#article Продолжаем тему Google Таблиц в OSINT. В нашей сегодняшней статье мы поговорим о том, как использовать их в одной из фундаментальных задач в OSINT — поиск по никнейму.
Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать на Хабр!
@tomhunter
Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать на Хабр!
@tomhunter
👍11🔥2😱2
#news Пятничные новости инфобеза. В сентябре наши хактивисты из TwoNet заявили о взломе системы водоснабжения в Голландии. Дефейс, смена конфигурации, отключение аварийки— всё как полагается. Но есть нюанс: это был ханипот…
Forescout пишет, что хактивисты забрели на их обманку под видом водоочистной станции. Злоумышленник создал аккаунт под своим крутым хакерским ником, дефейснул страницу логина и поковырялся в конфигурации; дальше дело не пошло. Всё это позже представили как успешный взлом. Но как водится, от народного дудоса всем чатиком молодых и шальных до реальных атак по критической инфраструктуре путь неблизкий. И по пути легко запнуться — например, о ханипот. Так что здесь нужно калибровать свой энтузиазм и не спешить рапортовать об успехах. В конце концов, репутация — дело наживное. И от болтовни в Telegram со скриншотами несуществующих побед до серьёзной угрозы дорастут далеко не все.
@tomhunter
Forescout пишет, что хактивисты забрели на их обманку под видом водоочистной станции. Злоумышленник создал аккаунт под своим крутым хакерским ником, дефейснул страницу логина и поковырялся в конфигурации; дальше дело не пошло. Всё это позже представили как успешный взлом. Но как водится, от народного дудоса всем чатиком молодых и шальных до реальных атак по критической инфраструктуре путь неблизкий. И по пути легко запнуться — например, о ханипот. Так что здесь нужно калибровать свой энтузиазм и не спешить рапортовать об успехах. В конце концов, репутация — дело наживное. И от болтовни в Telegram со скриншотами несуществующих побед до серьёзной угрозы дорастут далеко не все.
@tomhunter
😁13👍5
#news Интересный поворот для NSO Group в многолетней истории “США и Я”. Американские инвесторы приобрели контрольный пакет акций компании, так что формально владение меняется с израильского на американского.
Разработчик печально известной спайвари Pegasus попал в немилость США и в Entity List в 2021-м, когда вскрылось, что ПО использовали для шпионажа за американскими чиновниками за рубежом. С тех пор NSO всё лоббирует выход из него, лоббирует, да никак не пролоббирует. С очередной покупкой уважаемыми людьми на местах, процесс, вероятно, пойдёт бодрее. Что совсем не радует местных безопасников: работавшие по Pegasus исследователи из Citizen Lab опасаются, что Pegasus получит контракты, например, для полиции. Примеры в наличии. При этом представитель NSO проговорился “не для печати”, что и штаб останется в Израиле, и подчинён он всё так же Минобороны. Так что за любопытные юридические носы NSO может и дальше не переживать — родное правительство прищёлкнет. Сплошные плюсы, в общем.
@tomhunter
Разработчик печально известной спайвари Pegasus попал в немилость США и в Entity List в 2021-м, когда вскрылось, что ПО использовали для шпионажа за американскими чиновниками за рубежом. С тех пор NSO всё лоббирует выход из него, лоббирует, да никак не пролоббирует. С очередной покупкой уважаемыми людьми на местах, процесс, вероятно, пойдёт бодрее. Что совсем не радует местных безопасников: работавшие по Pegasus исследователи из Citizen Lab опасаются, что Pegasus получит контракты, например, для полиции. Примеры в наличии. При этом представитель NSO проговорился “не для печати”, что и штаб останется в Израиле, и подчинён он всё так же Минобороны. Так что за любопытные юридические носы NSO может и дальше не переживать — родное правительство прищёлкнет. Сплошные плюсы, в общем.
@tomhunter
🔥5😁4❤2👍1
#news Забавный кейс с легаси-системами от их негласного чемпиона — старичка Internet Explorer. Злоумышленники используют эксплойт в IE с налётом социнженерии под его запуск через Edge, так что Microsoft пришлось лёгкость запуска порезать.
Сценарий атаки простой. Юзеру Edge предлагают посетить нормально выглядящий сайт, на нём выскакивает окно с предложением перезагрузить страницу в IE. А дальше в ход идёт эксплойт в Chakra под RCE. Деталей не раскрывают, но с оглядкой на активную эксплуатацию режим IE запрятали подальше. Теперь вместо одного клика пользователь должен залезть в настройки, включить отключённую по умолчанию фичу и добавить в белый список желаемые сайты. По задумке это отобьёт у юзера желание запускать IE где попало. Но с оглядкой на оглушительный успех ClickFix, достаточно добавить новую инструкцию для перехода в IE в окно, и готово — вы ослепительны. Юзер ведь любит инструкции и возможность почувствовать себя продвинутым пользователем ПК.
