}{@kep
3.97K subscribers
60 photos
1 video
47 files
1.15K links
💻 Первый авторский канал про информационную безопасность (создан в 2017 году)

Отборный контент для обучения и развития.

По рекламе @adtgassetsbot
Владелец @Aleksei
Download Telegram
Разработано устройство для определения скрытого включения микрофона

Исследователи из Сингапура и Южной Кореи разработали метод для выявления скрытого включения микрофона на ноутбуке. Для демонстрации работы метода на базе платы Raspberry Pi 4, усилителя и программируемого приёмопередатчика (SDR) собран прототип, получивший название TickTock. Он позволяет выявлять активацию микрофона вредоносным или шпионским ПО для прослушивания пользователя.

Статья
80% сайтов сливают поисковые запросы пользователей третьим сторонам

Исследователи Norton Labs заявляют, что 8 из 10 сайтов, оснащенных поиском, передают все поисковые запросы своих посетителей третьим сторонам. Чаще всего ими оказываются компании, занимающиеся интернет-рекламой.

Для изучения миллиона сайтов эксперты создали краулер, способный обходить «межстраничные объявления» и другие помехи, требующие взаимодействия с человеком во время браузинга. Этот сканер заходил на сайты, находил строку поиска, искал с ее помощью слово «JELLYBEANS», а затем собирал весь последующий сетевой трафик для анализа.

Идея экспертов заключалась в том, чтобы тщательно изучить каждый HTTP-запрос, и понять, не появляется ли «JELLYBEANS» где-то среди запросов, переданных сторонним партнерам. Оказалось, что именно так и происходит в 81,3% случаев.

Так, сетевые запросы включают URL-адрес, заголовок referer запроса и полезную нагрузку, которая обычно содержит «профиль» браузера и данные о посещениях. Анализ показал, что большинство утечек происходит через заголовок referer (75,8%) и URL-адрес (71%), а полезная нагрузка содержала слово «JELLYBEANS» в 21,2% изученных случаев.

В общей сложности 81,3% сайтов из исследованного миллиона передавали информацию рекламодателям как минимум одним из трех перечисленных способов. При этом в Norton Labs считают, что реальный процент утечек поисковых запросов, скорее всего, даже выше. Дело в том, что многие пейлоады в HTTP-запросах обфусцированы, поэтому анализ мог не обнаружить «JELLYBEANS» среди данных, хотя тестовый поисковый запрос мог там быть.

Интересно, что при этом только 13% сайтов хоть как-то упомянули «search terms» в своих политиках конфиденциальности, а 75% ресурсов отделывались общими заявлениями о возможном «обмене информацией о пользователях с третьими лицами».
Работать в Telegram и зарабатывать деньги, о которых вы раньше не смели и мечтать?

Дано — инстаграм без VPN не работает. Все побежали в ВКонтакте, но столкнулись с тем, что там все плохо. Остается ТГ, но как там работать?

Так давайте узнавать!

Элементарный TELEGRAM — книга топового админа и специалиста по Телеграм Алексея Шабаршина. Он — маркетолог, построивший сеть каналов в телеге с 2 млн подписчиков и создавший топ-1 сайт по поиску работы в диджитал jobTG.com.

Вы научитесь:

— Создавать и упаковывать каналы по трендовым тематикам
— Зарабатывать на рекламе, партнерских программах, продаже услуг
— Продвигать, продавать и покупать каналы


Хочешь начать зарабатывать в Telegram? Оформляй предзаказ на книгу: https://book24.ru/r/grUbF

Зачем оформлять предзаказ сейчас?

— Стоимости выгоднее не будет.
— Вы получите книгу первым.
— Сразу платить не обязательно, можешь отдать деньги при получении книги курьеру.
— Так же по промокоду "TELEGRAM" скидка 20%
Корпоративная атака с помощью кода из игры

Обычно установку компьютерных игр на корпоративных устройствах отслеживают или запрещают по той простой причине, что на работе надо работать, а не играть. Но есть еще один аргумент: большой ассортимент софта на компьютерах сотрудников расширяет возможности для атаки. Недавнее исследование показывает практическую атаку с использованием игрового кода. Правда, любители поиграть на рабочем устройстве оказались ни при чем: проблема была в чрезмерно широких полномочиях античит-системы, которой организаторы атаки воспользовались для отключения средств защиты.

