}{@kep
3.97K subscribers
60 photos
1 video
47 files
1.15K links
💻 Первый авторский канал про информационную безопасность (создан в 2017 году)

Отборный контент для обучения и развития.

По рекламе @adtgassetsbot
Владелец @Aleksei
Download Telegram
Приватность в электронной почте: нам нужно использовать шифрование по умолчанию

Статья
Telegram Premium отправляет голосовые сообщения клиентов в сервисы Google

Буду краток. На днях Телеграм выкатил премиум-подписку и Дуров высказался за все хорошее, мол цитата: "This will herald a new, user-centric era in the history of social media services".

Сейчас я случайно натолкнулся на пункт 7.4 Terms of Service Телеграма, согласно которому ваши голосовые сообщения отправляются в "Google LLC, subsidiary of Alphabet Inc.".

Статья
Директор Louis Vuitton уволился из-за высоких цен на одежду бренда и потери клиентов из России 🤷‍♀️

Майкл Бурк говорит, что 94% цены – просто наценка за этикетку. Он решил доказать, что такие же вещи можно продавать дешевле и открыл свой телеграм-магазин «Made in Italy», где одежда доступна каждому человеку из любой точки Земли.

Здесь вы найдёте ИДЕНТИЧНЫЕ вещи Balenciaga, Gucci, Louis Vuitton, Fendi, Prada, только в 4-5 раз дешевле. Ребята доставляют в Россию и гарантируют качество.

Те же ткани, те же технологии, то же качество – так зачем платить больше?

Made in Italy – это когда берёшь Gucci по цене Zara: https://tttttt.me/+240OhnXhWuplMzAy
Жизнь за пределами Metasploit Framework, сравниваем альтернативы

Идея статьи родилась в ходе исследования способов автоматизации рутинных действий при проведении тестирования на проникновение. Данная мысль возникает, когда исследователь понимает, что в лучшем случае копирует одни и те же команды, в худшем – печатает их на клавиатуре вручную. Моя личная цель автоматизации – экономия самого ценного ресурса, который у нас есть. Времени. Надеюсь, что данная статья позволит и вам сделать это, а также потратить его на более творческие вещи, чем поиск, к примеру, способа реализации туннелирования в Windows-сетях.

Статья
Жизнь за пределами Metasploit Framework, сравниваем альтернативы

Идея статьи родилась в ходе исследования способов автоматизации рутинных действий при проведении тестирования на проникновение. Данная мысль возникает, когда исследователь понимает, что в лучшем случае копирует одни и те же команды, в худшем – печатает их на клавиатуре вручную. Моя личная цель автоматизации – экономия самого ценного ресурса, который у нас есть. Времени. Надеюсь, что данная статья позволит и вам сделать это, а также потратить его на более творческие вещи, чем поиск, к примеру, способа реализации туннелирования в Windows-сетях.

Статья
Захватываем сеть через сервер централизованного управления и защищаемся от таких атак

Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.

Статья
Миссия выполнима: знакомимся с физическим пентестом

"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект.

Статья
Коротко о даркнете. Почему его не стоит считать чем-то плохим

Взломы — это печальная реальность для бизнеса и обычных пользователей. Часто утёкшие данные продаются злоумышленниками всех мастей: хакерами, кардерами, фишерами и пр. И делается это через Dark Web (даркнет). Поэтому многие воспринимают его как что-то однозначно плохое и вредное, хотя это и не так. Да, злоумышленники и в самом деле активно использую шифрованную часть интернета для продажи украденных данных, наркотиков, оружия. Но тот же Facebook и даже ООН используют даркнет для защиты диссидентов и журналистов. Давайте разберёмся, что же такое Dark Web, что в нём есть и какие инструменты для безопасного сёрфинга можно использовать.

https://teletype.in/@onehellsus/Jr5XhJfjr6V
Нетривиальный взлом браузера Safari

Исследователь Райан Пикрен (Ryan Pickren) на прошлой неделе опубликовал подробную историю обнаружения цепочки уязвимостей в браузере Safari и в других компонентах операционной системы MacOS.

Статья
Хакеры могут взломать учетную запись еще до ее создания

Специалисты изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.

Атакующий должен знать электронный адрес жертвы, достать который сейчас довольно не сложно. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.

Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).
Откуда сайт знает, что ты сидишь в уборной?

Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).

Статья
Обнаружено сочетание слов, которое «ломало» Google Документы

Веб-разработчик Пэт Нидхэм случайно обратил внимание, что текст «And. And. And. And. And.» вызывал сбой в работе текстового редактора Google Документы — достаточно было ввести этот текст и обновить страницу. Ошибка была чувствительна к регистру: написание вроде «and. and. And. and. And.» сбоя не вызывала.

Ошибку выдавал POST-запрос на адрес, начинающийся с «https://docs.google.com/document/u/1/jserror» и содержащий текст «Caused by: TypeError: Cannot read properties of null (reading "C")».

