация может измениться. Хотя квантовые вычисления все еще находятся в зачаточном состоянии, правительства и частные компании, такие как Microsoft и Google, работают над тем, чтобы воплотить их в жизнь.
В течение десятилетия квантовые компьютеры могут стать достаточно мощными, чтобы взломать криптографическую безопасность, которая защищает сотовые телефоны, банковские счета, адреса электронной почты и - да - биткойн-кошельки.
«Если бы у вас сегодня был квантовый компьютер, и вы были бы государственным спонсором - например, Китаем - скорее всего, лет через восемь вы смогли бы взломать кошельки на блокчейне» - сказал Фред Тиль, генеральный директор компании Marathon Digital Holdings, специализирующейся на добыче криптовалюты.
Не смотря на то, что, по словам Тиля «Национальный институт науки и технологий (NIST) работает над новым стандартом шифрования будущего, который является квантовым доказательством», остается надежда, что Стефан через пару лет выложит свою счастливую фотографию (в статье от NT он очень взгрустнул), взломав флешку с устаревшими, к тому времени, криптографическими алгоритмами.
CNBC
Hacking bitcoin wallets with quantum computers could happen – but cryptographers are racing to build a workaround
Within a decade, quantum computers are expected to be able to hack into cell phones, bank accounts, email addresses, and yes, bitcoin wallets.
AirportWebcams - база данных с более чем 2300 IP-камерами из различных аэропортов. Есть поле для поиска, можно искать по коду аэропорта или обозначениям взлетно-посадочных полос. Поддерживается сортировка по странам, часовому поясу и скорости обновления данных с камер.
На агрегаторе также публикуются ссылки на FlightRadar24, LiveATC, FlightStats, FlightAware, SkyVector, официальные сайты аэропортов и их вики.
Аэропорты Беларуси и Северной Кореи обошли стороной.
На агрегаторе также публикуются ссылки на FlightRadar24, LiveATC, FlightStats, FlightAware, SkyVector, официальные сайты аэропортов и их вики.
Аэропорты Беларуси и Северной Кореи обошли стороной.
Фотографии или видеозаписи зачастую становятся единственными источниками поиска информации, способными привести к искомой цели.
В 2010 неизвестный пользователь опубликовал на YouTube видео под названием «1 boy 2 kittens», на котором заснял собственную расправу над котятами с помощью вакуумного пакета и пылесоса.
Поиски живодера заняли несколько лет - кроме этого видео у неравнодушных пользователей сети не было ничего, что могло бы привести к убийце.
Первые зацепки были найдены путем анализа окружения квартиры: расположения мебели, окон, типа розеток и окружающих предметов.
Пачка сигарет с противопоказаниями от американского врача и желтый пылесос, продающийся исключительно в Северной Америке, помогли сузить область поиска: со всего мира до одного континента.
А последующее видео «1 лунатик, 1 нож для колки льда» с убийством человека и его последующим расчленением помогло точно определить отель, в котором оно произошло.
Рядом с 33 мусорными мешками с остатками человеческого тела полиции даже удалось найти водительское удостоверение убийцы.
Я уже публиковал на канале совместную с @molfar_bi статью «Отражения на стекле + OSINT = точное местоположение».
Но 21-летний парень из свежей новости BBC зашел еще дальше. Ему удалось найти свою любимую певицу по отражению в ее глазах.
Селфи было опубликовано в одной из социальных сетей - японец опознал вокзал, отраженный в глазах певицы, приехал на место, нашел девушку и последовал за ней вплоть до ее дома.
К сожалению, история закончилась печально - японцу вменяют обвинение по статьям о преследовании и сексуальном насилии.
Ситуация показала, что улучшение качества фотографий на камерах смартфонов повысило риск «неожиданной утечки» личной информации.
В 2010 неизвестный пользователь опубликовал на YouTube видео под названием «1 boy 2 kittens», на котором заснял собственную расправу над котятами с помощью вакуумного пакета и пылесоса.