Статья
Баг «три пальца» был обнаружен в iOS 16

Разработчики приложений сообщили, что после обновления жесты 3 пальцами вызывают срабатывание встроенных функций в ОС программ и игр. Apple ещё не пофиксила баг. Проблема наблюдается разработчиками приложений и в iOS 16.1 beta 1.
Вас могут взломать при копировании и вставке команды с веб-страниц

Статья
Google и Microsoft получают пароли и персональные данные через проверку правописания

Исследователи otto-js выяснили, что Google и Microsoft (в Microsoft Editor Spelling и Grammar Checker) передают с клиентского устройства и получают на своих серверах пароли и персональные данные пользователей через облачный механизм системы расширенной проверки правописания.

Это происходит, например, когда пользователь после набора пароля нажимает в окне браузера (Chrome или Edge) или системном меню приложения кнопку «показать пароль». Система проверяет этот пароль на правописание и отсылает на сервера разработчиков.
Uber обвинил в кибератаке хакеров из группировки Lapsus$

Uber считает, что взломавший их системы хакер связан с группировкой Lapsus$. В блоге компания заявила, что активно проводит расследование.

В ходе расследования выяснилось, что хакер взломал подрядчика Uber EXT. Скорее всего, взломщик купил пароли от учётных записей сотрудников в дарквебе. Двухфакторная аутентификация не помогла — один из сотрудников по неизвестной причине принял запрос хакера.

После злоумышленник получил доступ к нескольким другим учётным записям сотрудников и в конце концов получил повышенные права в G-Suite и Slack. Затем хакер разместил сообщение в общекорпоративном канале Slack и перенастроил OpenDNS Uber на показ графического изображения на некоторых внутренних сайтах компании.
150+ хакерских поисковых систем и инструментов

Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. В статье ссылки на некоторые из них.

Статья
Когда кнопка Mute не работает

На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams.

Статья
Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту

Тот факт, что имена баз данных расходятся по различным источникам, — это, очевидно, нарушение приватности. Утечка позволяет произвольному веб-сайту узнать, какие сайты посещал пользователь, исходя из данных от других вкладок и окон.

Статья
Как просканировать весь интернет?

Весь диапазон IPv4 адресов — это 4-миллиарда IP-адресов. Это кажется огромной цифрой, но весь IPv4 интернет можно полностью просканировать на предмет одного TCP-порта за 40 минут, например найти все веб-серверы в мире или все открытые SSH-порты. Как это сделать? Читайте статью.

https://teletype.in/@it_ha/scan_ipv4
Как укрепить Windows Defender по максимуму

В состав ОС Windows входит стандартный антивирус Windows Defender. Это простая и добротная программа. Но для максимальной эффективности желательно её укрепить специальными настройками, которые по умолчанию отключены.

Статья
Операторы Ragnar Locker слили в сеть более 6 млн записей с личными данными пассажиров авиакомпании TAP

Совсем недавно группировка Ragnar Locker опубликовала набор из 6,114,735 записей с личными данными клиентов крупнейшей португальской авиакомпании TAP. Известно, что компания пострадала от кибератаки 25 августа, но сообщила, что данным пользователей ничего не угрожает.

Однако, в своем последнем заявлении TAP сообщила: в руках злоумышленников оказались имена и фамилии клиентов, даты рождения, адреса эл. почты, телефонные номера, адреса проживания, номера в программе лояльности, а также даты регистрации и последней активности (с 18.10.2016 по 22.04.2022)
Обнаружен новый вредоносный NPM-пакет, выдающий себя за CSS-пакет Material Tailwind

Вредоносный пакет (material-tailwindcss) выдает себя себя за легитимный инструмент и имеет автоматический скрипт, загружающий на устройство защищенный паролем ZIP-архив, содержащий исполняемый файл Windows (DiagnosticsHub.exe), запускающий PowerShell-скрипты.

