Plastik
43.9K subscribers
51 photos
353 links
Авторские статьи. Безопасность. Анонимность. Схемы.
Хочешь задать вопрос? @kevinmitnick_bot

РЕКЛАМА НЕ ПРОДАЕТСЯ!
Download Telegram
to view and join the conversation
Как безопасно скачивать и просматривать видео
Очень часто на рабочей машине или в поездках, нет хорошего доступа к интернету. И нет возможности посмотреть видео в хорошем качестве.
Да и просмотр роликов на площадках с рекламой не приносит особого удовольствия. Особенно если нужно регистрироваться и оставлять свои данные.

Youtube-dl прекрасно решает эту боль.
Инструмент позволяет скачивать видео с Youtube, VK, Instagram, а также еще с 100-ни других сайтов в оригинальном качестве.
Youtube-dl работает на GNU/Linux. А для Mac OS X и Windows имеется удобный GUI-интерфейс. Установка и работа максимально удобная и происходит буквально в два клика.

Установка:
$ sudo curl -L https://yt-dl.org/downloads/latest/youtube-dl -o /usr/local/bin/youtube-dl

$ sudo chmod a+rx /usr/local/bin/youtube-dl

Использование:
$ youtube-dl <url> — скачать видео или плейлист с Youtube/Instagram и других сайтов со списка.
$ youtube-dl -u LOGIN -p PASS <url> — скачать видео с VK.com.
$ youtube-dl -a video-url.txt — скачать несколько видео с файла.
$ youtube-dl -x <url> — скачать только аудио дорожку с видео.
$ youtube-dl -F <url> — можно посмотреть доступные форматы с качеством, размер для конкретного видео.
НОВОСТНОЙ ДАЙДЖЕСТ
▫️ Twitter. Крупнейшая атака в истории.
Украдено более $120.000. Рассказываем подробности в статье.
Подробнее
▫️Иранские хакеры случайно слили обучающие видео и файлы.
Обнаружен сервер с 40 Гб видео и других файлов, проливающих свет на «работу» группы.
Подробнее
▫️Хакеры украли 336 биткоинов.
Для вывода использовали смешивания монет чтобы затруднить отслеживание средств.
Подробнее
▫️В Конгрессе США готовится закон против «русских хакеров».
Или как попытаться украсть данные о вакцине против COVID-19.
Подробнее
▫️В СИЗО "Матросская тишина" ребята организовали колл-центр.
Когда нет времени сидеть, остается только действовать.
Подробнее
Как хранить пароли? KeePass
Привет, Аноним.
Сегодня я расскажу зачем нужны парольные менеджеры, какая разница между KeePass, KeePassX и KeePassXC.
Пошагово установим один из инструментов и настроим базу для хранения паролей.
Не стоит быть халатным к безопасности собственных ресурсов.
💊Хакинг. ТОП-5 сервисов для прокачивания навыков

Сегодня я расскажу тебе о лучших сервисах, которые позволяют прокачать навыки в практической наступательной безопасности .

На сервисах размещены одни из лучших материалов, практических заданий и лабораторий, для получения практических навыков. Большинство их них являются бесплатными. Задания максимально адаптированы под реальные ситуации.

▫️HackTheBoxплощадка, которая заслуживает отдельного внимания и находится на первом месте в нашем списке.
Это целое комьюнити людей, которые делятся опытом, знаниями и советами на форуме. Есть платная подписка за 10 фунтов/месяц, которая предоставляет неограниченный доступ к машинам и гайдам для прохождения.
Основная фишка сервиса — уязвимые машины (170), которые включают веб-уязвимости, инфраструктурные и другие. После регистрации, доступен OpenVPN конфиг к сети, где есть уязвимые машины. Для погружения в тему поможет канал IppSec.


▫️PortSwigger Web Security Academyдобротный материал от разработчиков известного инструмента Burp Suite.
На сайте есть краткая теория и лабы по Web Security. Можно прокачать свои навыки в SQL, XSS, CSRF, CORS, XML, SSRF, SSTI атаках и других аспектах. Информация подготовлена интересно, лабы актуальные, это один из лучших способов прокачать свои навыки в WEB безопасности. Все доступно с браузера, сервис является полностью бесплатным.

▫️Root-Meсервис, который предоставляет пользователям отдельные задания по направлениям и комнаты.
В любой из 20 комнат можно присоединиться к текущему заданию или создать свое на выбор. В комнате могут быть несколько машиной с Active Directory. Как правило, в ходе решения нужно получить флаг, которые будет являться решением задания.

