IBMasters: Информационная безопасность
139 subscribers
2 photos
1 file
21 links
Бот обратной связи:
@ibmasters_feedback_bot
Можете задать интересующий Вас вопрос, или предложить тему для будущих статей.
Download Telegram
Ликбез часть 5.

На этой неделе мы будем изучать одну из самых значимых в сфере безопасностей технологий - OSINT. Давайте разберемся с общими понятиями этой технологии.

▫️OSINT (Open Source Intelligence) — технология поиска, аккумулирования и анализа данных, собранных из доступных источников в интернете.

◾️Google Dorks или Google Hacking — техника, используемая СМИ, следственными органами, инженерами по безопасности и любыми пользователями для создания запросов в поисковых системах, чтобы обнаружить скрытую информацию и уязвимости, которые можно найти на общедоступных серверах.
Это метод, в котором обычные запросы на поиск веб-сайтов используются в полную меру для определения информации, скрытой на поверхности.
Больше информации

В данном направлении достаточно мало терминов, но даже на данном этапе мы можем разобрать алгоритм работы в системе, который очень прост и предполагает соблюдение последовательности шагов. Данную систему тестировали на эффективность в течение многих лет.
Алгоритм:
Соберите всю исходную информацию о цели, которая есть в открытом доступе (личные данные, адреса почты, фотографии, контакты и т. д.).
Обозначьте себе задачи: какие вопросы необходимо решить, какой информации не хватает для формирования целостной картинки.
Определитесь с инструментами OSINT, которые эффективно работают именно с вашими задачами.
Настройте поиск, после чего проанализируйте все собранные данные.
Запустите повторный поиск на основе новой полученной информации.
Подтвердите или опровергните свои догадки.


Помните, все, что попало в интернет остается в нем навсегда.
Инструменты OSINT

Для поиска необходимой информации в интернете существуют поисковые системы. Однако что делать, если нам нужно узнать больше информации, нежели предоставляют нам гугл или яндекс? Ответ на этот вопрос вы найдете в этой статье.
Osintgram

OSINT развивается семимильными шагами, так что лучшее, что мы можем сделать, это выбрать инструменты, которые лучше других справляются со своими функциями.

Сегодняшний наш гость - Osintgram. Мощный инструмент, который позволяет получить максимум информации из страницы пользователя в Instagram. Читайте о нем в нашей статье
Взлом стандартных паролей с помощью баз

Различные устройства по дефолту имеют стандартный логин / пароль, пароль обычно напечатан на наклейке корпуса или указан в инструкции. Нежелание людей менять пароли "по умолчанию" часто создает угрозу безопасности не только для роутеров, но и для видеонаблюдения, умных колонок, холодильников, принтеров, пожарной безопасности или даже систем промышленного контроля. Несколько лет назад журнал Asmag опубликовал статью, в которой было указано, что около 15% процентов всех IoT-устройств в мире имеют стандартные пароли.

Исследователи безопасности и хакеры регулярно сканируют сеть на предмет нахождения уязвимых IoT устройств при помощи Shodan, Censys, ZoomEye, поэтому для всех кому небезразлична безопасность - рекомендация сменить стандартный пароль, иначе ваше устройство может стать легкой мишенью недобросовестных людей в черных шляпах.

Как защитить свои устройства от брутфорса?

Большинство пользователей безответственно относятся к смене дефолтного пароля, по этому достаточно часто можно войти в вебморду устройства используя дефолтные наборы логин\пасс.
Стандартные пароли к IoT можно найти на сайтах производителей или помощи специализированных веб-ресурсов.

