FSCP
17.4K subscribers
30.5K photos
3.54K videos
862 files
77.9K links
another filter bubble канал изначально созданный несколькими друзьями чтобы делиться копипастой, иногда оценочным суждением

технологии, деньги, социум

редакция @id9QGq_bot
реклама @johneditor
в будущее возьмут не всех
выводы самостоятельно

мир меняется
Download Telegram
🛩 4 сервиса для отслеживания авиа-перелётов онлайн.

Кто следит за IT- и инфосек-индустрией, помнит недавний скандал вокруг Илона Маска. Ну а для тех, кто не в курсе: значит, жил-был один парнишка — Джек Суини. 19-летний первокурсник-программист. 19-летний! Зафиксировали? И как-то раз создал он 15 Twitter-ботов, отслеживающих перемещения самолётов. Пострадал из-за этого, как вы уже поняли, Илон Маск. Какому мировому лидеру мнений понравится, что за ним следят?

Но под раздачу попал не только CEO Tesla. Основатель Amazon Джефф Безос и глава Microsoft Билл Гейтс тоже в списке жертв. Правда, больше всего народ полюбил именно бота, который следит за Маском — на него подписалось 85.000 человек.

Говорят, первое звено цепочки — Федеральное управление гражданской авиации США. Прямо как в фильмах: вундеркинд обдурил взрослых дядек из правительственного органа («Поймай меня, если сможешь»)! А, кстати, потом Суини сделал то же самое и с российскими уполномоченными — в Twitter есть другой такой же аккаунт, только там отслеживаются перелёты уже не западных бизнесменов, а богатейших людей России.

«Воздушное управление так примитивно» — вот как прокомментировал ситуацию Маск. В подтверждение его словам мы собрали несколько сервисов для отслеживания самолётов онлайн. Собственно, вот они: planefinder, radarbox24, de.flightaware, flightradar24. Радар работает 24 часа в сутки. Данные выводятся на карту и позволяют видеть перемещения самолётов онлайн. Во всём мире!

Вот какую информацию можно получить: тип самолёта, бортовой номер, принадлежность к авиакомпании, место отправления и посадки, высота и скорость полёта, географическое положение в градусах, пройдённый путь от аэропорта отправки и др.

На самом деле, механизм очень простой: почти все самолёты последних поколений оборудованы ответчиком ADS-B. Это и позволяет отслеживать движение грузовых и пассажирских самолётов. Около 60% самолётов в мире (менее 30% в США, но более 70% в Европе) оснащены этим устройством, и число постоянно увеличивается.

Вы можете лично отследить конкретный рейс или, например, воочию убедиться, что небо над Украиной сейчас «пустое». Есть неподтверждённая информация, что именно таким способом «спалили» недавний тайный рейс из Санкт-Петербурга в Вашингтон. В общем, знание — сила! А любопытство — не порок.

#OSINT

Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
🔍 SpiderFoot: как пробить всю информацию о сайте.

Представим, что задача — найти всю информацию об организации. Вот буквально всю! Номера телефонов сотрудников, адреса, счета в банках и т.д. Куда за всем этим идти? Можно использовать популярные поисковые машины (поиграться немного с языком запросов, и вот результаты) или залезть в общедоступные базы данных (телефоны, whois и т.д.). В принципе, рабочая схема. Но удобство — вот компонент, которого здесь не хватает.

Spiderfoot — это специализированное разведывательное ПО. Оно ищет по-умному: разделяет, сортирует информацию, а главное — указывает взаимосвязи. Там очень много разных модулей, и судя по времени, которое уходит на сканирование, работают они как надо. Объясним: на получение цельного результата может уйти от нескольких часов до суток. И даже больше! Долго? Ну да. Но за всё хорошее нужно платить, а Spiderfoot даёт настолько подробный отчёт, что от наплыва ценной информации можно захлебнуться.

У программы есть знаменитый аналог — Maltego. Но в отличие от него, Spiderfoot абсолютно бесплатен, а по результатам так и вовсе обходит именитого конкурента. Так что выбор очевиден!

#OSINT

Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
📱 Почему IMEI смартфона должен быть строго засекречен.

Начнём с терминов. Что это вообще такое — IMEI? Это идентификационный номер. Он уникален, присваивается автоматически, не может быть изменён. Какую опасность таит IMEI? Тот, кто его знает, может проверить смартфон на подлинность. А ещё — определить местонахождение включённого гаджета. Такая возможность 100% есть у сотрудников полиции. А также у хакеров. Ну, если постараются. Опасаться стоит как одних, так и других.