▫️Tryhackmeна этом ресурсе можно потренировать навыки повышения привилегий Windows и Linux.
Пользователю предоставляется доступ к уязвимой машине по SSH, где есть разные способы получить root-права. Способы повышения максимально адаптированы под реальные условия. Процесс обучения построен в формате последовательного выполнения заданий.
Угоняем API-ключ Админа. CORS.
Привет, Аноним.
CORS — сross-origin resource sharing.
▫️Узнаем что это такое.
▫️Как найти сайт имеющий уязвимую конфигурацию CORS.
▫️С помощью Javascript эксплоита, угонем API ключ админа сервиса.
🧬Контрольные суммы (хеш-суммы)

Очень часто на сайтах разных дистрибутивов и софта можно увидеть колонки с названием SHA256Sum или MD5Sum.
Это контрольные суммы (или хеш-суммы), которые вычисляются с помощью криптографических алгоритмов.
Контрольные суммы позволяют проверить подлинность и целостность файла. Также, по контрольным суммам очень легко искать файлы в поисковых системах.

Зачем нужны контрольные суммы?
Например, если файл был скачан не полностью, или файл был частично поврежден или полностью подменен на выходе он будет иметь другую контрольную сумму.
Скачивая образ дистрибутива с сайта можно сверить контрольную сумму. При условии что все прошло без каких-либо происшествий с файлом контрольная сумма должна совпадать.
Это особо актуально, если приходится работать в небезопасных и нестабильных сетях. Значение контрольной суммы меняется, если хотя бы один бит файла изменился.

В Kali Linux есть две утилиты sha256sum и md5sum, которые доступны с коробки. С названия становиться очевидным что первая утилита использует алгоритм SHA-256, а вторая — MD5. Иногда, на сайтах можно увидеть сразу две контрольных суммы файла, а иногда только одну.
Для проверки контрольных сумм на машине достаточно выполнить команды:
$ md5sum <filename>
$ sha256sum <filename>
⚡️Garmin всё! Хакерская пробежка.
Привет, Аноним.
Компания Garmin подверглась хакерской атаке.

Помимо сбоя в приложении, проблемы наблюдаются и на стороне колл-центра.
По некоторым данным, деятельность полностью парализована, включая производственную линию в Азии.
Подробнее разбираемся в статье.
НОВОСТНОЙ ДАЙДЖЕСТ
▫️В Санкт-Петербурге задержаны трое кардеров.
Злоумышленники «клонировали» известные интернет-магазины и похищали банковские данные покупателей. Ущерб составил порядка 4 млн руб.
Подробнее
▫️Утекли логи 20 млн пользователей VPN.
1.2 Тб логов утекли у VPN-провайдеров, "не хравшивших логи". Помимо логов, на сервере лежали открытыми персональные данные: адреса электронной почты, пароли (открытым текстом), IP-адреса, домашние адреса, модели смартфонов, идентификаторы устройств и т.д.
Жертвами оказались те кто пользовался UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.
Подробнее
▫️Netflix and Malware. Мошенники маскируют вирусы под сериалы.
Злоумышленники добавляют названия популярных шоу в рекламные и вредоносные программы, а также используют их для проведения фишинговых атак.
Подробнее
▫️КиноПираты. Теневые инвесторы интернет-пиратства.
Специалисты Group-IB раскрыли основных бенефициаров пиратских онлайн-кинотеатров и пиратского спортивного стриминга. Финансируют пиратскую индустрию онлайн-казино Lucky Partners и Welcome Partners, букмекер 1xBet, а также техподдержка со стороны легальных хостеров «Многобайт» и «ДДОС-ГВАРД».
Подробнее
▫️iPhone для хакеров. Apple выпустила специальную версию смартфона.
Избранным исследователям предоставят специальные версии iPhone. У них отключено большинство функций безопасности, а так же будут иметь меньше ограничений и обеспечат более глубокий доступ к операционной системе и железу.
Подробнее
10.000$ за смену никнейма в Uber. SSTI
Привет, Аноним.
Пользователь сменил свой ник на сайте uber.com на . За эту уязвимость хакер получил $10 000 вознаграждения.
Вкусно?
Сегодня я расскажу и покажу, как найти SSTI уязвимость и раскрутить ее до выполнения кода на сервере.
Где купить сливы данных?
Сегодня расскажу о площадках, где чаще всего выкладываются или продаются утечки данных.