@tomhunter
Сценарий атаки простой. Юзеру Edge предлагают посетить нормально выглядящий сайт, на нём выскакивает окно с предложением перезагрузить страницу в IE. А дальше в ход идёт эксплойт в Chakra под RCE. Деталей не раскрывают, но с оглядкой на активную эксплуатацию режим IE запрятали подальше. Теперь вместо одного клика пользователь должен залезть в настройки, включить отключённую по умолчанию фичу и добавить в белый список желаемые сайты. По задумке это отобьёт у юзера желание запускать IE где попало. Но с оглядкой на оглушительный успех ClickFix, достаточно добавить новую инструкцию для перехода в IE в окно, и готово — вы ослепительны. Юзер ведь любит инструкции и возможность почувствовать себя продвинутым пользователем ПК.
@tomhunter
😁8👍2🎉1💯1🤝1
#news Исследователи представили атаку по сторонним каналам по смартфонам на базе Android, позволяющую похищать данные, отображаемые на экране. Она получила название Pixnapping и сводится к отслеживанию отдельных пикселей.
Атака начинается с вредоносного приложения, но ему не нужны никакие разрешения. Pixnapping работает за счёт наложения интерфейсов и эксплойтит рендеринг, измеряя время отрисовки и восстанавливая цвета пикселей. Удалось воспроизвести 2FA-коды меньше чем за 30 секунд, экраны с личными данными из приложений и прочее. При этом ни видимых действий на экране, ни другого шума, а существующие механизмы защиты атака обходит. Тестировали её на нескольких моделях Google Pixel и Samsung Galaxy S25, но потенциал есть в экосистеме Android в целом. Реальные же применения — как обычно. Может, будет интерес для разрабов спайвари. Пока для взлома корпорации достаточно звонка от подростка задолбанному сотруднику, атаки вроде Pixnapping — развлечение для нердов. Проверка концепции здесь.
@tomhunter
Атака начинается с вредоносного приложения, но ему не нужны никакие разрешения. Pixnapping работает за счёт наложения интерфейсов и эксплойтит рендеринг, измеряя время отрисовки и восстанавливая цвета пикселей. Удалось воспроизвести 2FA-коды меньше чем за 30 секунд, экраны с личными данными из приложений и прочее. При этом ни видимых действий на экране, ни другого шума, а существующие механизмы защиты атака обходит. Тестировали её на нескольких моделях Google Pixel и Samsung Galaxy S25, но потенциал есть в экосистеме Android в целом. Реальные же применения — как обычно. Может, будет интерес для разрабов спайвари. Пока для взлома корпорации достаточно звонка от подростка задолбанному сотруднику, атаки вроде Pixnapping — развлечение для нердов. Проверка концепции здесь.
@tomhunter
🔥5😁4👍3
#news Спутниковые системы связи вновь провалили аудит на ИБ: согласно исследованию, около половины спутников передают данные без какого-либо шифрования. Для перехвата достаточно оборудования на 800 долларов.
С задачей справляется обычная спутниковая антенна. Среди перехваченного данные мобильного оператора, включая входящие звонки и сообщения. Дальше хуже: со спутников идёт огромный массив военных и промышленных данных. Включая, например, радиосвязь с командными центрами и внутренние документы. С учётом локации антенны иследователей в Южной Калифорнии, конечно, есть своя специфика: без защиты связи шла в основном военка Мексики. Но и во многих других частях света военный кибербез оставляет желать лучшего. А так как парсер залили на GitHub для привлечения внимания к проблеме, желающих половить сигнал наберётся достаточно. Не говоря уже о разведках, которые всё это давно слушают. Там любознательной компании явно не будут рады.
@tomhunter
С задачей справляется обычная спутниковая антенна. Среди перехваченного данные мобильного оператора, включая входящие звонки и сообщения. Дальше хуже: со спутников идёт огромный массив военных и промышленных данных. Включая, например, радиосвязь с командными центрами и внутренние документы. С учётом локации антенны иследователей в Южной Калифорнии, конечно, есть своя специфика: без защиты связи шла в основном военка Мексики. Но и во многих других частях света военный кибербез оставляет желать лучшего. А так как парсер залили на GitHub для привлечения внимания к проблеме, желающих половить сигнал наберётся достаточно. Не говоря уже о разведках, которые всё это давно слушают. Там любознательной компании явно не будут рады.
