Эксплойт
103K members
76 photos
2 videos
1 file
1.17K links
IT, технологии и немного безопасности в сети.

Самое интересное с https://exploit.media

Новости тут: @exploit_live
Twitter: twitter.com/expl0itex

Обратная связь: @arlion
Download Telegram
to view and join the conversation
​​​​Как зашифровать переписку в ВК

VkEncrypt — расширение для шифрования личных сообщений, с помощью выбранной ключевой фразы для ВКонтакте.

Данные между сессиями не сохраняются. Есть возможность генерации ключа для одноразовой переписки и частичная поддержка https://m.vk.com/.

После установки, расширение попросит у вас задать секретный ключ в окне диалога. Затем, ваши сообщения и сообщения собеседника будут шифроваться, а на самом деле будет отображаться набор символов.

Расширение доступно для всех популярных браузеров в частности Opera, Firefox, Chrome, Yandex и т.д.

Эксплойт / #приватность
​​Как проверить ссылку на наличие вирусов

Наибольшую популярность стали набирать онлайн-сервисы, которые позволяют на лету проверить любой информационный актив (IP-адрес, сайт или файл) на наличие вирусов или подозрительной активности.

Онлайн-сервис под названием Kaspersky Threat Intelligence Portal является инструментом, который предоставляет детальную информацию о том, насколько проверяемый объект (файл, хэш, IP и URL-адрес) подозрителен и в каких конкретно аспектах. Исполняемые файлы также запускаются в специальной среде, которая эмулирует работу операционной системы.

В результате анализа вы получите отчёт с главным выводом — вредоносный сайт или нет.

Эксплойт / #безопасность
​​Кто может следить за вами через камеры видеонаблюдения

Многие знают, что за жителями Москвы и других российских городов ежесекундно следят сотни тысяч камер и их количество постоянно растет, а часть из них уже оборудована системой распознавания лиц. Вот только доступ к этим камерам и даже к системе распознавания лиц может получить любой.

Камеры находятся на улицах, в парках, подъездах, поликлиниках, внутри школ. И полный доступ ко «Всевидящему оку» продавался за 30 тысяч рублей. Покупатель сможет смотреть через камеры в реальном времени, а также к получить доступ к архиву. Переключаясь между камерами можно сопровождать человека по улицам города от подъезда и до момента спуска в метро.

А в совокупности с уязвимостями, неправильной настройкой, или просто безалаберным отношением к безопасности собственных камер наблюдения в квартирах и домах, за людьми можно следить практически все время.

Эксплойт / #слежка
​​Индия запретила военным использовать Facebook и Instagram

Руководство Вооруженных сил Индии приказало военнослужащим всех рангов удалить свои страницы в Facebook и запретило использовать ещё 88 приложений, в том числе PUBG, Instagram, TikTok, Zoom, True Caller, Nimbuzz, Line, Helo и Snow.

В числе заблокированных также оказался AliExpress, блоги Reddit и Tumblr и несколько новостных приложений. Кроме того, индийским солдатам отныне запрещено пользоваться сервисами для знакомств (Tinder, TrulyMadly, Badoo, и другими).

В недавнем прошлом имели место случаи, когда иностранные шпионы использовали Facebook для вербовки индийских военных. В прошлом году армейское руководство уже предупреждало военнослужащих о шпионах, создающих в соцсетях поддельные страницы от имени женщин.

Эксплойт / #новость
​​Самый простой способ создать свой VPN сервис за 5$ в месяц

Использование публичных VPN сервисов, даже платных, не гарантирует вам полную анонимность и конфиденциальность в интернете. А точнее, гарантирует вам ее отсутствие. Большинство VPN-провайдеров ведут логи и предоставят данные о вас и вашей истории браузинга по первому запросу.

Чтобы создать VPN на своем сервере и быть уверенным, что ваши данные в безопасности можно воспользоваться приложением с открытым исходным кодом Outline. Откройте Outline Manager и выберите желаемого хостинг провайдера (рекомендуем Digital Ocean). Далее нужно будет пройти регистрацию, заполнить платежную информацию и выбрать страну сервера. VPN будет настроен автоматически. Вы также можете использовать Outline на любом другом сервере.

После настройки вам будет доступна панель управления, где видно сколько трафика вы использовали и сколько устройств используют VPN. Чтобы добавить устройство нажмите «Add Key», а затем введите полученный ключ на любом устройстве, предварительно скачав клиент Outline, который доступен для всех платформ.