Российские мошенники построили целый бизнес на IMEI чужих смартфонов. Они выискивают объявления о продаже смартфонов на сайтах объявлений, связывают с продавцами, а затем добывают приватные данные. Каким образом? Стандартный набор фраз — «Какой телефон?», «Насколько смартфон старый?», «Экран исправен?». Так усыпляется бдительность.

Дальше злоумышленник начинает делать вид, что готов купить смартфон. А затем (как бы между делом) интересуется, какой у продаваемого устройства IMEI. Зачем ему эта информация? Якобы нужно проверить, оригинальный гаджет или нет! К тому же а вдруг он краденый? Подделки продаются на каждом углу, так что такой вопрос не вызывает подозрений. А если мы говорим о человеке, который ничего не знает об информационной безопасности (обычное дело), тем более.

Когда продавец называет мошеннику IMEI, последний исчезает. Но через какое-то время появляется снова, — чтобы сообщить, что он внёс идентификационный номер в базу краденных устройств. «Хочешь, чтобы он исчез? Плати!» — вот и вся схема. У продавца не остаётся вариантов, ведь он всё-таки хочет продать смартфон. А как это сделать, если IMEI во всех базах? То-то и оно. Никак!

Что важно, злоумышленник действительно вносит IMEI в эту самую базу. Это не попытка «взять на понты»! Не верите — можете проверить. Базы краденных телефонов находятся в открытом доступе, и данные может внести кто угодно. Модерация? К сожалению, никудышная. Самое уязвимое звено, как всегда, — человеческий фактор.
_______
Источник | #cyberyozh_official
💀 Dead Switch — уникальное приложение для защиты данных.

💬
Помните того плохого парня со взрывчаткой? Из боевика. «Убьёшь меня — здание с заложниками взлетит на воздух» — вот такое условие он ставил герою. И последний оказывался в цейтноте, ведь это не понты — выключатель, который приводит устройство в действие, удерживается в положении «off» только до тех пор, пока пульс на руке подрывника подаёт признаки жизни. Если его убьют, бомба взорвётся!

Вот это и называется «Переключатель мёртвого человека». Систему используют везде: в локомотивах, грузовых лифтах, газонокосилках, тракторах, персональных водных мотоциклах, подвесных моторах, бензопилах, снегоуборщиках, беговых дорожках, снегоходах, аттракционах... в общем, реально везде. И нашим ИБ-целям она тоже может послужить. Причём ой как хорошо!

Dead Switch — это защитное приложение, которое работает по принципу «Переключатель мёртвого человека». Вот есть важные данные и есть вы, их хранитель. Представим, что вас нейтрализовали (шут его знает, кто тут чем занимается). Ну, или просто отняли доступ к источнику этих самых данных. В общем, случилось что-то неожиданное! В таком случае Dead Switch отправит электронное письмо указанным вами лицам.

Вот как работает механика: через определённый промежуток времени (вы указываете его сами) приложение требует ввести установленные логин и пароль. Не ввели? Dead Switch воспримет это как сигнал SOS, и электронное письмо отправится адресату. Такие дела!

Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
💬🔒 Session — анонимный мессенджер.

Чтобы наши сообщения читали чужие люди, — никто этого не хочет. Или существует разновидность мазохизма, о которой мы не знаем? Неважно! В мессенджерах решаются судьбы бизнес-сделок, отправляются интимные фотографии, покупаются оружие и наркотики. Сказать, что пользователь должен быть уверен в своей безопасности, — не сказать ничего. Даёт ли гарантию Telegram? Если и да, то рассказывать Павлу Дурову об этом только в школе.

Session — защищённое приложение для обмена сообщениями. Для регистрации не требуется указывать почту или номер телефона. Что вместо? Назначается Session ID. Бездомного нельзя оштрафовать как шумного соседа, потому что у него нет квартиры. Точно так же Session нельзя обвинять в утечке персональных данных. Потому что у компании нет серверов! Маршрутизация проходит через участников.

Session можно использовать на компьютере, ноутбуке, телефоне и других гаджетах. Одновременно! Условие: наличие синхронизации ключей между двумя устройствами.
_______
Источник | #cyberyozh_official
———
сырое но интересное
📄 CryptPad — безопасная альтернатива Google Docs.

Юваль Ной Харари, израильский историк и футуролог, написал книгу «21 урок для 21 столетия». Google там сравнивается с испанской инквизицией и КГБ. Компания собирает громадные массивы личных данных и попадает в скандал каждый год: в одном только 2018-ом пострадало 52,5 миллиона пользователей. Журналисты, эксперты и отдельные страны ЕС давно заклеймили Google как шпионский сервис.