@tomhunter
🔥9👍4❤3
#news В мире кибербез-стартапов небольшая драма. ИБ-фирма FuzzingLabs обвинила коллег из Gecko Security в копировании раскрытых ими уязвимостей, краже проверок концепции и приписывании их себе.
У нердов из FuzzingLabs случилась истерика в eX-Твиттере c чатжптшными формулировками и гневными каракулями по скрину сайта Gecko Security. П — профессионализм. PoCs якобы украдены после публикации, ID уязвимостей захвачены, а даты в постах проставлены задним числом. Следом Gecko обвинили в краже ещё семи CVE в формате “Моё первое OSINT-расследование”. Между тем пойманные с поличным всё отрицают — списывают на рассинхрон между BB-платформами и работой с мейнтейнерами напрямую. И редактируют старые посты, внося в них упоминания багхантеров, кражу чьих CVE им приписывают. В общем, нерды пытаются в коммуникацию, но так как денег на пиар-отдел у стартапов нет, получается не очень. А в ИБ люди разные нужны, люди разные важны. В том числе с нормальными соцнавыками, например.
@tomhunter
У нердов из FuzzingLabs случилась истерика в eX-Твиттере c чатжптшными формулировками и гневными каракулями по скрину сайта Gecko Security. П — профессионализм. PoCs якобы украдены после публикации, ID уязвимостей захвачены, а даты в постах проставлены задним числом. Следом Gecko обвинили в краже ещё семи CVE в формате “Моё первое OSINT-расследование”. Между тем пойманные с поличным всё отрицают — списывают на рассинхрон между BB-платформами и работой с мейнтейнерами напрямую. И редактируют старые посты, внося в них упоминания багхантеров, кражу чьих CVE им приписывают. В общем, нерды пытаются в коммуникацию, но так как денег на пиар-отдел у стартапов нет, получается не очень. А в ИБ люди разные нужны, люди разные важны. В том числе с нормальными соцнавыками, например.
@tomhunter
😁6❤2👍2💯2
#news Американский ИБ-гигант F5 раскрыл утечку. И какую! APT проникла в их сети, стянула исходники флагманского продукта BIG-IP, информацию об уязвимостях и конфиги части клиентов.
У злоумышленников был долговременный, устойчивый доступ к сетям F5, включая среду разработки. Помимо части исходников стянули нераскрытые уязвимости в BIG-IP, над исправлением которых работала компания; следов эксплойта нет. Иными словами, кошмар любой кибербез-корпорации — объясняться перед людьми из высоких кабинетов теперь придётся долго. Из Fortune 50 у неё 48 клиентов, но здесь апэтэшечку интересовал явно не столько бизнес, сколько американские госсети — правительство США запросило отложить раскрытие утечки, пока не защитят критические системы. По национальности “продвинутых госхакеров” не называют, но здесь и так всем всё понятно — ресурс под такие операции водится разве что в Поднебесной. Так что тут, скорее всего, без сюрпризов.
@tomhunter
У злоумышленников был долговременный, устойчивый доступ к сетям F5, включая среду разработки. Помимо части исходников стянули нераскрытые уязвимости в BIG-IP, над исправлением которых работала компания; следов эксплойта нет. Иными словами, кошмар любой кибербез-корпорации — объясняться перед людьми из высоких кабинетов теперь придётся долго. Из Fortune 50 у неё 48 клиентов, но здесь апэтэшечку интересовал явно не столько бизнес, сколько американские госсети — правительство США запросило отложить раскрытие утечки, пока не защитят критические системы. По национальности “продвинутых госхакеров” не называют, но здесь и так всем всё понятно — ресурс под такие операции водится разве что в Поднебесной. Так что тут, скорее всего, без сюрпризов.
@tomhunter
🔥6😁3❤2🤯1🤬1
#news Очередной яркий пример критичности нормально налаженной разработки софта из мира компьютеризированных авто. На прошлых выходных производитель Jeep Wrangler 4xe массово превратил машины в кирпич. Виной стал кривое обновление.
В лучших традициях таких историй апдейт отправился в прод в пятницу вечером. Обновилась система uConnect, сбой заблокировал телематику, и авто встали. Часть владельцев апдейт застал прямо в дороге, кого-то — на магистралях. Другим повезло больше: кирпич обнаружили у дома по утру, пришлось отправлять в автосервис. Через сутки громко матерящийся сеньор выпустил исправление, но осадочек-то остался. Вместе с вопросами к внутреннему тестированию у производителя. Точнее, к его отсутствию. Stellantis по итогам обещает внедрить многоступенчатое развёртывание обновлений. А у кого-то на рабочем месте появится почётная плашка с напоминанием “Пятница — не время для апдейтов”.