Эксплойт / #приватность
​​Как проверить безопасность своего почтового клиента

Некоторое время назад мы писали о том, как можно узнать IP адрес пользователя через электронное письмо. Если вкратце, то при открытии электронного письма, с IP адреса пользователя происходит автоматическое скачивание медиафайлов, содержащихся в письме. А при скачивании файла - сервер на котором он находится получает наш IP адрес.

Однако, не все почтовые клиенты уязвимы к такого рода атакам. Некоторые из них заранее скачивают все медиафайлы на свои сервера прежде чем показать их пользователю. Чтобы проверить свой почтовый клиент перейдите на сайт https://www.emailprivacytester.com. Там сможете протестировать различные методы отправки информации обратно на сервер при чтении.

Вам будет отправлено письмо. Откройте его в своем почтовом клиенте, после чего, в зависимости его безопасности, вы увидите или не увидите свой IP и устройство с которого было открыто письмо. Например, при открытии письма через предустановленный почтовик от Apple, утекли все данные, включая IP, устройство и версия ОС.

Эксплойт / #безопасность
​​Google запретит шпионские приложения

Начиная с 11 августа, Google запретит рекламу приложений и аппаратного обеспечения stalkerware, которые позволяют отслеживать активность телефона или перемещения другого человека.

Под запрет попадает шпионское программное обеспечение и технологии для слежения за сожителями, в том числе ПО для отслеживания сообщений, телефонных звонков и истории браузера, GPS-трекеры для, реклама оборудования для ведения наблюдения (камер, в том числе скрытых, звукозаписывающих устройств, видеорегистраторов и т. д.), в которой подчеркивается его использование для слежки.

Этот запрет не распространяется на продукты, предназначенные для родителей и позволяющие контролировать детей.

Эксплойт / #новость
​​Телефон спикера парламента Каталонии был взломан через WhatsApp

Мобильный телефон спикера парламента Каталонии Рожера Торрена подвергся кибератаке с использованием шпионского ПО Pegasus, в основном предоставляемого правительствам для отслеживания преступников и диссидентов.

Как сообщили издания The Guardian и El Pais, операторы шпионского ПО использовали ранее обнаруженную уязвимость в WhatsApp, позволяющую получить потенциальный доступ ко всем данным на мобильном телефоне жертвы, включая электронную почту, текстовые сообщения и фотографии.

По словам Торрена, «предполагаемая кибератака на его телефон» является делом рук «испанского государства». Вместе с телефоном Торрена также были взломаны устройства двух других сторонников независимости региона от испанских властей.

Эксплойт / #новость
​​Хакеры взломали Twitter

В рамках масштабного криптовалютного скама были взломаны аккаунты в Twitter Илона Маска, Билла Гейтса, Джеффа Безоса, Уоррена Баффета, Барака Обамы, Майкла Блумберга, официальный аккаунт Apple, Bitcoin, Uber, Binance, Coinbase, Gemini, Ripple, CashApp и еще многих других.

На взломанных аккаунтах размещались сообщения с якобы раздачей 5000 BTC, а также, на некоторых аккаунтах хакеры обещали удвоить сумму, присланную на биткоин кошелек. Адрес кошелька во всех твитах был один и тот-же, и на текущий момент на него поступило уже больше 300 транзакций в сумме на 12 BTC или 110 000$.

Судя по всему, была найдена глобальная уязвимость в самом Twitter или в виджетах сторонних сайтов. Возможно, был взломан сотрудник Twitter. На закрытых форумах также появлялись скриншоты админ-панели твиттера.

Эксплойт / #новость
​​Получаем постоянную ссылку на любой файл прямо в Телеграм

Обмен данными становится всё проще и быстрее. Но зачастую бывает сложно напрямую обменяться файлом с каким-либо пользователем или аудиторией канала. Альтернативным вариантом является использование ссылок на файл прямо в Телеграм, которые при любых условиях останутся в неизменном виде.

С помощью бота @share_file_bot вы можете загрузить файл и получить постоянную ссылку на него. При этом файлы хранятся на серверах Телеграм, а владельцу файла доступна статистика общих и уникальных скачиваний.

Эксплойт / #полезно
​​Ряд бесплатных VPN допустили утечку пользовательских данных

Исследовательская команда vpnMentor обнаружила в открытом доступе незащищенный сервер с пользовательскими данными популярных бесплатных VPN-приложений: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.