Если в СМИ публикуют новости об очередном взломе и утечке данных клиентов, то скорее всего предложение о продаже будет размещено на одном из следующих форумов:
▫️Raidforumsизвестный англоязычный форум в мире утечек информации.
Постоянно появляются новые базы данных.
Так, например, на этом форуме был недавно размещен дамп базы форума dava.com.
Помимо открытых тем с утечками и дампами, есть отдельная тема "Database Requests", где пользователи оставляют свои запросы на данные. Это связано с тем, что не все селлеры готовы продавать данные публично.
▫️Crackingанглоязычный форум, где можно купить БД с разных сайтов.
Например, на сайте не так давно был выложен дамп пользователей в открытый доступ другого хакерского форум cracked.to.
В основном на форуме размещаются сливы учетных записей бесплатно. Но есть и приватные предложения.
▫️Probiv(onion ссылка)на известном среде хакеров ресурсе есть отдельная ветка "Покупка и продажа баз данных".
В целом на форуме есть разного рода утечки, которые можно купить. Также есть достаточно запросов на определенные данные сервисов или жителей какой-то страны.
▫️Darkmoneyизвестный форум, на котором также есть профильный раздел с утечками.
Иногда попадаются базы разных сервисов, сливы с государственных ресурсов и т.д. Некоторые продавцы предлагают бесплатный тест, чтобы оценить качество базы и данных в ней.
Cisco трещит по швам
Привет, Аноним.
На этой неделе были найдены серьезные уязвимости в Cisco ASA и Cisco Firepower.
С помощью этих уязвимостей можно читать и удалять файлы на сервере без какой-либо авторизации.
Как у нас с вами заведено — минимум теории, максимум практики, ждут в статье.
ТОП-5 Хакерских гаджетов
Привет, Аноним.
В этой подборке одни из самых крутых устройств.
Ты сможешь эмулировать различные смарт-карты, проходить турникеты бизнес-центров, перехватывать нажатия клавиатуры в реальном времени, анализировать Bluetooth, а также прослушивать радиоэфир на разных частотах.
НОВОСТНОЙ ДАЙДЖЕСТ
▫️Арестованы хакеры, стоящие за взломом Twitter.
Самому младшему всего 17 лет и он является организатором массового взлома.
Подробнее
▫️Хакер из Гомеля заработал более $2 млрд.
Преступники устанавливали вредонос GandCrab на компьютеры жертв с помощью спам-рассылки pdf-файлов. Было заражено более тысячи компьютеров и за расшифровку каждого из них требовали $1200.
Подробнее
▫️Раскрыты данные о двух 0-day уязвимостях в Tor и Tor Browser.
Эксперт также намерен раскрыть информацию якобы еще о трех уязвимостях 0day в Tor. Одна из них может показать реальный IP-адрес серверов Tor.
Подробнее
▫️Утечка базы данных Ledger-криптовалютного кошелька.
Речь идет об именах клиентов, их электронных и почтовых адресах, номерах телефонов и сведениях о приобретенных продуктах.
Подробнее
▫️Instagram включает камеру во время просмотра ленты.
Instagram использует камеру вашего смартфона даже тогда, когда вы не снимаете фото или видео.
Подробнее
Тамагочи для хакеров. За 1,5$ млн.
Привет, Аноним!
Да, ты все правильно понял, это игрушка для хакеров, а не очередной фин-тех стартап.
В этом мини-обзоре «тамагочи для хакеров» заглянем под капот этого зверя, оценим стоимость устройства и проанализируем возможности и дальнейшее развитие.
Яндекс дорки. Пароли, логи, документы в открытом доступе.
Привет, Аноним.
Google дорки? Нет, именно Яндекс.
Сегодня мы подготовили для тебя целый набор поисковых запросов, которые будут полезны для поиска паролей, логов, документов и другой интересной информации.
Подробнее в статье.
Пробив телефона. Мифы о анонимности. Работа спецслужб.
Привет, Аноним.
Если купить сим-карту на левый паспорт, то меня не найдут.
Сегодня развеем популярные мифы, а так же поговорим о...
▪️Как работают спецслужбы?
▪️Как оставаться анонимным?
▪️Как работает пробив телефона?
▪️Какие данные сохраняют операторы и за сколько их можно купить на теневых форумах?
LeakIX — новый хакерский поисковик. Пароли и базы данных.
Привет, Аноним.
Сегодня я расскажу тебе о перспективном поисковике для хакеров.
Что это за проект, как он появился, и чем он отличается от существующих сервисов. Также пройдемся по расширенному синтаксису и посмотрим на результаты выдачи.
Проект появился не так давно, поэтому это один из первых обзоров.
Вся правда о Red Team
Как-то раз для директора компании отправили большой букет роз и мишку c вшитым Raspberry PI и внешней антенной.
Привет, Аноним.
Все больше компаний попадают под хакерские атаки. Заводы, фабрики, магазины, интернет-сайты и целые государства.
Сегодня я расскажу тебе о том, что такое Red Teaming. Почему компании так заинтересованы в этой услуге и готовы платить миллионы.
Хакни и останови шредер с 200к рублей.
Привет, Аноним.
Я хочу рассказать о крутой игре, которая проходит прямо сейчас. Реальная игра, на реальные деньги с элементами взлома. Нужно получить доступ через сайт к управлению IoT-устройств.
Разведка 2.0: Работаем с AutoRecon
Привет, Аноним.
Сегодня я расскажу тебе о том, почему этап разведки занимает так много времени и как можно его оптимизировать с помощью AutoRecon.
Разберемся, что это за инструмент, для чего он нужен и чем он лучше Nmap.
👉🏼Если это все звучит как белый шум, то специально для тебя я разложил все по полочкам в начале статьи.
Также просканируем несколько целей, чтобы понять, какие результаты можно увидеть по завершению работы этого "чуда".