@tomhunter
В лучших традициях таких историй апдейт отправился в прод в пятницу вечером. Обновилась система uConnect, сбой заблокировал телематику, и авто встали. Часть владельцев апдейт застал прямо в дороге, кого-то — на магистралях. Другим повезло больше: кирпич обнаружили у дома по утру, пришлось отправлять в автосервис. Через сутки громко матерящийся сеньор выпустил исправление, но осадочек-то остался. Вместе с вопросами к внутреннему тестированию у производителя. Точнее, к его отсутствию. Stellantis по итогам обещает внедрить многоступенчатое развёртывание обновлений. А у кого-то на рабочем месте появится почётная плашка с напоминанием “Пятница — не время для апдейтов”.
@tomhunter
😁11🔥3👍1😢1
#news Продолжается активный эксплойт недавних уязвимостей в Cisco. В свежей кампании вновь досталось IOS и IOS XE с уязвимостью в SNMP: злоумышленники накатывают руткиты и обеспечивают себе постоянный доступ.
Где руткиты, там и RCE, плюс универсальные пароли с хуками в IOSd для закрепления в системах. Злоумышленники также работают с прицелом на устаревшие версии Linux без EDR-решений, и универсальных методов для обнаружения компрометации нет. Так что руткиты в системах надолго. Подробнее о кампании в отчёте. Между тем в сентябре Cisco сгенерировала достаточно шума, чтобы к ней появились неудобные вопросы: её CEO строчит письма штатовский сенатор, требуя объяснений. Но комментариев по этому поводу Cisco давать не спешит. Здесь, конечно, лучше затаиться и переждать жару в формате “Если я буду это игнорировать, оно уйдёт”. Кибербез — область волатильная, завтра новые CVE и громкие заголовки подвезут. Глядишь, само и уляжется. Подписывайтесь, чтобы не пропустить другие советы для успешных CISO.
@tomhunter
Где руткиты, там и RCE, плюс универсальные пароли с хуками в IOSd для закрепления в системах. Злоумышленники также работают с прицелом на устаревшие версии Linux без EDR-решений, и универсальных методов для обнаружения компрометации нет. Так что руткиты в системах надолго. Подробнее о кампании в отчёте. Между тем в сентябре Cisco сгенерировала достаточно шума, чтобы к ней появились неудобные вопросы: её CEO строчит письма штатовский сенатор, требуя объяснений. Но комментариев по этому поводу Cisco давать не спешит. Здесь, конечно, лучше затаиться и переждать жару в формате “Если я буду это игнорировать, оно уйдёт”. Кибербез — область волатильная, завтра новые CVE и громкие заголовки подвезут. Глядишь, само и уляжется. Подписывайтесь, чтобы не пропустить другие советы для успешных CISO.
@tomhunter
😁10👍1🔥1💯1
#news Оригинальная партнёрка от Amazon: её дочерняя компания Ring, производящая камеры и умные дверные звонки, объявила о сотрудничестве с Flock Safety, разработчиком системы распознавания автономеров.
Flock Safety — это система камер и инфоброкер с финансовой моделью формата “Доступ для всех органов и ведомств и пусть никто не уйдёт обиженным”. Интеграция позволит штатовским правоохранителям направлять запросы юзерам камер от Amazon Ring в рамках расследований. Формально “по согласованию с пользователем”, как будет на деле — вопрос хороший. Особенно с учётом того, что Ring уже всплывала в новостях с историями о том, что у сотрудников и третьих лиц был неограниченный доступ к записям с устройств юзеров. Так одним росчерком пера под выгодным контрактом миллионы дверных звонков и камер ничего не подозревающих юзеров интегрируют в системы компании, которая черпает вдохновение в образе Большого Брата. Казалось бы, что может пойти не так? Amazon как всегда, к этим вопросов давно нет.
@tomhunter
Flock Safety — это система камер и инфоброкер с финансовой моделью формата “Доступ для всех органов и ведомств и пусть никто не уйдёт обиженным”. Интеграция позволит штатовским правоохранителям направлять запросы юзерам камер от Amazon Ring в рамках расследований. Формально “по согласованию с пользователем”, как будет на деле — вопрос хороший. Особенно с учётом того, что Ring уже всплывала в новостях с историями о том, что у сотрудников и третьих лиц был неограниченный доступ к записям с устройств юзеров. Так одним росчерком пера под выгодным контрактом миллионы дверных звонков и камер ничего не подозревающих юзеров интегрируют в системы компании, которая черпает вдохновение в образе Большого Брата. Казалось бы, что может пойти не так? Amazon как всегда, к этим вопросов давно нет.