Выяснилось, что ошибку вызывало разделённое точками пятикратное повторение и других английских слов, преимущественно служебных частей речи: «also, therefore, anyway, but, who, why, besides, however, although, moreover, firstly, secondly, thirdly, fourthly». Примечательно, что, начиная с «fifthly» («в-пятых») ошибка исчезала.

Специалисты считают, что ошибка связана с системой проверки правописания, которая проявлялась только тогда, когда была проставлена опция «Предлагать грамматические исправления». По одной из предложенных гипотез, ошибка была связана с некорректной обработкой регулярных выражений. Вскоре после этого компания исправила ошибку.
Хакеры рассылают вирусы в пустых уведомлениях и картинках

Таким образом они могут обойти мониторинг сервиса VirusTotal. Схема происходит по следующему сценарию: взломщик отправляет документ, что связан с DocuSign. В сообщении пишет, что необходимо посмотреть его. Перейдя по ссылке, юзер попадает на реальный сайт. Так что же не так?

Главную роль играет HTM-вложение. В нём присутствует SVG-изображение, что зашифровано с Base64. Хоть сообщение и пустое, документ имеет внедрённый JavaScript-код, что перенаправляет на вредоносную платформу.
35 тысяч аккаунтов PayPal взломаны в результате крупномасштабной атаки с подстановкой учётных данных

Подстановка учётных данных представляет собой вид атаки, при которой хакеры пытаются получить доступ к аккаунту с помощью реальных учётных данных, похищенных с другого ресурса. Атака рассчитана на пользователей, у которых один и тот же пароль для нескольких сервисов.

По сообщению PayPal, атака произошла с 6 по 8 декабря 2022 года. На два дня хакеры получили доступ к полным именам владельцев счетов, датам рождения, почтовым адресам, номерам социального страхования и индивидуальным идентификационным номерам налогоплательщиков, а также истории транзакций, данным подключённой кредитной или дебетовой карты и данным выставления счетов PayPal.

PayPal заявляет, что ограничила доступ злоумышленников к платформе и сбросила пароли пострадавших пользователей. Платформа также утверждает, что злоумышленники не пытались или не смогли провести какие-либо транзакции со взломанных аккаунтов.
Захватываем сеть через сервер централизованного управления и защищаемся от таких атак

Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.

Статья
Хакеры украли исходные коды League of Legends и Teamfight Tactics

Разработчик и издатель видеоигр Riot Games сообщил, что в ходе недавней кибератаки хакеры украли исходные коды League of Legends, Teamfight Tactics и инструментария по разработке старой версии античита.

Злоумышленники потребовали выкуп за неразглашение информации — 10 миллионов долларов. Корпорация отказалась платить хакерам.

Riot Games заверяет, что никакие данные аккаунтов или личная информация игроков не были скомпрометированы.

В нелегально полученный хакерами исходный код также попал ряд экспериментальных функций и наработки по закрытым тестовым игровым режимам.

На данный момент сообщается лишь, что «Злоумышленники использовали методы социальной инженерии для получения доступа во внутренний периметр организации».
Утечка содержимого внутренних Git-репозиториев компании Яндекс

Неизвестный опубликовал на форуме BreachForums архив, включающий содержимое внутренних Git-репозиториев компании Yandex. Утверждается, что утечка произошла в июле 2022 года (внутри все файлы датированы 24 февраля 2022 года).

Архив размером 44.71 ГБ включает срезы репозиториев с кодом 79 сервисов и проектов:
— поисковый движок (фронтэнд и бэкенд)
— бот индексации страниц
— платформа web-аналитики Yandex Metrika
— картографическая система Yandex Maps
— голосовой помощник Алиса
— информационная система службы поддержки
— Яндекс Такси
— Yandex Phone
— рекламная платформа Yandex Direct
— почтовый сервис Yandex Mail
— хранилище Yandex Disk
— сеть доставки контента
— торговая площадка Yandex Market
— бизнес-сервисы Yandex360
— облачная платформа Yandex Cloud
— платёжная система Yandex Pay.

Компания подтвердила утечку, но заявила, что она произошла не в результате взлома. Также уточняется, что утечка охватывает только код и не затрагивает данные и персональную информацию.
Microsoft запретила удалять свой браузер Microsoft Edge с Windows

Способ удалить всё же есть: заходим на GitHub, копируем строки с 3 по 159 и вставляем в PowerShell. Приложение попросит подтверждение, пара секунд и готово — Edge полностью удален с вашего компьютера, осталось только перезагрузить компьютер.

Есть вероятность, что с очередным обновлением он вернется, поэтому рекомендуем их отключить или повторять процедуру каждый раз после появления Edge на вашем компьютере.
Никогда не используйте пикселизацию для сокрытия текста

Сегодня мы рассмотрим одну из методик — пикселизацию, и покажем, почему это плохой, небезопасный, гарантированный способ обеспечения утечки данных.

Статья
Мобильные трояны со встроенной подпиской

Эти истории слышали все: купил телефон, вроде бы ничего такого не делал, пока не обнаружил отсутствие денег на счету. Одной из причин внезапного добавления платных услуг на мобильном телефоне может быть вредоносное ПО.

Статья