Судя по количеству их пользователей, на сервере хранится персонально идентифицируемая информация более 20 млн человек, в том числе электронные адреса, незашифрованные пароли, IP-адреса, домашние адреса, данные о моделях смартфонов, идентификаторы устройств и другие технические подробности. Всего на сервере была обнаружена 1 083 997 361 запись общим объемом 1,207 ТБ.

Все еще верите, что бесплатный VPN обеспечит вам анонимность? Читайте наш пост о том, как создать собственный VPN сервис.

Эксплойт / #приватность
​​Иранские хакеры случайно слили свои обучающие видео

Одна из наиболее известных группировок иранских хакеров APT35 неправильно настроила один из своих серверов, из-за чего он три дня был доступен любому желающему. На нем были найдены обучающие видео для новичков. Ролики демонстрируют пошаговый взлом двух жертв, для чего хакеры получали доступ буквально к каждой их учетной записи, не зависимо от их значимости.

В итоге взлому подвергалось всё: стриминговые сервисы, доставка пиццы, банкинг, аккаунты в видеоиграх, учетные записи операторов связи и так далее. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, чтобы в итоге составить максимально подробный профиль для каждой жертвы.

Хакеры также экспортировали все контакты, фотографии и документы из облачных хранилищ, таких как Google Drive. В некоторых случаях они даже использовали Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных Android-устройств.

Эксплойт / #новость
​​Как узнать пароль от WiFi на Kali Linux

Существует множество способов получить пароль от Wi-Fi, и зачастую они связаны с использование специального программного обеспечения вроде Wifite.

Wifite представляет собой программу для реализации комплексных автоматизированных атак на Wi-Fi. Её особенность заключается в том, что она эмулирует действия тестировщика таким образом, что сама в нужном порядке запускает необходимые программы и передаёт необходимые данные из одной в другую.

⚠️ Мы не рекомендуем проверять этот способ на чужих сетях. Используйте эту информацию только, чтобы убедиться в безопасности своей сети.

Если вы работаете в Kili Linux, то данная программа не требует установки. Перед запуском необходимо перевести беспроводную карту в режим монитора (контроля) с помощью команды:
$ ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up

Для запуска Wifite необходимо выполнить команду:
$ wifite --crack --dict /путь_к_файлу_с_паролями

После чего вы получите информацию о доступных точках доступа и останется только выбрать номер точки доступа, пароль которой вы хотите получить.

Эксплойт / #трюки
​​Сбой в CloudFlare привел к отключению половины интернета

Сегодня ночью множество сайтов и сервисов по всему миру, включая Discord, серверы Riot Games и Destiny, платформу Patreon и сотни других вдруг стали недоступны. Недоступен оказался даже сайт DownDetector, позволяющий отслеживать сбои и отключения всевозможных сервисов в режиме реального времени.

В отключении «половины интернета» оказалась виновна американская компания Cloudflare, которая специализируется, в том числе, на предоставлении серверов DNS и защите от DDoS атак. Структура Cloudflare испытала сбой и все сервисы, которые полагаются на DNS компании, тоже оказались «отключены» от сети. А таких сервисов оказалось много.

Само по себе отключение системы продлилось 27 минуты и трафик упал на 50%. При этом Cloudflare опровергла слухи о том, что проблема возникла в результате DDoS-атаки.

Эксплойт / #новость
​​Как искать информацию по Telegram

Встроенный в Telegram поиск позволяет искать только по каналам, на которые вы подписаны и показывает лишь ограниченное количество новых, однако бывает нужно провести поиск по всему Telegram.

Для этого можно использовать сторонний поисковик по Telegram — Telegago. По вашему запросу будут показаны результаты со всех открытых телеграм каналов и чатов, а также некоторых закрытых.

Поисковик также индексирует имена и биографии аккаунтов, ссылки на публичные и приватные чаты, сообщения в чатах, а также ботов, стикеры и статьи на Telegraph.

Эксплойт / #OSINT
​​Как определить безопасность интернет-магазина

Некоторым сайтам и интернет-магазинам категорически нельзя доверять из-за мошенничества и обмана своих пользователей, но проверить их репутацию невооруженным взглядом — практически невозможно.

Для этого есть специальный сайт — SiteJabber. Это платформа для потребителей, которая помогает находить надежные интернет-магазины, а главное — избегать мошенничества. Этот сервис, в том числе, содержит информацию и про обычные сайты.