@tomhunter
😁4🤬2
#news По следам раскрытия F5 присутствия APT в своих сетях исследователи нагнетают обстановку. В сети доступны 266 тысяч инстансов флагмана компании BIG-IP. Около половины в Штатах, четверть в Европе.
Сколько из них уязвимы к атакам, включая стянутые уязвимости, неизвестно, но масштабы прикинуть можно. Ситуация для компании максимально щекотливая: по оценкам злоумышленники имели доступ как минимум год. При этом в частных сообщениях клиентам F5 раскрыла секрет полишинеля: за атакой стоит Китай. Публично подтверждать это по очевидным причинам не спешат: кибербез-корпорация с китайскими госхакерами в сетях на протяжение года — такое попробуй объяснить акционерам, а затем и Конгрессу. Билет на слушания с госкомитетом по кибербезопасности и всем сопутствующим F5, скорее всего, уже выиграла. Китайская апэтэшечка, кража исходников, присутствие в сетях больше года — бинго кошмарных сценариев, здесь остаётся только посочувствовать. Или позлорадствовать — кому что ближе.
@tomhunter
Сколько из них уязвимы к атакам, включая стянутые уязвимости, неизвестно, но масштабы прикинуть можно. Ситуация для компании максимально щекотливая: по оценкам злоумышленники имели доступ как минимум год. При этом в частных сообщениях клиентам F5 раскрыла секрет полишинеля: за атакой стоит Китай. Публично подтверждать это по очевидным причинам не спешат: кибербез-корпорация с китайскими госхакерами в сетях на протяжение года — такое попробуй объяснить акционерам, а затем и Конгрессу. Билет на слушания с госкомитетом по кибербезопасности и всем сопутствующим F5, скорее всего, уже выиграла. Китайская апэтэшечка, кража исходников, присутствие в сетях больше года — бинго кошмарных сценариев, здесь остаётся только посочувствовать. Или позлорадствовать — кому что ближе.
@tomhunter
🔥10😁3🤯3🤬1
#news На выходных официальный сайт Xubuntu обзавёлся малварью: торрент-ссылка на дистрибутив внезапно начала подтягивать архив. С экзешником. Так что незамеченным это не осталось — компрометацию закрыли в тот же день.
Вредонос в архиве тоже не блистал: GUI загрузчика для маскировки и простенький клиппер на подмену криптоадресов. На кого это было рассчитано, неясно — разве что на пользователей Windows в поисках своего первого детского дистрибутива после завершения поддержки Win10. Но с красноглазой братией не сработало, мейнтейнеров завалили репортами, и лавочку прикрыли. Об источнике компрометации не сообщают, но судя по стыдливым оговоркам, произошёл стандартный конфуз с непатченным WordPress-плагином или неверной настройкой. Так что коммьюнити опять повезло, что на уязвимость наткнулись кретины с амбициями (и способностями) под криптоклиппер, а не кто-нибудь посерьёзнее. Анализ малвари здесь.
@tomhunter
Вредонос в архиве тоже не блистал: GUI загрузчика для маскировки и простенький клиппер на подмену криптоадресов. На кого это было рассчитано, неясно — разве что на пользователей Windows в поисках своего первого детского дистрибутива после завершения поддержки Win10. Но с красноглазой братией не сработало, мейнтейнеров завалили репортами, и лавочку прикрыли. Об источнике компрометации не сообщают, но судя по стыдливым оговоркам, произошёл стандартный конфуз с непатченным WordPress-плагином или неверной настройкой. Так что коммьюнити опять повезло, что на уязвимость наткнулись кретины с амбициями (и способностями) под криптоклиппер, а не кто-нибудь посерьёзнее. Анализ малвари здесь.
@tomhunter
😁6👍5🔥1💯1
#news У Великобритании опять случился неловкий момент с русскими хакерами. Заявляют о взломе подрядчика Минобороны и публикации сведений о восьми военных базах.
Взлом произошёл 23 сентября, от атаки рансомварь-группировки Lynx пострадала Dodd Group — компания с господрядами на строительство и ремонт. Переговоры, видимо, не задались, так что часть стянутого из 4 терабайт начали публиковать. В утечке данные с авиа- и морских баз, в том числе с американскими бомбардировщиками и ядерным оружием. Телефоны, ФИО и адреса сотрудников, документы с ограниченным доступом и прочее. В общем, очередное позорище для UK, которая слишком занята цифровыми экспериментами над населением, чтобы наладить нормальные процессы в своей ИБ. По крайней мере, всё можно как обычно списать на всемогущих русских хакеров, выразить обеспокоенность и тихонько замять до следующего взлома. Процессы налажены, да не те.
