📷 Как защититься от пробива по фотографии.

В феврале 2016-го года интернет «взорвал» сервис FindFace: он находил пользователей VK по случайной фотографии. Причём с точностью Акеллы! Технологию облюбовали в даркнете: от действий шантажистов пострадали тысячи молодых людей, которые по наивности отправляли интимные фото «девушкам» с сайтов знакомств. Вебкам-модели — такая же история! В общем, слова «FindFace» и «конфиденциальность», поставленные в одно предложение, — самый короткий анекдот в мире.

В 2018-ом проект убрали из публичного доступа, но спустя 3 года анонимные разработчики запустили полный аналог FindFace — SearchFace. Принцип такой же: загрузили фото жертвы → получили ссылку на профиль VK! Только, в отличие от предшественника, сервисом можно пользоваться бесплатно. Как говорится, без регистрации и SMS! И это пугает ещё больше: любой проходимец может сначала сфотографировать вас на улице, а затем найти в соцсетях.

Так как защититься от такого пробива? Начнём с «матчасти»!

Двигатель SearchFace — рукописная нейросеть, которая основана на базе из 500-та миллионов лиц пользователей VK. Это машина. А машина «разговаривает» только на одном языке — языке кода. Вот и получается: если изменить фотографию на уровне пикселей, алгоритм распознавания лиц «запутается». Идентифицировать нереально! «Но я не владею Photoshop...» — скажете вы. Нестрашно! Для обработки снимков можно использовать Fawkes. Это быстро и практично. Всё, что останется после, — заменить фотографии в соцсети.

Подводя итоги: лучшим решением для сохранения конфиденциальности остаётся отказ от активного ведения соцсетей. На теневых форумах любят поговаривать: «Не доверяй никому — не будешь обманут». Так и есть! Сегодня Fawkes вас спас, и SearchFace «отступил». Но в каком «настроении» он будет завтра? Послезавтра? Мир меняется ежесекундно.

Обсудить в чате 👉 https://t.me/+jrxm2KHbIl9kMDQy

#news Исследователи изучили возможность использования графических процессоров для создания уникальных фингерпринтов и их отслеживания в интернете. Исследователи рассмотрели возможность создания отличительных отпечатков пальцев на основе GPU (графического процессора) отслеживаемых систем с помощью WebGL (Web Graphics Library). WebGL — это кроссплатформенный API для рендеринга 3D-графики в браузере, который присутствует во всех современных веб-браузерах.

@tomhunter

#OSINT #MAC Привет всем! Давно не писали про OSINT. Сегодня коснемся источников, предназначенных для исследования MAC-адреса.

├macvendorlookup (Check MAC)
├samy (Check MAC)
├mac-find (Check MAC)
├networkcenter (Check MAC)
├wigle (Geolocation)
├mac-geo (Geolocation)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)

@tomhunter

Полезные сервисы для OSINT по фото.

Фото:
Findclone.ru — поиск аккаунтов по фото из базы Вконтакте.
Pimeyes.com — анализ совпадений ведется не только по социальным сетям, но и по новостным сайтам, а также по популярным сервисам, вроде YouTube, WordPress, Tumblr и Instagram и др.

Search4faces.com — поиск по базам ВКонтакте и Одноклассники.
https://vk.watch — инструмент OSINT для поиска информации о людях ВКонтакте.
Betaface.com — сравнительный анализ фотографий. Определит вероятность того, что на двух разных изображиях один и тот же человек.
Azure.microsoft.com — соотнесение лиц, определит вероятность того, что на двух разных изображениях изображен один и тот же человек, и выдаст оценку достоверности.

Боты, которые ищут по фото:
@pxajety7297bot - Глаз Бога (периодически блокируется, но работает не хуже FindClone)
@Quick_OSINT_bot
@ssb_russian_probiv_bot


Поисковики:
https://yandex.ru/images
https://images.google.com
https://go.mail.ru/search_images
https://tineye.com
https://www.bing.com/visualsearch

Interviews with #osint-people from twitter.com/osintme:


twitter.com/nixintel


http://osintme.com/index.php/2019/11/27/advanced-osint-flight-tracking-and-geolocation-an-interview-with-nixintel/

twitter.com/MwOsint


http://osintme.com/index.php/2019/12/03/going-after-the-right-wing-extremists-open-source-intel-style-an-interview-with-mw-osint/

twitter.com/ADanielHill


http://osintme.com/index.php/2020/02/25/admin-admin-part-1-from-responsible-disclosure-to-a-prison-cell/

twitter.com/ChaosD0c


http://osintme.com/index.php/2021/07/17/scraping-the-darkwebs-onions-interview-with-doctor-chaos/

twitter.com/Sector035

http://osintme.com/index.php/2021/11/21/doing-osint-before-it-was-cool-interview-with-sector035/

twitter.com/cyb_detective

https://osintme.com/index.php/2021/10/21/writing-about-osint-daily-interview-with-cyber-detective/

#OSINT #Telegram Сегодня разбираю с вами знаковую тему проведения OSINT-исследований в мессенджере Telegram. Поговорим об источниках, позволяющих идентифицировать пользователей (об идентификации каналов расскажу отдельно):