Вывод: пользоваться Google Docs — всё равно что давать согласие на кастрацию. И ладно бы альтернатив не было. Но они же есть! Вот, пожалуйста — CryptPad. Это такой же онлайн-пакет для создания документов, электронных таблиц, презентаций и т.д. НО! Здесь всё зашифровано. Причём не «зашифровано», а именно зашифровано — исходный код открыт.

Google Docs — это индексация документов поисковиками, систематические сливы и продажа данных третьим лицам. CryptPad — сквозное шифрование, ограниченный доступ (даже администраторы сервиса не смогут открыть ваши документы) и здоровые нервы. CryptPad — бро, Google Docs — не бро.
_______
Источник | #cyberyozh_official
🐁 Деанонимизация по движениям мыши: мифы и реальность.

Владельцы коммерческих сайтов следят за пользователями и анализируют их поведенческие паттерны: сколько времени проведено на странице, какие разделы заинтересовали, в какой последовательности посещались. Mouselogger работает примерно по такому же принципу: регистрирует динамику движения целевой мыши. Это как биометрия нажатия клавиш: каждый оставляет уникальный след.

Если установите программу, её разработчики сохранят ваш email- и MAC-адрес на своих серверах. А потом начнут собирать данные, — перемещения курсора, клики, прокрутка, — чтобы идентифицировать вас. Когда они закончат, на ваш email придёт письмо. ВАС ЗАМЕТИЛИ! Ну, или не придёт. Но обычно приходит.

Mouselogger — это исследовательский проект студентов Равенсбургского университета из Трансильвании. Они хотят доказать, что пользователей можно деанонимизировать по поведенческим паттернам мыши.

Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
🔍 OSINT: как ускорить сбор данных с веб-архивов.

Что в веб-архивах много полезной информации для расследований, мы уже выяснили. Вот суть вкратце: там хранятся все версии сайтов — можно найти что-то, чего нет в обновленных. Интернет помнит всё! Даже если владелец удалил данные.

Wayback Machine — это расширение «его величества» Интернет-архива. Принцип такой же: позволяет просмотреть заархивированную версию веб-страницы. НО! Скорость — вот в чем его фишка: не нужно переходить на сторонние сайты, залезать в поиск и вот это всё. Попали на интересный сайт — сразу же открыли расширение. Готово.
_______
Источник | #cyberyozh_official | #полезности
🔍 OSINT: как найти зарегистрированные на электронную почту аккаунты.

В среде кибербезопасников есть правило: для каждого сайта — отдельный электронный адрес. Кто-то использует временную почту, кто-то — email-алиасы. А кто-то, как Уолтер Уайт, во все тяжкие: родное «мыло» везде — VK, теневой форум, GitHub, Wildberries и т.д.

Оно и понятно: делать по технологии — морока. Надо записывать данные, чтобы не забыть, где какой адрес. А еще письма приходят вразнобой.

Какова цена лени?

Holehe — инструмент для поиска зарегистрированных на электронную почту аккаунтов. Он пробивает 120 популярных сервисов: Instagram, Twitter, Imgur и др. Используйте его, чтобы узнавать о других больше, и вспоминайте каждый раз, когда проходите регистрацию.
__
Источник | #cyberyozh_official
🔒 Как защититься от пробива места съемки по солнцу.

Кибербезопасник может фотографироваться подальше от мест, которые легко опознать, и даже удалять метаданные, но это не гарантия приватности. SunCalc определяет место съемки по солнцу. Точность — высокая.

🧐 — А на Photoshop что, санкции наложили? И на пиратские сайты — тоже?

Во-первых, программы для обработки фото нужно осваивать — это небыстро. А OutCast — обученная нейросеть, которая выполняет за пользователя всю работу. Причем обученная не абы кем, а сотрудниками Университетского колледжа Лондона и их коллегами из Adobe и Apple.

Во-вторых, Photoshop — это скорее лоск. А OutCast буквально меняет освещение на снимке. Нейросеть идентифицирует все объекты на фото и анализирует их тени — так определяется источник света. Когда обработка закончена, вы можете поменять положение солнца.

Если некто захочет узнать, где сделано ваше фото, он получит дезинформацию. Все по правилам кибербезопасности: не скрывать данные, а подменять. Пользуйтесь OutCast, чтобы путать карты грамотно.
___
Источник | #cyberyozh_official