@tomhunter
Взлом произошёл 23 сентября, от атаки рансомварь-группировки Lynx пострадала Dodd Group — компания с господрядами на строительство и ремонт. Переговоры, видимо, не задались, так что часть стянутого из 4 терабайт начали публиковать. В утечке данные с авиа- и морских баз, в том числе с американскими бомбардировщиками и ядерным оружием. Телефоны, ФИО и адреса сотрудников, документы с ограниченным доступом и прочее. В общем, очередное позорище для UK, которая слишком занята цифровыми экспериментами над населением, чтобы наладить нормальные процессы в своей ИБ. По крайней мере, всё можно как обычно списать на всемогущих русских хакеров, выразить обеспокоенность и тихонько замять до следующего взлома. Процессы налажены, да не те.
@tomhunter
😁14🔥3❤1🤬1
#news OpenAI засветилась в первом кейсе по выдаче информации на пользователя по известным промптам в рамках судебного ордера. Министерство внутренней безопасности США запросило данные на юзера в рамках расследования.
Расследование шло по администратору сайта в Tor, распространяющего ЦП. Агенты общались с админом, тот упомянул, что пользуется ChatGPT. А также слил в чате и промпты, и фрагменты ответов, включая “стих в стиле Трампа”. Этого было достаточно, чтобы отправить запрос OpenAI по аккаунту. Компания передала Excel-файл, его содержимое не раскрывают и неясно, помог ли он следствию: с опсеком у товарища было совсем туго, и он слил о себе достаточно фактов, чтобы его нашли. Но прецедент имеется — промпты как основание для поиска юзера. Так что хозяйке даркнет-форума на заметку: запросы чат-гопоте могут стать основанием для ордера, который OpenAI выполнит. Сегодня ты публикуешь в чатике с друзьями по рансомварь-операции стихи в стиле Трампа, а завтра окажешься в списке особо разыскиваемых ФБР.
@tomhunter
Расследование шло по администратору сайта в Tor, распространяющего ЦП. Агенты общались с админом, тот упомянул, что пользуется ChatGPT. А также слил в чате и промпты, и фрагменты ответов, включая “стих в стиле Трампа”. Этого было достаточно, чтобы отправить запрос OpenAI по аккаунту. Компания передала Excel-файл, его содержимое не раскрывают и неясно, помог ли он следствию: с опсеком у товарища было совсем туго, и он слил о себе достаточно фактов, чтобы его нашли. Но прецедент имеется — промпты как основание для поиска юзера. Так что хозяйке даркнет-форума на заметку: запросы чат-гопоте могут стать основанием для ордера, который OpenAI выполнит. Сегодня ты публикуешь в чатике с друзьями по рансомварь-операции стихи в стиле Трампа, а завтра окажешься в списке особо разыскиваемых ФБР.
@tomhunter
😁5🔥3👍1
#news Финальный аккорд дела WhatsApp против NSO: суд в США потребовал от компании перестать атаковать мессенджер. Решение суда содержит бессрочный запрет на взлом WhatsApp.
Разработчик мессенджера решение приветствовал — шесть лет судебных тяжб завершились уверенной победой и прецедентом для дальнейших дел против спайвари. При этом штраф NSO в $167 миллионов урезали до четырёх, но вот запрет на атаки рискует серьёзно подорвать её бизнес-модель. Ранее NSO даже утверждала, что это может привести к её закрытию. Плохие новости для новых акционеров и клиентов из разных злачных мест на карте мира, хорошие для приватности простых юзеров. Тем временем здесь остаётся вспомнить Apple, которая год назад неожиданно отозвала иск против NSO — этим остаётся только посочувствовать за потерянную возможность помочь всеми нелюбимой компании обанкротиться. Как водится, нерешительность — это поражение.
@tomhunter
Разработчик мессенджера решение приветствовал — шесть лет судебных тяжб завершились уверенной победой и прецедентом для дальнейших дел против спайвари. При этом штраф NSO в $167 миллионов урезали до четырёх, но вот запрет на атаки рискует серьёзно подорвать её бизнес-модель. Ранее NSO даже утверждала, что это может привести к её закрытию. Плохие новости для новых акционеров и клиентов из разных злачных мест на карте мира, хорошие для приватности простых юзеров. Тем временем здесь остаётся вспомнить Apple, которая год назад неожиданно отозвала иск против NSO — этим остаётся только посочувствовать за потерянную возможность помочь всеми нелюбимой компании обанкротиться. Как водится, нерешительность — это поражение.