├@userinfobot (Find ID)
├@CheckID_AIDbot (Find ID)
├@username_to_id_bot (Find ID)
├checker (Phone Checker)
├@TgAnalyst_bot (Find Phone)
├eyeofgod (Find Phone)
├@anonimov_bot (Find Phone)
├@maigret_osint_bot (Find Nickname)
├whatsmyname (Find Nickname)
├mail (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├@telesint_bot (Find Chats)
├@tgscanrobot (Find Chats)
├TelegramScraper (Chats Parser)
├TeleParser (Chats Parser)
├TG-Parser (Chats Parser)
├commentgram (Find Messages)
├telegago (Find Messages)
├@locatortlrm_bot (Check Location)
├telegram-nearby (Check Location)
├@FindStickerCreatorBot (Sticker Author)
├canarytokens (Check IP)
└iplogger (Check IP)

P.S. Инструкция по исследованию Telegram-каналов

@tomhunter

Maltego Transforms List

33 repo with transforms and plugins for using different apps data in Maltego (
twitter.com/MaltegoHQ
)

Holehe, Maigret, Hunchly, Nmap, Binaryedge, Censys and much more.

https://github.com/cipher387/maltego-transforms-list

#osint #opensource

Работаем с email.

1. Lampyre.io - сервис проверки адреса электронной почты и номера мобильного телефона.

Предоставит отчет в электронном виде, а также в формате docx, в котором отображены Интернет-ресурсы, при регистрации на которых использовался указанный email или номер телефона.

LAMPYRE осуществляет поиск по:
Facebook, LinkedIn, Twitter, Skype, PayPal, BlaBlaCar и др.

2. Hunter.io - осуществляет поиск адресов корпоративной электронной почты по домену компании.

Позволяет осуществлять поиск отдельного сотрудника по имени и компании, проверить актуальности почтового адреса, узнать количество email для одного домена или компании.

3. Emailsherlock.com - авто­мати­чес­кий поиск по email-адре­су. Най­дет, к каким сай­там при­вязан адрес поч­ты.

4. Emailrep.io - авто­мати­чес­кий поиск по email-адре­су.

5. Несколько полезных ботов:
@UniversalSearchBot
@EmailPhoneOSINT_bot
@last4mailbot
@LeakCheckBot
@MailLeaksBot

Есть решения, которые вроде и просты на первый взгляд, но добавляют ту самую изюминку, в казалось бы в привычные вещи, которая вызывает некий внутренний восторг. И это как раз про то самое…

ꓘamerka
[ github.com/woj-ciech/Kamerka-GUI ]

По сути, это такой GUI натянутый на Shodan с очень приятными дополнениями и поддержкой Binary Edge и WhoisXMLAPI в придачу.

Что собственно говоря делает- просто ищет различные устройства с смотрящие в мир своими сетевыми интерфейсами, показывает что это за устройства, какие уязвимости на них эксплуатируются (с перечнем по кажому) показывает географическое расположение (там, где это возможно) и рисует красивые картинки со статистикой и общими отчетами.

По-факту, может служить как и хорошим OSINT- инструментом, так и неплохой тестовой платформой.

P.S. Развернул на тестовом инстанс и с удовольствием играюсь уже пару дней!

P.S.S. Пожмакать кнопочки (чтоб проникнуться красотой) перед установкой можно на демке тут: [ woj-ciech.github.io/kamerka-demo/kamerka.html ]

♾ https://ifflab.org/list-of-15-most-powerful-forensic-tools/

📓 WhatsApp Network Forensics: Discovering the IP Addresses of Suspects

Подборка сервисов временной почты

Как часто Вам приходится вводить свою личную почту при регистрации?
Большинство пользователей указывают свой настоящий email чем вредят своей анонимности.

Ниже представлены ресурсы, которые можно использовать для регистрации.

crazymailing.com - сервис временной почты для борьбы со спамом
temp-mail.org - временная одноразовая почта
dropmail.me - бесплатный анонимный временный адрес электронной почты
my10minutemail.com - сервис временной анонимной электронной почты
10minemail.com - временная почта на 10 минут
mohmal.com - бесплатный анонимный временный адрес электронной почты
emailondeck.com - сервис временной почты для борьбы со спамом
10minutemail.net - временная почта на 10 минут
tempail.com - бесплатный анонимный временный адрес электронной почты
emkei.cz - онлайн фальшивый почтовик с вложениями, шифрованием, HTML-редактор и расширенные настройки, можно установить любой адрес отправителя
gmailnator.com - прием почты на email адрес gmail. com

#безопасность

Программа SARveillance позволит достать изображения практически из любой точки планеты, даже с авиационных баз. И самое главное, этот инструмент позволит вам создавать анимированные GIF-файлы локаций, захваченных зорким объективом спутника Sentinel-1.

Качество снимков не зависит от погодных условий, а значит, что хорошие SAR-фотографии можно получить даже в самый пасмурный питерский день.

https://share.streamlit.io/mjcruickshank/sarveillance/reorganisation/app/web.py

Подборка чекеров. Часть 4.

Они необходимы как минимум для того, что бы проверить качество вашего VPN и не происходит ли утечки вашего реального IP через WebRTC. Как пример.

1. https://tenta.com/test/

2. https://whatismyipaddress.com/

3. https://ipinfo.info/html/privacy-check.php

4. https://who.is/

5. https://www.ip2location.com/demo

Другие части подборки: 1, 2, 3.

WebRTC Leak Shield — браузерное расширения для предотвращения утечки вашего IP адреса через WebRTC.

Достаточно просто ввести в поиске канала "WebRTC", если хотите полностью разобраться в вопросе и забыть об этой утечке.

#сайт #сервис #анонимность