Поиски живодера заняли несколько лет - кроме этого видео у неравнодушных пользователей сети не было ничего, что могло бы привести к убийце.
Первые зацепки были найдены путем анализа окружения квартиры: расположения мебели, окон, типа розеток и окружающих предметов.
Пачка сигарет с противопоказаниями от американского врача и желтый пылесос, продающийся исключительно в Северной Америке, помогли сузить область поиска: со всего мира до одного континента.
А последующее видео «1 лунатик, 1 нож для колки льда» с убийством человека и его последующим расчленением помогло точно определить отель, в котором оно произошло.
Рядом с 33 мусорными мешками с остатками человеческого тела полиции даже удалось найти водительское удостоверение убийцы.
Я уже публиковал на канале совместную с @molfar_bi статью «Отражения на стекле + OSINT = точное местоположение».
Но 21-летний парень из свежей новости BBC зашел еще дальше. Ему удалось найти свою любимую певицу по отражению в ее глазах.
Селфи было опубликовано в одной из социальных сетей - японец опознал вокзал, отраженный в глазах певицы, приехал на место, нашел девушку и последовал за ней вплоть до ее дома.
К сожалению, история закончилась печально - японцу вменяют обвинение по статьям о преследовании и сексуальном насилии.
Ситуация показала, что улучшение качества фотографий на камерах смартфонов повысило риск «неожиданной утечки» личной информации.
Советую всем нетсталкерам, да и не только: https://github.com/zadam/trilium.
Перешёл на него с вишни. Работает стабильнее, в отличие от других заметок на электроне, поддерживает шифрование, синхронизацию, markdown-разметку, внутренние ссылки и многое другое.
Можно пилить собственные функции, не выходя из программы - Frontend API, Backend API. Есть расширение для сохранение веб-страниц в формате одной заметки.
Перешёл на него с вишни. Работает стабильнее, в отличие от других заметок на электроне, поддерживает шифрование, синхронизацию, markdown-разметку, внутренние ссылки и многое другое.
Можно пилить собственные функции, не выходя из программы - Frontend API, Backend API. Есть расширение для сохранение веб-страниц в формате одной заметки.
Одна из лучших по социальной инженерии.
Не имеет ничего общего с серией «По методикам спецслужб» и книгами Наварро, которые по непонятной причине тоже попадают в топы по социальной психологии.
Для тех, кто впервые о них слышит - каждая из этих книг буквально в точности копирует предыдущую, особенно в абсолютно очевидных методах и разбросанных по всему содержанию мотивационных напутствиях в духе «Богатого папы, бедного папы» или даркнет каналов с их рекламой топового обучения на платных курсах «вот прочитаешь/купишь еще главу/курсы, анон, и станешь из забитого хикки топ социком/хацкером».
Ну а в психологии влияния действительно есть хорошие примеры поведенческого анализа, проводится много параллелей с необычными паттернами поведения животных и людей. Каждый пример подкрепляется реальными исследованиями, в том числе из этологии, а также практическими историями из реальной жизни читателей (приводятся отрывки из их писем). Всем рекомендую.
Никто не платил 😅
Не имеет ничего общего с серией «По методикам спецслужб» и книгами Наварро, которые по непонятной причине тоже попадают в топы по социальной психологии.
Для тех, кто впервые о них слышит - каждая из этих книг буквально в точности копирует предыдущую, особенно в абсолютно очевидных методах и разбросанных по всему содержанию мотивационных напутствиях в духе «Богатого папы, бедного папы» или даркнет каналов с их рекламой топового обучения на платных курсах «вот прочитаешь/купишь еще главу/курсы, анон, и станешь из забитого хикки топ социком/хацкером».
Ну а в психологии влияния действительно есть хорошие примеры поведенческого анализа, проводится много параллелей с необычными паттернами поведения животных и людей. Каждый пример подкрепляется реальными исследованиями, в том числе из этологии, а также практическими историями из реальной жизни читателей (приводятся отрывки из их писем). Всем рекомендую.
Никто не платил 😅