@tomhunter
❤6😁3👍2🔥1
#news Telegram и WhatsApp — всё. Ну или почти. Роскомнадзор сообщил, что принимает меры по “частичному ограничению" работы мессенджеров — вчера они прилегли во многих регионах. Всё это, как полагается, для борьбы с преступниками.
Известно каждому безопаснику, где основные сервисы для обмана и вовлечения в противозаконную деятельность зарыты — в мессенджерах. Легко и выделить их индикаторы компрометации: иностранные, не соблюдающие, к ответу призванные, но противоправно уклоняющиеся. А если учесть информацию органов и многочисленныепросьбы трудящихся обращения граждан, то пазл совсем просто собирается. Будут прикручивать краник двум рассадникам преступной заразы, в общем. Если делали ставочки на блокировку, время подсчитывать свои честно заработанные копейки — тут без сюрпризов. А в порядке самоуспокоения можно представить кусающих локти злоумышленников, которым теперь не дозвониться до Марь Ивановны, засидевшейся на своих миллионах. Здесь уж у кого на что фантазии хватит.
@tomhunter
Известно каждому безопаснику, где основные сервисы для обмана и вовлечения в противозаконную деятельность зарыты — в мессенджерах. Легко и выделить их индикаторы компрометации: иностранные, не соблюдающие, к ответу призванные, но противоправно уклоняющиеся. А если учесть информацию органов и многочисленные
@tomhunter
🤬18🤡14👍2😁2🎉1
#news Чудесная история из мира спайвари. Юзер Apple получил уведомление, что стал целью атаки шпионского ПО. Конечно, запаниковал. Но есть нюанс: он сам бывший разраб шпионского ПО. Под iOS. При этом случай, похоже, не первый.
Статья идёт бодрее панорамной: “Что, чёрт возьми, происходит? Я просто не знал, что думать” — доверительно сообщает невинная жертва спайвари. В панике отключил телефон, купил новый. “Какой кошмар, просто кошмар”. Работал герой истории в Trenchant — разработчиком нулевых дней и эксплойтов под iOS и другие системы. Дальше лучше: перед увольнением его обвинили в утечке внутренних инструментов; как утверждает пострадавший, сделали козлом отпущения. Видимо, спайварь ему и заслал благодарный работодатель. Из всего этого товарищ делает очевидный вывод: “Это слишком далеко зашло, кто знает, что будет дальше?” Уровень самосознания — улиточка. Буквально “Я никогда не думал, что леопарды съедят МОЁ лицо!” — плачет человек, голосовавший за партию “Леопарды за поедание лиц”.
@tomhunter
Статья идёт бодрее панорамной: “Что, чёрт возьми, происходит? Я просто не знал, что думать” — доверительно сообщает невинная жертва спайвари. В панике отключил телефон, купил новый. “Какой кошмар, просто кошмар”. Работал герой истории в Trenchant — разработчиком нулевых дней и эксплойтов под iOS и другие системы. Дальше лучше: перед увольнением его обвинили в утечке внутренних инструментов; как утверждает пострадавший, сделали козлом отпущения. Видимо, спайварь ему и заслал благодарный работодатель. Из всего этого товарищ делает очевидный вывод: “Это слишком далеко зашло, кто знает, что будет дальше?” Уровень самосознания — улиточка. Буквально “Я никогда не думал, что леопарды съедят МОЁ лицо!” — плачет человек, голосовавший за партию “Леопарды за поедание лиц”.
@tomhunter
😁15❤4👍2🤡1
#news В России продолжаются тяжбы с многострадальным законопроектом о легализации белошляпочников. Свежую редакцию документа готовят к внесению в Госдуму.
Новая версия получилась жёстче прежней. Она фиксирует понятие “мероприятие по поиску уязвимостей”, а регулировать их будут силовые ведомства — ФСБ, ФСТЭК и центр по компьютерным инцидентам. Также грядут изменения 274-й статьи УК — "неправомерная передача" информации об уязвимостях станет наказуемой. Попутно источники нагнетают: речь якобы идёт о создании реестра. Товарищи багхантеры, на первый-второй рассчитайсь! И пентестировай давай или что там у тебя. Что-то подсказывает, деанон с занесением в очередную базу соблазнит немногих — область максимально щекотливая, в случае утечки проблем будет с лихвой и дома, и за рубежом. Так что на дипломатичном комментарии в отрасли пока звучат как “Законопроект сыроват”. А на кулуарном — сами понимаете.