Чтобы проверить рейтинг сайта, перейдите на sitejabber.com. Вставьте ссылку на сайт в единственное поле для ввода и нажмите "Search". После этого, вы увидите рейтинг сайта, последний отзыв и все отзывы пользователей.

Эксплойт / #безопасность
​​Хакеры могут удаленно воспламенить смартфон на зарядке

Китайские исследователи рассказали о форме атаки BadPower, принцип которой заключается в модификации прошивки устройств для быстрой зарядки, что может привести к воспламенению подключённых девайсов.

Подобные устройства выглядят как обычные зарядки, однако могут взаимодействовать с подключёнными девайсами, «согласовывая» скорость зарядки. Если заряжаемое устройство не поддерживает технологию быстрой зарядки, прошивка понижает мощность, а если же допустимо заряжать девайс в ускоренном режиме, повышает.

Подключившись к устройству быстрой зарядки с помощью ноутбука или смартфона, злоумышленник может за несколько секунд загрузить вредоносный код в прошивку, а затем удаленно модифицировать параметры зарядки значительно увеличивая мощность, что приведёт к повреждению подключённого девайса: компоненты могут плавиться, деформироваться и даже воспламеняться.

Эксплойт / #новость
​​Поиск интересующих файлов на жестких дисках

Поиск необходимых файлов возможно выполнить несколькими способами, но специализированные программы сделают это эффективнее и быстрее всего.

Одной из таких программ является Copernic Desktop Search, которая позволяет искать различные файлы, сообщения электронной почты, документы Word, Excel, PowerPoint, Acrobat PDF, музыкальные и видео файлы, графику и т.д. При этом поиск можно осуществлять как на локальном компьютере, так и в Интернете.

Преимущество программы заключается в ее быстродействии, которое реализуется посредством создания индекса всего, что есть на жестком диске и его постоянном обновлении, а также в наличии встроенных средств просмотра различных файлов, которые позволяют визуально увидеть результаты поиска, что особенно эффективно при обработке больших данных.

Эксплойт / #полезно
​​На продажу выставлены 0day эксплойты для IE и Excel

На хакерском форуме выставлен на продажу эксплойт для уязвимости нулевого дня в Internet Explorer 11 и Excel 2007-2019.

По словам продавца, когда пользователь заходит на вредоносный сайт через Internet Explorer, эксплойт загружает полезную нагрузку DLL, которая затем запускается с привилегиями текущего пользователя. Эксплуатация уязвимости происходит «совершенно тихо» и не вызывает аварийного завершения работы браузера. Эксплойт для уязвимости нулевого дня в Excel 2007-2019 работает по тому же принципу, но не является «тихим», так как при использовании может вызывать сообщения об ошибках.

Оба эксплоита работают на новых версиях Windows 10 и продаются в связке по цене 15 биткойнов (около 9,8 млн руб.). Покупатель получит: эксплойт, некоторую документацию, а также билдеры, создающие Excel- и HTML-файлы.

Эксплойт / #новость
​​Как спрятать текст или файл в изображение

Стеганография – тайная передача информации таким образом, чтобы злоумышленник, перехватив сообщение, не понял, что в нем скрыта ценная информация. Изменения в файле будут визуально невидимы для любого случайного наблюдателя.

Для того, чтобы спрятать текст или целый файл в изображение формата JPEG можно воспользоваться сервисом https://futureboy.us/stegano/. Для кодирования этот сайт использует популярную утилиту steghide, и сгенерированные файлы полностью совместимы с ней.

На этом же сайте можно раскодировать изображение, а также сравнить различия между вашим исходным файлом и файлом, который вы закодировали.

Эксплойт / #шифрование
​​Хакеры вновь пытались взломать системы водоснабжения Израиля

В апреле и в июне текущего года были атакованы системы водоснабжения и очистки воды в Израиле. Злоумышленники использовали уязвимое сотовое оборудование в качестве точки входа, и, проникнув в сеть, попытались изменить уровень содержания хлора в воде, что могло спровоцировать волну отравлений среди местного населения.

Согласно информации газеты Washington Post, ответственность за апрельский инцидент могла лежать на иранских хакерах. Интересно, что всего через две недели после апрельской атаки, в середине мая 2020 года, от кибератаки пострадал один из иранских портов. Совпадение? Не думаю.

За этой атакой последовала череда различных аварий и взрывов на различных критических объектах Ирана, включая нефтехимические заводы, центры обогащения урана, электростанции, и так далее.

Эксплойт / #новость