В исполняемый файл упакованы фрагменты Powershell-кода, отвечающие за управление командами, процессами, связью и закрепление в системе жертвы с помощью запланированных задач.
До обнаружения material-tailwindcss был загружен 320 раз. Жертвы, скачавшие его, могут даже не заметить подвох – пакет умеет имитировать функциональность оригинала и скрытно запускать скрипты.

Инцидент с обнаружением material-tailwindcss стал последним в длинном списке атак, направленных на npm, PyPI и RubyGems, произошедшие за последний год.
Конкурсы и задачи по OSINT и геолокации

Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает невероятно. Предлагаем вашему вниманию подборку самых топовых и самых интересных челленджей и квизов по всем разновидностям OSINT.

Статья
Хакеры Witchetty прячут вредонос в логотипе Windows

В своих атаках хакеры используют стеганографию: они скрывают бэкдор, зашифрованный при помощи XOR, в старом растровом изображении логотипа Windows.

Благодаря такой маскировке, файл с бэкдором размещается в облачном сервисе, а не на управляющем сервере группировки, так как защитные решения не обнаруживают в нем вредоносный пейлоад.

Атаки Witchetty начинается с того, что злоумышленники получают доступ к сети жертвы, используя уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE- 2021-27065), с помощью который внедряют веб-шеллы на уязвимые серверы.

Затем злоумышленники загружают и извлекают бэкдор, скрывающийся в файле изображения, который позволяет:
- выполнять действия с файлами и каталогами;
- запускать, перечислять или ликвидировать процессы;
- изменять реестр Windows;
- загружать дополнительные полезные нагрузки;
- похищать файлы.
Найдена новая критическая ошибка RCE в Adobe Commerce, Magento

Adobe обновила свой недавний внеполосный совет по безопасности, добавив еще одну критическую ошибку, а исследователи выложили PoC для ошибки, которую они экстренно исправили в прошлые выходные.

Еще одна ошибка нулевого дня была обнаружена в платформах Magento Open Source и Adobe Commerce, а исследователи создали рабочий эксплойт для недавно исправленной уязвимости CVE-2022-24086, которая подверглась активной атаке и заставила Adobe выпустить экстренное исправление в минувшие выходные.

Злоумышленники могли использовать любой из этих эксплойтов для удаленного выполнения кода (RCE) от неаутентифицированного пользователя.

Новый дефект, подробно описанный в четверг, имеет тот же уровень серьезности, что и его предшественник, который Adobe исправила 13 февраля. Он отслеживается как CVE-2022-24087 и имеет аналогичный рейтинг 9,8 по системе оценки уязвимостей CVSS.
Найдена уязвимость в цепочках поставок PHP-репозиториев Packagist

Уязвимость CVE-2022-24828 (8,8 балла по шкале CVSS) позволяла полностью захватить контроль над Packagist. Проблема представляет собой баг внедрения команд, и тесно связана с другой похожей ошибкой в Composer (CVE-2021-29472), которая была обнаружена в апреле 2021 года и исправлена не совсем корректно.

«Злоумышленник, контролирующий репозиторий Git или Mercurial, явно указанный по URL-адресу в файле composer.json проекта, может использовать специально созданные имена веток для выполнения команд на машине, на которой выполняется обновление Composer», — гласит официальный бюллетень безопасности Packagist за апрель 2022 года.

Фактически это означает, что запросы на обновление пакета могли быть перехвачены для внедрения вредоносных зависимостей, путем выполнения произвольных команд на внутреннем сервере, где запущен официальный экземпляр Packagist.
Утекли данные миллионов пользователей Bean VPN

Исследователи безопасности нашли в сети базу данных с более чем 18 ГБ журналов подключений, созданных приложением.

База данных содержит более 25 миллионов записей, включая такие сведения, как идентификаторы устройств, идентификаторы сервисов Play, IP-адреса, отметки о подключении. Все эти элементы могут быть использованы для установления личности пользователей.