@tomhunter
Новая версия получилась жёстче прежней. Она фиксирует понятие “мероприятие по поиску уязвимостей”, а регулировать их будут силовые ведомства — ФСБ, ФСТЭК и центр по компьютерным инцидентам. Также грядут изменения 274-й статьи УК — "неправомерная передача" информации об уязвимостях станет наказуемой. Попутно источники нагнетают: речь якобы идёт о создании реестра. Товарищи багхантеры, на первый-второй рассчитайсь! И пентестировай давай или что там у тебя. Что-то подсказывает, деанон с занесением в очередную базу соблазнит немногих — область максимально щекотливая, в случае утечки проблем будет с лихвой и дома, и за рубежом. Так что на дипломатичном комментарии в отрасли пока звучат как “Законопроект сыроват”. А на кулуарном — сами понимаете.
@tomhunter
😁14🤡6👍3🤬1
#news Пока в новостях гремят всё новые браузерные поделия с AI, исследователи тихонько вскрывают всё новые же атаки в них. Сегодня у нас вариант со спуфингом боковой ИИ-панели.
Вектором атаки становится вредоносное расширение в духе затейника mr.d0x, которое копирует панель с ИИ-ассистентом. В ней — сюрприз! — тоже сидит ИИ-ассистент, но с преступными намерениями. А там уже всё зависит от креативности атакующего: подмена ссылок на легитимные сайты фишинговыми страницами, вредоносные рекомендации и команды в духе ClickFix и далее по списку — вплоть до предложений добавить нетоксичного клея в пиццу. С учётом того, что браузеры с LLM’ками накатывают энтузиасты этих самых LLM’ок, простор для творчества открывается широкий. Perplexity и OpenAI на вопросы не ответили, но оно и понятно: ИИ-пузырь сам себя не раздует, и сейчас не до таких мелочей жизни, как инфобез — ставочки повыше будут. Примеры сценариев атаки здесь.
@tomhunter
Вектором атаки становится вредоносное расширение в духе затейника mr.d0x, которое копирует панель с ИИ-ассистентом. В ней — сюрприз! — тоже сидит ИИ-ассистент, но с преступными намерениями. А там уже всё зависит от креативности атакующего: подмена ссылок на легитимные сайты фишинговыми страницами, вредоносные рекомендации и команды в духе ClickFix и далее по списку — вплоть до предложений добавить нетоксичного клея в пиццу. С учётом того, что браузеры с LLM’ками накатывают энтузиасты этих самых LLM’ок, простор для творчества открывается широкий. Perplexity и OpenAI на вопросы не ответили, но оно и понятно: ИИ-пузырь сам себя не раздует, и сейчас не до таких мелочей жизни, как инфобез — ставочки повыше будут. Примеры сценариев атаки здесь.
@tomhunter
😁8👍3
#news Золотые годы инфобеза в России: в 2025-м больше половины корпораций увеличили бюджет на ИБ на 20-40%. И половина опрошенных отметили значительное повышение интереса к ИБ у гендиректоров за последние пару лет.
Скажите, что вдохновило вас инвестировать в инфобез? Деньги. Точнее, штрафы. Оборотные. 61% опрошенных упомянули регуляции как основной драйвер интереса. 25% сослались на понимание значимости ИБ, но и здесь, скорее всего, стимулом к озарению стали возможные убытки — эти 25% так, кокетничают. Особенно с оглядкой на наиболее серьёзные угрозы: для 82% это инциденты с утечкой персональных данных. А всё почему? Ну вы поняли. А по каким критериям оценивают эффективность своей ИБ? У 67% это отсутствие тех самых серьёзных инцидентов. Иными словами, месседж до бизнеса дошёл, понемногу привыкают к новым реалиям. Слить всё и вся по цене обеда на Патриарших больше не получится — плохие новости для узнавших о существовании ИБ, но хорошие для всех причастных к индустрии. С чем вас и поздравляю.
@tomhunter
Скажите, что вдохновило вас инвестировать в инфобез? Деньги. Точнее, штрафы. Оборотные. 61% опрошенных упомянули регуляции как основной драйвер интереса. 25% сослались на понимание значимости ИБ, но и здесь, скорее всего, стимулом к озарению стали возможные убытки — эти 25% так, кокетничают. Особенно с оглядкой на наиболее серьёзные угрозы: для 82% это инциденты с утечкой персональных данных. А всё почему? Ну вы поняли. А по каким критериям оценивают эффективность своей ИБ? У 67% это отсутствие тех самых серьёзных инцидентов. Иными словами, месседж до бизнеса дошёл, понемногу привыкают к новым реалиям. Слить всё и вся по цене обеда на Патриарших больше не получится — плохие новости для узнавших о существовании ИБ, но хорошие для всех причастных к индустрии. С чем вас и поздравляю.
@tomhunter
😁11🔥6👍5❤2