Подборка ресурсов с базой стандартных паролей

1. defpass.com
2. many-passwords.github.io
3. fortypoundhead.com
4. cirt.net
5. datarecovery.com
6. passwordsdatabase.com
7. default-password.info
8. www.routerpasswords.com
Поиск человека по фотографии.
Иногда, задаваясь вопросом про то, как же найти человека имея только фото и обращаясь к десяткам платных\бесплатных сайтов, мы рискуем найти ровным счетом НИЧЕГО.
Однако, хочется напомнить про одну маленькую хитрость - отзеракаливание фотографии.
Вспомните, сколько раз вы, делая селфи, замечали, что руки находятся не естесственно? Большинство фронтальных камер по-умолчанию зеркалит фото.
Проведите обратное действие, и, быть может - вам повезет найти то, что нужно.
Успехов!
Отзеркалить
Найти
Синтаксический анализ Python кода
Как часто бывало такое, что вы скачиваете чей-то GitHub репозиторий, он не работает, выдавая ошибки?
Данный инструмент позволяет проверить python код ( в том числе и свой) на наличие синтаксических ошибок онлайн и совершенно бесплатно.
ТЫК
Как найти исходный IP сервера
CloudMare - инструмент, который поможет найти исходный сервер веб-сайта, защищенного с помощью Cloudflare, Sucuri или Incapsula при неправильной конфигурации DNS.
Для корректной работы - используйте API токен VirusTotal
GitHub
#OSINT #pentest
Тестирование NodeJS кода
В большинстве случаев NodeJS используется именно для backend разработки(серверной части).
А соответственно, и устойчивость кода к различным уже известным уязвимостям позволит уменьшить риски быть атакованными ради развлечения.
Данный инструмент возможно установить с помощью Docker контейнера, или же самостоятельно загрузить и сконфигурировать.
Полные инструкции Вы можете получить на страницы проекта на GitHub
Как узнать CMS сайта и используемые версии плагинов?
Достаточно часто проводя разведку на объект атаки является полезным узнать, на чем сделан сайт. Может, он самописный, или собран с помощью различных CMS. Последнее, в наше время? встречается гораздо чаще. Если, конечно, мы не смотрим на достаточно крупные проекты.
Что нам даст эта информация? Достаточно часто можно найти пиратские(а соответственно не обновляемые) и попросту не обновляемые версии плагинов(по принципу "Лишь бы не сломать"). И, вполне вероятно, в них уже найдены уязвимости и выложены инструменты для их эксплуатации.
Данный инструмент позволит просканировать сайт на наличие признаков CMS(больше 170 штук), а так же получить доп.информацию
GitHub проекта.
Интеграция Git с IDE
Поскольку лидирующие позиции занял GitHub и кодинг - логично предположить, что вы будете активно использовать Git у себя на рабочем ПК.
ВАЖНОЕ ПРИМЕЧЕНИЕ : Если у вас не установлен Git или появляются различные ошибки при интеграции - переустановите Git с оф.сайта.
Таким образом, мы интегрируем Git в PyCharm:
1. Заходим в File-Settings-Version Control-GitHub
2. Кликаем Create API Token, вводим логин и пароль с GitHub’a
3. Заходим VCS-Enable Version Control Systems. Если не всплывает ошибка, то переходим к п. 4, иначе см. примечание.
4. Выбираем Git.
5. Выбираем VCS-Import into Version Control-Share Project on GitHub.
6. После этого всплывет окно, где нужно указать имя для папки, потом выбираете файлы для отправки и готово.

Использование Git VSCode
Использование GIT Visual Studio
Полезная статья с примерами
Основы_информационной_безопасности.pdf
6.7 MB
Пока готовятся более масштабные статьи, держите книгу, которую уже мало где возможно найти в продаже, а очень жаль.
Автор: Нестеров С.А.
Кандидат Технических Наук
Название: Основы информационной безопасности

Книга позволит Вам ознакомиться с моделями безопасности, основами криптографии, протоколами, и многое другое.
!!!Авторы канала категорически не приветствуют пиратство, и уважают авторские права. Книга предоставлена в ознакомительных целях. Если она вам понравится - приобретите ее, поддержите автора!!!